Professional Documents
Culture Documents
(Information Security)
• Thông tin có thể tồn tại dưới nhiều dạng khác nhau,
nhưng bất cứ ở dạng nào nó cũng được chia sẽ, lưu
trữ và cần được bảo vệ.
• Bảo mật thông tin là bảo vệ thông tin tránh khỏi các
đe dọa nhằm đảm bảo liên tục các họat động kinh
doanh, giảm thiểu rũi ro, tối đa hóa ROI và các cơ hội
kinh doanh.
Data = Golden + Diamon
PEOPLE
Securing
The
Enterprise
CORE BUSINESS
NETWORK
What to secure?
Partners
External
Network
Vendors Customers
Mobile
User Remote
User
Desktops
Employees
Internal Network
Servers Databases
Mainframes
Bảo mật thông tin là gì?
- Các lọai tội phạm máy tính: ăn trộm tiền: 44%; phá
hủy phần mềm: 16%; trộm thông tin: 16%; thay đổi dữ
liệu: 12%; tấn công các dịch vụ: 10%; xâm phạm đời
tư: 2%.
There is a Growing Need for Security…
Security Technologies – Which One?
Các dạng nhu cầu bảo mật ?
• Sự bảo mật.
• Xác minh/Tính xác thực
•Chịu trách nhiệm/Kiểm tra-Giám sát
• Điều khiển việc truy cập
• Sự dùng lại dữ liệu.
•Tính chính xác/ Tòan vẹn dữ liệu
•An tòan trong trao đổi dữ liệu
•Tính sẳn sàng dữ liệu và các dịch vụ
•Giá trị của thông tin và các quy trình nên được biết,
phân tích môi trường rũi ro hiện tại, từ đó có các
biện pháp phòng chóng thích hợp có thể thực hiện.
•Cần phải cân bằng trong việc xây dựng bảo mật
(quá nhiều việc hạn chế người dùng, chi phí cao) và
bảo mật quá thấp (không hạn chế người dùng, nhiều
mối nguy hiểm, chi phí thấp).
Evaluating Authentication
Types
Ease of Use
Lowest Highest
Highest
Highest
Smart cards with certificate and biometrics
Lowest
Lowest
Lowest Highest
Source: Gartner Group Confidence in Authentication
Tại sao cần có chính sách bảo mật ?
• Chính sách bảo mật là kỹ thuật ngăn chặn bảo vệ
các quy trình và dữ liệu quan trọng của công ty. Đó là
việc truyền đạt các chuẩn bảo mật đến người dùng,
nhà quản lý, nhân viên kỹ thuật. Chính sách bảo mật
phải đảm bảo:
– Đo lường mức độ bảo mật của hệ thống hiện tại.
– Xác định phương thức giao tiếp với các đối tác bên ngòai.
– Có các thủ tục pháp lý bắt buộc để bảo vệ dữ liệu của nhân
viên và khách hàng
– Tuân theo các chuẩn bảo mật quốc tế.
Ví dụ về chuẩn bảo mật của Anh
• Các tài liệu về chính sách bảo mật thông tin
• Phân cấp các trách nhiệm bảo mật
• Chính sách giáo dục và đào tạo bảo mật thông tin
• Các báo cáo liên quan đến bảo mật
• Hệ thống giám sát Virus
• Quy trình kế họach đảm bảo liên tục kinh doanh
• Giám sát việc bảo vệ bản quyền
• Đảm bảo an tòan tòan bộ dữ liệu của công ty
• Thực hiện đúng các quy chế bảo vệ dữ liệu
• Thực hiện đúng các chính sách bảo mật
Làm sao để cải thiện chính sách
BM ?
• Biết được các quy trình và dữ liệu gì cần được bảo
vệ.
• Nhận biết được các mối đe dọa, phán đóan sự ảnh
hưởng của chúng.
• Tính tóan các rũi ro và quyết định các rũi ro nào có
thể chấp nhận.
• Đưa ra chiến lược nhằm giảm thiểu các rũi ro đến
mức có thể chấp nhận được.
• Thực hiện, kiểm tra và điều chỉnh chiến lược
Phương pháp Bottom-Up
• Hiểu chính sách hiện tại, cấu trúc mạng, các thủ tục họat
động, các đối tượng tham gia sử dụng.
