Bài giảng An toàn bảo mật mạng do ThS. Trần Đắc Tốt biên soạn, trong chương 6 của bài giảng sẽ giới thiệu về Chuẩn an toàn thông tin, với nội dung trình bày cụ thể: pháp luật về an toàn thông tin, Bộ tiêu chuẩn ISO/IEC 2700x và các bộ tiêu chuẩn khác. Để biết rõ hơn về nội dung chi tiết, mời các bạn cùng tham khảo bài giảng.
TRƯỜNG ĐẠI HỌC CƠNG NGHIỆP THỰC PHẨM TP.HCM AN TỒN BẢO MẬT MẠNG (Network Security) Giảng viên: Ths Trần Đắc Tốt – Khoa CNTT Email: tottd@cntp.edu.vn Website: www.oktot.com Facebook: https://www.facebook.com/oktotcom/ Chuẩn an tồn thơng tin NỢI DUNG MƠN HỌC Chương 1: Tổng quan an tồn bảo mật thơng tin mạng máy tính Chương 2: Tấn cơng mạng máy tính Chương 3: Cơng nghệ Firewall Chương 4: Hệ thống phát phòng chống xâm nhập (IDS&IPS) Chương 5: An ninh mạng WLAN (IEEE 802.11) Chương 6: Chuẩn an tồn thơng tin Chuẩn an tồn thơng tin Các nội dung trình bày Pháp luật an tồn thông tin Bộ tiêu chuẩn ISO/IEC 2700x Các tiêu chuẩn khác Chuẩn an tồn thơng tin Pháp luật an tồn thơng tin Với việc kết nối máy tính vào mạng, người mở rộng phạm vi hoạt động điều có nghĩa tác hại nhân lên qua mạng Vì xã hội "nối mạng", cá nhân phải nhận thức trách nhiệm với cộng đồng Pháp luật ATTT quy định, nghị định, sách nhằm đưa yêu cầu luật đảm bảo ATTT Chuẩn an tồn thơng tin 1.1 Tin tặc, tội phạm kỹ thuật Tin tặc (Hacker): Là người hay nhóm người sử dụng hiểu biết cấu trúc máy tính, hệ điều hành, mạng, ứng dụng sở HTTT để tìm lỗi, lỗ hỗng, điểm yếu an tồn tìm cách xâm nhập, thay đổi hay chỉnh sửa HTTT với mục đích tốt xấu khác Chuẩn an tồn thơng tin Tin tặc, tội phạm kỹ thuật (tiếp) Có hai loại Hacker: Hacker mũ trắng người mà hành động công, xâm nhập thay đổi, chỉnh sửa hệ thống phần cứng, phần mềm với mục đích tìm lỗi, lỗ hổng, điểm yếu bảo mật đưa giải pháp ngăn chặn bảo vệ hệ thống chẳng hạn nhà phân tích An ninh mạng Chuẩn an tồn thơng tin Tin tặc, tội phạm kỹ thuật (tiếp) Hacker mũ đen người mà hành động công, xâm nhập, thay đổi, chỉnh sửa hệ thống phần cứng, phần mềm với mục đích phá hoại, vi phạm pháp luật Chuẩn an tồn thơng tin 1.2 Một số tội phạm tin học liên quan đến lạm dụng Internet Mạo danh, xâm nhập máy tính trái phép để đánh cắp huỷ hoại thơng tin Lừa đảo qua mạng (Phishing): Là loại lừa đảo hấp dẫn với tin tặc trở thành hiểm hoạ đe doạ thương mại điện tử, làm giảm lòng tin vào giao dịch điện tử Chuẩn an toàn thông tin Một số tội phạm tin học liên quan đến lạm dụng Internet (tiếp) Spamming (thư rác) việc vi phạm tính riêng tư người khác: Email hệ thống giúp marketting tốt với khả quảng bá nhanh chóng rộng rãi Tuy nhiên có người lạm dụng hệ thống email để quấy rối, đe dọa, xúc phạm đến người khác Nhiều nước xem xét đạo luật liên quan đến spamming có