Ths. Trần Văn Thanh
Ths. Trần Văn Thanh
E-mail:
E-mail:
B o M t Thông tinả ậ
(Information Security)
N i dung môn h cộ ọ
Chương 1: Tổng quan về bảo mật thông tin.
Chương 1: Tổng quan về bảo mật thông tin.
Chương 2: Tổ chức bảo mật
Chương 2: Tổ chức bảo mật
Chương 3: Chính sách bảo mật
Chương 3: Chính sách bảo mật
Chương 4: Bảo mật dữ liệu và an tòan thông tin
Chương 4: Bảo mật dữ liệu và an tòan thông tin
Chương 5: Bảo vệ hệ thống của tổ chức và mạng
Chương 5: Bảo vệ hệ thống của tổ chức và mạng
nội bộ
nội bộ
Chương 6: Bảo mật thông tin trong thương mại
Chương 6: Bảo mật thông tin trong thương mại
điện tử
điện tử
Tài li u tham kh oệ ả
1.
1.
Bảo mật và các kỹ thuật bảo vệ hệ thống máy tính – Nhà
Bảo mật và các kỹ thuật bảo vệ hệ thống máy tính – Nhà
xuất bản GTVT
xuất bản GTVT
2.

2.
D:\DATA\Data\e-commerce\E-Commerce\document\bao mat
D:\DATA\Data\e-commerce\E-Commerce\document\bao mat
thong tin\index.html
thong tin\index.html
3.
3.
D:\DATA\Data\e-commerce\E-Commerce\document\bao mat
D:\DATA\Data\e-commerce\E-Commerce\document\bao mat
thong tin\an_toan_bao_mat_20050305_114625.rar
thong tin\an_toan_bao_mat_20050305_114625.rar
4.
4.
D:\DATA\Data\e-commerce\E-Commerce\document\bao ma
D:\DATA\Data\e-commerce\E-Commerce\document\bao ma
t thong tin\ISO-IEC_17799_2005_20060216_214623.rar
t thong tin\ISO-IEC_17799_2005_20060216_214623.rar
5.
5.
D:\DATA\Data\e-commerce\E-Commerce\document\bao mat
D:\DATA\Data\e-commerce\E-Commerce\document\bao mat
thong tin\Hacker_va_Bao_mat_20421.rar
thong tin\Hacker_va_Bao_mat_20421.rar
6.
6.
D:\DATA\Data\e-commerce\E-Commerce\document\bao mat
D:\DATA\Data\e-commerce\E-Commerce\document\bao mat
thong tin\Manual_90647.rar
thong tin\Manual_90647.rar
Đánh giá môn h cọ

-
Thi gi a kỳ : 30% - V n đáp (Đã có bài ữ ấ
Thi gi a kỳ : 30% - V n đáp (Đã có bài ữ ấ
t p cho tham kh o tr c).ậ ả ướ
t p cho tham kh o tr c).ậ ả ướ
-
Thi cu i kỳ: 70% - V n đáp : Xây d ng ố ấ ự
Thi cu i kỳ: 70% - V n đáp : Xây d ng ố ấ ự
chính sách b o m t thông tin c a websiteả ậ ủ
chính sách b o m t thông tin c a websiteả ậ ủ
Ch ng 1: T ng quan v b o m t ươ ổ ề ả ậ
thông tin
1.1 B o m t thông tin là gì?ả ậ
1.1 B o m t thông tin là gì?ả ậ
1.2
1.2
Ch ng 2: T ch c b o m tươ ổ ứ ả ậ
Ch ng 2: T ch c b o m tươ ổ ứ ả ậ
Ch ng 3: Chính sách b o m tươ ả ậ
Ch ng 3: Chính sách b o m tươ ả ậ
Ch ng 4: B o m t d li u và an tòan thông ươ ả ậ ữ ệ
Ch ng 4: B o m t d li u và an tòan thông ươ ả ậ ữ ệ
tin
tin
Ch ng 5: B o v h th ng c a t ch c và ươ ả ệ ệ ố ủ ổ ứ
Ch ng 5: B o v h th ng c a t ch c và ươ ả ệ ệ ố ủ ổ ứ
m ng n i bạ ộ ộ
m ng n i bạ ộ ộ
Ch ng 6: B o m t thông tin trong th ng ươ ả ậ ươ
Ch ng 6: B o m t thông tin trong th ng ươ ả ậ ươ

