Bảo Mật Hệ Điều Hành Linnux.docx
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.38 MB, 39 trang )
BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC HÙNG VƯƠNG THÀNH PHỐ HỒ CHÍ MINH
BÁO CÁO HỌC PHẦN
BẢO MẬT THƠNG TIN
ĐỀ TÀI: BẢO MẬT HỆ ĐIỀU HÀNH LINUX
Nhóm : Ủa alo
Lớp: CT05PM
TP.HỒ CHÍ MINH - 2023
BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC HÙNG VƯƠNG THÀNH PHỐ HỒ CHÍ MINH
BÁO CÁO HỌC PHẦN
BẢO MẬT THƠNG TIN
ĐỀ TÀI: BẢO MẬT HỆ ĐIỀU HÀNH LINUX
Nhóm : Ủa alo
Lớp: CT05PM
Họ và Tên :
Hồ Đắc Thịnh
2105CT0035
Phạm Văn Triệu Vỹ
2105CT0096
Lê Hoàng Tiến Đạt
2105CT0075
Lê Hoàng Sơn
2105CT0110
Nguyễn Thư Vi
2105CT0065
GVHD: Nguyễn Quốc Sử
TP.HỒ CHÍ MINH - 2023
Báo cáo cuối kỳ Bảo Mật Thông Tin
MỤC LỤC
NHẬN XÉT CỦA GIẢNG VIÊN............................................................................
LỜI NÓI ĐẦU.........................................................................................................
GIỚI THIỆU VỀ BÁO CÁO...................................................................................
Chương 1: tổng quan linux.......................................................................................
1.1. Lịch sử về linux..........................................................................................
1.2. Cấu trúc.......................................................................................................
1.3. Công dụng của linux...................................................................................
1.4. Hệ điều hành linux gồm mấy phiên bản và những phiên bản nào..............
1.5. Sự khác biệt giữa Linux và Windows.......................................................10
Chương 2: Vai trò hệ điều hành linux trong hệ thống thơng tin............................11
2.1. Vai trị của Linux trong các hệ thống thơng tin........................................11
2.2. Hệ điều hành Linux có nhữngchức năng quan trọng trong nào hệ thống
thông tin...........................................................................................................11
2.3. Cách tối ưu hóa hiệu suất hệ thống Linux bằng cách nào?.....................11
2.4. Ưu điểm và nhược điểm............................................................................12
2.5. Hậu quả nếu hệ điều hành linux bị tấn công.............................................13
Chương 3: khái niệm và khảo sát rủi ro bảo mật...................................................14
3.1. Asset..........................................................................................................14
3.2. Risk...........................................................................................................15
3.3.Threat.........................................................................................................16
3.4.Vulnerabilities............................................................................................17
1
Báo cáo cuối kỳ Bảo Mật Thông Tin
Chương 4: Thực nghiệm kỹ thuật tấn công............................................................19
4.1 kỹ thuật tấn công bằng Metasploit.............................................................19
4.1.1 Metasploit là gì?...............................................................................19
4.1.2 Mơi trường thực nghiệm và cơng cụ................................................19
4.1.2.1 Máy ảo Kali Linux(attack machine)..............................................19
4.1.2.2 Máy ảo Ubuntu 22.04 (victim machine)........................................20
4.2 THỰC NGHIỆM KỸ THUẬT..................................................................21
4.2.1 Chuẩn bị:...........................................................................................21
4.2.2 Thực hiện:.........................................................................................21
Chương 5: Giải Pháp Bảo Mật...............................................................................26
5.1. Kích hoạt tường lửa:.................................................................................26
5.2. Đăng nhập từ xa an toàn tuyệt đối với SSH:.............................................26
5.3. Sử dụng Intrusion Detection System để phát hiện entry trái phép:..........26
5.4. Cập nhật thường xuyên:............................................................................26
5.5. Cẩn thận khi tải các phần mềm bên ngoài:...............................................27
5.6. Giới hạn các dịch vụ:................................................................................27
5.7. Sử dụng SFTP thay cho FTP....................................................................27
5.8. Sử dụng phần mềm phát hiện xâm nhập :.................................................28
