MỤC TIÊU Tìm hiểu ngun lý, sách ATTT TỔNG QUAN VỀ AN TỒN THƠNG TIN Các kỹ thuật công mạng Các giải pháp bảo vệ hệ thống mạng • Bảo mật thơng tin mã hóa liệu • Các chế xác thực, chữ ký điện tử • Cơ chế bảo vệ mạng firewall • Cơ chế tự động phát xâm nhập mạng NỘI DUNG AN TỒN THƠNG TIN LÀ GÌ? An tồn thơng tin gì? Thực trạng vấn đề an tồn thơng tin Các dạng tội phạm, hành vi xâm phạm an tồn thơng tin Cơ sở pháp lý, luật cho an tồn thơng tin Chính sách an tồn thơng tin – Hành lang pháp lý giải pháp sách an tồn thơng tin An Tồn Thông Tin khả bảo vệ môi trường thông tin kinh tế xã hội, đảm bảo cho việc hình thành, sử dụng phát triển lợi ích công dân, tổ chức quốc gia ATTT xây dựng tảng hệ thống sách, quy tắc, quy trình giải pháp kỹ thuật nhằm mục đích đảm bảo an tồn tài ngun thơng tin ISO (International Organization for Standardization) định nghĩa: An ninh (security) hoạt động nhằm hạn chế khả lạm dụng tài nguyên (resource) tài sản (assets) tin học AN TOÀN THƠNG TIN LÀ GÌ? LĨNH VỰC NGHỀ NGHIỆP An tồn thơng tin trì tính bảo mật, tính tồn vẹn tính sẵn sàng thơng tin ATTT bao hàm số tính chất khác tính xác thực, giao nhiệm vụ, chống từ chối độ tin cậy ATTT nhằm bảo vệ nội dung số HTTT nhằm chống lại nguy tự nhiên, hành động truy cập, sử dụng phát tán, phá hoại, sửa đổi phá hủy bất hợp pháp; bảo đảm cho HTTT thực chức năng, phục vụ đối tượng cách sẵn sàng, xác tin cậy Kỹ sư phân tích, thiết kế, lập trình dự án; cán quản lý dự án công ty phần mềm; Chuyên viên quản trị an ninh mạng quan, doanh nghiệp; Chun viên ATTT có khả phân tích, ngăn chặn cố cho mạng máy tính hệ thống thông tin lớn quan, doanh nghiệp Thiết kế đảm bảo an toàn cho hệ thống mạng quan, doanh nghiệp, trường học… Nghiên cứu ứng dụng khoa học thuộc lĩnh vực liên quan tới An ninh Mạng Bảo mật Thông tin viện nghiên cứu, trung tâm nghiên cứu công ty, tổ chức, Bộ, Ban, Ngành AN TỒN THƠNG TIN LÀ GÌ? An tồn thơng tin Một hệ thống xem an toàn (safe) khiếm khuyết không làm cho hoạt động hệ thống ngừng hẳn khắc phục kịp thời mà không gây thiệt hại đến mức độ nguy hiểm cho chủ sở hữu Một hệ thống xem bảo mật (confident) tính riêng tư nội dung thông tin đảm bảo theo tiêu thời gian xác định An toàn hệ thống thực chủ yếu tầng (hạ tầng phải đảm bảo lưu thơng an tồn) Bảo mật thông tin thực tầng trên: ứng dụng phải đảm bảo việc mã hóa giải mã An tồn thơng tin mắt xích liên kết hai yếu tố: Yếu tố công nghệ: sản phẩm phần mềm, phần cứng Yếu tố người Hai yếu tố liên kết lại thông qua sách An tồn thơng tin An tồn hệ thống – Tính chất Bảo mật thơng tin – Tính chất Bảo đảm yêu cầu tính chất sau: a) Tính an tồn (safe): lưu thơng mạng không bị thay đổi, hoạt động liên tục, chịu vấn đề công kiểu từ chối dịch vụ b) Tính tin cậy (reliable): Thơng tin truyền đến xác, tồn vẹn c) Tính dễ mở rộng (scaleable): dễ dàng lắp đặt, nâng cấp thiết bị cài đặt phần mềm mạng d) Tính dễ quản trị (manageable): dễ giám sát, quản trị cách đơn giản, thuận tiện Bảo mật thông tin thực biện pháp cần thiết quản trị để đảm bảo trì tính chất sau: a) Tính sẵn sàng (availability, accessibility) : Thơng tin lấy lúc theo yêu cầu chủ sở hữu người sử dụng b) Tính tồn vẹn (integrity): Thơng tin khơng bị thay đổi (thêm/bớt/xóa) ngồi ý muốn chủ sở hữu c) Tính riêng tư (privacy, confidentiality): Không cho phép người khác đọc nội dung d) Tính trách nhiệm: chủ sở hữu người trao đổi phủ nhận việc gửi nhận thông tin thời điểm xác 10 Bảo mật thơng tin – Tính chất Bảo mật thơng tin – Tính chất Confidentiality (Đảm bảo tính bí mật thơng tin) Thông tin phép truy cập (đọc) đối tượng (người, chương trình máy tính…) cấp phép Giới hạn truy cập mặt vật lý, tiếp cận trực tiếp tới thiết bị lưu trữ thơng tin logic, ví dụ truy cập thơng tin từ xa qua mơi trường mạng Một số cách: Integrity (Đảm bảo tính tồn vẹn thơng tin) Thơng tin xóa/sửa đối tượng phép đảm bảo tính xác thơng tin lưu trữ hay truyền Giải pháp “data integrity” bao gồm xác