tổng quan về an toàn thông tin
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.11 MB, 16 trang )
MỤC TIÊU
Tìm hiểu về nguyên lý, chính sách ATTT
TỔNG QUAN VỀ AN TOÀN THÔNG TIN
Các kỹ thuật tấn công mạng
Các giải pháp bảo vệ hệ thống mạng
•
Bảo mật thông tin bằng mã hóa dữ liệu
•
Các cơ chế xác thực, chữ ký điện tử
•
Cơ chế bảo vệ mạng bằng firewall
•
Cơ chế tự động phát hiện xâm nhập mạng
1
NỘI DUNG
2
AN TOÀN THÔNG TIN LÀ GÌ?
An toàn thông tin là gì?
Thực trạng vấn đề an toàn thông tin hiện nay
Các dạng tội phạm, hành vi xâm phạm an toàn thông tin
Cơ sở pháp lý, luật cho an toàn thông tin
Chính sách an toàn thông tin – Hành lang pháp lý
7 giải pháp trong chính sách an toàn thông tin
An Toàn Thông Tin là khả năng bảo vệ đối với môi trường
thông tin kinh tế xã hội, đảm bảo cho việc hình thành, sử
dụng và phát triển vì lợi ích của mọi công dân, mọi tổ chức và
của quốc gia.
ATTT được xây dựng trên nền tảng một hệ thống các chính
sách, quy tắc, quy trình và các giải pháp kỹ thuật nhằm mục
đích đảm bảo an toàn tài nguyên thông tin.
ISO (International Organization for Standardization) định
nghĩa: An ninh (security) là những hoạt động nhằm sự hạn
chế khả năng lạm dụng tài nguyên (resource) và tài sản
(assets) tin học.
3
AN TOÀN THÔNG TIN LÀ GÌ?
4
LĨNH VỰC NGHỀ NGHIỆP
An toàn thông tin là duy trì tính bảo mật, tính toàn vẹn và tính
sẵn sàng của thông tin
ATTT còn có thể bao hàm một số tính chất khác như tính xác
thực, giao nhiệm vụ, chống từ chối và độ tin cậy
ATTT nhằm bảo vệ nội dung số và các HTTT nhằm chống lại
các nguy cơ tự nhiên, các hành động truy cập, sử dụng phát
tán, phá hoại, sửa đổi và phá hủy bất hợp pháp; bảo đảm cho
các HTTT thực hiện đúng chức năng, phục vụ đúng đối
tượng một cách sẵn sàng, chính xác và tin cậy
5
Kỹ sư phân tích, thiết kế, lập trình dự án; cán bộ quản lý dự
án trong các công ty phần mềm; Chuyên viên quản trị an ninh
mạng trong các cơ quan, doanh nghiệp;
Chuyên viên ATTT có khả năng phân tích, ngăn chặn sự cố
cho mạng máy tính và các hệ thống thông tin lớn trong các cơ
quan, doanh nghiệp.
Thiết kế và đảm bảo an toàn cho các hệ thống mạng trong
các cơ quan, doanh nghiệp, trường học…
Nghiên cứu và ứng dụng khoa học thuộc lĩnh vực liên quan
tới An ninh Mạng và Bảo mật Thông tin tại các viện nghiên
cứu, các trung tâm nghiên cứu tại các công ty, tổ chức, Bộ,
Ban, Ngành.
6
AN TOÀN THÔNG TIN LÀ GÌ?
An toàn thông tin
Một hệ thống được xem là an toàn (safe) khi các khiếm
khuyết không làm cho hoạt động của hệ thống ngừng hẳn
và nếu được khắc phục kịp thời mà không gây thiệt hại đến
mức độ nguy hiểm cho chủ sở hữu.
Một hệ thống được xem là bảo mật (confident) nếu tính
riêng tư của nội dung thông tin được đảm bảo theo đúng
các chỉ tiêu trong một thời gian xác định.
An toàn hệ thống được thực hiện chủ yếu ở các tầng dưới
(hạ tầng phải đảm bảo lưu thông an toàn)
Bảo mật thông tin được thực hiện ở các tầng trên: các ứng
dụng phải đảm bảo việc mã hóa và giải mã.
An toàn thông tin là một mắt xích liên kết hai yếu tố:
Yếu tố công nghệ: sản phẩm phần mềm, phần cứng.
Yếu tố con người.
Hai yếu tố trên được liên kết lại thông qua các chính sách về
An toàn thông tin.
