bai giang an toan va bao mat thong tin 2022 7445

06/09/2022 Mục đích yêu cầu Khoa HTTT Kinh tế TMĐT Bộ mơn Cơng nghệ thơng tin • Mục đích học phần • • • Bài giảng học phần An tồn bảo mật thơng tin Cung cấp kiến thức an toàn bảo mật thông tin HTTT doanh nghiệp thời điểm Giới thiệu nguy cơ, hình thức công phương pháp đảm bảo an tồn thơng tin cho HTTT doanh nghiệp Giới thiệu số cơng nghệ ứng dụng đảm an tồn bảo mật thông tin HTTT doanh nghiệp Bộ môn CNTT - Khoa HTTT Kinh tế TMĐT Mục đích u cầu (t) • Cấu trúc học phần Yêu cầu cần đạt • • • • Nắm vững kiến thức an toàn bảo mật thơng tin HTTT doanh nghiệp Có kiến thức nguy cơ, hình thức cơng phương pháp đảm bảo an tồn thơng tin cho HTTT doanh nghiệp Biết sử dụng số cơng cụ, ứng dụng, cơng nghệ có việc đảm bảo an tồn thơng tin cho HTTT doanh nghiệp Bộ môn CNTT - Khoa HTTT Kinh tế TMĐT Học phần gồm tín (45 tiết) phân phối sau: • • • • Nội dung lý thuyết thảo luận 45 tiết (15 buổi) Thời gian: buổi lý thuyết, BT KT, Thảo luận Email: hoint@tmu.edu.vn Bài giảng: http://nguyenthihoi.com/baigiang Bộ môn CNTT - Khoa HTTT Kinh tế TMĐT 06/09/2022 Tài liệu tham khảo Nội dung học phần • • • • • • • Chương Tổng quan an tồn bảo mật thơng tin Chương 2: Quy trình đảm bảo an tồn bảo mật thông tin Chương 3: Các kiểu công mối đe dọa an toàn bảo mật thơng tin Chương 4: Mã hóa thơng tin Chương 5: Sao lưu liệu phục hồi thông tin Chương 6: Đảm bảo an tồn cho hệ thống thơng tin Chương 7: An toàn liệu thương mại điện tử Bộ môn CNTT - Khoa HTTT Kinh tế TMĐT 1) Bộ mơn CNTT, Giáo trình An tồn bảo mật thông tin, Đại học Thương Mại, NXB Thống kê, 2019 2) William Stallings, Cryptography and Network Security Principles and Practices, Fourth Edition, Prentice Hall, 2008 3) Man Young Rhee Internet Security: Cryptographic principles, algorithms and protocols John Wiley & Sons, 2003 4) David Kim, Michael G Solomon, Fundamentals of Information Systems Security, Jones & Bartlettlearning, 2012 5) Michael E Whitman, Herbert J Mattord, Principles of information security, 4th edition, Course Technology, Cengage Learning, 2012 6) Matt Bishop, Introduction to Computer Security, Prentice Hall, 2004 7) Một số website giới thiệu q trình học Bộ mơn CNTT - Khoa HTTT Kinh tế TMĐT Chương Tổng quan an tồn bảo mật thơng tin • 1.1 GIỚI THIỆU CHUNG VỀ AN TOÀN VÀ BẢO MẬT THƠNG TIN • • • • • 1.1.1 Khái niệm an tồn bảo mật thơng tin 1.1.2 Lịch sử phát triển an tồn bảo mật thơng tin ro hệ thống thơng tin • 1.1.3 Vai trị an tồn bảo mật thơng tin 1.2 MỤC TIÊU VÀ YÊU CẦU CỦA AN TOÀN VÀ BẢO MẬT THƠNG TIN • 1.2.1 Mục tiêu an tồn bảo mật thơng tin • 1.2.2 u cầu cho an tồn bảo mật thơng tin • 1.2.3 Các ngun tắc an tồn bảo mật thơng tin • 1.2.4 Các mơ hình đảm bảo an tồn bảo mật thơng tin 1.3 AN TỒN VÀ BẢO MẬT THƠNG TIN THEO QUẢN TRỊ RỦI RO • 1.3.1 Tổng quan cề rủi ro quản trị rủi ro • 1.3.2 Tổng quan rủi ro cho thông tin quản trị rủi • 1.3.3 Mối quan hệ quản trị rủi ro cho thông tin hệ thống thông tin đảm bảo an tồn bảo mật thơng tin 1.4 CHÍNH SÁCH, PHÁP LUẬT VỀ AN TỒN VÀ BẢO MẬT THƠNG TIN • 1.4.1 Các sách an tồn bảo mật thơng tin Việt Nam • • 1.4.2 Các sách an tồn bảo mật thơng tin giới CÂU HỎI ÔN TẬP VÀ THẢO LUẬN CHƯƠNG 1.1 GIỚI THIỆU CHUNG VỀ ATBM TT • 1.1.1 Khái niệm an tồn bảo mật thơng tin • 1.1.2 Lịch sử phát triển an tồn bảo mật thơng ti • 1.1.3 Vai trị an tồn bảo mật thơng tin 06/09/2022 1.1.1 Khái niệm ATBM thơng tin • • Khái niệm HTTT An tồn • Khái niệm ATBM TT • • 1.1.1 Khái niệm ATBM thơng tin • ATTT gì? Bảo mật TT gì? • Ví dụ • • • • • Hỏng hóc