MÔ HÌNH
PHÒNG THỦ THEO CHIỀU SÂU
1
AAA, Encryption, Digital Signature…
Security Policy
OS, Update Management, Enpoint Security,…
UTM, Firewall, VPN, Routers,…
Lock, Camera
VLAN, IPS, IDS,…
Application Control, Antivirus,…
Physical
Perimeter
Internal
Host
Application
Data
Nội dung
Xây dựng chính sách ATTT
2
Layer 1 : Data
1.
Layer 2 : Application
2.
Layer 3 : Host
3.
Layer 4 : Internal
4.
Layer 5 : Perimeter
5.
Layer 6 : Physical
6.
Layer 7 : Security Policy
7.
Layer 1 : DATA
Xây dựng chính sách ATTT
3
•
Nội dung :
–
Data là gì ?
–
AAA là gì ?
–
Mã hóa thông tin
–
Chữ kí điện tử
–
Hệ thống chứng nhận khóa công cộng
Layer 1 : DATA
Data là gì ?
Xây dựng chính sách ATTT
4
•
Data là dữ liệu chúng ta cần bảo vệ.
–
Dữ liệu nên được phân chia thành 3 cấp độ :
•
Tuyệt mật
•
Công cộng
•
Quyền hạn sử dụng
–
Bảo vệ ở đây được chia vào 3 khía cạnh chính :
•
Đảm bảo tính bảo mật của dữ liệu
•
Đảm bảo tính toàn vẹn của dữ liệu
•
Đảm bảo tính sẵn sàng của dữ liệu
Layer 1 : DATA
AAA là gì ?
Xây dựng chính sách ATTT
5
•
AAA là một nhóm qui trình được sử dụng để
bảo mật thông tin.
•
Một trong những mục đích của AAA là CIA
–
C : Confidential
–
I : Integrity
–
A : Availability
•
Chữ viết tắt của AAA :
–
A : Access Control
–
A : Authentication
–
A : Accounting
Layer 1 : DATA
AAA là gì ?
Xây dựng chính sách ATTT
6
•
Access Control là công cụ cấp quyền truy cập vào tài
nguyên : Policy, NTFS, Smart Card, VPN,…
•
3 kỹ thuật được sử dụng trong Access Control
–
Mandatory Access Control (MAC)
•
Build-in trong hệ điều hành
•
Sử dụng hard-code thiết lập trên các objects
–
Discretionary Access Control (DAC)
•
Thiết lập quyền truy cập vào các đối tượng
•
Người sở hữu tài nguyên có thể thao tác để thiết lập quyền
–
Role-Based Access Control (RBAC)
•
Thiết lập quyền truy cập dựa vào Group
Layer 1 : DATA
AAA là gì ?
Xây dựng chính sách ATTT
7
•
Authentication là qui trình xác nhận một đối tượng
nào đó là hợp lệ hay không hợp lệ. Sau khi xác nhận
xong sẽ cấp cho đối tượng đó quyền tương ứng để
hoạt động trong môi trường mạng máy tính.
•
Phương thức xác thực :
–
Username/Password
–
Smart card
–
Biometric
–
One-Time Password
–
Kerberos
–
RADIUS
Layer 1 : DATA
AAA là gì ?
Xây dựng chính sách ATTT
8
•
Accounting là quá trình theo dõi và ghi
nhận những hành động của đối tượng
•
Sử dụng chính sách của Windows để theo
dõi
Layer 1 : DATA
AAA là gì ?
Xây dựng chính sách ATTT
9
•
Thực hành :
–
Tìm hiểu những chính sách theo dõi người
dùng của Windows Server
–
Tìm hiểu những công cụ theo dõi , quản lý
hoạt động của người dùng và hệ thống
Layer 1 : DATA
Mã hóa thông tin
Xây dựng chính sách ATTT
10
Mã hóa là gì ?
1.
Mã hóa đối xứng
2.
Mã hóa bất đối xứng
3.
Hệ thống chứng nhận khóa công cộng
5.
Summary
6.
Chữ ký điện tử
4.
Layer 1 : DATA
Mã hóa thông tin
\ Xây dựng chính sách ATTT
11
•
Mã hóa là một dạng của mật mã. Mã hóa cách thức xáo
trộn hay biến thông tin từ dạng có thể đọc được sang dạng
không thể đọc được.
