1. Trang chủ
  2. » Tất cả

Bài giảng An toàn và bảo mật thông tin Trường đại học Thương Mại

31 3 0
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 31
Dung lượng 908,3 KB

Nội dung

Microsoft PowerPoint ATBMTT [Compatibility Mode] Bộ môn CNTT ‐ Khoa HTTT Kinh tế & TMĐT 8/7/2017 Bài giảng An toàn bảo mật thông tin 1 Trường Đại học Thương mại Khoa HTTT Kinh tế và THMĐT Bộ môn Công[.]

Bộ mơn CNTT ‐ Khoa HTTT Kinh tế & TMĐT 8/7/2017 Mục đích u cầu Trường Đại học Thương mại • Mục đích học phần Khoa HTTT Kinh tế THMĐT – Cung cấp kiến thức an toàn bảo mật thông tin cho HTTT doanh nghiệp – Cung cấp thông tin nguy công phương pháp đảm bảo an tồn cho hệ thống thơng tin doanh nghiệp – Giới thiệu số ứng dụng công nghệ đảm an tồn bảo mật thơng tin doanh nghiệp Bộ môn Công nghệ thông tin Bài giảng iả học h phần: hầ An toàn bảo mật thông tin Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT Mục đích yêu cầu (t) Cấu trúc học phần • Yêu cầu cần đạt • Học phần gồm tín (45 tiết) phân phối sau: – Nắm vững kiến thức an tồn bảo mật thơng tin doanh nghiệp – Có kiến thức nguy công và phương pháp đảm bảo an tồn cho hệ thống thơng tin doanh nghiệp – Sử dụng số ứng dụng có việc đảm bảo an tồn thơng tin doanh nghiệp Bộ mơn CNTT - Khoa HTTT Kinh tế & TMĐT – Nội dung lý thuyết thảo luận 45 tiết (15 buổi) – Thời gian: • 10 tuần lý thuyết, • tuần tập kiểm tra • buổi thảo luận Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT Nội dung học phần Nội dung học phần (t) • Chương Tổng quan • Chương 1: Tổng quan ATBM thông tin • Chương 2: Các hình thức cơng rủi ro hệ thống • Chương 3: Các phương pháp phịng tránh phục hồi • Chương 4: Ứng dụng an tồn bảo mật thơng tin – Khái niệm chung an tồn bảo mật thơng tin • • • • An tồn bảo mật thơng tin Vai trị an tồn bảo mật thơng tin Nguy phân loại nguy Phòng tránh phục hồi thông tin – Mục tiêu yêu cầu an tồn bảo mật thơng tin • Mục tiêu • u cầu quy trình chung • Mơ hình an tồn sách bảo mật – Chính sách pháp luật nhà nước • Luật, nghị định ATBM thơng tin Việt Nam • Luật sách ATBM thơng tin quốc tế • Định hướng phát triển ATBM thông tin Việt Nam Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT Bài giảng: An tồn bảo mật thơng tin Bộ mơn CNTT - Khoa HTTT Kinh tế & TMĐT Bộ môn CNTT ‐ Khoa HTTT Kinh tế & TMĐT 8/7/2017 Nội dung học phần (tt) Nội dung học phần (ttt) • Chương 2: Các hính thức cơng rủi ro hệ thống • Chương 3: Các phương pháp phòng tránh phục hồi – 2.1 Tổng quan công hệ thống thông tin – 3.1 Các phương thức phịng tránh • 2.1.1 Khái niệm cơng phân loại • 2.1.2 Một số phương thức cơng thụ động • 2.1.3 Một số phương thức cơng chủ động • • • • – 2.2 Rủi ro đánh giá rủi ro cho hệ thống thông tin • 2.2.1 Khái niệm rủi ro hệ thống • 2.2.2 2 Xác định rủi ro đánh giá • 2.2.3 Các chiến lược phương thức kiểm sốt rủi ro – 3.2 Phịng tránh mã hóa • • • • – 2.2 Các hình thức cơng vào HTTT DN Việt Nam • 2.2.1 Tội phạm cơng nghệ cao Việt Nam • 2.2.2 Các mối đe dọa HTTT doanh nghiệp • 2.2.3 Các kiểu cơng vào HTTT doanh nghiệp 3.2.1 Các khái niệm liên quan đến mã hóa 3.2.2 Thuật tốn mã hóa ứng dụng 3.2.3 Các thuật tốn mã hóa đối xứng 3.2.4 Các thuật tốn mã hóa khơng đối xứng – 3.3 Một số biện pháp phục hồi – 2.3 Những xu hướng cơng tương lai • 3.3.1 Biện pháp phục hồi liệu văn • 3.3.2 Biện pháp phục hồi liệu phi văn • 3.3.3 Biện pháp phục hồi hệ thống • 2.3.1 Xu hướng cơng kỹ thuật • 2.3.2 Xu hướng cơng phi kỹ thuật • 2.3.3 Xu hướng từ phương tiện truyền thông xã hội Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT 3.1.1 Phòng tránh mức vật lý 3.1.2 Phòng tránh mức hệ điều hành mạng 3.1.3 Phòng tránh mức liệu 3.1.4 Phòng tránh sách giáo dục Bộ mơn CNTT - Khoa HTTT Kinh tế & TMĐT Tài liệu tham khảo Nội dung học phần (tttt) • Chương 4: Ứng dụng an tồn bảo mật thơng tin – 4.1 Sử dụng chữ ký điện tử • 4.1.1.Khái niệm hoạt động • 4.1.2.