Tải bản đầy đủ (.pptx) (25 trang)

Báo cáo: Xây dựng quy định về sử dụng ứng dụng và quy trình đảm bảo an toàn cho hệ thống

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.15 MB, 25 trang )

An tồn bảo mật hệ thống thơng tin
An tồn bảo mật hệ thống thông tin

Xây dựng quy định về sử dụng ứng dụng và quy trình đảm bảo
an tồn cho hệ thống.

L/O/G/O

1
www.trungtamtinhoc.edu.vn


Nội dung





1. Tầm quan trọng của an tồn bảo mật đối với hệ thơng thơng tin.
2. Các tiêu chuẩn chính sách an tồn thơng tin (ISO/IEC 27001)
3. Phân tích, đưa ra các chính sách tiêu chuẩn trong việc xây dựng và sử
dụng trang web khoa công nghệ thông tin – Học viện Kỹ thuật Quân sự.

2
www.trungtamtinhoc.edu.vn


Sự phát triển của ứng dụng công nghệ thông tin trong đời sống, kinh tế, xã hội.
Sự phát triển của ứng dụng công nghệ thông tin trong đời sống, kinh tế, xã hội.





Phát triển nhanh cả về số lượng và chất lượng
Ứng dụng ngày một áp dụng rộng rãi trong tất cả các lĩnh vực về mọi mặt đời sống kinh tế
xã hội



Một phần thiết yếu khơng thể thiếu, phục vụ đời sống con người, nâng cao chất lượng cuộc
sống.




Phục vụ cho nghiên cứu khoa học
Ứng dụng thực tiễn thúc đẩy kinh tế, văn hóa, xã hội phát triển.

3
www.trungtamtinhoc.edu.vn


An tồn an ninh trong cơng nghệ thơng tin
An tồn an ninh trong công nghệ thông tin
Sự phát triển của cơng nghệ thơng tin mang lại nhiều lợi ích cho cuộc sống con người song còn tồn tại
nhiều vấn đề cần phải quan tâm, một trong số đó là an tồn thơng tin.
+) Nguy cơ rị rỉ, mất an tồn thông tin
+) Thường dễ dàng bị tấn công, làm mất thông tin hoặc sập đổ hệ thống dẫn đến mất dữ liệu, gây hậu quả
lớn.
+) Các lĩnh vực nhạy cảm như quốc phịng an ninh, tài chính, tiền tệ cũng sử dụng công nghệ thông tin để
phục vụ hoạt động của tổ chức mình, chính vì thế cần phải thực sự chú trọng đến phát triển và đầu tư cho vấn đề

đảm bảo an ninh thông tin.

4
www.trungtamtinhoc.edu.vn


An tồn an ninh trong cơng nghệ thơng tin
An tồn an ninh trong công nghệ thông tin

* Thực trạng tại Việt Nam.

-

Đảm bảo an ninh thông tin cho một hệ thống là khó để kiểm sốt, chi phí lớn, lợi nhuận khơng nhìn thấy
ngay nên ở Việt Nam các doanh nghiệp tổ chức cơ quan dường như không để tâm và hạn chế đầu tư cho
lĩnh vực này, hậu quả :
+) Nửa đầu tháng 9/2014, có tổng cộng 1039 website bị tấn công, các cuộc tấn công chủ yếu đến từ Trung

Quốc.

Nhu cầu cấp thiết cần phải xây dựng các ứng dụng có tính chống chịu cao và xây dựng các quy định chung cho
việc

5
www.trungtamtinhoc.edu.vn


An tồn an ninh trong cơng nghệ thơng tin
An tồn an ninh trong cơng nghệ thơng tin




Con người và kỹ thuật là hai mắt xích quan trọng trong các mắt xích góp phần đến sự ảnh hưởng của an tồn thơng tin.



Con người là khâu yếu nhất cần được chú trọng nhất.



