Bài giảng An toàn thông tin: Chương 1 Tổng quan an toàn thông tin, được biên soạn gồm các nội dung chính sau: Dẫn nhập; Lịch sử; Định nghĩa bảo mật; Các thành phần HTTT; Tiếp cận phương pháp bảo mật thông tin. Mời các bạn cùng tham khảo!
TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH KHOA CÔNG NGHỆ THÔNG TIN Bài giảng mơn học: AN TỒN THƠNG TIN Chương 1: TỔNG QUAN AN TỒN THƠNG TIN Số tín chỉ: Số tiết: 30 tiết (Lý thuyết) GV: ThS Nguyễn Thị Phong Dung Email : ntpdung@ntt.edu.vn Chương 1: TỔNG QUAN VỀ ATTT Dẫn nhập Lịch sử Định nghĩa bảo mật Các thành phần HTTT Tiếp cận phương pháp bảo mật thơng tin Dẫn nhập • Khái niệm “mơi trường thông tin” – tập hợp thông tin, hạ tầng thơng tin, chủ thể tham gia vào q trình thu thập, thiết lập, phổ biến, sử dụng thông tin hệ thống điều phối xuất quan hệ xã hội • Xã hội phát triển vai trị “mơi trường thơng tin” lớn • “Mơi trường thơng tin” có ảnh hưởng mạnh đến quan hệ xã hội, trạng thái trị, kinh tế, quốc phịng vấn đề an ninh khác quốc gia Dẫn nhập • Về phạm vi: an ninh thơng tin xét theo mức cá nhân, tổ chức (doanh nghiệp) quốc gia • “An ninh thơng tin” – trạng thái bảo vệ thông tin vật mang tin (thuộc sở hữu cá nhân, tổ chức, hệ thống phương pháp bảo đảm tiếp nhận, xử lý, lưu trữ, lan truyền sử dụng thông tin) trước nguy khác • Nguồn gốc nguy biết trước (ăn cắp thơng tin), khơng biết trước (khơng rõ mục tiêu tội phạm) Dẫn nhập • Tại cần phải đảm bảo an tồn cho thơng tin hệ thống thơng tin? • Do sống “thế giới kết nối” với mức độ ngày “sâu” • Nhiều nguy cơ, đe dọa an tồn thơng tin Dẫn nhập • Mọi thiết bị tính tốn & truyền thơng có kết nối Internet; • Các hệ thống kết nối “sâu rộng” ngày phổ biến: • Smart community (cộng đồng thơng minh) • Smart city (thành phố thơng minh) • Smart home (ngơi nhà thơng minh),… Dẫn nhập • Các khái niệm kết nối vật, kết nối tất trở nên “nóng‟: • IoT: Internet of Things • IoE: Internet of Everything Dẫn nhập • Các hệ thống khơng có kết nối khả sử dụng hạn chế Dẫn nhập • Ngày có nhiều nguy cơ, đe dọa an tồn thơng tin, hệ thống thơng tin, mạng: • Bị cơng từ tin tặc • Bị cơng lạm dụng từ người dùng • Lây nhiễm phần mềm độc hại (vi rút, sâu, ) • Nguy bị nghe trộm, đánh cắp sửa đổi thơng tin • Lỗi khiếm khuyết phần cứng, phần mềm Dẫn nhập • Thế giới kết nối với nhiều nguy đe dọa Các đặc điểm thơng tin • Availability (Sẵn sàng) • Accuracy (chính xác) • Authenticity (xác thực) • Confidentiality (bí mật) • Integrity (tồn vẹn) • Utility (tiện ích) • Possession (khả dụng) Các loại hệ thống thơng tin (mơ hình tháp Các khái niệm bảo mật • An tồn hệ thống thơng tin (ISS – Information Systems Security): việc đảm bảo thuộc tính an ninh an tồn hệ thống thơng tin, bao gồm: • Bí mật (Confidentiality) • Tồn vẹn (Integrity) • Sẵn dùng (Availability) Các khái niệm bảo mật • Tính bí mật (Confidentiality): người dùng có thẩm quyền truy nhập thơng tin • Các thơng tin bí mật gồm: • Dữ liệu riêng cá nhân; • Các thơng tin thuộc