Các điều kiện bảo hiểm trong bảo hiểm hàng hoá
Pttkht
1. BM KHOA HỌC ATTT
NỘI DUNG ÔN TẬP MÔN “PHÂN TÍCH THIẾT
KẾ HỆ THỐNG AN TOÀN THÔNG TIN”
Gv: Vũ Đình Thu
Mobile: 0915372078
Email: vdthu@hotmail.com
I. Lý Thuyết
1. Các khái niệm về hệ thống, hệ thống thông tin, hệ thống ATTT?
2. Các phương pháp phân tích thiết kế hệ thống thông tin?
3. Các nguyên lý cơ bản trong xây dựng một hệ thống ATTT?
4. Các giai đoạn xây dựng một hệ thống ATTT?
II. Các dạng bài tập
1. Phân tích và vẽ biểu đồ phân rã chức năng, biểu đồ luồng dữ liệu các mức của một hệ
thống thông tin
2. Xây dựng và chuẩn hóa CSDL
3. Phân tích và phát hiện các điểm yếu, các mối đe dọa đối với một hệ thống mạng (cho
trước) từ đó đề xuất giải pháp khắc phục, phòng tránh
ĐÁP ÁN BY
1.Bài Tập(5đ)
1. Phân tích và vẽ biểu đồ phân rã chức năng, biểu đồ luồng dữ liệu các mức của một hệ
thống thông tin
Biểu đồ phân cấp chức năng (BĐPCCN):
Mục đích:
Ví dụ: Nhằm diễn tả việc cung cấp chức năng hệ thống thông tin từ mức tổng quát đến
mức chi tiết gần của hệ thống cung ứng vật tư, biểu đồ có dạng cây (tree) như sau:
Cung ứng vật tư
Đặt hàng Nhận hàng Đối chiếu
Chọn nhà
cung cấp
Làm đơn
đặt hàng
Nhận
hàng
Phát
hàng
Tìm Đ.chỉ
phát hàng
Xác nhận
Đ.chỉ cho
Hóa đơn
2. Hình 3.1. Biểu đồ phân cấp chức năng Hệ thống cung ứng vật tư
Nhận xét:
- BĐPCCN mang tính phân cấp từ tổng quát đến chi tiết (rõ ràng, đơn giản, dễ hiểu và dễ sử
dụng).
- Phương pháp biểu diễn này được sử dụng khá phổ biến.
- Với hệ thông tin phức tạp, BĐPCCN vẫn chưa biểu diễn đủ vì không cho ta biết mối
liên quan về dữ liệu. Để bổ sung cho khuyết điểm này, cần dùng thêm biểu đồ luồng dữ liệu.
b. Biểu đồ luồng dữ liệu (BĐLDL):
- Trong BĐLDL có sử dụng luồng dữ liệu (thông tin) chuyển giao giữa các chức năng.
- BĐLDL gồm có 5 yếu tố chính:
Chức năng
Luồng dữ
liệu
Kho dữ liệu
Tác nhân
ngoài
Tác nhân
trong
Định
nghĩa
Nhiệm vụ
xử lý thông
tin
Thông tin vào
/ ra một chức
năng xử lý
Nơi lưu trữ
thông tin
trong một thời
gian
Người hay
tổ chức
ngoài hệ
thống có
giao tiếp với
hệ thống
Một chức
năng hay
một hệ con
của hệ thống
nhưng được
mô tả ở
trang khác
Tên đi
kèm
Động từ
(+ bổ ngữ)
Danh từ
(+ tính từ)
Danh từ
(+ tính từ)
Danh từ Động từ
Biểu
đồ
Ví dụ
Hình 3.2. Các đối tượng cơ bản sử dụng để thiết kế biểu đồ luồng dữ liệu cho hệ thống.
