Bài giảng An toàn bảo mật thông tin doanh nghiệp với mục tiêu cung cấp những kiến thức cơ bản về an toàn và bảo mật thông tin cho hệ thống thông tin doanh nghiệp; cung cấp thông tin về các nguy cơ tấn công và phương pháp đảm bảo an toàn cho hệ thống thông tin doanh nghiệp;... Mời các bạn cùng tìm hiểu và tham khảo nội dung thông tin tài liệu.
Bài giảng An tồn bảo mật thơng tin doanh nghiệp Mục đích mơn học Cung cấp kiến thức an toàn bảo mật thông tin cho HTTT doanh nghiệp Cung cấp thông tin nguy công phương pháp đảm bảo an tồn cho hệ thống thơng tin doanh nghiệp Giới thiệu số ứng dụng cơng nghệ đảm an tồn bảo mật thơng tin doanh nghiệp Bộ môn CNTT Khoa Hệ thống thông tin Kinh tế 9/10/2014 Bộ môn CNTT Yêu cầu cần đạt 9/10/2014 Nắm vững kiến thức an toàn bảo mật thông tin doanh nghiệp Bộ môn CNTT Nguyễn Thị Hội - Bộ môn CNTT luận Email: hoint2002@gmail.com Bài giảng: http://nguyenthihoi.com Chương 1: ▪ Tổng quan an tồn bảo mật thơng tin doanh nghiệp Chương 2: ▪ Các hình thức cơng vào thông tin doanh nghiệp Chương 3: ▪ Các phương pháp phòng tránh khắc phục Chương 4: ▪ Các hệ mã hóa Chương 5: ▪ Ứng dụng cơng nghệ an tồn bảo mật thơng tin 9/10/2014 Mơn học gồm tín (45 tiết) phân phối sau: Thời gian: 11 tuần lý thuyết, kiểm tra thảo phương pháp đảm bảo an tồn cho hệ thống thơng tin doanh nghiệp Sử dụng số ứng dụng có việc đảm bảo an tồn thơng tin doanh nghiệp Bộ môn CNTT Nội dung lý thuyết thảo luận 30 tiết (15 buổi) Có kiến thức nguy công và 9/10/2014 Bộ môn CNTT 9/10/2014 Bộ mơn CNTT [1] Giáo trình An tồn liệu, Bộ môn CNTT, Đại học Thương Mại, 2007 [2] Phan Đình Diệu, Lý thuyết mật mã an tồn thơng tin, Đại học Quốc gia Hà Nội, 1999 [3] William Willi St lli Stallings, C t Cryptography h and dN Network t k Security Principles and Practices, Fourth Edition, Prentice Hall, 2005 [4] Man Young Rhee Internet Security: Cryptographic principles, algorithms and protocols John Wiley & Sons, 2003 9/10/2014 Bộ mơn CNTT Bài giảng An tồn bảo mật thông tin doanh nghiệp ▪ ▪ ▪ ▪ ▪ ▪ ▪ Khái niệm ▪ ▪ ▪ Mục tiêu yêu cầu ATBMTTDN An toàn bảo mật thơng tin Vai trị ATBM DN Các nguy Phân loại nguy Các nguy thực tế doanh nghiệp Phòng tránh Khắc phục Mục tiêu u cầu Quy trình Mơ hình định hướng ATBMTTDN ▪ Mơ hình ▪ Định hướng 9/10/2014 Bộ môn CNTT Bộ môn CNTT Bảo mật thơng tin trì tính bí mật, tính trọn vẹn tính sẵn sàng thơng tin Bộ môn CNTT 9/10/2014 Bộ môn CNTT 10 chống virus, giải pháp mật mã, sản phẩm mạng, hệ ệ điều hành… Những ứng dụng như: trình duyệt Internet phần mềm nhận Email từ máy trạm… người cấp quyền tương ứng Tính trọn vẹn bảo vệ xác, hồn