Chương 6: Tiêu chuẩn bảo mật cho hệ điều hành linux.........................................29
6.1: Một số tiêu chuẩn bảo mật hệ điều hành linux.........................................29
6.1.1: SELinux (Security-Enhanced Linux):.............................................29
6.1.2: AppArmor:......................................................................................29
6.1.3: Firewall (iptables, nftables):............................................................29
6.1.4: PAM (Pluggable Authentication Modules):....................................29
2
Báo cáo cuối kỳ Bảo Mật Thông Tin
6.1.5: Audit Framework:...........................................................................30
6.1.6: GRSecurity:.....................................................................................30
6.1.7: Cập nhật định kỳ:.............................................................................30
6.1.8: Kết nối an toàn (SSH):....................................................................30
6.2: Tiêu chuẩn CIS Ubuntu Linux 18.04 LTS Benchmark............................30
6.2.1: Chuẩn bị và Xem xét.......................................................................30
6.2.2: Cấu hình Hệ Thống.........................................................................31
6.2.3: Xem Xét và Cải Thiện Định Kỳ......................................................33
6.2.4: Giám Sát và Duy Trì........................................................................33
6.2.5: Kiểm Tra Tuân Thủ.........................................................................33
LỜI CẢM ƠN........................................................................................................35
3
Báo cáo cuối kỳ Bảo Mật Thơng Tin
MỤC LỤC HÌNH ẢNH
Hình 1: Thực thi dịng lệnh ip a.................................................................................21
Hình 2: Tạo 1 file malware........................................................................................21
Hình 3: Cấp quyền cho file........................................................................................22
Hình 4: Thực thi lệnh msfconsole -q.........................................................................22
Hình 5: Set Ihost........................................................................................................23
Hình 6: Thư mục file shell.elf...................................................................................23
Hình 7: Dùng lệnh chạy file shell.elf.........................................................................24
Hình 8: Chạy file trên Ubuntu...................................................................................24
Hình 9: Thơng tin ubuntu..........................................................................................25
Hình 10: Dùng lệnh xem tài khoản............................................................................25
Hình 11: Remove File...............................................................................................25
4
Báo cáo cuối kỳ Bảo Mật Thông Tin
NHẬN XÉT CỦA GIẢNG VIÊN
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
.......................................................................................................................................
TP.Hồ Chí Minh, ngày…. tháng 11 năm 2023
5
Báo cáo cuối kỳ Bảo Mật Thơng Tin
LỜI NĨI ĐẦU
Trong thời đại cơng nghệ ngày nay, vai trị của hệ điều hành không chỉ giới hạn ở việc
quản lý tài nguyên và cung cấp giao diện người dùng cho máy tính, mà cịn đặt ra
những thách thức lớn về bảo mật. Trong bối cảnh này, hệ điều hành Linux đứng vững
như một biểu tượng của sự an toàn và ổn định trong cộng đồng người sử dụng và phát
triển phần mềm mã nguồn mở.
Bài tiểu luận này sẽ đàm phán về những khía cạnh quan trọng của bảo mật hệ điều
hành Linux, từ cơ bản đến nâng cao. Chúng ta sẽ đàm phán về cơ chế bảo mật tích hợp
sẵn trong hệ điều hành này, cũng như những biện pháp bảo mật mà người quản trị hệ
thống và người sử dụng có thể triển khai để bảo vệ thơng tin và dữ liệu quan trọng của
họ.
Qua việc tìm hiểu về Linux và các phương pháp bảo mật, chúng ta sẽ hiểu rõ hơn về
sức mạnh của cộng đồng mã nguồn mở, cũng như những thách thức mà mọi hệ thống
đều đối mặt trong việc duy trì tính an tồn và bảo mật. Bài tiểu luận này cũng sẽ đưa ra
những kiến thức thực tế và ví dụ minh họa để giúp người đọc áp dụng những nguyên
tắc này trong các kịch bản thực tế.
6
Báo cáo cuối kỳ Bảo Mật Thông Tin
GIỚI THIỆU VỀ BÁO CÁO
Báo cáo học phần môn bảo mật thông tin với đề tài bảo mật hệ điều hành linux của
nhóm chúng em bao gồm các nội dung với các chương như sau:
