Tiểu luận môn Bảo mật thông tin MOBILE DATA SECURITY
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.75 MB, 35 trang )
GVHD: PGS.TS Đặng Trần Khánh
Trình bày:
- Trần Thị Ánh 10320906
- Vũ Thúy Hằng 11326020
- Hoàng Phương Hiên 10320909
- Huỳnh Văn Kháng 10320912
1
Giới thiệu
Tầm quan trọng
Các nguy cơ thường gặp
Giải pháp
Tình hình ứng dụng mobile security trên Thế
giới
Kết luận
2
Ngày nay để thuận tiện cho công việc, tăng năng
xuất làm việc của nhân viên các tố chức, công ty
cho phép nhân viên truy cập thông tin cần thiết
của doanh nghiệp ở bất kỳ nơi nào thì các thiết
bị di động luôn được xem là lựa chọn hàng đầu
(ví dụ: điện thoại di động, laptop, PDA)
Trong khi các thiết bị có thể nâng cao năng xuất
và hiệu quả, chúng cũng mang lại những rủi ro
mới cho công ty.
3
Các tổ chức đang bắt đầu hiểu rằng bảo
mật các thiết bị di động cũng quan trọng
như bảo mật máy tính để bàn hay máy
tính xách tay.
4
Thông tin cá nhân, tài liệu riêng tư của bạn cũng
như của công ty trong điện thoại di động trở thành
mục tiêu của kẻ xấu muốn thâm nhập.
Bảo mật dữ liệu là rất quan trọng cho hầu hết các
doanh nghiệp và ngay cả người dùng máy tính ở
nhà: thông tin khách hàng, thông tin thanh toán, các
tập tin cá nhân, chi tiết tài khoản ngân hàng, tất cả
các thông tin này có khả năng nguy hiểm nếu
nó rơi vào tay kẻ xấu.
5
Tấn công, truy cập dữ liệu trên đường
truyền (Interception of data transmission)
Xác thực người dùng (User
Authentication)
Truy cập giả mạo vào dữ liệu trên thiết bị
(Rogue access to data on device)
Mất thiết bị (Loss of device)
6
Thường xảy ra ở đâu?
Thư điện tử (Email)
Âm thanh (Voice)
Tin nhắn (Message)
Trong quá trình đồng bộ dữ liệu
…
7
Đánh vào 1 trong 4 nguyên tắc về bảo mật
–
Làm mất tính bảo mật (Confidentiality)
–
Làm mất tính toàn vẹn (Integrity)
– Làm mất tính ‘không lặp lại’ (Non repeatable)
– Làm mất tính xác thực (Authentication)
8
Ví dụ:
Kẻ tấn công có thể dùng một số thiết bị
nghe lén để xâm nhập vào các thiết bị di
động nếu chúng không được bảo mật chặt
chẽ.
9
Xác thực người dùng
(User Authentication)
Client có được phép kết nối đến server khi
có quyền?
Client được phép làm gì?
10
Khi yêu cầu dữ liệu từ 1 địa chỉ người dùng
có thể bị đánh mất dữ liệu
Virus trú ẩn trên thiết bị:
Virus có thể tấn công qua lỗ hổng bảo mật
của ứng dụng, hệ điều hành, qua các ứng
dụng được tải từ mạng, hoặc qua các tin
nhắn SMS "độc hại" được thiết kế đặc biệt.
Những nguy cơ này có thể khiến thiết bị
ngừng hoạt động hoặc gây ra các lỗi nghiêm
trọng
11
Mất tất cả những dữ liệu quan trọng lưu
giữ trong thiết bị
Thậm chí nếu thiết bị được bảo mật cao
trong các mạng riêng ảo (VPN) nhưng nếu
bị đánh cắp hoặc bị mất, các thiết bị di
động vẫn là đe doạ lớn đối với toàn thể
mạng Intranet doanh nghiệp.
12
Thiết lập các chính sách rõ ràng cho việc sử
dụng các thiết bị di động.