thực nguồn gốc thông tin (thuộc sở hữu đối tượng nào) để đảm bảo thông tin đến từ nguồn đáng tin cậy ta gọi tính “authenticity” thơng tin Tính “integrity” thơng tin bị phá vỡ khi: Khóa kín niêm phong thiết bị Yêu cầu đối tượng cung cấp credential (username + password) hay đặc điểm sinh trắc để xác thực Sử dụng firewall ACL để ngăn chặn truy cập trái phép Mã hóa thơng tin sử dụng giao thức thuật toán SSL/TLS, AES, v.v Thay đổi giao diện trang chủ website Chặn đứng thay đổi gói tin gửi qua mạng Chỉnh sửa trái phép file lưu trữ máy tính Do có cố đường truyền mà tín hiệu bị nhiễu suy hao dẫn đến thơng tin bị sai lệch 11 12 Tình hình ATTT Bảo mật thơng tin – Tính chất Availability (Đảm bảo độ sẵn sàng thơng tin) Thơng tin truy xuất người phép vào họ muốn Một server bị ngưng hoạt động hay ngừng cung cấp dịch vụ vòng phút năm độ sẵn sàng 99,999% Máy hacker gửi hàng loạt gói tin có MAC nguồn giả tạo đến switch làm nhớ lưu trữ MAC address table switch nhanh chóng bị đầy khiến switch khơng thể hoạt động bình thường Đây thuộc hình thức cơng từ chối dịch vụ (DoS) Duy trì độ sẵn sàng hệ thống: Load Balancing, Clustering, Redudancy, Failover… Tình hình an ninh mạng nay: diễn biến phức tạp, nhiều nguy đe dọa nghiêm trọng đến việc ứng dụng CNTT phục vụ phát triển KT-XH đảm bảo quốc phòng, an ninh; Số lượng vụ công mạng xâm nhập hệ thống để thám, trục lợi, phá hoại liệu… gia tăng mức báo động Ngày 10/6/2011, Thủ tướng Chính phủ ban hành Chỉ thị số 897/CT-TTg nhằm tăng cường triển khai hoạt động đảm bảo an tồn thơng tin số 13 Tình hình ATTT 14 Tình hình ATTT Theo thống kê Bkav, thời gian qua, có 450 website quan, doanh nghiệp Việt Nam bị hacker nước ngồi cơng, có 68 tên miền gov.vn Hacker xâm nhập chiếm quyền điều khiển, làm sai lệch thông tin hệ thống (Deface) cài virus đánh cắp liệu… Đây đợt công lớn từ trước đến vào website Việt Nam, với tần suất cao gấp lần so với thông thường Liên quan tới mã độc (malware), tiếp nhận 881 cố, gồm 10 cố liên quan đến tên miền “gov” website, gửi yêu cầu điều phối xử lý 243 cố Về cố website lừa đảo (phishing), nhận 521 cố, gồm cố liên quan đến tên miền “gov” giả mạo tổ chức tài Paypal tổ chức khác, xử lý 388 cố 15 Tình hình ATTT 16 Tình hình ATTT Về cố công thay đổi giao diện (deface), nhận 1.145 cố, gồm 254 công thay đổi giao diện nhắm vào quan Nhà nước, xử lý 641 cố Các công deface nhắm vào quan Nhà nước cao gấp 2,3 lần, cố malware tăng tới 6,7 lần 17 SCBank bị hacker hack triệu USD Năm 2007, hệ thống toán trực tuyến Ngân hàng SCB bị hacker chiếm quyền điều khiển, công lấy số tiền trị giá triệu USD Hacker giăng bẫy nhân viên ngân hàng để trở thành admin có quyền hành cao Từ có tài khoản Phó chủ tịch Hội đồng Quản trị, từ Hacker đăng nhập từ cửa SCB thực loạt giao dịch trực tuyến với đối tác nước ngồi 18 Tình hình ATTT Tình hình ATTT Tấn cơng, lấy cắp thẻ tín dụng Anh, Australia Tháng 12/2010, Bộ Công an cho biết phá vụ hacker Việt Nam đột nhập lấy cắp thông tin 100.000 thẻ tín dụng Anh, trị giá triệu bảng Anh Các hacker Lê Đăng Khoa, Nguyễn Ngọc Lâm, Nguyễn Ngọc Thanh Nguyễn Đình Nghi (sống Hà Nội TP.HCM) Thuê người khác dùng CMND để làm thủ tục rút số tiền ngân hàng Ngoài mua sắm nhiều tài sản có giá trị máy tính xách tay, loại vật dụng đắt tiền gửi qua đường bưu điện Sinh viên Việt Nam trộm tài khoản qua mạng Năm 2004, du học sinh Nguyễn Văn Phi Hùng bị quyền Singapore bắt giữ bị buộc vào 11 tội sử dụng PC trái phép Bằng game trực tuyến có cài sẵn chương trình trojan, phần mềm ẩn ghi lại phím gõ, Phi Hùng nắm thơng tin cá nhân bạn học sử dụng để lấy cắp 638 USD từ tài khoản ngân hàng họ 19 Tình hình ATTT 20 Tình hình ATTT Facebook bị hacker Việt công Tháng 6/2009, truy cập vào trang chủ Facebook.com Facebook.vn, dòng thơng báo nhỏ với lời lẽ khiếm nhã bôi nhọ BKAV Giám đốc trung tâm an ninh mạng Bkis Nguyễn Tử Quảng xuất khung đăng ký Do Facebook bị lỗi hacker Việt Nam lợi dụng lỗi để đưa nội