Thông tin la một tài sản của cá nhân, tổ chức,do đó cần bảo vệ như tất cả những tài sản khác bằng những biện pháp phù hợp với biện pháp của thông tin. Thông tin tồn tại dưới nhiều hình thức khác nhau như in hoặc viết ra trên giấy lưu trữ bằng các thiết bị điện tử.
Tổng quan bảo mật thông tin Nội dung Mơ hình bảo mật cổ điển Mơ hình bảo mật X.800 Chuẩn an ninh thông tin ISO 27001 Các nguy bảo mật hệ thống Information security, PTITHCM, 2012 Bảo mật thông tin Information security Computer security Information security, PTITHCM, 2012 Network security Mơ hình CIA Thế hệ thống an toàn (secure system)? C = Confidentiality I = Integrity A = Availability Information security, PTITHCM, 2012 Tính bí mật (C) Giới hạn đối tượng phép truy xuất đến tài ngun hệ thống Bí mật nội dung thơng tin Bí mật tồn thơng tin Cơ chế đảm bảo bí mật: Quản lý truy xuất (Access Control) Mật mã hóa (Encrypion) Information security, PTITHCM, 2012 Tính tịan vẹn (I) Thông tin không bị thay đổi ngòai ý muốn Tòan vẹn nội dung Tòan vẹn nguồn gốc Các chế đảm bảo toàn vẹn: Hàm băm, chữ ký số Các giao thức xác thực Information security, PTITHCM, 2012 Tính sẵn sàng (A) Thơng tin sẵn sàng cho truy xuất hợp lệ Là đặc trưng hệ thống thông tin Các mơ hình bảo mật đại (ví dụ X.800) khơng đảm bảo tính khả dụng Tấn cơng dạng DoS/DDoS nhắm vào tính khả dụng hệ thống Information security, PTITHCM, 2012 Tính hịan thiện CIA Khơng đảm bảo “khơng từ chối hành vi” (non-repudiation) Khơng thể tính “sở hữu” Khơng có tương quan với mơ hình hệ thống mở OSI => Cần xây dựng mơ hình Information security, PTITHCM, 2012 Chiến lược AAA (RFC 3127) Các chế nhằm xây dựng hệ thống bảo mật theo mơ hình CIA Access Control Authentication Auditing Phân biệt với thuật ngữ AAA Cisco (Authentication, Authorization, Accounting) Information security, PTITHCM, 2012 Access Control MAC (Mandatory Access Control) Quản lý truy xuất bắt buộc, dùng chung cho toàn hệ thống DAC (Discretionary Access Control) Quyền truy xuất gán tùy theo sở hữu tài nguyên RBAC (Role-based Access Control) Quyền truy xuất gán theo vai trò hệ thống Information security, PTITHCM, 2012 Authentication User / password Cleartext, Challenge/response, Kerberos, … Biometric Vân tay, võng mạc, … Certificates Smart card Information security, PTITHCM, 2012 Auditing Auditing System events auditing NTFS access auditing System log Service log Command history System scanning Vulnerability scanning Base line analyzer Information security, PTITHCM, 2012 Triển khai giải pháp bảo mật Điều kiện để công xảy ra: Threats + Vulnerability Cơ sở triển khai giải pháp: Chính sách an ninh thông tin Hiệu kinh tế hệ thống thông tin Information security, PTITHCM, 2012 Security policy Tập quy ước định nghĩa trạng thái an tòan hệ thống P: tập hợp tất trạng thái hệ thống Q: tập hợp trạng thái an tòan theo định nghĩa security policy R: tập hợp trạng hệ thống sau áp dụng chế bảo mật R Q: Hệ thống tuyệt đối an tòan Nếu tồn trạng thái r R cho rQ: hệ thống không an tòan Information security, PTITHCM, 2012 Security mechanism Tập biện pháp kỹ thuật thủ tục triển khai để đảm bảo thực thi sách Ví dụ: Dùng chế cấp quyền partition NTFS Dùng chế cấp quyền hệ thống (user rights) Đưa quy định mang tính thủ tục … Information security, PTITHCM, 2012 Xây dựng hệ thống bảo mật Định nghĩa sách Triển khai chế Information security, PTITHCM, 2012 Mơ hình bảo mật X.800 (ITU_T) Xem xét vấn đề bảo mật tương quan với mơ hình hệ thống mở OSI theo phương diện: Security attack Security mechanism Security service Các dịch vụ bảo mật cung cấp dạng primitives lớp tương ứng OSI Information security, PTITHCM, 2012 Security attack Passive attacks: Tiết lộ thơng tin Phân tích lưu lượng Active attacks: Thay đổi thông tin Từ chối dịch vụ Information security, PTITHCM, 2012 Security services Access Control Authentication Data Confidentiality Data Integrity Non-repudiation Information security, PTITHCM, 2012 Security mechanisms Encipherment Digital Signature Access Control Data Integrity Authentication exchange Traffic padding … Information security, PTITHCM, 2012 ISO 27001 Dựa khái niệm hệ thống quản lý an ninh thơng tin ISMS Quy trình PDCA Information security, PTITHCM, 2012 ISO 27001 requirements Đánh giá rủi ro an ninh thơng tin Chính sách an ninh thơng tin Tổ chức hệ thống an ninh thông tin Tổ chức quản lý tài sản đơn vị Đảm bảo an ninh nguồn nhân lực An ninh môi trường thiết bị làm việc Quản lý truyền thơng (trong có an ninh hệ thống mạng) Quản lý truy xuất tài nguyên thông tin Quản lý cố hệ thống thông tin Information security, PTITHCM, 2012 Các nguy bảo mật hệ thống thực tế Các công có chủ đích (attacks) White hat hackers Script kiddies Black hat hackers Internal threats Các phần mềm phá họai (malicious code) Information security, PTITHCM, 2012 Tấn công hệ thống thông tin Dựa vào sơ hở hệ thống Dựa vào lỗ hổng phần mềm Dựa vào lỗ hổng giao thức Tấn công vào chế bảo mật Tấn công từ chối dịch vụ (DoS/DDoS) Information security, PTITHCM, 2012 Phần mềm phá họai Virus Worm Logic bomb Trojan horse Backdoor Spammer Zoombie Information security, PTITHCM, 2012 ... lý an ninh thơng tin ISMS Quy trình PDCA Information security, PTITHCM, 2 012 ISO 270 01 requirements Đánh giá rủi ro an ninh thơng tin Chính sách an ninh thông tin Tổ chức hệ thống an ninh thông. .. Đảm bảo an ninh nguồn nhân lực ? ?An ninh môi trường thiết bị làm việc Quản lý truyền thông (trong có an ninh hệ thống mạng) Quản lý truy xuất tài nguyên thông tin Quản lý cố hệ thống thông tin... thái an t? ?an theo định nghĩa security policy R: tập hợp trạng hệ thống sau áp dụng chế bảo mật R Q: Hệ thống tuyệt đối an t? ?an Nếu tồn trạng thái r R cho rQ: hệ thống khơng an t? ?an Information