chỉnh thông tin thông tin thay đổi người cấp quyền Tính sẵn sàng thơng tin người quyền sử dụng truy xuất thông tin họ cần” Hệ thống coi bảo mật (confident) tính riêng tư nội dung thông tin đảm bảo theo tiêu chí thời gian xác định 9/10/2014 Bộ môn CNTT Nguyễn Thị Hội - Bộ môn CNTT Yếu tố công nghệ: Những sản phẩm Firewall, phần mềm phịng Bí mật nghĩa đảm bảo thông tin tiếp cận 9/10/2014 Một hệ thống thơng tin coi an tồn thơng tin khơng bị làm hỏng hóc, khơng bị sửa đổi, thay đổi, chép xóa bỏ người không phép Một hệ thống thố thông thô tin ti an tồn t cố ố có ó thể xảy khơng thể làm cho hoạt động chủ yếu ngừng hẳn chúng khắc phục kịp thời mà không gây thiệt hại đến mức độ nguy hiểm cho chủ sở hữu 9/10/2014 => Thơng tin khơng bị hỏng hóc, không bị sửa đổi không bị mát 11 Yếu tố người: Là người sử dụng máy tính, người làm việc với thơng tin sử dụng máy tính cơng việc 9/10/2014 Bộ mơn CNTT 12 Bài giảng An tồn bảo mật thông tin doanh nghiệp So sánh số nước: HQ: 62%, Singapore: 68%, … 9/10/2014 Bộ môn CNTT 13 9/10/2014 Bộ môn CNTT 14 9/10/2014 Bộ môn CNTT 16 Về trang thiết bị: Gần 70% số CQNN sử dụng firewall cứng mềm Hầu hết chưa trang bị thiết bị phát phòng chống thâm nhập IDS, IPS Hầu hết CQNN DNNN sử dụng phần mềm diệt virus, đa số phần mềm khơng có quyền 9/10/2014 Bộ mơn CNTT 15 Vai trị: - ATBM có vai trò quan trọng phát triển bền vững doanh nghiệp - Thông tin tài sản vô giá doanh nghiệp Rủi ro ề thơng tin ỗ doanh nghiệp ể gây thất ấ thoát tiền ề bạc, tài sản, người gây thiệt hại đến hoạt động kinh doanh sản xuất doanh nghiệp - Rủi ro thông tin doanh nghiệp ảnh hưởng uy tín & phát triển doanh nghiệp lại vấn đề khó tránh khỏi - => ATBM khơng phải cơng việc riêng người làm CNTT mà cá nhân đơn vị tổ chức doanh nghiệp 9/10/2014 Bộ môn CNTT Nguyễn Thị Hội - Bộ môn CNTT 17 9/10/2014 Bộ môn CNTT 18 Bài giảng An tồn bảo mật thơng tin doanh nghiệp Ngẫu nhiên (nguyên nhân khách quan) ▪ Thiên tai, hỏng vật lý, điện, … Có chủ định (nguyên nhân chủ quan) ▪ Tin tặc, cá nhân bên ngoài, phá hỏng vật lý, can thiệp có chủ ý, … 9/10/2014 Bộ môn CNTT 19 9/10/2014 Bộ môn CNTT 20 21 9/10/2014 Bộ môn CNTT 22 Từ người: Tin tặc, phishing, pharming, … 9/10/2014 Bộ môn CNTT Người đảm bảo an tồn thơng tin phải ln ln cập nhật kiến thức bảo mật ật ới hạn h chế hế nguy công ngày gia tăng ngày nay! 9/10/2014 Bộ môn CNTT Nguyễn Thị Hội - Bộ môn CNTT a) Nguy từ bên Nguy yếu tố kỹ thuật (thiết bị mạng, máy chủ, hệ thống thông tin , ) Nguy lập kế hoạch, triển khai, thực thi, vận hành(vòng đời) Nguy quy trình, sách an ninh bảo mật… Nguy yếu tố người: vận