dung nêu lên trang chủ Facebook Bị đặc vụ Mỹ dụ nước tiến hành bắt giữ Vào năm 2013, Ngô Minh Hiếu – hacker trẻ tuổi Việt Nam bị bắt giữ đặc vụ Hoa Kỳ Từ năm 2007 đến năm 2012, Ngô Minh Hiếu số người khác ăn cắp buôn bán thơng tin cá nhân Ngày 18/11/2011, nhóm chào gói 4.000 thẻ tín dụng với giá 4.600 USD 500 USD tiền phí server Ngày 26/11/2011 chào gói 5.000 USD cho 22.000 thẻ tín dụng 10.000 USD cho 50.000 thẻ tín dụng Đặc vụ Mỹ tiến hành dụ Hiếu khỏi Việt Nam đề nghị làm ăn Khi Hiếu tới Guam, vùng lãnh thổ thuộc Mỹ Thái Bình Dương bị bắt (>40 năm tù) 21 Tình hình ATTT 22 Tình hình ATTT Sinh viên lớp kỹ sư tài Nguyễn Văn Hòa, sinh viên lớp kỹ sư tài (Đại học Bách khoa TP.HCM) Hòa bị bắt cáo buộc liên quan tới việc đột nhập vào tài khoản nước ngồi để trộm cắp thơng tin thẻ tín dụng Gia nhập diễn đàn “Thế giới ngầm – UnderGround”, Hòa lấy cắp thơng tin từ thẻ tín dụng tài khoản nước bán để kiếm tiền Khi bị bắt giữ, tài khoản đứng tên Nguyễn Văn Hòa tỷ đồng 23 Hành trình phạm tội hacker Trương Quý Pháp Ngày 8-4-2014, Trương Quý Pháp (1993, TP Tam Kỳ) vào diễn đàn chuyên bảo mật mạng Internet phát có thơng báo lỗ hổng bảo mật phần mềm Open SSL Đây phần mềm chuyên trang mạng toán điện tử, ngân hàng sử dụng để mã hóa liệu thơng tin giao dịch khách hàng Theo CQĐT, bước đầu, qua thực kê tài khoản (Ngân hàng Đông Á Ngân hàng Á Châu) tài khoản Pháp, xác định số tiền chuyển vào tài khoản Pháp rút 700 triệu đồng 24 Tình hình ATTT Các tổ chức ATTT Hiệp hội An tồn thơng tin Việt Nam (VNISA): • Nâng cao kiến thức lĩnh vực an tồn thơng tin; • Chia sẻ kinh nghiệm thành tựu khoa học; • Hướng dẫn ứng dụng phát triển kỹ thuật, công nghệ ATTT VNCERT 25 II Tầm quan trọng 26 Thiệt hại … Hình thành thuật ngữ “hạ tầng sở trọng yếu”, mục tiêu: Tên Sâu Morris • Làm rõ quan trọng an tồn thơng tin mạng • Giúp cho quan nhà nước xác định danh sách hạ tầng sở trọng yếu để cải thiện an tồn thơng tin mạng Năm 1988 Thiệt hại Làm tê liệt 10% máy tính mạng Internet Vi rút Melisa 5/1999 100.000 máy tính bị ảnh hưởng/1 tuần Thiệt hại 1,5 tỷ USD Vi rút Explorer 6/1999 Thiệt hại 1,1 tỷ USD Vi rút Love Bug 5/2000 Thiệt hại 8,75 tỷ USD Vi rút Sircam 7/2001 2,3 triệu máy tính bị nhiễm, thiệt hại 1,25 tỷ USD Sâu Code Red 7/2001 359.000 máy tính bị nhiễm/14 giờ, Thiệt hại 2,75 tỷ USD Sâu Nimda 9/2001 160.000 máy tính bị nhiễm, Thiệt hại 1,5 tỷ USD Klez 2002 Thiệt hại 175 triệu USD BugBear 2002 Thiệt hại 500 triệu USD Badtrans 2002 90% máy tính bị nhiễm/10 phútThiệt hại 1,5 tỷ USD Blaster 2003 Thiệt hại 700 triệu USD Phần mềm (vơ hình): phần mềm gói tin truyền hệ thống Nachi 2003 Thiệt hại 500 triệu USD mạng SoBig.F 2003 Thiệt hại 2,5 tỷ USD Sâu MyDoom 1/2004 100.000 máy tính bị nhiễm/1 giờ, Thiệt hại tỷ USD Hoạt động hạ tầng sở trọng yếu lại dựa vào mạng hạ tầng công nghệ thông tin Không gian mạng (Cyberspace) bao gồm: Phần cứng (hữu hình): gồm máy tính, máy chủ, định tuyến,…cáp truyền dẫn 27 28 Thống kê hình thức cơng Thiệt hại … 29 30 Nguy công Nguy tương lai - nguy tia chớp - DDOS Toàn cầu - Tấn công hạ tầng trọng yếu Phạm vi Lĩnh vực - Tấn cơng tín dụng quốc gia Phút - Tấn cơng hạ tầng - Vi rút Giờ - Sâu Máy tính riêng lẻ Loại III Đối phó nhân cơng: bất khả thi Tự động đối phó: hy vọng Khóa tiên tiến: Nguy tia chớp - Nguy Warhol Khu vực Tổ chức riêng lẻ Giây - Nguy rộng Ngày - DOS - Tấn cơng tín dụng 1990s 2000 2002 2004 Tuần, tháng Thời gian Nguy Warhol Loại II Đối phó nhân cơng: khó/bất khả thi Tự động đối phó: Loại I Đối phó nhân cơng: Vi rút Macro Vi rút File Đầu 1990s Nguy diện rông Sâu E-mail Giữa 1990s Cuối 1990s 2000 2003 Thời gian 31 Nguy công sở hạ tầng 32 Nguy công sở hạ tầng Hạ tầng viễn thông Có thể dễ dàng bị cơng làm cho gián đoạn Hệ thống viễn thông cố định: Cung cấp hạ tầng mạng cho mạng điện thoại cố định, truyền số liệu phương tiện chủ yếu thương mại điện tử Chính phủ điện tử Đồng thời phương tiện truyền thông Internet dựa sở mạng Hệ thống thông tin di động: cho nhà cung cấp dịch vụ điện thoại di động Dịch vụ truyền số liệu: Phần lớn mạng viễn thông dùng để trao đổi số liệu tất mạng diện rộng tổ chức ngân hàng, hàng không, hệ thống khảo sát thăm dò Mạng Internet: mơi trường lý tưởng cho loại tội phạm mạng thâm nhập hệ thống, phương tiện thiết bị viễn thông … Hệ thống thông tin quân đội: Mặc dù tách biệt với hệ thống thông tin khác, dựa mạng viễn thơng sở hệ thống máy tính nên trở thành mục tiêu tội phạm mạng Hệ thống điều hành công việc hệ thống kiểm sốt quan Chính phủ 33 34 Các dạng tội phạm, hành vi, công Nguy công sở hạ tầng Hạ tầng sở kinh tế Các tổ chức tài chính: tất ngân hàng, trung tâm giao dịch chứng khoán Các nhà máy công nghiệp Nhà nước tư nhân sử dụng máy tính để hiển thị điều khiển vật tư thiết bị Thị trường mua bán công khai không công khai Các doanh nghiệp tư nhân Các trung tâm kinh doanh lớn Tâm lý xã hội Các phương tiện truyền thông TV, Radio Hệ thống luật, kiểm soát dân 35 Lừa đảo mạng ATM Khi Hacker lấy liệu dải từ tính với số PIN, hồn tồn tạo thẻ giả, dùng để rút tiền Tấn công dạng Phishing Phishing” hình thức lừa đảo trực tuyến, tin tặc lừa nạn nhân cung cấp thông tin cá nhân thơng qua trang web giả mạo có giao diện giống với trang nạn nhân hay sử dụng, lừa họ truy cập đường dẫn chứa mã độc 36 Các dạng tội phạm, hành vi, công Các dạng tội phạm, hành vi, công Tấn công từ chối SQL Độ bảo mật trang web, đặc biệt khơng có khả phòng chống công tự động từ xa làm cho hệ thống bị tê liệt hàng giờ, chí hàng tuần 4.Phát tán malware (virus, trojan,…) Mạng internet nơi dễ dàng cho tin tặc thay đổi thông tin cá nhân tin tặc cài Trojan để phát tán phần mềm hiểm độc đưa tin quảng cáo,… 37 38 39 40 Các dạng tội phạm, hành vi, cơng Cơng bố kết phân tích mã độc công hệ thống thông tin Vietnam Airlines Theo kết phân tích từ Bkav, mã độc sau xâm nhập vào máy tính ẩn vỏ bọc giả mạo phần mềm diệt virus Nhờ đó, mã độc ẩn thời gian dài mà khơng bị phát Khi máy tính bị nhiễm mã độc mã độc có kết nối thường xuyên gửi liệu máy chủ điều khiển (C&C Server) thông qua tên miền Name.dcsvn.org (nhái tên miền website Đảng Cộng sản) 41 42 Mã độc có chức thu thập tài khoản mật khẩu, nhận lệnh cho phép tin tặc (hacker) kiểm sốt, điều khiển máy tính nạn nhân từ xa Từ đó, hành vi phá hoại xóa dấu vết, thay đổi âm thanh, hiển thị hình ảnh, mã hóa liệu tin tặc thực Ngồi ra, mã độc có thành phần chun để thao tác, xử lý với sở liệu SQL Giải pháp Thay đổi mật tại, đồng thời thiết lập sách bắt buộc thay đổi mật chu kỳ tháng, mật không trùng nhau, đặt mật mạnh tối thiểu ký tự bao gồm chữ, số, ký tự đặc biệt Các đơn vị thực cô lập phân vùng vùng máy chủ, thiết lập sách vài địa IP, số máy tính có quyền truy cập vào máy chủ định Mã độc máy chủ, máy trạm rà soát để phát gỡ bỏ sớm mã độc cài cắm Giải pháp Thiết lập tường lửa, hệ thống phát xâm nhập để phát cảnh báo sớm công nhằm vào hệ thống Các phòng, ban có chức quản lý hệ thống đơn vị yêu cầu cập nhật thường xuyên vá cho hệ điều hành, phần mềm dịch vụ máy chủ, máy trạm Chương trình diệt mã độc cần cài đặt để chế độ cập nhật tự động thường xuyên Có phương án dự phòng lưu tách khỏi máy chủ chạy dịch vụ mặt vật lý Tiến hành lưu thường xuyên ứng dụng, mã nguồn, sở liệu Các dạng tội phạm, hành vi, công Cử cán tăng cường ứng trực thời gian tới để theo dõi hệ thống mạng Phổ biến nâng cao nhận thức an toàn thư điện tử, an toàn Internet cho cán sử dụng máy tính quan, đơn vị mình, phổ biến cho người dùng cảnh giác với tập tin đính kèm theo email; báo cáo kịp thời cho đơn vị có chức để kịp thời phối hợp xử lý cố 48 Luật ATTT Luật ATTT Tội phạm máy tính hành vi vi phạm pháp luật hình người có lực trách nhiệm hình sử dụng máy tính để thực hành vi phạm tội, lưu trữ thông tin phạm tội xâm phạm đến hoạt động bình thường an tồn máy tính, hệ thống mạng máy tính” Tội phạm máy tính (Computer Crime) Tội phạm CNTT – điều khiển học (Cyber