Chương 5:

KIỂM SOÁT AN TOÀN

If you think technology can solve your security problems, then you don’t understand
the problems and you don’t understand the technology.
Chapter 6&9: Michael E. Whitman & Herbert J. Mattord (2018) Principles of
Information Security – 6th Edition. New Edition.
 11 nhà máy của Honda buộc tạm ngừng hoạt
Tình huống 1 động do tấn công mạng
Ngày 10/6, Honda chính thức xác nhận thông tin
hãng đã bị tấn công mạng. Theo đó, tin tặc
nhắm vào các máy chủ nội bộ và phát tán virus
qua các hệ thống của Honda. Đây là nguyên
nhân khiến 11 nhà máy của Honda tại Mỹ, Thổ
Nhĩ Kĩ, Brazil và Ấn Độ phải tạm ngừng hoạt
động.

• Biện pháp ngăn chặn tấn công mạng hiệu

quả?
• Nguyên nhân khiến doanh nghiệp mất dữ
liệu?
• Hậu quả do mất dữ liệu?
• Giải pháp phòng tránh mất dữ liệu?
 •
Tình huống 2 https://nhandan.com.vn/cong-nghe-an-ninh-
mang/cac-cuoc-tan-cong-chiem-doat-tai-khoan-
tang-dot-bien-trong-nam-2020-634881/.
 • Hiểu vai trò của kiểm soát truy cập trong hệ
Mục tiêu thống thông tin – Định nghĩa xác thực và ba
nhân tố xác thực phổ biến.
• Hiểu cơ bản tường lửa và các loại tường lửa
• Hiểu Kiểm soát truy cập từ xa và mạng riêng
ảo (VPN).
• Hiểu và thảo luận về mối quan hệ giữa an
toàn thông tin và an toàn vật lý – một số
kiểm soát an toàn vật lý.
• Hiểu về Đánh chặn dữ liệu.
• Hiểu về An toàn máy tính và thiết bị di động.
 1. Kiểm soát truy cập - Access control.
Nội dung 2. Tường lửa – Firewall.
3. Bảo vệ kết nối từ xa - Protecting remote
connections.
4. Kiểm soát truy cập vật lý – Physical Access
control
4.1. Kiểm soát an toàn vật lý – Physical
security control
5. Sự đánh chặn dữ liệu – Interception of data.
6. An toàn hệ thống di động - Securing
Mobile and Portable Systems.
6.1. An toàn máy tính từ xa
7. Những cân nhắc đặc biệt cho an toàn vật lý
- Special considerations for physical
security.
 STT Key terms Thuật ngữ

1. Access control Kiểm soát truy cập

2. Access control list (ACL) Danh sách kiểm soát truy cập

3. Access control matrix Ma trận kiểm soát truy cập

4. Attribute-based access control (ABAC) Kiểm soát truy cập dựa trên thuộc
tính

5. Accountability Sự giải trình

6. Authentication Xác thực

7. Authorization Phân quyền

8. Badge Phù hiệu

9. Biometrics access control Kiểm soát truy cập sinh trắc học

10. Capabilities table Bảng khả năng

11. Discretionary access controls (DACs) Kiểm soát truy cập tùy ý

12. Electromagnetic radiation (EMR) Bức xạ điện từ

6
STT KEY TERMS THUẬT NGỮ

13. Facilities management Quản lý cơ sở vật chất

14. Firewall Tường lửa

15. Hybrid VPN VPN lai

16. Identification Nhận dạng

17. Identification (ID) card Thẻ định danh

18. Interception of data Sự đánh chặn dữ liệu

19. Lattice-based access control (LBAC) Kiểm soát truy cập dựa trên mạng ma trận

20. Mandatory access control (MAC) Kiểm soát truy cập bắt buộc

21. Mantrap Bẫy

22. Nondiscretionary access controls (NDACs) Kiểm soát truy cập không tùy ý

23. Passphrase Cụm mật khẩu

24. Password Mật khẩu

7
STT Key terms Thuật ngữ
25. Physical security An toàn vật lý
Kiểm soát truy cập dựa trên
26. Role-based access control (RBAC)
vai trò
27. Secure facility Cơ sở an ninh
28. Secure VPN VPN bảo mật
Kiểm soát truy cập dựa trên
29. Task-based access control (BAC)
nhiệm vụ
30. Telecommuting Làm việc từ xa
31. Telecommuter Người làm việc từ xa
32. Trusted network Mạng tin cậy
33. Trusted VPN VPN tin cậy
34. Untrusted network Mạng không tin cậy
35. Virtual organization Tổ chức ảo
36. Virtual Private networks (VPNs) Mạng riêng ảo
37. Virtual password Mật khẩu ảo