phép hay không Ở Việt nam, nạn spamming bùng nổ mạnh mẽ Chuẩn an tồn thơng tin Một số tội phạm tin học liên quan đến lạm dụng Internet (tiếp) Tấn công từ chối dịch vụ Phát tán gieo rắc tài liệu phản văn hố, vi phạm an ninh quốc gia: Internet mơi trường cơng cộng, sử dụng Một số người lợi dụng khả Internet để phổ biến tài liệu phản văn hố kích động bạo lực, phổ biến văn hố đồi truỵ, kích động bạo loạn, kích động xu hướng dân tộc hay tôn giáp cực đoan, hướng dẫn phương pháp khủng bố Chuẩn an tồn thơng tin 10 Luật tội phạm tin học Việt Nam (tiếp) Nghị định 55/2001/NĐ-CP Ngày 23/8/2001 Chính phủ ban hành nghị định 55/2001/NĐ-CP quy định số mức xử phạt vi phạm sử dụng Internet Chuẩn an tồn thơng tin 16 Bộ tiêu chuẩn ISO/IEC 2700x Tiêu chuẩn quản lý an tồn thơng tin có ISO/IEC 2700x cung cấp hướng dẫn vấn đề liên quan hệ thống quản lý an tồn thơng tin: ISO/IEC 27000:2009 -Hệ thống quản lý an tồn thơng tin - Tổng quan từ vựng ISO/IEC 27001:2005 - Hệ thống quản lý an tồn thơng tin - Các u cầu ISO/IEC 27002:2005 -Quy tắc thực hành quản lý an tồn thơng tin ISO/IEC 27003:2010 -Hướng dẫn thực thi hệ thống quản lý an tồn thơng tin ISO/IEC 27004:2009 - Quản lý an tồn thơng tin - Đo lường ISO/IEC 27005:2011-Quản lý rủi ro an tồn thơng tin … Chuẩn an tồn thơng tin 17 Bộ tiêu chuẩn ISO/IEC 2700x Bộ tiêu chuẩn ISO/IEC 15408:2009 cung cấp tập yêu cầu đảm bảo an toàn sản phẩm hệ thống công nghệ thông tin biện pháp đảm bảo áp dụng yêu cầu trình đánh giá an tồn Bộ tiêu chuẩn gồm có phần: ISO/IEC 15408-1:2009 - Công nghệ thông tin - Các kỹ thuật an tồn - Tiêu chí đánh giá cho an tồn cơng nghệ thơng tin - Phần 1: Giới thiệu mơ hình chung ISO/IEC 15408-2:2009 - Cơng nghệ thơng tin - Các kỹ thuật an tồn - Tiêu chí đánh giá cho an tồn cơng nghệ thơng tin - Phần 2: Các thành phần chức an toàn ISO/IEC 15408-3:2008 - Công nghệ thông tin - Các kỹ thuật an tồn - Tiêu chí đánh giá cho an tồn cơng nghệ thơng tin - Phần 3: Các thành phần đảm bảo an tồn Chuẩn an tồn thơng tin 18 Bộ tiêu chuẩn ISO/IEC 2700x Bộ tiêu chuẩn ISO/IEC 18045:2008 - Công nghệ thông tin - Các kỹ thuật an tồn- Phương pháp ước lượng an tồn cơng nghệ thông tin Tiêu chuẩn sử dụng với tiêu chí đánh giá an tồn ISO/IEC 15408 Chuẩn an tồn thơng tin 19 Bộ tiêu chuẩn ISO/IEC 2700x Bộ tiêu chuẩn ISO/IEC TR19791:2010 - Cơng nghệ thơng tin - Các kỹ thuật an tồn-Đánh giá an toàn hệ thống hoạt động Tiêu chuẩn cung cấp hướng dẫn tiêu chí cho việc ước lượng an toàn hệ thống hoạt động Tiêu chuẩn mở rộng ISO/IEC 15408, đề cập khía cạnh quan trọng hệ thống hoạt động mà tiêu chuẩn ISO/IEC 15408 không đề cập Chuẩn an tồn thơng tin 20 Bộ tiêu chuẩn ISO/IEC 2700x Bộ tiêu chuẩn ISO/IEC TR 15443:2012 đề cập đến khái niệm tiêu chí cho việc