Ở Việt Nam, các doanh nghiệp và tổ chức hiểu an tồn hệ thống thơng tin là khái niệm thuộc về công nghệ, nên chỉ tập trung và việc đầu tư các
thiết bị phần cứng, nâng cấp hệ thống, xây dựng giải pháp, tái cấu trúc hệ thống vật lý… Trong đó những vấn đề mang tính quyết định trong an
tồn thơng tin thì các tổ chức chưa thực sự quan tâm, cụ thể như:
+)Chính sách an tồn thơng tin chưa được hoạch định bài bản.
+) Trách nhiệm an tồn thơng tin chưa được giao rõ ràng và chi tiết đến mỗi bộ phận, đến mỗi loại thông tin
+) Chưa có kế hoạch, phương án xử lý rủi ro khi xuất hiện mối đe dọa an tồn thơng tin.
+) Việc truyền thơng an tồn thơng tin trong tổ chức chưa được phổ biến, tập huấn đầy đủ đến các cấp quản lý, đến mỗi nhân viên.

6
www.trungtamtinhoc.edu.vn


An tồn an ninh trong cơng nghệ thơng tin
An tồn an ninh trong cơng nghệ thơng tin



Cũng giống như ngồi xã hội, muốn xã hội được phát triển ổn định, bình thường, khơng có các tệ nạn và vi
phạm pháp luật để ảnh hưởng đến môi trường sống của xã hội thì người ta sử dụng các luật để là căn cứ cho
người dân biết những việc nào không được làm, vừa mang tính răn đe để biết được hậu quả của việc vi

phạm đó sẽ sợ mà khơng làm.



Trong an tồn an ninh thơng tin người ta cũng đưa ra các chính sách, tiêu chuẩn và các quy định về sử dụng
ứng dụng, quy trình đảm bảo an tồn cho hệ thống, hạn chế những thói quen xấu như:




Thao tác cập nhật tin tức trên mạng xã hội
Thói quen sử dụng các thiết bị

7
www.trungtamtinhoc.edu.vn


Chính sách an tồn thơng tin.
Khái niệm về chính sách an tồn thơng tin:



Một chính sách là phát biểu mức cao của niềm tin, mục tiêu, đối tượng của công ty và nghĩa chung cho mục
tiêu cần đạt được trong một lĩnh vực. Đối với các hệ thống, tùy vào mức độ quan trọng, tùy vào quy trình xử
lý nghiệp vụ mà có những chính sách khác nhau, tất nhiên dựa trên các tiêu chuẩn chung đã được quy định
ISO 29700.



Khái niệm tiêu chuẩn: Là yêu cầu bắt buộc để hỗ trợ các chính sách riêng rẽ.


8
www.trungtamtinhoc.edu.vn


Các tiêu chuẩn, chính sách an tồn thơng tin ISO 27001
Các tiêu chuẩn, chính sách an tồn thơng tin ISO 27001



ISO 27001 là tiêu chuẩn của Anh về hệ thống quản lý an ninh thơng tin (viết tắt là ISMS).



Trước đây tiêu chuẩn này có tên gọi là BS 7799 và ISO 17799.



ISO 27001 phù hợp với mọi tổ chức lớn nhỏ và áp dụng được với mọi lĩnh vực kinh tế trên tồn thế giới.



Đảm bảo cho hệ thống có thể làm việc liên tục mà khơng xảy ra sự phá hoại hoặc mất mát nào



Các nguyên nhân dẫn đến mất mát thông tin và dữ liệu:




Thiên tai hỏa hoạn, lũ lụt.



Mất ngẫu nhiên hoặc do quản lý kém



Bị đánh cắp từ các hệ thống ở bên ngoài, hoặc do nhân viên bị mua chuộc nên tiết lộ thông tin.

Tất cả điều trên đều gây ra hậu quả khôn lường cho tổ chức.



