1. Trang chủ
  2. » Thể loại khác

Giáo trình An toàn thông tin - Google Tài liệu

228 287 1

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 228
Dung lượng 2,14 MB

Nội dung

Giáo trình An toàn thông tin - Google Tài liệu tài liệu, giáo án, bài giảng , luận văn, luận án, đồ án, bài tập lớn về t...

         Ngườisoạn:ThSNguyễnCôngNhật 1  MỤCLỤC MỤCLỤC  DANHMỤCCÁCHÌNHVẼ  DANHMỤCCÁCBẢNG  MỞĐẦU  MỞĐẦU  CHƯƠNGI.TỔNGQUANVỀANTOÀNTHÔNGTIN  1.1.Mởđầuvềantoànthôngtin  1.2.Nguycơvàhiểmhọađốivớihệthốngthôngtin  1.3.Phânloạitấncôngpháhoạiantoànthôngtin  1.3.1.Tấncôngvàomáychủhoặcmáytrạmđộclập  1.3.2.Tấncôngbằngcáchphámậtkhẩu.  1.3.3.Virus,sâumạngvàtrojanhorse.  1.3.4.Tấncôngbộđệm(bufferattack).  1.3.5.Tấncôngtừchốidịchvụ.  1.3.6.Tấncôngđịnhtuyếnnguồn(sourceroutingattack).  1.3.7.Tấncônggiảmạo.  1.3.8.Tấncôngsửdụngemail.  1.3.9.Tấncôngquétcổng.  1.3.10.Tấncôngkhôngdây  1.4.Vaitròcủahệđiềuhànhtrongviệcđảmbảoantoànthôngtin  1.4.Tínhcầnthiếtcủaantoànthôngtin  1.4.1.Bảovệthôngtinvàtàinguyên.  1.4.2.Bảođảmtínhriêngtư.  1.4.3.Kíchthíchluồngcôngviệc  1.4.4.Pháthiệncáclỗhổngantoànvàgỡrốiphầnmềm.  1.4.5.Tổnthấtvìlỗihaysựbấtcẩncủaconngười.  1.5.Chiphíđểđảmbảoantoàn  CHƯƠNGII:CÁCPHẦNMỀMPHÁHOẠI  2.1.Phânloạicácphầnmềmpháhoại  2.1.1.Virus  2.1.2.Sâumạng  2.1.3.Conngựatơroa(Trojanhorse)  2.1.4.Phầnmềmgiánđiệp(Spyware)  2.2.Cácphươngpháptấncôngthườngđượcsửdụngbởiphầnmềmphá hoại  2  2.2.1.Cácphươngphápthựchiện(Excutablemethods)  2.2.2.CácphươngpháptấncôngBootvàPartitionsector  2.2.3.CácphươngpháptấncôngdùngMacro  2.2.4.CácphươngpháptấncôngdùngEmail  2.2.5.Khaitháclỗiphầnmềm(Softwareexploitation)  2.2.6.Cácphươngpháptấncônggiữavàohạtầngmạng  2.3.Bảovệthôngtinkhỏicácphầnmềmpháhoại  2.3.1.Càiđặtcácbảncậpnhật.  2.3.2.Giámsátqúatrìnhkhởiđộnghệthống  2.3.3.Sửdụngcácbộquétphầnmềmđộchại  2.3.4.Sửdụngchữkýsốchocáctệpđiềukhiểnvàtệphệthống  2.3.5.Saolưuhệthốngvàtạocácđĩasửachữa  2.3.6.Tạovàcàiđặtcácchínhsáchcủatổchức  2.3.7.Thiếtlậptườnglửa  CÂUHỎIVÀBÀITẬPTHỰCHÀNH  CHƯƠNGIII:ANTOÀNBẰNGCÁCHDÙNGMẬTMÃ  3.1.Mãcổđiển  3.1.1.Mãđốixứng.  3.1.1.1.Cáckháiniệmcơbản  3.1.1.2.Cácyêucầu.  3.1.1.3.Mậtmã  3.3.1.4.Thámmã.  3.1.1.5.Tìmduyệttổngthể(BruteForce)  3.1.1.6.Độantoàn.  3.2.Cácmãthếcổđiểnthaythế  3.2.1.MãCeasar  3.2.2.Cácmãbảngchữđơn  3.2.3.MãPlayfair  3.2.4.MãVigenere  3.2.5.MãRailFence  3.2.6.Mãdịchchuyểndòng  3.3.Mãkhốihiệnđại  3.3.1.Phânbiệtmãkhốivớimãdòng.  3.3.2.ClaudeShannonvàmãphépthếhoánvị  3.3.3.CấutrúcmãFiestel  3.4.Chuẩnmãdữliệu(DES)  3  3.4.1.LịchsửDES:  3.4.2.SơđồmãDES  3.4.3.TínhchấtcủaDES  3.4.4.CáckiểuthaotáccủaDES  3.5.Chuẩnmãnângcao(AES)  3.5.1.Nguồngốc  3.5.2.TiêuchuẩntriểnkhaicủaAES  3.5.3.ChuẩnmãnângcaoAES–Rijndael  3.6.Cácmãđốixứngđươngthời  3.6.1.TripleDES  3.6.2.Blowfish  3.6.3.RC4  3.6.5.RC5  3.6.6Cácđặctrưngcủamãkhốivàmãdòng.  Chương4:ANTOÀNWEB  4.1.WebvàvấnđềantoànWeb  4.1.1.SựrađờivàpháttriểncủaWeb  4.1.2.MôhìnhWeb  4.1.3.MộtsốvấnđềantoànWebtrênmôitrườngWindows  4.2.Antoàndịchvụweb:Kiếntrúcđềxuất  4.2.1.CácđặctảcủaWebServiceSecurity  4.2.2.Quanhệcủamôhìnhantoàndịchvụwebvớicácmôhìnhan toànhiệnnay  4.2.3.Cáckịchbản  4.3.GiớithiệumộtkỹthuậttấncôngSQLInjection  4.3.1.TấncôngdưavàocâulệnhSELECT  4.3.2.TấncôngdựavàocâulệnhkếthợpUNION  4.3.3.TấncôngdưavàolệnhINSERT  4.3.4.TấncôngdưavàoSTOREDPROCEDURE  4.3.5.Chuỗikítựkhôngcódấunháyđơn:  4.3.6.Tấncông2tầng  4.4.Cáchphòngchống  CHƯƠNGV:ANTOÀNMẠNGKHÔNGDÂY  5.1.Giớithiệuvềantoànmạngkhôngdây  5.1.1.Cáctấncôngđốivớimạngkhôngdây  5.1.2.Cáccôngnghệsóngvôtuyến  4  5.2.GiớithiệuvềIEEE802.11  5.2.1.Cácthànhphầncủamạngkhôngdây  5.2.2.Cácphươngpháptruynhậpmạngkhôngdây  5.2.3.Kiểmsoátlỗidữliệu  5.2.3.Tốcđộtruyền  5.2.4.Sửdụngxácthựcđểhuỷbỏkếtnối  5.3.MạngBoluetooth  5.4.Phântíchcáctấncôngmạngkhôngdây  5.4.1.Cáctấncôngthămdò  5.4.2.CáctấncôngDoS  5.4.3Cáctấncôngxácthực  5.4.4.CáctấncôngtrêngiaothứcEAP  5.4.5.Cácđiểmtruynhậpgiảmạo  5.5.Cácbiệnphápantoànmạngkhôngdây  5.5.1.Xácthựchệthốngmở  5.5.2.Xácthựckhoáchung  5.5.3.Antoàntươngđươngmạngcódây(WEP)  5.5.4.Dịchvụthiếtlậpđịnhdanh  5.5.5.Antoàn802.1x,802.1i  5.6.CấuhìnhantoànkếtnốikhôngdâytrongcácmạngWINDOWS, LINUX  5.6.1.Cấuhìnhantoànkếtnốikhôngdâytronghệđiềuhành Windows  5.6.2.CấuhìnhantoànkếtnốikhôngdâytronghệđiềuhànhLinux  CÂUHỎIVÀBÀITẬPTHỰCHÀNH  TÀILIỆUTHAMKHẢO   5  DANHMỤCCÁCHÌNHVẼ Hình21:Nộidungcủatệpwin.initronghệđiềuhànhWinXP  Hình22:ĐặttínhnăngantoànmacrotrongMicrosoftOffice2003.  Hình51:CácloạiAntenatrongWLAN  Hình52:AntenahướngtrongmạngWLAN  Hình5.3:KhuôndạnggóidữliệuWEP  Hình5.4:QuátrìnhđónggóidữliệuWEP  Hình55:CởigóidữliệuWEP   DANHMỤCCÁCBẢNG Bảng21:Nhữngxuấtphátđiểmcủacácphầnmềmpháhoại  Bảng22:Mộtsốphầnmềmquétvirus   6  MỞĐẦU Giáo trình an toàn thông tin được xây dựng nhằm cung cấp cho             người đọc những kiến thức cơ bản về an toàn thông tin, khai thác sử dụng                các dịch vụ an toàn trong hệ thống thông tin, sử dụng các ứng dụng cài đặt                 trêncáchệđiềuhànhnhằmđảmbảotínhantoàncủahệthống. Nộidungcủagiáotrìnhbaogồm: Chương1:Kháiniệmvềantoànhệđiềuhành Chương này sẽ trình bày các vấn đề: Hệ điều hành và an toàn hệ điều                hành, tính cần thiết của an toàn hệ điều hành, các tấn công đối với hệ điều                 hành, chi phí để thiết lập an toàn cho các hệ điều hành và các mức của an                  toànhệđiềuhành. Chương2:Cácphầnmềmpháhoại Nội dung của chương này bao gồm: Phân loại các phần mềm phá hoại, các               kiểu tấn công của các phần mềm phá hoại và phương pháp bảo vệ hệ điều                hànhkhỏicáctấncôngcủacácphầnmềmpháhoại. Chương3:Antoànbằngcáchdùngmậtmã Chương này trình bày các vấn đề: các phương pháp mã hoá, các phương              