Ứng dụng chứng thực điện tử – 4.2 Phát lỗ hổng bảo mật • 4.2.1 Phát lỗ hổng phần mềm ứng dụng • 4.2.2 2 Phát lỗ hổng hệ điều hành – 4.3 Sử dụng chứng thực số • 4.3.1 Sử dụng chứng thực cá nhân • 4.3.2 Sử dụng chứng thực doanh nghiệp – 4.4 An tồn bảo mật phương tiện truyền thơng • 4.4.1 Các phương tiện truyền thông xã hội • 4.4.2 Những nguy giải pháp cho người dùng Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT An tồn bảo mật thơng tin Vai trị an tồn bảo mật thơng tin Nguy phân loại nguy Phòng tránh phục hồi thơng tin • Mục tiêu u cầu an tồn bảo mật thơng tin – M Mục tiêu tiê – u cầu quy trình chung – Mơ hình an tồn sách bảo mật • Chính sách pháp luật nhà nước – Luật, nghị định ATBM thông tin Việt Nam – Luật sách ATBM thơng tin quốc tế – Định hướng phát triển ATBM thông tin Việt Nam Bài giảng: An tồn bảo mật thơng tin Bộ mơn CNTT - Khoa HTTT Kinh tế & TMĐT 10 Đặt vấn đề ‐ Những hội kỷ nguyên số? ‐ Những thách thức với tổ chức, doanh nghiệp? ‐ Những vấn đề đặt với con người? ‐… • Khái niệm chung an toàn bảo mật thông tin Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT 1) Bộ mơn CNTT, Giáo trình An tồn liệu thương mại điện tử,, Đại học Thương Mại, NXB Thống kê, 2009 2) Phan Đình Diệu, Lý thuyết mật mã an tồn thơng tin, Đại học Quốc gia Hà Nội, NXB ĐHQG, 1999 3) William Stallings, Cryptography and Network Security Principles and Practices, Fourth Edition, Prentice Hall, 2008 4) Man Young Rhee Internet Security: Cryptographic principles, algorithms and protocols John Wiley & Sons, 2003 5) David Kim, Michael G Solomon, Fundamentals of Information Systems Security, Jones & Bartlettlearning, 2012 6) Michael E Whitman, Herbert J Mattord, Principles of information security, 4th edition, Course Technology, Cengage Learning, 2012 7) Matt Bishop, Introduction to Computer Security, Prentice Hall, 2004 Chương I: TỔNG QUAN VỀ AN TOÀN BẢO MẬT THÔNG TIN – – – – 11 Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT 12 Bộ môn CNTT ‐ Khoa HTTT Kinh tế & TMĐT 8/7/2017 Chương 1: TỔNG QUAN VỀ AN TỒN BẢO MẬT THƠNG TIN Khái niệm chung an tồn bảo mật thơng tin Chương 1: TỔNG QUAN VỀ AN TỒN BẢO MẬT THƠNG TIN Khái niệm an tồn bảo mật thơng tin  • Khái niệm ATTT – An tồn bảo mật thơng tin – Vai trị an tồn bảo mật thơng tin – Nguy phân loại nguy – Phịng tránh phục hồi thơng tin Bộ mơn CNTT - Khoa HTTT Kinh tế & TMĐT – ATTT gì? – Bảo mật TT gì? • Ví dụ ụ – Hỏng hóc máy tính – Sao chép liệu trái phép – Giả mạo –… 13 • Bảo mật hệ thống gì? • Khái niệm HTTT An tồn – Đảm bảo tính bí mật – Đảm bảo tính tồn vẹn – Đảm bảo tính sẵn sàng – Đảm bảo an tồn thơng tin – Đảm Đả bảo bả hệ thống thố có ó khả hoạt động liên tục – Đảm bảo khả phục hồi • Bảo mật HTTT gì? – Các cơng cụ? – Các biện pháp? – Thực nào? 15 Chương 1: TỔNG QUAN VỀ AN TỒN BẢO MẬT THƠNG TIN Các vùng cần đảm bảo an tồn thơng tin trong HTTT – – – – – – – 14 Chương 1: TỔNG QUAN VỀ AN TỒN BẢO MẬT THƠNG TIN Bảo mật hệ thống thơng tin  Chương 1: TỔNG QUAN VỀ AN TỒN BẢO MẬT THƠNG TIN Khái niệm HTTT an tồn Bộ mơn CNTT - Khoa HTTT Kinh tế & TMĐT Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT 16 Chương 1: TỔNG QUAN VỀ AN TỒN BẢO MẬT THƠNG TIN Các vùng cần đảm bảo an tồn thơng tin HTTT Vùng người dùng (User domain) Vùng máy trạm (Workstation domain) Vùng mạng LAN (LAN domain) Vùng LAN-to-WAN (LAN-to-WAN domain) Vùng WAN (WAN domain) Vùng truy nhập từ xa (Remote Access domain) Vùng hệ thống/ứng dụng (Systems/Applications domain) Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT Bài giảng: An tồn bảo mật thơng tin 17 Bộ mơn CNTT - Khoa HTTT Kinh tế & TMĐT 18 Bộ môn CNTT ‐ Khoa HTTT Kinh tế & TMĐT 8/7/2017 Chương 1: TỔNG QUAN VỀ AN TỒN BẢO MẬT THƠNG TIN Vai trị an tồn bảo mật thơng tin  • • • • • Chương 1: TỔNG QUAN VỀ AN TỒN BẢO MẬT THƠNG TIN Nguy an tồn bảo mật thơng tin  Vì ATBM TT có vai trị quan trọng ? Giá trị thông tin? Lợi cạnh tranh tổ chức ? Uy tín thương hiệu phát triển? … Bộ mơn CNTT - Khoa HTTT Kinh tế & TMĐT • Nguy phân loại nguy – Nguy gì? – Phân loại nguy • Ngẫu nhiên • Có chủ định – Ngun nhân? – Xu hướng? 