máy tính Sao chép liệu trái phép Giả mạo … Bộ môn CNTT - Khoa HTTT Kinh tế TMĐT Đảm bảo an toàn thơng tin Đảm bảo hệ thống có khả hoạt động liên tục Đảm bảo khả phục hồi gặp cố Bộ môn CNTT - Khoa HTTT Kinh tế TMĐT 1.1.2 Lịch sử phát triển ATBMTT 1.1.3 Vai trị an tồn bảo mật thơng tin • • • • Bảo vệ chức hoạt động tổ chức Tạo môi trường thuận lợi cho ứng dụng tổ chức thực thi an toàn Bảo vệ liệu mà tổ chức thu thập sử dụng Bảo vệ tài sản có tính cơng nghệ tổ chức 10 06/09/2022 1.1.3 Vai trò an tồn bảo mật thơng tin Các vùng cần đảm bảo ATTT HTTT Bộ môn CNTT - Khoa HTTT Kinh tế TMĐT 1.2.1 Mục tiêu ATBM TT 1.2 MỤC TIÊU VÀ YÊU CẦU CỦA ATBM TT • 1.2.1 Mục tiêu an tồn bảo mật thơng tin • 1.2.2 u cầu cho an tồn bảo mật thơng tin • 1.2.3 Các ngun tắc an tồn bảo mật thơng tin • 1.2.4 Các mơ hình đảm bảo an tồn bảo mật thơng tin 14 (1) Phát lỗ hổng hệ thống thơng tin dự đốn trước nguy công vào hệ thống thông tin tổ chức gây an tồn và bảo mật thơng tin (2) Ngăn chặn hành động gây an toàn thơng tin và bảo mật • thơng tin từ bên từ bên tổ chức (3) Phục hồi tổn thất trường hợp hệ thống thơng tin bị cơng • gây an tồn và bảo mật thông tin, nhằm đưa hệ thống thông tin trở lại hoạt động bình thường thời gian sớm • 06/09/2022 Nguyên tắc đánh giá HTTT an tồn 1.2.2 u cầu cho ATBM TT • (1) Có tìm phát tất khả mà đối tượng phá hoại có thể thâm nhập vào hệ thống thơng tin ? (2) Có đảm bảo tất • tài sản tổ chức phải bảo vệ đến hết giá trị sử dụng? • Yêu cầu cho ATBM TT (CIAA) • • • • • Có tính bí mật Có tính tồn vẹn Có tính sẵn sàng Có tính xác thực Bảo mật HTTT gì? – – – Các cơng cụ? Các biện pháp? Thực nào? Bộ môn CNTT - Khoa HTTT Kinh tế TMĐT 1.2.3 Các nguyên tắc ATBM TT Giới hạn quyền hạn tối thiểu (Last Privilege) cho người dùng hệ thống thông tin tổ chức, doanh nghiệp Cần triển khai mơ hình bảo vệ theo chiều sâu (Defence In Depth) • Việc kiểm sốt hệ thống thông tin phải thực theo chế • nút thắt (Choke Point) Thường xuyên phát gia cố điểm nối yếu (Weakest Link) • hệ thống thơng tin Các giải pháp đảm bảo an tồn và bảo mật thơng tin phải mang tính tồn • cục (Global solutions) Cần đa dạng biện pháp bảo vệ (Multi-methods) • 18 1.2.4 Các mơ hình đảm bảo ATBMTT • • - u cầu: Mức tổ chức ? Mức cá nhân ? Mức vật lý ? Phần cứng ? Phần mềm ? Hệ thống mạng ? Bộ môn CNTT - Khoa HTTT Kinh tế TMĐT 20 06/09/2022 1.2.4 Các mơ hình đảm bảo ATBMTT Các mức bảo vệ mơ hình theo chiều sâu • • • • Các biện pháp? Kỹ thuật? Phương pháp thực hiện? Chính sách tổ chức? Bộ môn CNTT - Khoa HTTT Kinh tế TMĐT 21 1.2.4 Các mơ hình đảm bảo ATBMTT 1.2.4 Các mơ hình đảm bảo ATBMTT Bên thứ ba đáng tin • Chính sách bảo mật theo lớp • Thơng tin bí mật Chuyển đổi liên quan đến an tồn • Thơng báo Kênh thơng tin Thơng báo an tồn Chuyển đổi liên quan đến an tồn Thơng báo an tồn Bên gửi • Thơng tin bí mật 23 Lớp an ninh cho thành phần mạng Tường lửa, mạng riêng ảo (VPN) Lớp an ninh hệ thống (System Security) • • • • Mơ hình an tồn truyền thơng tin Lớp bảo vệ vật lý Lớp sách & thủ tục đảm bảo ATTT Lớp an ninh mạng (Network Security) • • Kẻ công Bộ môn CNTT - Khoa HTTT Kinh tế TMĐT Lớp an ninh quan/tổ chức (Plant Security) • • Bên nhận Thơng báo • Lớp tăng cường an ninh hệ thống Lớp quản trị tài khoản phân quyền người dùng Lớp quản lý vá cập nhật phần mềm Lớp phát ngăn chặn phần mềm độc hại Bộ môn CNTT - Khoa HTTT Kinh tế TMĐT 24 06/09/2022 1.3 ATBMTT THEO QUẢN TRỊ RỦI RO 1.3.1 Tổng quan rủi ro quản trị rủi ro • • • • 1.3.1 Tổng quan rủi ro quản trị rủi ro 1.3.2 Tổng quan rủi ro cho thông tin quản trị rủi