Bài giảng: Hệ thống bảo vệ bảo mật

THÔNG TIN TÀI LIỆU

Nội dung

Cùng với sự phát triển của doanh nghiệp là những đòi hỏi ngày càng cao của môi trường kinh doanh yêu cầu doanh nghiệp cần phải chia sẻ thông tin của mình cho nhiều đối tượng khác nhau qua Internet hay Intranet. Việc mất mát, rò rỉ thông tin có thể ảnh hưởng nghiêm trọng đến tài chính, danh tiếng của công ty và quan hệ với khách hàng. Các phương thức tấn công thông qua mạng ngày càng tinh vi, phức tạp có thể dẫn đến mất mát thông tin, thậm chí có thể làm sụp đổ hoàn toàn hệ thống thông tin của doanh nghiệp. Vì vậy an toàn và bảo mật thông tin là nhiệm vụ rất nặng nề và khó đoán trước được, nhưng tựu trung lại gồm ba hướng chính sau: - Bảo đảm an toàn thông tin tại máy chủ - Bảo đảm an toàn cho phía máy trạm - Bảo mật thông tin trên đường truyền Đứng trước yêu cầu bảo mật thông tin, ngoài việc xây dựng các phương thức bảo mật thông tin thì người ta đã đưa ra các nguyên tắc về bảo vệ dữ liệu như sau: - Nguyên tắc hợp pháp trong lúc thu thập và xử lý dữ liệu. - Nguyên tắc đúng đắn. - Nguyên tắc phù hợp với mục đích. - Nguyên tắc cân xứng. - Nguyên tắc minh bạch. - Nguyên tắc được cùng quyết định cho từng cá nhân và bảo đảm quyền truy cập cho người có liên quan. - Nguyên tắc không phân biệt đối xử. - Nguyên tắc an toàn. - Nguyên tắc có trách niệm trước pháp luật. - Nguyên tắc giám sát độc lập và hình phạt theo pháp luật. - Nguyên tắc mức bảo vệ tương ứng trong vận chuyển dữ liệu xuyên biên giới. Ở đây chúng ta sẽ tập trung xem xét các nhu cầu an ninh và đề ra các biện pháp an toàn cũng như vận hành các cơ chế để đạt được các mục tiêu đó. Nhu cầu an toàn thông tin: An toàn thông tin đã thay đổi rất nhiều trong thời gian gần đây. Trước kia hầu như chỉ có nhu cầu bảo mật thông tin, nay đòi hỏi thêm nhiều yêu cầu mới như an ninh máy chủ và trên mạng. Các phương pháp truyền thống được cung cấp bởi các cơ chế hành chính và phương tiện vật lý như nơi lưu trữ bảo vệ các tài liệu quan trọng và cung cấp giấy phép được quyền sử dụng các tài liệu mật đó. Máy tính đòi hỏi các phương pháp tự động để bảo vệ các tệp và các thông tin lưu trữ. Nhu cầu bảo mật rất lớn và rất đa dạng, có mặt khắp mọi nơi, mọi lúc. Do đó không thể không đề ra các qui trình tự động hỗ trợ bảo đảm an toàn thông tin. Việc sử dụng mạng và truyền thông đòi hỏi phải có các phương tiện bảo vệ dữ liệu khi truyền. Trong đó có cả các phương tiện phần mềm và phần cứng, đòi hỏi có những nghiên cứu mới đáp ứng các bài toán thực tiễn đặt ra. Các khái niệm: An toàn máy tính: tập hợp các công cụ được thiết kế để bảo vệ dữ liệu và chống hacker. An toàn mạng: các phương tiện bảo vệ dữ liệu khi truyền chúng. An toàn Internet: các phương tiện bảo vệ dữ liệu khi truyền chúng trên tập các mạng liên kết với nhau. Mục đích của môn học là tập trung vào an toàn Internet gồm các phương tiện để bảo vệ, chống, phát hiện, và hiệu chỉnh các phá hoại an toàn khi truyền và lưu trữ thông tin.

