Đây là bài thuyết trình làm ra nhằm mục đích giúp giáo viên sinh viên có thể ứng dụng vào việc học tập giảng dạy trên lớp của mình có hình ảnh minh họa cụ thể giúp người nghe nắm rõ kiến thức truyền đạt đến, cũng như giúp người giảng dạy dễ truyền đạt trong khi thuyết trình giảng dạy.
Trang 1AN TOÀN THÔNG TIN
Trang 2N ội dung
1 Tổng quan về An toàn thông tin
2 Mục tiêu đảm bảo An toàn thông tin
3 Các loại hình tấn công và nguy cơ mất ATTT hiện nay
4 Các giải pháp đảm bảo An toàn thông tin
Trang 3Mục tiêu của việc chúng ta nối mạng là để nhiều người có thể dùng chung tài nguyên từ những vị trí địa lý khác nhau, chính vì thế mà các tài nguyên sẽ rất phân tán, dẫn đến một điều rất yếu là dễ bị xâm phạm gây mất mát dữ liệu, thông tin
Càng giao thiệp rộng thì càng dễ bị xâm phạm, tấn công – đó là quy luật Từ đó, vấn đề ATTT cũng xuất hiện
Mọi nguy cơ trên mạng đều có thể nguy hiểm: Một lỗi nhỏ của các hệ thống sẽ được lợi dụng với tần xuất cao, lỗi lớn thì thiệt hại lớn ngay lập tức, như thế trên một quy mô rộng lớn như Internet thì mọi khe hở hay lỗi hệ thống đều có nguy
cơ gây ra thiệt hại như nhau.
Mở đầu
Trang 51 Tổng quan về An toàn
thông tin
Trang 6Dữ liệu (Data) là các giá trị của thông tin định lượng hoặc định tính của các sự vật, hiện tượng trong cuộc sống Trong tin học, dữ liệu được dùng như một cách biểu diễn hình thức của thông tin về các sự kiện, hiện tượng thích ứng với các yêu cầu truyền nhận, thể hiện và xử lý bằng máy tính.
Thông tin (Information) là dữ liệu đã được xử lý, phân tích, tổ chức nhằm mục đích hiểu rõ hơn sự vật, sự việc, hiện tượng theo một góc độ nhất định
Dữ liệu và thông tin
Trang 7An toàn thông tin?
Trang 10An toàn thông tin là an toàn kỹ thuật cho các hoạt động của các cơ sở hạ tầng thông tin, trong đó bao gồm an toàn phần cứng và phần mềm theo các tiêu chuẩn kỹ thuật do nhà nước ban hành; duy trì các tính chất bí mật, toàn vẹn, chính xác, sẵn sàng phục vụ của thông tin trong lưu trữ, xử lý và truyền tải trên mạng (theo định nghĩa trong Nghị định 64-2007/NĐ-CP).
Khái niệm An toàn thông tin
Trang 11Khái niệm đảm bảo An toàn
thông tin
Đảm bảo ATTT là đảm bảo an toàn kỹ thuật cho hoạt động của các cơ sở HTTT, trong đó bao gồm đảm bảo an toàn cho cả phần cứng và phần mềm hoạt động theo các tiêu chuẩn kỹ thuật do nhà nước ban hành; ngăn ngừa khả năng lợi dụng mạng và các cơ sở HTTT để thực hiện các hành vi trái phép; đảm bảo các tính chất bí mật, toàn vẹn, sẵn sàng của thông tin trong lưu trữ, xử lý và truyền dẫn trên mạng
Trang 12Thực trạng An toàn thông tin
Một số vụ tấn công tiêu biểu nửa đầu năm 2017:
- Hacker đánh cắp email của 1,9 triệu khách hàng tại Bell (Công ty viễn thông lớn nhất tại Canada)
- Công ty thanh toán tại Anh bị hacker cướp đánh cắp 270.000 tài khoản người dùng
- Mã độc tống tiền WannaCry lây lan diện rộng trên toàn thế giới, trên 230.000 máy tính ở 150 quốc gia
- WikiLeaks công bố tài liệu chấn động về chương trình hack của CIA
- Hơn 60 trường Đại học và các cơ quan Chính phủ Mỹ đã bị tấn công bởi
mã độc malware
- Tấn công có chủ đích vào hệ thống VietNam Airline ngày 29/07/2017, với 411.000 dữ liệu của hành khách đi máy bay bị hacker thu thập và phát tán
Trang 13Thực trạng An toàn thông tin tại
Việt Nam
Trang 14Thực trạng An toàn thông tin tại
Việt Nam
Tình hình an toàn thông tin Việt Nam năm 2015
-Tỷ lệ lây nhiễm mã độc: Việt Nam nằm trong danh sách các nước có tỉ lệ lây
nhiễm phần mềm độc hại trên máy tính cao, ước tính khoảng 64,36% Tỉ lệ lây nhiễm này của Việt Nam cao gấp 4 lần tỉ lệ lây nhiễm trung bình trên thế giới