Crime) Chứng điện tử chứng lưu giữ dạng tín hiệu điện tử máy tính thiết bị có nhớ kỹ thuật số có liên quan đến vụ án hình 49 50 Luật ATTT Luật sách ATTT Điều 224 Tội phát tán vi rút, chương trình tin học có tính gây hại cho hoạt động mạng máy tính, mạng viễn thơng, mạng Internet, thiết bị số Người cố ý phát tán vi rút, chương trình tin học có tính gây hại cho mạng máy tính, mạng viễn thơng, mạng Internet, thiết bị số gây hậu nghiêm trọng, bị phạt tiền từ hai mươi triệu đồng đến hai trăm triệu đồng phạt tù từ năm đến năm năm Phạm tội thuộc trường hợp sau đây, bị phạt tù từ ba năm đến bảy năm: a) Có tổ chức; b) Gây hậu nghiêm trọng; c) Tái phạm nguy hiểm Phạm tội thuộc trường hợp sau đây, bị phạt tù từ năm năm đến mười hai năm: a) Đối với hệ thống liệu thuộc bí mật nhà nước; hệ thống thông tin phục vụ an ninh, quốc phòng; b) Đối với sở hạ tầng thông tin quốc gia; hệ thống thông tin điều hành lưới điện quốc gia; hệ thống thơng tin tài chính, ngân hàng; hệ thống thông tin điều khiển giao thông; c) Gây hậu đặc biệt nghiêm trọng Người phạm tội bị phạt tiền từ năm triệu đồng đến năm mươi triệu đồng, cấm đảm nhiệm chức vụ, cấm hành nghề làm công việc định từ năm đến năm năm 51 52 Luật sách ATTT Luật sách ATTT Điều 225 Tội cản trở gây rối loạn hoạt động mạng máy tính, mạng viễn thơng, mạng Internet, thiết bị số Bị phạt tiền từ hai mươi triệu đồng đến hai trăm triệu đồng phạt tù từ năm đến năm năm: a) Tự ý xóa, làm tổn hại thay đổi phần mềm, liệu thiết bị số; b) Ngăn chặn trái phép việc truyền tải liệu mạng máy tính, mạng viễn thơng, mạng Internet, thiết bị số; c) Hành vi khác cản trở gây rối loạn hoạt động mạng máy tính, mạng viễn thông, mạng Internet, thiết bị số Phạm tội thuộc trường hợp sau đây, bị phạt tù từ ba năm đến bảy năm: a) Có tổ chức; b) Lợi dụng quyền quản trị mạng máy tính, mạng viễn thơng, mạng Internet; c) Gây hậu nghiêm trọng; Phạm tội thuộc trường hợp sau đây, bị phạt tù từ năm năm đến mười hai năm: a) Đối với hệ thống liệu thuộc bí mật nhà nước; hệ thống thơng tin phục vụ an ninh, quốc phòng; b) Đối với sở hạ tầng thông tin quốc gia; hệ thống thông tin điều hành lưới điện quốc gia; hệ thống thơng tin tài chính, ngân hàng; hệ thống thơng tin điều khiển giao thông; c) Gây hậu đặc biệt nghiêm trọng 53 54 Luật sách ATTT Luật sách ATTT Điều 226 Tội đưa sử dụng trái phép thơng tin mạng máy tính, mạng viễn thông, mạng Internet Người thực hành vi sau xâm phạm lợi ích quan, tổ chức, cá nhân, xâm phạm trật tự, an toàn xã hội gây hậu nghiêm trọng, bị phạt tiền từ mười triệu đồng đến trăm triệu đồng, cải tạo không giam giữ đến ba năm bị phạt tù từ sáu tháng đến ba năm: a) Đưa lên mạng máy tính, mạng viễn thơng, mạng Internet thông tin trái với quy định pháp luật, không thuộc trường hợp quy định Điều 88 Điều 253 Bộ luật này; b) Mua bán, trao đổi, tặng cho, sửa chữa, thay đổi cơng khai hóa thơng tin riêng hợp pháp quan, tổ chức, cá nhân khác mạng máy tính, mạng viễn thơng, mạng Internet mà khơng phép chủ sở hữu thơng tin đó; c) Hành vi khác sử dụng trái phép thông tin mạng máy tính, mạng viễn thơng, mạng Internet Phạm tội thuộc trường hợp sau đây, bị phạt tù từ hai năm đến bảy năm: a) Có tổ chức; b) Lợi dụng quyền quản trị mạng máy tính, mạng viễn thơng, mạng Internet; c) Thu lợi bất từ trăm triệu đồng trở lên; d) Gây hậu nghiêm trọng đặc biệt nghiêm trọng 55 56 Luật sách ATTT Luật sách ATTT Điều 226a Tội truy cập bất hợp pháp vào mạng máy tính, mạng viễn thơng, mạng Internet thiết bị số người khác Người cố ý vượt qua cảnh báo, mã truy cập, tường lửa, sử dụng quyền quản trị người khác phương thức khác truy cập bất hợp pháp vào mạng máy tính, mạng viễn thơng, mạng Internet thiết bị số người khác chiếm quyền điều khiển; can thiệp vào chức hoạt động thiết bị số; lấy cắp, thay đổi, hủy hoại, làm giả liệu sử dụng trái phép dịch vụ, bị phạt tiền từ hai mươi triệu đồng đến hai trăm triệu đồng phạt tù từ năm đến năm năm Phạm tội