Bài giảng An toàn thông tin - Chương 1: Những vấn đề cơ bản về an toàn thông tin

pdf 77 trang ngocly 40
Download
Bạn đang xem 20 trang mẫu của tài liệu "Bài giảng An toàn thông tin - Chương 1: Những vấn đề cơ bản về an toàn thông tin", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfbai_giang_an_toan_thong_tin_chuong_1_nhung_van_de_co_ban_ve.pdf

Nội dung text: Bài giảng An toàn thông tin - Chương 1: Những vấn đề cơ bản về an toàn thông tin

  1. Chương 1 Những vấn đề cơ bản về an tồn thơng tin 1/30/2002 An toan thong tin _CH1 1
  2. 1. Thơng tin • Định nghĩa: Thơng tin là những tính chất xác định của vật chất mà con người (hoặc hệ thống kỹ thuật) nhận được từ thế giới vật chất bên ngồi hoặc từ những quá trình xảy ra trong bản thân nĩ. • Thơng tin tồn tại một cách khách quan, khơng phụ thuộc vào hệ thụ cảm. 1/30/2002 An toan thong tin _CH1 2
  3. 2. Khái niệm hệ thống và tài nguyên thơng tin • Khái niệm hệ thống: Hệ thống là một tập hợp các máy nh gồm thành phần phần cứng, phần mềm và dữ liệu làm việc được ch luỹ qua thời gian. • Tài nguyên thơng tin:  Phần cứng  Phần mềm  Dữ liệu  Mơi trường truyền thơng giữa các máy nh  Mơi trường làm việc  Con ngừời 1/30/2002 An toan thong tin _CH1 3
  4. 3. Các mối đe doạ đối với một hệ thống TT và các biện pháp ngăn chặn • Phá hoại: Phá hỏng thiết bị phần cứng hoặc phần mềm trên hệ thống. • Sửa đổi: Tài sản của hệ thống bị sửa đổi trái phép. • Can thiệp: Tài sản bị truy cập bởi những người khơng cĩ thẩm quyền. Các hành vi : Đánh cắp mật khẩu , ngăn chặn,mạo danh 1/30/2002 An toan thong tin _CH1 4
  5. Cĩ ba loại đối tượng chính khai thác • Inside :các đối tượng từ bên trong hệ thống , đây là những người cĩ quyền truy cập hợp pháp đối với hệ thống • Outside: hacker , cracker . • Phần mềm : Virut, spyware,mainware và các lỗ hổng phần mềm : SQL injnection 1/30/2002 An toan thong tin _CH1 5
  6. 4. Các biện pháp ngăn chặn: Thường cĩ 3 biện pháp ngăn chặn: • Thơng qua phần mềm: Sử dụng các thuật tốn mật mã học tại các cơ chế an tồn bảo mật của hệ thống mức hệ điều hành. • Thơng qua phần cứng: Sử dụng các hệ MM đã được cứng hĩa . • Thơng qua các chính sách AT& BM Thơng tin do tổ chức ban hành nhằm đảm bảo an tồn bảo mật của hệ thống. 1/30/2002 An toan thong tin _CH1 6
  7. Tại sao ? • Thiếu hiểu biết và kinh nghiệm để bảo vệ dữ liệu • An tồn là một lãnh vực phát triển cao trong cơng nghệ TT, nhu cầu về nguồn nhân lực trong lĩnh vực này đang tăng lên rất nhanh • Liên quan đến nghề nghiệp của bạn • Sự phát triển cơng nghệ thơng tin 1/30/2002 An toan thong tin _CH1 7
  8. 5.An tồn thơng tin là gì • An tồn thơng tin bao hàm một lĩnh vực rộng lớn các hoạt động trong một tổ chức. Nĩ bao gồm cả những sản phẩm và những quy trình nhằm ngăn chặn truy cập trái phép, hiệu chỉnh, xĩa thơng tin, kiến thức, dữ liệu. • Mục đích là đảm bảo một mơi trường thơng tin tin cậy , an tồn và trong sạch cho mọi thành viên và tổ chức trong xã hội 1/30/2002 An toan thong tin _CH1 8