CuuDuongThanCong.com https://fb.com/tailieudientucntt • Thảo luận hình thức cơng hệ thống máy tính • Trình bày số chế bảo vệ, bảo mật hệ điều hành • Trình bày số chế bảo vệ, bảo mật hệ điều hành Windows NT CuuDuongThanCong.com https://fb.com/tailieudientucntt • Có hình thức cơng hệ thống máy tính ? • Hệ điều hành có cách thức để phịng chống ? CuuDuongThanCong.com https://fb.com/tailieudientucntt • Các mối đe dọa – Phơi bày liệu  Đe dọa tính riêng tư – Thay đổi liệu  Đe dọa tính tồn vẹn – Từ chối dịch vụ  Đe dọa tính sẵn sàng • Xâm phạm – – – – Vơ tình Chứng tỏ Cắp vặt Gián điệp • Tai nạn – Thiên tai – Lỗi phần cứng, phần mềm – Lỗi sử dụng CuuDuongThanCong.com https://fb.com/tailieudientucntt • Tấn cơng từ hệ thống – – – – – Trojan Horses Login Spoofing Logic Bombs Trap Doors Buffer Overflow • Tấn cơng từ hệ thống – Virus – Internet Worm – Mobile Code CuuDuongThanCong.com https://fb.com/tailieudientucntt   Là công thực đăng nhập vào hệ thống Trojan Horses • Thay chương trình tiện ích hệ thống để cơng nạn nhân • Chương trình miễn phí cơng người dùng nhẹ dạ, thiếu hiểu biết  Login Spoofing • Giả mạo hình đăng nhập để ăn cắp mật  Logic Bombs • Chương trình nhân viên cài vào hệ thống • Nếu bị đuổi việc, chương trình gây hại hoạt động CuuDuongThanCong.com https://fb.com/tailieudientucntt • Trap doors CuuDuongThanCong.com https://fb.com/tailieudientucntt • Buffer Overflow CuuDuongThanCong.com https://fb.com/tailieudientucntt • Bị cơng từ máy tính khác mạng • Internet Worm – Tấn công dựa vào lỗ hổng bảo mật hệ điều hành • Robert Tappan Morris, 1988 – Gồm chương trình • Chương trình worm • Chương trình bootstrap để tải worm – Tự động lây lan qua đường mạng • Mobile Code – Applet: thực thi trình duyệt web – PostScript: thực thi máy in CuuDuongThanCong.com https://fb.com/tailieudientucntt • Được viết hợp ngữ • Được chèn vào chương trình hợp lệ công cụ gọi “dropper” – Đoạn virus viết Visual Basic thực format ổ cứng Sub AutoOpen() Dim oFS Set oFS = CreateObject(“Scripting.FileSystemObject”) vs = Shell(“c:command.com /k format c:”,vbHide) End Sub 10 CuuDuongThanCong.com https://fb.com/tailieudientucntt • Mỗi đối tượng điều khiển có quyền truy cập – Dùng danh sách điều khiển truy cập • Thêm/xóa chủ thể cách thêm/xóa vào mục + Dễ dàng xác định truy cập đối tượng + Dễ dàng thay đổi truy cập đối tượng – Khó xác định truy cập 34 CuuDuongThanCong.com https://fb.com/tailieudientucntt 35 CuuDuongThanCong.com https://fb.com/tailieudientucntt • Discretionary access control (DAC) – Cơ chế cho phép chủ thể điều khiển quyền truy cập đối tượng họ sở hữu • Mandatory access control (MAC) – Cơ chế hệ thống điều khiển truy cập tới đối tượng – Ví dụ, hệ thống theo dõi thao tác đối tượng (ghi nhận vào tập tin log) 36 CuuDuongThanCong.com https://fb.com/tailieudientucntt • Mỗi chủ thể theo dõi truy cập • Thường giữ khả cho đối tượng • Khả giống “vé vào cửa” + Dễ xác định chủ thể truy cập – Khó xác định truy cập đối tượng – Khó bỏ/điều khiển quyền truy cập 37 CuuDuongThanCong.com https://fb.com/tailieudientucntt 38 CuuDuongThanCong.com https://fb.com/tailieudientucntt • Ghi lại kiện liên quan tới bảo mật • Bảo vệ tập tin log • Tập tin log trở nên lớn ? – Quản lý kích