m i đi n tạ ệ ử
m i đi n tạ ệ ử
B o m t thông tin là gì?ả ậ
•


Thông tin (Information): Nh nh ng tài s n quan ư ữ ả
Thông tin (Information): Nh nh ng tài s n quan ư ữ ả
tr ng khác c a doanh nghi p, thông tin c ng là m t ọ ủ ệ ủ ộ
tr ng khác c a doanh nghi p, thông tin c ng là m t ọ ủ ệ ủ ộ
tài s n.ả
tài s n.ả
•


Thông tin có th t n t i d i nhi u d ng khác nhau, ể ồ ạ ướ ề ạ
Thông tin có th t n t i d i nhi u d ng khác nhau, ể ồ ạ ướ ề ạ
nh ng b t c d ng nào nó cũng đ c chia s , l u ư ấ ứ ở ạ ượ ẽ ư
nh ng b t c d ng nào nó cũng đ c chia s , l u ư ấ ứ ở ạ ượ ẽ ư
tr và c n đ c b o v .ữ ầ ượ ả ệ
tr và c n đ c b o v .ữ ầ ượ ả ệ
•


B o m t thông tin là b o v thông tin tránh kh i các ả ậ ả ệ ỏ
B o m t thông tin là b o v thông tin tránh kh i các ả ậ ả ệ ỏ
đe d a nh m đ m b o liên t c các h at đ ng kinh ọ ằ ả ả ụ ọ ộ
đe d a nh m đ m b o liên t c các h at đ ng kinh ọ ằ ả ả ụ ọ ộ
doanh, gi m thi u rũi ro, t i đa hóa ROI và các c h i ả ể ố ơ ộ
doanh, gi m thi u rũi ro, t i đa hóa ROI và các c h i ả ể ố ơ ộ

kinh doanh.
kinh doanh.
Data = Golden + Diamon
CORE BUSINESS
PEOPLE
NETWORK
Securing
Securing
The
The
Enterprise
Enterprise
Mobile
Mobile
User
User
Internal Network
Internal Network
Mainframes
Mainframes
Servers
Servers
External
External
Network
Network
What to secure?
Remote
Remote

User
User
Databases
Databases
Desktops
Desktops
Employees
Employees
Vendors
Vendors
Customers
Customers
Partners
Partners
B o m t thông tin là gì?ả ậ
•


B o m t thông tin ph i đ m b o:ả ậ ả ả ả
B o m t thông tin ph i đ m b o:ả ậ ả ả ả
-
Tính b o m t: C n ph i h n ch s truy xu t đ n các ả ậ ầ ả ạ ế ự ấ ế
Tính b o m t: C n ph i h n ch s truy xu t đ n các ả ậ ầ ả ạ ế ự ấ ế
đ i t ng (thông tin, quy trình). ố ượ
đ i t ng (thông tin, quy trình). ố ượ
-
Tính tòan v n d li u: Giám sát s thay đ i ẹ ữ ệ ự ổ
Tính tòan v n d li u: Giám sát s thay đ i ẹ ữ ệ ự ổ
-

Tính s n sàng:ẳ
Tính s n sàng:ẳ
-
Tính đúng pháp lu t:Thông tin đ c t p h p, đ c x ậ ượ ậ ợ ượ ử
Tính đúng pháp lu t:Thông tin đ c t p h p, đ c x ậ ượ ậ ợ ượ ử
lý và s d ng đúng quy đ nh pháp lu t ử ụ ị ậ
lý và s d ng đúng quy đ nh pháp lu t ử ụ ị ậ
T i sao ph i b o m t thông tin ?ạ ả ả ậ
•


Vi c s d ng r ng rãi các thông tin đi n t .ệ ử ụ ộ ệ ử
Vi c s d ng r ng rãi các thông tin đi n t .ệ ử ụ ộ ệ ử
•


