Chương 1 : Tổng Quan Về Bảo Mât Thông Tin pdf
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (352.35 KB, 20 trang )
Giảng viên : Nguyễn Minh Thành
E-mail :
Chương 1 : Tổng Quan Về Bảo
Mât Thông Tin
Mục Lục
I. Khái quát về bảo mật thông tin
II. Các thành phần bảo mật
III. Các nguy cơ trong bảo mật thông tin
1. Các nguy cơ
2. Các biện pháp đối phó
IV. Chính sách và cơ chế
V. Quy trình thực hiện bảo mật
Nguyễn Minh Thành
2
I. Khái quát về bảo mật thông tin
Có thông tin mà người phát tin chỉ muốn cho đối tượng nào
đó nhận, đối tượng khác không thể biết được. Bí mật quốc
gia, trao đổi thư tín, giao dịch thương mại Luôn yêu cầu
bức thiết phải có hệ thống truyền thông an toàn và tin cậy.
Quyết định đến sự tồn vong và phát triển của tổ chức.
Bảo mật thông tin phát triển: bảo vệ an toàn cho quốc gia
và quân sự. Ngày nay được xem là vấn đề cấp thiết đối với
mọi tổ chức để bảo vệ chính mình.
Nguyễn Minh Thành
3
I. Khái quát về bảo mật thông tin
Có nhiều phương án kỹ thuật được đề ra để giải quyết vấn
đề này :
Mã hoá (Cryptography)
Các giao thức truyền (Protocols)
Các cơ chế kiểm soát truy cập (Access control mechanisms)
Tường lửa
IDSs
…
Tuy nhiên, mỗi phương án đều có lỗ hổng.
Nguyễn Minh Thành
4
II. Các thành phần bảo mật
Bảo mật máy tính dựa trên 3 thành phần chính
Tính bí mật (Confidentiality)
Che dấu nội dung hoặc sự tồn tại dữ liệu, thông tin và
tài nguyên
Một hệ thống an toàn sẽ đảm bảo sự bí mật của dữ liệu.
Có nghĩa là nó chỉ cho phép những cá nhân hợp pháp
được xem nhưng dữ liệu hợp lệ
Nguyễn Minh Thành
5
II. Các thành phần bảo mật
Tính toàn vẹn (Integrity)
Toàn vẹn về dữ liệu và nguồn gốc (phải được chứng
thực)
Một hệ thống an toàn phải đảm bảo dữ liệu mà nó có là
đúng. Toàn vẹn về dữ liệu là bảo vệ dữ liệu không bị
xoá, chỉnh xửa, bị lỗi cả khi nó nằm trong CSDL và
khi truyền trên mạng.
Nguyễn Minh Thành
6
II. Các thành phần bảo mật
Tính sẵn sàng (Availability)
Cho phép truy cập dữ liệu và tài nguyên ở mọi lúc.
Một hệ thống an toàn phải đảm bảo dữ liệu luôn sẵn
sàng được truy cập bởi những người dùng hợp pháp,
không bị trì hoãn.
Denial-of-service là một hình thức tấn công làm mất đi
tính sẵn sàng của dữ liệu.
Nguyễn Minh Thành
7
III. Các nguy cơ trong bảo mật thông
tin (tt)
Các nguy cơ hay còn gọi là mối đe doạ là những hành vi
vi phạm tính bảo mật có thể xảy ra cho hệ thống.
Những hành vi vi phạm đó chưa cần xảy ra nhưng khi
xảy ra (dù vô tình hay cố ý) chắc chắn nó sẽ ảnh hưởng
xấu đến hệ thống và tổ chức.
Nguyễn Minh Thành
8
III. Các nguy cơ trong bảo mật thông
tin (tt)
Các nguy cơ ảnh hưởng đến :
Mất tính bí mật
Phải duy trì sự bí mật cho dữ liệu
Mất tính toàn vẹn
Phải ngăn ngừa việc thay đổi thông tin bất hợp pháp
Bao gồm cả mất tính chống thoái thác và xác thực -> phải
kiểm toán và xác định trách nhiệm
Mất tính sẵn sàng
Phải tránh sự tấn công denial-of-service
Nguyễn Minh Thành
9
III.1 Các nguy cơ
Các nguy cơ được chia thành 4 lớp :
Disclosure : sự truy cập thông tin trái phép.
