2. Tổng quan về Bảo mật hệ thống thông tin
Các bước cơ bản trong bảo mật thông tin
2
Những khái niệm cơ bản
Các khái niệm cơ bản
1
Các thành phần trong hệ thống thông tin
3
3. Những khái niệm cơ bản
Các định nghĩa về bảo mật thông tin
Các thuật ngữ bảo mật thông tin
Tầm quan trọng của bảo mật thông tin
Những kẻ tấn công là ai?
Các bước của một vụ tấn công
Những yêu cầu bảo mật hệ thống thông tin
Mục tiêu của bảo mật
4. Company Logo
Các định nghĩa về bảo mật thông tin
Dữ liệu (Data) là các giá trị của thông tin định lượng
hoặc đính tính của các sự vật, hiện tượng trong cuộc
sống.Trong tin học, dữ liệu được dùng như một cách
biểu diễn hình thức hoá của thông tin về các sự kiện,
hiện tượng thích ứng với các yêu cầu truyền nhận, thể
hiện và xử lí bằng máy tính.
Thông tin (Information) là dữ liệu đã được xử lý,
phân tích, tổ chức nhằm mục đích hiểu rõ hơn sự vật,
sự việc, hiện tượng theo một góc độ nhất định.
4
5. Company Logo
Các định nghĩa về bảo mật thông tin (tt)
Hệ thống thông tin (Information Systems) là một hệ
thống gồm con người, dữ liệu và những hoạt động xử
lý dữ liệu và thông tin trong một tổ chức.
5
6. Company Logo
Các định nghĩa về bảo mật thông tin (tt)
Bảo mật (security)
Các bước để bảo vệ người hoặc tài sản khỏi mối nguy
hại
Mối nguy hại có thể do chủ ý hoặc vô ý
Phải hy sinh sự tiện lợi để đổi lấy sự an toàn
Bảo mật hệ thống thông tin (Information Systems
Security) là bảo vệ hệ thống thông tin chống lại việc
truy cập, sử dụng, chỉnh sửa, phá hủy, làm lộ và làm
gián đoạn thông tin và hoạt động của hệ thống một
cách trái phép.
6
8. Company Logo
Các thuật ngữ bảo mật thông tin (tt)
Tài sản (Asset): Là phần tử có giá trị bao gồm thông
tin, phần cứng, phần mềm và các dịch vụ công nghệ
thông tin.
Mối đe dọa (Threat): Là các hành động hoặc sự kiện
có khả năng gây nguy hại
Tác nhân đe dọa (Threat agent): Người hoặc phần
tử có sức mạnh gây ra mối đe dọa
Lỗ hổng (vulnerability): Là những thiếu sót hay yếu
điểm nằm trong thiết kế và cấu hình của hệ thống.
Rủi ro (risk): Khả năng tác nhân đe dọa khai thác lỗ
hổng
8
9. Company Logo
Tầm quan trọng của bảo mật thông tin
Phòng ngừa đánh cắp dữ liệu: dữ liệu kinh doanh, dữ
liệu cá nhân.
Cản trở việc đánh cắp danh tính, sử dụng trái phép
thông tin của người khác nhằm thu lợi về tài chính.
Tránh các hậu quả liên quan đến pháp luật.
Duy trì sản xuất: việc khắc phục hậu quả làm lãng phí
các tài nguyên (thời gian và tiền bạc)
Đẩy lùi chủ nghĩa khủng bố tin học (cyberterrorism)
9
10. Company Logo
Những kẻ tấn công là ai?
Những kẻ tấn công bao gồm:
Tin tặc (Hacker)
Kẻ viết kịch bản non tay (Script kiddie)
Gián điệp (Spy)
Nội gián (Insider)
Tội phạm công nghệ cao (Cybercriminal)
Những kẻ khủng bố tin học (Cyberterrorist)
10
11. Company Logo
Hacker
Hacker: là những người hiểu rõ hoạt động của hệ
thống máy tính, mạng máy tính, có thể viết hay chỉnh
sửa phần mềm, phần cứng máy tính với nhiều mục
đích tốt xấu khác nhau.
Phân loại hacker:
Hacker mũ trắng (white hat hacker): mục đích chỉ ra các lỗ
hổng bảo mật, không đánh cắp hoặc làm hỏng dữ liệu.
Hacker mũ đen (black hat hacker): mục đích gây hại và hủy
diệt.
11
12. Company Logo
Kẻ viết kịch bản non tay
Mục đích: bẻ khóa máy tính để phá hoại
Là những người dùng không có kỹ năng
Tải về các phần mềm tấn công tự động (mã kịch bản)
để thực hiện các hành vi nguy hại.