ro HTTT 1.3.3 Mối quan hệ QTRR cho thông tin HTTT đảm bảo ATBM thông tin 1.3.1 Tổng quan rủi ro quản trị rủi ro • • Rủi ro hiểu biến cố không chắn mà xảy thì gây tổn thất cho người tổ chức đó Các đặc trưng tần suất rủi ro và biên độ rủi ro • • Tần suất rủi ro biểu số lần xuất rủi ro khoảng thời gian hay tổng số lần quan sát sự kiện Biên đợ rủi ro thể tính chất nguy hiểm, mức độ thiệt hại gây nghĩa thể hậu hay tổn thất rủi ro gây về tài chính, nhân lực, … 1.3.2 Tổng quan rủi ro cho thông tin quản trị rủi ro hệ thống thơng tin Phân loại rủi ro • • • • • • Theo nguyên nhân gây rủi ro; Theo kết hay hậu quả; Theo nguồn gốc; Theo đối tượng gánh chịu rủi ro; Theo khả kiểm soát, giảm tổn thất; Theo giai đoạn phát triển đối tượng chịu rủi ro QUẢN TRỊ RỦI RO Nhận dạng rủi ro Nhận dạng liệt kê rủi ro Phân loại xác định độ ưu tiên Nhận dạng phân loại nguy Đánh giá rủi ro Xác định lỗ hổng hệ thống Thống kê xác định khả xảy Kiểm soát rủi ro Lựa chọn chiến lược Đưa giải pháp Cài đặt kiểm soát 06/09/2022 1.3.3 Mối quan hệ QTRR cho thông tin HTTT đảm bảo ATBMTT Các nguyên tắc quản trị rủi ro HTTT • Ngun tắc 1: Khơng chấp nhận rủi ro không cần thiết, chấp nhận rủi ro lợi ích thu lớn chi phí bỏ • Nguyên tắc 2: Các định quản trị rủi ro phải cấp quản trị thích hợp • Nguyên tắc 3: Hoạt động quản trị rủi ro hệ thống thông tin cần thực kết hợp với hoạt động hoạch đinh vận hành tất cấp hệ thống thông tin, tổ chức quản trị rủi ro và không thể hoạt động độc lập • QTRR q trình nhận dạng, phân tích, đo lường, đánh giá rủi ro, để từ tìm biện pháp kiểm soát, khắc phục hậu rủi ro hoạt động kinh doanh nhằm sử dụng tối ưu nguồn lực • ATBMTT bao hàm nội dung bảo vệ bảo mật thông tin, an tồn liệu, an tồn máy tính an tồn mạng • => Đảm bảo an tồn bảo mật thông tin hoạt động cụ thể quy trình quản trị rủi ro hệ thống thơng tin doanh nghiệp Nó đảm bảo cho thơng tin hệ thống thơng tin có tính bí mật, sẵn sàng tồn vẹn hệ thống thơng tin doanh nghiệp hoạt động 1.4 CHÍNH SÁCH, PHÁP LUẬT VỀ ATBMTT • 1.4.1 Các sách ATBM thơng tin Việt Nam • 1.4.2 Các sách ATBM thơng tin giới Bộ môn CNTT - Khoa HTTT Kinh tế TMĐT 32 06/09/2022 Một số Website • • Bộ môn CNTT - Khoa HTTT Kinh tế TMĐT 33 Quy tắc quốc tế ứng xử ATTTM Thế giới • • • https://vnisa.org.vn http://antoanthongtin.vn https://www.globalcompliancenews.com/cyber-security/cybersecurity-around-the-world/ https://citizenlab.ca/cybernorms2011 https://www.bluefin.com/bluefin-news/global-cybersecurity-lawsregulation-changes/ • Quy tắc 1: Quy tắc lãnh thổ (The Territoriality Rule) • • Quy tắc 2: Quy tắc trách nhiệm (The Responsibility Rule) Quy tắc 3: Quy tắc hợp tác (The Cooperation Rule) • Quy tắc 4: Quy tắc tự vệ (The Self-Defence Rule) • Quy tắc 5: Quy tắc bảo vệ liệu (The Data Protection Rule) • • Quy tắc 6: Quy tắc nhiệm vụ xây dựng (The Duty of Care Rule) Quy tắc 7: Quy tắc cảnh báo sớm (The Early Warning Rule) • Quy tắc 8: Quy tắc quyền truy cập thơng tin (The Access to Information Rule) • Quy tắc 9: Quy tắc tố tụng hình (The Criminality Rule) • Quy tắc 10: Quy tắc quyền ủy thác (The Mandate Rule) 06/09/2022 Chương Quy trình đảm bảo ATBMTT Câu hỏi chương 1 Trình bày khái niệm an tồn thơng tin? bảo mật hệ thống thơng tin? • 2.1 QUY TRÌNH CHUNG • 2.3 PHÂN TÍCH, ĐÁNH GIÁ CÁC NGUY CƠ GÂY MẤT ATBMTT Vai trò an tồn bảo mật thơng tin hoạt động tổ chức, doanh nghiệp? • 2.1.1 Xác định, nhận dạng nguy Nêu nguy gây an tồn thơng tin? Các nguy an tồn thơng tin • 2.1.2 Phân tích, đánh giá nguy • 2.3.1 Khái niệm • 2.1.3 Lựa chọn giải pháp đảm bảo