8
 1. Kiểm soát 1. 1 Cơ chế kiểm soát truy cập (Access control
mechanisms)
truy cập - 1.2. Sinh trắc học (Biometrics)
1.3. Các mô hình kiến trúc kiểm soát truy cập
Access control. (Access control architecture models)
 • Một chương trình an toàn thông tin được
Giới thiệu hoạch định tốt sẽ cần những kiểm soát về
mặt kỹ thuật.
• Các giải pháp kiểm soát về mặt kỹ thuật giúp
cải thiện khả năng của đơn vị trong cân bằng
các mục tiêu, cung cấp thông tin sẵn sàng và
phổ biến, duy trì tính bảo mật và toàn vẹn
của thông tin

10
 • Kiểm soát truy cập là phương pháp mà hệ
1. Kiểm soát thống xác định cách thức cho phép người
dùng vào khu vực tin cậy của tổ chức, đó là
truy cập hệ thống thông tin, khu vực hạn chế như
(Access phòng máy tính và toàn bộ vị trí vật lý.
• Kiểm soát truy cập tập trung vào các quyền
Control) hoặc đặc quyền mà một chủ thể (người dùng
hoặc hệ thống) có trên một đối tượng (tài
nguyên/nguồn lực), bao gồm: khi nào và từ
đâu mà một chủ thể có thể truy cập vào một
đối tượng và đặc biệt là làm thế nào chủ thể
có thể sử dụng đối tượng đó.

11
 1. Kiểm soát
truy cập
(Access Control)
đạt được thông
qua Chương trình

Công nghệ

Chính sách

12
Các loại kiểm soát truy cập

• These definitions were later

codified in the Trusted
Computer System Evaluation
Criteria (TCSEC) documents
from the U.S. Department of
Defense (DoD)

13
 Kiểm soát truy cập tùy ý
Discretionary access controls (DACs)
Theo quyết định hoặc tùy chọn của người
dùng dữ liệu (kiểm soát bởi người dung)
→Truy cập không hạn chế,
→hoặc giới hạn người, nhóm người
có thể truy cập vào tài nguyên.
Ví dụ: người dùng có thể có một ổ cứng
Các loại chứa thông tin được chia sẻ với đồng
nghiệp. Người dùng này có thể chọn cho
kiểm phép các đồng nghiệp truy cập bằng
cách cung cấp quyền truy cập theo tên
soát trong chức năng chia sẻ kiểm soát.
truy cập
Kiểm soát truy cập không tùy ý
Nondiscretionary access controls (NDACs)
Thực hiện theo ủy quyền trung tâm (kiểm
soát bởi tổ chức)
(Kiểm soát truy cập dựa trên ma
trận phân quyền (lattice-based access
control-LBAC)
Người dùng được gán một ma trận
phân quyền cho các khu vực truy cập
cụ thể.
Việc phân quyền khác nhau giữa các
cấp.
Ma trận phân quyền gồm các chủ thể
và đối tượng và các đường biên của
mội cặp chủ thể - đối tượng.
Xác định mức độ truy cập của từng
chủ thể đối với từng đối tượng
14
Kiểm soát
truy cập
tùy ý
 Access control list Capabilities tables
(ACL) (In a lattice-based
access control)
Kiểm soát lattice-based access
control)
truy cập
Chi tiết về phân Thể hiện từng dòng
không tùy quyền cho người thuộc tính kết hợp
ý dùng với từng chủ thể cụ
Bao gồm danh thể.
sách người dùng
truy cập, ma trận
và bảng khả năng.
 MANDATORY (THEO MỆNH ROLE/ TASK (VAI TRÒ/ NHIỆM
LỆNH) VỤ)