40% các vụ tấn công được thực hiện bởi những kẻ viết
kịch bản non tay
12
13. Company Logo
Gián điệp
Mục đích: đánh cắp thông tin mà không gây ra sự chú
ý đối với các hành động của họ.
Người được thuê để bẻ khóa máy tính nhằm đánh cắp
các thông tin nhạy cảm.
Họ có kỹ năng máy tính rất xuất sắc để tấn công và
che đậy dấu vết.
13
14. Company Logo
Nội gián
14
Nhân viên, nhà thầu, và các đối tác kinh doanh gây ra.
48% hành vi vi phạm là do nội gián gây ra.
15. Company Logo
Tội phạm công nghệ cao
15
Tội phạm công nghệ cao là những tội phạm có hành
vi sử dụng máy tính cũng như các phương thức khác
liên quan đến máy tính, mạng máy tính để thực hiện
các hành vi lừa đảo, trốn thuế, mạo danh… gây ra
những mối đe dọa, làm sai lệch thông tin ảnh hưởng
đến người dùng.
16. Company Logo
Đặc điểm tội phạm công nghệ cao
16
Phát triển mạng Botnet, phát tán tin rác và quảng cáo để lấy
thông tin, tấn công website của các ngân hàng, chính phủ…
Sử dụng phần mềm gián điệp, điều khiển từ xa để lấy cắp, phá
hoại dữ liệu với mục đích làm ảnh hưởng đến chính trị, kinh tế
của các quốc gia.
Sử dụng blog cá nhân, mạng xã hội để hoạt động phạm pháp
như xâm phạm an ninh quốc gia, thành lập băng nhóm tội
phạm, phát tán virus…
Khai thác lỗ hổng bảo mật, ứng dụng điện toán đám mây (file
sharing) để tấn công, lấy cắp thông tin, thay đổi, phá hoại thông
tin, lấy cắp dữ liệu và thông tin thẻ tín dụng.
Lấy cắp thông tin dữ liệu cá nhân của smartphone để sử dụng
cho mục đích phạm tội.
17. Company Logo
Đặc điểm tội phạm công nghệ cao (tt)
17
Tấn công qua truy cập VPN để lấy cắp thông tin doanh nghiệp,
thông tin cá nhân khi gia tang ứng dụng truy cập qua VPN.
Sử dụng thông tin thẻ ATM để thanh toán dịch vụ, mua hàng
hóa, rút tiền ngân hàng; mua bán thông tin ATM để hưởng lợi
bất chính.
Tấn công email cá nhân, doanh nghiệp lấy thông tin để thực
hiện hành vi chiếm đoạt tài sản.
Truy cập trái phép mạng viễn thông để ăn cắp cước phí viễn
thông.
Lập trang web mua bán hàng trực tuyến, bán sản phẩm ảo để
lừa đảo chiếm đoạt tài sản.
Sử dụng mạng máy tính, mạng internet, mạng xã hội đưa thông
tin lên mạng với mục đích tuyên truyền văn hóa phẩm đồi trụy.
18. Company Logo
Những kẻ khủng bố tin học
18
Động cơ liên quan đến hệ tư tưởng, tấn công do các
nguyên tắc và tín ngưỡng.
Mục đích tấn công:
Hủy hoại thông tin điện tử, phát tán thông tin thất
thiệt và tuyên truyền.
Ngăn cản các dịch vụ dành cho những người dung
máy tính hợp pháp.
Thực hiện các vụ xâm nhập trái phép làm tê liệt
các cơ sở hạ tầng chủ chốt, làm sai hỏng các thông
tin quan trọng.
20. Company Logo
Các bước của một vụ tấn công (tt)
20
Chứng nghiệm thông tin: Kiểm tra loại phần cứng
hoặc phần mềm được sử dụng
Thâm nhập các tuyến phòng thủ: Bắt đầu tấn công
Sửa đổi các thiết lập bảo mật: Cho phép kẻ tấn công
xâm nhập trở lại hệ thống bị hại một cách dễ dàng
Vòng sang các hệ thống khác: Sử dụng các công cụ
tương tự để tấn công sang các hệ thống khác
Làm tê liệt các mạng và thiết bị
21. Company Logo
Những yêu cầu bảo mật hệ thống thông tin
21
Integrity Availability
Confidentiality Non-repudiation
INFORMATION
SYSTEM
22. Company Logo
Những yêu cầu bảo mật hệ thống thông tin (tt)
Tính bí mật (Confidentiality): bảo vệ dữ liệu không
bị lộ ra ngoài một cách trái phép.
Ví dụ: Trong hệ thống ngân hàng, một khách hàng được
phép xem thông tin số dư tài khoản của mình nhưng không
được phép xem thông tin của khách hàng khác.
