Đang tải... (xem toàn văn)
Microsoft PowerPoint Bài gi£ng ATBMTT 2022 gíi QLKH 06/09/2022 1 Khoa HTTT Kinh tế và TMĐT Bộ môn Công nghệ thông tin Bài giảng học phần An toàn và bảo mật thông tin 1 Mục đích và yêu cầu • Mục đích c[.]
06/09/2022 Mục đích yêu cầu Khoa HTTT Kinh tế TMĐT Bộ mơn Cơng nghệ thơng tin • Mục đích học phần • • • Bài giảng học phần An tồn bảo mật thơng tin Cung cấp kiến thức an toàn bảo mật thông tin HTTT doanh nghiệp thời điểm Giới thiệu nguy cơ, hình thức công phương pháp đảm bảo an tồn thơng tin cho HTTT doanh nghiệp Giới thiệu số cơng nghệ ứng dụng đảm an tồn bảo mật thông tin HTTT doanh nghiệp Bộ môn CNTT - Khoa HTTT Kinh tế TMĐT Mục đích u cầu (t) • Cấu trúc học phần Yêu cầu cần đạt • • • • Nắm vững kiến thức an toàn bảo mật thơng tin HTTT doanh nghiệp Có kiến thức nguy cơ, hình thức cơng phương pháp đảm bảo an tồn thơng tin cho HTTT doanh nghiệp Biết sử dụng số cơng cụ, ứng dụng, cơng nghệ có việc đảm bảo an tồn thơng tin cho HTTT doanh nghiệp Bộ môn CNTT - Khoa HTTT Kinh tế TMĐT Học phần gồm tín (45 tiết) phân phối sau: • • • • Nội dung lý thuyết thảo luận 45 tiết (15 buổi) Thời gian: buổi lý thuyết, BT KT, Thảo luận Email: hoint@tmu.edu.vn Bài giảng: http://nguyenthihoi.com/baigiang Bộ môn CNTT - Khoa HTTT Kinh tế TMĐT 06/09/2022 Tài liệu tham khảo Nội dung học phần • • • • • • • Chương Tổng quan an tồn bảo mật thơng tin Chương 2: Quy trình đảm bảo an tồn bảo mật thông tin Chương 3: Các kiểu công mối đe dọa an toàn bảo mật thơng tin Chương 4: Mã hóa thơng tin Chương 5: Sao lưu liệu phục hồi thông tin Chương 6: Đảm bảo an tồn cho hệ thống thơng tin Chương 7: An toàn liệu thương mại điện tử Bộ môn CNTT - Khoa HTTT Kinh tế TMĐT 1) Bộ mơn CNTT, Giáo trình An tồn bảo mật thông tin, Đại học Thương Mại, NXB Thống kê, 2019 2) William Stallings, Cryptography and Network Security Principles and Practices, Fourth Edition, Prentice Hall, 2008 3) Man Young Rhee Internet Security: Cryptographic principles, algorithms and protocols John Wiley & Sons, 2003 4) David Kim, Michael G Solomon, Fundamentals of Information Systems Security, Jones & Bartlettlearning, 2012 5) Michael E Whitman, Herbert J Mattord, Principles of information security, 4th edition, Course Technology, Cengage Learning, 2012 6) Matt Bishop, Introduction to Computer Security, Prentice Hall, 2004 7) Một số website giới thiệu q trình học Bộ mơn CNTT - Khoa HTTT Kinh tế TMĐT Chương Tổng quan an tồn bảo mật thơng tin • • 1.1 GIỚI THIỆU CHUNG VỀ AN TOÀN VÀ BẢO MẬT THƠNG TIN • • 1.1.1 Khái niệm an tồn bảo mật thơng tin • 1.1.3 Vai trị an tồn bảo mật thơng tin • 1.1.2 Lịch sử phát triển an toàn bảo mật thông tin 1.2 MỤC TIÊU VÀ YÊU CẦU CỦA AN TỒN VÀ BẢO MẬT THƠNG TIN • 1.2.1 Mục tiêu an tồn bảo mật thơng tin • 1.2.2 u cầu cho an tồn bảo mật thơng tin • 1.2.3 Các nguyên tắc an toàn bảo mật thơng tin • 1.2.4 Các mơ hình đảm bảo an tồn bảo mật thơng tin 1.3 AN TỒN VÀ BẢO MẬT THƠNG TIN THEO QUẢN TRỊ RỦI RO • 1.3.1 Tổng quan cề rủi ro quản trị rủi ro • 1.3.2 Tổng quan rủi ro cho thơng tin quản trị rủi • • 1.3.3 Mối quan hệ quản trị rủi ro cho thông tin hệ thống thơng tin đảm bảo an tồn bảo mật thơng tin 1.4 CHÍNH SÁCH, PHÁP LUẬT VỀ AN TỒN VÀ BẢO MẬT THƠNG TIN • 1.4.1 Các sách an tồn bảo mật thơng tin • • ro hệ thống thông tin Việt Nam 1.4.2 Các sách an tồn bảo mật thơng tin giới CÂU HỎI ÔN TẬP VÀ THẢO LUẬN CHƯƠNG 1.1 GIỚI THIỆU CHUNG VỀ ATBM TT • 1.1.1 Khái niệm an tồn bảo mật thơng tin • 1.1.2 Lịch sử phát triển an tồn bảo mật thơng ti • 1.1.3 Vai trị an tồn bảo mật thơng tin 06/09/2022 1.1.1 Khái niệm ATBM thơng tin • • Khái niệm HTTT An tồn • Khái niệm ATBM TT • • 1.1.1 Khái niệm ATBM thơng tin • ATTT gì? Bảo mật TT gì? • Ví dụ • • • • • Hỏng hóc máy tính Sao chép liệu trái phép Giả mạo … Bộ môn CNTT - Khoa HTTT Kinh tế TMĐT Đảm bảo an toàn thơng tin Đảm bảo hệ thống có khả hoạt động liên tục Đảm bảo khả phục hồi gặp cố Bộ môn CNTT - Khoa HTTT Kinh tế TMĐT 1.1.2 Lịch sử phát triển ATBMTT 1.1.3 Vai trị an tồn bảo mật thơng tin • • • • Bảo vệ chức hoạt động tổ chức Tạo môi trường thuận lợi cho ứng dụng tổ chức thực thi an toàn Bảo vệ liệu mà tổ chức thu thập sử dụng Bảo vệ tài sản có tính cơng nghệ tổ chức 10 06/09/2022 1.1.3 Vai trò an tồn bảo mật thơng tin Các vùng cần đảm bảo ATTT HTTT Bộ môn CNTT - Khoa HTTT Kinh tế TMĐT 1.2 MỤC TIÊU VÀ YÊU CẦU CỦA ATBM TT • 1.2.1 Mục tiêu an tồn bảo mật thơng tin • 1.2.2 u cầu cho an tồn bảo mật thơng tin • 1.2.3 Các ngun tắc an tồn bảo mật thơng tin • 1.2.4 Các mơ hình đảm bảo an tồn bảo mật thông tin 14 1.2.1 Mục tiêu ATBM TT (1) Phát lỗ hổng hệ thống thơng tin dự đốn trước • nguy công vào hệ thống thông tin tổ chức gây an tồn và bảo mật thơng tin (2) Ngăn chặn hành động gây an tồn thơng tin và bảo mật • thơng tin từ bên từ bên tổ chức (3) Phục hồi tổn thất trường hợp hệ thống thơng tin bị cơng • gây an tồn và bảo mật thơng tin, nhằm đưa hệ thống thơng tin trở lại hoạt động bình thường thời gian sớm 06/09/2022 1.2.2 Yêu cầu cho ATBM TT Ngun tắc đánh giá HTTT an tồn • (1) Có tìm phát