Sử dụng các sơ đồ phân (role-based access

loại dữ liệu, cung cấp cho controls - RBAC)
Kiểm soát người dùng và chủ sở hữu Quyền gắn với vai trò của
dữ liệu quyền kiểm soát người dùng, được kế thừa
truy cập hạn chế vào tài nguyên khi người dùng được chỉ
thông tin.
không tùy Thông tin được xếp hạng
định vai trò đó.
(task-based access
ý và tất cả người dùng được
xếp hạng để chỉ định mức
controls-TBAC).
Quyền gắn với nhiệm vụ,
thông tin họ có thể truy được kế thừa khi người
cập. dùng chỉ định nhiệm vụ
Xếp hạng theo mức độ → Nhiệm vụ tạm thời hơn
nhạy cảm và mức độ bảo vai trò
mật thông tin.
 • Các kiểm soát dựa trên vai trò được liên kết với các
nhiệm vụ mà người dùng thực hiện trong một tổ
chức, như: vị trí hoặc phân công tạm thời như người
quản lý dự án, trong khi các kiểm soát dựa trên

Kiểm
nhiệm vụ được gắn với một công việc hoặc trách
nhiệm cụ thể, như: quản trị viên máy in của bộ phận.
• TBAC là kiểm soát truy cập vai trò phụ và là phương
pháp cung cấp kiểm soát chi tiết hơn đối với các
bước hoặc giai đoạn liên quan đến vai trò hoặc dự
soát án. Các kiểm soát này giúp dễ dàng duy trì các hạn
chế liên quan đến một vai trò hoặc nhiệm vụ cụ thể,
đặc biệt nếu những người khác nhau thực hiện vai

truy cập •
trò hoặc nhiệm vụ.
Thay vì liên tục phân công và thu hồi các đặc quyền
của nhân viên đến và đi, quản trị viên chỉ cần gán
quyền truy cập cho vai trò hoặc nhiệm vụ. Sau đó, khi
không người dùng được liên kết với vai trò hoặc nhiệm vụ
đó, họ sẽ tự động nhận được quyền truy cập tương
ứng. Khi công việc của họ kết thúc, họ sẽ bị xóa khỏi
vai trò hoặc nhiệm vụ và quyền truy cập bị thu hồi.
tùy ý • Vai trò có xu hướng kéo dài trong một thời gian và có
liên quan đến một vị trí, trong khi các nhiệm vụ có
nhiều chi tiết và ngắn hạn hơn nhiều. Trong một số tổ
chức các thuật ngữ được sử dụng đồng nghĩa.

18
Các loại
kiểm
soát
truy cập
 Theo National Institute of Standards
1. Kiểm and Technology (NIST)
• Một cách tiếp cận mới hơn đối với các
soát kiểm soát truy cập dựa trên ma trận là
các kiểm soát truy cập dựa trên thuộc

truy cập tính (attribute-based access controls-

ABAC).
Attribute-based access control (ABAC):
(Access là cách tiếp cận kiểm soát truy cập do tổ
chức chỉ định việc sử dụng các đối tượng
dựa trên một số thuộc tính của người
Control) dùng hoặc hệ thống.

20
1.1 Cơ chế kiểm soát truy cập (Access control mechanisms)
 Là một cơ chế mà các thực thể phải
1.1. Cơ chế cung cấp một mã định danh -
kiểm soát identifier (ID) để được hệ thống xác
truy cập thực.
Nhận dạng
(Identification)
Một số tổ chức sử dụng mã định danh
tổng hợp bằng cách nối các phần tử
(mã bộ phận, số ngẫu nhiên hoặc ký
tự đặc biệt) để tạo mã nhận dạng duy
nhất, hoặc tạo ID ngẫu nhiên

Hầu hết các tổ chức sử dụng một

phần thông tin duy nhất, như tên
đầy đủ hoặc họ và tên đầu tiên của
người dùng.

22
 • Xác thực là quá trình xác minh danh tính của
1.1. Cơ chế cá nhân hoặc thiết bị đang cố truy cập vào hệ
kiểm soát truy thống, nhằm đảm bảo chỉ những người dùng
cập hợp pháp mới có thể truy cập vào hệ thống
Xác thực • Cơ chế xác thực:
(Authentication) ✓ Cái bạn biết – something you know: password,
PIN
✓ Cái bạn có – something you have: ATM
✓ Cái thuộc về bạn - something you are: khuôn
mặt, vân tay, giọng nói.