7
An toàn hệ thống – Tính chất
8
Bảo mật thông tin – Tính chất
Bảo đảm 4 yêu cầu tính chất cơ bản sau:
a) Tính an toàn (safe): lưu thông trên mạng không bị thay đổi,
hoạt động liên tục, chịu được các vấn đề như tấn công kiểu từ
chối dịch vụ.
b) Tính tin cậy (reliable): Thông tin được truyền đi và đến chính
xác, toàn vẹn.
c) Tính dễ mở rộng (scaleable): dễ dàng lắp đặt, nâng cấp thiết
bị và cài đặt phần mềm mạng
d) Tính dễ quản trị (manageable): dễ giám sát, quản trị một cách
đơn giản, thuận tiện
Bảo mật thông tin là thực hiện các biện pháp cần thiết của quản
trị để đảm bảo duy trì 4 tính chất sau:
a) Tính sẵn sàng (availability, accessibility) : Thông tin có thể
lấy bất cứ lúc nào theo yêu cầu của chủ sở hữu và người sử
dụng.
b) Tính toàn vẹn (integrity): Thông tin không bị thay đổi
(thêm/bớt/xóa) ngoài ý muốn của chủ sở hữu.
c) Tính riêng tư (privacy, confidentiality): Không cho phép
người khác đọc nội dung
d) Tính trách nhiệm: chủ sở hữu và người trao đổi không thể
phủ nhận việc gửi và nhận thông tin ở thời điểm chính xác.
9
10
Bảo mật thông tin – Tính chất
Bảo mật thông tin – Tính chất
Confidentiality (Đảm bảo tính bí mật của thông tin)
Thông tin chỉ được phép truy cập (đọc) bởi những đối tượng
(người, chương trình máy tính…) được cấp phép.
Giới hạn truy cập về cả mặt vật lý, như tiếp cận trực tiếp tới
thiết bị lưu trữ thông tin đó hoặc logic, ví dụ như truy cập
thông tin đó từ xa qua môi trường mạng.
Một số cách:
Integrity (Đảm bảo tính toàn vẹn của thông tin)
Thông tin chỉ được xóa/sửa bởi đối tượng được phép và đảm
bảo tính chính xác thông tin khi lưu trữ hay truyền
Giải pháp “data integrity” bao gồm xác thực nguồn gốc của
thông tin này (thuộc sở hữu của đối tượng nào) để đảm bảo
thông tin đến từ một nguồn đáng tin cậy và ta gọi đó là tính
“authenticity” của thông tin.
Tính “integrity” của thông tin bị phá vỡ khi:
Khóa kín và niêm phong thiết bị.
Yêu cầu đối tượng cung cấp credential (username + password) hay đặc điểm về sinh
trắc để xác thực.
Sử dụng firewall hoặc ACL để ngăn chặn truy cập trái phép.
Mã hóa thông tin sử dụng các giao thức và thuật toán như SSL/TLS, AES, v.v..
Thay đổi giao diện trang chủ của một website.
Chặn đứng và thay đổi gói tin được gửi qua mạng.
Chỉnh sửa trái phép các file được lưu trữ trên máy tính.
Do có sự cố trên đường truyền mà tín hiệu bị nhiễu hoặc suy hao dẫn đến thông
tin bị sai lệch.
11
12
Tình hình ATTT hiện nay
Bảo mật thông tin – Tính chất
Availability (Đảm bảo độ sẵn sàng của thông tin)
Thông tin có thể được truy xuất bởi những người được phép
vào bất cứ khi nào họ muốn.
Một server chỉ bị ngưng hoạt động hay ngừng cung cấp dịch vụ trong
vòng 5 phút trên một năm thì độ sẵn sàng của nó là 99,999%.
Máy của hacker sẽ gửi hàng loạt các gói tin có các MAC nguồn giả tạo
đến switch làm bộ nhớ lưu trữ MAC address table của switch nhanh
chóng bị đầy khiến switch không thể hoạt động bình thường được nữa.
Đây cũng thuộc hình thức tấn công từ chối dịch vụ (DoS).
Duy trì độ sẵn sàng của hệ thống: Load Balancing,
Clustering, Redudancy, Failover…
Tình hình an ninh mạng hiện nay: diễn biến phức tạp, nhiều
nguy cơ đe dọa nghiêm trọng đến việc ứng dụng CNTT phục
vụ phát triển KT-XH và đảm bảo quốc phòng, an ninh;
Số lượng các vụ tấn công mạng và xâm nhập hệ thống để do
thám, trục lợi, phá hoại dữ liệu… đang gia tăng ở mức báo
động.
Ngày 10/6/2011, Thủ tướng Chính phủ đã ban hành Chỉ thị
số 897/CT-TTg nhằm tăng cường triển khai các hoạt động
đảm bảo an toàn thông tin số.
13
Tình hình ATTT hiện nay
14
Tình hình ATTT hiện nay
Theo thống kê của Bkav, trong thời gian qua, đã có hơn 450
website của các cơ quan, doanh nghiệp tại Việt Nam bị
hacker nước ngoài tấn công, trong đó có 68 tên miền gov.vn
Hacker đã xâm nhập chiếm quyền điều khiển, làm sai lệch
thông tin trên các hệ thống (Deface) hoặc cài virus đánh cắp
dữ liệu… Đây là đợt tấn công lớn nhất từ trước đến nay vào
các website của Việt Nam, với tần suất cao gấp 4 lần so với
thông thường.
Liên quan tới mã độc (malware), đã tiếp nhận 881 sự cố, gồm
10 sự cố liên quan đến tên miền “gov” trên website, đã gửi
yêu cầu điều phối và xử lý được 243 sự cố.
Về sự cố website lừa đảo (phishing), nhận được 521 sự cố,
gồm 9 sự cố liên quan đến tên miền “gov” giả mạo tổ chức tài
chính Paypal và các tổ chức khác, đã xử lý được 388 sự cố.
15
Tình hình ATTT hiện nay
16
Tình hình ATTT hiện nay
Về sự cố tấn công thay đổi giao diện (deface), nhận được
1.145 sự cố, gồm 254 cuộc tấn công thay đổi giao diện nhắm
vào cơ quan Nhà nước, đã xử lý được 641 sự cố.
Các cuộc tấn công deface nhắm vào cơ quan Nhà nước cao
gấp 2,3 lần, sự cố malware tăng tới 6,7 lần.
17
SCBank bị hacker hack 1 triệu USD
Năm 2007, hệ thống thanh toán trực tuyến của Ngân hàng
SCB đã bị hacker chiếm quyền điều khiển, tấn công và lấy đi
số tiền trị giá 1 triệu USD.
Hacker này đã giăng bẫy một nhân viên ngân hàng để trở
thành admin có quyền hành cao nhất
Từ đó có được tài khoản Phó chủ tịch Hội đồng Quản trị, từ
đó Hacker đăng nhập từ cửa chính của SCB thực hiện 1 loạt
các giao dịch trực tuyến với các đối tác nước ngoài.
18
Tình hình ATTT hiện nay
Tình hình ATTT hiện nay
Tấn công, lấy cắp thẻ tín dụng ở Anh, Australia
Tháng 12/2010, Bộ Công an cho biết đã phá vụ hacker Việt
Nam đột nhập lấy cắp thông tin của 100.000 thẻ tín dụng ở
Anh, trị giá 6 triệu bảng Anh. Các hacker Lê Đăng Khoa,
Nguyễn Ngọc Lâm, Nguyễn Ngọc Thanh và Nguyễn Đình
Nghi (sống tại Hà Nội và TP.HCM)
Thuê người khác dùng CMND để làm thủ tục rút số tiền tại
các ngân hàng. Ngoài ra còn mua sắm nhiều tài sản có giá trị
như máy tính xách tay, các loại vật dụng đắt tiền rồi gửi qua
đường bưu điện.
Sinh viên Việt Nam trộm tài khoản qua mạng
Năm 2004, du học sinh Nguyễn Văn Phi Hùng đã bị chính
quyền Singapore bắt giữ và bị buộc vào 4 trong 11 tội sử
dụng PC trái phép.
Bằng một game trực tuyến có cài sẵn chương trình trojan,
phần mềm ẩn ghi lại phím gõ, Phi Hùng đã nắm được thông
tin cá nhân của bạn học và sử dụng nó để lấy cắp 638 USD
từ tài khoản ngân hàng của họ.
19
Tình hình ATTT hiện nay
20
Tình hình ATTT hiện nay
Facebook bị hacker Việt tấn công
Tháng 6/2009, khi truy cập vào trang chủ
của Facebook.com và Facebook.vn, một dòng thông báo nhỏ
với lời lẽ khiếm nhã bôi nhọ BKAV và Giám đốc trung tâm an
ninh mạng Bkis Nguyễn Tử Quảng xuất hiện ở dưới khung
đăng ký.
Do Facebook bị lỗi và hacker Việt Nam đã lợi dụng lỗi này để
đưa nội dung nêu trên lên trang chủ Facebook.
Bị đặc vụ Mỹ dụ ra nước ngoài rồi tiến hành bắt giữ
Vào năm 2013, Ngô Minh Hiếu – một hacker trẻ tuổi Việt
Nam bị bắt giữ bởi các đặc vụ Hoa Kỳ.