thước có sách • Khả lưu trữ ngày lớn • Ghi nhận cần thiết – Ví dụ • Ghi nhận lần truy cập cuối vào tập tin tiến trình • Khơng ghi nhận q trình kiện bình thường 39 CuuDuongThanCong.com https://fb.com/tailieudientucntt • Các chế bảo mật – Chứng thực người dùng • User, Group – Điều khiển truy cập • Chính sách (Policy) • Quyền sử dụng tập tin, thư mục – Mã hóa • EFS (Encrypting File System) – Kiểm sốt hệ thống • Auditing – Quản trị • Cài đặt mơ hình bảo mật chủ thể/đối tượng chuẩn 40 CuuDuongThanCong.com https://fb.com/tailieudientucntt 41 CuuDuongThanCong.com https://fb.com/tailieudientucntt • Chủ thể – tiến trình hay tiểu trình chạy quyền hệ thống hay người dùng hợp lệ • Định danh bảo mật (Security ID – SID) • Điều khiển truy cập: danh sách điều khiển truy cập (ACL) • Access token – ủy nhiệm thư chủ thể thực thi • Privilege – khả chủ thể thực thao tác mức hệ thống Thường phá vỡ mơ hình bảo mật chuẩn – – – – Kèm theo access token Thường mặc định bị vơ hiệu hóa Có thể bật/tắt Ví dụ số quyền privileges • SeAssignPrimaryTokenPrivilege – thay token tiến trình • SeBackupPrivilege – bỏ qua ràng buộc hệ thống tập tin để thực lưu dự phịng khơi phục liệu • SeIncreaseQuotaPrivilege - thêm giới hạn sử dụng nhớ cho tiến trình • SeTcbPrivilege – Chạy phần hệ điều hành 42 CuuDuongThanCong.com https://fb.com/tailieudientucntt • Định danh bảo mật (Security Identifiers - SIDs) – Duy cho tất người dùng, nhóm người dùng, máy tính – Kết hợp từ: • Tên máy tính • Giờ • Khoảng thời gian sử dụng CPU người dùng 43 CuuDuongThanCong.com https://fb.com/tailieudientucntt Discretionary ACL System ACL User A Full Control User A Read Success Group A No Access Group A Read Failure User B Change 44 CuuDuongThanCong.com https://fb.com/tailieudientucntt Object Owner SID Group SID DACL SACL DACL: Discretionary Access Control List SACL: System Access Control List 45 CuuDuongThanCong.com https://fb.com/tailieudientucntt – Đăng nhập tạo security access token • Gồm ID người dùng, nhóm người dùng số đặc quyền • Mỗi tiến trình người dùng cấp token • Hệ thống kiểm tra token để xác định phép truy cập hay không 46 CuuDuongThanCong.com https://fb.com/tailieudientucntt 47 CuuDuongThanCong.com https://fb.com/tailieudientucntt Access token Security descriptor User: Mark Group1: Administrators Group2: Writers Revision Number Control flags Owner SID Group SID DACL Pointer SACL Pointer Deny Writers Read, Write Allow Mark Read, Write CuuDuongThanCong.com Yêu cầu truy cập: ghi Kết quả: từ chối • Mark yêu cầu quyền ghi • Descriptor từ chối quyền nhóm • Kết quả: từ chối 48 https://fb.com/tailieudientucntt ...• Thảo luận hình thức cơng hệ thống máy tính • Trình bày số chế bảo vệ, bảo mật hệ điều hành • Trình bày số chế bảo vệ, bảo mật hệ điều hành Windows NT CuuDuongThanCong.com... • Nếu hệ thống hỗ trợ nhiều người dùng, phải có khả biết làm • Nghĩa là, tất yêu cầu tới hệ thống phải gắn với định danh người dùng • Cơ chế chứng thực đảm bảo hệ thống kiểm soát dùng hệ thống. .. • Bảo mật (Security) sách – Ví dụ, “người dùng khơng có quyền khơng truy cập tập tin này” • Bảo vệ (Protection) chế – Ví dụ, ? ?hệ thống kiểm tra định danh người dùng quyền truy cập” • Cơ chế bảo

Ngày đăng: 24/08/2020, 00:13