TRƯỜNG CAO ĐẲNG NGHỀ GIAO THÔNG VẬN TẢI TRUNG ƯƠNG III AN TỒN & BẢO MẬT THƠNG TIN Đào Đức Cơ An tồn bảo mật thơng tin Chương TẦM QUAN TRỌNG CỦA ANTBMTT TRÊN HTTT Đào Đức Cơ An tồn bảo mật thơng tin TẠI SAO? • Trước cơng ngun người đã quan tâm tới việc làm thế nào để đảm bảo an toàn bí mật cho các tài liệu, văn bản quan trọng, đặc biệt là lĩnh vực quân sự, ngoại giao • Ngày với sự xuất hiện của máy tính, các tài liệu văn bản giấy tờ và các thông tin quan trọng sớ hóa và xử lý máy tính, truyền một môi trường mà mặc định là khơng an toàn • u cầu một chế, giải pháp để bảo vệ sự an toàn và bí mật của các thông tin nhạy cảm, quan trọng ngày càng trở nên cấp thiết • AT&BMTT (Mật mã học) chính là ngành khoa học đảm bảo cho mục đích này Khó có thể thấy mợt ứng dụng Tin học có ích nào lại khơng sử dụng các tḥt toán mã hóa thơng tin Đào Đức Cơ An tồn bảo mật thơng tin AN TỒN THƠNG TIN LÀ GÌ • Nhu cầu đảm bảo an ninh thơng tin có biến đổi lớn – Trước đây: Chỉ cần phương tiện vật lý hành – Từ có máy tính: Cần công cụ tự động bảo vệ tệp tin thơng tin khác lưu trữ máy tính – Từ có phương tiện truyền thơng mạng: Cần biện pháp bảo vệ liệu truyền mạng – Khơng thể đảm bảo an tồn 100%, ta giảm bớt rủi ro khơng mong muốn – Những giải pháp công nghệ (kỹ thuật) đơn lẻ khơng thể cung cấp đủ an tồn Đào Đức Cơ An tồn bảo mật thơng tin AN TỒN THƠNG TIN LÀ GÌ • An tồn thơng tin gì? ATTT mắt xích liên kết hai yếu tố: yếu tố công nghệ yếu tố người • ́u tớ cơng nghệ gồm: o Các sản phẩm như: Firewall, phần mềm phòng chớng virus, giải pháp mật mã, sản phẩm mạng, hệ điều hành o Các ứng dụng như: trình duyệt Internet và phần mềm nhận Email từ máy trạm • ́u tớ người: Là ngƣời sử dụng máy tính, người làm việc với thông tin và sử dụng máy tính công việc của Đào Đức Cơ An tồn bảo mật thơng tin TÍNH CHẤT CỦA HTTT • Khái niệm hệ thớng tài sản của hệ thớng • Khái niệm hệ thống: - Hệ thống là một tập hợp các máy tính gồm thành phần phấn cứng, phần mềm và liệu làm việc tích luỹ qua thời gian • Tài sản của hệ thớng bao gờm: - Phần cứng Phần mềm Dữ liệu Môi trường truyền thông các máy tính của hệ thống Môi trường làm việc Con người Đào Đức Cơ An toàn bảo mật thơng tin TÍNH CHẤT CỦA HTTT • Các mới đe doạ đới với mợt hệ thớng Có hình thức chủ ́u đe dọa đới với hệ thống: - Phá hoại: Thiết bị phần cứng hoặc phần mềm hoạt động hệ thống - Sửa đổi: Tài sản của hệ thống bị sửa đổi trái phép Điều này thường làm cho hệ thống không làm đúng chức của (Thay đởi mật khẩu, quyền người dùng hệ thống làm…) - Can thiệp: Tài sản bị truy cập người khơng có thẩm quyền Các truyền thông thực hiện hệ thống bị ngăn chặn, sửa đởi Đào Đức Cơ An tồn bảo mật thơng tin TÍNH CHẤT CỦA HTTT • An ninh thông tin – Liên quan đến yếu tố tài nguyên, nguy cơ, hành động công, yếu điểm, điều khiển • An ninh máy tính – Các cơng cụ bảo vệ liệu phòng chống tin tặc • An ninh mạng – Các biện pháp bảo vệ liệu truyền mạng • An ninh liên mạng – Các biện pháp bảo vệ liệu truyền tập hợp mạng kết nối với Đào Đức Cơ An tồn bảo mật thơng tin Mục tiêu mơn học • Chú trọng an ninh liên mạng • Nghiên cứu các biện pháp ngăn cản, phòng chống, phát hiện và khắc phục các vi