22
Integrity Availability
INFORMATION
SYSTEM
Confidentiality Non-repudiation
23. Company Logo
Những yêu cầu bảo mật hệ thống thông tin (tt)
Tính toàn vẹn (Integrity): Chỉ những người dung
được ủy quyền mới được phép chỉnh sửa dữ liệu.
Ví dụ: Trong hệ thống ngân hàng, không cho phép khách
hang tự thay đối thông tin số dư của tài khoản của mình.
23
Integrity Availability
INFORMATION
SYSTEM
Confidentiality Non-repudiation
24. Company Logo
Những yêu cầu bảo mật hệ thống thông tin (tt)
Tính sẵn sàng (Availability): Đảm bảo dữ liệu luôn
sẵn sàng khi những người dùng hoặc ứng dụng được
ủy quyền yêu cầu.
Ví dụ: Trong hệ thống ngân hàng, cần đảm bảo rằng khách
hàng có thể truy vấn thông tin số dư tài khoản bất kỳ lúc nào
theo như quy định.
24
Integrity Availability
INFORMATION
SYSTEM
Confidentiality Non-repudiation
25. Company Logo
Những yêu cầu bảo mật hệ thống thông tin (tt)
Tính chống thoái thác (Non-repudiation): Khả năng
ngăn chặn việc từ chối một hành vi đã làm.
Ví dụ: Trong hệ thống ngân hàng, có khả năng cung cấp
bằng chứng để chứng minh một hành vi khách hàng đã làm,
như rút tiền, chuyển tiền.
25
Integrity Availability
INFORMATION
SYSTEM
Confidentiality Non-repudiation
26. Mục tiêu của bảo mật
Ngăn chặn
Ngăn chặn kẻ tấn công vi phạm các
chính sách bảo mật
Phát hiện
Phát hiện các vi phạm chính sách bảo mật
Phục hồi
Chặn các hành vi vi phạm đang diễn
ra, đánh giá và sửa lỗi
Tiếp tục hoạt động bình thường ngay cả
khi tấn công đã xảy ra
Company Logo
26
27. Company Logo
Tổng quan về Bảo mật hệ thống thông tin
27
1 Các khái niệm cơ bản
2 Các bước cơ bản trong bảo mật thông tin
3 Các thành phần trong hệ thống thông tin
28. Company Logo
Các bước cơ bản trong bảo mật thông tin
Xác định các mối đe dọa (threat)
Cái gì có thể làm hại đến hệ thống?
Lựa chọn chính sách bảo mật (security policy)
Điều gì cần mong đợi ở hệ thống bảo mật?
Lựa chọn cơ chế bảo mật (security mechanism)
Cách nào để hệ thống bảo mật có thể đạt được những mục
tiêu bảo mật đề ra?
28
Xác định các mối
đe dọa
Lựa chọn chính
sách bảo mật
Lựa chọn cơ
chế bảo mật
29. Company Logo
Xác định các mối nguy hiểm
Các mối đe dọa bảo mật (security threat) là những sự kiện
có ảnh hưởng đến an toàn của hệ thống thông tin.
Các mối đe dọa được chia làm 4 loại:
Xem thông tin một cách bất hợp pháp
Chỉnh sửa thông tin một cách bất hợp pháp
Từ chối dịch vụ
Từ chối hành vi
29
Lựa chọn chính
sách bảo mật
Lựa chọn cơ
chế bảo mật
Xác định các mối
đe dọa
30. Company Logo
Các mối đe dọa thường gặp
Lỗi và thiếu sót của người dùng (Errors and
Omissions)
Gian lận và đánh cắp thông tin (Fraud and Theft)
Kẻ tấn công nguy hiểm (Malicious Hackers)
Mã nguy hiểm (Malicious Code)
Tấn công từ chối dịch vụ (Denial-of-ServiceAttacks)
Social Engineering
30
31. Company Logo
Lỗi và thiếu sót của người dùng
Mối đe dọa của hệ thống thông tin xuất phát từ những lỗi
bảo mật, lỗi thao tác của những người dùng trong hệ
thống.
Là mối đe dọa hàng đầu đối với một hệ thống thông tin
Giải pháp:
Huấn luyện người dùng thực hiện đúng các thao tác, hạn
chế sai sót
Nguyên tắc: quyền tối thiểu (least privilege)
Thường xuyên back-up hệ thống
31
32. Company Logo
Gian lận và đánh cắp thông tin
Mối đe dọa này do những kẻ tấn công từ bên trong hệ
thống (inner attackers), gồm những người dùng giả mạo
hoặc những người dùng có ý đồ xấu.
Những người tấn công từ bên trong luôn rất nguy hiểm.
