An toàn bảo mật hệ thống thông tin
Xây dựng quy định về sử dụng ứng dụng và quy trình đảm bảo an toàn cho hệ thống.
Trang 3Sự phát triển của ứng dụng công nghệ thông tin trong đời sống, kinh tế, xã hội.
• Phát triển nhanh cả về số lượng và chất lượng
• Ứng dụng ngày một áp dụng rộng rãi trong tất cả các lĩnh vực về mọi mặt đời sống kinh tế xã hội
• Một phần thiết yếu không thể thiếu, phục vụ đời sống con người, nâng cao chất lượng cuộc sống.
• Phục vụ cho nghiên cứu khoa học
• Ứng dụng thực tiễn thúc đẩy kinh tế, văn hóa, xã hội phát triển.
Trang 4An toàn an ninh trong công nghệ thông tin
Sự phát triển của công nghệ thông tin mang lại nhiều lợi ích cho cuộc sống con người song còn tồn tại nhiều vấn đề cần phải quan tâm, một trong số đó là an toàn thông tin.
+) Nguy cơ rò rỉ, mất an toàn thông tin
+) Thường dễ dàng bị tấn công, làm mất thông tin hoặc sập đổ hệ thống dẫn đến mất dữ liệu, gây hậu quả lớn.
+) Các lĩnh vực nhạy cảm như quốc phòng an ninh, tài chính, tiền tệ cũng sử dụng công nghệ thông tin để phục vụ hoạt động của tổ chức mình, chính vì thế cần phải thực sự chú trọng đến phát triển và đầu tư cho vấn đề đảm bảo an ninh thông tin.
Trang 5An toàn an ninh trong công nghệ thông tin
* Thực trạng tại Việt Nam.
- Đảm bảo an ninh thông tin cho một hệ thống là khó để kiểm soát, chi phí lớn, lợi nhuận không nhìn thấy ngay nên ở Việt Nam các doanh nghiệp tổ chức cơ quan dường như không để tâm và hạn chế đầu tư cho lĩnh vực này, hậu quả :
+) Nửa đầu tháng 9/2014, có tổng cộng 1039 website bị tấn công, các cuộc tấn công chủ yếu đến từ Trung Quốc.
Nhu cầu cấp thiết cần phải xây dựng các ứng dụng có tính chống chịu cao và xây dựng các quy định chung cho việc
Trang 6An toàn an ninh trong công nghệ thông tin
• Con người và kỹ thuật là hai mắt xích quan trọng trong các mắt xích góp phần đến sự ảnh hưởng của an toàn thông tin.
• Con người là khâu yếu nhất cần được chú trọng nhất.
• Ở Việt Nam, các doanh nghiệp và tổ chức hiểu an toàn hệ thống thông tin là khái niệm thuộc về công nghệ, nên chỉ tập trung và việc đầu tư các thiết bị phần cứng, nâng cấp hệ thống, xây dựng giải pháp, tái cấu trúc hệ thống vật lý… Trong đó những vấn đề mang tính quyết định trong an toàn thông tin thì các tổ chức chưa thực sự quan tâm, cụ thể như:
+)Chính sách an toàn thông tin chưa được hoạch định bài bản.
+) Trách nhiệm an toàn thông tin chưa được giao rõ ràng và chi tiết đến mỗi bộ phận, đến mỗi loại thông tin
+) Chưa có kế hoạch, phương án xử lý rủi ro khi xuất hiện mối đe dọa an toàn thông tin.
+) Việc truyền thông an toàn thông tin trong tổ chức chưa được phổ biến, tập huấn đầy đủ đến các cấp quản lý, đến mỗi nhân viên.
Trang 7An toàn an ninh trong công nghệ thông tin
• Cũng giống như ngoài xã hội, muốn xã hội được phát triển ổn định, bình thường, không có các tệ nạn và vi phạm pháp luật để ảnh hưởng đến môi trường sống của xã hội thì người ta sử dụng các luật để là căn cứ cho người dân biết những việc nào không được làm, vừa mang tính răn đe để biết được hậu quả của việc vi phạm đó sẽ sợ mà không làm.