•
Ví dụ :
–
Xáo trộn dữ liệu : 2 ký tự đứng cạnh nhau thì hoán đổi vị trí cho
nhau, những ký tự nào lẻ thì giữ nguyên vị trí
–
Biến đổi thông tin : tăng giá trị mỗi ký tự lên 1 đơn vị
ABCDEF BADCFE
ABCDEF BCDEFG
Layer 1 : DATA
Mã hóa thông tin
Xây dựng chính sách ATTT
12
•
Mã hóa đối xứng là cơ chế mã hóa và giải mã
sử dụng chung 1 key
–
Key : là giá trị được sử dụng để mã hóa và
giải mã
Layer 1 : DATA
Mã hóa thông tin
Xây dựng chính sách ATTT
13
•
Mã hóa bất đối xứng là cơ chế mã hóa và giải
mã sử dụng 2 key khác nhau
–
Public Key : là key dùng để mã hóa
–
Private Key : là key dùng để giải hóa
•
Mã hóa bất đối xứng còn được sử dụng để tạo
ra chữ ký điện tử
Layer 1 : DATA
Mã hóa thông tin
Xây dựng chính sách ATTT
14
Layer 1 : DATA
Chữ ký điện tử
Xây dựng chính sách ATTT
15
•
Chữ ký điện tử : là một chuỗi số cho phép xác định
nguồn gốc/xuất xứ/thực thể đã tạo ra thông điệp
•
Chữ ký điện tử dùng để :
–
Xác thực (Authentication)
–
Đảm bảo tính toàn vẹn dữ liệu (Integrity)
–
Không thể từ chối trách nhiệm (Non-Repudiation)
•
Thuật toán tạo chữ ký điện tử :
–
RSA
–
DSA
GV.Nguyễn Duy 16
Demo1
Người gửi: Văn phòng B
Người nhận: Ngân hàng A
Ngày gửi: 1 / 8 / 2003
Nội dung:
……
Rút $5,000,000
Mã tài khoản: NHB-212551245
…
Người gửi: Văn phòng B
Người nhận: Ngân hàng A
Ngày gửi: 1 / 8 / 2003
Nội dung:
……
Rút $5,000,000
Mã tài khoản: NHB-212551245
…
Văn phòng B
Ngân hàng A
Văn phòng B cần thực hiện giao dịch rút tiền với Ngân hàng A
$ 5,000,000
Gửi bằng email
GửiGửi
?
?
Khách hàng phải đến
tận nơi để giao dịch.
OK !
Layer 1 : DATA
Chữ ký điện tử
Xây dựng chính sách ATTT
17
•
Qui trình tạo chữ ký điện tử
Dữ liệu
Hash MessageHash
Sign
Signature
Khoá bí mật
Dữ liệu
Layer 1 : DATA
Chữ ký điện tử
Xây dựng chính sách ATTT
18
Qui trình xác nhận chữ ký điện tử
Dữ liệu
Hash
VerifySignature
Khoá công cộng
?
Layer 1 : DATA
Chữ ký điện tử
Xây dựng chính sách ATTT
19
GV.Nguyễn Duy 20
Demo2
Người gửi: Văn phòng B
Người nhận: Ngân hàng A
Ngày gửi: 1 / 8 / 2003
Nội dung:
……
Rút $5,000,000
Mã tài khoản: NHB-212551245
…
Người gửi: Văn phòng B
Người nhận: Ngân hàng A
Ngày gửi: 1 / 8 / 2003
Nội dung:
……
Rút $5,000,000
Mã tài khoản: NHB-212551245
…
$ 5,000,000
email
Mã hóa & Ký
Giải mã & kiểm tra chữ ký
Ok! Chấp nhận yêu
cầu & gửi tiền
Layer 1 : DATA
Chữ ký điện tử
Xây dựng chính sách ATTT
21
Qui trình xác nhận chữ ký điện tử
Dữ liệu
Hash
VerifySignature
Khoá công cộng
?
Layer 1 : DATA
Hệ thống chứng nhận khóa công cộng
Xây dựng chính sách ATTT
22
GV.Nguyễn Duy23
Demo3
Dữ liệu bị tấn công trên đường truyền.
MIM (Man in Middle)
?
……
Rút $5,000,000
Mã tài khoản: NHB-212551245
…
……
Chuyển khoản $5,000,000
qua tài khoản NHB-8888888
Mã tài khoản: NHB-212551245
…
Layer 1 : DATA
Hệ thống chứng nhận khóa công cộng
Xây dựng chính sách ATTT
24
•
Chứng nhận điện tử là chứng thực sự sở
hữu khóa công khai
Thông tin người sở hữu
khóa công khai
Khóa công cộng
Chữ ký của tổ chức
thứ ba đáng tin cậy
Nội dung chứng nhận
Layer 1 : DATA
Hệ thống chứng nhận khóa công cộng
Xây dựng chính sách ATTT
25
•
Qui trình tạo ra chứng nhận
Subject Name
Public Key
(Other fields)
Hash
algorithm
Hash digest
CA’s
Private key
Encryption
Signature
Subject Name
Public Key
(Other fields)
Signature
Fran’s X509
certificate