+ Tổng quan về an toàn bảo mật n_ An toàn hệ thống thông tin la gi ?
n Mục tiêu bảo vệ hệ thống thông tin
Trang 2
+
n Đảm bảo tính tin cậy (Confidenftiality):
Thông tin không thể bị truy nhập trái
phép bởi những người không có thẩm quyền
n Đảm bảo tính nguyên ven(/ntegrity):
Thông tin không thể bị sửa đổi, bị làm
giả bởi những người không có thẩm quyền
Trang 3
+ n Đảm bao tinh san sang (Availability):
Thông tin luôn san sàng để đáp ứng sử
dụng cho người có thẩm quyền
› Đảm bảo tính không thể từ chối (Non-
repudiarion): Thông tin được cam
Trang 4
+
n Các nguyên tắc cơ bản khi thiết kế các
giải pháp bảo vệ hệ thống thông tin n Các bước xây dựng "chương trình bảo
Trang 6Xây dựng chính sách an tồn thơng tin + › Bộ chính sách ATTT nhằm xác đỉnh:
Confidentiality (Tinh bao mat), Integrity
(Tinh toan ven), Availability (Tinh san
Trang 74 Ví dụ: một chính sách ATTT Loai thong tin Tính bí | Tínhtoàn | Tinh san
mật ven sang ca0
Chiên lược kinh doanh ⁄ ⁄
Thong tin tài chính nội v v ⁄
bo
Tinh hinh nop thue ý
Trang 8
Phân tích - đánh giá rủi ro
n Các mối de doa (Threats)
» Cac diém yéu (Vulnerabilites)
n Cac rui ro (Risk)
bó,
Risk= > (Asset Value * Probability)
Thread=l
Trong đó:
- Risk: Tong ri ro
- Asset value: Gia phai tra khi phai thay thê tài sản
Trang 9
4 Hién trang an toan bao mat
n Nhận thức và đầu tư cho Security State nh 8% = 2° Other Legal 2 1% Federal Gov 8% Utility 3% Education 6% Manufacturing Retail 11% 2% Medical 8% Financial 19% High-Tech 19% Telecomm Transportation °% 2%
CSI/FBI 2002 Computer Crime and Security Survey
Trang 10Respondents by Number of Employees Respondents by Gross Income 10,000 or more 24% 5,001 to 9,999 1 to 99 12% 16% 100 to 499 1,000 to 5,000 14% 27% 500 to 999 7%
CSVFBI 2002 Computer Crime and Security Survey
Souroa: Computer Security Institute 2002: 484 Respondents/96% Over 1 billion 37% Under 10 million 20% 501 million to 1 billion 8% 11-99 million 100 to 500 million 19% 16%
CSI/FBI 2002 Computer Crime and Security Survey
Source: Computer Securty Inetitute 2002: 369 Respondents/7 2%
Trang 12Likely Sources of Attack 100 i 82 8177 7681 " 80 745573 75— 70 [_] 2002 [_] 2001 KH zooo [ij 1999 Hj 1998 Bi 1997
Foreign Govt _—_ Foreign Corp Independent US Disgruntled
Hackers Competitors Employees 2022 414 Respondents82% 2001: 484 Respondents91% 2000: 583 Respondentso0% 1996 460 Respondents66%
CSVFBI 2002 Computer Crime and Securty Survey 1996 428 Respondentso4%
Source: Computer Security Institute 1997: SOG Respondents8o%
Trang 13Thiệt hại No of Respondents Highest Lost ($) 2000 | 2001 | 2002 | 2000 | 2001 | 2002
Thett of propnetary mfo 22 34 41} 25M| 50M| 50M
Sabotage of data of networks 28 26 43| I5M| 3M} 10M
Telecom eavesdroppmg 15 16 20} 500K] 500K} 5M
System penetration by outsider 29 42 70 5M| 10M|] 5M
Trang 14» Tinh trung bình số tiền thiệt hại của các tổ
chức, doanh nghiệp và các dịch vụ được
thống kê trong bảng dưới đây: Average Losses ($) 2000 2001 2002
Theft of proprietary info 3,032,818 | 4,447,900 6,571
Sabotage of data of networks 969,577 199.350} 541,000
Telecom eavesdropping 66,080 55,375} 1,205,000
System penetration by outsider 244,965 453,967} 226,000
Trang 15› Tổng số tiền thiệt hại hàng năm của các
Trang 164 Các kiểu tấn công và thiệt hại
n Denial of Service
no Virus
Trang 17
cac công nghệ được lựa chọn
n Bức tường lửa (Firewall) n Phong chOng virus
n Bảo vỆ vật lý