tất khả mà đối tượng phá hoại có thể thâm nhập vào hệ thống thơng tin ? (2) Có đảm bảo tất • tài sản tổ chức phải bảo vệ đến hết giá trị sử dụng? • Yêu cầu cho ATBM TT (CIAA) • • • • • Có tính bí mật Có tính tồn vẹn Có tính sẵn sàng Có tính xác thực Bảo mật HTTT gì? – – – Các cơng cụ? Các biện pháp? Thực nào? Bộ môn CNTT - Khoa HTTT Kinh tế TMĐT 1.2.3 Các nguyên tắc ATBM TT Giới hạn quyền hạn tối thiểu (Last Privilege) cho người dùng hệ thống thông tin tổ chức, doanh nghiệp Cần triển khai mơ hình bảo vệ theo chiều sâu (Defence In Depth) • Việc kiểm sốt hệ thống thông tin phải thực theo chế • nút thắt (Choke Point) Thường xuyên phát gia cố điểm nối yếu (Weakest Link) • hệ thống thơng tin Các giải pháp đảm bảo an tồn và bảo mật thơng tin phải mang tính tồn • cục (Global solutions) Cần đa dạng biện pháp bảo vệ (Multi-methods) • 18 1.2.4 Các mơ hình đảm bảo ATBMTT • • - u cầu: Mức tổ chức ? Mức cá nhân ? Mức vật lý ? Phần cứng ? Phần mềm ? Hệ thống mạng ? Bộ môn CNTT - Khoa HTTT Kinh tế TMĐT 20 06/09/2022 1.2.4 Các mơ hình đảm bảo ATBMTT Các mức bảo vệ mơ hình theo chiều sâu • • • • Các biện pháp? Kỹ thuật? Phương pháp thực hiện? Chính sách tổ chức? Bộ môn CNTT - Khoa HTTT Kinh tế TMĐT 21 1.2.4 Các mơ hình đảm bảo ATBMTT 1.2.4 Các mơ hình đảm bảo ATBMTT Bên thứ ba đáng tin • Chính sách bảo mật theo lớp • Thơng tin bí mật Kênh thông tin Kẻ công Chuyển đổi liên quan đến an tồn • Thơng báo Chuyển đổi liên quan đến an tồn Thơng báo an tồn Bên gửi Thơng báo an tồn Bên nhận Thơng báo • • Thơng tin bí mật Mơ hình an tồn truyền thông tin Bộ môn CNTT - Khoa HTTT Kinh tế TMĐT 23 Lớp an ninh quan/tổ chức (Plant Security) • • Lớp bảo vệ vật lý Lớp sách & thủ tục đảm bảo ATTT • • Lớp an ninh cho thành phần mạng Tường lửa, mạng riêng ảo (VPN) • • • • Lớp tăng cường an ninh hệ thống Lớp quản trị tài khoản phân quyền người dùng Lớp quản lý vá cập nhật phần mềm Lớp phát ngăn chặn phần mềm độc hại Lớp an ninh mạng (Network Security) Lớp an ninh hệ thống (System Security) Bộ môn CNTT - Khoa HTTT Kinh tế TMĐT 24 06/09/2022 1.3 ATBMTT THEO QUẢN TRỊ RỦI RO • • • 1.3.1 Tổng quan rủi ro quản trị rủi ro 1.3.2 Tổng quan rủi ro cho thông tin quản trị rủi ro HTTT 1.3.3 Mối quan hệ QTRR cho thông tin HTTT đảm bảo ATBM thông tin 1.3.1 Tổng quan rủi ro quản trị rủi ro • Phân loại rủi ro • • • • • • Theo nguyên nhân gây rủi ro; Theo kết hay hậu quả; Theo nguồn gốc; Theo đối tượng gánh chịu rủi ro; Theo khả kiểm soát, giảm tổn thất; Theo giai đoạn phát triển đối tượng chịu rủi ro 