ATBMTT • • 2.1.4 Giám sát an tồn bảo mật thơng tin 2.3.2 Nội dung phân tích, đánh giá nguy gây an tồn bảo mật thơng tin TMĐT? Thế tính bí mật? Tính tồn vẹn? Tính sẵn sàng? Tính khơng thể chối bỏ? Mục tiêu an tồn bảo mật thơng tin gì? Hãy giải thích Yêu cầu chung hệ thống đảm bảo an tồn thơng tin? Hãy giải thích cần bảo vệ tài sản tổ chức, doanh nghiệp chúng bị loại bỏ khỏi hoạt động tổ chức? Quy trình chung đảm bảo an tồn thơng tin cho tổ chức? Hãy giải thích bước quy trình này? Trình bày mơ hình đảm bảo an tồn bảo mật thơng tin? Cho ví dụ minh họa Trình bày mơ hình bảo mật nhiều lớp hệ thống thơng tin tổ chức? Vì hệ thống ISMS cần triển khai theo mơ hình bảo mật nhiều lớp? 10 Trình bày giải thích mơ hình truyền thơng tin an tồn? 2.1 QUY TRÌNH CHUNG • 2.2 NHẬN DẠNG CÁC NGUY CƠ GÂY MẤT ATBTTT TRONG HTTT • 2.1.1 Khái niệm tầm quan trọng nhận dạng nguy • 2.1.2 Phân loại nguy • 2.1.3 Phương pháp nhận dạng nguy • • 2.4 KIỂM SỐT ATBMTT • 2.4.1 Quy trình kiểm sốt • 2.4.2 Chiến lược kiểm sốt CÂU HỎI ÔN TẬP VÀ THẢO LUẬN CHƯƠNG 2.2 NHẬN DẠNG CÁC NGUY CƠ GÂY MẤT ATBTTT • 2.1.1 Khái niệm tầm quan trọng nhận dạng nguy • 2.1.2 Phân loại nguy • 2.1.3 Phương pháp nhận dạng nguy 06/09/2022 4.2.2 Ưu điểm nhược điểm hệ mã hóa đối xứng 4.2.1 Khái niệm hệ mã hóa đối xứng • Ưu điểm • • • • Nhược điểm • • • 4.2.3 Hệ mã hóa đối xứng cổ điển • • Mã hóa thay Mã hóa dịch chuyển • • • • • Dùng chung khóa Việc bảo mật phân phối khóa cơng việc khó khăn, phức tạp Dễ bị bẻ khóa 4.2.3 Hệ mã hóa đối xứng cổ điển Mã hóa thay Ví dụ: ◦ ◦    Bản chữ tiếng Anh, Bản mã nhị phân, Bản ký tự số, … Mã hóa hốn vị • • • Ceasar Nhân Vigenere Tự động Mơ hình đơn giản Dễ dàng tạo thuật tốn mã hóa đối xứng Đơn giản rõ ràng mình, dễ cài đặt hoạt động hiệu Hàng rào Hàng Mã hóa khối Bộ mơn CNTT - Khoa HTTT Kinh tế TMĐT 84 06/09/2022 4.2.3 Hệ mã hóa đối xứng cổ điển • 4.2.3 Hệ mã hóa đối xứng cổ điển Mã hóa Ceasar • • • • • • Nguyên tắc: Dịch chuyển xoay vịng theo thứ tự chữ Khóa k gọi bước dịch chuyển Với chữ văn Mã hóa nhân – – – Đặt p = chữ a, p = chữ b, Mã hóa : C = E(p) = (p + k) mod 26 • • Bộ mơn CNTT - Khoa HTTT Kinh tế TMĐT 85 Mã hóa Vigenère • • • • • • Ngun tắc: Dịch chuyển xoay vịng theo thứ tự chữ Khóa D= k1k2 kd khóa hệ mã hóa Với chữ văn Đặt p = chữ a, p = chữ b, Mã hóa : C = E(p) = (p + i) mod 26 với i kí tự thứ i khóa D Nguyên tắc mã hóa/ giải mã • • • Các ký tự rõ viết thành cột Các ký tự khóa viết thành hàng Bản mã ký tự nằm giao hàng cột Bộ môn CNTT - Khoa HTTT Kinh tế TMĐT Đặt p = chữ a, p = chữ b, Mã hóa : C = E(p) = (p*k) mod 26 Bộ môn CNTT - Khoa HTTT Kinh tế TMĐT Hình vng Vigenere 4.2.3 Hệ mã hóa đối xứng cổ điển • Ngun tắc: Dịch chuyển xoay vịng theo thứ tự chữ Khóa k gọi bước dịch chuyển Với chữ văn 87 86 06/09/2022 Thứ tự kí tự bảng chữ 4.2.3 Hệ mã hóa đối xứng cổ điển A B C D E F G H I J K L M 10 11 12 N O P Q R S T U V W X Y Z 13 14 15 16 17 18 19 20 21 22 23 24 25 Mã hóa khóa tự động • • • • Company Logo 89 Cải tiến từ Vigenère Gắn khóa D vào đầu nguyên tạo D’ Mã hóa theo Vigenère dựa khóa D’ Bộ mơn CNTT - Khoa HTTT Kinh tế TMĐT 90 4.2.3 Hệ mã hóa đối xứng cổ điển 4.2.3 Hệ mã hóa đối xứng cổ điển • • Mã hóa hốn vị hàng rào (Row fence) Nguyên tắc: – – – • • • Mã hóa hốn vị hàng (Column fence) • Ngun tắc: – Viết kí tự nguyên P theo hàng ngang k cột, k khóa – Viết lại kí tự cột theo thứ tự xuất khóa k Viết kí tự ngun P theo đường chéo k hàng Viết lại kí tự hàng để mã Ví dụ: Nguyên : ATTACK AT MIDNIGHT Mã hóa với độ cao hàng rào k= • – A T C A M D I H – T A K T I N G