Các thông tin c a doanh nghi p bao g m :Thông tin ủ ệ ồ
Các thông tin c a doanh nghi p bao g m :Thông tin ủ ệ ồ
k tóan, khách hàng, s n ph m, h p đ ng, báo cáo tài ế ả ẩ ợ ồ
k tóan, khách hàng, s n ph m, h p đ ng, báo cáo tài ế ả ẩ ợ ồ
chính…
chính…
•
Các đ i th c nh tranh s làm gì khi có đ c nh ng ố ủ ạ ẽ ượ ữ
Các đ i th c nh tranh s làm gì khi có đ c nh ng ố ủ ạ ẽ ượ ữ
thông tin trên?
thông tin trên?
•



Đ m b o s tin c y c a khách hàngả ả ự ậ ủ
Đ m b o s tin c y c a khách hàngả ả ự ậ ủ
T i sao ph i b o m t thông tin ?ạ ả ả ậ
•


Nh ng tác nhân :ữ
Nh ng tác nhân :ữ
-


L i do con ng i: 52%; k x u :10%; h a ho n: 15%; ỗ ườ ẻ ấ ỏ ạ
L i do con ng i: 52%; k x u :10%; h a ho n: 15%; ỗ ườ ẻ ấ ỏ ạ
lũ l t: 10%; kh ng b 3%;ụ ủ ố
lũ l t: 10%; kh ng b 3%;ụ ủ ố
-


Ai là ng i gây ra s h ng hóc: nhân viên hi n t i: ườ ự ỏ ệ ạ
Ai là ng i gây ra s h ng hóc: nhân viên hi n t i: ườ ự ỏ ệ ạ
81%; t bên ngòai: 13%; c u nhân viên: 6%.ừ ự
81%; t bên ngòai: 13%; c u nhân viên: 6%.ừ ự
-


Các l ai t i ph m máy tính: ăn tr m ti n: 44%; phá ọ ộ ạ ộ ề
Các l ai t i ph m máy tính: ăn tr m ti n: 44%; phá ọ ộ ạ ộ ề
h y ph n m m: 16%; tr m thông tin: 16%; thay đ i d ủ ầ ề ộ ổ ữ
h y ph n m m: 16%; tr m thông tin: 16%; thay đ i d ủ ầ ề ộ ổ ữ
li u: 12%; t n công các d ch v : 10%; xâm ph m đ i ệ ấ ị ụ ạ ờ

li u: 12%; t n công các d ch v : 10%; xâm ph m đ i ệ ấ ị ụ ạ ờ
t : 2%. ư
t : 2%. ư
There is a Growing Need for Security…
Security Technologies – Which One?
Các d ng nhu c u b o m t ?ạ ầ ả ậ
•


S b o m t.ự ả ậ
S b o m t.ự ả ậ
•


Xác minh/Tính xác th cự
Xác minh/Tính xác th cự
•
Ch u trách nhi m/Ki m tra-Giám sátị ệ ể
Ch u trách nhi m/Ki m tra-Giám sátị ệ ể
•


Đi u khi n vi c truy c pề ể ệ ậ
Đi u khi n vi c truy c pề ể ệ ậ
•



S dùng l i d li u.ự ạ ữ ệ
S dùng l i d li u.ự ạ ữ ệ
•
Tính chính xác/ Tòan v n d li uẹ ữ ệ
Tính chính xác/ Tòan v n d li uẹ ữ ệ
•
An tòan trong trao đ i d li uổ ữ ệ
An tòan trong trao đ i d li uổ ữ ệ
•
Tính s n sàng d li u và các d ch vẳ ữ ệ ị ụ
Tính s n sàng d li u và các d ch vẳ ữ ệ ị ụ
•
Giá tr c a thông tin và các quy trình nên đ c ị ủ ượ
Giá tr c a thông tin và các quy trình nên đ c ị ủ ượ
bi t, phân tích môi tr ng rũi ro hi n t i, t đó ế ườ ệ ạ ừ
bi t, phân tích môi tr ng rũi ro hi n t i, t đó ế ườ ệ ạ ừ
có các bi n pháp phòng chóng thích h p có th ệ ợ ể
có các bi n pháp phòng chóng thích h p có th ệ ợ ể
th c hi n. ự ệ
th c hi n. ự ệ
•
C n ph i cân b ng trong vi c xây d ng b o m t ầ ả ằ ệ ự ả ậ
C n ph i cân b ng trong vi c xây d ng b o m t ầ ả ằ ệ ự ả ậ
(quá nhi u vi c h n ch ng i dùng, chi phí cao) ề ệ ạ ế ườ
(quá nhi u vi c h n ch ng i dùng, chi phí cao) ề ệ ạ ế ườ
và b o m t quá th p (không h n ch ng i dùng, ả ậ ấ ạ ế ư ờ
và b o m t quá th p (không h n ch ng i dùng, ả ậ ấ ạ ế ư ờ
nhi u m i nguy hi m, chi phí th p).ề ố ể ấ
nhi u m i nguy hi m, chi phí th p).ề ố ể ấ