• Dự đóan sơ lược các kiểu tấn công có thể xãy ra cho công ty.
• Lập ra danh sách các điểm yếu và các khả năng bị tấn công để
có thể phòng chóng.
• Xác định chính sách thông tin, phân lọai thông tin, nhận biết
những thông tin quan trọng.
• Đề ra chính sách người dùng.
• Các hướng dẫn kỹ thuật về cài đặt, bảo trì của hệ thống mạng
và các server. Kiểm tra thường xuyên các hệ thống.
Phương pháp Top Down
TỔNG QUAN
2. Phân tích tài sản: Những cái gì cần được bảo vệ?
- Các quy trình và thông tin (tài sản nào là quan trọng cần
được bảo vệ? Chúng được lưu giữ như thế nào trên máy
tính?).
- Mức độ bảo mật phải phù hợp với giá trị của tài sản đó.
3. Phân tích các thói quen, chính sách, quy luật bảo
mật hiện tại.
4. Xác định mục đích bảo mật cơ bản: tính bảo
mật, tính toàn vẹn dữ liệu và tính sẳn sàng.
5. Phân tích các mối đe dọa: sự trả thù của nhân
viên, tội phạm máy tính, …
Phương pháp Top Down (tt)
1. Phân tích các tác nhân gây ảnh hưởng :
• Những cái gì cần được bảo vệ? Các ảnh hưởng này
cần được phân tích bởi các chuyên gia kinh tế.
• Phân tích các ảnh hưởng ngắn hạn và dài hạn (0-5):
– Các ảnh hưởng không đáng kể
– Các tác động phụ, không ảnh hưởng đến các họat động kinh
doanh chính.
– Các họat động kinh doanh không có giá trị về thời gian, lợi
nhuận khi bị mất, các thông tin về khách hàng không quan
trọng. Và ngược lại…
– Các tác động mà công ty có thể vượt qua hoặc không…
What Are Business Risks?
Environmental
Competitive
Legislative
it y
ic
y
Physical
c
Ec onom
a
u
Priv
Se c
Any factor that can inhibit or prevent the entity
from achieving its objectives
Phương pháp Top Down (tt)
1. Tính tóan rủi ro:
• Điều gì sẽ xãy ra khi có sự đe dọa (0-5) ? Các chuyên
gia kỹ thuật sẽ có sự đánh giá tốt hơn các chuyên gia
kinh tế
– Sự đe dọa không chắc chắn xãy ra
– Sự đe dọa có thể xãy ra ít nhất một lần trong năm, trong
tháng, trong tuần, trong ngày.
2. Cân đối lại chiến lược bảo mật và các rủi ro (2 năm
một lần).
Phương pháp Top Down (tt)
THREATS + IMPACT + LIKELIHOOD =
RISK
• Sự đe dọa được chia thành các lọai: tổng
quát, nhận dạng, xác thực, tính sẳn sàng, tính
riêng tư, tính tòan vẹn, tính chính xác, giám
sát truy cập, sự không thừa nhận, luật pháp.
• Các yêu cầu pháp lý nằm ngòai sự điều khiển
của bạn (luật pháp, hợp đồng, tài chính, văn
hóa tập thể…)
Impact Impact Likeli-hood
Threat : General
(ref.) (0-5) (0-5)
Sự phá hủy ngẫu nhiên, sửa đổi, thông tin được phân
lọai không đúng.
•Sự ngu dốt: Nhận thức không đầy đủ về bảo mật, thiếu
Có quá nhiều nhà quản trị hệ thống. Áp lực cao đối với
•
người sử dụng
kẻ tấn công
5. Các máy tính, thiết bị đầu cuối sử dụng không có bản quyền.
6. Sự pha trộn giữa kiểm tra và dữ liệu sản xuất hoặc môi trường..
•Sự chiếm đọat các phiên giao dịch và chứng thực làm cho dữ liệu bị thay
đổi hoặc sao chép trong khi truyền thông.
