Chương 1 "Tổng quan về an ninh thông tin" pdf
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (256.54 KB, 25 trang )
Tổng quan về bảo mật thông tin
Information security, PTITHCM, 2012
Nội dung
1. Mô hình bảo mật cổ điển
2. Mô hình bảo mật X.800
3. Chuẩn an ninh thông tin ISO 27001
4. Các nguy cơ bảo mật hệ thống hiện
nay
Information security, PTITHCM, 2012
Bảo mật thông tin
Information
security
Computer
security
Network
security
Information security, PTITHCM, 2012
Mô hình CIA
C = Confidentiality
I = Integrity
A = Availability
Th nào là m t h th ng an toàn ế ộ ệ ố
(secure system)?
Information security, PTITHCM, 2012
Tính bí mật (C)
Giới hạn các đối tượng được phép truy
xuất đến các tài nguyên hệ thống.
Bí mật về nội dung thông tin
Bí mật về sự tồn tại thông tin.
Cơ chế đảm bảo bí mật:
Quản lý truy xuất (Access Control)
Mật mã hóa (Encrypion)
Information security, PTITHCM, 2012
Tính tòan vẹn (I)
Thông tin không bị mất hoặc thay đổi ngòai
ý muốn.
Tòan vẹn về nội dung
Tòan vẹn về nguồn gốc.
Các cơ chế đảm bảo toàn vẹn:
Hàm băm, chữ ký số
Các giao thức xác thực
Information security, PTITHCM, 2012
Tính sẵn sàng (A)
Thông tin sẵn sàng cho các truy xuất
hợp lệ. Là đặc trưng cơ bản nhất của hệ
thống thông tin.
Các mô hình bảo mật hiện đại (ví dụ
X.800) không đảm bảo tính khả dụng.
Tấn công dạng DoS/DDoS nhắm vào
tính khả dụng của hệ thống.
Information security, PTITHCM, 2012
Tính hòan thiện của CIA
Không đảm bảo “không từ chối hành
vi” (non-repudiation)
Không thể hiện tính “sở hữu”
Không có sự tương quan với mô hình
hệ thống mở OSI.
=> Cần xây dựng mô hình mới.
Information security, PTITHCM, 2012
Chiến lược AAA (RFC 3127)
Các cơ chế nhằm xây dựng hệ thống
bảo mật theo mô hình CIA.
Access Control
Authentication
Auditing
Phân biệt với thuật ngữ AAA của Cisco
(Authentication, Authorization, Accounting)
Information security, PTITHCM, 2012
Access Control
MAC (Mandatory Access Control)
Quản lý truy xuất bắt buộc, dùng
chung cho toàn bộ hệ thống
DAC (Discretionary Access Control)
Quyền truy xuất được gán tùy theo sở
hữu của tài nguyên
RBAC (Role-based Access Control)
Quyền truy xuất gán theo vai trò trong
hệ thống
Information security, PTITHCM, 2012
Authentication
User / password
Cleartext, Challenge/response,
Kerberos, …
Biometric
Vân tay, võng mạc, …
Certificates
Smart card
Information security, PTITHCM, 2012
Auditing
Auditing
System events auditing
NTFS access auditing
System log
Service log
Command history
System scanning
Vulnerability scanning
Base line analyzer
Information security, PTITHCM, 2012
Triển khai giải pháp bảo mật
Điều kiện để tấn công xảy ra:
Threats + Vulnerability
Cơ sở triển khai giải pháp:
Chính sách an ninh thông tin
Hiệu quả kinh tế của hệ thống thông
tin
Information security, PTITHCM, 2012
Security policy
Tập các quy ước định nghĩa các trạng
thái an tòan của hệ thống.
P: tập hợp tất cả các trạng thái của hệ thống
Q: tập hợp các trạng thái an tòan theo định nghĩa của
security policy
R: tập hợp các trạng của hệ thống sau khi áp dụng các
cơ chế bảo mật.
R ⊆ Q: Hệ thống tuyệt đối an tòan
Nếu tồn tại trạng thái r ∈ R sao cho r∉Q: hệ
thống không an tòan
Information security, PTITHCM, 2012
Security mechanism
Tập các biện pháp kỹ thuật hoặc thủ
tục được triển khai để đảm bảo thực
thi chính sách. Ví dụ:
Dùng cơ chế cấp quyền trên partition
NTFS
Dùng cơ chế cấp quyền hệ thống (user
rights)
Đưa ra các quy định mang tính thủ
tục.
…
Information security, PTITHCM, 2012
Xây dựng hệ thống bảo mật
Đ nh nghĩa ị
chính sách
Tri n khaiể
c chơ ế
Information security, PTITHCM, 2012
Mô hình bảo mật X.800 (ITU_T)
Xem xét vấn đề bảo mật trong tương
quan với mô hình hệ thống mở OSI
theo 3 phương diện:
Security attack
Security mechanism
Security service
Các dịch vụ bảo mật được cung cấp dưới dạng các
primitives tại từng lớp tương ứng của OSI
Information security, PTITHCM, 2012
Security attack
Passive attacks:
Tiết lộ thông tin
Phân tích lưu lượng
Active attacks:
Thay đổi thông tin
Từ chối dịch vụ
Information security, PTITHCM, 2012
Security services
Access Control
Authentication
Data Confidentiality
Data Integrity
Non-repudiation
Information security, PTITHCM, 2012
Security mechanisms
Encipherment
Digital Signature
Access Control
Data Integrity
Authentication exchange
Traffic padding
….
Information security, PTITHCM, 2012
ISO 27001
Dựa trên khái niệm hệ thống quản lý
an ninh thông tin ISMS
Quy trình PDCA
Information security, PTITHCM, 2012
ISO 27001 requirements
Đánh giá các rủi ro về an ninh thông tin
Chính sách an ninh thông tin
Tổ chức của hệ thống an ninh thông tin
Tổ chức quản lý tài sản trong đơn vị
Đảm bảo an ninh nguồn nhân lực
An ninh môi trường và thiết bị làm việc
Quản lý truyền thông (trong đó có an ninh
hệ thống mạng)
Quản lý truy xuất tài nguyên thông tin
Quản lý các sự cố của hệ thống thông tin.
Information security, PTITHCM, 2012
Các nguy cơ bảo mật hệ thống
trong thực tế
Các tấn công có chủ đích (attacks)
White hat hackers
Script kiddies
Black hat hackers
Internal threats
Các phần mềm phá họai (malicious
code)
Information security, PTITHCM, 2012
Tấn công hệ thống thông tin
Dựa vào sơ hở của hệ thống
Dựa vào các lỗ hổng phần mềm
Dựa vào lỗ hổng của giao thức
Tấn công vào cơ chế bảo mật
Tấn công từ chối dịch vụ (DoS/DDoS)
Information security, PTITHCM, 2012
Phần mềm phá họai
Virus
Worm
Logic bomb
Trojan horse
Backdoor
Spammer
Zoombie