• Trong an toàn an ninh thông tin người ta cũng đưa ra các chính sách, tiêu chuẩn và các quy định về sử dụng ứng dụng, quy
trình đảm bảo an toàn cho hệ thống, hạn chế những thói quen xấu như:
– Thao tác cập nhật tin tức trên mạng xã hội– Thói quen sử dụng các thiết bị
Trang 8Chính sách an toàn thông tin.
Khái niệm về chính sách an toàn thông tin:
• Một chính sách là phát biểu mức cao của niềm tin, mục tiêu,
đối tượng của công ty và nghĩa chung cho mục tiêu cần đạt được trong một lĩnh vực Đối với các hệ thống, tùy vào mức độ quan trọng, tùy vào quy trình xử lý nghiệp vụ mà có những
chính sách khác nhau, tất nhiên dựa trên các tiêu chuẩn chung đã được quy định ISO 29700.
• Khái niệm tiêu chuẩn: Là yêu cầu bắt buộc để hỗ trợ các
chính sách riêng rẽ.
Trang 9Các tiêu chuẩn, chính sách an toàn thông tin ISO 27001
• ISO 27001 là tiêu chuẩn của Anh về hệ thống quản lý an ninh thông tin (viết tắt là
• Trước đây tiêu chuẩn này có tên gọi là BS 7799 và ISO 17799.
• ISO 27001 phù hợp với mọi tổ chức lớn nhỏ và áp dụng được với mọi lĩnh vực kinh tế trên toàn thế giới.
• Đảm bảo cho hệ thống có thể làm việc liên tục mà không xảy ra sự phá hoại hoặc mất mát nào• Các nguyên nhân dẫn đến mất mát thông tin và dữ liệu:
– Thiên tai hỏa hoạn, lũ lụt.– Mất ngẫu nhiên hoặc do quản lý kém
– Bị đánh cắp từ các hệ thống ở bên ngoài, hoặc do nhân viên bị mua chuộc nên tiết lộ thông tin.
Tất cả điều trên đều gây ra hậu quả khôn lường cho tổ chức.
• Triển khai ISO 27001 sẽ xác định loại thông tin trong tổ chức, xác định mối nguy hại và mối đe dọa Sau đó có thể thiết lập hệ thống, sự kiểm soát và quy trình để giảm thiểu các mối nguy hại.
Trang 10Các tiêu chuẩn, chính sách an toàn thông tin ISO 27001
Các lợi ích mà ISO 27001 đem lại cho tổ chức bao gồm:
• Sự liên tục trong kinh doanh
• Đánh giá được mối nguy và triển khai được các phương pháp để giảm bớt ảnh hưởng
• An ninh được cải thiện• Kiếm soát việc truy cập• Tiết kiệm chi phí
• Tạo ra một quá trình quản lý nội bộ
• Tuyên truyền cam kết của bạn để bảo vệ dữ liệu của khách hàng.• Chứng minh được rằng bạn tuân thủ các quy định pháp luật
• Xác định được rằng các lãnh đạo cấp cao thực sự nghiêm túc trong việc bảo mật dữ liệu.
• Đánh giá thường xuyên để duy trì hiệu quả bảo mật• Cung cấp chứng nhận độc lập
Trang 11Phần II Phân tích và xây dựng các quy định và quy trình sử dụng an toàn cho trang web khoa công nghệ thông tin
• Giới thiệu về trang web khoa.
Trang web khoa công nghệ thông tin của Học viện Kỹ thuật quân sự là một trang web phục vụ trong nhà trường hỗ trợ các hoạt động nghiệp vụ đào tạo và còn là kênh thông tin giữa sinh viên với khoa, với trường
Nhóm người sử dụng• Giáo viên chủ nhiệm:
+) Nhập thông tin sinh viên.