Triển khai ISO 27001 sẽ xác định loại thông tin trong tổ chức, xác định mối nguy hại và mối đe dọa. Sau đó có thể thiết lập hệ thống, sự kiểm sốt và quy trình để
giảm thiểu các mối nguy hại.

9
www.trungtamtinhoc.edu.vn


Các tiêu chuẩn, chính sách an tồn thơng tin ISO 27001
Các tiêu chuẩn, chính sách an tồn thơng tin ISO 27001

Các lợi ích mà ISO 27001 đem lại cho tổ chức bao gồm:



Sự liên tục trong kinh doanh




Đánh giá được mối nguy và triển khai được các phương pháp để giảm bớt ảnh hưởng



An ninh được cải thiện



Kiếm sốt việc truy cập



Tiết kiệm chi phí



Tạo ra một q trình quản lý nội bộ



Tuyên truyền cam kết của bạn để bảo vệ dữ liệu của khách hàng.



Chứng minh được rằng bạn tuân thủ các quy định pháp luật




Xác định được rằng các lãnh đạo cấp cao thực sự nghiêm túc trong việc bảo mật dữ liệu.



Đánh giá thường xuyên để duy trì hiệu quả bảo mật



Cung cấp chứng nhận độc lập

10
www.trungtamtinhoc.edu.vn


Phần II. Phân tích và xây dựng các quy định và quy trình sử dụng an tồn cho trang web khoa cơng nghệ
Phần II. Phân tích và xây dựng các quy định và quy trình sử dụng an tồn cho trang web khoa cơng nghệ
thơng tin HVKTQS
thơng tin HVKTQS



Giới thiệu về trang web khoa.
Trang web khoa công nghệ thông tin của Học viện Kỹ thuật quân sự là một trang web phục vụ trong nhà trường hỗ trợ các hoạt động nghiệp vụ đào tạo và cịn

là kênh thơng tin giữa sinh viên với khoa, với trường.
Nhóm người sử dụng



Giáo viên chủ nhiệm:

+) Nhập thông tin sinh viên.
+) Nhập điểm từ phòng đào tạo vào cơ sở dữ liệu
+) Giáo viên đảm nhiệm môn học
+) Nhập tài liệu tham khảo và một số thông tin cho môn học.
+) Giáo viên đảm nhiệm vai trị quản trị
+) Nhập thơng tin cho các dữ liệu của giáo viên
+) Đưa thông tin cho đề tài sinh viên và phản hồi.
+) Cập nhật thông tin cho mỗi bộ mơn



Sinh viên
+ Xem thơng tin cá nhân
+ Xem điểm.

11
www.trungtamtinhoc.edu.vn


Triển khai mơ hình phần cứng
Triển khai mơ hình phần cứng
Triển khai phần cứng:

-

Mơ hình client /server.

-

2 server : 1 ở trung tâm cơng nghệ thơng tin, 1 ở phịng thí nghiệm khoa,2 máy chạy song hành cùng nhau, được đồng bộ hóa trong q trình xử

lý.

-

Hệ thống máy client nằm ở trung tâm cơng nghệ thơng tin và phịng làm việc của các bộ môn, việc truy cập với quyền quản trị viên chỉ được
thiết lập với một số máy nhất định.

-

Hệ thống mạng trường sử dụng mạng không dây, có đăng ký mật khẩu, chống truy cập một số trang web nhất định như youtube, facebook ….



Hiệu quả của triển khai phần cứng như trên:



Tính an tồn được đảm bảo cao, hạn chế về rủi ro.



Hạn chế được sự truy cập bừa bãi, kể cả khi làm người quản trị làm mất mật khẩu, thì kẻ lấy cắp cũng khó để truy cập được ở ngồi.



Hệ thống mạng được thiết lập riêng trong học viện bảo đảm tính an toàn ,bảo mật cao.

12
www.trungtamtinhoc.edu.vn



Triển khai mơ hình nghiệp vụ cho hệ thống.
Triển khai mơ hình nghiệp vụ cho hệ thống.