phápxácthực. Chương4:AntoànIPvàweb Chương này chúng ta sẽ xét đến cơ chế an toàn IPSec và một số giao thức                 bảomậtlớpvậnchuyểnứngdụngtrênWeb. Chương5:Antoànmạngkhôngdây Chương này trình bày các vấn đề tổng quan về an toàn mạng không dây,               các công nghệ sóng radio, mạng sóng bluetooth, chuẩn IEEE 802.11 cũng            như việc phân tích các tấn công đối với mạng không dây. Một số biện               7  pháp an toàn mạng không dây và cách thức cấu hình an toàn kết nối không                dâytrêncáchệđiềuhành. Giáo trình được biên tập lần đầu và dựa trên các tài liệu tham khảo đã chỉ                 ra cũng như một số nguồn tài liệu khác, chắc chắn còn rất nhiều khiếm               khuyết về nội dung cũng như phương pháp thể hiện, tôi rất mong nhận              được những ý kiến đóng góp của các đồng nghiệp và các bạn đọc để có thể                 hoànchỉnhtiếptrongquátrìnhthựchiện. Vinh,09/2008  Tácgiả.   8  CHƯƠNGI.TỔNGQUANVỀANTOÀN THÔNGTIN 1.1.Mởđầuvềantoànthôngtin Ngày nay với sự phát triển bùng nổ của công nghệ thông tin, hầu hết               các thông tin của doanh nghiệp như chiến lược kinh doanh, các thông tin              về khách hàng, nhà cung cấp, tài chính, mức lương nhân viên,…đều được             lưu trữ trên hệ thống máy tính. Cùng với sự phát triển của doanh nghiệp là                những đòi hỏi ngày càng cao của môi trường kinh doanh yêu cầu doanh              nghiệp cần phải chia sẻ thông tin của mình cho nhiều đối tượng khác nhau               qua Internet hay Intranet. Việc mất mát, rò rỉ thông tin có thể ảnh hưởng               nghiêm trọng đến tài chính, danh tiếng của công ty và quan hệ với khách               hàng. Các phương thức tấn công thông qua mạng ngày càng tinh vi, phức             tạp có thể dẫn đến mất mát thông tin, thậm chí có thể làm sụp đổ hoàn toàn                  hệ thống thông tin của doanh nghiệp. Vì vậy an toàn thông tin là nhiệm vụ                rất nặng nề và khó đoán trước được, nhưng tựu trung lại gồm ba hướng               chínhsau:  Bảođảmantoànthôngtintạimáychủ  Bảođảmantoànchophíamáytrạm  Antoànthôngtintrênđườngtruyền Đứng trước yêu cầu an toàn thông tin, ngoài việc xây dựng các             phương thức an toàn thông tin thì người ta đã đưa ra các nguyên tắc về bảo                 vệdữliệunhưsau:  Nguyêntắchợppháptronglúcthuthậpvàxửlýdữliệu.  Nguyêntắcđúngđắn. 9   Nguyêntắcphùhợpvớimụcđích.  Nguyêntắccânxứng.  Nguyêntắcminhbạch.  Nguyên tắc được cùng quyết định cho từng cá nhân và bảo đảm             quyềntruycập chongườicóliênquan.  Nguyêntắckhôngphânbiệtđốixử.  Nguyêntắcantoàn.  Nguyêntắccótráchniệmtrướcphápluật.  Nguyêntắcgiámsátđộclậpvàhìnhphạttheophápluật.  