phạm an ninh liên quan đến truyền tải thông tin Đào Đức Cơ An tồn bảo mật thơng tin Đảm bảo an ninh thơng tin • Để thực hiện có hiệu quả cần đề một phương thức chung cho việc xác định các nhu cầu an ninh thông tin • Phương thức đưa xét theo mặt – Hành động công – Cơ chế an ninh – Dịch vụ an ninh Đào Đức Cơ An tồn bảo mật thơng tin 10 Mợt sớ sách quan trọng 2.3 Lọc nội dung 2.4 Xây dựng các hệ thớng phòng chớng và phát hiện xâm nhập Các hệ thống quét Virus, antispyware, antispam 2.5 Thực hiện các chế mã hoá thông tin, xây dựng hạ tầng PKI 2.6 Thường xun dò tìm, phát hiện lỗ hổng hệ thống 2.7 Thiết lập hệ thống cung cấp bản vá lỗ hổng bảo mật 2.8 Xây dựng chế dự phòng và phục hồi hệ thớng đảm bảo tính liên tục của hệ thống Đào Đức Cơ An tồn bảo mật thơng tin 223 Mợt sớ sách quan trọng Về giáo dục, đào tạo Tăng cường giáo dục, đào tạo, thường xuyên kiểm tra, nhắc nhở cán bộ nhân viên sự cần thiết của bảo mật các biện pháp, quy định bảo mật của ngân hàng Các quy định, chính sách bảo mật cho người dùng ći, các quy trình cho đội ngũ cán bộ CNTT rà soát, chỉnh sửa theo hướng chuẩn hóa, nâng cao tính bảo mật Tăng cường giáo dục cho cán bộ nhân viên sự cần thiết của bảo mật các biện pháp, quy định bảo mật của ngân hàng Đào Đức Cơ An tồn bảo mật thơng tin 224 Quản lý rủi ro HTTT • Quản lý Chiến lược rủi ro bao gồm ba bước: - Phân tích chiến lược: Những rủi ro phải đới mặt là gì? - Lựa chọn chiến lược: Chiến lược nào tốt nhất để quản lý rủi ro - Thực hiện chiến lược: Thực hiện chiến lược đã chọn Đào Đức Cơ An toàn bảo mật thông tin 225 Quản lý rủi ro HTTT • Để quản lý rủi ro cần trả lời các câu hỏi sau: - Hệ thống thiết lập chính sách an toàn mức độ nào? - Hệ thống đã thiết lập giải pháp nào? - Các thông tin hệ thống đảm bảo đến đâu? - Liệu các thông tin các cơng ty bên đới tác cung cấp có chính xác trung thực không? - Vấn đề người cùng với ý thức an toàn thông tin Đào Đức Cơ An tồn bảo mật thơng tin 226 Các bước thực hiện mợt chương trình quản lý rủi ro Xác định các rủi ro Đánh giá khả chấp nhận rủi ro của hệ thống Đưa giới hạn để kiểm soát rủi ro Thực hiện các thông lệ và quy trình an toàn và bảo mật chuyên nghiệp để trì rủi ro giới hạn đã xác định Đo lường rủi ro một cách chính xác và toàn diện sở liên tục điều chỉnh và phản ánh thay đổi thực tế hệ thống Báo cáo và đánh giá lại các rủi ro Đào Đức Cơ An toàn bảo mật thông tin 227 Quản lý chất lượng ATTT ISO 17799/27001 • ISO 17799 là mợt chuẩn q́c tế đáp ứng các nhu cầu: - Thiết lập một chính sách an ninh thông tin dựa tảng một hệ thống quản lý an ninh thông tin ISMS (Information Security Management System) chuẩn hóa - Cung cấp mợt khuôn khổ (framework) cho việc khởi đầu, thiết lập, quản lý và trì an ninh thơng tin tở chức - BS7799 Bộ thương mại và Công nghiệp Anh phát triển và xuất bản dạng Quy tắc thực tiễn cho người dùng (Users Code of Practice) vào năm 1996 - Vào tháng 10 năm 1999, BS 7799 đệ trình lên tở chức tiêu chuẩn q́c tế ISO và trở thành chuẩn ISO 17799 vào tháng 10 năm 2000 và áp dụng rộng rãi khắp thế giới Đào Đức Cơ An toàn bảo mật thông tin 228 ISO 17799 ISO 17799 đề cập đến 10 mục tiêu cần quản lý: Chính sách