Thực hiện quản lý sinh viên. Đưa thông tin sinh viên vào hệ thống sau đó có thể sử dụng các chức năng thống kê báo cáo đê đưa ra các thông tin sinh viên với
một mục đích cụ thể.



Thực hiện quản lý giáo viên: Đưa thông tin giáo viên vào hệ thống, sử dụng các chức năng báo cáo thống kê để đưa ra các thơng tin về giáo viên.



Thực hiện quản lý môn học: Đưa thông tin về môn học ứng với các khoa ngành, giáo viên đảm nhiệm cụ thể, giáo viên đảm nhiệm môn học sẽ là người cung cấp
thông tin về tài liệu tham khảo, đề cương bài giảng, đề cương chi tiết, đề cương ôn tập cho môn học và các thông tin liên quan khác. Việc đưa thông tin bài giảng
lên trên trang web khoa dưới quyền đăng nhập của giáo viên thì giáo viên phải chịu trách nhiệm,



Thực hiện quản lý điểm: Giáo viên nhận điểm từ phòng đào tạo lên, điểm nhập vào là do giáo viên chủ nhiệm, quy trình nghiệp vụ của chức năng này là giáo
viên chủ nhiệm sau khi nhận được tờ phiếu điểm của phòng đào tạo gửi xuống văn phịng khoa, sẽ có nhiệm vụ lấy về nhập điểm cho sinh viên, việc nhập điểm có
hiệu lực sau 1 tuần kể từ khi văn phòng gửi điểm xuống văn phịng khoa.



Thực hiện chức năng thơng tin của trang web khoa.
Mọi nghiệp vụ liên quan đến việc đưa thông tin vào trang web khoa phải được diễn ra dưới hệ thống máy đã quy định đặt trong học viện, không cho phép bất kì

cá nhân nào được truy cập ở các thiết bị bên ngoài(nhiệm vụ thuộc về đội ngũ xây dựng phần mềm)


13
www.trungtamtinhoc.edu.vn


Những đe dọa đối với hệ thống



Các đe dọa đến từ nhân tố con người






Lỗi không chú ý đến quá trình nhập liệu, dẫn đến bỏ qn làm hỏng thơng tin.
Gian lận và trộm cắp: Lỗi hệ thống có chủ tâm.
Các tấn cơng do chủ ý từ bên ngồi vào.
Lỗ hổng bảo mật do thói quen của con người có thể làm gây hại cho hệ thống:
+) Tin tưởng vào các ứng dụng cấp qua mạng
+) Sử dụng hệ thống không đúng chỉ dẫn, không đúng quy định.
+) Tin tưởng vào người dùng trong hệ thống.
+) Bị lừa qua mạng, thói quen truy cập mạng.
+) Sử dụng các thiết bị lưu trữ khơng đúng cách
+) Mất mật khẩu, khơng có biện pháp quản lý mật khẩu tôt, không thực hiện đổi mật khẩu định kỳ, tạo mật khẩu tính

bảo mật kém, dẫn đến nguy cơ bị chiếm quyền truy cập, phá hoại hoặc lấy cắp thông tin.

14

www.trungtamtinhoc.edu.vn


Những đe dọa với hệ thống
Biện pháp hạn chế những đe dọa của hệ thống từ phía người dùng:
1. Vấn đề về mật khẩu:



Biện pháp kỹ thuật
+) Xây dựng hệ thống mật khẩu đối với mỗi tài khoản chỉ được cấp cho một người quản lý và sử

dụng.
+) Xây dựng hệ thống phân quyền logic đảm bảo phân quyền nhỏ nhất đối với những người sử dụng
hệ thống.
+) Hệ thống cần được xây dựng mà cần giới hạn số lần đăng nhập sai liên tiếp vào hệ thống. Hệ
thống tự động khóa tài khoản trong một khoảng thời gian nhất định trước khi tiếp tục cho đăng nhập nếu
tiếp tục đăng nhập vượt qua một số lần quy định.

