Tải bản đầy đủ (.pdf) (18 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

NHỮNG NGUYÊN TẮC CƠ BẢN XÂY DỰNG HỆ THỐNG ATTT TRONG DOANH NGHIỆP

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.6 MB, 18 trang )

i
Trìnhbày:TS.VõVănKhang

NỘIDUNG
1.THÁCHTHỨCVỀATTT2013
2.NHỮNGNGUYÊNTẮCCƠBẢN
3.XÂYDỰNGMÔHÌNHPHÒNGTHỦ
4.XỬLÝCÁCHIỂMHỌA
1.THÁCHTHỨCATTT2013
• Sponsored - Espionage
- Mua chuộc nhân sự
- Mua bán thông tin
• DDOS
- Botnet
- Spyware
• Cloud Migration
- Mobile Access, users devices
- Social Network

Sophistication of
Hacker Tools
Packet Forging/
Spoofing
2000 1980
Password
Guessing
Self Replicating
Code
Password
Cracking
Exploiting Known


Vulnerabilities
Disabling
Audits
Back
Doors
Hijacking
Sessions
Sweepers
Sniffers
Stealth Diagnostics
Technical
Knowledge
Required
High
Low
2013
DDOS
New
Internet
Worms
4
1.THÁCHTHỨCATTT2013
2.NHỮNGNGUYÊNTẮCCƠBẢN
• Nguyên tắc CIA
- Tính bảo mật (Confidentiality)
- Tính sẵn sàng ( Availability)
- Tính nguyên vẹn và khả năng không thể từ chối (Integrity and
non - repudiation)
• Nguyên tắc giá trị thông tin
- Không có hệ thống an toàn tuyệt đối

• Nguyên tắc thời gian sống của thông tin
- Claude E. Shannon

2.NHỮNGNGUYÊNTẮCCƠBẢN
• Nguyên tắc 3A
- Authentication
- Authorization
- Accounting
• Murphy’sLaw
- Edward A. Murphy – 1949

“Iftherearetwoormorewaystodosomething,
and one of those ways can result in a
catastrophe,thensomeonewilldoit”
2.NHỮNGNGUYÊNTẮCCƠBẢN
• Common mistakes
- ATTT và chiến lược, phương thức kinh doanh sản xuất
- Tính tóan sai về khấu hao đầu tư
- Đánh giá sai về đối tượng và điểm yếu kỹ thuật
- Không có chính sách về ATTT
2.NHỮNGNGUYÊNTẮCCƠBẢN
3.MÔHÌNHPHÒNGTHỦ
Internet
Telecommuters
Mobile
Users
Branch
Office
Business
Partner

Internet-Based
Extranet (VPN)
PSTN
Internet-Based
Intranet (VPN)
Branch
Office
Open Network
3.MÔHÌNHPHÒNGTHỦ
3.MÔHÌNHPHÒNGTHỦ
1. Đánhgiávàphânloạidữliệu
2. XâydựngSecurityPolicy
3. Hệthốnghóathiếtbịhạtầng,quyhoạchkếtnối
4. Lênkếhoạchcáccôngcụ,ứngdụngsẽtriểnkhai,sosách
vớichiếnlượckinhdoanh
5. Thiếtkếchitiếthệthống
6. Đánhgiávềbảomật
7. Xửlýđiểmyếu
8. ĐánhgiáchỉnhsửaPolicy(PDCA)
Security Policy
OS, Update Mngt, Authentication, SIEM
Firewall, VPN, Routers
Lock, Camera
VLAN, IPS/IDS
Application Control, Antivirus
Access Control, Encryption, backup
Physical
Perimeter
Internal
Host

Application
Data
3.MÔHÌNHPHÒNGTHỦ
ISMS, ISO 2700x
3.MÔHÌNHPHÒNGTHỦ
3.MÔHÌNHPHÒNGTHỦ
4.XỬLÝRỦIRO
Những rủi ro có xác suất xảy ra và mang lại tác hại cho hệ
thống trong tương lai được xếp loại:

• High Risk – là rủi ro có xác suất cao và thiệt hại lớn
• Medium Risk – xác xuất thấp hoặc thiệt hại nhỏ
• Low Risk – Khó xảy ra và thiệt hại không đáng kể
4.XỬLÝRỦIRO
Risk management là quá trình bao gồm 4 bước cơ bản sau:
• risk assessment – Đánh giá rủi ro,
• risk acceptance – Nhận diện rủi ro,
• risk treatment – Sử lý rủi ro,
• risk communication – Theo dõi, thông báo.
risk assessment bao gồm 2 kỹ thuật:
• Phân tích rủi ro (risk analysis)
• Đo lường rủi ro (risk evaluation)
4.XỬLÝRỦIRO
Risk treatment – là quá trình đưa ra quyết định xử lý từng
rủi ro và có ít nhất 4 lựa chọn sau:

• accept the risk – chấp nhận
• avoid the risk – Ngăn ngừa
• transfer the risk – Chuyển đổi
• reduce the risk – Giảm thiểu


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×