thuộc trường hợp sau đây, bị phạt tù từ ba năm đến bảy năm: a) Có tổ chức; b) Lợi dụng chức vụ, quyền hạn; c) Thu lợi bất lớn; d) Gây hậu nghiêm trọng; đ) Tái phạm nguy hiểm 57 58 Luật sách ATTT Luật sách ATTT Phạm tội thuộc trường hợp sau đây, bị phạt tù từ năm năm đến mười hai năm: a) Đối với hệ thống liệu thuộc bí mật nhà nước; hệ thống thơng tin phục vụ an ninh, quốc phòng; b) Đối với sở hạ tầng thông tin quốc gia; hệ thống thông tin điều hành lưới điện quốc gia; hệ thống thông tin tài chính, ngân hàng; hệ thống thơng tin điều khiển giao thơng; c) Thu lợi bất lớn đặc biệt lớn; d) Gây hậu nghiêm trọng đặc biệt nghiêm trọng Điều 226b Tội sử dụng mạng máy tính, mạng viễn thơng, mạng Internet thiết bị số thực hành vi chiếm đoạt tài sản Người sử dụng mạng máy tính, mạng viễn thông, mạng Internet thiết bị số thực hành vi sau đây, bị phạt tiền từ mười triệu đồng đến trăm triệu đồng phạt tù từ năm đến năm năm: a) Sử dụng thông tin tài khoản, thẻ ngân hàng quan, tổ chức, cá nhân để chiếm đoạt làm giả thẻ ngân hàng nhằm chiếm đoạt tài sản chủ thẻ tốn hàng hóa, dịch vụ; 59 60 Luật sách ATTT Luật sách ATTT b) Truy cập bất hợp pháp vào tài khoản quan, tổ chức, cá nhân nhằm chiếm đoạt tài sản; c) Lừa đảo thương mại điện tử, kinh doanh tiền tệ, huy động vốn tín dụng, mua bán toán cổ phiếu qua mạng nhằm chiếm đoạt tài sản quan, tổ chức, cá nhân; d) Hành vi khác nhằm chiếm đoạt tài sản quan, tổ chức, cá nhân Phạm tội thuộc trường hợp sau đây, bị phạt tù từ ba năm đến bảy năm: a) Có tổ chức; b) Phạm tội nhiều lần; c) Có tính chất chuyên nghiệp; d) Chiếm đoạt tài sản có giá trị từ năm mươi triệu đồng đến hai trăm triệu đồng; đ) Gây hậu nghiêm trọng; e) Tái phạm nguy hiểm 61 Luật sách ATTT 62 Luật sách ATTT Phạm tội thuộc trường hợp sau đây, bị phạt tù từ bảy năm đến mười lăm năm: a) Chiếm đoạt tài sản có giá trị từ hai trăm triệu đồng đến năm trăm triệu đồng; b) Gây hậu nghiêm trọng Phạm tội thuộc trường hợp sau đây, bị phạt tù từ mười hai năm đến hai mươi năm tù chung thân: a) Chiếm đoạt tài sản có giá trị từ năm trăm triệu đồng trở lên; b) Gây hậu đặc biệt nghiêm trọng Chính sách ATTT (Information security policy) Mục tiêu: Đưa hỗ trợ định hướng cho vấn đề an tồn thơng tin Vấn đề quản lý sách định hướng rõ ràng chứng tỏ khả hỗ trợ, cam kết an toàn thơng tin thơng qua việc đưa trì sách an tồn thơng tin tổ chức 63 Luật sách ATTT 64 Luật sách ATTT Xây Dựng Chính Sách Bảo Mật Hệ Thống Xác định đối tượng cần bảo vệ Xác định nguy hệ thống • a Các điểm truy nhập b Khơng kiểm sốt cấu hình hệ thống • c Những bug phần mềm sử dụng d Những nguy nội mạng 3.Xác định phương án thực thi sách bảo mật • a Tính đắn • b Tính thân thiện • c Tính hiệu Triển khai sách bảo mật cách đào tạo người sử dụng xây dựng thiết bị Thiết lập thủ tục bảo vệ hệ thống a Thủ tục quản lý tài khoản người sử dụng b Thủ tục quản lý mật c Thủ tục quản lý cấu hình hệ thống d Thủ tục lưu khôi phục liệu e Thủ tục báo cáo cố 65 66 Chính sách ATTT Chính sách ATTT – Tổ chức giải pháp: 1) 2) 3) 4) 5) 6) 7) Tổ chức an tồn, an ninh thơng tin mạng Việt Nam Con người Hành lang pháp lý Tổ chức Quy trình Cơng nghệ Hợp tác Thưởng phạt An tồn, an ninh thơng tin quốc gia Bộ Quốc phòng Bộ thơng tin Truyền thông Bộ Nội vụ Cơ quan an tồn thơng tin Trung tâm VNCERT Ban Cơ yếu Bộ Cơng an Tổng cục An ninh 68 67 67 Chính sách an tồn thơng tin – Cơng nghệ Chính sách an tồn thơng tin – Cơng nghệ Hợp phần Phòng vệ theo chiều sâu An tồn Gateway -AAA -Firewall/VPN -Anti-Virus Protection -Intrusion Detection -Content Filtering An toàn Server -AAA -Firewall/VPN -Anti-Virus Protection -Vulnerability Management -Intrusion Detection Tổng cục Cảnh sát An toàn Client -AAA -Firewall/VPN -Anti-Virus Protection -Intrusion Detection Management & Reporting Content Filtering Intrusion Detection Vulnerability Management Anti-Virus Firewall & VPN AAA Cấu trúc công nghệ 70 69 Chính sách an tồn thơng tin – Cơng