23
 Xác thực Thảo
(Authentication) luận Vấn đề gia tăng
something you số lượng user
know
name & password
của mỗi cá nhân?

Vấn đề ghi nhớ

password?

24
 1.1. Cơ chế • Là sự thiết lập quyền giữa một thực
kiểm soát truy thể được xác thực và một danh sách
các tài sản thông tin và các mức độ
cập truy cập tương ứng. Danh sách này
Phân quyền thường là một ACL hoặc ma trận kiểm
(Authorization) soát truy cập (access control matrix).

25
 1.1. Cơ chế kiểm soát truy cập
Phân quyền (Authorization)

Cách thức phân quyền Nội dung

▪ Phân quyền cho mỗi người dùng
▪ Phân quyền cho các thành viên trong
nhóm
▪ Xác minh từng thực thể
▪ cấp quyền truy cập vào tài nguyên
▪ So sánh (match) các thực thể được
xác thực với danh sách thành viên
nhóm.
▪ Cấp quyền truy cập vào các tài
nguyên dựa trên quyền truy cập của
nhóm.

▪ Phân quyền cho nhiều hệ thống ▪ Hệ thống xác thực và phân quyền
trung tâm xác minh danh tính của
một thực thể và cấp quyền.

26
 1.1. Cơ chế • Chứng nhận phân quyền
kiểm soát truy (Authorization credentials) –
cập phiếu phân quyền
Phân quyền (authorization tickets), được cấp
(Authorization) bởi một người có thẩm quyền
và được tất cả các hệ thống
công nhận.

27
 Đảm bảo rằng tất cả các hành
động trên một hệ thống (được
phân quyền hoặc không được
1.1. Cơ chế phân quyền) có thể được gán
kiểm soát truy cho một danh tính được xác
cập thực.
Cơ chế truy vết
(Accountability
– Auditability)
Thực hiện bằng phương tiện
nhật ký hệ thống, nhật ký cơ sở
dữ liệu và kiểm toán các hồ sơ.

28
1. Kiểm soát truy cập - Access control.

1. 1 Cơ chế kiểm soát truy cập (Access

control mechanisms)
1.2. Sinh trắc học (Biometrics)
1.3. Các mô hình kiến trúc kiểm soát truy cập
(Access control architecture models)
 1.2. Sinh trắc học
(Biometrics)

Kiểm soát truy cập bằng

sinh trắc học (Biometric
Các công nghệ xác thực
access control): sử dụng Dấu vân tay
sinh trắc học bao gồm:
các đặc điểm sinh học để
xác thực và nhận dạng.

Dấu lòng bàn tay (palm Hình học tay (hand Nhận dạng khuôn mặt bằng
print) geometry) thẻ ID có hình ảnh

Nhận dạng khuôn mặt bằng

Mẫu mống mắt (retinal) Võng mạc (iris pattern)
máy ảnh kỹ thuật số.

30
1.2. Sinh trắc
học
(Biometrics)

31
 Trong số các sinh trắc học, có ba
đặc điểm thường được xem là duy
nhất của con người:

1.2. Sinh Dấu vân tay

trắc học
(Biometrics)
Võng mạc mắt

Mống mắt

32
1.2. Sinh trắc Phải cân bằng giữa khả năng
chấp nhận của hệ thống an toàn
học đối với người dùng và tính hữu
Khả năng hiệu của nó trong việc duy trì sự
chấp nhận an toàn.
sinh trắc học
Nhiều hệ thống sinh trắc học có
độ tin cậy và hữu hiệu cao bị
người dùng coi là có thể xâm
nhập.

Do đó, theo nhiều chuyên gia an

toàn thông tin thì không nên thực
hiện các hệ thống này để tránh đối
đầu và có thể bị người dùng tẩy
chay các kiểm soát sinh trắc học.

33
 1. Kiểm soát truy cập - Access control.