Tên TênTên Tên Tên
Làm đơn
đặt hàng
Đơn hàng Nhà cung
cấp
Hoá đơn đã
xác nhận chi
Thanh toán
3. Ví dụ: Vẽ BĐLDL của hệ cung ứng vật tư (chỉ xét về mặt thông tin, xem lại hình 3.1).
Hình 3.3 BĐLDL của hệ cung ứng vật tư
4. Phân mức:
a. Khái niệm:
Là sự phân cấp từ mức tổng quát đến mức chi tiết để nêu lên các chức năng của hệ thống.
Tùy theo quy mô của hệ thống mà sự phân cấp này chi tiết đến mức nào, tuy nhiên, đa số
thường được chia thành 3 mức:
Hình 3.4. Cấu trúc một biểu đồ phân cấp chức năng
b. Phân mức để vẽ nhiều biểu đồ luồng dữ liệu:
A
B C
D E F G H I
Mức 0 (Mức khung cảnh)
Mức 1 (Mức đỉnh)
Mức 2
(Mức
dưới
đỉnh)
Nhà cung cấp
Đặt hàng
Đối chiếu
Nhận
hàng
Dự trù / Đơn hàng
Phân xưởng
sản xuất
Đơn hàng
Nhận hàng
Nhà cung cấp
Thanh tóan
Phiếu giao
hàng
(+hàng)
Hóa
đơn
Cheque
Hóa đơn
đã xác
nhận chi
Đơn đặt
hàng
Thông tin thương lượng
Phiếu phát hàng
Danh sách đơn hàng
Dự
trù
Danh sách
hàng nhận
4. - BĐLDL mức khung cảnh (mức 0): mức này chỉ có một biểu đồ gồm chức năng chính của
hệ thống và biểu diễn hệ thông tin có giao tiếp với các tác nhân ngoài nào. BĐLDL mức
khung cảnh thường có dạng như sau:
Hình 3.5. Hình thức một biểu đồ luồng dữ liệu mức khung cảnh.
- BĐLDL mức đỉnh (mức 1): BĐLDL mức đỉnh dùng để biểu diễn chức năng tổng quát
A một cách chi tiết hơn bằng cách phân nhỏ chức năng A thành các chức năng chi tiết hơn và
cũng chỉ có một biểu đồ. BĐLDL mức đỉnh thường có hình thức như sau:
Hình 3.6. Hình thức một biểu đồ luồng dữ liệu mức đỉnh.
Tác nhân ngoài
Chức năng
A
Tác nhân ngoài
Tác nhân ngoài 1
1
Chức năng A.1
Tác nhân ngoài 2
2
Chức năng A.2
Kho dữ liệu A
5. - BĐLDL mức dưới đỉnh (mức 2): Tất cả những chi tiết thông tin của hệ thống thường
thể hiện rõ ở biểu đồ mức dưới đỉnh. BĐLDL này gồm nhiều biểu đồ chi tiết, mỗi biểu đồ thể
hiện một chức năng chi tiết thường đầy đủ tất cả các đối tượng của hệ thống BĐLDL. Ví dụ
một BĐLDL mức dưới đỉnh được thể hiện chi tiết của chức năng 1 ở trên.
Hình 3.7. Biểu đồ luồng dữ liệu mức dưới đỉnh 1 (giải thích chức năng 1 ở BĐLDL mức
đỉnh)
Hình 3.8. Biểu đồ luồng dữ liệu mức dưới đỉnh 2 (giải thích chức năng 2 ở BĐLDL mức
đỉnh)
Lưu ý: ta cần chú ý các nguyên tắc sau khi thiết kế BĐLDL:
- Chỉ có tác nhân trong mới có thể tác động đến kho dữ liệu.
- Tác nhân ngoài phải xuất hiện đầy đủ ở mức khung cảnh, không được xuất hiện thêm
tác nhân ngoài ở các mức dưới.