hành, đạo đức nghề nghiệp 23 9/10/2014 Bộ môn CNTT 24 Bài giảng An tồn bảo mật thơng tin doanh nghiệp Hơn 71% tổ chức cho phép nhân viên dùng thiết bị di động làm việc Trên giới có tỷ smartphone hoạt động Trong có T ó 68,8% 68 8% dùng dù Android, A d id 18.8% 18 8% dùng dù Apple, 4,5% dùng RIM 5,8% dùng OS khác Malware cơng vào OS có đến 79% cơng vào Android, 19% vào Symbian 2% vào OS khác Hơn 350.000 mã độc công vào OS 12 phút, 1.000.000 mã độc công OS 13’ 9/10/2014 Bộ môn CNTT 25 9/10/2014 Bộ môn CNTT 26 9/10/2014 Bộ môn CNTT 27 9/10/2014 Bộ môn CNTT 28 9/10/2014 Bộ môn CNTT 29 9/10/2014 Bộ môn CNTT 30 Nguyễn Thị Hội - Bộ mơn CNTT Bài giảng An tồn bảo mật thông tin doanh nghiệp B) Nguy từ môi trường bên ngồi Mơi trường: hạ tầng lượng, truyền thông, thảm hoạ từ thiên nhiên người g p g lớn g mục tiêu - Các doanh nghiệp nhiều đối tượng công từ nước quốc tế - Phòng tránh cách thức sử dụng phương pháp, phương tiện, kỹ thuật nhằm ngăn ngừa giảm bớt rủi ro mà hệ thống gặp phải Phân loại: Phòng tránh từ bên ▪ Yếu tố người, hệ mã hóa, phần cứng, phần mềm, … Phịng tránh từ bên ▪ Yếu tố người, mã độc, Internet, … 9/10/2014 Bộ môn CNTT 31 Khắc phục hậu sử dụng phương pháp, phương tiện kỹ thuật nhằm phục hồi lại tài nguyên hệ thống hoạt động chủ yếu Phân loại: Phục hồi liệu: ▪ Backup, Recovery data, … Phục hồi ứng dụng: ▪ Backup, phần cứng, phần mềm chuyên dụng, … 9/10/2014 Bộ môn CNTT 33 9/10/2014 Bộ môn CNTT 32 Mục tiêu Phát lỗ hổng hệ thống thơng tin, dự đốn trước nguy công Ngăn chặn hành động gây ấ an tồn thơng tin từ bên bên Phục hồi tổn thất hệ thống thông tin bị công 9/10/2014 Bộ môn CNTT 34 Yêu cầu Tính bí mật (Secrecy) ▪ Đảm bảo liệu người sử dụng bảo vệ, không bị xâm phạm người không phép Tính tồn vẹn (Integrity): Tính tin cẩn Bảo mật ▪ Dữ liệu không bị tạo ra, sửa đổi hay xóa người khơng sở hữu Tính sẵn sàng (Availability): Tính tồn vẹn Tính sẵn sàng ▪ Dữ liệu phải trạng thái sẵn sàng Tính tin cậy (Confidentiality) ▪ Thơng tin người dùng nhận 9/10/2014 Bộ môn CNTT Nguyễn Thị Hội - Bộ môn CNTT 35 9/10/2014 Bộ môn CNTT 36 Bài giảng An tồn bảo mật thơng tin doanh nghiệp Doanh nghiệp phải đảm bảo đầy đủ các yếu tố của mơ hình C‐I‐A: Confidentiality, Integrity, Availability ‐ Xây dựng trung tâm dự phịng thơng tin trong tổng thể an ninh hệ thống phần nào đảm bảo tính liên tục (Availability) ‐ Xác định Đánh giá Lựa chọn giải pháp Giám sát rủi ro 9/10/2014 Bộ môn CNTT 38 9/10/2014 Bộ môn CNTT 42 Xác định Bảo vệ cho ai? Bảo vệ gì? Bảo vệ nào? => Rất quan trọng Đánh giá Đưa Đ biện biệ pháp? há ? Đánh Đá h giá iá hiệu hiệ năng, ă