1. 1 Cơ chế kiểm soát truy

cập (Access control
mechanisms)
1.2. Sinh trắc học (Biometrics)
1.3. Các mô hình kiến trúc
kiểm soát truy cập (Access
control architecture models)
 1.3. Mô
hình kiến
trúc kiểm
• Những mô hình này minh họa sự triển
soát truy khai kiểm soát truy cập và giúp các tổ
cập chức nhanh chóng gia tăng triển khai
thông qua việc sửa đổi.
(Access
Control
Architecture
Models)

35
 1.3. Mô hình kiến trúc kiểm soát truy cập

Mô hình

Mô hình
Mô hình
truyền
mới
thống
- Bell-LaPadula Confidentiality
Model
- Biba Integrity Model
TCSEC’s Trusted The Information The Common - Clark-Wilson Integrity Model
Computing Base Technology SystemCriteria for - Graham-Denning Access Control
Evaluation CriteriaInformation Model
(ITSEC) Technology - Harrison-Ruzzo-Ullman Model
Security - Brewer-Nash Model (Chinese
Evaluation Wall)
36
 • Tường lửa: Trong bảo mật thông tin,
sự kết hợp giữa phần cứng và phần
mềm có chức năng lọc hoặc ngăn
thông tin cụ thể di chuyển giữa mạng
2. Tường •
bên ngoài và mạng bên trong.
Tường lửa có thể là một hệ thống máy
lửa tính riêng biệt, dịch vụ phần mềm
chạy trên bộ định tuyến hoặc máy chủ
hoặc một mạng riêng có chứa một số
(Firewalls) thiết bị hỗ trợ.
• Phân loại tường lửa: theo chế độ xử lý,
thời đại phát triển hoặc cấu trúc.

37
 Loại tường lửa Đặc điểm
Packet-filtering firewalls Thiết bị mạng kiểm tra tiêu đề
thông tin của các gói dữ liệu đi
vào một mạng và xác định xem

2. Tường lửa nên từ chối hay cho phép chuyển

tiếp đến kết nối mạng tiếp theo
dựa trên các quy tắc cấu hình của
theo chế độ nó.
Application layer proxy Một thiết bị có khả năng hoạt
xử lý firewalls động như một tường lửa và
application layer proxy server
(Firewall Media access control layer
firewalls
Tường lửa được thiết kế hoạt
động ở lớp con kiểm soát truy
Processing cập phương tiện của lớp liên
kết dữ liệu mạng (Lớp 2).
Hybrids
Modes) Tường lửa kết hợp kết hợp các
yếu tố của các loại tường lửa
khác: yếu tố của bộ lọc gói,
proxy lớp ứng dụng và tường
lửa lớp kiểm soát truy cập
phương tiện.

38
 Trước đây, các tổ chức đã cung cấp
các kết nối từ xa độc quyền thông
3. Bảo vệ kết qua các dịch vụ quay số như: Dịch
nối từ xa vụ xác thực từ xa - Remote
Authentication Service (RAS).
(Protecting
Remote
Khi các kết nối Internet tốc độ cao
Connections) đã trở thành xu hướng, các tùy
chọn khác như mạng riêng ảo (VPN)
đã trở nên phổ biến hơn.

39
 ❖ VPN: Một mạng riêng tư an toàn hơn mạng công
cộng. VPN ẩn nội dung của các thông điệp trên mạng
khỏi những người quan sát có quyền truy cập vào
mạng công cộng.
❖ VPN là sự triển khai của công nghệ mã hóa, mạng dữ
liệu riêng sử dụng cơ sở hạ tầng viễn thông công cộng
3. Bảo vệ kết để tạo phương tiện liên lạc riêng thông qua giao thức
đường hầm (tunneling protocol) kết hợp với quy
nối từ xa - trình bảo mật.
– VPN được sử dụng để gia tăng an toàn trong kết
Mạng riêng ảo nối giữa hệ thống mạng nội bộ của tổ chức với
các địa điểm khác.
– Có ba công nghệ VPN: VPN đáng tin cậy (Trust
(Virtual Pirate VPN), VPN an toàn (secure VPN) và VPN lai
(hybrid).
Networks) ❖ Đường hầm là một khái niệm quan trọng của VPN, cho
phép các công ty có thể tạo ra các mạng ảo dựa trên
hệ thống mạng công cộng. Đường hầm cung cấp một
kết nối logic điểm đến trên hệ thống mạng Internet
hoặc các mạng công cộng khác. Để dữ liệu được truyền
an toàn trên mạng, một giải pháp được đưa ra là mã
hoá dữ liệu trước khi truyền. Dữ liệu truyền trong
đường hầm chỉ có thể được đọc bởi người nhận và
người gửi. Đường hầm tạo cho VPN có tính chất riêng
tư trên mạng.