Giải pháp:
Định ra những chính sách bảo mật tốt: có chứng cứ xác
định được kẻ tấn công từ bên trong
32
33. Company Logo
Kẻ tấn công nguy hiểm
Kẻ tấn công nguy hiểm xâm nhập vào hệ thống để tìm
kiếm thông tin, phá hủy dữ liệu, phá hủy hệ thống.
5 bước để tấn công vào một hệ thống:
Thăm dò (Reconnaisance)
Quét lỗ hổng để tấn công (Scanning)
Cố gắng lấy quyền truy cập (Gaining access)
Duy trì kết nối (Maintaining access)
Xóa dấu vết (Cover his track)
33
34. Company Logo
Mã nguy hiểm
Mã nguy hiểm là một đoạn mã không mong muốn được
nhúng trong một chương trình nhằm thực hiện các truy cập
trái phép vào hệ thống máy tính để thu thập các thông tin
nhạy cảm, làm gián đoạn hoạt động hoặc gây hại cho hệ
thống máy tính.
Bao gồm: virus, worm, trojan horses, spyware, adware,
backdoor, …
34
35. Company Logo
Tấn công từ chối dịch vụ
Là kiểu tấn công ngăn không cho những người dùng khác
truy cập vào hệ thống
Làm cho hệ thống bị quá tải và không thể hoạt động
DoS: tấn công “one-to-one”
DDoS (distributed denial of service)
Sử dụng các Zombie host
Tấn công “many-to-one”
35
36. Company Logo
Social Engineering
Social engineering sử dụng sự ảnh hưởng và sự thuyết
phục để đánh lừa người dùng nhằm khai thác các thông tin
có lợi cho cuộc tấn công hoặc thuyết phục nạn nhân thực
hiện một hành động nào đó
Kẻ tấn công có thể lợi dụng các đặc điểm sau của con
người để tấn công:
Mong muốn trở nên hữu dụng
Tin người
Nỗi sợ gặp rắc rối
Đơn giản đến mức cẩu thả
36
37. Company Logo
Có 2 loại Social Engineering
Social engineering dựa trên con người liên quan đến sự
tương tác giữa con người với con người để thu được
thông tin mong muốn
Social engineering dựa trên máy tính: liên quan đến việc
sử dụng các phần mềm để cố gắng thu thập thông tin cần
thiết
37
38. Company Logo
Social engineering dựa trên con người
Nhân viên gián điệp/giả mạo
Giả làm người cần được giúp đỡ
Giả làm người quan trọng
Giả làm người được ủy quyền
Giả làm nhân viên hỗ trợ kỹ thuật
38
39. Company Logo
Social engineering dựa trên máy tính
Phising: lừa đảo qua thư điện tử
Vishing: lừa đảo qua điện thoại
Pop-up Windows
File đính kèm trong email
Các website giả mạo
Các phần mềm giả mạo
39
40. Company Logo
Lựa chọn chính sách bảo mật
Việc bảo mật hệ thống cần có một chính sách bảo mật
rõ ràng.
Cần có những chính sách bảo mật riêng cho những yêu
cầu bảo mật khác nhau
Xây dựng và lựa chọn các chính sách bảo mật cho hệ
thống phải dựa theo các chính sách bảo mật do các tổ chức
uy tín về bảo mật định ra (compliance)
NIST, SP800, ISO17799, HIPAA
40
Xác định các mối
đe dọa
Lựa chọn chính
sách bảo mật
Lựa chọn cơ
chế bảo mật
41. Company Logo
Lựa chọn chính sách bảo mật
Chính sách bảo mật phải cân bằng giữa 3 yếu tố
41
Khả năng sử dụng
Bảo mật Hiệu suất
42. Company Logo
Lựa chọn cơ chế bảo mật
Xác định cơ chế bảo mật phù hợp để hiện thực các chính
sách bảo mật và đạt được các mục tiêu bảo mật đề ra
Có 4 cơ chế bảo mật:
Điều khiển truy cập (Access control)
Điểu khiển suy luận (Inference control)
Điều khiển dòng thông tin (Flow control)
Mã hóa (Encryption)
42
Xác định các mối
đe dọa
Lựa chọn chính
sách bảo mật
Lựa chọn cơ
chế bảo mật
43. Company Logo
Điều khiển truy cập
Điều khiển truy cập (Access control): là cơ chế điều
khiển, quản lý các truy cập vào hệ thống cơ sở dữ liệu.
Các bước trong điều khiển truy cập
43
Định danh (Identification):
Người dùng cung cấp danh định (identity)
Xác thực (Authentication):
Người dùng chứng minh danh định đó là đúng
Ủy quyền (Authorization):
Xác định quyền mà người dùng có
44. Company Logo
Điều khiển truy cập (tt)
Có 2 loại hệ thống điều khiển truy cập
Hệ thống đóng (closed system)
Hệ thống mở (Open system)
44
45. Company Logo
Điều khiển truy cập (tt)
45
Kiểm tra truy
cập có được
phép?