Trang 15Thực trạng An toàn thông tin tại
Việt Nam
Tình hình an toàn thông tin Việt Nam năm 2015
-Tỷ lệ lây nhiễm mã độc: Tỷ lệ lây nhiễm phần mềm độc hại trên thiết bị di
động của Việt Nam năm 2015 ước tính khoảng 24%, tăng 1% so với năm
2014 Việt Nam cũng nằm trong danh sách các quốc gia có tỉ lệ lây nhiễm phần mềm độc hại trên các thiết bị di động cao trên thế giới
Trang 16Thực trạng An toàn thông tin tại
Việt Nam
Tình hình an toàn thông tin Việt Nam năm 2015
-Tỷ lệ thư rác từ Việt Nam: Trong tháng 6, cứ 100 thư rác trên thế giới thì có
4.8 thư rác được gửi đi từ Việt Nam, đứng thứ 3 thế giới và thứ 2 Châu Á Chỉ
số này giữ nguyên so với tháng trước
Trang 17Thực trạng An toàn thông tin tại
Việt Nam
Trang 18Thực trạng An toàn thông tin tại
Việt Nam
Trang 19Thực trạng An toàn thông tin tại
Việt Nam
Trang 20Thực trạng An toàn thông tin tại
Việt Nam
Trang 21Thực trạng An toàn thông tin tại Việt
Nam
Trang 222 Mục tiêu đảm bảo An toàn
thông tin
Trang 23Mục tiêu đảm bảo An toàn thông tin
Bảo mật thông tin
Tí nh
b í m ật
Tín
h t oà
n v ẹn
Tính sẵn sàng
Ba nguyên tắc này là tiêu chuẩn cho tất cả các hệ thống an ninh
Trang 24Mục tiêu đảm bảo An toàn thông tin
Trang 25 Tính bí mật là tâm điểm chính của mọi giải pháp an toàn cho một sản phẩm /
hệ thống CNTT
Đảm bảo tính bí mật của thông tin, tức là thông tin chỉ được phép truy cập (đọc) bởi những đối tượng (người, chương trình máy tính…) được cấp phép.
Không bị lộ khi lưu trữ
Không bị nghe trộm, bị lộ, bị đọc lén trên đường truyền, khi đi qua các hạ tầng truyền thông khác nhau.
Tính bí mật của thông tin có thể đạt được bằng cách giới hạn truy cập về cả mặt vật lý (tiếp cận trực tiếp tới thiết bị lưu trữ thông tin) hoặc mặt logic (truy cập thông tin từ xa qua môi trường mạng) Sau đây là một số cách:
Tính bí mật (Confidentiality)
Trang 26 Khóa kín và niêm phong thiết bị
Yêu cầu đối tượng cung cấp credential, ví dụ, username + password hay đặc điểm sinh trắc học để xác thực
Sử dụng firewall hoặc ACL trên router để ngăn chặn truy cập trái phép
Mã hóa thông tin sử dụng các giao thức và thuật toán mạnh như SSL/TLS, AES, vv…
Ví dụ: Trong hệ thống quản lý sinh viên, một sinh viên được phép xem thông tin kết quả học tập của mình nhưng không được phép xem thông tin của sinh viên khác
Tính bí mật
Trang 27 Đảm báo tính toàn vẹn của thông tin, tức là thông tin chỉ được phép xóa hoặc sửa bởi những đối tượng được phép và phải đảm bảo rằng thông tin vẫn còn chính xác khi được lưu trữ hay truyền đi.
Thông tin không bị sửa đổi trong khi di chuyển từ nơi phát đến nơi nhận vì bất kỳ lý do gì
Các lý do khách quan làm thông tin bị sai lệch
Các nguyên nhân chủ quan làm thông tin bị sai lệch
Ngoài ra, một giải pháp “data integrity” có thể bao gồm thêm việc xác thực nguồn gốc của thông tin này (thuộc sở hữu của đối tượng nào) để đảm bảo thông tin đến từ một nguồn đáng tin cậy
Tính toàn vẹn (Integrity)
Trang 28 Sau đây là một số trường hợp tính “integrity” của thông tin bị phá vỡ:
Thay đổi giao diện trang chủ của một website
Chặn đứng và thay đổi gói tin được gửi qua mạng
Chỉnh sửa trái phép các file được lưu trữ trên máy tính
Do có sự cố trên đường truyền mà tín hiệu bị nhiễu hoặc suy hao dẫn đến thông tin bị sai lệch
Ví dụ: Trong hệ thống quản lý sinh viên, không cho phép sinh viên được
phép tự thay đổi thông tin kết quả học tập của mình
Tính toàn vẹn
Trang 29 Đảm bảo thông tin luôn sẵn sàng để đáp ứng sử dụng cho người có thẩm quyền.