Nguyên tắc mức bảo vệ tương ứng trong vận chuyển dữ liệu xuyên             biêngiới. Ở đây chúng ta sẽ tập trung xem xét các nhu cầu an ninh và đề ra các                  biện pháp an toàn cũng như vận hành các cơ chế để đạt được các mục tiêu                 đó.  Nhucầuantoànthôngtin: An toàn thông tin đã thay đổi rất nhiều trong thời gian gần đây.              Trước kia hầu như chỉ có nhu cầu an toàn thông tin, nay đòi hỏi thêm                nhiềuyêucầumớinhưanninhmáychủvàtrênmạng. Các phương pháp truyền thống được cung cấp bởi các cơ chế hành             chính và phương tiện vật lý như nơi lưu trữ bảo vệ các tài liệu quan trọng                 vàcungcấpgiấyphépđượcquyềnsửdụngcáctàiliệumậtđó. Máy tính đòi hỏi các phương pháp tự động để bảo vệ các tệp và các                thông tin lưu trữ. Nhu cầu an toàn rất lớn và rất đa dạng, có mặt khắp mọi                  10  [...]... tính  lưu  giữ  rất  nhiều  thông tin cá  nhân  cần  được  giữ bí mật. Những thông tin này bao gồm:  ­ Số thẻ bảo hiểm xã hội.  ­ Số thẻ ngân hàng.  ­ Số thẻ tín dụng.  ­ Thông tin về gia đình.  ­ Thông tin về sức khoẻ.  ­ Thông tin việc làm.  ­ Thông tin về sinh viên.  29    ­ Thông tin về các khoản mục đầu tư.  ­ Thông tin về sổ hưu trí.  Tính  riêng  tư  là  yêu  cầu  rất  quan  trọng  mà  các  ngân ... những thông tin và tài nguyên này có thể  là  dữ  liệu kế  toán,  thông tin nguồn  nhân  lực,  thông tin quản  lý,  bán  hàng,  nghiên  cứu,  sáng  chế,  phân  phối,  thông tin về  nhà máy và thông tin về các  hệ  thống  nghiên  cứu.  Đối  với  rất nhiều công ty, toàn bộ dữ liệu quan trọng  của  họ  thường  được  lưu  trong  một  cơ  sở  dữ  liệu và  được  quản  lý  và  sử  dụng  bởi  một  chương  trình ... thông tin nhạy  cảm  của  nhân  viên  trong  công  ty.  Đây  chỉ  là  những  ví  dụ  lý  giải  tại  sao  an toàn hệ  điều  hành  và  an toàn mạng  là  cần  thiết.  Mục  đích  của an toàn có thể được chia thành  các nhóm sau:  1.4.1. Bảo vệ thông tin và tài nguyên.  Các  hệ  thống  máy  tính  lưu  giữ  rất  nhiều  thông tin và  tài nguyên  cần  được  bảo  vệ.  Trong  một  công  ty,  những thông tin và tài nguyên này có thể ... để  thông tin liên  lạc  ở  Mỹ.  Tất  cả  những người dùng này lưu dữ,  tải  lên  hoặc  tải  xuống  những  thông tin như  những  tài liệu văn  bản,  đồ hoạ  và  bảng  tính,  ở  một  khía  cạnh nào đó, những thông tin này lại thuộc quyền  sở  hữu  của  các  tổ  chức  mà  họ  đang  làm  việc.  Những  thông tin trên  máy  tính  cũng  bao  gồm  những bản ghi cá nhân, thông tin thuế và những dữ liệu ... đó không thể không đề ra các qui trình tự động hỗ trợ bảo  đảm an toàn thông tin.   Việc  sử  dụng  mạng  và  truyền  thông đòi  hỏi  phải  có  các  phương  tiện  bảo  vệ  dữ  liệu khi  truyền.  Trong  đó  có  cả  các  phương  tiện  phần  mềm  và  phần  cứng,  đòi  hỏi  có  những  nghiên  cứu  mới  đáp  ứng  các  bài  toán  thực  tiễn đặt ra.  