HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
AN NINH MẠNG
(Dùng cho sinh viên hệ đào tạo đại học từ xa)
Lưu hành nội bộ
2008
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
AN NINH MẠNG
Biên soạn : HUỲNH THANH HÒA
Tổng quan về an toàn bảo mật.
An toàn hệ thống thông tin là gì ?
Mục tiêu bảo vệ hệ thống thông tin.
Các yêu cầu an toàn bảo mật hệ thống
thông tin : có 4 yêu c
ầu chính
Đảm bảo tính tin cậy
(Confidentiality)
:
Thông tin không th
ể bị truy nhập trái
phép b
ởi những người không có thẩm
quy
ền.
Đảm bảo tính nguyên vẹn
(Integrity)
:
Thông tin không th
ể bị sửa đổi, bị làm
gi
ả bởi những người không có thẩm
quy
ền.
Đảm bảo tính sẵn sàng
(Availability)
:
Thông tin luôn s
ẵn sàng để đáp ứng sử
dụng cho người có thẩm quyền
Đảm bảo tính không thể từ chối (
Non-
repudiation
): Thông tin được cam
k
ết về mặt pháp luật của người cung
c
ấp.
Các nguyên tắc cơ bản khi thiết kế các
gi
ải pháp bảo vệ hệ thống thông tin.
Các bước xây dựng "chương trình bảo
v
ệ thông tin" : có 6 bước
Xây dựng chính sách an toàn thông tin
(Policy).
Phân tích rủi ro trong hệ thống thông tin
(Risk Analysis).
Xây dựng các biện pháp phòng chống
(Prevention).
Xây dựng các biện pháp phát hiện
(Detection).
Xây dựng các biện pháp đáp ứng - phản
ứng (Response).
Xây dựng "văn hoá" cảnh giác (Vigilance).
Xây dựng chính sách an toàn
thông tin
Bộ chính sách ATTT nhằm xác định:
Confidentiality (Tính b
ảo mật), Integrity
(Tính toàn v
ẹn), Availability (Tính sẵn
sàng).
Ví dụ: một chính sách ATTT
Phân tích - đánh giá rủi ro
Các mối đe doạ (Threats).
Các điểm yếu (Vulnerabilites).
Các rủi ro (Risk).
Hiện trạng an toàn bảo mật.
Nhận thức và đầu tư cho Security.
Mục tiêu và nguồn gốc của tấn
công
Thiệt hại.
Tính trung bình số tiền thiệt hại của các tổ
chức, doanh nghiệp và các dịch vụ được
th
ống kê trong bảng dưới đây:
Tổng số tiền thiệt hại hàng năm của các
t
ổ chức doanh nghiệp được thống kê
trong b
ảng sau:
Các kiểu tấn công và thiệt hại
Denial of Service
Virus
Unauthorized insider access
Các công nghệ được lựa chọn
Bức tường lửa (Firewall)
Phòng chống virus
Bảo vệ vật lý
hệ thống phát hiện xâm nhập (IDS).
* Mô Hình Bảo Mật
THANKS
TIÊU CHUẨN AN TOÀN MẠNG
An toàn thông tin là các biện pháp nhằm đảm
b
ảo tính bí mật (confidentiality), tính toàn vẹn
(integrity) và tính s
ẵn sàng (availability) của
thông tin.
ISO 17799: Mục tiêu của BS7799 / ISO 17799
là “t
ạo nền móng cho sự phát triển các tiêu
chu
ẩn về ATTT và các biện pháp quản lý
ATTT hi
ệu quả trong một tổ chức , đồng thời
t
ạo ra sự tin cậy trong các giao dịch liên tổ
chức”
ISO 17799 nhằm để thiết lập hệ thống quản
lý b
ảo mật thông tin, gồm các bước như
sau:
a) Xác định phạm vi và ranh giới của hệ
thống ISMS phù hợp với đặc điểm của
ho
ạt động kinh doanh, việc tổ chức, vị trí
địa lý, tài sản và công nghệ, và bao gồm
các chi ti
ết của chúng và các minh chứng
cho các lo
ại trừ trong phạm vi áp dụng.
b) Xác định một chính sách của hệ thống bảo
m
ật phù hợp với đặc điểm của hoạt động
kinh doanh, vi
ệc tổ chức, vị trí địa lý, tài sản
và công ngh
ệ mà:
1) Bao gồm cơ cấu cho việc thiết lập các
m
ục tiêu và xây dựng ý thức chung trong
định hướng và các nguyên tắc hành động
v
ề bảo mật thông tin.