Chương 1: Tổng quan linux
Chương 2: Vai trò của hệ điều hành linux trong hệ thống thông tin
Chương 3: Khái niệm và khảo sát rủi ro bảo mật
Chương 4: demo
Chương 5: Giải pháp bảo mật
Chương 6: Tiêu chuẩn bảo mật cho linux
7
Báo cáo cuối kỳ Bảo Mật Thông Tin
Chương 1: tổng quan linux
1.1. Lịch sử về linux.
Linux bắt nguồn từ một hệ điều hành lớn hơn có tên là Unix. Unix là một trong những
hệ điều hành được sử dụng rộng rãi nhất thế giới do tính ổn định và khả năng hỗ trợ
của nó. Ban đầu hệ điều hành Unix đã được phát triển như một hệ điều hành đa nhiệm
cho các máy mini và các máy lớn (mainframe) trong những năm 70. Cho tới nay nó đã
được phát triển trở thành một hệ điều hành phổ dụng trên toàn thế giới, mặc dù với
giao diện chưa thân thiện và chưa được chuẩn hóa hồn tồn.
Linux là phiên bản Unix được cung cấp miễn phí, ban đầu được phát triển bởi Linus
Torvald năm 1991 khi còn là một sinh viên của trường đại học Helssinki Phần Lan.
Hiện nay, Linus làm việc tại tập đoàn Transmeta và tiếp tục phát triển nhân hệ điều
hành Linux (Linux kernel).
Khi Linux tung ra phiên bản miễn phí đầu tiên của Linux trên Internet, vơ tình đã tạo
ra một làn sóng phát triển phần mềm lớn nhất từ trước đến nay trên phạm vi toàn cầu.
Hiện nay, Linux được phát triển và bảo trì bởi một nhóm hàng nghìn lập trình viên
cộng tác chặt chẽ với nhau qua Internet. Nhiều công ty đã xuất hiện, cung cấp Linux
dưới dạng gói phần mềm dễ cài đặt, hoặc cung cấp các máy tính đã cài đặt sẵn Linux.
1.2. Cấu trúc.
Cấu trúc Linux phức tạp và đa dạng, bao gồm các thành phần quan trọng để đảm bảo
hoạt động ổn định và mượt mà của hệ thống.
Nhân (Kernel): Quản lý các tài nguyên phần cứng và định vị chúng để các chương
trình ứng dụng có thể truy cập và sử dụng một cách hiệu quả. Điều này đảm bảo rằng
hệ thống hoạt động một cách nhất quán và ổn định.
Shell: Mơi trường dịng lệnh là nơi người dùng có thể tương tác với hệ điều hành bằng
cách nhập các lệnh để thực thi các tác vụ cụ thể. Bash shell là một trong những shell
phổ biến nhất trong cộng đồng Linux, mang lại sự linh hoạt và tiện ích cho người
dùng.
Hệ thống tập tin: Quản lý và tổ chức các tập tin và thư mục trên hệ thống. Linux hỗ
trợ nhiều loại hệ thống tập tin, từ ext4, XFS cho đến NTFS, FAT32 và HFS+. Điều
này cho phép người dùng lựa chọn hệ thống tập tin phù hợp với nhu cầu và yêu cầu
của họ.
Các tiện ích và chương trình ứng dụng: Những phần mềm cung cấp các chức năng
cụ thể cho người dùng. Từ các chương trình biên dịch, trình duyệt web, trình soạn thảo
văn bản cho đến các ứng dụng đồ họa, Linux có sẵn một loạt các công cụ để đáp ứng
nhu cầu và sở thích của mọi người.
8
Báo cáo cuối kỳ Bảo Mật Thông Tin
Service Manager: Hệ thống quản lý các tiến trình và dịch vụ trên hệ thống Linux. Nó
giúp người dùng khởi động, dừng, quản lý và tương tác với các tiến trình và dịch vụ
một cách dễ dàng. Điều này đảm bảo rằng hệ thống hoạt động một cách hiệu quả và ổn
định.
1.3. Công dụng của linux.
Linux là một hệ điều hành đáng tin cậy và linh hoạt, đặc biệt là đối với các lập trình
viên và nhà phát triển phần mềm. Với việc sử dụng mã nguồn mở, Linux mang đến
cho người dùng sự tự do và linh hoạt trong việc tùy chỉnh và tùy biến hệ thống của
mình.
Các cơng dụng của hệ điều hành linux.
•
Tính khả dụng của mã nguồn mở cho phép bất kỳ ai cũng có thể xem, sửa đổi
và phân phối mã nguồn của hệ điều hành này. Điều này tạo ra một cộng đồng
phát triển mạnh mẽ, nơi mọi người có thể cùng nhau đóng góp vào việc cải
thiện và phát triển Linux.