so sánh phân tích phương pháp đánh giá phù hợp bảo đảm an toàn Bộ tiêu chuẩn gồm phần: ISO/IEC 15443-1:2012 - Công nghệ thơng tin - Kỹ thuật an tồn - Khung bảo đảm an tồn cơng nghệ thơng tin - Phần 1: Giới thiệu khái niệm ISO/IEC 15443-2:2012 - Công nghệ thơng tin - Kỹ thuật an tồn - Khung bảo đảm an tồn cơng nghệ thơng tin - Phần 2: Các phân tích Chuẩn an tồn thơng tin 21 Các Bộ tiêu chuẩn khác Bộ tiêu chuẩn ISO/IEC TR 15443:2012 đề cập đến khái niệm tiêu chí cho việc so sánh phân tích phương pháp đánh giá phù hợp bảo đảm an toàn Bộ tiêu chuẩn gồm phần: ISO/IEC 15443-1:2012 - Cơng nghệ thơng tin - Kỹ thuật an tồn - Khung bảo đảm an tồn cơng nghệ thơng tin - Phần 1: Giới thiệu khái niệm ISO/IEC 15443-2:2012 - Cơng nghệ thơng tin - Kỹ thuật an tồn - Khung bảo đảm an tồn cơng nghệ thơng tin - Phần 2: Các phân tích Chuẩn an tồn thơng tin 22 Một số tiêu chuẩn ban hành (VN) TCVN 7326-1:2003 Thiết bị công nghệ thông tin An toàn Phần 1: Yêu cầu chung (IEC 60950-1:2001) TCVN 7563-8:2005 Cơng nghệ thơng tin Từ vựng Phần 8: An tồn (ISO/IEC 02382-8:1998) TCVN 7562:2005 Công nghệ thông tin Mã thực hành quản lý an tồn thơng tin (ISO/IEC 17799:2000) TCVN 7635:2007 Kỹ thuật mã hoá, Chữ ký số TCVN 7816:2007 Cơng nghệ thơng tin Kỹ thuật mật mã thuật tốn mã liệu AES TCVN 7818-2:2007 Công nghệ thông tin Kỹ thuật mật mã dịch vụ tem thời gian Phần 2: Cơ chế token độc lập (ISO/IEC 18014-2:2002) Chuẩn an tồn thơng tin 23 Một số tiêu chuẩn ban hành (VN) TCVN 7817-3:2007 Công nghệ thông tin Kỹ thuật mật mã quản lý khoá Phần 3: Các chế sử dụng kỹ thuật không đối xứng (ISO/IEC 117703:1999) TCVN 7817-1:2007 Công nghệ thông tin Kỹ thuật mật mã quản lý khoá Phần 1: Khung tổng quát (ISO/IEC 11770-1:1996) TCVN 7818-1:2007 Công nghệ thông tin Kỹ thuật mật mã dịch vụ tem thời gian Phần 1: Khung tổng quát (ISO/IEC 18014-1:2002) TCVN 7563-14:2009 Công nghệ thông tin Từ vựng Phần 14: Độ tin cậy, khả trì, tính sẵn có (ISO/IEC 2382-14:1997) Chuẩn an tồn thơng tin 24 Một số tiêu chuẩn ban hành (VN) TCVN 8051-1:2009 Công nghệ thông tin Kỹ thuật an tồn An tồn mạng cơng nghệ thơng tin Phần 1: Quản lý an toàn mạng (ISO/IEC 180281:2008) TCVN ISO/IEC 27001:2009 Cơng nghệ thơng tin Hệ thống quản lý an tồn thông tin Các yêu cầu (ISO/IEC 27001:2005) TCVN 8051-2:2009 Công nghệ thơng tin Kỹ thuật an tồn An tồn mạng cơng nghệ thơng tin Phần 2: Kiến trúc an tồn mạng (ISO/IEC 180282:2006) TCVN 7818-3:2010 Công nghệ thông tin Kỹ thuật an toàn Dịch vụ tem thời gian Phần 3: Cơ chế tạo thẻ liên kết (ISO/IEC 18014-3:2009) Chuẩn an tồn thơng tin 25 Một số tiêu chuẩn ban hành (VN) TCVN 7817-4:2010 Công nghệ thông tin Kỹ thuật an tồn quản lý khố Phần 4: Cơ chế dựa bí mật yếu (ISO/IEC 11770-4:2006) TCVN 7817-2:2010 