  9. 6. Nguyên tắc , mục tiêu và chung của an tồn bảo mật thơng tin Hai nguyên tắc của an tồn bảo mật thơng tin: • Việc thẩm định về bảo mật phải đủ khĩ và cần nh tới tất cả các nh huống , khả năng tấn cơng cĩ thể được thực hiện. • Tài sản phải được bảo vệ cho tới khi hết gía trị sử dụng hoặc hết ý nghĩa bí mật. 1/30/2002 An toan thong tin _CH1 9
  10. Tính chất của hệ thống thơng tin • Nguồn thơng tin là những tài sản rất cĩ giá trị của một tổ chức.Thậm chí mang tính sống cịn. • Sự yếu kém và dễ bị tấn cơng của các hệ thống thơng tin. • Nhiều vấn đề về an ninh cần phải quan tâm, từ đĩ cĩ một lý do chính đáng để thay đổi phương thức bảo mật thơng tin, mạng, máy tính của bạn 1/30/2002 An toan thong tin _CH1 10
  11. Mục tiêu của An tồn Thơng tin • Bí mật - CONFIDENCIAL • Tồn vẹn – INTEGRITY,Tính xác thực - AUTHORITY • Sẵn sàng - AVAIBILITY C I A THƠNG TIN – ĐỐI TƯỢNG CỦA CÁC CUỘC TẤN CƠNG 1/30/2002 An toan thong tin _CH1 11
  12. 7. Các thành phần chính của ATTT • An tồn mức vật lý. • An tồn mức tác nghiệp. • Quản lý và chính sách. Physical Hình 1 - Tam giác an tồn thơng tin Operational Management 1/30/2002 An toan thong tin _CH1 12
  13. 7.1.An tồn vật lý • An tồn ở mức vật lý là sự bảo vệ tài sản và thơng tin của bạn khỏi sự truy cập vật lý khơng hợp lệ . • Đảm bảo an tồn mức vật lý tương đối dễ thực hiện . • Biện pháp bảo vệ đầu tiên là làm sao cho vị trí của tổ chức càng ít trở thành mục tiêu tấn cơng càng tốt . • Biện pháp bảo vệ thứ hai phát hiện và ngăn chặn các kẻ đột nhập hay kẻ trộm : camera , t/b chống trộm. • Biện pháp bảo vệ thứ ba là khơi phục những dữ liệu hay hệ thống cực kỳ quan trọng bị trộm hay mất mát. 1/30/2002 An toan thong tin _CH1 13
  14. Thao tác an tồn • Thao tác an tồn liên quan những gì mà một tổ chức cần thực hiện để đảm bảo một chính sách an tồn . Thao tác này bao gồm cả hệ thống máy tính, mạng, hệ thống giao tiếp và quản lý thơng tin. Do đĩ thao tác an tồn bao hàm một lãnh vự rộng lớn và vì bạn là một chuyên gia an tồn nên bạn phải quan tâm trực tiếp đến các lãnh vực này. 1/30/2002 An toan thong tin _CH1 14
  15. 7.2.Quy trình thao tác an tịan • Vấn đề đặt ra cho thao tác an tồn gồm : • Kiểm sốt truy cập, • Chứng thực, • An tồn topo mạng sau khi việc thiết lập mạng • Các thao tác an tồn trên đây khơng liên quan đến việc bảo vệ ở mức vật lý và mức thiết kế 1/30/2002 An toan thong tin _CH1 15
  16. Quy trình thao tác an tồn • Sự kết hợp của tất cả các quá trình, các chức năng và các chính sách bao gồm cả yếu tố con người và yếu tố kỹ thuật. • Yếu tố con người tập trung vào các chính sách được thực thi trong tổ chức. • Yếu tố kỹ thuật bao gồm các cơng cụ mà ta cài đặt vào hệ thống. • Quá trình an tồn này được chia thành nhiều phần và được mơ tả dưới đây: 1/30/2002 An toan thong tin _CH1 16