Tác nhân ngoài
1.1
Chức năng A.1.1
1.2
Chức năng A.1.2
Kho dữ liệu A
Tác nhân trong
Tác nhân ngoài
2.1
Chức năng A.2.1
2.2
Chức năng A.2.2
Kho dữ liệu B
6. - Kho dữ liệu không được xuất hiện ở mức khung cảnh, từ mức đỉnh đến mức dưới đỉnh,
các kho dữ liệu xuất hiện dần.
c. Ví dụ: vẽ BĐPCCN và BĐLDL phân mức của một cơ sở tín dụng:
- Biểu đồ phân cấp chức năng:
Hình 3.9
- Biểu đồ luồng dữ liệu:
+ Mức khung cảnh:
Hình 3.10. Biểu đồ luồng dữ liệu mức khung cảnh hoạt động tín dụng
Hoạt động tín dụng
Cho vay Thu nợ
Duyệt vay
Nhận đơn Trả lời đơn
Xác định
loại hoàn
trả
Ghi nhận
trả đúng
hạn
Ghi nhận
trả sai hạn
Khách vay
Hoạt động
tín dụng
Đơn vay
Trả lời
Hoàn trả
7. + Mức đỉnh:
Hình 3.11. Biểu đồ luồng dữ liệu mức đỉnh hoạt động tín dụng
+ Mức dưới đỉnh: Biểu đồ LDL mức dưới đỉnh giải thích chức năng 1 – Cho vay
Hình 3.12. Biểu đồ luồng dữ liệu mức dưới đỉnh giải thích chức năng 1 (Cho vay)
Khách vay
1
Cho
2
Thu nợ
Sổ nợ
Đơn vay
Trả lời
Hoàn trả
Dữ liệu nợ
Dữ liệu nợ
Khách vay
1.3
Trả lời
1.1
Nhận đơn
1.2
Duyệt vay
Đơn vay đã
kiểm tra
Từ chối
Cho vay
Sổ nợ
Đơn
vay đã
duyệt
8. Hình 3.13. Biểu đồ luồng dữ liệu mức dưới đỉnh giải thích chức năng 2 (Thu nợ)
2. Xây dựng và chuẩn hóa CSDL
Muốn xây dựng một cơ sở dữ liệu phải qua 3 bước đó là:
1) Mô tả cơ sở dữ liệu.
2) Mô hình thực thể kết hợp.
3) Sơ đồ quan hệ.
Chuẩn hóa CSDL
Khách vay
2.1
Xác định loại
hoàn trả
Sổ nợ
2.2
Ghi nhận trả
đúng hạn
2.3
Ghi nhận trả
sai hạn
Hoàn
trả
Trả đúng hạn
Trả sai hạn
9. 3. Phân tích và phát hiện các điểm yếu, các mối đe dọa đối với một hệ thống mạng (cho
trước) từ đó đề xuất giải pháp khắc phục, phòng tránh.
Phần này KSTP copy nguyên từ bản an toàn mạng của thầy tương
Căn cứ vào sơ đồ mạng dưới đây, sử dụng hình vẽ và thuyết minh để mô tả các giải pháp AN
TOÀN THÔNG TIN có thể áp dụng nhằm chống lại các nguy cơ sau:
Tấn công vào các database server
Tấn công từ chối dịch vụ vào hệ thống
Đánh cắp thông tin gửi từ chi nhánh về Trụ sở chính
Chống virus máy tính trong mạng
10. Nếu nêu và phân tích được các nguy cơ dưới đây :
Nguy cơ tấn công vào eCommerce App. Server
Nguy cơ tấn công vào Database Server
Tấn công từ chối dịch vụ vào hệ thống switch và server
Tấn công nhằm đánh cắp mật khẩu của khách hàng
Tấn công nhằm đánh cắp mật khẩu của remote user
Nếu nêu và phân tích được các nguy cơ dưới đây :
Nguy cơ tấn công vào Database Server
Nguy cơ tấn công vào Public Web Server
Tấn công từ chối dịch vụ vào hệ thống switch và server
Tấn công vào hệ thống eMail
Tấn công của virus máy tính từ chi nhánh
Đáp án:
11. Nếu nêu và phân tích được các giải pháp dưới đây :
Sử dụng FW1 để bảo vệ toàn bộ mạng và các server bên trong
Sử dụng FW2 để bảo vệ vùng Data Center
Sử dụng IPS để bảo vệ các web server
Sử dụng các giải pháp xác thực mạnh để chống mất mất khẩu
Sử dụng biện pháp mã hóa trên đường truyền giữa khách hàng và công ty
2.Lý thuyết
1. Các khái niệm về hệ thống, hệ thống thông tin, hệ thống ATTT?
Khái niệm hệ thống:
Là một tập hợp gồm các phần tử có mối quan hệ ràng buộc với nhau và cùng hoạt động
trong 1 mục tiêu và trong quá trình hoạt động có trao đổi với môi trường bên ngoài.
Hệ thống quản lý:
Là 1 hệ thống hoạt động nhằm mang lại lợi nhuận hoặc lợi ích nào đó .Đặc điểm của hệ
thống quản lý là có sự tham gia của con người và có trao đổi thông tin
HÖ thèng th«ng tin:
§ã lµ mét tËp hîp c¸c thµnh phÇn liªn quan víi nhau ®Ó thu thËp, xö lý, lu tr÷ vµ cho ®Çu
ra lµ th«ng tin cÇn thiÕt ®Ó hoµn thµnh nh÷ng t¸c vô ph¶i lµm.
Khái niệm hệ thống thông tin:
12. là hệ thống sử dụng công nghệ thông tin để thu thập ,lưu trữ , xử lý , truyền và biểu diễn
thông tin.
Khái niệm hệ thống:
Hệ thống là một tập hợp vật chất và phi vật chất như người, máy móc, thông tin, dữ liệu,
các phương pháp xử lý, các qui tắc, quy trình xử lý, gọi là các phần tử của hệ thống. Trong
hệ thống, các phần tử tương tác với nhau và cùng hoạt động để hướng tới mục đích chung.
Khái niệm hệ thống thông tin:
Hệ thống thông tin (information system) là một hệ thống mà mục tiêu tồn tại của nó là cung
cấp thông tin phục vụ cho hoạt động của con người trong một tổ chức nào đó. Ta có thể
hiểu hệ thống thông tin là hệ thống mà mối liên hệ giữa các thành phần của nó cũng như
mối liên hệ giữa nó với các hệ thống khác là sự trao đổi thông tin.
Khái niệm hệ thống ATTT:
Hệ Thống ATTT là một hệ thống nhằm đảm bảo tính bí mật, toàn vẹn, sẵn sàng và đáng tin
cậy được bảo đảm ở mức độ đầy đủ.
Câu 2.Các phương pháp phân tích thiết kế hệ thống thông tin:
1.phương pháp phân tích thiết kế hệ thống phi cấu trúc:
là phương pháp được thực hiện theo hướng từ dưới lên trên và tuần tự từ pha này sang pha
khác gồm các pha sau:
phân tích
thiết kế
viết lệnh
kiểm thử đơn lẻ
24. c/ Nguyên lý thiết kế mở ( Open Design) :
- nó chỉ ra rằng : an toàn của một hệ thống không phụ thuộc vào bí mật của việc thiết kế hay
cơ chế an toàn
d/ Nguyên lý kiểm soát đầy đủ (Complete Mediation ):
-chỉ ra rằng : tất cả các truy cập đến các đối tượng đều đc kiểm tra để đảm bảo rằng chúng đã
đc phép.
e/ Nguyên lý tách nhỏ quyền ưu tiên (Separation of Privilege ):
- chỉ ra rằng : hệ thống không đc trao quyền cho một chủ thể mà chỉ dựa trên các điều kiện
đơn lẻ
Vd: Trong hệ thống Unix những người được chuyển đổi quyền sang root(khi thuộc nhóm có
quyền và có mật khẩu của root)
f/ Nguyên lý hạn chế :
-chỉ ra rằng :một chủ thể khi đc cấp quyền truy cập vào tài nguyên thì không nên cấp quyền
cho chủ thể đó có thể chia sẽ truy cập cho chủ thể khác.