15
www.trungtamtinhoc.edu.vn


Những đe dọa với hệ thống


Về phía người sử dụng:
Mật khẩu đăng nhập hệ thống phải có độ phức tạp cao (có độ dài tối thiểu 8 ký tự, ký tự số và ký tự đặc biệt
như !, @, #, $, %,...)




Phải được thay đổi ít nhất 3 tháng /lần và được giữ bí mật, bởi mật khẩu tượng trưng cho định danh người
dùng, mọi hoạt động diễn ra dưới mật khẩu cọi như do người dùng đó thực hiện.



Có ý thức trong giữ bí mật mật khẩu và hoạt động nghiệp vụ, không để lộ mật khẩu.

16
www.trungtamtinhoc.edu.vn


Những đe dọa với hệ thống


2. Vấn đề về bảo mật thông tin

-

Giải pháp về kỹ thuật
+) Phải đảm bảo yêu cầu bảo mật thông tin và các thỏa thuận bí mật. Mã hóa các thơng tin cần bảo vệ, sử dụng mã hóa dữ

liệu sql mã hóa theo từng cột user, pass, đối với người quản trị chỉ có thể có được user mà khơng được phép xem pass.
+) Mọi công việc nghiệp vụ liên quan đến hệ thống chỉ có thể được tiến hành trong cơ quan nơi làm việc, không được phép
diễn ra ở những nơi công cộng khác.

-

Giải pháp về phía con người

+) Tuyệt đối khơng tiết lộ thơng tin của cơ quan ra bên ngồi, cần có chế tài hợp lý cho những kẻ để lộ thông tin.

17
www.trungtamtinhoc.edu.vn


Những đe dọa với hệ thống


Vấn đề về phân quyền
Đảm bảo phân cấp trách nhiệm đảm bảo an tồn thơng tin trong tổ chức.Tiến hành phân cấp đến mức nhỏ nhất cho các đối

tượng tham gia hệ thống đảm bảo tính hiện quả và tránh tranh chấp. Biện pháp tiến hành đảm bảo xây dựng phân quyền logic cho hệ
thống, đảm bảo người dùng có quyền tương ứng với các chức năng nằm trong quyền hạn và công việc của mình. Giới hạn việc sử
dụng các chức năng của chương trình đối với từng nhóm đối tượng khác nhau.

Người sử dụng phải có nhiệm vụ giữ bí mật đối với mật khẩu để thực hiện đúng quyền của mình, tránh các lỗi trong quá trình
thực hiện ghi nhập.

18
www.trungtamtinhoc.edu.vn


Những đe dọa với hệ thống


Quy tắc về sử dụng mạng: không trao đổi công việc trên các hệ thống mạng xã hội hoặc email, chỉ cung cấp những hỗ trợ thiết
yếu nhất bảo đảm duy trì hoạt động của hệ thống thông tin, hạn chế sử dụng các trang mạng khơng lành mạnh, khơng cần thiết.




Quy tắc về sử dụng máy tính



Quy tắc về ứng xử trong tình huống cố định







Nghi ngờ virus

Nghi ngờ tấn cơng
Nghi ngờ mất mát dữ liệu

Khi phát hiện ra bất kỳ dấu hiện nào liên quan đến việc bị nhiễm mã độc trên máy trạm (ví dụ: máy hoạt động chậm bất thường,
cảnh báo từ phần mềm phòng chống mã độc, mất dữ liệu,…), người sử dụng phải tắt máy và báo trực tiếp cho bộ phận có trách
nhiệm của đơn vị để xử lý.

19
www.trungtamtinhoc.edu.vn


Những đe dọa với hệ thống






Quy tắc về sử dụng các thiết bị sao lưu dự phòng.
Quy tắc xử lý và sử dụng thông tin
+) Mỗi giáo viên,sinh viên chỉ được phép truy cập các thông tin phù hợp với chức năng,
trách nhiệm, quyền hạn của mình, có trách nhiệm bảo mật tài khoản truy cập thơng tin.