  17. Quy trình an tồn (cont.) a. Phần mềm chống virus • Virus máy tính là và vấn đề phiền tối nhất • Các phương thức chống virus mới ra đời cũng nhanh tương tự như sự xuất hiện của chúng • File chống virus được cập nhận mỗi hai tuần một lần hay lâu hơn. Nếu các file này cập nhật thường xuyên thì hệ thống cĩ thể là tương đối an tồn. • Phát hiện và diệt virut trực tuyến 1/30/2002 An toan thong tin _CH1 17
  18. Quy trình an tồn (cont.) b. Kiểm sốt truy cập  Kiểm sốt truy cập bắt buộc (MAC – Mandatory Access Control):Cách truy cập tĩnh, sử dụng một tập các quyền truy cập được định nghĩa trước đối với các file trong hệ thống.  Kiểm sốt truy cập tự do (DAC – Discretionary Access Control) : Do chủ tài nguyên cấp quyền thiết lập một danh sách kiểm sốt truy cập ( ACL – Access Control List ) .  Kiểm sốt truy cập theo vai trị ( chức vụ ) ( RBAC – Role Based Access Control ) : Truy cập với quyền hạn được xác định trước trong hệ thống, quyền hạn này căn cứ trên chức vụ của người dùng trong tổ chức 1/30/2002 An toan thong tin _CH1 18
  19. c. Chứng thực (authentication)  Chứng minh “ Tơi chính là tơi chứ khơng phải ai khác “  Là một phần quan trọng trong ĐỊNH DANH và CHỨNG THỰC ( Identification & Authentication – I &A). Ba yếu tố của chứng thực : . Cái bạn biết ( Something you know )– Mật mã hay số PIN . Cái bạn cĩ ( Something you have) – Một card thơng minh hay một thiết bị chứng thực . Cái bạn sở hữu ( Something you are) – dấu vân tay hay võng mạc mắt của bạn 1/30/2002 An toan thong tin _CH1 19
  20. Những phương thức chứng thực thơng dụng • Dùng username/Password :  Một tên truy cập và một mật khẩu là định danh duy nhất để đăng nhập . Bạn là chính bạn chứ khơng phải là người giả mạo Server sẽ so sánh những thơng tin này với những thơng tin lưu trữ trong máy bằng các phương pháp xử lý bảo mật và sau đĩ quyết định chấp nhận hay từ chối sự đăng nhập 1/30/2002 An toan thong tin _CH1 20
  21. Sử dụng Username/Password 1/30/2002 An toan thong tin _CH1 21
  22. Giao thức chứng thực CHAP – (Challenge HandShake Authentication Protocol ) : 1/30/2002 An toan thong tin _CH1 22
  23. Chứng chỉ : Certificate Authority (CA) 1/30/2002 An toan thong tin _CH1 23
  24. Bảo mật bằng token: 1/30/2002 An toan thong tin _CH1 24
  25. Phương pháp Kerberos : Kerberos cho phép một đăng nhập đơn vào mạng phân tán. (Trung tâm phân phối khĩa) 1/30/2002 An toan thong tin _CH1 25
  26. Chứng thực đa yếu tố: 1/30/2002 An toan thong tin _CH1 26
  27. Chứng thực bằng thẻ thơng minh (Smart card): 1/30/2002 An toan thong tin _CH1 27
  28. Chứng thực bằng sinh trắc học : • Nhận dạng cá nhân bằng các đặc điểm riêng biệt của từng cá thể. • Hệ thống sinh trắc học gồm các thiết bị quét tay, quét võng mạc mắt, và sắp tới sẽ cĩ thiết bị quét DNA • Để cĩ thể truy cập vào tài nguyên thì bạn phải trải qua quá trình nhận dạng vật lý 1/30/2002 An toan thong tin _CH1 28