19 Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT 20 Chương 1: TỔNG QUAN VỀ AN TỒN BẢO MẬT THƠNG TIN Nguy an tồn bảo mật thơng tin  Chương 1: TỔNG QUAN VỀ AN TỒN BẢO MẬT THƠNG TIN Nguy an tồn bảo mật thơng tin  Ví dụ nguy xem xét hệ thống từ https://www.complianceforge.com (2016) • Nguy DN nay: – Từ yếu tố kỹ thuật ? – Do lập kế hoạch, triển khai, thực thi, vận hành ? – Do quy trình, sách an ninh bảo mật ? – Do yếu tố người ? – Do hạ tầng CNTT? Hạ tầng truyền thông? – Do thảm hoạ từ thiên nhiên người Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT 21 Chương 1: TỔNG QUAN VỀ AN TỒN BẢO MẬT THƠNG TIN Khái niệm chung an tồn bảo mật thơng tin Bộ mơn CNTT - Khoa HTTT Kinh tế & TMĐT 22 Chương 1: TỔNG QUAN VỀ AN TỒN BẢO MẬT THƠNG TIN Khái niệm chung an tồn bảo mật thơng tin • Thống kê 09/2014 http://www.edelman.com US Internet Crime Complaint Centre Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT Bài giảng: An tồn bảo mật thơng tin 23 Bộ mơn CNTT - Khoa HTTT Kinh tế & TMĐT 24 Bộ mơn CNTT ‐ Khoa HTTT Kinh tế & TMĐT 8/7/2017 Chương 1: TỔNG QUAN VỀ AN TỒN BẢO MẬT THƠNG TIN Khái niệm chung an tồn bảo mật thơng tin  Chương 1: TỔNG QUAN VỀ AN TỒN BẢO MẬT THƠNG TIN Khái niệm chung an tồn bảo mật thơng tin  • Phịng tránh gì? – Khái niệm – Biện pháp thực • Kỹ thuật • Phi kỹ thuật – Xu hướng nay? • Về kỹ thuật • Về sách người? Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT 25 Chương 1: TỔNG QUAN VỀ AN TỒN BẢO MẬT THƠNG TIN Khái niệm chung an tồn bảo mật thơng tin  Bộ mơn CNTT - Khoa HTTT Kinh tế & TMĐT Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT 26 Chương 1: TỔNG QUAN VỀ AN TỒN BẢO MẬT THƠNG TIN Khái niệm chung an tồn bảo mật thơng tin  27 Chương 1: TỔNG QUAN VỀ AN TỒN BẢO MẬT THƠNG TIN Khái niệm chung an tồn bảo mật thông tin  Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT 28 Chương 1: TỔNG QUAN VỀ AN TỒN BẢO MẬT THƠNG TIN Mục tiêu u cầu an tồn bảo mật thơng tin • Mục tiêu ATBM TT • Khắc phục – Phát nguy – Nghiên cứu biện pháp ngăn chặn – Nghiên cứu cài đặt biện pháp phục hồi – Khắc phục gì? – Vì cần khắc phục? – Nguyên tắc chung để khắc phuc? – Các biện pháp kỹ thuật? Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT Bài giảng: An tồn bảo mật thơng tin 29 Bộ mơn CNTT - Khoa HTTT Kinh tế & TMĐT 30 Bộ môn CNTT ‐ Khoa HTTT Kinh tế & TMĐT 8/7/2017 Chương 1: TỔNG QUAN VỀ AN TỒN BẢO MẬT THƠNG TIN Mục tiêu u cầu an tồn bảo mật thơng tin Chương 1: TỔNG QUAN VỀ AN TỒN BẢO MẬT THƠNG TIN Mục tiêu u cầu an tồn bảo mật thơng tin • - • Đảm bảo HTTT bảo mật Yêu cầu: Mức tổ chức ? Mức cá nhân ? Mức vật lý ? Phần cứng ? Phần mềm ? Hệ thống mạng ? – – – – Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT Phát vi phạm tính bí mật? Phát vi phạm tính tồn vẹn? Phát vi phạm tính sẵn sàng? Phát gian lận giao dịch? 31 Chương 1: TỔNG QUAN VỀ AN TỒN BẢO MẬT THƠNG TIN Mục tiêu u cầu an tồn bảo mật thơng tin Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT 32 Chương 1: TỔNG QUAN VỀ AN TỒN BẢO MẬT THƠNG TIN Mục tiêu u cầu an tồn bảo mật thơng tin Quy trình chung đảm bảo an tồn hệ thống • Mơ hình bảo mật theo chiều sâu Xác định – Từ vào – Từ mức thấp đến mức cao – Từ mức tổng quát đến chi tiết Đánh giá Lựa chọn giải pháp Giám sát rủi ro Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT 33 Chương 1: TỔNG QUAN VỀ AN TỒN BẢO MẬT THƠNG TIN Mục tiêu u cầu an tồn bảo mật thơng tin Bộ mơn CNTT - Khoa HTTT Kinh tế & TMĐT 34 Chương 1: TỔNG QUAN VỀ AN TỒN BẢO MẬT THƠNG TIN Mục tiêu u cầu an tồn bảo mật thơng tin Bên thứ ba đáng tin • Các mức bảo vệ mơ hình theo chiều sâu Thơng tin bí mật Chuyển đổi liên quan đế đến an tồn Thơng báo Kênh thơng tin thơ ti Thơng báo an to ồn Thơng báo – Các biện pháp? – Kỹ thuật? – Phương pháp thực hiện? – Chính sách tổ chức? Thơng báo an to ồn Bên nhận Chuyển đổi liên quan đế đến an tồn Thơng tin bí mật Đối thủ Mơ hình an tồn truyền thơng