an ninh: Cung cấp các nguyên tắc, dẫn khuyến nghị để cải thiện an ninh thông tin Tổ chức an ninh: Đề cập đến cấu tổ chức quản lý an ninh thông tin Phân loại kiểm tra tài sản: Thực hiện việc kiểm kê tài sản thông tin, đánh giá rủi ro để bảo vệ thơng tin mợt cách có hiệu quả An ninh nhân sự: Mô tả trách nhiệm của nhân viên, vai trò của các cá nhân an ninh thơng tin, nhằm giảm thiểu các sai sót lỗi của người, ăn cắp hoặc lạm dụng tài sản công An ninh môi trường mức vật lý: Định nghĩa, xác định mức độ an toàn môi trường, vị trí lắp đặt hệ thống giám sát, phòng chớng cháy nở, giảm thiểu thiên tai cho các thiết bị và tài sản thông tin Đào Đức Cơ An tồn bảo mật thơng tin 229 Quản lý tác nghiệp thông tin liên lạc: Xác định và quản trị các quá trình thơng tin tạo điều kiện cho hệ thông quản lý an ninh thông tin hoạt đợng có hiệu quả Điều khiển truy nhập: Các khuyến nghị nhằm đảm bảo truy nhập thông tin có kiểm soát, ghi nhận (logging) quá trình truy nhập vào hệ thống Phát triển hệ thống bảo dưỡng: Đảm bảo các dự án, chương trình CNTT xây dựng, thiết lập, triền khai một cách an toàn thơng qua quá trình kiểm tra mã nguồn, kiểm soát liệu chương trình và sử dụng các giải tḥt mã hóa Quản trị tính liên tục kinh doanh: Các khuyến nghị cho vấn đề phát triển và trì họat đợng kinh doanh qua các kế họach lưu dự phòng và khơi phục liệu 10 Điều kiện tuân thủ: Các vấn đề liên quan đến pháp lý, các cam kết tuân thủ các quy định của chính phủ, nhà nước Đào Đức Cơ An tồn bảo mật thơng tin 230 ISO 17799/7799 • ISO 17799 cung cấp một phương pháp tiếp cận quản lý an ninh thơng tin mợt cách có hệ thớng • Nó giúp cho cơng ty có chứng nhận ISO 17799, tạo niềm tin cho đối tác, khách hàng, nâng cao vai trò, ảnh hưởng vị thế của tổ chức mức độ quốc tế, giảm thiểu mức độ rủi ro thông tin, các chi phí bảo hiểm máy tính đồng thời giúp cho cá nhân đảm bảo quyền riêng tư, quyền truy nhập hợp pháp các tài ngun thơng tin của tở chức • ISO 17799 là các khún nghị, các hướng dẫn mợt cách có hệ thớng và có cấu trúc dành cho việc quản lý an ninh thơng tin Nó khơng phải là một chuẩn kỹ thuật, thiết bị hay công nghệ Nó bao gồm các khuyến nghị để đánh giá, thiết lập và trì hệ thớng quản lý an ninh thơng tin ISMS Đào Đức Cơ An tồn bảo mật thông tin 231 Việc áp dụng ISO 17799 đem lại lợi ích cho doanh nghiệp? • Tăng nhận thức cho đội ngũ cán bộ nhân viên ATTT • Xây dựng mợt mơi trường an toàn, có khả miễn dịch trước các rủi ro, giảm thiểu các nguy người gây • Tiêu chuẩn ISO 17799 đề nguyên tắc chung quá trình thiết kế , xây dựng hệ thớng thơng tin một cách khoa học, giúp cho việc quản lý hệ thống trở nên sáng sủa, an toàn, minh bạch hơn, giảm thiểu chi phí vật chất đầu tư cho ATTT • Chứng ISO 17799 là một lời khẳng định thuyết phục với các đối tác, các khách hàng một môi trường thông tin an toàn và sạch Tạo điều kiện thuận lợi cho sự hội nhập một môi trường thông tin lành mạnh Điều này tác động mạnh đến ưu thế cạnh tranh của tổ chức Đào Đức Cơ An tồn bảo mật thơng tin 232 ISO 27001 • ISO 27001 là tiêu chuẩn q́c tế hệ thống quản lý bảo mật thông tin (ISMS) dựa tiêu chuẩn BS7799 • ISO 17799 đề cập đến 10 mục tiêu chính cần quản lý: Chính sách an ninh Tổ chức an ninh Phân loại và kiểm tra tài sản An ninh nhân sự An ninh môi trường và mức vật lý Quản lý tác nghiệp và thông tin liên lạc Điều khiển truy nhập Phát triển hệ thống và bảo dưỡng Quản trị tính liên tục kinh doanh 10.