  29. Những vấn đề thực tế • Phù hợp với trình độ và năng lực của nhân viên và hệ thống. • Khơng nên tiêu tốn nhiều thời gian và tiền bạc vào những hệ thống an tồn phức tạp khi chưa cĩ một chính sách an tồn phù hợp. ••Hãy cẩn thận với khuynh hướng sử dụng những username thơng dụng và những mật khẩu dễ đốn như :”123” hoặc “ abcd” • Sử dụng chứng thực và đảm bảo an tồn đa yếu tố gồm một thẻ thơng minh và mật khẩu. 1/30/2002 An toan thong tin _CH1 29
  30. • Cĩ rất nhiều vần đề khác phải quan tâm,đĩ là:  Tính dễ bị tấn cơng của hệ thống .  Các điểm yếu của hệ thống.  Khơng tương xứng của những chính sách an tồn.  Vấn đề kết nối Internet :Khi mạng kết nối với Internet thì nĩ sẽ trở thành một đối tượng tiềm năng cho các cuộc tấn cơng . 1/30/2002 An toan thong tin _CH1 30
  31. 7.3. Quản trị và các chính sách • Cung cấp những hướng dẫn, những quy tắc , và những quy trình để thiết lập một mơi trường thơng tin an tồn . • Để những chính sách bảo mật phát huy hết hiệu quả thì ta phải cĩ sự hỗ trợ tồn diện và triệt để từ phía các nhà quản lý trong tổ chức. 1/30/2002 An toan thong tin _CH1 31
  32. Một số chính sách quan trọng • Chính sách nhà quản trị • Yêu cầu thiết kế • Kế hoạch khơi phục sau một biến cố • Chính sách thơng tin • Chính sách an tồn • Chính sách về cách sử dụng • Chính sách quản lý người dùng 1/30/2002 An toan thong tin _CH1 32
  33. a.Chính sách nhà quản trị • Trình bày đường lối chỉ đạo và những quy tắc , quy trình cho việc nâng cấp, theo dõi, sao lưu, và kiếm tốn (Audit) . b.Nhu cầu thiết kế • Khả năng cần phải cĩ của hệ thống để đối phĩ với các rủi ro về an tồn . Những nhu cầu này là rất căn bản trong phần thiết kế ban đầu và nĩ cĩ ảnh hưởng rất lớn đến các giải pháp được sử dụng • Những chính sách này mơ tả thật rõ ràng về các nhu cầu bảo mật 1/30/2002 An toan thong tin _CH1 33
  34. c.Kế hoạch khơi phục sau biến cố ( DRP- Disaster Recovery Plans ) • Một trong những vấn đề nhức đầu nhất mà các chuyên gia CNTT phải đối mặt • Tốn rất nhiều tiền để thực hiện việc kiểm tra,sao lưu,thiết lập hệ thống dự phịng để giữ cho hệ thống hoạt động liên tục. • Hầu hết các cơng ty lớn đều đầu tư một số tiền lớn vào kế hoạch khơi phục bao gồm việc sao lưu dữ liệu hay những lập“điểm nĩng”. • “Điểm nĩng” là một nơi được thiết kế để cung cấp các dịch vụ nhanh chĩng và thuận tiện nhất khi cĩ sự cố xảy ra như hệ thống hay mạng bị sập. 1/30/2002 An toan thong tin _CH1 34
  35. d.Chính sách thơng tin • Truy suất, phân loại, đánh dấu và lưu trữ, dự chuyển giao hay tiêu huỷ những thơng tin nhạy cảm. • Sự phát triển của chính sách thơng tin là sự đánh giá chất lượng an tồn thơng tin. 1/30/2002 An toan thong tin _CH1 35