Các khái niệm:  An toàn thông tin:  Bảo mật + toàn vẹn + khả dụng + chứng thực  An toàn ... ­ Chi phí thêm cho các hệ thống có các tính năng an toàn.   ­ Mua các công cụ an toàn thứ ba.  ­  Chi phí thời gian mà các chuyên gia mà người dùng sử dụng để cài đặt và  cấu hình các chức năng an toàn.   ­ Thử nghiệm các chức năng an toàn hệ thống.  ­ Vá lỗ hổng an toàn trong hệ thống một cách thường xuyên.  Chi  phí  để  triển  khai  các  chức  năng  an toàn là  một  thành  phần  trong  toàn bộ  chi  phí  sở  hữu ... 1.4. Tính cần thiết của an toàn thông tin An toàn là  rất  cần  thiết  vì  các  hệ  thống  máy  tính và mạng lưu giữ rất  nhiều  thông tin và  tài nguyên  khác  nhau.  Ví  dụ,  khi  người  dùng  sử  dụng  27    thẻ  tín  dụng  để  mua  hàng  qua  internet  thì  phải  cần  đến  nhà  cung  cấp  dịch  vụ  internet  cung  cấp  một  kênh  an toàn để  thực  hiện  giao  dịch  và  bảo  đảm  tất  cả  những  thông tin ... vệ  dữ  liệu và chống hacker.  An toàn mạng: các phương tiện bảo vệ dữ liệu khi truyền chúng.  An toàn Internet:  các  phương  tiện  bảo  vệ  dữ  liệu khi  truyền  chúng  trên  tập  các mạng liên kết với nhau.Mục đích của môn học là tập trung vào  an toàn Internet  gồm  các  phương  tiện  để  bảo  vệ,  chống, phát hiện, và hiệu  chỉnh các phá hoại an toàn khi truyền  và lưu trữ  thông tin.   1.2. Nguy cơ và hiểm họa đối với hệ thống thông tin ... ­ Từ phía người sử dụng: xâm nhập bất hợp pháp, ăn cắp tài sản có giá trị   ­  Trong  kiến  trúc  hệ  thống  thông tin:   tổ  chức  hệ  thống  kỹ  thuật  không  có  cấu  trúc hoặc không đủ mạnh để bảo vệ thông tin.    12    ­  Ngay  trong  chính  sách  an toàn an toàn thông tin:   không  chấp  hành  các  chuẩn  an toàn,   không xác định rõ các quyền trong vận hành hệ thống.  ­  Thông tin trong  hệ  thống  máy  tính  cũng  sẽ dễ bị xâm nhập nếu không có ... pháp  an toàn thì  sẽ  mất  rất  nhiều  tiền  và  dữ  liệu do  một  hệ  thống  bị  hỏng  hóc  hoặc  do  một  tấn  công  nào  đó  vào  hệ  thống.  Trong  trường  hợp  xấu  nhất,  việc  thiếu  an toàn cũng  đồng  nghĩa  với  việc  mất  toàn bộ  dữ  liệu của  một công ty, dẫn đến việc công ty đó sẽ phá sản.  Chi phí để triển khai các chức năng an toàn bao gồm:  34    ­ Đào tạo các chuyên gia an toàn.   .   chínhsau:  Bảođảm an toàn thông tin tạimáychủ  Bảođảm an toàn chophíamáytrạm  An toàn thông tin trênđườngtruyền Đứng trước yêu cầu an toàn thông tin, ngoài việc xây dựng.  DANHMỤCCÁCHÌNHVẼ  DANHMỤCCÁCBẢNG  MỞĐẦU  MỞĐẦU  CHƯƠNGI.TỔNGQUANVỀ AN TOÀNTHÔNG TIN  1.1.Mởđầuvề an toàn thông tin  1.2.Nguycơvàhiểmhọađốivớihệthống thông tin.  đó.  Nhucầu an toàn thông tin:  An toàn thông tin đã thay đổi rất nhiều trong thời gian gần đây.              Trước kia hầu như chỉ có nhu cầu an toàn thông tin, nay đòi hỏi

Ngày đăng: 10/07/2015, 16:49

TỪ KHÓA LIÊN QUAN

w