i
Trìnhbày:TS.VõVănKhang
NỘIDUNG
1.THÁCHTHỨCVỀATTT2013
2.NHỮNGNGUYÊNTẮCCƠBẢN
3.XÂYDỰNGMÔHÌNHPHÒNGTHỦ
4.XỬLÝCÁCHIỂMHỌA
1.THÁCHTHỨCATTT2013
• Sponsored - Espionage
- Mua chuộc nhân sự
- Mua bán thông tin
• DDOS
- Botnet
- Spyware
• Cloud Migration
- Mobile Access, users devices
- Social Network
Sophistication of
Hacker Tools
Packet Forging/
Spoofing
2000 1980
Password
Guessing
Self Replicating
Code
Password
Cracking
Exploiting Known
Vulnerabilities
Disabling
Audits
Back
Doors
Hijacking
Sessions
Sweepers
Sniffers
Stealth Diagnostics
Technical
Knowledge
Required
High
Low
2013
DDOS
New
Internet
Worms
4
1.THÁCHTHỨCATTT2013
2.NHỮNGNGUYÊNTẮCCƠBẢN
• Nguyên tắc CIA
- Tính bảo mật (Confidentiality)
- Tính sẵn sàng ( Availability)
- Tính nguyên vẹn và khả năng không thể từ chối (Integrity and
non - repudiation)
• Nguyên tắc giá trị thông tin
- Không có hệ thống an toàn tuyệt đối
• Nguyên tắc thời gian sống của thông tin
- Claude E. Shannon
2.NHỮNGNGUYÊNTẮCCƠBẢN
• Nguyên tắc 3A
- Authentication
- Authorization
- Accounting
• Murphy’sLaw
- Edward A. Murphy – 1949
“Iftherearetwoormorewaystodosomething,
and one of those ways can result in a
catastrophe,thensomeonewilldoit”
2.NHỮNGNGUYÊNTẮCCƠBẢN
• Common mistakes
- ATTT và chiến lược, phương thức kinh doanh sản xuất
- Tính tóan sai về khấu hao đầu tư
- Đánh giá sai về đối tượng và điểm yếu kỹ thuật
- Không có chính sách về ATTT
2.NHỮNGNGUYÊNTẮCCƠBẢN
3.MÔHÌNHPHÒNGTHỦ
Internet
Telecommuters
Mobile
Users
Branch
Office
Business
Partner
Internet-Based
Extranet (VPN)
PSTN
Internet-Based
Intranet (VPN)
Branch
Office
Open Network
3.MÔHÌNHPHÒNGTHỦ
3.MÔHÌNHPHÒNGTHỦ
1. Đánhgiávàphânloạidữliệu
2. XâydựngSecurityPolicy
3. Hệthốnghóathiếtbịhạtầng,quyhoạchkếtnối
4. Lênkếhoạchcáccôngcụ,ứngdụngsẽtriểnkhai,sosách
vớichiếnlượckinhdoanh
5. Thiếtkếchitiếthệthống
6. Đánhgiávềbảomật
7. Xửlýđiểmyếu
8. ĐánhgiáchỉnhsửaPolicy(PDCA)
Security Policy
OS, Update Mngt, Authentication, SIEM
Firewall, VPN, Routers
Lock, Camera
VLAN, IPS/IDS
Application Control, Antivirus
Access Control, Encryption, backup
Physical
Perimeter
Internal
Host
Application
Data
3.MÔHÌNHPHÒNGTHỦ
ISMS, ISO 2700x
3.MÔHÌNHPHÒNGTHỦ
3.MÔHÌNHPHÒNGTHỦ
4.XỬLÝRỦIRO
Những rủi ro có xác suất xảy ra và mang lại tác hại cho hệ
thống trong tương lai được xếp loại:
• High Risk – là rủi ro có xác suất cao và thiệt hại lớn
• Medium Risk – xác xuất thấp hoặc thiệt hại nhỏ
• Low Risk – Khó xảy ra và thiệt hại không đáng kể
4.XỬLÝRỦIRO
Risk management là quá trình bao gồm 4 bước cơ bản sau:
• risk assessment – Đánh giá rủi ro,
• risk acceptance – Nhận diện rủi ro,
• risk treatment – Sử lý rủi ro,
• risk communication – Theo dõi, thông báo.
risk assessment bao gồm 2 kỹ thuật:
• Phân tích rủi ro (risk analysis)
• Đo lường rủi ro (risk evaluation)
4.XỬLÝRỦIRO
Risk treatment – là quá trình đưa ra quyết định xử lý từng
rủi ro và có ít nhất 4 lựa chọn sau:
• accept the risk – chấp nhận
• avoid the risk – Ngăn ngừa
• transfer the risk – Chuyển đổi
• reduce the risk – Giảm thiểu