  36. e. Chính sách bảo mật • Cấu hình hệ thống và mạng tối ưu : cài đặt phần mềm, phần cứng và các kết nối mạng. • Xác định và ủy quyền. Định rõ việc điều khiển truy cập, kiểm tốn, và kết nối mạng. • Các phần mến mã hĩa và chống virus đuợc sữ dụng để thực thi những chính sách này. • Thiết lập các chức năng hay các phương thức dùng để lựa chọn mật mã, sự hết hạn của mật mã, nổ lực truy cập bất hợp pháp và những lĩnh vực liên quan. 1/30/2002 An toan thong tin _CH1 36
  37. f.Chính sách về sử dụng • Thơng tin về nguồn tài nguyên được sử dụng như thế nào với mục đích gì? • Những quy định về cách sử dụng máy tính: đăng nhập , mật khẩu,an tồn vật lý nơi làm việc • Những quy định về sự riêng tư, quyền sở hữu và những hậu quả khi cĩ những hành động khơng hợp pháp. • Cách sử dụng Internet và Email. 1/30/2002 An toan thong tin _CH1 37
  38. g. Quản lý người dùng • Các định các thao tác được thực hiện ở những trường hợp bình thường trong hoạt động của nhân viên. • Cách ứng xử với các nhân viên mới được kết nạp thêm vào hệ thống. • Hướng dẫn và định hướng cho nhân viên,điều này cũng quan trọng tương tự như khi ta cài đặt và cấu hình một thiết bị mới. 1/30/2002 An toan thong tin _CH1 38
  39. Mục đích của an tồn thơng tin • Mục đích của ATTTnĩi ra rất dễ nhưng thực hiện nĩ thì khơng đơn giản. • Mục đích của an tồn thơng tin rất rõ ràng và nĩ được lập thành một bộ khung để cĩ thể căn cứ vào đĩ phát triển và duy trì một kết hoạch bảo vệ an tồn thơng tin 1/30/2002 An toan thong tin _CH1 39
  40. Mục đích: a. Phịng ngừa : • Nhằm ngăn chặn các hành động xâm phạm máy tính hay thơng tin một cách phạm pháp. • Thiết lập các chính sách và các chức năng của hệ thống an tồn nhằm giảm thiểu nguy cơ bị tấn cơng • Chính sách ngăn chặn càng tốt thì mức thành cơng của các cuộc tấn cơng càng thấp 1/30/2002 An toan thong tin _CH1 40
  41. b. Phát hiện : • Xác định các sự kiện khi nĩ đang thực hiện. Trong nhiều trường hợp việc phát hiện này rất khĩ thực hiện • Để phát hiện cĩ thể sử dụng một vài cơng cụ đơn giản hoặc phức tạp hay chỉ là việc kiểm tra các logfile • Thực hiện liên tục • Là một phần trong chính sách và chức năng bảo đảm an tồn thơng tin của bạn. 1/30/2002 An toan thong tin _CH1 41
  42. c. Đáp trả • Phát triển các chiến lược và kỹ thuật để cĩ thể giải quyết các cuộc tấn cơng hay mất mát dữ liệu • Việc phát triển một hệ thống đáp trả thích hợp bao gồm nhiều yếu từ đơn giản đến phức tạp • Nên cĩ những chức năng và phương thức cho việc khơi phục lại sau khi bị tấn cơng hơn là cố gắng tạo ra những cái cao siêu. 1/30/2002 An toan thong tin _CH1 42
  43. 1.6.Các dịch vụ và các giao thức • Mỗi dịch vụ và giao thức được sử dụng sẽ làm tăng tính dễ bị tấn cơng của hệ thống và làm cho xuất hiện các vấn đề tiềm năng về an ninh trong hệ thống. • Hàng ngày người ta tìm được những lổ hỗng mới cho các dịch vụ và giao thức được sử dụng phổ biến trong hệ thống mạng máy tính. 1/30/2002 An toan thong tin _CH1 43