g/ Nguyên lý thuận tiện sử dụng :
- chỉ ra rằng : cho dù áp dụng cơ chế đảm bảo an toàn gì thì vẫn đảm bảo tính thuận tiện dễ sử
dụng cho hệ thống, điều đó có nghĩa rằng việc thuận tiện sd vẫn là yếu tố hàng đầu khi thực
hiện thiết kế hệ thống và không đc coi nhẹ tính thuận tiện và dễ sd.
h/ Nguyên lý bảo vệ theo lớp :
- chỉ ra rằng : an toàn của hệ thống không đc phụ thuộc vào một lớp bảo vệ mà phải sử dụng
nhiều lớp bảo vệ.
i/ Nguyên lý ngầm định đảm bảo hoạt động :
-chỉ ra rằng :trong trường hợp chủ thể đc trao quyền truy cập đến đối tượng sẽ đc phép truy
cập đối tượng còn không sẽ từ chối truy cập đến đối tượng đó.
Vd: hệ thống tường lửa của hệ thống khi hoạt động bình thường thì cho phép truy cập đối
voies các luồng thông tin hợp pháp và từ chối truy cập đối với những luồng thông tin không
25. hợp pháp.Trong trường hợp tường lửa bị ngưng hoạt động phải chặn tất cả các luồng thông
tin đi qua nó (từ chối).
k/ Nguyên lý kiểm tra mọi giả thiết an toàn :
-chỉ ra rằng : mọi giả thiết an toàn thường phải đc kiểm tra làm như vậy để tránh những giả
thiết có thể không còn an toàn.
4. Các giai đoạn xây dựng một hệ thống ATTT
Giai đoạn 1: khảo sát yêu cầu hệ thống
-tìm hiểu những yêu cầu của hệ thống một cách đầy đủ và chính xác để đảm bảo AT cho hệ
thống
Của người sử dụng
Giai đoạn 2: giai doạn phân tích
-Đi phân tích các rủi ro và các chi phí để hạn chế và chống lại các rủi ro đó đồng thời xác
định phạn vi an toàn của hệ thống cần xây dựng và lên kế hoạch thực hiện xây dựng hệ thống
Giai đoạn 3 : giai đoạn thiết kế
-Thực hiện thiết kế các thành phần an toàn để đảm bảo an toàn thông tin của người sử dụng.
Phải tuân theo các nguyên lý sau :
+ sử dụng nhiều lớp kiểm soát
+ Thực hiện các chức năng an toàn sao cho trong suốt và thiết kế càng đơn giản càng tốt
+ Sử dụng các công nghệ đc kiểm thử và chứng minh
+ Khi thiết kế phải đề cập tất cả các vđề : Nhận dạng, xác thực, trao quyền, bí mật, toàn vẹn
và sẵn sàng.
Giai đoạn 4 : xây dựng và kiểm thử hệ thống
-Tiến hành xây dựng bao gồm phát triển ,lắp ghép các phần mềm,các thiết bị với nhau để tạo
lên hệ thống như trong bảng thiết kế.sau khi thực hiện xây dựng hệ thống thì cần phải thực
hiện kiểm thử hệ thống việc thực hiện kiểm thử hệ thống dc thực hiện trên các thành phần
26. tạo lên hệ thống và kiểm thử toàn bộ hệ thống.Mỗi bước kiểm thử đều phải có các kịch bản
đã dc xây dựng từ trước ,sau mỗi quá trình kiểm thử đều phải có các biên bản ghi nhận lại
những nội dung đã dc kiểm thử .
Giai đoạn 5: giai đoạn triển khai hệ thống
Đây là giai đoạn sẽ triển khai cài đặt hệ thống trong môi trường thực tế sau đó thực hiện quá
trình chuyển những người dùng từ hệ thống cũ sang hệ thống mới.