+) hệ thống có rất nhiều nghiệp vụ liên quan đến việc cập nhật thông tin vậy làm thế nào để
đảm bảo an tồn thơng tin khi việc cập nhật thơng tin nhiều thế

20
www.trungtamtinhoc.edu.vn


Những đe dọa đến từ tấn công hệ thống máy tính
Những đe dọa đến từ tấn cơng hệ thống máy tính



Những đe dọa đến từ các vụ tấn cơng trên hệ thống máy tính xuất phát từ việc phải đảm bảo các yếu tố về
mặt kỹ thuật và công nghệ, việc triển khai hệ thống tường lửa và các hệ thống diệt vi rút, nhận dạng các yếu
tố nguy hiểm cho hệ thống.



Ngồi ra cịn xuất phát từ thói quen sử dụng các thiết bị lưu trữ ngồi khơng đúng và thói qn sử dụng
mạng, tính tị mị khi sử dụng các ứng dụng trên internet cũng là điểm mà những kẻ tấn cơng mạng chú ý
tới.




Biện pháp : Triển khai cấu hình mạng an tồn đến từng thiết bị, triển khai hệ thống công nghệ bảo vệ hệ
thống cùng với có chính sách đối với nhân viên trong việc sử dụng internet. Sử dụng các giao thức bảo mật
mạng như IPSec, SSL để chống lại các loại hình tấn công phiên, chống tấn công nghe lén.

21
www.trungtamtinhoc.edu.vn


Những đe dọa đến hệ thống máy tính



Hệ thống được xây dựng lên phải đảm bảo chức năng vê sao lưu dự phòng
Các dữ liệu quan trọng cần phải sao lưu , bao gồm: thơng tin cấu hình của hệ thống mạng, máy chủ; phần
mềm ứng dụng và cơ sở dữ liệu; tập tin ghi nhật ký.



+) Các cơ quan phải lập kế hoạch và thực hiện sao lưu dữ liện phù hợp với điều kiện của từng cơ quan, đảm
bảo khả năng phục hồi dữ liệu khi có sự cố xảy ra.

22
www.trungtamtinhoc.edu.vn


Những đe dọa đến hệ thống máy tính




Phải xây dựng hệ thống quản lý logfile: Hệ thống thông tin cần ghi nhận các sự kiện: quá
trình đăng nhập vào hệ thống, các thao tác cấu hình hệ thống. Thường xuyên kiểm tra, sao
lưu (backup) các logfile theo từng tháng để lưu vết theo dõi, xác định những sự kiện đã xảy
ra của hệ thống và hạn chế việc tràn logfile gây ảnh hưởng đến hoạt động của hệ thống dạng
nhật ký người dùng với các nội dung như: nội dung thay đổi, lý do thay đổi, thời gian, vị trí
thay đổi,..

23
www.trungtamtinhoc.edu.vn


Những đe dọa đến hệ thống máy tính



Phải có biện pháp tổ chức quản lý tài khoản: Các tài khoản và định danh người dùng trong
hệ thống thông tin, bao gồm: tạo mới, kích hoạt, sửa đổi và loại bỏ các tài khoản , đồng thời
tổ chức kiểm tra các tài khoản của hệ thống thơng tin ít nhất 6 thang một lần, thông qua các
công cụ của hệ thống. Hủy tài khoản, quyền truy nhập hệ thống thông tin, thu hồi lại tất cả
các tài sản liên quan tới hệ thống thơng tin (khóa, thẻ nhận dạng, thư mục lưu trữ,...) đối với
cán bộ, công chức, viên chức đã chuyến công tác, chấm dứt hợp đồng lao động.

24
www.trungtamtinhoc.edu.vn


Thank You!


L/O/G/O
www.themegallery.com

25
www.trungtamtinhoc.edu.vn


×