Yêu cầu truy cập
Cho phép truy cập Ngăn chặn truy cập
Tập luật bao
gồm những truy
cập được phép
Hệ thống đóng
46. Company Logo
Điều khiển truy cập (tt)
46
Cho phép truy cập Ngăn chặn truy cập
Kiểm tra truy
cập có bị chặn?
Yêu cầu truy cập
Tập luật bao
gồm những truy
cập bị chặn
Hệ thống mở
47. Company Logo
Điều khiển truy cập (tt)
Cơ chế để xây dựng các tập luật điều khiển truy cập:
cách thức để xét một truy cập là cho phép hoặc bị từ chối
Điều khiển truy cập tùy quyền (Discretionary Access
Control)
Điều khiển truy cập bắt buộc (Mandatory Access Control)
47
48. Company Logo
Điều khiển suy luận
Điều khiển suy luận (Inference control): là việc quản lý, điều khiển các
truy cập vào những cơ sở dữ liệu thống kê (statistical database) bởi vì từ
những dữ liệu thống kê có thể suy luận ra được những thông tin nhạy cảm.
48
Điều khiển truy cập
Siêu dữ liệu
Cơ sở dữ liệu
không nhạy cảm
Cơ sở dữ liệu
nhạy cảm
SUY LUẬN
Không được phép truy cập
Được phép truy cập
ĐIỀU KHIỂN
SUY LUẬN
49. Company Logo
Điều khiển dòng thông tin
Điều khiển dòng thông tin (Flow control) nhằm ngăn
chặn dòng thông tin đi từ đối tượng dữ liệu được bảo vệ
sang đối tượng dữ liệu ít được bảo vệ hơn.
Kênh biến đổi (Covert Channels) là những kênh truyền
mà qua đó dòng thông tin có thể được truyền ngầm ra bên
ngoài một cách bất hợp pháp. Có 2 loại convert channel:
Kênh lưu trữ (Storage channel): thông tin được truyền
qua những đối tượng lưu trữ trung gian
Kênh thời gian (Timing channel): một phần thông tin có thể
bị lộ ra ngoài thông qua thời gian tính toán các dữ liệu liên
quan đến thông tin đó.
49
50. Company Logo
Mã hóa
Mã hóa (Encryption) là những giải thuật tính toán nhằm
chuyển đổi những văn bản gốc (plaintext), dạng văn bản
có thể đọc được, sang dạng văn bản mã hóa (cyphertext),
dạng văn bản không thể đọc được.
Chỉ người dùng có được khóa đúng mới có thể giải mã
được văn bản mã hóa về dạng văn bản rõ ban đầu.
Mã hóa dữ liệu được sử dụng để bảo vệ những dữ liệu
nhạy cảm.
50
51. Company Logo
Tổng quan về Bảo mật hệ thống thông tin
51
1 Các khái niệm cơ bản
2 Các bước cơ bản trong bảo mật thông tin
3 Các thành phần trong hệ thống thông tin
53. Company Logo
An toàn vật lý (Physical security)
53
Các mối nguy hiểm vật lý
2
Giới thiệu về an toàn vật lý
Giới thiệu về an toàn vật lý
1
Kiểm soát an toàn vật lý
3
Quản lý con người
4
54. Company Logo
Giới thiệu về an toàn vật lý
An toàn vật lý (Physical Security) là việc bảo vệ phần
cứng, hệ thống mạng, chương trình và dữ liệu khỏi các
mối nguy hiểm vật lý có thể gây ảnh hưởng đến hoạt
động của hệ thống.
Trung tâm dữ liệu (data center): nơi tập trung lưu trữ
và xử lý dữ liệu, và cần được bảo vệ nghiêm ngặt
khỏi các mối nguy hiểm.
Cần xác định tất cả các mối nguy hiểm và lên kế
hoạch để quản lý chúng
54
55. Company Logo
An toàn vật lý (Physical security)
55
Giới thiệu về an toàn vật lý
1
Các mối nguy hiểm vật lý
2
Kiểm soát an toàn vật lý
3
Quản lý con người
4
56. Company Logo
Các mối nguy hiểm vật lý
Các mối nguy hiểm vật lý gồm:
Hỏa hoạn và cháy nổ
Nhiệt độ và độ ẩm
Thiên tai: ngập lụt, bão, sấm chớp, động đất
Sập nhà
Hóa chất
Mất điện
Mất tín hiệu liên lạc
Thiết bị hỏng
Các phần tử phá hoại: nhân viên bên trong, kẻ trộm
56
57. Company Logo
Hỏa hoạn và cháy nổ
Hỏa hoạn và cháy nổ sẽ gây hư
hỏng toàn bộ hệ thống và dữ liệu.