11. Logic bomb: Các phần mềm có chứa các điều kiện phá hủy.
2. Các tại họa tự nhiên ít nguy hiểm hơn (Trong thời gian ngắn)
3. Các thảm họa nguy hiểm từ con người: chiến tranh, bom đạn,
chất hóa học nguy hiểm, rũi ro hạt nhân
4. Các thiết bị phần cứng, hệ thống truyền thông, đường truyền đến
thời kỳ hư hỏng
5. Các thiết bị bị nhiễm từ, tỉnh điện
6. Từ chối dịch vụ (Denial of Service
Tồi tệ của hệ thống mạng: Sử dụng không đúng các bộ định
tuyến dẫn đến làm đảo lộng hệ thống
Tắc nghẽn servers
Bom thư điện tử
Việc download vô tình tải về các đọan mã nguy hiểm, macro..
Impact Impact Likeli-hood
Threat : Dịch vụ
(ref.) (0-5) (0-5)
7. Sự phá họai có chủ đích: Các đọan mã nguy hiểm phá hủy thông tin các
chức năng quy trình thông tin
Sự phá họai vật lý cáp mạng, các thiết bị kết nối mạng
Sự phá hủy vật lý các thiết bị máy tính hoặc đa phương tiện
Sự phá hủy các thiết bị điện tử và đa phương tiện bằng các vũ
khí bức xạ điện từ
Các họat động trộm cắp
Sự cố tình cắt nguồn điện, quá tải điện
Virus và sâu
Sự xóa bỏ các file hệ thống then chốt
Impact Impact Likeli-hood
Threat : Thông tin cá nhân
(ref.) (0-5) (0-5)
7. Sự phá họai có chủ đích: Các đọan mã nguy hiểm phá hủy thông tin các
chức năng quy trình thông tin
Nghe lén điện từ: bàn phím,máy tính, màn hình bị nhiễm từ
Điện thọai, fax : bị cài các thiết bị nghe lén, cảm biến…
Mạng máy tính: Sự theo dỏi, truy cập trái phép đến các dữ liệu
nhạy cảm thông qua mạng nội bộ,…
Mạng máy tính: Sự theo dỏi, truy cập trái phép đến các dữ liệu
nhạy cảm thông qua mạng Internet,…
Thay đổi tên miền, làm tắc nghẽn dịch vụ…
Thay đổi giao thức bộ định tuyến
Đọc các thông thông tin được che dấu từ các ứng dụng client
Nghe lén từ các tín hiệu radio:
Phân tích các dữ liệu bị vứt bỏ
Phương pháp Top Down (tt)
NGUỒN GÓC CỦA SỰ ĐE DỌA:
• Các họat động gián điệp chính trị
• Các họat động gián điệp thương mại
• Nhân viên của công ty:
– Từ các nhân viên bất bình, cựu nhân viên
– Nhân viên bị mua chuộc
– Nhân viên thiếu trung thực
• Hacker
– Những kẻ mới vào nghề,
– Những kẻ khoác lác
– Nhừng kẻ tấn công chuyên nghiệp
Phương pháp Top Down (tt)
NGUỒN GÓC CỦA SỰ ĐE DỌA:
• Các đối tác có thể truy cập vào hệ thống: nhà
thầu, nhà cung cấp…
• Các tổ chức tội phạm: hăm dọa, tống tiền…
• Các thám tử tư, kẻ làm thuê..
• Sự trung gian của chính phủ hoặc sự ép buộc
của pháp luật.
• Các nhà báo tìm kiếm thông tin
Phương pháp Top Down (tt)
Sự ảnh hưởng:
• Các tài sản, dữ liệu khách hàng, dữ liệu kế tóan sẽ
được
• Sửa đổi các dữ liệu kế tóan, dữ liệu khách hàng.
• Sự mạo nhận khách hàng của công ty
• Công khai các điểm xấu của công ty
• Phá vỡ nghiêm trọng các chức năng kinh doanh, hệ
thống mạng
• Sự ăn cắp, làm mất các bí mật khách hàng,
• Công ty có thể sẽ bị khởi kiện.
• Giảm chất lượng phục vụ
• Lợi ích cho đối thủ cạnh tranh từ đó làm mất lợi
nhuận.
Phương pháp Top Down (tt)
Phân tích sự ràng buộc:
• Khảo sát các luật lệ nằm ngòai phạm vi
kiểm sóat:
– Luật pháp quốc gia, quốc tế chẳng hạn như:
các họat động đồi trụy, dữ liệu khách hàng
và sự riêng tư của nhân viên, lời phỉ báng.