nghệ Chính sách an tồn thơng tin – Hợp tác Cải thiện lực tìm phòng ngừa cơng: quan tình báo, quốc phòng hành pháp phải cải thiện khả tìm nhanh nguồn cơng hoạt động có nguy để đối phó kịp thời hiệu Quản lý Quét điều trị Rà sốt độc lập chương trình ATTT Cập nhật chương trình chống vi rút Chương trình kiểm sốt: kiểm soát cố/tháng Cải tiến việc phối hợp quan quốc gia để đối phó với cơng mạng Giành quyền đối phó thích hợp: quốc gia, nhóm khủng hay ý đồ khác công vào quốc gia qua mạng, quốc gia bị cơng khơng thể bị giới hạn thủ thục tố tụng, mà giành quyền đối phó trước kịp thời thích hợp 71 72 Chính sách an tồn thơng tin – Hợp tác Chính sách an tồn thơng tin – Thưởng phạt Hợp tác với tổ chức quốc tế với tổ chức thuộc chuyên môn để tạo thuận lợi thúc đẩy “văn hóa an tồn mạng” tồn cầu: quốc gia cần phải quan tâm tới an tồn mạng ngồi phạm vi biên giới Thực công tác tra, kiểm tra Tuyên dương, khen thưởng Xử phạt Tăng cường nỗ lực công tác phản tình báo Mỗi nước cần nỗ lực phối hợp giải vấn đề kỹ thuật, khoa học sách liên quan đảm bảo hồn chỉnh mạng thông tin Mỗi nước nên thiết lập hệ thống cảnh báo quốc gia quốc tế để phát ngăn chặn công mạng 73 74 10 điểm cần quan tâm 10 điểm cần quan tâm CEO lãnh đạo chương trình ATTT + Xây dựng chiến lược + Đảm bảo thực phù hợp mục tiêu + Xây dựng mơ hình quản lý Xây dựng mức trách nhiệm + Phân cấp quản lý + Lựa chọn cán có kinh nghiệm + Khơng bố trí cán làm bán thời gian + Xây dựng chế báo cáo trực tiếp Lập phận quản trị ATTT liên chức + Đảm bảo kết hợp chặt chẽ với phận khác + Đảm bảo phù hợp với quy định luật + Xây dựng sách ATTT Xây dựng ma trận quản lý chương trình + Để đảm bảo không khác + Đánh giá hiệu chương trình + Giúp cải tiến quy trình Thực chế độ thường xuyên cải tiến chương trình ATTT Thực rà sốt độc lập chương trình ATTT Triển khai mức an toàn Gateway, Server Client Phân chia thành vùng ATTT Bắt đầu với chương trình sau cải tiến dần 10 Xem ATTT khoản đầu tư thiết yếu 75 76 Nội dung Chuẩn ứng dụng CNTT cho quan nhà nước TT&TT ban hành định số 19/2008/QĐ-BTTTT 20/2008/QĐBTTTT, có hiệu lực ngày 07/05/2008 An toàn thư điện tử, truyền thư điện tử An toàn tầng giao vận An toàn tầng mạng An toàn truyền file An toàn dịch vụ DNS An tồn thơng tin cho mạng khơng dây Chuẩn An Tồn Thông Tin Cho Cơ Quan Nhà Nước 77 78 Nội dung (tt) Mơ hình OSI Giải thuật mã hóa Giải thuật chữ kí số, Giải thuật truyền khóa Giải pháp xác thực người sử dụng An toàn trao đổi tin XML Quản lý khóa cơng khai tin XML Giao thức an tồn thơng tin cá nhân Hạ tầng khóa cơng khai Hệ thống #2 System #1 Application Ứng dụng People Presentation Trình diễn Seem Session Phiên Transport Giao vận All To Need Network Mạng Data Data Link Liên kết liệu Processing Physical Vật lý 011010100011001111 79 Mơ hình OSI Mơ hình OSI Application Presentation 80 Application Presentation Định dạng biểu diễn liệu, encryption,… Session Thiết lập session, security, authentication Transport Application Presentation Data Session Session Transport Data Network Data Data Link Data segments packets frames Physical Transport Network Data Link Physical Network Data Link Physical Các ứng dụng mạng: email, web, chat, Bảo đảm truyền nhận liệu Quản lý địa chỉ, tìm đường, truyền nhận packet Truyền nhận frame, kiểm tra sửa lỗi Kết nối vật lý, truyền bit liệu 10010111001011010010110101011110101 82 81 An toàn tầng giao vận Họ giao thức TCP/IP Secure Shell version (SSH v1.0, v2.0) Secure Socket Layer version 3.0 (SSL v3.0) Transport Layer Security version 1.0 (TLS v1.0) 83 84 An toàn tầng mạng An toàn dịch vụ Hypertext Transfer Protocol over Secure Socket Layer (HTTPS) Simple Mail Transfer Protocol over Secure Socket Layer (SMTPS) Internet Protocol Security với IP ESP File Transfer Protocol over Secure Socket Layer (FTPS) Post Office Protocol over Secure Socket Layer (POPS) Internet Message Access Protocol over Secure Socket Layer (IMAPS) Domain Name System