chi hi phí, hí độ an tồn, … Lựa chọn giải pháp Giám sát rủi ro Từ bước đánh giá lựa chọn giải pháp tối ưu Luôn giám sát hoạt động => Xác định nguy => …=> …=> 9/10/2014 Bộ môn CNTT 39 9/10/2014 Bộ môn CNTT 41 Nguyễn Thị Hội - Bộ mơn CNTT Bài giảng An tồn bảo mật thơng tin doanh nghiệp A Mơ hình đảm bảo an toàn máy đầu cuối MỨC MẠNG MỨC VẬT LÝ TÀI NGUYÊN MỨC DỮ LiỆU 9/10/2014 MỨC HỆ ĐiỀU HÀNH Bộ môn CNTT 43 Tạo phân quyền người dùng Kiểm sốt chương trình thực thi máy Các file log dùng để theo dõi hoạt động hệ thống Các chức bảo mật tích hợp sẵn (trình diệt Virus, tường lửa) 9/10/2014 Chống nguy mát liệu qua đường vật lý Đánh giá độ chịu đựng hệ thống liệu trước cố bất ngờ Quản lý truy nhập mức vật lý vào phần cứng lưu trữ Quản lý hoạt động thiết bị cần bảo vệ thiết bị bảovệ để đảm bảo hoạt động liệu cách ổn đinh Bộ môn CNTT Mã hóa liệu: Phân quyền người dùng: 45 9/10/2014 Bộ môn CNTT 44 Sử dụng thiết bị phần cứng chuyên dụng để ngăn chặn xâm nhập trái phép từ Internet Dùng chế quản lý phân quyền người sử dụng Sử dụng giao thức bảo mật mạng Các phần mềm chống xâm nhập trái phép dị tìm Virus 9/10/2014 Bộ môn CNTT 46 Bên thứ ba đáng tin Dữ liệu lưu trữ dạng mã Sử dụng chương trình bảo mật thư mụcvà file Thiết lập chế backup, lưu nhiều Server Thơng tin bí mật Dùng NTFS, hệ điều hành LINUX, 9/10/2014 Bộ môn CNTT Nguyễn Thị Hội - Bộ môn CNTT Chuyển y đổi liên quan đến an tồn Thơng báo Kênh thơng tin Thơng báo an toàn n Thiết lập chế lưu liệu Thông báo Phân nhiều mức người sử dụng khác nhau Thơng báo an tồn n Bên nhận Chuyển y đổi liên quan đến an toàn Thơng tin bí mật Đối thủ 47 9/10/2014 Bộ mơn CNTT 48 Bài giảng An toàn bảo mật thông tin doanh nghiệp Nâng cao nhận thức ATBM TT cho doanh nghiệp Ban hành sách ATBM Tổ chức thực & kiểm tra, kiểm sốt 9/10/2014 Bộ mơn CNTT 49 9/10/2014 Bộ mơn CNTT 50 51 9/10/2014 Bộ môn CNTT 52 1.ATTTs trụ cột để phát triển CNTT, CPĐT… Một trụ cột (hạ tầng, công nghiệp, ứng dụng, nguồn nhân lực, ATTTs) Điều kiện tiên để PT ƯD CNTT 2.ATTTs phận QPANQG Địa bàn hoạt động thám, tội phạm, khủng bố, chiến tranh Tác hại lớn đến cộng đồng, đồng ảnh hưởng đến KT, KT ANQG, ANQG TTATXH Bảo đảm an tồn thơng tin liên lạc, giữ gìn bí mật quốc gia Giữ gìn bí mật kinh tế, đảm báo phát triển bền vững Bảo vệ chủ quyền QG trọng không gian số 3.ATTTs ngành kinh tế công nghiệp, dịch vụ công nghệ cao Giá trị kinh tế cao, tăng trưởng nhanh (28%) Đầu tư đắt tiền, đòi hỏi tính hiệu cao Địi hỏi trình độ cao phát triển KHCN nhân lực 9/10/2014 Bộ môn CNTT Nguyễn Thị Hội - Bộ môn CNTT 53 9/10/2014 Bộ mơn CNTT 54 Bài giảng An tồn