Evaluating Authentication
Types
Source: Gartner Group
Cost of
Cost of
Deployment
Deployment
Ease of Use
Ease of Use
Lowest
Lowest
Highest
Highest
Highest
Highest
H
i
g
h
e
s
t
H
i
g
h
e
s
t

L
o
w
e
s
t
L
o
w
e
s
t
Highest
Highest
Confidence in Authentication
Confidence in Authentication
Lowest
Lowest
L
o
w
e
s
t
L
o
w
e
s
t

Value of
Value of
Transaction
Transaction
Smart cards with certificate and biometrics
Smart cards with certificate and biometrics
Smart cards with digital certificate and PIN
Smart cards with digital certificate and PIN
Smart cards with static passwords and PIN
Smart cards with static passwords and PIN
PIN tokens
PIN tokens
Digital certificates with PIN
Digital certificates with PIN
Passwords, strong policy, single sign-on
Passwords, strong policy, single sign-on
Passwords, strong policy
Passwords, strong policy
Plain passwords, no enforced policy
Plain passwords, no enforced policy
T i sao c n có chính sách b o m t ?ạ ầ ả ậ
•


Chính sách b o m t là k thu t ngăn ch n b o v ả ậ ỹ ậ ặ ả ệ
Chính sách b o m t là k thu t ngăn ch n b o v ả ậ ỹ ậ ặ ả ệ
các quy trình và d li u quan tr ng c a công ty. Đó là ữ ệ ọ ủ
các quy trình và d li u quan tr ng c a công ty. Đó là ữ ệ ọ ủ
vi c truy n đ t các chu n b o m t đ n ng i dùng, ệ ề ạ ẩ ả ậ ế ườ
vi c truy n đ t các chu n b o m t đ n ng i dùng, ệ ề ạ ẩ ả ậ ế ườ

nhà qu n lý, nhân viên k thu t. Chính sách b o m t ả ỹ ậ ả ậ
nhà qu n lý, nhân viên k thu t. Chính sách b o m t ả ỹ ậ ả ậ
ph i đ m b o:ả ả ả
ph i đ m b o:ả ả ả
–


Đo l ng m c đ b o m t c a h th ng hi n t i.ườ ứ ộ ả ậ ủ ệ ố ệ ạ
Đo l ng m c đ b o m t c a h th ng hi n t i.ườ ứ ộ ả ậ ủ ệ ố ệ ạ
–


Xác đ nh ph ng th c giao ti p v i các đ i tác bên ngòai.ị ươ ứ ế ớ ố
Xác đ nh ph ng th c giao ti p v i các đ i tác bên ngòai.ị ươ ứ ế ớ ố
–


Có các th t c pháp lý b t bu c đ b o v d li u c a nhân ủ ụ ắ ộ ể ả ệ ữ ệ ủ
Có các th t c pháp lý b t bu c đ b o v d li u c a nhân ủ ụ ắ ộ ể ả ệ ữ ệ ủ
viên và khách hàng
viên và khách hàng
–


Tuân theo các chu n b o m t qu c t .ẩ ả ậ ố ế
Tuân theo các chu n b o m t qu c t .ẩ ả ậ ố ế