Security (DNSSEC) Secure Multi-purpose Internet Mail Extensions version 3.0 (S/MIME v3.0) Open PGP 85 An tồn thơng tin cho mạng Wi-fi Giải thuật mã hóa WEP (Wired Equivalency Privacy) − Mức độ bảo vệ tương tự hệ thống có dây − Dùng 64-bit 128-bit mã hoá − 128-bit mã hoá cho phép nhiều lựa chọn hệ thống an ninh − Thường dùng từ khoá số Advanced Encryption Standard (AES) Triple Data Encryption Standard (3DES): 3DES phiên cải tiến DES Nguyên tắc 3DES tăng chiều dài khóa DES để tăng độ an toàn Secure Hash Algorithms-2 (SHA-2) Message Digest (MD5): Giải thuật xác thực thông tin dùng để kiểm tra phần mềm mã nguồn mở mạng (Ron Rivest, RFC 1321) Rivest-Shamir-Adleman (RSA) WPA (WiFi Protected Access ) − Mức độ bảo vệ truy cập WiFi − Phát triển từ WEP − Là phần giao thức an ninh mạng không dây 802.11i − WPA1, WPA2 86 87 Giải pháp xác thực người sử dụng 88 An toàn trao đổi tin XML XML: eXtended Markup Language XML Encryption Syntax and Processing XML Signature Syntax and Processing Security Assertion Markup Language version 2.0 (SAML v2.0) SSO (Single Sign On) XML Key Management Specification version 2.0 (XKMS v2.0) 89 90 Giao thức an tồn thơng tin cá nhân Bộ tiêu chuẩn an tồn thơng tin (ISMS) ISO 27000 Platform for Privacy Preferences Project version 1.0 (P3P v1.0) Public Key Infrastructure (PKI) 91 Phát hành March 15, 2011 ARAROI Phạm vi áp dụng: tổ chức, doanh nghiệp lớn, nhỏ có sử dụng hệ thống thơng tin, trung tâm lưu trữ liệu tập trung, phân tán ISO 27000 TOOLKIT tập hợp tài liệu tiêu chuẩn giúp doanh nghiệp đạt mục đích bảo tồn an ninh thơng tin Nội dung bao gồm: Phiên ISO/IEC 27002 (ISO 17799) ISO/IEC 27001 (trước BS 7799-2) Bộ sách đầy đủ ATTT phù hợp với ISO 27002 Tài liệu ISO 17799 / ISO 27001 / ISO 27002 dạng PowerPoint 92 Tiêu chuẩn "Hướng dẫn quản lý an tồn thơng tin” - ISO/IEC 17799:2005 ISO/IEC 17799:2005 bao gồm 134 biện pháp cho ATTT chia thành 11 nhóm: 10 11 Chính sách ATTT (Information security policy): thị hướng dẫn an tồn thơng tin Tổ chức an tồn thơng tin (Organization of information security): tổ chức biện pháp an tồn qui trình quản lý Quản lý tài sản (Asset management): trách nhiệm phân loại giá trị thơng tin An tồn tài ngun người (Human resource security): bảo đảm an toàn An tồn vật lý mơi trường (Physical and environmental security) Quản lý vận hành trao đổi thông tin (Communications and operations management) Kiểm soát truy cập (Access control) Thu nhận, phát triển bảo quản hệ thống thông tin (Information systems acquisition, development and maintenance) Quản lý cố an tồn thơng tin (Information security incident management) Quản lý trì khả tồn doanh nghiệp (Business continuity management) Tuân thủ quy định pháp luật (Compliance) 93 ISO 27001 Cơng nghệ thơng tin Kỹ thuật an tồn Hệ thống quản lý an tồn thơng tin Các u cầu Information technology Security techniques Information Security management system Requirements ISO 27002 Công nghệ thông tin Kỹ thuật an toàn Qui phạm thực hành quản lý an tồn thơng tin (ISO/IEC 17799:2005) Information technology Security techniques Code of practice for information security management (ISO/IEC 17799:2005) 95 Tiêu chuẩn ISO/IEC 27001:2005 phát triển từ phần BS 7799 Tiêu chuẩn quy định yêu cầu hệ thống quản lý an tồn thơng tin tương tự ISO 9001 tiêu chuẩn quản lý cấp giấy chứng nhận 94 ... TT&TT ban hành định số 19/2008/QĐ-BTTTT 20/2008/QĐBTTTT, có hiệu lực ngày 07/05/2008 An toàn thư điện tử, truyền thư điện tử An toàn tầng giao vận An toàn tầng mạng An toàn truyền file An toàn. .. Truyền thơng Bộ Nội vụ Cơ quan an tồn thông tin Trung tâm VNCERT Ban Cơ yếu Bộ Công an Tổng cục An ninh 68 67 67 Chính sách an tồn thơng tin – Cơng nghệ Chính sách an tồn thơng tin – Cơng nghệ... người (Human resource security): bảo đảm an toàn An toàn vật lý môi trường (Physical and environmental security) Quản lý vận hành trao đổi thông tin (Communications and operations management)