40
 Điều kiện để VPN đảm bảo an toàn và tin cậy
3. Bảo vệ kết trong môi trường mạng công cộng:
➢ Đóng gói (Encapsulation) dữ liệu đến và đi:
nối từ xa giao thức gốc (native protocol) của máy
khách được nhúng trong các khung của một
Mạng riêng ảo giao thức có thể được định tuyến qua mạng
công cộng và có thể sử dụng được bởi môi
VPNs (đọc trường mạng máy chủ.
➢ Mã hóa (Encryption) dữ liệu đến và đi: để
thêm) giữ riêng tư nội dung dữ liệu khi truyền qua
mạng công cộng, nhưng máy khách và máy
(Virtual Pirate chủ có thể sử dụng được.
Networks) ➢ Xác thực (Authentication) máy tính (remote
computer) và người dùng từ xa: xác thực và
phân quyền người dùng để thực hiện các
hành động cụ thể được xác định dựa trên
nhận dạng chính xác và đáng tin cậy của hệ
thống và người dùng từ xa.

41
 Kiểm soát truy cập - Access control.
Nội dung
Tường lửa – Firewall.

Bảo vệ kết nối từ xa - Protecting remote

connections.

Kiểm soát truy cập vật lý – Physical Access

control

4.1. Kiểm soát an toàn vật lý – Physical

security control
• Sự đánh chặn dữ liệu – Interception of data.
• An toàn hệ thống di động - Securing Mobile and
Portable Systems.

6.1. An toàn máy tính từ xa

• Những cân nhắc đặc biệt cho an toàn vật lý - Special

considerations for physical security.
 Chính sách an toàn vật lý hướng dẫn người dùng
cách sử dụng phù hợp tài nguyên máy tính và tài
Giới sản thông tin, bảo vệ sự an toàn trong các hoạt
động hàng ngày.

thiệu An toàn vật lý được thiết kế và triển khai theo

nhiều lớp. Mỗi bên có lợi ích liên quan trong đơn vị
chịu trách nhiệm về các thành phần trong các lớp
kiểm soát này:

1. Ban quản lý chung: Chịu trách nhiệm an toàn của

cơ sở hoạt động (facility) và các chính sách và tiêu
chuẩn để vận hành an toàn

2. Quản lý IT và chuyên gia: Chịu trách nhiệm an toàn

môi trường và an toàn truy cập tại các vị trí đặt
thiết bị công nghệ và các chính sách, tiêu chuẩn
chi phối hoạt động an toàn của thiết bị.

3. Ban quản lý và các chuyên gia an toàn thông tin:

Chịu trách nhiệm đánh giá rủi ro và xem xét các kiểm
soát an toàn vật lý do hai nhóm trên thực hiện.

43
 4. Kiểm Kiểm soát truy cập vật lý là các
soát truy biện pháp quản lý sự di chuyển
của mọi người trong các cơ sở
cập vật lý vật chất của tổ chức, kiểm soát
quyền truy cập vật lý của họ
vào các nguồn lực của công ty.

Một số công nghệ được sử

dụng để kiểm soát truy cập vật
lý: sinh trắc học, thẻ thông
minh và thẻ khóa hỗ trợ không
dây (wireless-enabled keycards)

44
 Ban quản lý chung của một tổ chức giám
4. Kiểm sát an toàn vật lý của tổ chức đó.

soát truy
cập vật lý Kiểm soát của một tòa nhà được điều
hành bởi một nhóm gọi là ban quản lý
cơ sở vật chất.

Ban quản lý cơ sở vật chất: Các khía

cạnh của quản lý tổ chức tập trung vào
việc phát triển và bảo trì các tòa nhà và
cơ sở hạ tầng vật chất của nó.

Các tổ chức lớn hơn có thể có toàn bộ

nhân viên chuyên trách quản lý cơ sở vật
chất, trong khi các tổ chức nhỏ hơn
thường thuê ngoài làm nhiệm vụ này.