•
Người dùng có khả năng điều chỉnh và điều chỉnh hệ thống của mình theo cách
mà họ muốn. Qua đó cho phép lập trình viên và nhà phát triển phần mềm tạo ra
môi trường làm việc tối ưu và tùy chỉnh để phù hợp với nhu cầu cụ thể của dự
án của họ.
•
Hỗ trợ một loạt các cơng cụ và ngơn ngữ lập trình phổ biến như C, C++, Python
và Java, giúp lập trình viên xây dựng ứng dụng và dịch vụ phần mềm một cách
dễ dàng.
9
Báo cáo cuối kỳ Bảo Mật Thông Tin
1.4. Hệ điều hành linux gồm mấy phiên bản và những phiên bản nào.
Có 6 phiên bản sau đây của hệ điều hành linux:
•
Ubuntu
•
Fedora
•
Debian
•
Linux Mint
•
CentOS linux
•
Mageia linux
•
OpenSUSE/SUSE Linux Enterprise
•
Puppy Linux
•
Slackware Linux
10
Báo cáo cuối kỳ Bảo Mật Thông Tin
1.5. Sự khác biệt giữa Linux và Windows.
Nếu đã biết Linux là gì và những ưu điểm của nó, hẳn bạn sẽ quan tâm đến sự khác
biệt giữa hệ điều hành này và Windows.
Bảng so sánh sự khác biệt giữa Linux và Windows như sau:
Linux
Window
Cấu trúc file
Cây dữ liệu
Thư mục
Registry
Khơng
Có
Trình quản lý gói
Quản lý gói
*.exe
Giao diện
Hồn tồn tách rời với hệ Gắn liền với hệ thống
thống
Tài khoản và quyền User
Regular,
Administrator Administrator,
(root), service
Child và Guest
Thiết lập khác
Phù hợp cho công việc
11
Standard,
Phù hợp với mọi nhu cầu
Báo cáo cuối kỳ Bảo Mật Thông Tin
Chương 2: Vai trị hệ điều hành linux trong hệ thống thơng tin
2.1. Vai trị của Linux trong các hệ thống thơng tin
Tổ chức, quản lý và vận hành các máy chủ, các dịch vụ trong hệ thống thông
tin.Tạo ra môi trường, cung cấp các cơng cụ, các chính sách giải pháp bảo vệ an tồn
thơng tin cho các tổ chức, doanh nghiệp và cá nhân. Linux là nền tảng chính trong việc
phát triển cơng nghệ điện tốn đám mây (Cloud Computing) và dữ liệu lớn (Big Data).
Linux được sử dụng để hỗ trợ cho các ứng dụng di động và các thiết bị nhúng là ngôi
nhà của hệ điều hành cho tất cả các loại giải pháp ảo hóa có sẵn, cho dù nền tảng hoặc
ảo hóa song song, ảo hóa hệ điều hành hay nhiều ý tưởng mơ hồ hơn như ảo hóa cộng
tác. Hiện nay, KVM của Linux hỗ trợ ảo hóa lồng nhau.
2.2. Hệ điều hành Linux có nhữngchức năng quan trọng trong nào hệ thống
thông tin
Hệ điều hành linux có nhiều chức năng quan trọng trong hệ thống thơng tin:
•
Kiểm sốt hiệu suất hệ thống: Hệ điều hành Linux giúp kiểm soát hiệu suất của
các thiết bị trong hệ thống thông tin, đảm bảo chúng hoạt động ổn định và hiệu quả
•
Quản lý bộ nhớ: Hệ điều hành Linux giúp quản lý bộ nhớ của các thiết bị trong
hệ thống thông tin, đảm bảo chúng hoạt động hiệu quả và tránh tình trạng q tải
•
Quản lý bộ xử lý: Hệ điều hành Linux giúp quản lý bộ xử lý của các thiết bị trong
hệ thống thông tin, đảm bảo chúng hoạt động hiệu quả và tránh tình trạng quá tải
•
Quản lý thiết bị: Hệ điều hành Linux giúp quản lý các thiết bị trong hệ thống
thông tin, đảm bảo chúng hoạt động ổn định và hiệu quả
•
Quản lý tập tin: Hệ điều hành Linux giúp quản lý các tập tin trong hệ thống thông
tin, đảm bảo chúng được tổ chức và sắp xếp một cách khoa học
2.3. Cách tối ưu hóa hiệu suất hệ thống Linux bằng cách nào?
Bạn có thể tối ưu hóa hiệu suất Linux thơng qua các chiến lược khác nhau để cải
thiện hiệu quả và việc sử dụng tài nguyên. Vì vậy, một số chiến lược là:
+ Cập nhật hệ thống theo phiên bản mới nhất hiện có.