Deception : sự chấp nhận dữ liệu sai.
Disruption : sự ngăn chặn hoặc làm gián đoạn các chức
năng hoạt động đúng của hệ thống.
Usurpation : sự điều khiển trái phép đối với các chức
năng của hệ thống.
Bốn lớp chính này chứa nhiều nguy cơ chung, một
nguy cơ thực sự có thể thuộc vào nhiều lớp.
Nguyễn Minh Thành
10
III.2 Các biện pháp đối phó
Để đối phó với các nguy cơ trên, đã có nhiều biện pháp
được đề ra như :
Identification : việc định danh một người dùng trong hệ
thống.
Authentication : việc xác thực xem người dùng đó có
đích thực là người đã đăng ký hay không.
Sử dụng những phương pháp ? (thảo luận)
Authorization : việc uỷ quyền cho người dùng với các
chức năng có trong hệ thống.
Nguyễn Minh Thành
11
III.2 Các biện pháp đối phó (tt)
Access Control : các cơ chế bảo mật để ngăn chặn việc
truy cập đến các đối tượng trong hệ thống.
Thường được áp dụng trong các hệ thống CSDL như :
MS SQL Server, Oracle…
Nguyễn Minh Thành
12
III.2 Các biện pháp đối phó (tt)
Ví dụ về bảo mật CSDL : cần bảo mật những yếu tố
nào ?
Nguyễn Minh Thành
13
III.2 Các biện pháp đối phó (tt)
Ví dụ về bảo mật CSDL:
Bảo vệ dữ liệu trong Server
Access Control
Mã hoá
Bảo vệ dữ liệu trên môi trường mạng
Tính bí mật
Không được sửa chữa, gửi lại
Phát hiện dữ liệu bị mất
Xác định và chứng thực người dùng
Kiểm toán hệ thống (truy vết)
Nguyễn Minh Thành
14
IV. Chính sách và Cơ chế
Chính sách bảo mật là các tuyên bố, phát biểu cái gì
được làm cái gì không được làm trong hệ thống.
Chính sách phải được thể hiện trên văn bản, phải được
viết ra và có thể được trình bày dưới dạng các công
thức toán mang tính chắt chẽ.
Chính sách phải là một danh sách bao gồm các trạng
thái cho phép và không cho phép đối với các đối tượng
trong hệ thống
Nguyễn Minh Thành
15
IV. Chính sách và Cơ chế (tt)
Cơ chế là các phương thức, công cụ, thủ tục để thực thi
các chính sách.
Các cơ chế có thể mang tính kỹ thuật hoặc không
mang tính kỹ thuật.
Nguyễn Minh Thành
16
V. Quy trình thực hiện bảo mật
Khó có thể chứng minh một hệ thống được bảo mật tốt
nếu nó không được thực hiện theo đúng quy trình. Quy
trình giúp cho việc xác định các công việc và kiểm
định lại các công việc để đánh giá và cải thiện.
Vì vậy, để đảm bảo khả năng bảo mật của một hệ
thống, thì phải thực hiện theo đúng quy trình sau :
Specification : đặc tả yêu cầu bảo mật cho hệ thống
Design : thiết kế giải pháp
Implement : thực thi giải pháp
Nguyễn Minh Thành
17
V. Quy trình thực hiện bảo mật (tt)
Specification :
Đặc tả là việc phát biểu một cách hình thức các chức
năng mong muốn của hệ thống. Việc đặc tả có thể sử
dụng ngôn ngữ thường, hay ngôn ngữ toán học để nâng
cao tính hình thức và độ chính xác.
Design :
Thiết kế là việc chuyển các đặc tả vào các thành phần của
hệ thống.
Implementation
Thực thi là việc tạo ra các thành phần của hệ thống và kết
nối chúng lại theo đúng thiết kế.
Nguyễn Minh Thành
18
V. Quy trình thực hiện bảo mật (tt)
Sơ đồ chung cho quy trình bảo mật
Nguyễn Minh Thành
19
Nguyễn Minh Thành
20