45
 Trong quản lý cơ sở vật chất,
4. Kiểm thuật ngữ cơ sở an toàn
soát truy (secure facility) được hiểu là:
Vị trí thực tế có các biện
cập vật lý pháp kiểm soát để giảm
thiểu nguy cơ bị tấn công
từ các mối đe dọa vật lý.
→ Có thể sử dụng địa hình tự
nhiên, luồng giao thông cục
bộ và sự phát triển xung
quanh cùng với các cơ chế
bảo vệ như hàng rào, cổng,
tường, bảo vệ và báo động.

46
 4. Kiểm • Chiến lược phòng thủ sâu: tạo nhiều
lớp phòng thủ, bao gồm các lớp bảo
vệ cho địa điểm của cơ sở, đường vào
soát truy khuôn viên của địa điểm và nhiều lớp
kiểm soát truy cập vật lý cần thiết để
cập vật lý truy cập thông tin.

47
 Một Tường, hàng rào và cổng
4.1. Kiểm soát số
an toàn vật lý thủ Bảo vệ
(Physical tục
Security kiểm Sử dụng chó nghiệp vụ
Controls) soát
Thẻ định danh và phù hiệu
chính:
Ổ khóa và chìa khóa

Bẫy (mantrap)

Giám sát điện tử

Báo động và hệ thống báo động

Phòng máy tính và tủ điện

Tường và cửa nội bộ

48
Quan sát trực tiếp (direct
observation)
Thông tin sẽ dễ bị quan sát
ở những nơi không kiểm
soát tốt.
Đối thủ cạnh tranh có thể
dễ dàng đánh chặn
(intercept) thông tin quan
trọng tại nhà của một nhân
viên hơn là tại một văn
phòng an toàn.
Solution:
- xóa thông tin nhạy
cảm khỏi văn phòng
hoặc được yêu cầu
thực hiện an ninh chặt
chẽ tại nhà.
- Thực hiện các cơ chế
an toàn vật lý.
Đánh chặn truyền dữ liệu
(interception of data
transmissions)
Kẻ tấn công truy cập
phương tiện truyền dữ liệu.
Sử dụng PM do thám để
thu thập dữ liệu.
Truy cập vào mạng LAN
Solution:
- Kiểm tra vật lý định kỳ tất
cả các cổng dữ liệu để đảm
bảo rằng không xảy ra các
thao tác trái phép.
- Sử dụng cáp quang
chống nghe lén.
- Mã hóa thông tin.
Đánh chặn điện từ
(electromagnetic
interception)
Có thể nghe trộm những tín
hiệu điện từ - 5. Sự đánh chặn dữ
electromagnetic signals
(EM), do đó xác định dữ liệu
được truyền trên cáp mà
liệu
không cần thực sự khai thác
chúng.
Gần đây, các nhà khoa học
(Interception of Data)
đã xác định rằng một số thiết
bị có màn hình light-
emitting diode (LED) thực
sự phát ra thông tin được mã
Có ba phương pháp đánh
hóa dưới dạng ánh sáng
xung trong các đèn LED này. •
chặn dữ liệu: quan sát trực
tiếp, đánh chặn việc truyền
dữ liệu và đánh chặn điện
từ.
49
 5. Sự đánh chặn dữ liệu
(Interception of Data)
• Phương pháp thứ hai, đánh chặn việc truyền dữ liệu, trở nên dễ dàng hơn trong
thời đại Internet. Nếu kẻ tấn công có thể truy cập phương tiện truyền dữ liệu,
chúng không cần phải ở bất kỳ đâu gần nguồn thông tin. Trong một số trường
hợp, kẻ tấn công có thể sử dụng phần mềm thám thính để thu thập dữ liệu.
• Các phương tiện đánh chặn khác, như: truy cập vào mạng LAN, yêu cầu một số
khoảng cách gần với máy tính hoặc mạng của tổ chức. Điều quan trọng là các
quản trị viên mạng phải tiến hành kiểm tra vật lý định kỳ tất cả các cổng dữ liệu
để đảm bảo rằng không xảy ra các thao tác trái phép. Nếu quan ngại về khả năng
nghe lén trực tiếp, tổ chức nên xem xét sử dụng cáp quang; khó kết nối và có khả
năng chống va đập tốt hơn. Nếu sử dụng mạng LAN không dây, tổ chức nên quan
tâm về việc nghe trộm vì kẻ tấn công có thể rình mò từ một vị trí có thể cách tòa
nhà của tổ chức rất xa, tùy thuộc vào sức mạnh của các điểm truy cập không dây –
wireless access points (WAP). Vì mạng LAN không dây rất dễ bị nghe trộm và các
thiết bị dò tìm không dây hiện nay là những công cụ rất mạnh, tất cả các thông
tin liên lạc không dây phải được bảo mật thông qua mã hóa.

