| An Toan Bao Mat He Thong Thong Tin |
Chương 1 : Tổng Quan Về Bảo
Mat Thong Tin
Giang vién : Nguyén Minh Thanh
E-mail : thanhnm.itc@itc.edu.vn
Trang 2Mục Lục I Khái quát về bảo mật thông tin II Các thành phân bảo mật II Các nguy cơ trong bảo mật thông tin 1 Cac nguy co
2 Cac bién phap déi phd
IV Chính sách và cơ chê
V Quy trình thực hiện bảo mật
Trang 3I Khai quat ve bao mat thong tin
° C6 thong tin ma ngudi phat tin chi mu6n cho đôi tượng nào
đó nhận, đối tượng khác không thê biết được Bí mật quốc gia, trao đôi thư tín, ølao dịch thương mại Luôn yêu câu
bức thiết phải có hệ thông truyền thơng an tồn và tin cậy Quyết định đến sự tôn vong và phát triển của tô chức
e Bao mat thông tin phát triên: bảo vệ an toàn cho quốc gia và quân sự Ngày nay được xem là vẫn đề cấp thiết đối với
mọi tô chức đê bảo vệ chính mình
Trang 4I Khai quat ve bao mat thong tin e Co nhiéu phuong án kỹ thuật được đê ra để giải quyết vân dé nay : e Ma hoa (Cryptography)
e Cac giao thie truyén (Protocols)
e Các cơ chê kiểm soát truy cap (Access control mechanisms) s® Tường lửa
e IDSs
@ e Tuy nhiên, môi phương án đêu có lô hông
Trang 5II Các thành phần bao mat
e Bao mat may tính dựa trên 3 thành phân chính e Tinh bi mat (Confidentiality)
Che dâu nội dung hoặc sự tồn tại dữ liệu, thong tin va
tai nguyén
Một hệ thơng an tồn sẽ đảm bảo sự bí mật của dữ liệu Có nghĩa là nó chỉ cho phép những cá nhân hợp pháp
được xem nhưng đữ liệu hợp lệ
Trang 6II Các thành phần bao mat
e Tinh toan ven (Integrity)
Toàn vẹn về dữ liệu và nguôn gốc (phải được chứng thực)
Một hệ thơng an tồn phải đảm bảo dữ liệu mà nó có là
đúng Toàn vẹn về đữ liệu là bảo vệ dữ liệu không bị xoá, chỉnh xửa, bị lỗi cả khi nó năm trong CSDL va
khi truyén trén mang
Trang 7II Các thành phần bao mat
e Tinh san sang (Availability)
Cho phép truy cập đữ liệu và tài nguyên ở mọi lúc Một hệ thơng an tồn phải đảm bảo dữ liệu luôn sẵn
sàng được truy cập bởi những người dùng hợp pháp, khơng bị trì hỗn
Denial-of-service là một hình thức tân công làm mất đi tính sẵn sàng của dữ liệu
Trang 8( III Cac nguy co trong bao mat thong
tin (tt)
e Cac nguy co hay con gọi là môi đe doạ là những hành vi vi phạm tính bảo mật có thể xảy ra cho hệ thống
e Những hành vi vi phạm đó chưa cân xảy ra nhưng khi xảy ra (dù vô tình hay cô ý) chắc chăn nó sẽ ảnh hưởng xâu đền hệ thông và tô chức
Trang 9( III Cac nguy co trong bao mat thong tin (tt) e Cac nguy co ảnh hưởng đến : e Mat tinh bi mật Phai duy tri su bi mat cho dt liệu e Mất tính toàn vẹn
Phải ngăn ngừa việc thay đôi thông tin bất hợp pháp
Bao gôm cả mất tính chống thoái thác và xác thực -> phải kiểm toán và xác định trách nhiệm
e Mat tinh san sang
© Phải tránh sự tân công denial-of-service
Trang 10TII.1 Các nguy cơ
e Các nguy cơ được chia thành 4 lớp :
e Disclosure : sự truy cập thong tin trai phép e Deception : sự chấp nhận dữ liệu sai
e Isruptlon : sự ngăn chặn hoặc làm gián đoạn các chức
năng hoạt động đúng của hệ thống
e Usurpation : sự điêu khiến trái phép đối với các chức năng của hệ thơng
« Bốn lớp chính này chứa nhiêu nguy cơ chung, một nguy cơ thực sự có thê thuộc vào nhiêu lớp
© Nguyễn Minh Thanh
Trang 11
TII.2 Các biện pháp đối phó
e Đề đôi phó với các nguy cơ trên, đã có nhiều biện pháp được đê ra như :
e Identification : việc định danh một người dùng trong hệ thông
e Authenfication : việc xác thực xem người dùng đó có đích thực là người đã đăng ký hay không
Sử dụng những phương pháp 2 (thảo luận)
e Authorization : viéc uy quyên cho người dùng với các
@ chức năng có trong hệ thông
Trang 12TII.2 Các biện pháp đối phó (tt)
e Access Control : các cơ chê bảo mật đề ngăn chặn việc
truy cập đến các đôi tượng trong hệ thông
Thường được áp dụng trong các hệ thông CSDL như :
MS SQL Server, Oracle
Trang 15IV Chính sách và Cơ chế
se Chính sách bảo mật là các tuyên bô, phát biêu cái gì
được làm cái gì không được làm trong hệ thông
e Chính sách phải được thể hiện trên văn bản, phải được
viết ra và có thê được trình bày dưới dạng các cơng
thức tốn mang tính chắt chẽ
se Chính sách phải là một danh sách bao gôm các trạng thái cho phép và không cho phép đối với các đôi tượng
© trong hệ thơng
Trang 17V Quy trinh thực hiện bảo mật
e Khó có thế chứng mình một hệ thông được bảo mật tốt
nếu nó không được thực hiện theo đúng quy trình Quy trình giúp cho việc xác định các công việc và kiếm
định lại các công việc dé đánh øiá và cải thiện
e Vi vay, dé dam bao kha nang bao mat của một hệ
thông, thì phải thực hiện theo đúng quy trình sau :
e Specification : đặc tả yêu cầu bảo mật cho hệ thông
e Desien : thiết kê giải pháp
e Implement : thuc thi giải pháp
Trang 18V Quy trình thực hiện bảo mat (tt)
e Specification :
e Dac ta là việc phát biểu một cách hình thức các chức
năng mong muôn của hệ thống Việc đặc tả có thể sử dụng ngôn ngữ thường, hay ngơn ngữ tốn học dé nâng cao tính hình thức và độ chính xác e Design : e Thiét ké là việc chuyên các đặc tả vào các thành phân của hệ thông e Implementation
e Thuc thi la viéc tao ra cac thanh phan của hệ thông và kết
nối chúng lại theo đúng thiết kế