+ Tối ưu hóa đĩa, kích hoạt bộ nhớ đệm và tối ưu hóa mẫu truy cập.
+ Quản lý việc sử dụng bộ nhớ và CPU.
+ Vô hiệu hóa các dịch vụ cần thiết và sử dụng các công cụ thay thế nhẹ hơn.
12
Báo cáo cuối kỳ Bảo Mật Thông Tin
+ Giám sát tài nguyên hệ thống thường xuyên.
+ Thực hiện điều chỉnh tham số Kernel.
+ Sử dụng các công cụ như Performance Co-Pilot (PCP) để giám sát hiệu suất ở cấp
hệ thống.
2.4. Ưu điểm và nhược điểm
Linux cịn có nhiều ưu điểm khác như tính linh hoạt, có thể hoạt động tốt trên các
máy tính cấu hình yếu và khơng tốn nhiều chi phí mua bản quyền. Tuy nhiên, Linux
cũng tồn tại những hạn chế như số lượng ứng dụng được hỗ trợ trên Linux còn hạn chế
và một số nhà sản xuất không phát triển driver hỗ trợ nền tảng Linux
Ưu điểm của Linux:
Tính ổn định: linux được biết đến với tính ổn định và độ tin cậy. Nó có thể chạy
trong thời gian dài mà không cần khởi động lại, điều này lý tưởng cho các hệ thống
quan trọng cần chạy liên tục.
Bảo mật: linuxcó mơ hình bảo mật mạnh mẽ bao gồm quyền truy cập tệp, tài khoản
người dùng và các tính năng bảo mật mạng. Điều này làm cho nó trở thành một lựa
chọn phổ biến cho các hệ thống yêu cầu mức độ bảo mật cao.
Khả năng mở rộng: linux có thể được mở rộng quy mơ để xử lý khối lượng cơng
việc lớn và có thể được sử dụng trên nhiều nền tảng phần cứng khác nhau.
Tính linh hoạt: linux có khả năng tùy biến cao và có thể được cấu hình để phù hợp
với nhiều nhu cầu khác nhau. Nó có thể được sử dụng cho mọi thứ từ hệ thống máy
tính để bàn đơn giản đến mơi trường máy chủ phức tạp.
Giao diện dịng lệnh: Giao diện dòng lệnh của linux cho phép tương tác mạnh mẽ
và hiệu quả với hệ thống.
Nhược điểm của Linux:
Độ phức tạp: linux có thể phức tạp và khó học đối với người dùng đã quen với giao
diện người dùng đồ họa (GUI).
Chi phí: Một số hệ thống linux có thể đắt tiền, đặc biệt khi so sánh với các lựa chọn
thay thế nguồn mở như Linux.
Thiếu tiêu chuẩn hóa: Có nhiều phiên bản linux khác nhau, điều này có thể gây khó
khăn cho việc đảm bảo tính tương thích giữa các hệ thống khác nhau.
Tính khả dụng của phần mềm hạn chế: Một số phần mềm chuyên dụng có thể
khơng có sẵn cho hệ thống linux.
13
Báo cáo cuối kỳ Bảo Mật Thông Tin
Đường cong học tập dốc: linux yêu cầu một mức độ kiến thức và chun mơn kỹ
thuật nhất định, điều này có thể gây khó khăn cho người dùng mới làm quen.
2.5. Hậu quả nếu hệ điều hành linux bị tấn công
Các hậu quả của một cuộc tấn công vào hệ điều hành Linux có thể rất nghiêm trọng và
đa dạng. Dưới đây là một số hậu quả phổ biến của các cuộc tấn công mạng:
+ Mất dữ liệu: Một cuộc tấn công có thể dẫn đến việc mất dữ liệu quan trọng hoặc bị
mã hóa bởi ransomware
+ Gián điệp: Kẻ tấn cơng có thể thu thập thơng tin nhạy cảm từ hệ thống của bạn, bao
gồm thông tin tài khoản, mật khẩu và dữ liệu khác
+ Phá hoại phần cứng: Một cuộc tấn cơng có thể làm hỏng phần cứng của máy tính của
bạn, gây ra thiệt hại về mặt vật lý và ngăn chặn bạn khởi động lại hệ thống
+ làm chậm hoặc ngưng trệ hoạt động: một cuộc tấn công có thể làm chậm hoặc ngưng
trệ hoạt động của hệ thống, gây ra sự cố và gián đoạn các quá trình kinh doanh.