Tính sẵn sàng bảo đảm các người sử dụng hợp pháp của hệ thống có khả năng truy cập đúng lúc và không bị ngắt quãng tới các thông tin trong hệ thống và tới mạng
Ví dụ, nếu một server chỉ bị ngưng hoạt động hay ngừng cung cấp dịch
vụ trong vòng 5 phút trên một năm thì độ sẵn sàng của nó là 99,999%.Trong hệ thống quản lý sinh viên, cần đảm bảo rằng sinh viên có thể truy vấn thông tin kết quả học tập của mình bất cứ lúc nào
Tính sẵn sàng (Availability)
Trang 30Ngoài ra còn cần:
Tính xác thực “Authenticity”: thông tin luôn được gắn với các chính sách về quyền truy cập, xác thực một cách chặt chẽ Người tham gia trao đổi thông tin phải đảm bảo “xác thực” không thể giả mạo trong các bên tham gia giao dịch
Tính chống chối bỏ “Non-repudiation”: Người phát hành thông tin không thể phủ nhận việc đã phát hành hoặc sửa đổi thông tin
Mục tiêu đảm bảo ATTT
Trang 31Thảo luận
Tham chiếu mô hình CIA vừa được tìm hiểu với các nguy cơ gây mất
an ninh thông tin sau, yếu tố nào bị phá vỡ?
Tấn công thay đổi giao diện
Tấn công từ chối dịch vụ
Tấn công mã độc
Tấn công kỹ thuật xã hội social engineering
Truy cập trái phép
Trang 323 Các loại hình tấn công và
nguy cơ mất ATTT
Trang 33Các loại tấn công
Định nghĩa chung: Tấn công (attack) là hoạt động có chủ ý của kẻ phạm
tội lợi dụng các thương tổn của hệ thống thông tin và tiến hành phá vỡ tính sẵn sàng, tính toàn vẹn và tính bí mật của hệ thống thông tin
Trang 34Các loại tấn công
Các loại hình tấn công
Trang 35Các loại tấn công
Các loại hình tấn công
Trang 38Các nguy cơ mất ATTT
Nguy cơ về mặt vật lý, cơ sở vật chất: Nguy cơ do mất điện, nhiệt độ, độ ẩm không đảm bảo, hỏa hoạn thiên tai, thiết bị phần cứng bị hư hỏng, các phần tử phá hoại như nhân viên xấu bên trong và kẻ trộm bên ngoài.
Nguy cơ về mặt logic:
Nguy cơ ngưng trệ hoạt động của hệ thống mạng do tắc nghẽn đường truyền,
độ an toàn của firewall và các phần mềm chống virus, chống đột nhập….
Nguy cơ lợi dụng các lỗ hỏng bảo mật, truy cập bất hợp pháp
Nguy cơ bị cài đặt các phần mềm độc hại như: Virus, backdoor, Trojan horser, sniffer…
Nguy cơ bị lấy cắp domain
Trang 39 Nguy cơ về mặt logic (tt):
Nguy cơ bị tấn công DDOS, BOTNET…
Nguy cơ bị lấy cắp thông tin nhạy cảm, phá hoại, làm sai nhân lực
Nguy cơ bị tấn công bằng cách phá mật khẩu
Nguy cơ bị mất an toàn thông tin do sử dụng email
Nguy cơ trong quá trình truyền tin trên mạng
• Nguy cơ trong quản trị hệ thống, quản trị nhân sự:
Chính sách phân quyền, quản lý truy cập không chặt chẽ
Công tác đào tạo nhân lực quản trị
Chính sách ghi, lưu logfile và giám sát 24/7 để phát hiện tấn công.
Các nguy cơ mất ATTT
Trang 404 Các giải pháp đảm bảo An
toàn thông tin
Trang 41 Bao hàm tất cả các biện pháp thiết bị phần cứng, các phần mềm cũng như các kỹ thuật công nghệ liên quan được áp dụng nhằm đảm các yêu cầu an toàn của thông tin.