T • • Bản mã : ATCAMDIHTAKTINGT • • Giải mã: ATCAMDIH TAKTINGT • • • / Bộ môn CNTT - Khoa HTTT Kinh tế TMĐT • 91 Nguyên bản: ATTACK POSTPONED UNTIL TWO AM Khóa K= 7 a t t a c k p o s t p o n e d u n t i l t w o a m x y z Bản mã : TTNAAPTMTSUOAODWCOIXKNLYPETZ Giải mã: TTNA/APTM/TSUO/AODW/COIX/KNLY/PETZ Bộ môn CNTT - Khoa HTTT Kinh tế TMĐT 92 06/09/2022 4.2.4 Hệ mã hóa đối xứng đại 4.2.3 Hệ mã hóa đối xứng cổ điển • Mã hóa tích hợp • • • Các hệ mã hóa thay hốn vị khơng an tồn đặc điểm ngơn ngữ Kết hợp sử dụng nhiều hệ mã hóa khiến việc phá mã khó Là cầu nối từ hệ mã hóa cổ điển đến hệ mã hóa đại Bộ môn CNTT - Khoa HTTT Kinh tế TMĐT • • • 4.3 HỆ MÃ HĨA KHƠNG ĐỐI XỨNG Mã hóa khối • • • • Mã hóa khối kí tự Chia theo chế lấy lũy thừa Độ dài khối độ dài đơn vị mã hóa Kích thước khóa độ dài chuỗi dùng để mã hóa Bộ mơn CNTT - Khoa HTTT Kinh tế TMĐT Mã hóa luồng (stream ciphers): Tiny RC4, RC4, … Mã hóa khối (block ciphers): DES, AES, Triple DES 93 4.2.4 Hệ mã hóa đối xứng đại • Chia thành nhóm 95 • 4.3.1 Khái niệm hệ mã hóa khơng đối xứng • 4.3.2 Ưu điểm nhược điểm hệ mã hóa khơng đối xứng • 4.3.3 Hệ mã hóa RSA • 4.3.4 Một số hệ mã hóa khóa cơng khai khác 06/09/2022 4.3.3 Hệ mã hóa RSA 4.3.1 Khái niệm hệ mã hóa khơng đối xứng Bẻ khóa Sinh khóa Mã hóa Giải mã • Người gửi A Mã hóa y x • Người nhận B Giải mã x • kc kr Khóa mã B - B sinh cặp khóa : Khóa cơng khai Kc khóa bí mật Kr - B gửi Kc cho A biết - A dùng Kc mã hóa thơng điệp gửi lại cho B - B dùng Kr để giải mã thông điệp A Bộ môn CNTT - Khoa HTTT Kinh tế TMĐT 97 Bộ môn CNTT - Khoa HTTT Kinh tế TMĐT 4.3.3 Hệ mã hóa RSA Bộ mơn CNTT - Khoa HTTT Kinh tế TMĐT 4.3.4 Một số hệ mã hóa khóa cơng khai khác 99 • Hệ mật mã ElGamal thuật toán xây dựng tốn logarit rời rạc • Mật mã xếp ba lơ Merkle-Hellman Ralph Merkle Martin Hellman phát minh vào năm 1978 giống RSA 98 06/09/2022 Câu hỏi ôn tập chương Thế mã hóa? Thế giải mã ? Hãy nêu khác biệt trình giải mã phá mã mã ? Vì mã hóa lựa chọn biện pháp bảo vệ sâu mơ hình • bảo mật nhiều lớp? Trình bày phân tích vai trị mã hóa hoạt động tổ chức, • doanh nghiệp? • Trình bày phân tích yêu cầu hệ mã hóa? Một hệ mã hóa đạt yêu cầu coi an tồn? Trình bày biện pháp phá mã phổ biến? Các thuật toán mã hóa đạt • điều kiện khơng thể phá mã ? • Trình bày mơ hình mã hóa đối xứng? Trình bày mơ hình mã hóa khơng đối xứng? • So sánh hệ mã hóa đối xứng hệ mã hóa khơng đối xứng? • • 5.1 TỔNG QUAN VỀ SAO LƯU VÀ PHỤC HỒI THƠNG TIN • 5.1.1 Xác định tổ chức liệu tổ chức • 5.1.2 Xác định thiết bị lưu trữ tổ chức, doanh nghiệp Chương Sao lưu liệu phục hồi thông tin • 5.1 TỔNG QUAN VỀ SAO LƯU VÀ PHỤC HỔI THƠNG TIN • • • 5.2 SAO LƯU DỰ PHỊNG DỮ LIỆU • • • • 5.2.1 Khái niệm lưu dự phòng 5.2.2 Các chế lưu phân loại 5.2.3 Một số công cụ lưu dự phịng 5.3 PHỤC HỒI SAU SỰ CỐ • • • 5.1.1 Xác định tổ chức liệu tổ chức 5.1.2 Xác định thiết bị lưu trữ tổ chức, doanh nghiệp 5.3.1 Dữ liệu bị hỏng hóc việc khơi phục liệu 5.3.2 Phục hồi phần mềm CÂU HỎI ÔN TẬP CHƯƠNG 5.1.1 Xác định tổ chức liệu tổ chức • Trả lời câu hỏi: Những thông tin hay liệu cần lưu? Cần lưu vào đâu? Các biện pháp lưu cần thực hiện? • Sao lưu lần ngày phù hợp? Một tuần? Một • tháng? Một quý? Một năm? … • • 06/09/2022 5.1.1 Xác định tổ chức liệu tổ chức 5.2 SAO LƯU DỰ PHỊNG DỮ LIỆU Phân loại thơng tin nơi lưu trữ Bản chủ/ Kiểu liệu lại • Thiết bị lưu trữ Vị trí Văn phịng • • Tài liệu điện tử Bản Ổ cứng máy tính Một tài liệu điện tử Bản lại Thẻ nhớ USB Mang theo người Ổ cứng máy tính Văn phịng Chương trình sở liệu (ảnh, liên lạc, lịch, Bản