Xác thực người dùng và các thiết bị truy cập dữ
liệu.
Mã hóa dữ liệu ở phần còn lại.
Kết nối an toàn cho dữ liệu trong truyền dẫn.
Cài đặt chống phần mềm độc hại trên thiết bị di
động.
13
Thực thi tường lửa và quy định hệ thống phát
hiện xâm nhập (Intrusion detection systems -
IDS) để ngăn chặn tin tặc và các cuộc tấn công
từ chối dịch vụ.
Tập trung quản lý bảo mật thiết bị di động
Nâng cao nhận thức người sử dụng về nguy cơ
và đào tạo
14
Xây dựng và thực thi các chính sách với một
nhóm liên ngành bao gồm bộ phận CNTT, thu
mua, nhân sự, và pháp chế.
Nắm bắt các loại và mô hình của thiết bị sử
dụng để truy cập hoặc lưu trữ dữ liệu công ty.
Bảo vệ và hạn chế các dữ liệu đồng bộ với thiết
bị di động.
15
Yêu cầu mật khẩu mạnh trên thiết bị di động
Xác thực cả hai thiết bị và người sử dụng
Chọn giải pháp quản lý và thực thi chính sách
tập trung
16
Mã hóa dữ liệu ở phần còn lại trên các thiết bị di
động, bao gồm cả trên các phương tiện thông tin
lưu trữ
Chọn mã hóa tối thiểu cần thiết để thực hiện
theo quy định chính sách
Chọn mã hóa được chứng nhận (ví dụ như FIPS
140-2) cho bảo vệ tốt hơn
17
Sử dụng giải pháp mã hóa "tại chỗ" hơn là
các hộp đựng, vì vậy dữ liệu được bảo vệ
mà không cần sự can thiệp của người sử
dụng
Quản lý các khóa mã hóa để bảo vệ
chúng khỏi trộm cắp
18
SSL bảo vệ dữ liệu trong truyền dẫn, là đơn giản
để thực hiện, và không yêu cầu phần mềm
khách hàng mới trên các thiết bị di động.
VPN có thể an toàn dữ liệu trong truyền dẫn,
nhưng có thể tốn kém, rút tuổi thọ pin, và yêu
cầu phần mềm máy khách hàng.
19
Quét các mối đe dọa và các ứng dụng di động
Giải pháp phải được cập nhật thường xuyên với
người sử dụng tối thiểu hay sự can thiệp của
quản trị viên
Quét phần mềm độc hại trong thời gian thực trên
các thiết bị và phương tiện lưu trữ
20
Tường lửa hạn chế các loại và nguồn gốc của
lưu lượng truy cập.
Lựa chọn dễ dàng triển khai các giải pháp tường
lửa với mức độ bảo mật được xác định trước
được tùy biến bởi quản trị viên.
Các hệ thống phát hiện xâm nhập có thể chặn
các cuộc tấn công từ chối dịch vụ.
21
Cài đặt các ứng dụng bảo mật di động trên các
thiết bị cầm tay
Tập trung cung cấp các thiết lập và chính sách
Khóa các thiết lập bảo mật di động trên thiết bị
để người dùng không thể thay đổi chúng
Đẩy bản vá cập nhật phần mềm, an ninh và mẫu
tập tin cập nhật cho thiết bị di động.
22
không tải các ứng dụng từ các nguồn không tin
cậy
không chia sẻ các ứng dụng với người lạ
không giữ chức năng Bluetooth được kích hoạt
khi không sử dụng
sao lưu tất cả dữ liệu trên thiết bị
giữ cho phần mềm trên thiết bị được cập nhật
(các bản vá lỗi hệ điều hành, khóa chống virus,
thiết lập tường lửa, .v.v )
làm theo lời khuyên cho đồng bộ hóa an toàn
23
TLTK: Mobile Security Report 2009
Khảo sát trực tuyến vào tháng 11 và
12/2008 của công ty Informa Telecoms &
Media (ITM)
24