tin Bộ mơn CNTT - Khoa HTTT Kinh tế & TMĐT Bài giảng: An tồn bảo mật thơng tin 35 Bộ mơn CNTT - Khoa HTTT Kinh tế & TMĐT 36 Bộ mơn CNTT ‐ Khoa HTTT Kinh tế & TMĐT 8/7/2017 Chương 1: TỔNG QUAN VỀ AN TỒN BẢO MẬT THƠNG TIN Chính sách pháp luật nhà nước an tồn bảo mật thơng tin Chương 1: TỔNG QUAN VỀ AN TỒN BẢO MẬT THƠNG TIN Mục tiêu u cầu an tồn bảo mật thơng tin • Luật nghị định ATBM TT Việt Nam • Chính sách bảo mật theo lớp – Luật số: 012/2017/QH14: Sửa đổi, bổ sung số điều luật hình số 100/2015/QH13 – Luật số: 086/2015/QH13: ATTT Mạng – Luật số: 104/2016/QH13: Tiếp cận thông tin – Luật số: 103/2016/QH13: Luật báo chí – Luật số: 051/2005/QH11: Luật giao dịch điện tử – Luật số: 041/2009/QH12: Luật viễn thông – Luật số: 059/2010/QH12: Luật bảo vệ người tiêu dùng – Luật số: 005/2011/QH13: Luật yếu – Luật số: 016/2012/QH13: Luật quảng cáo – Luật số: 067/2006/QH11: Luật Công nghệ thông tin – Lớp an ninh quan/tổ chức (Plant Security) • Lớp bảo vệ vật lý • Lớp sách & thủ tục đảm bảo ATTT – Lớp p an ninh mạng g ((Network Security) y) • Lớp an ninh cho thành phần mạng • Tường lửa, mạng riêng ảo (VPN) – Lớp an ninh hệ thống (System Security) • • • • Lớp tăng cường an ninh hệ thống Lớp quản trị tài khoản phân quyền người dùng Lớp quản lý vá cập nhật phần mềm Lớp phát ngăn chặn phần mềm độc hại Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT 37 Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT 38 Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT 39 Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT 40 Chương 1: TỔNG QUAN VỀ AN TỒN BẢO MẬT THƠNG TIN Chính sách pháp luật nhà nước an tồn bảo mật thơng tin • PART I: GENERAL PRINCIPLES • Tham khảo từ: http://www.right2info.org – Principles on National Security and the Right to Information (Các nguyên tắc cho an ninh quốc gia quyền thông tin) – Các nguyên tắc phát triển nhằm hướng dẫn người tham gia soạn thảo, sửa đổi thực thi luật pháp điều khoản liên quan đến thẩm quyền phủ để giữ lại thơng tin đảm bảo an ninh quốc gia để trừng phạt việc tiết lộ thông tin tổ chức, cá nhân Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT Bài giảng: An tồn bảo mật thơng tin Chương 1: TỔNG QUAN VỀ AN TỒN BẢO MẬT THƠNG TIN Chính sách pháp luật nhà nước an tồn bảo mật thơng tin 41 – Principle 1: Right to Information – Principle 2: Application of these Principles – Principle 3: Requirements for Restricting the Right to Information on National Security Grounds – Principle 3: Requirements for Restricting the Right to Information on National Security Grounds – Principle 5: No Exemption for Any Public Authority – Principle 6: Access to Information by Oversight Bodies – Principle 7: Resources – Principle 8: States of Emergency Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT 42 Bộ mơn CNTT ‐ Khoa HTTT Kinh tế & TMĐT 8/7/2017 Chương 1: TỔNG QUAN VỀ AN TỒN BẢO MẬT THƠNG TIN Chính sách pháp luật nhà nước an tồn bảo mật thơng tin • PART II: INFORMATION THAT MAY BE WITH HELD ON NATIONAL SECURITY GROUNDS, AND INFORMATION THAT SHOULD BE DISCLOSED • PART IIIA: RULES REGARDING LASSIFICATION AND DECLASSIFICATION OF INFORMATION – Principle 9: Information That Legitimately May Be Withheld – Principle 10: Categories of Information with a High Presumption or Overriding Interest in Favour of Disclosure • A Violations of International Human Rights and Humanitarian Law • B Safeguards for the Right to Liberty and Security of Person, the Prevention of Torture and Other Ill-treatment, and the Right to Life • C Structures and Powers of Government • D Decisions to Use Military Force or Acquire Weapons of Mass Destruction Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT 43 • E Surveillance Chương 1: TỔNG QUAN VỀ AN TỒN BẢO MẬT THƠNG TIN Chính sách pháp luật nhà nước an tồn bảo mật thơng tin • PART IIIB: RULES REGARDING HANDLING OF REQUESTS FOR INFORMATION – Principle 18: Duty to Consider Request Even if Information