vv) Một tài liệu điện tử Bản lại Đĩa CD Ở nhà Thư điện tử địa liên lạc Bản Tài khoản Gmail Internet Tin nhắn liên lạc điện thoại Bản Máy điện thoại Mang theo người Trong ngăn kéo Văn phịng Tài liệu văn giấy (hợp đồng, hóa đơn, vv.) Bản 5.2.2 Các chế phân loại 5.2.1 Khái niệm lưu dự phòng 5.2.2 Các chế lưu cách phân loại 5.2.3 Một số cơng cụ lưu dự phịng Windows 5.2.2 Các chế phân loại • • Onsite Backup Là loại hình lưu liệu mà lưu lưu facility (cơ sở hạ tầng lưu trữ) với liệu gốc Phương pháp cổ điển thường dùng sử dụng tape Tape backup kiểu lưu định kỳ liệu từ thiết bị sang hộp băng Ưu điểm: • Nhược điểm • • • • • • Băng thông dùng để lưu lớn nên tốc độ lưu, khôi phục nhanh Có thể liệu có vấn đề xảy với facility, bị hack/chiếm quyền • • Offsite Backup Dữ liệu backup lưu khác facility với liệu gốc, nơi khác, lưu trữ cloud Ưu điểm: • • Offsite backup có độ an tồn liệu cao Có thể th hệ thống Cloud để lưu trữ Nhược điểm • Offsite Backup tốc độ lưu, khôi phục phụ thuộc vào băng thơng kết nối hệ thống hệ thống dự phòng 06/09/2022 5.2.2 Các chế phân loại • Local Backup: • • • • Thực lưu trữ nhanh Có thể thực thời điểm Nhược điểm; • Độ an tồn chưa cao Online Backup • • • • Lưu trữ liệu Internet cách sử dụng nhà cung cấp dịch vụ lưu trữ, thay lưu trữ liệu cục đĩa vật lý, ổ cứng máy tính Phục hồi • • Phân loại: Phục hồi công đoạn đưa liệu, ứng dụng hệ thống trở lại trạng thái sẵn sàng sử dụng • • • Phục hồi liệu Phục hồi ứng dụng Phục hồi hệ thống Ưu điểm • • Ưu điểm: • • Local Backup hình thức backup cục Các sử dụng thiết bị nhớ rời ổ cứng, ổ cứng di động, USB hay chí đĩa CD DVD để lưu trữ 5.3 Phục hồi phân loại Độ an toàn tin cậy cao Có thể thực thời điểm, địa điểm từ nhiều thiết bị khác Nhược điểm • • Phụ thuộc vào mạng Internet Phụ thuộc vào đường truyền, kết nối Một số công cụ phổ biến Câu hỏi ơn tập chương Sao lưu gì? Vì cần lưu thơng tin liệu hệ thống thơng tin tổ • • • • • • • • • • Acronis True Image NovaBACKUP EaseUS Todo Backup AOMEI Backupper Macrium Reflect Genie Backup Manager Paragon Backup & Recovery Backup4all NTI Backup Now 10 O&O DiskImage Bộ môn CNTT - Khoa HTTT Kinh tế TMĐT chức, doanh nghiệp? Hãy giải thích lấy ví dụ minh họa Các kiểu lưu thông tin liệu hệ thống thông tin tổ chức, doanh nghiệp? Lấy ví dụ minh họa So sánh giống khác lưu dự phịng? Khi gọi lưu? Khi gọi dự phịng? Hãy giải thích Các kiểu lưu dự phòng phổ biến? Minh họa thực tế Hãy trình bày cơng cụ lưu dự phòng phổ biến Windows? 111 06/09/2022 Chương 6: Đảm bảo an tồn cho HTTT • 6.1 ĐẢM BẢO AN TỒN BẰNG MƠ HÌNH NHIỀU LỚP 6.1.1 Bảo vệ mức quy trình sách • 6.1.2 Bảo vệ hệ thống thơng tin theo nhiều mức • • • • • • 6.2 CÁC KIẾN TRÚC AN TỒN CHO HỆ THỐNG THƠNG TIN 6.2.1 Bộ ISO 27001 mơ hình an tồn cho HTTT (ISMS) • 6.2.2 Khung bảo mật NIST (NIST Security Framework) • 6.3 MỘT SỐ GIẢI PHÁP AN TỒN CHO HỆ THỐNG THƠNG TIN • 6.3.1 Phân quyền người sử dụng 6.3.2 Bảo mật kênh truyền 6.3.3 Sử dụng tường lửa 6.1 ĐẢM BẢO AN TỒN BẰNG MƠ HÌNH NHIỀU LỚP • • 6.4 MỘT SỐ GIẢI PHÁP AN TOÀN CHO NGƯỜI DÙNG TRONG HỆ THỐNG THƠNG TIN • • • • • • • 6.4.1 Sử dụng phần mềm diệt virus 6.4.2 Sử dụng mật mạnh 6.4.3 Xác minh thiết lập bảo mật phần mềm 6.4.4 Cập nhật sản phẩm bảo vệ 6.4.5 Xây dựng tường lửa cá nhân 6.4.6 Thường xun lưu dự phịng 6.4.7 Có chế bảo vệ chống lại nguy 6.1.1 Bảo vệ mức quy trình sách • 6.2 CÁC KIẾN TRÚC AN TỒN CHO HTTT Một sách an ninh thơng tin bao gồm: • • • • • • • • 6.1.1 Bảo vệ mức quy trình sách 6.1.2 Bảo vệ hệ thống thông tin theo nhiều mức Xác định phạm vi; Phân