Tải bản đầy đủ (.ppt) (25 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

Chương 1 "Tổng quan về an ninh thông tin"

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (263.74 KB, 25 trang )

Tổng quan về bảo mật
thông tin


Nội dung
1. Mơ hình bảo mật cổ điển
2. Mơ hình bảo mật X.800
3. Chuẩn an ninh thông tin ISO 27001
4. Các nguy cơ bảo mật hệ thống hiện

nay

Information security, PTITHCM, 2012


Bảo mật thông tin

Information
security

Computer
security

Information security, PTITHCM, 2012

Network
security


Mơ hình CIA
Thế nào là một hệ thống an tồn


(secure system)?

C = Confidentiality
I = Integrity
A = Availability
Information security, PTITHCM, 2012


Tính bí mật (C)
Giới hạn các đối tượng được phép

truy xuất đến các tài nguyên hệ
thống.
Bí mật về nội dung thơng tin
Bí mật về sự tồn tại thơng tin.

Cơ chế đảm bảo bí mật:
Quản lý truy xuất (Access Control)
Mật mã hóa (Encrypion)
Information security, PTITHCM, 2012


Tính tịan vẹn (I)
Thơng tin khơng bị mất hoặc thay đổi ngòai

ý muốn.
Tòan vẹn về nội dung
Tòan vẹn về nguồn gốc.

Các cơ chế đảm bảo toàn vẹn:

Hàm băm, chữ ký số
Các giao thức xác thực

Information security, PTITHCM, 2012


Tính sẵn sàng (A)
Thơng tin sẵn sàng cho các truy xuất

hợp lệ. Là đặc trưng cơ bản nhất của
hệ thống thơng tin.
Các mơ hình bảo mật hiện đại (ví dụ

X.800) khơng đảm bảo tính khả dụng.
Tấn cơng dạng DoS/DDoS nhắm vào

tính khả dụng của hệ thống.

Information security, PTITHCM, 2012


Tính hịan thiện của CIA
Khơng đảm bảo “khơng từ chối hành

vi” (non-repudiation)
Khơng thể hiện tính “sở hữu”
Khơng có sự tương quan với mơ hình

hệ thống mở OSI.
=> Cần xây dựng mơ hình mới.


Information security, PTITHCM, 2012


Chiến lược AAA (RFC 3127)
Các cơ chế nhằm xây dựng hệ thống

bảo mật theo mơ hình CIA.
 Access Control
 Authentication
 Auditing
 Phân biệt với thuật ngữ AAA của Cisco

(Authentication, Authorization, Accounting)
Information security, PTITHCM, 2012


Access Control
MAC (Mandatory Access Control)
Quản lý truy xuất bắt buộc, dùng chung

cho toàn bộ hệ thống
DAC (Discretionary Access Control)
Quyền truy xuất được gán tùy theo sở

hữu của tài nguyên
RBAC (Role-based Access Control)
Quyền truy xuất gán theo vai trò trong hệ

thống

Information security, PTITHCM, 2012


Authentication
User / password
Cleartext, Challenge/response,

Kerberos, …
Biometric
Vân tay, võng mạc, …

Certificates
Smart card
Information security, PTITHCM, 2012


Auditing
Auditing
System events auditing
NTFS access auditing

System log
Service log
Command history

System scanning
Vulnerability scanning
Base line analyzer
Information security, PTITHCM, 2012



Triển khai giải pháp bảo mật
Điều kiện để tấn công xảy ra:
Threats + Vulnerability

Cơ sở triển khai giải pháp:
Chính sách an ninh thông tin
Hiệu quả kinh tế của hệ thống thông

tin

Information security, PTITHCM, 2012


Security policy
Tập các quy ước định nghĩa các trạng

thái an tòan của hệ thống.

P: tập hợp tất cả các trạng thái của hệ thống
Q: tập hợp các trạng thái an tòan theo định nghĩa của
security policy
R: tập hợp các trạng của hệ thống sau khi áp dụng các
cơ chế bảo mật.

R  Q: Hệ thống tuyệt đối an tòan

Nếu tồn tại trạng thái r  R sao cho rQ: hệ
thống khơng an tịan


Information security, PTITHCM, 2012


Security mechanism
Tập các biện pháp kỹ thuật hoặc thủ

tục được triển khai để đảm bảo thực thi
chính sách. Ví dụ:
 Dùng cơ chế cấp quyền trên partition

NTFS
 Dùng cơ chế cấp quyền hệ thống (user

rights)
 Đưa ra các quy định mang tính thủ tục.
…
Information security, PTITHCM, 2012


Xây dựng hệ thống bảo mật
Định nghĩa
chính sách

Triển khai
cơ chế
Information security, PTITHCM, 2012


Mơ hình bảo mật X.800
(ITU_T)

Xem xét vấn đề bảo mật trong tương
quan với mơ hình hệ thống mở OSI
theo 3 phương diện:
Security attack
Security mechanism
Security service
 Các dịch vụ bảo mật được cung cấp dưới dạng các

primitives tại từng lớp tương ứng của OSI
Information security, PTITHCM, 2012


Security attack
Passive attacks:
 Tiết lộ thơng tin
 Phân tích lưu lượng

Active attacks:
 Thay đổi thông tin
 Từ chối dịch vụ

Information security, PTITHCM, 2012


Security services
Access Control
Authentication
Data Confidentiality
Data Integrity
Non-repudiation


Information security, PTITHCM, 2012


Security mechanisms
Encipherment
Digital Signature
Access Control
Data Integrity
Authentication exchange
Traffic padding
….
Information security, PTITHCM, 2012


ISO 27001
Dựa trên khái niệm hệ thống quản lý

an ninh thơng tin ISMS
Quy trình PDCA

Information security, PTITHCM, 2012


ISO 27001 requirements
Đánh giá các rủi ro về an ninh thơng tin
Chính sách an ninh thơng tin
Tổ chức của hệ thống an ninh thông tin
Tổ chức quản lý tài sản trong đơn vị
Đảm bảo an ninh nguồn nhân lực

An ninh môi trường và thiết bị làm việc
Quản lý truyền thông (trong đó có an ninh hệ

thống mạng)
Quản lý truy xuất tài nguyên thông tin
Quản lý các sự cố của hệ thống thông tin.
Information security, PTITHCM, 2012


Các nguy cơ bảo mật hệ thống
trong thực tế
Các tấn cơng có chủ đích (attacks)
White hat hackers
Script kiddies
Black hat hackers
Internal threats

Các phần mềm phá họai (malicious

code)
Information security, PTITHCM, 2012


Tấn công hệ thống thông tin
Dựa vào sơ hở của hệ thống
Dựa vào các lỗ hổng phần mềm
Dựa vào lỗ hổng của giao thức
Tấn công vào cơ chế bảo mật
Tấn công từ chối dịch vụ (DoS/DDoS)


Information security, PTITHCM, 2012


Phần mềm phá họai
Virus
Worm
Logic bomb
Trojan horse
Backdoor
Spammer
Zoombie
Information security, PTITHCM, 2012


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×