– Các luật lệ của công đồng
– Tài chính, ngân sách, kế tóan…
Phương pháp Top Down (tt)
Tóm tắt các rũi ro:
• Ví dụ một bản tóm tắt danh sách các điểm yếu, rũi
ro chính:
– Sự quản lý ít có sự khuyến khích, hỗ trợ các biện pháp bảo
mật.
– Không có sự phân lọai thông tin, chính sách bảo mật không
tương ứng.
– Người dùng không có kiến thức về bảo mật…
– Hệ thống không được cài đặt các phần mềm chuẩn…
– Sử dụng bức tường lữa thiếu hiệu quả, khả năng bảo mật
kém, không có sự giám sát truy cập, các nguyên tắc văn
phòng,
– Thiếu các biện pháp bảo vệ vật lý…
– Một số thủ tục họat động còn sử dụng hệ thống văn bản …
Phương pháp Top Down (tt)
Biện pháp và chiến lược phòng
chóng:
• Để phát triển chiến lược cần phải dựa
trên bản tóm lược rũi ro:
– Lọai trừ các rũi ro, hoặc
– Giảm thiểu các rũi ro ở mức có thể chấp
nhận được,
– Giới hạn sự thiệt hại (giảm thiểu sự ảnh
hưởng của các mối đe dọa) hoặc
Phương pháp Top Down (tt)
Biện pháp đối phó:
• Biện pháp đối phó bao gồm:
– Xác định chính sách bảo mật
– Tổ chức bảo mật (Trách nhiệm, vai trò và
các quy trình bảo mật).
– Các biện pháp kỹ thuật cụ thể
Phương pháp Top Down (tt)
Biện pháp đối phó:
2. Xác định chính sách bảo mật:
– Xác định chính sách bảo mật tập thể
– Xác định chính sách bảo mật dựa trên từng
dự án, hệ thống hoặc từng đơn vị kinh
doanh căn bản.
– Phân phối các chính sách có hiệu quả
Phương pháp Top Down (tt)
Biện pháp đối phó:
• Thực hiện chính sách : vai trò, trách nhiệm và
yêu cầu của tổ chức
– Các tổ chức bảo mật thông tin cần phải xác định
rõ ràng về nhiệm vụ và chiến lược.
– Xác định vai trò và quy trình bảo mật
– Người dùng, nhà quản trị hệ thống, nhà quản lý
phải được xác định rõ về vai trò và trách nhiệm.
Có kiến thức về bảo mật.
– Có chính sách đào tạo, hổ trợ người dùng để đảm
đương trách nhiệm được phân công.
Phương pháp Top Down (tt)
Biện pháp đối phó:
• Thực hiện chính sách : vai trò, trách nhiệm và
yêu cầu của tổ chức
– Các tổ chức bảo mật thông tin cần phải xác định
rõ ràng về nhiệm vụ và chiến lược.
– Xác định vai trò và quy trình bảo mật
– Người dùng, nhà quản trị hệ thống, nhà quản lý
phải được xác định rõ về vai trò và trách nhiệm.
Có kiến thức về bảo mật.
– Có chính sách đào tạo, hổ trợ người dùng để đảm
đương trách nhiệm được phân công.
Phương pháp Top Down (tt)
Biện pháp đối phó:
• Xác định các kỹ thuật :
– Nhận dạng và xác minh
– Trách nhiệm giải trình.
– Kiểm tra.
– Giám sát điều khiển
– Sự dùng lại các đối tượng
– Sự chính xác
– Trao đổi dữ liệu
– Độ tin cậy của dịch vụ
Phương pháp Top Down (tt)
Biện pháp đối phó:
• Xác định các hường dẫn họat động an tòan và
giám sát các hệ thống cụ thể
• Tính tóan đảm bảo an tòan đề phòng sự tấn
công khi không sử dụng các biện pháp trên
• Cảnh giác với sự đảm bảo.
– Thường xuyên kiểm tra hệ thống thông tin, tính
hiệu quả của các biện pháp, chúng có cần điều
chỉnh gì.
– Thường xuyên xem xét lại các rũi ro, các lạoi tấn
công mới, các lạoi tấn công xãy ra liên tục.