14
Báo cáo cuối kỳ Bảo Mật Thông Tin
Chương 3: khái niệm và khảo sát rủi ro bảo mật.
3.1. Asset
Trong bảo mật thông tin Linux, tài sản là bất kỳ thứ gì có giá trị và có thể bị tổn hại
bởi hành động của bên thứ ba. Tài sản có thể là tài sản vật lý, tài sản kỹ thuật số hoặc
tài sản trí tuệ.
Một số ví dụ về tài sản trong bảo mật thông tin Linux bao gồm:
-Tài sản vật lý: máy tính, máy chủ, thiết bị mạng, cơ sở hạ tầng, v.v.
-Tài sản kỹ thuật số: dữ liệu, thông tin, ứng dụng, v.v.
-Tài sản trí tuệ: bí mật kinh doanh, sở hữu trí tuệ, v.v.
-Tài sản trí tuệ Linux
Các tài sản này có giá trị đối với cá nhân hoặc tổ chức sử dụng Linux vì chúng có thể
được sử dụng để kiếm lợi nhuận, tạo ra lợi thế cạnh tranh hoặc gây tổn hại cho đối thủ.
Do đó, cần phải bảo vệ các tài sản này khỏi các mối đe dọa bảo mật như tấn công
mạng, trộm cắp dữ liệu hoặc mất mát tài sản.
Việc xác định và đánh giá các tài sản là bước quan trọng trong việc xây dựng một
chương trình bảo mật thơng tin hiệu quả cho Linux. Bằng cách xác định tất cả các tài
sản của tổ chức, tổ chức có thể xác định các rủi ro bảo mật tiềm ẩn và thực hiện các
biện pháp kiểm soát phù hợp để giảm thiểu rủi ro.
Dưới đây là một số cách để bảo vệ tài sản trong bảo mật thông tin Linux:
- Áp dụng các biện pháp bảo mật vật lý, chẳng hạn như tường lửa, kiểm sốt truy cập
vật lý và mã hóa.
- Áp dụng các biện pháp bảo mật kỹ thuật số, chẳng hạn như mật khẩu mạnh, mã hóa
dữ liệu và kiểm soát truy cập mạng.
- Áp dụng các biện pháp bảo mật con người, chẳng hạn như đào tạo về bảo mật cho
nhân viên và thực thi chính sách bảo mật.
Việc bảo vệ tài sản trong bảo mật thông tin Linux là trách nhiệm của tất cả mọi người,
từ cá nhân đến tổ chức. Bằng cách phối hợp thực hiện các biện pháp bảo mật, chúng ta
có thể giúp giảm thiểu rủi ro bảo mật và bảo vệ các tài sản quan trọng của mình.
15
Báo cáo cuối kỳ Bảo Mật Thông Tin
3.2. Risk
Trong bảo mật thông tin Linux, risk (rủi ro) là khả năng xảy ra một sự kiện có hại và
tác động của sự kiện đó. Rủi ro bảo mật có thể xảy ra do các mối đe dọa, lỗ hổng hoặc
sự yếu kém.
Các mối đe dọa là những tác nhân gây hại cho tài sản, chẳng hạn như tin tặc, phần
mềm độc hại hoặc các cuộc tấn công mạng. Các lỗ hổng là những điểm yếu trong hệ
thống có thể bị khai thác bởi các mối đe dọa. Các sự yếu kém là những thiếu sót trong
hệ thống có thể dẫn đến rủi ro.
Rủi ro bảo mật Linux có thể gây ra những tác động tiêu cực đến tổ chức, chẳng hạn
như:
-Mất mát dữ liệu
-Lợi nhuận bị giảm sút
-Uy tín bị tổn hại
-Tuân thủ quy định bị vi phạm
Việc xác định và đánh giá rủi ro bảo mật là bước quan trọng trong việc xây dựng một
chương trình bảo mật thơng tin hiệu quả cho Linux. Bằng cách xác định tất cả các rủi
ro bảo mật tiềm ẩn, tổ chức có thể thực hiện các biện pháp kiểm soát phù hợp để giảm
thiểu rủi ro.