loại nhóm thơng tin; Có mục tiêu quản lý rõ rang; Xác định ngữ cảnh/ bối cảnh; Có tài liệu hỗ trợ; Có hướng dẫn cụ thể; Có trách nhiệm rõ ràng Xác định/Dự đốn hậu • • 6.2.1 Bộ ISO 27001 mơ hình an tồn cho HTTT (ISMS) 6.2.2 Khung bảo mật NIST (NIST Security Framework) 06/09/2022 ISMS ISO27001 6.2.1 Bộ ISO 27001 mô hình an tồn cho HTTT (ISMS) Hệ thống quản lý an tồn thơng tin (Information Security Management System - ISMS) hỗ trợ • • Thực việc giám sát, • Quản lý hệ thống thơng tin, • Tăng cường mức độ an toàn, bảo mật, giảm thiểu rủi ro cho hệ thống thơng tin, • Đáp ứng mục tiêu doanh nghiệp, tổ chức ISO 27001 tiêu chuẩn quốc tế đặc tả cho hệ thống quản lý ATTT (ISMS) cung cấp: • Một mơ hình thống để thiết lập, vận hành, trì cải tiến hệ thống quản lý ATTT cho tổ chức, đơn vị • • Tuân thủ theo hệ thống quản lý ISMS Company Logo Một số điều khoản ISO27001 6.3 MỘT SỐ GIẢI PHÁP AN TOÀN CHO HTTT • • • Bộ môn CNTT - Khoa HTTT Kinh tế TMĐT 118 119 6.3.1 Phân quyền người sử dụng 6.3.2 Bảo mật kênh truyền 6.3.3 Sử dụng tường lửa 06/09/2022 6.3.2 Bảo mật kênh truyền liệu 6.3.1 Phân quyền người sử dụng • Người dùng • • Những người quyền đăng nhập sử dụng tài nguyên hệ thống phạm vi quyền hạn • Phân quyền người dùng • Phân loại • • Người dung cục Người dung toàn cục Những biện pháp giúp phân chia rõ ràng quyền hạn, cách thức thao tác hệ thống theo yêu cầu khác nhằm đảm bảo an toàn hệ thống đảm bảo tính riêng tư người • Bảo mật kênh truyền • Bảo mật kênh truyền liệu việc bảo mật liệu chúng truyền kênh truyền thông • Giải pháp • Mã hóa kênh truyền • • • • Sử dụng chứng an toàn • • • 6.4 MỘT SỐ GIẢI PHÁP AN TOÀN CHO NGƯỜI DÙNG TRONG HỆ THỐNG THƠNG TIN • • • • • • • Sử dụng phần mềm diệt virus Sử dụng mật mạnh Xác minh thiết lập bảo mật phần mềm Cập nhật sản phẩm bảo vệ Xây dựng tường lửa cá nhân Thường xuyên lưu dự phịng Có chế bảo vệ chống lại nguy SSL SET Bảo mật mạng không dây Chứng cá nhân Chứng cho tổ chức, doanh nghiệp Giao thức an toàn chung Câu hỏi chương Vì cần bảo vệ thơng tin hệ thống thông tin nhiều lớp nhiều phương pháp khác nhau? Hãy giải thích lấy ví dụ minh họa Trình bày chi tiết mức cần bảo vệ cho thông tin hệ thống thông tin tổ chức, doanh nghiệp? Nguyên tắc ISO 27001 gì? Vì tổ chức, doanh nghiệp cần khảo sát thực trạng trước triển khai quy trình ISO 27001? Thực trạng triển khai ISO 27001 Việt Nam giới? Vì tiêu chuẩn có phần tùy chỉnh cho quốc gia? Hãy trình bày thành phần khung bảo mật NIST? Trình bày đặc biệt NIST? Lấy ví dụ minh họa Người dùng gì? Vì phải phân quyền người dùng hệ thống thơng tin tổ chức, doanh nghiệp? Hãy giải thích Có kiểu người dùng hệ thống thông tin doanh nghiệp? Quyền nghĩa vụ nhóm người dùng? Hãy lấy ví dụ minh họa 06/09/2022 7.1 CHỮ KÝ SỐ CHƯƠNG 7: AN TOÀN DỮ LIỆU TRONG TMĐT • 7.1 CHỮ KÝ SỐ • 7.1.1 Một số khái niệm • 7.1.2 Cơ chế hoạt động chữ ký số • 7.1.3 Phân loại chữ ký số • 7.1.4 Ưu nhược điểm chữ ký số • • 7.2 CHỨNG THỰC SỐ • 7.2.1 Khái niệm • 7.2.2 Sơ đồ chứng thực số sử dụng khóa cơng khai • • 7.3 AN TỒN DỮ LIỆU THANH TỐN ĐIỆN TỬ • 7.3.1 Tổng quan tốn điện tử • 7.3.2 Các đặc trưng hệ thống tốn điện tử • 7.3.3 An tồn thơng tin tồn điện tử 7.4 BẢO MẬT WEB • 7.4.1 Một vài khái niệm • 7.4.2 Các nguy Website • 7.4.3 An tồn website thương mại • 7.4.4 Các biện pháp bảo mật cho Website 7.5 BẢO MẬT TRÊN CÁC PHƯƠNG TIỆN TTXH • 7.5.1 Giới thiệu phương tiện TTXH • 7.5.2 Các nguy phương tiện TTXH • 7.5.3 An tồn phương tiện TTXH • 7.5.4 Một số biện pháp • 7.1.1 Một số khái niệm • 7.1.2 Cơ chế hoạt động chữ ký số • 