Has Been Classified – Principle 19: Duty to Confirm or Deny – Principle 20: Duty to State Reasons for Denial in Writing – Principle 21: Duty to Recover or Reconstruct Missing Information – Principle P i i l 22 22: D Duty t tto Di Disclose l P Parts t off D Documents t – Principle 23: Duty to Identify Information Withheld – Principle 24: Duty to Provide Information in Available Formats – Principle 25: Time Limits for Responding to Information Requests – Principle 26: Right to Review of Decision Withholding Information Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT 45 Chương 1: TỔNG QUAN VỀ AN TỒN BẢO MẬT THƠNG TIN Chính sách pháp luật nhà nước an tồn bảo mật thông tin – Principle 31: Establishment of Independent Oversight Bodies – Principle 32: Unrestricted Access to Information Necessary for Fulfillment of Mandate – Principle 33: Powers and Resources and Procedures Necessary to Ensure Access to Information – Principle 34: Transparency of Independent Oversight Bodies – Principle 35: Measures to Protect Information Handled by Security Sector Oversight Bodies – Principle 36: Authority of the Legislature to Make Information Public Bài giảng: An tồn bảo mật thơng tin – Principle 11: Duty to State Reasons for Classifying Information – Principle 12: Public Access to Classification Rules – Principle 13: Authority to Classify – Principle 14: Facilitating Internal Challenges to Classification – Principle 15: Duty to Preserve, Manage, and Maintain National Security Information – Principle 16: Time Limits for Period of Classification – Principle 17: Declassification Procedures Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT 44 Chương 1: TỔNG QUAN VỀ AN TỒN BẢO MẬT THƠNG TIN Chính sách pháp luật nhà nước an tồn bảo mật thơng tin • PART IV: JUDICIAL ASPECTS OF NATIONAL SECURITY AND RIGHT TO INFORMATION – Principle 27: General Judicial Oversight Principle – Principle 28: Public Access to Judicial Processes – Principle 29: Party Access to Information in Criminal Proceedings – Principle 30: Party Access to Information in Civil Cases Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT 46 Chương 1: TỔNG QUAN VỀ AN TỒN BẢO MẬT THƠNG TIN Chính sách pháp luật nhà nước an tồn bảo mật thơng tin • PART VI: PUBLIC INTEREST DISCLOSURE BY PUBLIC PERSONNEL • PART V: BODIES THAT OVERSEE THE SECURITY SECTOR Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT Chương 1: TỔNG QUAN VỀ AN TỒN BẢO MẬT THƠNG TIN Chính sách pháp luật nhà nước an tồn bảo mật thơng tin 47 – Principle 37: Categories of Wrongdoing – Principle 38: Grounds, Motivation, and Proof for Disclosures of Information Showing Wrongdoing – Principle 39: Procedures for Making and Responding to P t t d Disclosures Protected Di l Internally I t ll or to t Oversight O i ht Bodies B di – Principle 40: Protection of Public Disclosures – Principle 41: Protection against Retaliation for Making Disclosures of Information Showing Wrongdoing – Principle 42: Encouraging and Facilitating Protected Disclosures – Principle 43: Public Interest Defence for Public Personnel Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT 48 Bộ mơn CNTT ‐ Khoa HTTT Kinh tế & TMĐT 8/7/2017 Chương 1: TỔNG QUAN VỀ AN TỒN BẢO MẬT THƠNG TIN Chính sách pháp luật nhà nước an tồn bảo mật thơng tin • PART VII: LIMITS ON MEASURES TO SANCTION OR RESTRAIN THE DISCLOSURE OF INFORMATION TO THE PUBLIC • PART VIII: CONCLUDING PRINCIPLES – Principle 44: Protection against Penalties for Good Faith, Reasonable Disclosure by Information Officers – Principle 45: Penalties for Destruction of, or Refusal to Disclose, Information – Principle 46: Limitations on Criminal Penalties for the Disclosure of Information by Public Personnel – Principle 47: Protection against Sanctions for the Possession and Dissemination of Classified Information by Persons Who Are Not Public Personnel – Principle 48: Protection of Sources – Principle 49: Prior Restraint Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT Chương 1: TỔNG QUAN VỀ AN TỒN BẢO MẬT THƠNG TIN Chính sách pháp luật nhà nước an tồn bảo mật thơng tin – Principle 50: Relation of These Principles to Other Standards • ANNEX A: PARTNER ORGANIZATIONS 49 Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT Chương 1: TỔNG QUAN VỀ AN TỒN BẢO MẬT THƠNG TIN Chính sách pháp luật nhà nước an tồn bảo mật thơng tin • Định hướng phát triển ATBM TT Việt Nam – ATTTs trụ cột để phát triển CNTT, CPĐT… – ATTTs phận QPANQG – ATTTs ngành kinh tế công nghiệp, dịch vụ công nghệ cao – ATTTs lĩnh vực đặc thù ưu tiên sản phẩm, tổ chức nội địa – ATTTs lĩnh vực nóng đối ngoại – ATTTs nghiệp toàn xã hội Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT 50 Kết thúc chương I • Trình bày khái niệm an tồn thơng tin ? bảo mật hệ thống thơng tin? • Nêu phân tích vai trị ATBM TT DN? • Nguy gì? Trình bày loại nguy ATTT ? • Các nguy cơng vào HTTT DN ? • Mục tiêu an tồn bảo mật thơng tin? • Các u cầu an tồn bảo mật thơng tin? • Phân tích quy trình chung đảm bảo ATBM TT ? • Trình bày phân tích mơ hình truyền thơng tin an tồn? • Chính sách pháp luật Việt Nam với ATBM TT? • Chính sách pháp luật quốc tế đảm bảo ATTT? • Định hướng phát triển ATTT Việt Nam? • Vì ATTT BM hệ thống thông tin thiếu thời đại công nghệ số? 51 Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT Chương 2: Các hình thức cơng rủi ro hệ thống – 2.1 Tổng quan công hệ thống thông tin 52 Chương 2: Các hình thức cơng rủi ro hệ thống Tổng quan công hệ thống thơng tin • • • 2.1.1 Khái niệm cơng phân loại • 2.1.2 Một số phương thức cơng thụ động • 2.1.3 Một số phương thức công chủ động Khái niệm Phân loại – – – 2.2 Rủi ro đánh giá rủi ro cho hệ thống thông tin Đe dọa (Threat) Lỗ hổng (Vulnerability) • 2.2.1 Khái niệm rủi ro hệ thống • 2.2.2 Xác định rủi ro đánh giá • 2.2.3 Các chiến lược phương thức kiểm soát rủi ro – 2.2 Các hình thức cơng vào HTTT DN Việt Nam • 2.2.1 Tội phạm cơng nghệ cao Việt Nam • 2.2.2 Các mối đe dọa HTTT doanh nghiệp • 2.2.3 Các kiểu công vào HTTT doanh nghiệp – 2.3 Những xu hướng cơng tương lai • 2.3.1 Xu hướng cơng kỹ thuật • 2.3.2 Xu hướng cơng phi kỹ thuật • 2.3.3 Xu hướng từ phương tiện truyền thông xã hội Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT Bài giảng: An tồn bảo mật thơng tin 53 Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT 54 Bộ mơn CNTT ‐ Khoa HTTT Kinh tế & TMĐT 8/7/2017 Chương 2: Các hình thức công rủi ro hệ thống Tổng quan công hệ thống thông tin Chương 2: Các hình thức cơng rủi ro hệ thống Tổng quan công hệ thống thông tin Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT 55 Source code: mã nguồn • Programmer: lập trình viên • Software component: thành phần phần mềm • System integrator: nhân viên tích hợp hệ thống • System administrator: nhân viên quản trị hệ thống • Program version: phiên chương trình • Systems: các hệ thống • Network administrator: nhân viên quản trị mạng • Networks: các mạng • Security analyst: nhân viên phân tích an ninh • Vulnerability analyst: nhân viên phân tích lỗ hổng an  • Security flaw: khiếm khuyết an ninh • Vulnerability: lỗ hổng an ninh ninh HTTT Kinh tế & TMĐT viên phân tích vật 56 • Exploit: khai thác lỗ hổng an ninh Bộ mơn CNTT - Khoa • Artifact analyst: nhân Chương 2:  Các hình thức công rủi ro hệ thống Tổng quan công hệ thống thông tin Chương 2: Các hình thức cơng rủi ro hệ thống Tổng quan công hệ thống thông tin  Kịch      7 bước cơ bản của một cuộc tấn công hiện nay Thu thập thông tin Thu thập thông tin xa Tấn công Xâm nhập thành công Vui vẻ bổ ích  Ba kiểu phổ biến  Thu thập thông tin  Khai thác lỗ hổng  Tấn công từ chối dịch vụ (Dos) Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT 57 Chương 2: Các hình thức công rủi ro hệ thống Tổng quan công hệ thống thông tin Thăm dị Tìm hiểu và qt hệ thống Chiếm quyền Duy trì điều khiển, khai thác Xóa dấu vết và kết thúc Bộ mơn