Có hệ thống phát hiện hỏa hoạn.
Luôn có sẵn thiết bị chữa cháy
và phải kiểm tra thiết bị này
thường xuyên.
Cấm hút thuốc trong các khu
vực chứa máy móc, thiết bị
Các vật liệu dễ cháy cần
chứa ở phòng riêng
57
58. Company Logo
Nhiệt độ và độ ẩm
Nhiệt độ và độ ẩm không đúng
sẽ làm giảm tuổi thọ của thiết bị
Hệ thống điều hòa được dùng để
điều khiển nhiệt độ và độ ẩm.
Theo ASHRAE (American
Society of Heating,
Refrigerating and Air
Conditioning Engineers) các
thiết bị điện tử hoạt động tốt
ở nhiệt độ 20 – 25 °C và độ
ẩm 40 – 60%
58
60. Company Logo
Sập nhà
Máy móc và server chứa dữ liệu
quan trọng cần đặt ở những nơi
vững chắc
60
61. Company Logo
Hóa chất
Có thể gây biến dạng thiết
bị và mất dữ liệu.
Không đặt gần những hóa
chất độc
61
62. Company Logo
Mất điện
Đảm bảo nguồn điện 24/24:
UPS và máy phát điện.
Tránh tăng giảm điện áp đột
ngột.
62
63. Company Logo
Mất tín hiệu liên lạc
Mất tín hiệu liên lạc sẽ làm
ngưng trệ mọi hoạt động của
hệ thống thông tin
Đảm bảo tín hiệu liên lạc
24/24
Có hệ thống cáp dự phòng
63
64. Company Logo
Thiết bị hỏng
Sử dụng và bảo trì đúng
kỹ thuật
Thường xuyên back-up dữ
liệu
64
66. Company Logo
An toàn vật lý (Physical security)
66
Các mối nguy hiểm vật lý
2
Giới thiệu về an toàn vật lý
1
Kiểm soát an toàn vật lý
3
Quản lý con người
4
67. Company Logo
Kiểm soát an toàn vật lý
Quản lý hành chính (Administrative control): sử
dụng các chính sách/luật để định nghĩa cách vận
hành hệ thống thông tin đúng, an toàn và bảo mật
Quản lý truy cập vật lý (Physical access control):
sử dụng các công cụ kiểm soát việc ra vào giữa môi
trường bên ngoài và hệ thống thông tin như hàng rào,
khóa cửa, bảo vệ, …
Quản lý kỹ thuật (Technical control): sử dụng
các phần mềm, phần cứng hỗ trợ bảo vệ an toàn cho
các tài sản của công ty/tổ chức
67
68. Company Logo
Quản lý hành chính (Administrative control)
Lựa chọn vị trí an toàn để xây dựng các trung tâm dữ
liệu.
Khu vực xung quanh
Các yếu tố thiên tai: lũ lụt, động đất, bão,…
Thiết kế hợp lý và an toàn:
Vị trí đặt server CSDL, hệ thống điện, báo cháy
Bố trí ánh sáng, cửa ra vào …
68
69. Company Logo
Quản lý truy cập vật lý (Physical access control)
Đảm bảo chỉ có những người có quyền mới được vào
các khu vực nhạy cảm như: chỗ server CSDL, hệ
thống mạng, điện, …
Sử dụng các công cụ:
Cổng, rào
Nhân viên bảo vệ, chó canh
Khóa
Thiết bị theo dõi, phát hiện các xâm phạm
Phân vùng
69
70. Company Logo
Quản lý kỹ thuật (Technical control)
Thẻ nhân viên
Phát hiện sự xâm nhập
Theo dõi và lưu trữ thông tin truy cập (access log)
70
71. Company Logo
An toàn vật lý (Physical security)
71
Các mối nguy hiểm vật lý
2
Giới thiệu về an toàn vật lý
1
Quản lý con người
4
Kiểm soát an toàn vật lý
3
72. Company Logo
Quản lý con người
Con người là mắc xích yếu nhất trong quá trình bảo mật
thông tin.