7.1.3 Phân loại chữ ký số • 7.1.4 Ưu nhược điểm chữ ký số 7.1.2 Cơ chế hoạt động chữ ký số 7.1.3 Phân loại chữ ký số • Chữ ký số trực tiếp • • Chữ ký số trực tiếp hệ thống chữ ký có tham gia người gửi người nhận Chữ ký số tạo cách mã hóa tồn thơng điệp chuỗi băm thơng điệp khóa riêng người gửi • Chữ ký bên thứ ba • • • Chữ ký số bên thứ ba đóng vai trị trọng tài viên Kịch • Giả sử X muốn gửi thơng điệp cần bảo mật cho Y: • (1) X ký thông điệp => thành viên thứ ba M trước gửi cho Y, • (2) M kiểm tra nguồn gốc, nội dung thông điệp chữ ký thông điệp => gắn tem thời gian gửi cho Y Với tham gia M giải vấn đề chống chối bỏ X sử dụng chữ ký trực tiếp 06/09/2022 7.2 CHỨNG THỰC SỐ Sử dụng chữ ký điện tử kê khai thuế Việt Nam 7.2.1 Khái niệm chứng thực số • Một chứng thực số bao gồm: • Khóa công khai người sở hữu chứng thực số này, • Phân loại • Các thông tin riêng người sở hữu chứng thực, (1) Chứng thực cho máy chủ Web (Server Certificate) (2) Chứng thực cho phần mềm • • Hạn sử dụng, • • Tên quan cấp chứng thực điện tử, • • Số hiệu chứng thực, • Chữ ký nhà cung cấp • (3) Chứng thực cá nhân (4) Chứng thực nhà cung cấp chứng thực điện tử • 7.2.1 Khái niệm chứng thực số • 7.2.2 Sơ đồ chứng thực số sử dụng khóa cơng khai 7.2.2 Sơ đồ chứng thực số sử dụng khóa cơng khai Bước 1: Chữ ký số tạo khóa cơng khai 06/09/2022 Chu kỳ sống chứng thực số 7.3 AN TOÀN DỮ LIỆU THANH TỐN ĐIỆN TỬ • 7.3.1 Tổng quan tốn điện tử • 7.3.2 Các đặc trưng hệ thống tốn điện tử • 7.3.3 An tồn thơng tin toán điện tử Thanh toán Vietinbank 7.4 BẢO MẬT WEB • • • 7.4.1 Một vài khái niệm 7.4.2 Các nguy Website 7.4.3 Các biện pháp bảo mật cho Website 06/09/2022 7.4.1 Một vài khái niệm • Bảo mật Web hình thức bảo vệ thông tin tài nguyên hệ thống website (1) Cơ sở liệu trang Web • (2) Thơng tin cá nhân khách hàng thơng tin tổ chức • (3) Tài ngun hệ thống website • 7.5 BẢO MẬT TRÊN CÁC PHƯƠNG TIỆN TTXH • • • 7.5.1 Giới thiệu phương tiện TTXH 7.5.2 Các nguy phương tiện TTXH 7.5.3 Một số biện pháp an toàn phương tiện TTXH Câu hỏi ôn tập chương Phân loại Trình bày khái niệm chữ ký số? Nguyên tắc xây dựng chữ ký số quy trình hoạt động chữ ký số? Lấy ví dụ minh họa Chứng thực số gì? Trình bày thành phần chứng thực số? Trình bày giống khác chữ ký số chứng thực số? Thanh toán điện tử gì? Các thành phần tham gia giao dịch điện tử có thành tốn? Hãy lấy ví dụ minh họa Các nguy giao dịch điện tử có tốn? Lấy ví dụ minh họa Hãy trình bày số giải pháp nhằm đảm bảo an toàn cho giao dịch điện tử giao dịch điện tử có tốn? Bảo mật website gì? Hãy trình bày nguy website thông thường website thương mại điện tử? Hãy trình bày số giải pháp đảm bảo an tồn cho website thương mại điện tử? Lấy ví dụ minh họa Phương tiện truyền thông xã hội gì? Vai trị phương tiện truyền thơng xã hội hoạt động doanh nghiệp thương mại điện tử? Trình bày nguy người dùng tổ chức, doanh nghiệp sử dụng phương tiện truyền thông xã hội hoạt động kinh doanh? ... thơng tin • 1.1.3 Vai trị an tồn bảo mật thơng tin 1.2 MỤC TIÊU VÀ YÊU CẦU CỦA AN TOÀN VÀ BẢO MẬT THƠNG TIN • 1.2.1 Mục tiêu an tồn bảo mật thơng tin • 1.2.2 u cầu cho an tồn bảo mật thơng tin. .. Tổng quan an tồn bảo mật thơng tin • 1.1 GIỚI THIỆU CHUNG VỀ AN TOÀN VÀ BẢO MẬT THƠNG TIN • • • • • 1.1.1 Khái niệm an tồn bảo mật thơng tin 1.1.2 Lịch sử phát triển an tồn bảo mật thơng tin ro... thông tin tổ chức gây an tồn va? ? bảo mật thơng tin (2) Ngăn chặn hành động gây an toàn thơng tin va? ? bảo mật • thơng tin từ bên từ bên tổ chức (3) Phục hồi tổn thất trường hợp hệ thống thơng tin