  44. Các giao thức và dịch vụ thơng dụng: • Mail : Khơng an tồn • Web : Khơng an tồn • Telnet : Khơng được bảo vệ • FTP –Khơng cĩ mã hố S/FTP • NNTP-Network News Tranfer Protocol • DSN-Domain Name Service DNS attack • ICMP : Ping khơng an tồn 1/30/2002 An toan thong tin _CH1 44
  45. Những giao thức và dịch vụ khơng thiết yếu •FTP •Dịch vụ NetBIOS • •UNIX RPC TFTP ( Trivial File Tranfer •NFS Protocol ) •X Services • Netmeeting •R Services, ví dụ • như rlogin, rexec Remote Control System) •Telnet •SNMP ( Simple Network Management Protocol ) 1/30/2002 An toan thong tin _CH1 45
  46. 1.7.An tồn Topology mạng Xác định trong quá trình thiết kế và thực thi mạng Bốn nội dung chính cần quan tâm • Mục đích của thiết kế • Vùng bảo mật • Topology mạng • Những yêu cầu kinh doanh 1/30/2002 An toan thong tin _CH1 46
  47. a. Mục đích của thiết kế Mục đích : Đảm bảo tính bí mật, tính tồn vẹn, tính hiệu lực, và khả năng chịu trách nhiệm • Tính bí mật : Ngăn cản hay hạn chế truy cập trái phép hoặc tiết lộ bí mật thơng tin, dữ liệu • Tính tồn vẹn: Đảm bảo dữ liệu đang làm việc khơng bị thay đổi so với với dữ liệu gốc • Tính sẵn sàng: Đảm bảo hệ thống sẵn sàng đối phĩ với mọi tình huống • Chịu trách nhiệm :Ai chịu trách nhiệm trước mọi hoạt động của hệ thống 1/30/2002 An toan thong tin _CH1 47
  48. b. Vùng bảo mật • Cách ly hệ thống của chúng ta với những hệ thống hay mạng khác • Cách ly hệ thống khỏi những người truy cập khơng hợp lệ • Là một nội dung quan trọng khi thiết kế mạng 1/30/2002 An toan thong tin _CH1 48
  49. Tổng quan về mạng : Bốn vùng bảo mật thơng dụng: • Internet • Intranet • Extranet • DMZ (Demilitarized Zone – khu phi quân sự ) 1/30/2002 An toan thong tin _CH1 49
  50. Internet 1/30/2002 An toan thong tin _CH1 50
  51. Intranet 1/30/2002 An toan thong tin _CH1 51
  52. Extranet 1/30/2002 An toan thong tin _CH1 52
  53. DMZ : Dùng để đặt một máy chủ cơng cộng , mọi người cĩ thể truy cập vào 1/30/2002 An toan thong tin _CH1 53
  54. Thiết kế vùng bảo mật Mơ hình mẫu : 1/30/2002 An toan thong tin _CH1 54
  55. c. Thiết kế vùng bảo mật : Cơng nghệ: VLAN , NAT, Tunneling • VLAN : Cho phép dấu các segment để những segment khác khơng thấy được • Kiểm sốt được các truy cập trong các segment • NAT : Network Address Transfer • Tunneling : Vitual Private Network 1/30/2002 An toan thong tin _CH1 55
  56. VLAN 1/30/2002 An toan thong tin _CH1 56
  57. NAT • Cung cấp khả năng duy nhất để truy nhập vào hệ thống mạng được bảo vệ • NAT cho phép dùng một địa chỉ đơn để hiển thị trên Internet thay cho các địa chỉ trong mạng cục bộ • Máy chủ NAT cung cấp các địa chỉ IP cho các máy chủ hay các hệ thống trong mạng, và nĩ ghi lại các lưu thơng ra vào mạng • Dùng NAT để đại diện cho tất cả các kết nối trong mạng cục bộ qua một kết nối đơn 1/30/2002 An toan thong tin _CH1 57
  58. NAT 1/30/2002 An toan thong tin _CH1 58