bảo mật thông tin doanh nghiệp 4.ATTTs lĩnh vực đặc thù ưu tiên sản phẩm, tổ chức nội địa Kế thừa tri thức tinh hoa quốc tế, phát huy nội lực 5.ATTTs lĩnh vực nóng đối ngoại Xu hướng đồng thuận, hợp tác >< đấu tranh, thám mạng Công ước Châu Âu chống tội phạm mạng Chiến lược quốc tế không gian mạng Mỹ, Anh,… Hội thảo quốc tế không gian mạng: Đa số nước có quan điểm đối thoại, ATBM có vai trị phát triển bền vững doanh nghiệp - ATBM công việc riêng người làm CNTT doanh nghiệp mà tất thành viên tổ chức - Doanh nghiệp cần có sách đầu tư thích đáng cho ATBM TTDN - Dịch vụ, hệ thống, công cụ, người đòi hổi độ tin cậy cao xây dựng quy tắc ứng xử, đồng thuận Quan điểm “tự internet” phải đảm bảo an ninh quốc gia an toàn cho người dân ATTTs nghiệp toàn xã hội CQ QLNN, thực thi & BV PL nòng cốt + LL KHCN + cộng đồng + Xã hội hóa + nâng cao thường xuyên nhận thức 9/10/2014 Bộ môn CNTT 55 Rà sốt, chỉnh sửa hồn thiện quy định nghiệp vụ theo hướng ứng dụng cơng nghệ cao • Tiếp tục hoàn thiện quy định an ninh, bảo mật hệ thống thông tin đơn vị sản xuất kinh doanh • Từng bước xây dựng các tiêu chuẩn chung hệ thống thông tin đơn vị sản xuất kinh doanh • • 56 • Thực lộ trình áp dụng tiêu chuẩn ATBM Từng đơn vị cụ thể hố thành sách ATBM riêng & tổ chức thực • Các đơn vị thường xuyên tổ chức kiểm tra,đánh giá mức độ ATBM doanh nghiệp nhằm phát kịp thời tăng cường mức độ đảm bảo ATTT cho doanh nghiệp • Xây dựng quy chế xử lý rủi ro ứng dụng CNTT 57 9/10/2014 Bộ môn CNTT Nguyễn Thị Hội - Bộ môn CNTT 59 58 9/10/2014 Bộ mơn CNTT 60 10 Bài giảng An tồn bảo mật thông tin doanh nghiệp 9/10/2014 Bộ môn CNTT 61 9/10/2014 9/10/2014 Bộ môn CNTT Nguyễn Thị Hội - Bộ môn CNTT 63 Bộ mơn CNTT 62 Trình bày khái niệm an tồn thơng tin bảo mật thơng tin Vai trò ATBM TT DN Các nguy công vào HTTT DN Các yêu cầu mục tiêu việc đảm bảo an toàn bảo mật thơng tin Quy trình mơ hình đảm bảo ATBM TT Định hướng để tăng cường ATBMTT DN 9/10/2014 Bộ môn CNTT 64 11 ... vững doanh nghiệp - Thông tin tài sản vô giá doanh nghiệp Rủi ro ề thông tin ỗ doanh nghiệp ể gây thất ấ thoát tiền ề bạc, tài sản, người gây thiệt hại đến hoạt động kinh doanh sản xuất doanh nghiệp. . .Bài giảng An tồn bảo mật thơng tin doanh nghiệp ▪ ▪ ▪ ▪ ▪ ▪ ▪ Khái niệm ▪ ▪ ▪ Mục tiêu u cầu ATBMTTDN An tồn bảo mật thơng tin Vai trò ATBM DN Các nguy Phân loại nguy Các nguy thực tế doanh. .. Tính tin cậy (Confidentiality) ▪ Thông tin người dùng nhận 9/10/2014 Bộ môn CNTT Nguyễn Thị Hội - Bộ môn CNTT 35 9/10/2014 Bộ môn CNTT 36 Bài giảng An tồn bảo mật thơng tin doanh nghiệp Doanh? ?nghiệp? ?phải đảm? ?bảo? ?