Đào tạo tránh rủi ro trong thao tác sai
Nhập, sửa, xóa sai dữ liệu
Sử dụng các thiết bị không đúng cách: gây sai dữ liệu, hỏng
hóc
Nhận diện các phần mềm, trang web gây hại
Các thao tác cơ bản khi xảy ra lỗi
72
73. Company Logo
Quản lý con người (tt)
Trách nhiệm tự quản lý thông tin cá nhân và bảo mật
công việc
Tự quản máy tính cá nhân, password, thẻ nhân viên, giấy
tờ,…
Giữ bí mật các công việc nhạy cảm
Social engineering
Tránh kẻ tấn công từ bên trong:
Tuyển chọn nhân viên
Chính sách đãi ngộ nhân viên
Hệ thống theo dõi, chống thoái thác
73
74. Bảo mật các dịch vụ cơ sở dữ liệu thuê ngoài
Bảo mật với dịch vụ CSDL thuê ngoài
2
Giới thiệu dịch vụ CSDL thuê ngoài
Giới thiệu dịch vụ CSDL thuê ngoài
1
75. Company Logo
Mô hình CSDL thuê ngoài
Chủ dữ liệu (Data owner): cơ quan/tổ chức tạo ra dữ liệu
User (hoặc client): khách hàng đưa ra yêu cầu (câu truy
vấn) dữ liệu cho hệ thống
Nhà cung cấp dịch vụ: tổ chức nhận dữ liệu từ chủ dữ liệu
và phân phối dữ liệu đến user khi có yêu cầu
75
Service
provider Data owner
76. Company Logo
Ưu điểm của mô hình CSDL thuê ngoài
Tập trung vào công việc kinh doanh
Tiết kiệm chi phí:
Chi phí ban đầu: phần cứng, phần mềm, cơ sở vật chất và
nhân viên kỹ thuật
Chi phí bảo trì
Tiết kiệm thời gian thiết lập hệ thống CSDL
Nhanh chóng có được những tài nguyên/dịch vụ không
có sẵn
Sử dụng dịch vụ từ những nhà cung cấp dịch vụ
chuyên nghiệp
Môi trường lưu trữ và quản lý CSDL ổn định, ít thay đổi
76
77. Company Logo
Khuyết điểm của mô hình CSDL thuê ngoài
Thời gian đáp ứng chậm (turnaround time)
Các chi phí ẩn khi yêu cầu những dịch vụ cao cấp
Chất lượng dịch vụ
Vấn đề giao tiếp giữa client và nhà cung cấp dịch vụ
Khó can thiệp sâu khi giải quyết vấn đề
Không thể kiểm soát hết việc điều khiển truy cập
77
78. Bảo mật các dịch vụ cơ sở dữ liệu thuê ngoài
Giới thiệu dịch vụ CSDL thuê ngoài
1
Bảo mật với dịch vụ CSDL thuê ngoài
2
79. Company Logo
Bảo mật dữ liệu
Bảo mật dữ liệu (Data confidentiality): những người
ngoài và kể cả nhà cung cấp dịch vụ cũng không được
phép xem dữ liệu thuê ngoài của khách hàng
Vấn đề: nhà cung cấp dịch vụ không tin cậy
Giải pháp:
Mã hóa ở phía server
Giải mã ở phía client
79
80. Company Logo
Tính riêng tư của khách hàng
Tính riêng tư của khách hàng (User privacy): Khách
hàng không muốn nhà cung cấp dịch vụ và chủ dữ liệu
biết điều mà họ đang quan tâm
Giải pháp:
Giao thức PIR (Private Information Retrieval)
Giao thức RIR (Repudiative Information Retrieval)
Giao thức PIS (Private Information Storage)
80
81. Company Logo
Tính riêng tư của dữ liệu (Data privacy)
Tính riêng tư của dữ liệu (Data privacy): Khách hàng
không được phép nhận nhiều thông tin hơn so với câu
truy vấn của họ.
Giải pháp
Điều khiển truy cập
Giao thức SPIR (Symmetrically Private Information
Retrieval)
Untrusted 3rd parties, Secure coprocessors
81
82. Company Logo
Xác thực và toàn vẹn dữ liệu
Xác thực và toàn vẹn dữ liệu (Authentication and data
integrity): Khách hàng phải được đảm bảo rằng dữ liệu
trả về từ server là đúng và không bị thay đổi
Giải pháp: Đảm bảo truy vấn an toàn (Query assurance)
Truy vấn đúng (Query correctness): kết quả câu truy vấn
phải có trong CSDL
Truy vấn đủ (Query completeness): không có kết quả nào
bị bỏ bớt trong nội dung trả về cho khách hàng
Truy vấn mới (Query freshness): kết quả trả về phải là kết
quả mới nhất/hiện tại của CSDL
82
83. Cẩm nang an toàn thông tin cho nhân viên
An toàn thông tin khi sử dụng mạng không dây
2
Những khái niệm cơ bản
Các bước thiết lập máy tính mới an toàn
1
Kỹ năng phòng chống mã độc
3
Nhận biết, phòng chống thư rác, thư giả mạo, tin
nhắn rác
4
Hướng dẫn sử dụng mạng xã hội an toàn
5
84. Company Logo
Sử dụng mật khẩu an toàn
Quy tắc sử dụng mật khẩu an toàn:
Không tiết lộ mật khẩu cho bất kỳ ai.