CNTT - Khoa HTTT Kinh tế & TMĐT 58 Chương 2: Các hình thức cơng rủi ro hệ thống Tổng quan công hệ thống thông tin • Tấn công thụ động – Khái niệm – Đặc điểm – Các phương thức thực – Ngăn chặn – Môi trường Nghe trộm đường truyền Dữ liệu truyền từ Bob ‐> Alice , Darth nghe trộm không thay đổi liệu Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT Bài giảng: An tồn bảo mật thơng tin 59 Bộ mơn CNTT - Khoa HTTT Kinh tế & TMĐT 60 10 Bộ môn CNTT ‐ Khoa HTTT Kinh tế & TMĐT 8/7/2017 Xác thực đa nhân tố HT Ibanking HP Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT 97 Câu hỏi chương 99 Chương 3: Các phương pháp phòng tránh phục hồi Quy trình chung để phịng tránh phục hồi • 98 Chương 3: Các phương pháp phịng tránh phục hồi • Tấn cơng gì? Phân loại kiểu cơng vào hệ thống thơng tin? • Tấn cơng thụ động gì? Đặc điểm phương thức thực hiện? • Tấn cơng chủ động gì? Đặc điểm phương thức thực hiện? • Rủi ro hệ thống gì? Trình bày cách xác định đánh giá rủi ro HTTT theo chuẩn ISO 27005:2013? • Các Cá bước b triển t iể khai kh i hệ thống thố ISMS Việt Nam? N ? • Các hình thức cơng vào HTTT nay? • Vì ngày hình thức cơng tinh vi khó phát hiện? • Các xu hướng cơng kỹ tht? • Các xu hướng cơng phi kỹ thuật? • Nhưng chúng có nguy cá nhân tổ chức tham gia sử dung phương tiện truyền thông xã hội? Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT – 3.1 Các phương thức phòng tránh • • • • 3.1.1 Phòng tránh mức vật lý 3.1.2 Phòng tránh mức hệ điều hành mạng 3.1.3 Phịng tránh mức liệu 3.1.4 Phịng tránh sách giáo dục – 3.2 Phòng tránh mã hóa • • • • 3.2.1 Các khái niệm liên quan đến mã hóa 3.2.2 Thuật tốn mã hóa ứng dụng 3.2.3 Các thuật tốn mã hóa đối xứng 3.2.4 Các thuật tốn mã hóa khơng đối xứng – 3.3 Một số biện pháp phục hồi • 3.3.1 Biện pháp phục hồi liệu văn • 3.3.2 Biện pháp phục hồi liệu phi văn • 3.3.3 Biện pháp phục hồi hệ thốn Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT 100 Chương 3: Các phương pháp phòng tránh phục hồi Thẩm định rủi ro hệ thống Quy trình chung • • • • • • Bước 1: Thành lập phận chuyên trách Bước 2: Thu thập thông tin Bước 3: Thẩm định tính rủi ro hệ thống B 4: Bước Xây Xâ dựng d giải iải pháp há Bước 5: Thực giáo dục Bước 6: Tiếp tục kiểm tra, phân tích thực Bộ mơn CNTT - Khoa HTTT Kinh tế & TMĐT Bài giảng: An tồn bảo mật thơng tin 101 Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT 102 17 Bộ môn CNTT ‐ Khoa HTTT Kinh tế & TMĐT 8/7/2017 Chương 3: Các phương pháp phịng tránh phục hồi Quy trình hoạt động hệ thống bảo mật Chương 3: Các phương pháp phòng tránh phục hồi Chiến lược chung thực • • • • • • Bộ mơn CNTT - Khoa HTTT Kinh tế & TMĐT 103 Giới hạn quyền hạn tối thiểu (Least Privilege) Bảo vệ theo chiều sâu (Defence In Depth) Kiểm soát nút thắt (Choke Points) Phát điểm nối yếu (Weakest Link) Giải pháp há toàn t cục (Global (Gl b l IIntegrated) t t d) Sử dụng đa dạng bảo vệ (Diversified protection) Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT 104 Chương 3: Các phương pháp phòng tránh phục hồi Chương 3: Các phương pháp phòng tránh phục hồi Các phương thức phòng tránh Các phương thức phịng tránh vật lý • Phịng tránh mức vật lý – Sử dụng hệ thống thiết bị vật lý – Sử dụng thiết bị dị tìm báo động – Các biện pháp vật lý thông dụng Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT 105 Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT 106 Chương 3: Các phương pháp phòng tránh phục hồi Chương 3: Các phương pháp phòng tránh phục hồi Các phương thức phòng tránh Các phương thức phịng tránh • Phịng tránh mức hệ điều hành mạng – – – – – – – – Sử dụng Firewall Sử dụng hệ thống kiểm tra xâm nhập mạng (IDS) Sử dụng mạng riêng ảo (VPN) Sử dụng phần mềm Anti-Virus (AV) Bảo mật đường truyền Các hệ thẻ thông minh Kiểm tra máy chủ ứng dụng Kiểm soát hệ điều hành Jan 3, 2017 by Matt Mansfield In Technology Trends Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT Bài giảng: An tồn bảo mật thơng tin 