+) Nhập điểm từ phòng đào tạo vào cơ sở dữ liệu+) Giáo viên đảm nhiệm môn học
+) Nhập tài liệu tham khảo và một số thông tin cho môn học.+) Giáo viên đảm nhiệm vai trò quản trị
+) Nhập thông tin cho các dữ liệu của giáo viên+) Đưa thông tin cho đề tài sinh viên và phản hồi.+) Cập nhật thông tin cho mỗi bộ môn
• Sinh viên
+ Xem thông tin cá nhân+ Xem điểm.
Trang 12Triển khai mô hình phần cứng
Triển khai phần cứng:- Mô hình client /server.
- 2 server : 1 ở trung tâm công nghệ thông tin, 1 ở phòng thí nghiệm khoa,2 máy chạy song hành cùng nhau, được đồng bộ hóa trong quá trình xử lý.
- Hệ thống máy client nằm ở trung tâm công nghệ thông tin và phòng làm việc của các bộ môn, việc truy cập với quyền quản trị viên chỉ được thiết lập với một số máy nhất định.
- Hệ thống mạng trường sử dụng mạng không dây, có đăng ký mật khẩu, chống truy cập một số trang web nhất định như youtube, facebook ….
• Hiệu quả của triển khai phần cứng như trên:
• Tính an toàn được đảm bảo cao, hạn chế về rủi ro.
• Hạn chế được sự truy cập bừa bãi, kể cả khi làm người quản trị làm mất mật khẩu, thì kẻ lấy cắp cũng khó để truy cập được ở ngoài.
• Hệ thống mạng được thiết lập riêng trong học viện bảo đảm tính an toàn ,bảo mật cao.
Trang 13Triển khai mô hình nghiệp vụ cho hệ thống.
• Thực hiện quản lý sinh viên Đưa thông tin sinh viên vào hệ thống sau đó có thể sử dụng các chức năng thống kê báo cáo đê đưa ra các thông tin sinh viên với một mục đích cụ thể.
• Thực hiện quản lý giáo viên: Đưa thông tin giáo viên vào hệ thống, sử dụng các chức năng báo cáo thống kê để đưa ra các thông tin về giáo viên.
• Thực hiện quản lý môn học: Đưa thông tin về môn học ứng với các khoa ngành, giáo viên đảm nhiệm cụ thể, giáo viên đảm nhiệm môn học sẽ là người cung cấp thông tin về tài liệu tham khảo, đề cương bài giảng, đề cương chi tiết, đề cương ôn tập cho môn học và các thông tin liên quan khác Việc đưa thông tin bài giảng lên trên trang web khoa dưới quyền đăng nhập của giáo viên thì giáo viên phải chịu trách nhiệm,
• Thực hiện quản lý điểm: Giáo viên nhận điểm từ phòng đào tạo lên, điểm nhập vào là do giáo viên chủ nhiệm, quy trình nghiệp vụ của chức năng này là giáo viên chủ nhiệm sau khi nhận được tờ phiếu điểm của phòng đào tạo gửi xuống văn phòng khoa, sẽ có nhiệm vụ lấy về nhập điểm cho sinh viên, việc nhập điểm có hiệu lực sau 1 tuần kể từ khi văn phòng gửi điểm xuống văn phòng khoa.
• Thực hiện chức năng thông tin của trang web khoa.
Mọi nghiệp vụ liên quan đến việc đưa thông tin vào trang web khoa phải được diễn ra dưới hệ thống máy đã quy định đặt trong học viện, không cho phép bất kì cá nhân nào được truy cập ở các thiết bị bên ngoài(nhiệm vụ thuộc về đội ngũ xây dựng phần mềm)
Trang 14Những đe dọa đối với hệ thống
• Các đe dọa đến từ nhân tố con người
– Lỗi không chú ý đến quá trình nhập liệu, dẫn đến bỏ quên làm hỏng thông tin.
– Gian lận và trộm cắp: Lỗi hệ thống có chủ tâm.– Các tấn công do chủ ý từ bên ngoài vào.