Dưới đây là một số cách để giảm thiểu rủi ro bảo mật Linux:
-Áp dụng các biện pháp kiểm soát bảo mật, chẳng hạn như tường lửa, mật khẩu mạnh
và mã hóa dữ liệu.
-Tiến hành đào tạo về bảo mật cho nhân viên.
-Thực hiện đánh giá bảo mật định kỳ.
Việc giảm thiểu rủi ro bảo mật là trách nhiệm của tất cả mọi người, từ cá nhân đến tổ
chức. Bằng cách phối hợp thực hiện các biện pháp giảm thiểu rủi ro, chúng ta có thể
giúp bảo vệ các tài sản quan trọng của mình.
Dưới đây là một số ví dụ cụ thể về rủi ro bảo mật Linux:
-Lỗ hổng bảo mật trong phần mềm: Lỗ hổng bảo mật trong phần mềm có thể bị khai
thác bởi tin tặc để chiếm quyền truy cập vào hệ thống hoặc đánh cắp dữ liệu.
-Tấn công mạng: Các cuộc tấn công mạng, chẳng hạn như tấn công DDoS hoặc tấn
công lừa đảo, có thể gây gián đoạn hoạt động của tổ chức hoặc đánh cắp dữ liệu.
16
Báo cáo cuối kỳ Bảo Mật Thông Tin
-Lỗi của con người: Lỗi của con người, chẳng hạn như sử dụng mật khẩu yếu hoặc cài
đặt sai cấu hình, có thể dẫn đến rủi ro bảo mật.
Các tổ chức sử dụng Linux nên thực hiện đánh giá rủi ro bảo mật định kỳ để xác định
và đánh giá các rủi ro bảo mật tiềm ẩn. Từ đó, tổ chức có thể thực hiện các biện pháp
kiểm soát phù hợp để giảm thiểu rủi ro.
3.3.Threat
Trong bảo mật thông tin Linux, threat (mối đe dọa) là bất kỳ thứ gì có khả năng gây
hại cho tài sản. Mối đe dọa có thể là tự nhiên, chẳng hạn như thiên tai, hoặc nhân tạo,
chẳng hạn như tin tặc.
Một số ví dụ về mối đe dọa bảo mật Linux bao gồm:
-Tin tặc: Tin tặc là những cá nhân hoặc nhóm người cố gắng xâm nhập vào hệ thống
hoặc mạng máy tính để đánh cắp dữ liệu, phá hoại hệ thống hoặc gây gián đoạn hoạt
động.
-Phần mềm độc hại: Phần mềm độc hại là phần mềm được thiết kế để gây hại cho hệ
thống hoặc mạng máy tính. Phần mềm độc hại có thể bao gồm virus, vi-rút, trojan,
phần mềm gián điệp và phần mềm quảng cáo.
-Tấn công mạng: Tấn công mạng là các nỗ lực cố ý để xâm nhập vào hệ thống hoặc
mạng máy tính. Các cuộc tấn cơng mạng có thể bao gồm tấn công DDoS, tấn công lừa
đảo, tấn công Zero-day và tấn công nâng cao.
-Lỗi của con người: Lỗi của con người, chẳng hạn như sử dụng mật khẩu yếu hoặc cài
đặt sai cấu hình, có thể dẫn đến rủi ro bảo mật.
-Các sự kiện tự nhiên: Các sự kiện tự nhiên, chẳng hạn như thiên tai, có thể gây mất
mát dữ liệu hoặc gián đoạn hoạt động của hệ thống.
Việc xác định và đánh giá các mối đe dọa bảo mật là bước quan trọng trong việc xây
dựng một chương trình bảo mật thơng tin hiệu quả cho Linux. Bằng cách xác định tất
cả các mối đe dọa bảo mật tiềm ẩn, tổ chức có thể thực hiện các biện pháp kiểm soát
phù hợp để giảm thiểu rủi ro.
Dưới đây là một số cách để giảm thiểu các mối đe dọa bảo mật Linux:
-Áp dụng các biện pháp kiểm soát bảo mật, chẳng hạn như tường lửa, mật khẩu mạnh
và mã hóa dữ liệu.
-Tiến hành đào tạo về bảo mật cho nhân viên.
-Thực hiện đánh giá bảo mật định kỳ.
17