Không viết mật khẩu ra bất kỳ đâu.
Không dùng chung mật khẩu.
Đặt mật khẩu đủ mạnh.
Nên thay đổi mật khẩu thường xuyên.
84
85. Company Logo
Sử dụng mạnh khẩu an toàn (tt)
Các yêu cầu về độ phức tạp của mật khẩu:
Mật khẩu phải dài ít nhất 8 ký tự.
Mật khẩu gồm ít nhất ba trong các loại ký tự sau:
Ký tự Hoa (A – Z)
Ký tự thường (a – z)
Ký tự số (0 – 9)
Ký tự đặc biệt (!, @, #...)
Ký tự Unicode.
Mật khẩu không nhiều hơn ba ký tự có trong tên tài
khoản người dùng.
85
86. Company Logo
Tháo gỡ các chương trình không cần thiết
Các máy tính mới
thường được các nhà
sản xuất cài đặt sẵn
các chương trình
quảng cáo, giới thiệu
hoặc dùng thử các
phần mềm. Các phần
mềm này có thể
chứa sẵn các nguy
cơ mất an toàn.
86
Sử dụng chức năng Programs and Features để liệt kê
các phần mềm đã được cài sẵn trong các máy mới
87. Company Logo
Kích hoạt chức năng tường lửa bảo vệ
87
1. Truy cập chức năng Firewall
trong Control Panel chọn Turn
Windows Firewall on or off
2. Chọn các lựa chọn “Turn
on…” và tùy chọn bên dưới để
kích hoạt
88. Company Logo
Nâng cấp các phần mềm và hệ điều hành
Nâng cấp các phiên bản mới nhất để vá các lỗi bảo mật.
88
89. Company Logo
Cài đặt phần mềm diệt virus
Nâng cấp các phiên bản mới nhất để vá các lỗi bảo mật.
89
90. Cẩm nang an toàn thông tin cho nhân viên
Các bước thiết lập máy tính mới an toàn
1
Những khái niệm cơ bản
An toàn thông tin khi sử dụng mạng không dây
2
Kỹ năng phòng chống mã độc
3
Nhận biết, phòng chống thư rác, thư giả mạo, tin
nhắn rác
4
Hướng dẫn sử dụng mạng xã hội an toàn
5
91. Company Logo
1. Sử dụng mạng riêng ảo
Nếu sử dụng wifi công cộng, duyệt web
trên những trang không phải https, thì
tính an toàn của dữ liệu trao đổi trên
mạng dễ bị lộ.
Vì vậy nên dùng kết nối VPN để ẩn hoạt
động duyệt web để dữ liệu được bảo mật
hơn. VPN sẽ mã hóa các gói tin truyền
qua mạng.
91
92. Company Logo
2. Sử dụng xác thực 2 bước
Tính năng xác minh 2 bước bổ sung thêm một lớp bảo
mật cho tài khoản.
Sau khi thiết lập, đăng nhập tài khoản thông qua 2 bước:
Mật khẩu tài khoản (thông tin bạn biết)
Thiết bị bạn có (điện thoại hoặc khóa bảo mật)
92
93. Company Logo
3. Cẩn thận với tính năng tự động kết nối
Lợi dụng thói quen tự động kết nối mạng, kẻ xấu có thể
lấy cắp các dữ liệu của người dùng.
Các kết nối không đặt mật khẩu truy cập tạo rất nhiều
nguy cơ cho các thiết bị của bạn.
93
94. Company Logo
4. Xác minh mạng không dây
Kẻ xấu thường đặt tên mạng không dây giả gần giống
với tên mạng bạn thường dùng. Người dùng có thể bị
chuyển hướng luồng truy cập và bị khai thác dữ liệu cá
nhân.
94
95. Company Logo
5. Hạn chế việc đăng nhập
Hạn chế đăng nhập tài khoản cá nhân khi sử dụng mạng
không dây.
Không nên truy cập vào web bắt buộc đăng nhập bằng
email, tài khoản mạng xã hội…
Nên truy cập các website sử dụng dịch vụ hỗ trợ giao
thức https.
95
96. Cẩm nang an toàn thông tin cho nhân viên
Các bước thiết lập máy tính mới an toàn
1
Những khái niệm cơ bản
Kỹ năng phòng chống mã độc
3
An toàn thông tin khi sử dụng mạng không dây
2
Nhận biết, phòng chống thư rác, thư giả mạo, tin
nhắn rác
4
Hướng dẫn sử dụng mạng xã hội an toàn
5