1.3.1 Tổng quan rủi ro quản trị rủi ro • • Rủi ro hiểu biến cố không chắn mà xảy thì gây tổn thất cho người tổ chức đó Các đặc trưng tần suất rủi ro và biên đợ rủi ro • • Tần suất rủi ro biểu số lần xuất rủi ro khoảng thời gian hay tổng số lần quan sát sự kiện Biên đợ rủi ro thể tính chất nguy hiểm, mức độ thiệt hại gây nghĩa thể hậu hay tổn thất rủi ro gây về tài chính, nhân lực, … 1.3.2 Tổng quan rủi ro cho thông tin quản trị rủi ro hệ thống thông tin QUẢN TRỊ RỦI RO Nhận dạng rủi ro Nhận dạng liệt kê rủi ro Phân loại xác định độ ưu tiên Nhận dạng phân loại nguy Đánh giá rủi ro Xác định lỗ hổng hệ thống Thống kê xác định khả xảy Kiểm soát rủi ro Lựa chọn chiến lược Đưa giải pháp Cài đặt kiểm soát 06/09/2022 1.3.3 Mối quan hệ QTRR cho thông tin HTTT đảm bảo ATBMTT Các nguyên tắc quản trị rủi ro HTTT • Ngun tắc 1: Khơng chấp nhận rủi ro không cần thiết, chấp nhận rủi ro lợi ích thu lớn chi phí bỏ • Nguyên tắc 2: Các định quản trị rủi ro phải cấp quản trị thích hợp • Nguyên tắc 3: Hoạt động quản trị rủi ro hệ thống thông tin cần thực kết hợp với hoạt động hoạch đinh vận hành tất cấp hệ thống thông tin, tổ chức quản trị rủi ro và không thể hoạt động độc lập • QTRR q trình nhận dạng, phân tích, đo lường, đánh giá rủi ro, để từ tìm biện pháp kiểm soát, khắc phục hậu rủi ro hoạt động kinh doanh nhằm sử dụng tối ưu nguồn lực • ATBMTT bao hàm nội dung bảo vệ bảo mật thông tin, an tồn liệu, an tồn máy tính an tồn mạng • => Đảm bảo an tồn bảo mật thông tin hoạt động cụ thể quy trình quản trị rủi ro hệ thống thơng tin doanh nghiệp Nó đảm bảo cho thơng tin hệ thống thơng tin có tính bí mật, sẵn sàng tồn vẹn hệ thống thơng tin doanh nghiệp hoạt động 1.4 CHÍNH SÁCH, PHÁP LUẬT VỀ ATBMTT • 1.4.1 Các sách ATBM thơng tin Việt Nam • 1.4.2 Các sách ATBM thơng tin giới Bộ môn CNTT - Khoa HTTT Kinh tế TMĐT 32 06/09/2022 Một số Website • • Bộ môn CNTT - Khoa HTTT Kinh tế TMĐT 33 Quy tắc quốc tế ứng xử ATTTM Thế giới • • • https://vnisa.org.vn http://antoanthongtin.vn https://www.globalcompliancenews.com/cyber-security/cybersecurity-around-the-world/ https://citizenlab.ca/cybernorms2011 https://www.bluefin.com/bluefin-news/global-cybersecurity-lawsregulation-changes/ • Quy tắc 1: Quy tắc lãnh thổ (The Territoriality Rule) • • Quy tắc 2: Quy tắc trách nhiệm (The Responsibility Rule) Quy tắc 3: Quy tắc hợp tác (The Cooperation Rule) • Quy tắc 4: Quy tắc tự vệ (The Self-Defence Rule) • Quy tắc 5: Quy tắc bảo vệ liệu (The Data Protection Rule) • • Quy tắc 6: Quy tắc nhiệm vụ xây dựng (The Duty of Care Rule) Quy tắc 7: Quy tắc cảnh báo sớm (The Early Warning Rule) • Quy tắc 8: Quy tắc quyền truy cập thơng tin (The Access to Information Rule) • Quy tắc 9: Quy tắc tố tụng hình (The Criminality Rule) • Quy tắc 10: Quy tắc quyền ủy thác (The Mandate Rule) 06/09/2022 Chương Quy trình đảm bảo ATBMTT Câu hỏi chương 1 Trình bày khái niệm an tồn thơng tin? bảo mật hệ thống thơng tin? Vai trị an tồn bảo mật thơng tin hoạt động tổ chức, doanh nghiệp? • Nêu nguy gây an tồn thơng tin? Các nguy an tồn thơng tin TMĐT? Thế tính bí mật? Tính tồn vẹn? Tính sẵn sàng? Tính khơng thể chối bỏ? Mục tiêu an tồn bảo mật thơng tin gì? Hãy giải thích u cầu chung hệ thống đảm bảo an tồn thơng tin? Hãy giải thích cần bảo vệ tài sản tổ chức, doanh nghiệp chúng bị loại bỏ khỏi hoạt động tổ chức? Quy trình chung đảm bảo an tồn thơng tin cho tổ chức? Hãy giải thích bước quy trình này? Trình bày mơ hình đảm bảo an tồn bảo mật thơng tin? Cho ví dụ minh họa Trình bày mơ hình bảo mật nhiều lớp hệ thống thơng tin tổ chức? Vì hệ thống ISMS cần triển khai theo mơ hình bảo mật nhiều lớp? 10 Trình bày giải thích mơ hình truyền thơng tin an tồn? 2.1 QUY TRÌNH CHUNG • 2.1 QUY TRÌNH CHUNG • 2.3 PHÂN TÍCH, ĐÁNH GIÁ CÁC NGUY CƠ GÂY MẤT ATBMTT • 2.1.1 Xác định, nhận dạng nguy • 2.1.2 Phân tích, đánh giá nguy • 2.3.1 Khái niệm • 2.1.3 Lựa chọn giải pháp đảm bảo ATBMTT • 2.1.4 Giám sát an tồn bảo mật thơng tin • 2.3.2 Nội dung phân tích, đánh giá nguy gây an tồn bảo mật thơng tin 2.2 NHẬN DẠNG CÁC NGUY CƠ GÂY MẤT ATBTTT TRONG HTTT • 2.1.1 Khái niệm tầm quan trọng nhận dạng nguy • 2.1.2 Phân loại nguy • 2.1.3 Phương pháp nhận dạng nguy • • 2.4 KIỂM SỐT ATBMTT • 2.4.1 Quy trình kiểm sốt • 2.4.2 Chiến lược kiểm sốt CÂU HỎI ÔN TẬP VÀ THẢO LUẬN CHƯƠNG 2.2 NHẬN DẠNG CÁC NGUY CƠ GÂY MẤT ATBTTT • 2.1.1 Khái niệm tầm quan trọng nhận dạng nguy • 2.1.2 Phân loại nguy • 2.1.3 Phương pháp nhận dạng nguy ... CHUNG VỀ AN TOÀN VÀ BẢO MẬT THƠNG TIN • • 1.1.1 Khái niệm an tồn bảo mật thơng tin • 1.1.3 Vai trị an tồn bảo mật thơng tin • 1.1.2 Lịch sử phát triển an toàn bảo mật thông tin 1.2 MỤC TIÊU VÀ YÊU... AN TỒN VÀ BẢO MẬT THƠNG TIN • 1.2.1 Mục tiêu an tồn bảo mật thơng tin • 1.2.2 u cầu cho an tồn bảo mật thơng tin • 1.2.3 Các nguyên tắc an toàn bảo mật thơng tin • 1.2.4 Các mơ hình đảm bảo an. .. cho thông tin hệ thống thơng tin đảm bảo an tồn bảo mật thơng tin 1.4 CHÍNH SÁCH, PHÁP LUẬT VỀ AN TỒN VÀ BẢO MẬT THƠNG TIN • 1.4.1 Các sách an tồn bảo mật thơng tin • • ro hệ thống thông tin