107 Bộ mơn CNTT - Khoa HTTT Kinh tế & TMĐT 108 18 Bộ môn CNTT ‐ Khoa HTTT Kinh tế & TMĐT 8/7/2017 Chương 3: Các phương pháp phòng tránh phục hồi Phòng tránh mức HĐH mạng IBM Chương 3: Các phương pháp phòng tránh phục hồi Các phương pháp phòng tránh: bảo mật kênh truyền So sánh EV, DV OV qua trình duyệt Bộ mơn CNTT - Khoa HTTT Kinh tế & TMĐT 109 Chương 3: Các phương pháp phòng tránh phục hồi Các phương pháp phịng tránh: Hệ thống IPS Bộ mơn CNTT - Khoa HTTT Kinh tế & TMĐT 110 Chương 3: Các phương pháp phòng tránh phục hồi Các phương pháp phịng tránh: Hệ thống DMZ De‐Militarized Zone Bộ mơn CNTT - Khoa HTTT Kinh tế & TMĐT 111 Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT 112 Chương 3: Các phương pháp phòng tránh phục hồi Chương 3: Các phương pháp phòng tránh phục hồi Các phương thức phòng tránh Phòng tránh mức liệu: Quyền người dùng • Phịng tránh mức liệu – Phân quyền người dùng – Sử dụng chương trình bảo mật riêng – Sử dụng chương trình antivirus, antivirus anti spyware – Mã hóa liệu Bộ mơn CNTT - Khoa HTTT Kinh tế & TMĐT Bài giảng: An tồn bảo mật thơng tin 113 Bộ mơn CNTT - Khoa HTTT Kinh tế & TMĐT 114 19 Bộ mơn CNTT ‐ Khoa HTTT Kinh tế & TMĐT 8/7/2017 Chương 3: Các phương pháp phịng tránh phục hồi Chương 3: Các phương pháp phòng tránh phục hồi Phịng tránh sách giáo dục Phịng tránh mã hóa • Bổ sung sửa đổi luật, nghị định, thơng tư • Xây dựng sách đảm bảo an tồn thơng tin cho tổ chức • Tuyên truyền giáo dục • Nhắc nhở thực Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT • • • • Khái niệm mã hóa Mục đích việc mã hóa Quy trình mã hóa Ứng dụng mã hóa 115 Chương 3: Các phương pháp phòng tránh phục hồi Phòng tránh mã hóa Bộ mơn CNTT - Khoa HTTT Kinh tế & TMĐT 116 Chương 3: Các phương pháp phòng tránh phục hồi Các thuật ngữ mã hóa • Plaintext: Bản rõ, gốc, nội dung thông điệp gốc • Cipertext: Bản mã, mật, kết sau mã hóa • Encryption: Mật mã hóa, mã hóa, q trình chuyển rõ thành mã • Decryption: Giải mã, mã trình biến đổi mã thành rõ • Cryptosystem: Hệ mã, hệ mã hóa • Cryptanalysis: Phá mã, trình cố gắng chuyển đổi mật thành rõ mà khơng có khóa • Khơng gian khóa (Keyspace) : tổng số khóa có hệ mã hóa • Hàm băm (Hash function) Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT 117 Chương 3: Các phương pháp phòng tránh phục hồi Các yêu cầu hệ mã hóa Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT 118 Chương 3: Các phương pháp phòng tránh phục hồi Các biện pháp phá mã phổ biến • Yêu cầu với hệ mã hóa • Phá mã gì? • Các biện pháp phá mã phổ biến – (1) Tính hỗn loạn (Confusion): – (2) Tính khuếch tán (Diffusion): – Ngun lý Kerckhoff: – Vét cạn • “Tính an tồn hệ mã hố khơng nên phục thuộc vào việc iệ giữ iữ bí mật ật giải iải thuật th ật mã ã hoá, h mã ã hỉ nên ê phục h thuộc th ộ vào việc giữ bí mật khố mã” • Thử tất ả khả ă có ó thể có ó ủ khóa khó – Thám mã • Độ an tồn hệ mã hóa • Dựa lỗ hổng điểm yếu giải thuật mã hóa – An tồn vơ điều kiện – An tồn tính tốn – Thực tế thỏa mãn hai điều kiện  Khơng có nhược điểm  Khóa có q nhiều giá trị thử hết Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT Bài giảng: An tồn bảo mật thơng tin 119 Bộ môn CNTT - Khoa HTTT Kinh tế & TMĐT 120 20 ... chung an tồn bảo mật thơng tin Chương 1: TỔNG QUAN VỀ? ?AN? ?TỒN BẢO MẬT THƠNG? ?TIN Khái niệm an? ?tồn bảo mật thơng tin? ? • Khái niệm ATTT – An tồn bảo mật thơng tin – Vai trị an tồn bảo mật thông tin. .. 1: TỔNG QUAN VỀ? ?AN? ?TỒN BẢO MẬT THƠNG? ?TIN Vai trị an? ?tồn bảo mật thơng tin? ? • • • • • Chương 1: TỔNG QUAN VỀ? ?AN? ?TỒN BẢO MẬT THƠNG? ?TIN Nguy an? ?tồn bảo mật thơng tin? ? Vì ATBM TT có vai trị quan trọng... 1: TỔNG QUAN VỀ? ?AN? ?TỒN BẢO MẬT THƠNG? ?TIN Nguy an? ?tồn bảo mật thơng tin? ? Chương 1: TỔNG QUAN VỀ? ?AN? ?TỒN BẢO MẬT THƠNG? ?TIN Nguy an? ?tồn bảo mật thơng tin? ? Ví dụ nguy xem xét hệ thống từ https://www.complianceforge.com

Ngày đăng: 26/11/2022, 20:12

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w