quyền sở hữu trí tuệ doanh nghiệp hay quan/tổ chức; • Các thơng tin có liên quan đến an ninh quốc gia Các khái niệm bảo mật • Tính tồn vẹn (Integrity): thơng tin sửa đổi người dùng có thẩm quyền • Tính tồn vẹn liên quan đến tính hợp lệ validity) xác (accuracy) liệu • Trong nhiều tổ chức, thơng tin có giá trị lớn, quyền phần mềm, quyền âm nhạc, quyền phát minh, sáng chế; • Mọi thay đổi khơng có thẩm quyền ảnh hưởng nhiều Thơng tin đến giá trị thơng tin • Dữ liệu tồn vẹn nếu: • Dữ liệu khơng bị thay đổi; • Dữ liệu hợp lệ; • Dữ liệu xác sửa đổi người dùng có thẩm quyền Các khái niệm bảo mật • Tính sẵn dùng (Availability): thơng tin truy nhập người dùng hợp pháp họ có yêu cầu • Tính sẵn dùng đo yếu tố: • Thời gian cung cấp dịch vụ (Uptime); • Thời gian ngừng cung cấp dịch vụ (Downtime); • Tỷ lệ phục vụ: A = (Uptime)/(Uptime + Downtime); • Thời gian trung bình cố; • Thời gian trung bình ngừng để sửa chữa; • Thời gian khôi phục sau cố Định nghĩa bảo mật • Cần phải tuân thủ tiêu chuẩn Liên minh Viện thông Quốc tế (ITU): “Bảo mật mạng tập hợp cơng cụ, sách, khái niệm bảo mật, hướng dẫn , phương pháp quản lý rủi ro, phản ứng, đào tạo, diễn tập, thiết bị cơng nghệ dùng để bảo vệ hệ thống mạng tài sản” Các thành phần HTTT Bảo mật quyền truy cập Tiếp cận phương pháp bảo mật thơng tin Mơ hình quản lý thơng tin doanh nghiệp Tiếp cận phương pháp bảo mật thông tin Vị trí ATTT doanh nghiệp Tiếp cận phương pháp bảo mật thơng tin Vịng đời phát triển hệ thống Tiếp cận phương pháp bảo mật thông tin Investigation - Điều tra / lấy yêu cầu • Phác thảo phạm vi mục tiêu dự án • Ước tính chi phí • Đánh giá nguồn lực có • Phân tích tính khả thi Analysis - Phân tích • Đánh giá hệ thống so với kế hoạch phát triển giai đoạn • Phát triển sơ u cầu hệ thống • Nghiên cứu tích hợp hệ thống với hệ thống có • Tìm kiếm tài liệu cập nhật phân tích khả thi Tiếp cận phương pháp bảo mật thông tin Logical design - Thiết kế luận lý • • • • Đánh giá nhu cầu kinh doanh so với kế hoạch phát triển giai đoạn Lựa chọn ứng dụng, liệu mơ hình Tạo nhiều giải pháp để xem xét Tìm kiếm tài liệu cập nhật phân tích khả thi Physical design - Thiết kế vật lý ▪ Lựa chọn công nghệ hỗ trợ cho giải pháp phát triển giai đoạn ▪ Lựa chọn giải pháp tối ưu ▪ Quyết định tự làm mua phần liên quan ▪ Tìm kiếm tài liệu cập nhật phân tích khả thi • Tiếp cận phương pháp bảo mật thơng tin Implementation - Thực • Tự phát triển mua phần mềm • Đặt hàng component • Document the system • Train users • Cập nhật phân tích khả thi • Present system to users • Test system and review performance Maintenance and change - Bảo trì nâng cấp ▪ Hỗ trợ chỉnh sửa hệ thống suốt thời gian hoạt động ▪ Kiểm tra định kỳ cho phù hợp với kinh doanh ▪ Nâng cấp vá lỗi cần thiết Cám ơn ! ... xác thực, sở hữu Lịch sử • 19 30s • 19 60s • Chiến tranh lạnh • Larry Roberts • ARPANET (Mạng lưới quan với đề án nghiên cứu tân tiến) Lịch sử • 19 70s – 19 80s Lịch sử • 19 30s • Mạng máy tính