  59. Tunneling • Đường hầm là khả năng tạo ra một kết nối ảo giữa hai hệ thống hay giữa hai mạng. • Đường hầm được tạo giữa hai điểm cuối bằng cách đĩng gĩi dữ liệu trong một giao thức truyền tin với sự thoả thuận của hai bên. • Sử dụng mật mã giúp giao thức tunel cĩ khả năng bảo vệ dữ liệu một cách an tồn (VPN) 1/30/2002 An toan thong tin _CH1 59
  60. Tunneling 1/30/2002 An toan thong tin _CH1 60
  61. 9.QUẢN LÝ RỦI RO • Xác định rủi ro , sử dụng các giải pháp bảo vệ nhằm giảm thiểu rủi ro và xác định độ rủi ro cĩ thể chấp nhận được (rủi ro dư thừa ) trong hệ thống. • Đánh giá tổn thất cĩ thể xảy ra trong quá trình sử dụng hoặc phụ thuộc vào hệ thống TT • Phân tich các mối đe dọa tiềm năng và các điểm yếu co thể gây tổn thất cho HTTT. • Lựa chọn các giải pháp và các phương tiện tối ưu nhằm giảm thiểu rủi ro đến mức độ cho phép. 1/30/2002 An toan thong tin _CH1 61
  62. 1/30/2002 An toan thong tin _CH1 62
  63. Những vấn đề cần giải quyết : • Giá trị của thơng tin (value of information) : Cần phải bảo vệ cái gì ? Lưu ý : Khơng phải bảo vệ tài nguyên (resource) mà là bảo vệ thơng tin . • Các mối đe dọa (hiểm họa) : TT cĩ giá trị cần được bảo vệ khỏi cái gì ? và xác xuất tác động của hiểm họa. • Tác động : Loại tác đơng nào sẽ phá hoại thơng tin khi xảy ra hiểm họa – tác động ở đâu , như thế nào ? : VD : Lộ thơng tin , thay đổi thơng tin trong quá trình trao đổi TT • Hậu quả : Hậu quả xảy ra khi hiểm họa : VD khi thụt hố ga sẽ bị gãy chân. • Biện pháp khắc phục hiểm họa . • Rủi ro tồn đọng : Múc rủi ro sau khí đưa ra các giải pháp bảo vệ , cĩ chấp nhận hay khơng mức rủi ro này. 1/30/2002 An toan thong tin _CH1 63
  64. • Trên đường cĩ hố ga khơng đậy nắp Hiểm họa • Cĩ người bị thụt hố rủi ro Xác xuất ? Ảnh hưởng của các hiểm họa khác “Mải nhìn người đẹp” • Bị va đập vào đầu tác động • Chấn thương sọ não , tử vong Oâi người đẹp làm Hâu quả sao !! • Đậy nắp hố ga lại Biện pháp • Nắp hố ga cĩ đảm bảo khơng ? (độ dày ,kết cấu ) rủi ro tồn đọng Chấp nhận hay khơng? 1/30/2002 An toan thong tin _CH1 64
  65. Mối lo lắng của doanh nghiệp • Hiểu rõ về tình trạng an tồn của tổ chức? • Bắt đầu từ đâu ? Câu trả lời khơng đơn giản • Phải làm gì ? : Xác định tài sản, đánh giá tồn diện về rủi ro, xác định các mối đe dọa, tiên liệu các khả năng bị tấn cơng , các chính sách an tồn • Giúp cho giám đốc hiểu được họ đang đối mặt với những vấn đề gì, hiệu quả như thế nào nếu tập trung giả quyết các yếu tố này 1/30/2002 An toan thong tin _CH1 65
  66. Mối lo lắng của doanh nghiệp 1/30/2002 An toan thong tin _CH1 66
  67. 1.Xác định tài sản : • Mỗi doanh nghiệp hay tổ chức điều cĩ những tài sản hay tài nguyên cĩ giá trị. • Các tài sản phải được kiểm tốn cả về mặt vật lý lẫn chức năng. • Quá trình xác định tài sản là quá trình đánh giá giá trị của các thơng tin và hệ thống tại một nơi cụ thể. • Sự ước lượng các loại tài sản vật lý là một quá trình kiểm tốn thơng thường mà một doanh nghiệp phải làm. 1/30/2002 An toan thong tin _CH1 67
