1. Trang chủ
  2. » Tất cả

2023_Chapter1 Information Security.pdf

72 0 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 72
Dung lượng 1,42 MB

Nội dung

PowerPoint Presentation Chương 1 CĂN BẢN VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN GV TS Trương Thành Công – Email ttcong@ufm edu vn TS Trương Thành Công Nội dung Những khái niệm cơ bản Quy trình ATBM thông tin[.]

Chương CĂN BẢN VỀ AN TOÀN VÀ BẢO MẬT THƠNG TIN GV:TS Trương Thành Cơng – Email: ttcong@ufm.edu.vn Nội dung Những khái niệm Quy trình ATBM thơng tin Phát triển hệ thống ATBM TT Cơng cụ mơ hình hóa mối đe dọa TS Trương Thành Cơng An tồn & bảo mật thơng tin • An tồn thơng tin bảo vệ thơng tin yếu tố quan trọng nó, bao gồm hệ thống phần cứng mà sử dụng, lưu trữ truyền tải thơng tin • Các cơng cụ cần thiết: sách(policy), nhận thức (awareness), đào tạo(training), giáo dục(education), công nghệ(technology) TS Trương Thành Công An tồn hệ thống thơng tin Các thành phần hệ thống thông tin, nguồn: Principles of Information Security TS Trương Thành Cơng An tồn hệ thống thơng tin (tt) • Một hệ thống thông tin (IS) không đơn phần cứng máy tính; tồn tập hợp người, thủ tục công nghệ cho phép doanh nghiệp sử dụng thơng tin • Sáu thành phần quan trọng IS phần cứng, phần mềm, mạng, người, quy trình liệu cho phép thông tin nhập, xử lý, xuất lưu trữ • Mỗi thành phần IS có điểm mạnh điểm yếu, đặc điểm công dụng riêng có yêu cầu bảo mật riêng TS Trương Thành Cơng An tồn hệ thống thơng tin (tt) • An tồn hệ thống thơng tin (Information System Security) tập hợp hoạt động bảo vệ hệ thống thông tin liệu chống lại việc truy cập, sử dụng, chỉnh sửa, phá hủy, làm lộ làm gián đoạn thông tin hoạt động hệ thống • An tồn hệ thống thơng tin liên quan đến tất thành phần HTTT TS Trương Thành Công Tại ATBM TT quan trọng Tấn công ATBM TT tác động tiêu cực tới: • An toàn thân thể cá nhân • Sự bí mật thơng tin cá nhân tổ chức • Tài sản cá nhân tổ chức • Sự phát triển tổ chức • Nền kinh tế quốc gia • Tính an tồn quốc gia (Vd: Stuxnet, Pegasus) … TS Trương Thành Cơng Góc độ tiếp cận • Suy nghĩ hệ thống thông tin kẻ công • Xác định mối đe dọa điểm yếu hệ thống • Làm cách để thực số kỹ thuật cơng • Suy nghĩ hệ thống người thiết kế giải pháp ATBM TT • Cách thức ngăn chặn giảm thiểu cơng • Hiểu ứng dụng nguyên lý ATBM TT • Hiểu ứng dụng chế, công cụ ATBM TT TS Trương Thành Công Một số thuật ngữ • Mối đe dọa (threat) hệ thống nguy tiềm tàng gây ảnh hưởng xấu đến tài sản tài nguyên liên quan đến hệ thống • Một lỗ hổng (vulnerability) hệ thống lỗi điểm yếu hệ thống mạng bị lợi dụng để gây thiệt hại cho phép kẻ công thao túng hệ thống theo cách loại nguy nhược điểm mà kẻ gian khai thác để công Lỗ hổng dùng nhiều phần mềm, hệ điêu hành Mối đe doại tổng quát TS Trương Thành Công Một số thuật ngữ • Một cơng (attack) vào hệ thống số hành động liên quan đến việc khai thác số lỗ hổng để biến mối đe dọa thành thực • Rủi ro (risk): rủi ro, xác suất xảy cố không mong muốn, chẳng hạn kiện bất lợi tổn thất TS Trương Thành Cơng 10 Mơ hình STRIDE • STRIDE viết tắt • Spoofing • Tampering • Repudiation • Information disclosure • Denial of service • Elevation of privilege TS Trương Thành Cơng 58 Mơ hình STRIDE • Giả mạo danh tính (Spoofing): Spoofing hành vi mạo danh người dùng, thiết bị địa tảng internet • Động thường giành quyền truy cập vào hệ thống, ăn cắp liệu, ăn cắp tiền phát tán phần mềm độc hại • Spoofing liên quan đến Authenticity TS Trương Thành Công 59 Mô hình STRIDE TS Trương Thành Cơng 60 Mơ hình STRIDE • Xáo trộn (Tampering): Một hành động cố ý trái phép sửa đổi hệ thống, thành phần hệ thống, hoạt động hệ thống, liệu hệ thống • Các mối đe dọa tampering liên quan đến, thay đổi xóa file, nghe trộm trái phép trò chuyện, thay đổi nội dung tin nhắn quan trọng • Tampering liên quan đến integrity TS Trương Thành Cơng 61 Mơ hình STRIDE • Network traffic tampering: can thiệp, chỉnh sửa luồng thông tin liệu mạng • Threats: Sniffing, Man-in-the middle Attack, Session hijacking • http://www.attackbank.com/default.asp?profile=741&de bit=1000 • http://www.attackbank.com/default.asp?profile=741&de bit=10000 http://www.attackbank.com/savepage.asp?nr=147&status= del TS Trương Thành Cơng 62 Mơ hình STRIDE • Data Tampering: can thiệp chỉnh sửa file, database • Vd: Website defacement (chỉnh nội dung trang Web máy server) • Chỉnh sửa file cấu hình hệ thống làm cho hệ thống hoạt động khơng xác TS Trương Thành Cơng 63 Mơ hình STRIDE • Thối thác (Repudiation) Các mối đe dọa thoái thác liên quan đến ứng dụng hệ thống không áp dụng biện pháp kiểm soát để theo dõi ghi nhật ký xác hành động người dùng, cho phép thao tác ác ý giả mạo thơng tin Repudiation liên quan đến non-repudiation • Vd: từ chối có đăng nhập, từ chối gửi email, TS Trương Thành Cơng 64 Mơ hình STRIDE • Tiết lộ thông tin (Information disclosure) Các mối đe dọa tiết lộ thông tin liên quan đến việc để lộ thông tin cho cá nhân khơng có quyền truy cập Information disclosure liên quan đến confidentiality • Vd: lộ thơng tin khách hàng, lộ thông tin kinh doanh TS Trương Thành Cơng 65 Mơ hình STRIDE • Từ chối dịch vụ (Denial of service) Các mối đe dọa làm gián đoạn hoạt động hệ thống • Denial of service liên quan đến Availability • Vd: DDOS, Buffer Overflow, làm đầy dung lượng ổ đĩa, làm cạn kiệt tài nguyên máy tính TS Trương Thành Cơng 66 Mơ hình STRIDE • Leo thang đặc quyền (Elevation of privilege) Các công leo thang đặc quyền xảy tội phạm mạng có quyền truy cập vào tài khoản nhân viên, có quyền truy cập thành cơng vào liệu hệ thống • Khi triển khai công này, kẻ công thường cố gắng lấy cắp liệu, làm gián đoạn chức kinh doanh tạo backdoor • Elevation of privilege liên quan đến Authorization TS Trương Thành Công 67 Ví dụ sử dụng STRIDE • Client u cầu server cung cấp liệu tài cho khách hàng • Server xử lý yêu cầu thu thập liệu từ sở liệu • Cơ sở liệu phản hồi yêu cầu gửi liệu trở lại Server • Server phản hồi thơng tin cho Client TS Trương Thành Cơng 68 Ví dụ sử dụng STRIDE • Sơ đồ Client Server TS Trương Thành Công Database 69 Ví dụ sử dụng STRIDE • Các tài ngun dịch vụ cần bảo vệ: • Dữ liệu Tài Database • Luồng liệu Client Server, Server Database • Các nguồn tài nguyên Server TS Trương Thành Cơng 70 Ví dụ sử dụng STRIDE • Các mối nguy Web server: Denial of service • Các mối nguy luồng liệu: tampering, Information disclosure • Các mối nguy sở liệu: tampering, Information disclosure TS Trương Thành Công 71 Cảm ơn! 72 ... Trương Thành Công An tồn hệ thống thơng tin Các thành phần hệ thống thông tin, nguồn: Principles of Information Security TS Trương Thành Cơng An tồn hệ thống thơng tin (tt) • Một hệ thống thơng tin... bảo mật riêng TS Trương Thành Cơng An tồn hệ thống thơng tin (tt) • An tồn hệ thống thơng tin (Information System Security) tập hợp hoạt động bảo vệ hệ thống thông tin liệu chống lại việc truy... Logic bombs, Ransomware TS Trương Thành Công 28 Xây dựng sách bảo mật • Chính sách ATBM thông tin (Information Security Policy) bảo mật thông tin định nghĩa tổng hợp thị, quy định, quy tắc thông

Ngày đăng: 20/02/2023, 20:56