Những nguyên tắc cơ bản xây dựng hệ thống an toàn thông tin trong doanh nghiệp

2,836 views

Published on

Đây là bài trình bày của Tiến sĩ Võ Văn Khang tại Offline lần thứ 23 của Cộng đồng CIO Việt Nam, ngày

1 Comment
0 Likes
Statistics
Notes
  • Dịch vụ làm luận văn tốt nghiệp, làm báo cáo thực tập tốt nghiệp, chuyên đề tốt nghiệp, tiểu luận, khóa luận, đề án môn học trung cấp, cao đẳng, tại chức, đại học và cao học (ngành kế toán, ngân hàng, quản trị kinh doanh…) Mọi thông tin về đề tài các bạn vui lòng liên hệ theo địa chỉ SĐT: 0973.764.894 ( Miss. Huyền ) Email: dvluanvan@gmail.com ( Bạn hãy gửi thông tin bài làm, yêu cầu giáo viên qua mail) Chúng tôi nhận làm các chuyên ngành thuộc khối kinh tế, giá cho mỗi bài khoảng từ 100.000 vnđ đến 500.000 vnđ
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Be the first to like this

No Downloads
Views
Total views
2,836
On SlideShare
0
From Embeds
0
Number of Embeds
1,338
Actions
Shares
0
Downloads
100
Comments
1
Likes
0
Embeds 0
No embeds

No notes for slide

Những nguyên tắc cơ bản xây dựng hệ thống an toàn thông tin trong doanh nghiệp

  1. 1. i Trình  bày:  TS.  Võ  Văn  Khang
  2. 2. NỘI  DUNG 1.  THÁCH  THỨC  VỀ  ATTT  2013 2.  NHỮNG  NGUYÊN  TẮC  CƠ  BẢN 3.  XÂY  DỰNG  MÔ  HÌNH  PHÒNG  THỦ 4.  XỬ  LÝ  CÁC  HIỂM  HỌA  
  3. 3. 1.  THÁCH  THỨC  ATTT  2013 • Sponsored - Espionage - Mua chuộc nhân sự - Mua bán thông tin • DDOS - Botnet - Spyware • Cloud Migration - Mobile Access, users devices - Social Network
  4. 4. 1.  THÁCH  THỨC  ATTT  2013 New Packet Forging/ Spoofing High Back Doors Worms Stealth Diagnostics DDOS Sweepers Sophistication of Hacker Tools Sniffers Exploiting Known Vulnerabilities Hijacking Sessions Disabling Audits Self Replicating Code Password Cracking Technical Knowledge Required Password Guessing Low 1980 Internet 2000 2013 4
  5. 5. 2.  NHỮNG  NGUYÊN  TẮC  CƠ  BẢN • Nguyên tắc CIA - Tính bảo mật (Confidentiality) - Tính sẵn sàng ( Availability) - Tính nguyên vẹn và khả năng không thể từ chối (Integrity and non - repudiation) • Nguyên tắc giá trị thông tin - Không có hệ thống an toàn tuyệt đối • Nguyên tắc thời gian sống của thông tin - Claude E. Shannon
  6. 6. 2.  NHỮNG  NGUYÊN  TẮC  CƠ  BẢN • Nguyên tắc 3A - Authentication - Authorization - Accounting • Murphy’s  Law - Edward A. Murphy – 1949 “If ―‖‗‛‟‣․‥‱there ―‖‗‛‟‣․‥‱are ―‖‗‛‟‣․‥‱two ―‖‗‛‟‣․‥‱or ―‖‗‛‟‣․‥‱more ―‖‗‛‟‣․‥‱ways ―‖‗‛‟‣․‥‱to ―‖‗‛‟‣․‥‱do ―‖‗‛‟‣․‥‱something, ―‖‗‛‟‣․‥‱ and one of those ways can result in a catastrophe, ―‖‗‛‟‣․‥‱then ―‖‗‛‟‣․‥‱someone ―‖‗‛‟‣․‥‱will ―‖‗‛‟‣․‥‱do ―‖‗‛‟‣․‥‱it”
  7. 7. 2.  NHỮNG  NGUYÊN  TẮC  CƠ  BẢN • Common mistakes - ATTT và chiến lược, phương thức kinh doanh sản xuất - Tính tóan sai về khấu hao đầu tư - Đánh giá sai về đối tượng và điểm yếu kỹ thuật - Không có chính sách về ATTT
  8. 8. 2.  NHỮNG  NGUYÊN  TẮC  CƠ  BẢN
  9. 9. 3.  MÔ  HÌNH  PHÒNG  THỦ Open Network Telecommuters Internet Mobile Users Internet-Based Intranet (VPN) Internet-Based Extranet (VPN) Business Partner Branch Office PSTN Branch Office
  10. 10. 3.  MÔ  HÌNH  PHÒNG  THỦ
  11. 11. 3.  MÔ  HÌNH  PHÒNG  THỦ 1. Đánh  giá  và  phân  loại  dữ  liệu 2. Xây  dựng  Security  Policy 3. Hệ  thống  hóa  thiết  bị  hạ  tầng,  quy  hoạch  kết  nối 4. Lên  kế  hoạch  các  công  cụ,  ứng  dụng  sẽ  triển  khai,  so  sách   với  chiến  lược  kinh  doanh 5. Thiết  kế  chi  tiết  hệ  thống   6. Đánh  giá  về  bảo  mật 7. Xử  lý  điểm  yếu 8. Đánh  giá  chỉnh  sửa  Policy    (PDCA)
  12. 12. 3.  MÔ  HÌNH  PHÒNG  THỦ Data Application Host Internal Perimeter Physical Security Policy Access Control, Encryption, backup Application Control, Antivirus OS, Update Mngt, Authentication, SIEM VLAN, IPS/IDS Firewall, VPN, Routers Lock, Camera ISMS, ISO 2700x
  13. 13. 3.  MÔ  HÌNH  PHÒNG  THỦ
  14. 14. 3.  MÔ  HÌNH  PHÒNG  THỦ
  15. 15. 4.  XỬ  LÝ  RỦI  RO Những rủi ro có xác suất xảy ra và mang lại tác hại cho hệ thống trong tương lai được xếp loại: • High Risk – là rủi ro có xác suất cao và thiệt hại lớn • Medium Risk – xác xuất thấp hoặc thiệt hại nhỏ • Low Risk – Khó xảy ra và thiệt hại không đáng kể
  16. 16. 4.  XỬ  LÝ  RỦI  RO Risk management là quá trình bao gồm 4 bước cơ bản sau: • risk assessment – Đánh giá rủi ro, • risk acceptance – Nhận diện rủi ro, • risk treatment – Sử lý rủi ro, • risk communication – Theo dõi, thông báo. risk assessment bao gồm 2 kỹ thuật: • Phân tích rủi ro (risk analysis) • Đo lường rủi ro (risk evaluation)
  17. 17. 4.  XỬ  LÝ  RỦI  RO Risk treatment – là quá trình đưa ra quyết định xử lý từng rủi ro và có ít nhất 4 lựa chọn sau: • • • • accept the risk – chấp nhận avoid the risk – Ngăn ngừa transfer the risk – Chuyển đổi reduce the risk – Giảm thiểu
  18. 18. vovankhang@gmail.com

×