– Lỗ hổng bảo mật do thói quen của con người có thể làm gây hại cho hệ thống:
+) Tin tưởng vào các ứng dụng cấp qua mạng
+) Sử dụng hệ thống không đúng chỉ dẫn, không đúng quy định.+) Tin tưởng vào người dùng trong hệ thống.
+) Bị lừa qua mạng, thói quen truy cập mạng.+) Sử dụng các thiết bị lưu trữ không đúng cách
+) Mất mật khẩu, không có biện pháp quản lý mật khẩu tôt, không thực hiện đổi mật khẩu định kỳ, tạo mật khẩu tính bảo mật kém,
Trang 15Những đe dọa với hệ thống
Biện pháp hạn chế những đe dọa của hệ thống từ phía người dùng:
1 Vấn đề về mật khẩu: – Biện pháp kỹ thuật
+) Xây dựng hệ thống mật khẩu đối với mỗi tài khoản chỉ được cấp cho một người quản lý và sử dụng.
+) Xây dựng hệ thống phân quyền logic đảm bảo phân quyền nhỏ nhất đối với những người sử dụng hệ thống.
+) Hệ thống cần được xây dựng mà cần giới hạn số lần đăng nhập sai liên tiếp vào hệ thống Hệ thống tự động khóa tài khoản trong một khoảng thời gian nhất định trước khi tiếp tục cho đăng nhập nếu tiếp tục đăng nhập vượt qua
Trang 16Những đe dọa với hệ thống
- Về phía người sử dụng:
• Mật khẩu đăng nhập hệ thống phải có độ phức tạp cao (có độ dài tối thiểu 8 ký tự, ký tự số và ký tự đặc biệt như !, @, #, $, %, )
• Phải được thay đổi ít nhất 3 tháng /lần và được giữ bí mật, bởi mật khẩu tượng trưng cho định danh người dùng, mọi hoạt
động diễn ra dưới mật khẩu cọi như do người dùng đó thực hiện.
• Có ý thức trong giữ bí mật mật khẩu và hoạt động nghiệp vụ, không để lộ mật khẩu.
Trang 17Những đe dọa với hệ thống
• 2 Vấn đề về bảo mật thông tin- Giải pháp về kỹ thuật
+) Phải đảm bảo yêu cầu bảo mật thông tin và các thỏa thuận bí mật Mã hóa các thông tin cần bảo vệ, sử dụng mã hóa dữ liệu sql mã hóa theo từng cột user, pass, đối với người quản trị chỉ có thể có được user mà không được phép xem pass.
+) Mọi công việc nghiệp vụ liên quan đến hệ thống chỉ có thể được tiến hành trong cơ quan nơi làm việc, không được phép diễn ra ở những nơi công cộng khác.
- Giải pháp về phía con người
+) Tuyệt đối không tiết lộ thông tin của cơ quan ra bên ngoài, cần có chế tài hợp lý cho những kẻ để lộ thông tin.
Trang 18Những đe dọa với hệ thống
• Vấn đề về phân quyền
Đảm bảo phân cấp trách nhiệm đảm bảo an toàn thông tin trong tổ chức.Tiến hành phân cấp đến mức nhỏ nhất cho các đối tượng tham gia hệ thống đảm bảo tính hiện quả và tránh tranh chấp Biện pháp tiến hành đảm bảo xây dựng phân quyền logic cho hệ thống, đảm bảo người dùng có quyền tương ứng với các chức năng nằm trong quyền hạn và công việc của mình Giới hạn việc sử dụng các chức năng của chương trình đối với từng nhóm đối tượng khác nhau.
Người sử dụng phải có nhiệm vụ giữ bí mật đối với mật khẩu để thực hiện đúng quyền của mình, tránh các lỗi trong quá trình thực hiện ghi nhập.
Trang 19Những đe dọa với hệ thống
• Quy tắc về sử dụng mạng: không trao đổi công việc trên các hệ thống
mạng xã hội hoặc email, chỉ cung cấp những hỗ trợ thiết yếu nhất bảo đảm duy trì hoạt động của hệ thống thông tin, hạn chế sử dụng các trang mạng không lành mạnh, không cần thiết.