Cơng nghệ thơng tin Kỹ thuật an tồn quản lý khoá Phần 2: Cơ chế sử dụng kỹ thuật đối xứng (ISO/IEC 11770-2:2008) TCVN ISO/IEC 27002:2011 Công nghệ thông tin- Các kỹ thuật an toànQuy tắc thực hành quản lý an tồn thơng tin (ISO/IEC 27002:2005) TCVN 8709-1:2011 Cơng nghệ thơng tin- Các kỹ thuật an tồn- Các tiêu chí đánh giá an tồn cơng nghệ thơng tin- Phần 1: Giới thiệu mơ hình tổng qt (ISO/IEC 15408-1:2009) TCVN 8709-2:2011 Cơng nghệ thơng tin- Các kỹ thuật an tồn- Các tiêu chí đánh giá an tồn cơng nghệ thơng tin- Phần 2: Các thành phần chức Chuẩn an toàn anthơng tồntin(ISO/IEC 15408-2:2008) 26 Một số tiêu chuẩn ban hành (VN) TCVN 8709-3:2011 Công nghệ thông tin- Các kỹ thuật an tồn- Các tiêu chí đánh giá an tồn cơng nghệ thơng tin- Phần 3: Các thành phần đảm bảo an toàn (ISO/IEC 15408-3:2008) TCVN 9801-1:2013 Cơng nghệ thơng tin Kỹ thuật an tồnan tồn mạng Phần 1: tổng quan khái niệm TCVN 9965:2013 Công nghệ thơng tin Kỹ thuật an tồn Hướng dẫn tích hợp triển khai TCVN ISO/IEC 27001 ISO/IEC 20000-1 TCVN 9801-1:2013 Công nghệ thông tin - Các kỹ thuật an toàn - An toàn mạng - Phần 1: Tổng quan khái niệm (ISO/IEC 27033-1:2009) TCVN 10295:2016 Công nghệ thông tin- Các kỹ thuật an toàn- Quản lý rủi ro an tồn thơng tin (ISO/IEC 27005:2011) Chuẩn an tồn thơng tin 27 Một số dự thảo tiêu chuẩn chưa ban hành Dự thảo TCVN (ISO/IEC 27033-2:2012) Công nghệ Thơng tin - Kỹ thuật an tồn - An tồn mạng - Phần 3: Các kịch kết nối mạng tham chiếu - Nguy cơ, kỹ thuật thiết kế vấn đề kiểm sốt (ISO/IEC 27033-3:2010) Cơng nghệ thơng tin - Các kỹ thuật an toàn - Quản lý an tồn thơng tin - Đo lường (ISO/IEC 27004:2009) Chuẩn an tồn thơng tin 28 Một số dự thảo tiêu chuẩn chưa ban hành Công nghệ thông tin - Các ký thuật an toàn - Hướng dẫn triển khai hệ thống quản lý an tồn thơng tin (ISO/IEC 27003:2010) Công nghệ thông tin - Các ký thuật an tồn - Quản lý an tồn thơng tin cho truyền thông liên tổ chức, liên ngành (ISO/IEC 27010:2012) Dự thảo TCVN (ISO/IEC 27000:2009) Dự thảo TCVN (ISO/IEC 27035:2011 Chuẩn an tồn thơng tin 29 Câu hỏi ? Ý kiến ? Đề xuất ? Chuẩn an tồn thơng tin 30 ... 2000 0-1 TCVN 980 1-1 :2013 Công nghệ thông tin - Các kỹ thuật an toàn - An toàn mạng - Phần 1: Tổng quan khái niệm (ISO/IEC 2703 3-1 :2009) TCVN 10295:20 16 Công nghệ thông tin- Các kỹ thuật an tồn-... bảo đảm an toàn Bộ tiêu chuẩn gồm phần: ISO/IEC 1544 3-1 :2012 - Công nghệ thông tin - Kỹ thuật an toàn - Khung bảo đảm an toàn công nghệ thông tin - Phần 1: Giới thiệu khái niệm ISO/IEC 1544 3-2 :2012... 1544 3-2 :2012 - Công nghệ thông tin - Kỹ thuật an toàn - Khung bảo đảm an toàn cơng nghệ thơng tin - Phần 2: Các phân tích Chuẩn an tồn thơng tin 22 Một số tiêu chuẩn ban hành (VN) TCVN 73 2 6- 1:2003