  68. Xác định tài sản • Xác định giá trị thơng tin • Xác định chức năng của nĩ và các thức tiếp cận thơng tin • Dễ dàng hơn trong việc đưa ra các phương án sự bảo vệ cho thơng tin đĩ. 1/30/2002 An toan thong tin _CH1 68
  69. 2.Đánh giá phân tích về rủi ro • Cĩ nhiều cách đánh giá hay phân tích những rủi ro. • Việc đánh giá và phân tích rủi ro này được sắp xếp từ những phương thức khoa học cho đến việc đàm phán với người sở hữu thơng tin. • Phải xác định được chi phí cần thiết cho việc thay thế những dữ liệu và hệ thống bị đánh cắp, chi phí cho thời gian ngừng, hay tất cả những gì mà ta cĩ thể tưởng tượng ra được đối với các rủi ro. 1/30/2002 An toan thong tin _CH1 69
  70. 3.Xác định hiểm hoạ • Phải tiên liệu được các các mối đe dọa bên trong và bên ngồi đối với mạng và dữ liệu. • Thật chẳng hiệu quả nếu ta cung cấp một mơi trường bảo vệ cơng ty khỏi các mối đe dọa bên ngồi trong khi hầu hết các đe dọa đều xuất từ bên trong • Hiểm hoạ từ bên trong cĩ thể là nhân viên giả dạng, sự lạm dụng quyền hạn, sự thay đổi dữ liệu và đánh cắp tài sản một nguy cơ tiềm ẩn. 1/30/2002 An toan thong tin _CH1 70
  71. Các hiểm nguy Trộm cắp Tham ô Phá hoại Gián điệp 1/30/2002 An toan thong tin _CH1 71
  72. Các mối đe dọa từ bên trong : • Gây nhiều tác hại nhất : Chiếm 70% • Điều quan trọng là biết cách tìm ra và cách loại các mối đe dọa bên trong, đây là mấu chốt trong cơng việc bảo mật thơng tin máy tính. 1/30/2002 An toan thong tin _CH1 72
  73. Các mối đe dọa từ bên ngồi • Các mối đe dọa từ bên ngồi đang tăng với tốc độ báo động. • Sử dụng trực tuyến cơ sở dữ liệu, giao dịch tài chính , chi trả tiền lương, ký gửi hàng hĩa , kiểm kê, và các thơng tin quản lý quan trọng khác . • Kết nối với những hệ thống thơng tin hợp tác, bí mật thương mại, và rất nhiều thơng tin giá trị khác. 1/30/2002 An toan thong tin _CH1 73
  74. Phương thức tấn cơng dễ dàng • Những cơng cụ tự động tìm kiếm mục tiêu và tấn cơng vào hệ thống thơng qua những lỗ hổng của nĩ. • Cĩ rất nhiều cơng cụ tấn cơng . Khơng cần phải là một chuyên gia về kỹ thuật cũng cĩ thể trở thành một hacker. • Cĩ rất nhiều hệ thống máy tính bị tấn cơng nhiều lần bằng những phương thức giống nhau do những kẻ tị mị thực hiện hay những tội phạm đang cố thực hiện hành động phạm pháp của mình. 1/30/2002 An toan thong tin _CH1 74
  75. 9 .Nhiệm vụ của quản trị an tồn mạng (Chief Security Officer) • Dự báo , phân tích các rủi ro • Phịng ngừa • Phát hiện các cuộc tấn cơng • Chống trả • Hỗ trợ cho các nhân viên pháp luật điều tra 1/30/2002 An toan thong tin _CH1 75
  76. Những nơi dễ bị tấn cơng • Sử dụng username và password • Giao thức TCP/IP • Các phần mềm cĩ giao diện đồ họa, dễ dàng cấu hình nảy sinh vấn đề bảo mật • Email cho phép đính kèm các file thực thi. 1/30/2002 An toan thong tin _CH1 76
  77. Kết thúc chương 1 1/30/2002 An toan thong tin _CH1 77