Điều kiện tuân thủ Đào Đức Cơ An tồn bảo mật thơng tin 233 Triển khai chuẩn ISO 27001:2005 • Giai đoạn 1- Khởi động dự án: Thi hành ISO 27001:2005 các hình thức: ủng hợ cam kết từ lãnh đạo cấp cao, chọn và đào tạo tất cả các thành viên của nhóm khởi đợng là mợt phần dự án • Giai đoạn - Thiết lập ISM: Nhận dạng phạm vi và giới hạn của cấu quản lý an ninh thông tin là cốt lõi cho dự án Nghiên cứu để thiết lập yêu cầu của ISMS và xếp các tài liệu an ninh đã tồn tại tở chức • Giai đoạn - Đánh giá rủi ro: Đánh giá rủi ro là thao tác bản để triển khai cấu quản lý an ninh thông tin a) Khảo sát các cấp độ tuân thủ với ISO 27001:2005 b) Định giá tài sản để bảo vệ và tạo thống kê tài sản c) Nhận dạng, đánh giá các mối đe dọa và nơi dễ bị tấn công d) Tính toán liên quan đến giá trị rủi ro Đào Đức Cơ An toàn bảo mật thông tin 234 Triển khai chuẩn ISO 27001:2005 • Giai đoạn - Xử lý rủi ro: Nhận dạng và đánh giá các khả có thể cho việc xử lý rủi ro Làm cách nào để giảm rủi ro đến cấp đợ có thể chấp nhận việc chọn và thi hành các kiểm soát • Giai đoạn - Đào tạo và nhận thức: Nhân viên có thể giới thiệu các liên kết yếu chuỗi an ninh Nghiên cứu cách làm thế nào để thiết lập chương trình nhận thức an ninh thơng tin • Giai đoạn - Chuẩn bị đánh giá: Nghiên cứu cách xác thực cấu quản lý và để chuẩn bị cho việc đánh giá của chuyên gia đánh giá nợi bợ • Giai đoạn 7- Đánh giá: Xem xét các bước thực hiện của chuyên gia đánh giá bên ngoài và đoàn đánh giá chứng nhận chính thức Đào Đức Cơ An tồn bảo mật thơng tin 235 Triển khai chuẩn ISO 27001:2005 • Giai đoạn 8- Kiểm soát và cải tiến liên tục: Cải tiến hiệu quả của hệ thớng ISMS phù hợp với mơ hình quản lý của tổ chức ghi nhận ISO Kết luận - Hệ thống quản lý an ninh thông tin ISMS bao gồm người, các quá trình và các hệ thống CNTT - Lập một Hệ thống ISMS theo chuẩn ISO 27001:2005 là cách tiếp cận mang tính hệ thống để quản lý thông tin nhạy cảm của tở chức nhằm trì và đảm bảo tḥc tính an ninh thông tin: Tính tin cậy, tính toàn vẹn và tính sẵn sàng thông qua 10 mục tiêu - ISO 27001:2005 giúp tạo một hệ thống quản lý an ninh thông tin chặt chẽ và cải tiến nhằm đảm bảo an ninh và khai thác thông tin một cách hợp lý và hiệu quả nhất Đào Đức Cơ An tồn bảo mật thơng tin 236 KẾT THÚC MÔN HỌC Chúc bạn thi tốt Đào Đức Cơ An tồn bảo mật thơng tin 237 ... An toàn bảo mật thông tin 18 Chương CÁC HỆ MẬT MÃ Đào Đức Cơ An tồn bảo mật thơng tin 19 Vai trò mật mã BMTT • Mật mã là một ngành khoa học chuyên nghiên cứu các phương pháp truyền tin. .. chớng, phát hiện và khắc phục các vi phạm an ninh liên quan đến truyền tải thông tin Đào Đức Cơ An tồn bảo mật thơng tin Đảm bảo an ninh thơng tin • Để thực hiện có hiệu quả cần đề... mợt ứng dụng Tin học có ích nào lại khơng sử dụng các tḥt toán mã hóa thơng tin Đào Đức Cơ An tồn bảo mật thơng tin AN TỒN THƠNG TIN LÀ GÌ • Nhu cầu đảm bảo an ninh thơng tin có biến