TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH KHOA CÔNG NGHỆ THÔNG TIN AN TOÀN DỮ LIỆU VÀ MẬT MÃ Data security and encryption Chương I Tổng quan An toàn thông tin Dẫn nhập (introduction) Lịch sử (History) Định nghĩa bảo mật Các thành phần HTTT Tiếp cận phương pháp bảo mật thông tin Dẫn nhập ❖ Khái niệm “môi trường thông tin” – tập hợp thông tin, hạ tầng thông tin, chủ thể tham gia vào trình thu thập, thiết lập, phổ biến, sử dụng thông tin hệ thống điều phối xuất quan hệ xã hội ❖ Xã hội phát triển vai trò “môi trường thông tin” lớn ❖ “Môi trường thông tin” có ảnh hưởng mạnh đến quan hệ xã hội, trạng thái trị, kinh tế, quốc phịng vấn đề an ninh khác quốc gia Dẫn nhập ❖ Về phạm vi: an ninh thông tin xét theo mức cá nhân, tổ chức (doanh nghiệp) quốc gia ❖ “An ninh thông tin” – trạng thái bảo vệ thông tin vật mang tin (thuộc sở hữu cá nhân, tổ chức, hệ thống phương pháp bảo đảm tiếp nhận, xử lý, lưu trữ,lan truyền sử dụng thông tin) trước nguy khác ❖ Nguồn gốc nguy biết trước (ăn cắp thơng tin), trước (không rõ mục tiêu tội phạm) Dẫn nhập Tại cần phải đảm bảo an tồn cho thơng tin hệ thống thơng tin? ▪ Do sống “thế giới kết nối” với mức độ ngày “sâu” ▪ Nhiều nguy cơ, đe dọa an tồn thơng tin Dẫn nhập Mọi thiết bị tính tốn & truyền thơng có kết nối Internet; Các hệ thống kết nối “sâu rộng” ngày phổ biến: • Smart community (cộng đồng thơng minh) • Smart city (thành phố thơng minh) • Smart home (ngơi nhà thơng minh),… Dẫn nhập Các khái niệm kết nối vật, kết nối tất trở nên “nóng‟: • IoT: Internet of Things • IoE: Internet of Everything Dẫn nhập Các hệ thống khơng có kết nối khả sử dụng hạn chế Dẫn nhập Ngày có nhiều nguy cơ, đe dọa an tồn thơng tin, hệ thống thông tin, mạng: ▪ Bị công từ tin tặc ▪ Bị công lạm dụng từ người dùng ▪ Lây nhiễm phần mềm độc hại (vi rút, sâu, ) ▪ Nguy bị nghe trộm, đánh cắp sửa đổi thông tin ▪ Lỗi khiếm khuyết phần cứng, phần mềm Dẫn nhập Thế giới kết nối với nhiều nguy đe dọa 10 Bảo mật quyền truy cập 34 Các thành phần HTTT 35 Các thành phần HTTT Các thành phần ATTT: ✔ An tồn máy tính liệu (Computer and data security) ✔ An ninh mạng (Network security ) ✔ Quản lý ATTT (Management of information security) ✔ Chính sách ATTT (Policy) 36 Các thành phần HTTT An tồn máy tính liệu: ✔ Đảm bảo an toàn hệ điều hành, ứng dụng, dịch vụ; ✔ Vấn đề điều khiển truy nhập; ✔ Vấn đề mã hóa bảo mật liệu; ✔ Vấn đề phòng chống phần mềm độc hại; ✔ Việc lưu tạo dự phòng liệu, đảm bảo liệu lưu máy tính khơng bị mát xảy cố 37 Các thành phần HTTT An ninh mạng: ✔ Các tường lửa, proxy cho lọc gói tin điều khiển truy nhập; ✔ Mạng riêng ảo kỹ thuật bảo mật thông tin truyền SSL/TLS, PGP; ✔ Các kỹ thuật hệ thống phát hiện, ngăn chặn công, xâm nhập; ✔ Vấn đề giám sát mạng 38 Các thành phần HTTT Quản lý an tồn thơng tin: ❖ Quản lý rủi ro ✔ Nhận dạng ✔ Đánh giá ❖ Thực thi quản lý an tồn thơng tin ✔ Lập kế hoạch (Plan) ✔ Thực thi kế hoạch (Do/Implement) ✔ Giám sát kết thực (Monitor) ✔ Thực kiểm soát (Control) 39 Các thành phần HTTT Chính sách an tồn thơng tin: ✔ Chính sách an toàn mức vật lý (Physical security policy) ✔ Chính sách an tồn mức tổ chức (Organizational security policy) ✔ Chính sách an tồn mức logic (Logical security policy) 40 Tiếp cận phương pháp bảo mật thơng tin Mơ hình quản lý thơng tin doanh nghiệp 41 Tiếp cận phương pháp bảo mật thông tin Vị trí ATTT doanh nghiệp 42 Tiếp cận phương pháp bảo mật thơng tin Vịng đời phát triển hệ thống 43 Tiếp cận phương pháp bảo mật thông tin Investigation - Điều tra / lấy yêu cầu ▪ ▪ ▪ ▪ Phác thảo phạm vi mục tiêu dự án Ước tính chi phí Đánh giá nguồn lực có phân tích tính khả thi Analysis - Phân tích ▪ Đánh giá hệ thống so với kế hoạch phát triển giai đoạn ▪ Phát triển sơ yêu cầu hệ thống ▪ Nghiên cứu tích hợp hệ thống với hệ thống có ▪ Tìm kiếm tài liệu cập nhật phân tích khả thi 44 Tiếp cận phương pháp bảo mật thông tin Logical design - Thiết kế luận lý ▪ Đánh giá nhu cầu kinh doanh so với kế hoạch phát triển giai đoạn ▪ Lựa chọn ứng dụng, liệu mơ hình ▪ Tạo nhiều giải pháp để xem xét ▪ Tìm kiếm tài liệu cập nhật phân tích khả thi Physical design - Thiết kế vật lý ▪ Lựa chọn công nghệ hỗ trợ cho giải pháp phát triển giai đoạn ▪ Lựa chọn giải pháp tối ưu ▪ Quyết định tự làm mua phần liên quan ▪ Tìm kiếm tài liệu cập nhật phân tích khả thi 45 Tiếp cận phương pháp bảo mật thông tin Implementation - Thực ▪ ▪ ▪ ▪ ▪ ▪ ▪ Tự phát triển mua phần mềm Đặt hàng component Document the system Train users Cập nhật phân tích khả thi Present system to users Test system and review performance Maintenance and change - Bảo trì nâng cấp ▪ Hỗ trợ chỉnh sửa hệ thống suốt thời gian hoạt động ▪ Kiểm tra định kỳ cho phù hợp với kinh doanh ▪ Nâng cấp vá lỗi cần thiết 46 TÓM TẮT CHƯƠNG Định nghĩa bảo mật Các thành phần HTTT Tiếp cận phương pháp bảo mật thông tin 47 Thanks