50
 6. An toàn hệ thống di động
(Securing Mobile and Portable Systems)
Hầu hết các hệ thống máy tính di động gồm máy tính xách tay, máy
tính bảng và điện thoại thông minh, chứa thông tin kết hợp có giá trị
được lưu trữ bên trong và một số được định cấu hình để tạo điều kiện
cho người dùng truy cập vào các cơ sở máy tính an toàn của tổ chức.
• Ưu điểm và hạn chế của thiết bị di động trong ghi nhớ tên người dùng
và mật khẩu?
→ nhược điểm của các thiết bị di động là: mất thiết bị có nghĩa là mất
cơ chế kiểm soát truy cập.

51
 6.1. An toàn máy tính từ xa
(Remote Computing Security)

Telecommuting (làm việc từ xa): Một sự sắp xếp công việc trong đó
nhân viên làm việc từ một vị trí bên ngoài và kết nối điện tử với thiết bị
của tổ chức.
Máy tính điều khiển từ xa (remote site computing), ngày càng trở nên
phổ biến, liên quan đến nhiều loại máy tính bên ngoài cơ sở chính của
tổ chức, bao gồm tất cả các hình thức kết nối làm việc từ xa.
Virtual organization (tổ chức ảo): Một nhóm người đến từ các tổ chức,
bộ phận hoặc các phòng ban khác nhau.

52
 6.1. An toàn máy tính từ xa
(Remote Computing Security)

Ưu điểm và hạn chế của làm việc từ xa?

• Một trong những ưu điểm của làm việc từ xa là: nhân viên có thể
tránh phải đi lại vất vả và có nhiều thời gian hơn để tập trung vào
công việc của họ. Tuy nhiên, khi ngày càng có nhiều người trở thành
người làm việc từ xa (telecommuters), rủi ro đối với thông tin luân
chuyển qua các kết nối thường không an toàn.
• Để bảo mật toàn bộ mạng: tổ chức phải triển khai bảo mật để bảo
vệ các kết nối tại nhà. Ví dụ: sử dụng mạng riêng ảo (VPN) để bảo vệ
dữ liệu trong quá trình truyền tải vì nhân viên làm việc từ xa thường
lưu trữ dữ liệu văn phòng trên hệ thống tại nhà của họ, trong tủ
đựng hồ sơ tại nhà và trên các phương tiện khác.

53
 6.1. An toàn máy tính từ xa
(Remote Computing Security)

• Để đảm bảo quy trình an toàn, các máy tính mà nhân viên làm việc
từ xa sử dụng phải được bảo mật hơn hệ thống của tổ chức,
• Nhân viên làm việc từ xa phải sử dụng một thiết bị bảo mật với hệ
điều hành được cấu hình để yêu cầu xác thực mật khẩu.
• Họ phải lưu trữ tất cả dữ liệu trong tủ hồ sơ có khóa và phương tiện
trong khóa két sắt. Họ phải xử lý dữ liệu ở nhà cẩn thận hơn so với ở
văn phòng (vì mức độ bảo mật chung cho các ngôi nhà thấp hơn so
với một tòa nhà thương mại).

54
 7. Cân nhắc Đặc biệt về An toàn Vật lý
(Special Considerations for Physical Security)

• Một xem xét an toàn vật lý khác là tấn công phi kỹ thuật (social
engineering). Tấn công phi kỹ thuật liên quan đến việc sử dụng các
kỹ năng của con người để lấy thông tin bí mật từ nhân viên.
– Hầu hết các kẻ tấn công phi kỹ thuật thích sử dụng điện thoại
hoặc máy tính để thu thập thông tin.
– Một số cố gắng truy cập thông tin trực tiếp hơn.

55
Một số vấn
đề về an
ninh mạng https://youtu.be/hkyoNT4gmCo
hiện nay
https://youtu.be/ORS9DPKJlks

https://youtu.be/i0iLy8racHI

https://whitehat.vn/ (trang web

về an ninh mạng)