Trang 20Những đe dọa với hệ thống
• Quy tắc về sử dụng các thiết bị sao lưu dự phòng.• Quy tắc xử lý và sử dụng thông tin
• +) Mỗi giáo viên,sinh viên chỉ được phép truy cập các thông tin phù hợp với chức năng, trách nhiệm, quyền hạn của mình, có trách nhiệm bảo mật tài khoản truy cập thông tin.
• +) hệ thống có rất nhiều nghiệp vụ liên quan đến việc cập nhật thông tin vậy làm thế nào để đảm bảo an
toàn thông tin khi việc cập nhật thông tin nhiều thế
Trang 21Những đe dọa đến từ tấn công hệ thống máy tính
• Những đe dọa đến từ các vụ tấn công trên hệ thống máy tính xuất phát từ việc phải đảm bảo các yếu tố về mặt kỹ thuật và công nghệ, việc triển khai hệ thống tường lửa và các hệ thống diệt vi rút, nhận dạng các yếu tố nguy hiểm cho hệ thống
• Ngoài ra còn xuất phát từ thói quen sử dụng các thiết bị lưu trữ ngoài không đúng và thói quén sử dụng mạng, tính tò mò khi sử dụng các ứng dụng trên internet cũng là điểm mà những kẻ tấn công mạng chú ý tới.
• Biện pháp : Triển khai cấu hình mạng an toàn đến từng thiết bị, triển khai hệ thống công nghệ bảo vệ hệ thống cùng với có
chính sách đối với nhân viên trong việc sử dụng internet Sử
dụng các giao thức bảo mật mạng như IPSec, SSL để chống lại các loại hình tấn công phiên, chống tấn công nghe lén.
Trang 22Những đe dọa đến hệ thống máy tính
• Hệ thống được xây dựng lên phải đảm bảo chức năng vê sao
lưu dự phòng
Các dữ liệu quan trọng cần phải sao lưu , bao gồm: thông tin cấu hình của hệ thống mạng, máy chủ; phần mềm ứng dụng và cơ sở dữ liệu; tập tin ghi nhật ký.
• +) Các cơ quan phải lập kế hoạch và thực hiện sao lưu dữ liện phù hợp với điều kiện của từng cơ quan, đảm bảo khả năng phục hồi dữ liệu khi có sự cố xảy ra.
Trang 23Những đe dọa đến hệ thống máy tính
• Phải xây dựng hệ thống quản lý logfile: Hệ thống
thông tin cần ghi nhận các sự kiện: quá trình đăng nhập vào hệ thống, các thao tác cấu hình hệ thống Thường xuyên kiểm tra, sao lưu (backup) các logfile theo từng tháng để lưu vết theo dõi, xác định những sự kiện đã xảy ra của hệ thống và hạn chế việc tràn logfile gây ảnh hưởng đến hoạt động của hệ thống dạng nhật ký người dùng với các nội dung như: nội dung thay đổi, lý do thay đổi, thời gian, vị trí thay đổi,
Trang 24Những đe dọa đến hệ thống máy tính
• Phải có biện pháp tổ chức quản lý tài khoản: Các tài
khoản và định danh người dùng trong hệ thống thông tin, bao gồm: tạo mới, kích hoạt, sửa đổi và loại bỏ
các tài khoản , đồng thời tổ chức kiểm tra các tài
khoản của hệ thống thông tin ít nhất 6 thang một lần, thông qua các công cụ của hệ thống Hủy tài khoản, quyền truy nhập hệ thống thông tin, thu hồi lại tất cả các tài sản liên quan tới hệ thống thông tin (khóa, thẻ nhận dạng, thư mục lưu trữ, ) đối với cán bộ, công chức, viên chức đã chuyến công tác, chấm dứt hợp đồng lao động.
Trang 25Thank You!
www.themegallery.com