Tùy theo yêu cầu của hệ thống cụ thể mà nhà quản lý cần đề ra, thực hiện các giải pháp công nghệ nhằm bảo đảm ATTT Một số nhóm giải pháp công nghệ, kỹ thuật:
Bảo vệ thông tin bằng mật khẩu và mật mã
Kiểm soát truy cập, áp dụng công nghệ sinh trắc
Các thiết bị, phần mềm bảo vệ hệ thống
Công cụ dò quét điểm yếu, quản lý các bản vá
Quản lý log-file, giải pháp quản lý sự kiện và sự cố
Giải pháp công nghệ, kỹ thuật
Trang 42Quá trình hình thành và phát triển của ISO/IEC 15408-xxxx
Đề xuất các bộ tiêu chuẩn ATTT: ISO/IEC XXXX, ISO/IEC 27001-XXXX…
Trang 4315408-Giải pháp công nghệ, kỹ thuật
Về các công nghệ, biện pháp kỹ thuật bảo đảm ATTT cho hệ thống máy chủ, ứng dụng được sử dụng trong các TC/DN tập trung vào các loại hình sau:
•Bảo mật thiết bị di động 21,4%
•Quản lý truy cập 44,1%
•Tường lửa cho Cơ sở dữ liệu 32,1%
•Hệ thống quản lý chống thất thoát dữ liệu 23,8%
•Tường lửa cho ứng dụng web 38%
•Phần mềm chống virus 85,1%; Tường lửa 66,5%
•
Trang 44Thảo luận
Máy tính của bạn
sử dụng giải pháp
kỹ thuật nào nhằm đảm bảo An toàn thông tin? Các biện pháp này có ý nghĩa như thế nào?
Trang 45 Xây dựng hành lang pháp lý đối với các hoạt động bao gồm các quy chế, chính sách, các tiêu chuẩn về an toàn bảo mật thông tin.
Xây dựng một cơ chế quản lý tài nguyên hệ thống và các nguy cơ tương ứng đối với các tài nguyên đó
Xây dựng cơ chế quản lý và kiểm soát an toàn thông tin với quy trình quản trị hệ thống và ứng dụng các phần mềm quản lý chính sách
Các cơ quan, đơn vị ban hành đầy đủ các quy định nội bộ về công tác đảm bảo an toàn thông tin trong hoat động ứng dụng CNTT phù hợp với tình hình, an ninh mạng trong tình hình mới…
Giải pháp về tổ chức, chính sách
Trang 46 Đẩy mạnh phối hợp trong công tác đảm bảo an toàn, an ninh thông tin: Đấy mạnh phối hợp với Trung tâm VNCert và các tổ chức an ninh mạng khác để thực hiện các giải pháp an toàn cũng như khác phục các sự cố về an toàn thông tin mạng.
Trang 49Giải pháp về con người
Một số nguyên nhân chủ yếu do lỗi con người gây mất ATTT:
Trang 50 Việc tăng cường giáo dục, đào tạo, thường xuyên kiểm tra, nhắc nhở cán bộ nhân viên
có nhận thức đầy đủ vị trí, vai trò và tầm quan trọng của công tác đảm bảo an toàn thông tin mạng: Phố biến các chuyên đề về an toàn, an ninh số trước tình hình an ninh
và an toàn thông tin mạng có nhiều diễn biến phức tạp như hiện nay.
bộ CNTT cũng được rà soát/chỉnh sửa theo hướng chuẩn hóa, nâng cao tính bảo mật ….
thông tin, thì mới mong các sản phẩm và hệ thống do họ làm ra đáp ứng được các nhu cầu về an toàn thông tin của cuộc sống hiện tại đặt ra.
Giải pháp về con người
Trang 51 Xây dựng nguồn nhân lực thực hiện công tác an toàn, an ninh thông tin: Thành lập các bộ phận chuyên trách về an toàn an ninh thông tin trong cơ quan chuyên trách về công nghệ thông tin, đào tạo, tập huấn bồi dưỡng kiến thức chuyên sâu cho cán bộ chuyên trách CNTT.
Ví dụ:
Ngày 14/01/2014, Thủ tướng chính phủ đã ban hành Quyết định số 99/QĐ-TTg phê duyệt
Đề án Đào tạo và phát triển nguồn nhân lực an toàn, an ninh thông tin đến năm 2020
Ngày 19/6/2015, Thủ tướng Chính phủ đã ký Quyết định số 893/QĐ-TTg về việc phê duyệt
Đề án Tuyên truyền, phổ biến, nâng cao nhận thức và trách nhiệm về an toàn thông tin đến năm 2020
Giải pháp về con người