Từ năm 2007 đến năm 2012, Ngô Minh Hiếu và một số người
khác đã ăn cắp và buôn bán thông tin cá nhân
Ngày 18/11/2011, nhóm này chào một gói 4.000 thẻ tín dụng
với giá 4.600 USD và 500 USD tiền phí server. Ngày
26/11/2011 chào gói 5.000 USD cho 22.000 thẻ tín dụng và
10.000 USD cho 50.000 thẻ tín dụng
Đặc vụ Mỹ đã tiến hành dụ Hiếu ra khỏi Việt Nam bằng một
đề nghị làm ăn. Khi Hiếu tới Guam, vùng lãnh thổ thuộc Mỹ ở
Thái Bình Dương thì bị bắt (>40 năm tù)
21
Tình hình ATTT hiện nay
22
Tình hình ATTT hiện nay
Sinh viên lớp kỹ sư tài năng
Nguyễn Văn Hòa, sinh viên lớp kỹ sư tài năng (Đại học Bách
khoa TP.HCM). Hòa bị bắt vì những cáo buộc liên quan tới
việc đột nhập vào các tài khoản nước ngoài để trộm cắp
thông tin về thẻ tín dụng.
Gia nhập diễn đàn “Thế giới ngầm – UnderGround”, Hòa lấy
cắp thông tin từ thẻ tín dụng của những tài khoản nước
ngoài rồi bán đi để kiếm tiền. Khi bị bắt giữ, trong tài khoản
đứng tên Nguyễn Văn Hòa là hơn 7 tỷ đồng.
23
Hành trình phạm tội của hacker Trương Quý Pháp
Ngày 8-4-2014, Trương Quý Pháp (1993, TP Tam Kỳ) vào
các diễn đàn chuyên về bảo mật trên mạng Internet và phát
hiện có thông báo về lỗ hổng bảo mật đối với phần mềm
Open SSL. Đây là phần mềm chuyên được các trang mạng
thanh toán điện tử, ngân hàng sử dụng để mã hóa dữ liệu
thông tin giao dịch khách hàng
Theo CQĐT, bước đầu, qua thực hiện sao kê 2 tài khoản
(Ngân hàng Đông Á và Ngân hàng Á Châu) trong 5 tài khoản
của Pháp, xác định số tiền chuyển vào tài khoản và được
Pháp rút ra là 700 triệu đồng.
24
Tình hình ATTT hiện nay
Các tổ chức ATTT
Hiệp hội An toàn thông tin Việt Nam (VNISA):
•
Nâng cao kiến thức trong lĩnh vực an toàn thông tin;
•
Chia sẻ kinh nghiệm các thành tựu khoa học;
•
Hướng dẫn ứng dụng và phát triển kỹ thuật, công nghệ ATTT
VNCERT
25
II. Tầm quan trọng
26
Thiệt hại …
Hình thành thuật ngữ “hạ tầng cơ sở trọng yếu”, mục tiêu:
Tên
Sâu Morris
•
Làm rõ sự quan trọng của an toàn thông tin mạng
•
Giúp cho các cơ quan nhà nước xác định được danh sách hạ tầng cơ sở
trọng yếu để cải thiện an toàn thông tin mạng.
Năm
1988
Thiệt hại
Làm tê liệt 10% máy tính trên mạng Internet
Vi rút Melisa
5/1999
100.000 máy tính bị ảnh hưởng/1 tuần Thiệt hại 1,5 tỷ USD
Vi rút Explorer
6/1999
Thiệt hại 1,1 tỷ USD
Vi rút Love Bug
5/2000
Thiệt hại 8,75 tỷ USD
Vi rút Sircam
7/2001
2,3 triệu máy tính bị nhiễm, thiệt hại 1,25 tỷ USD
Sâu Code Red
7/2001
359.000 máy tính bị nhiễm/14 giờ, Thiệt hại 2,75 tỷ USD
Sâu Nimda
9/2001
160.000 máy tính bị nhiễm, Thiệt hại 1,5 tỷ USD
Klez
2002
Thiệt hại 175 triệu USD
BugBear
2002
Thiệt hại 500 triệu USD
Badtrans
2002
90% máy tính bị nhiễm/10 phútThiệt hại 1,5 tỷ USD
Blaster
2003
Thiệt hại 700 triệu USD
Phần mềm (vô hình): các phần mềm và các gói tin truyền đi trong hệ thống
Nachi
2003
Thiệt hại 500 triệu USD
mạng.
SoBig.F
2003
Thiệt hại 2,5 tỷ USD
Sâu MyDoom
1/2004
100.000 máy tính bị nhiễm/1 giờ, Thiệt hại hơn 4 tỷ USD
Hoạt động của các hạ tầng cơ sở trọng yếu lại dựa vào mạng hạ tầng
công nghệ thông tin
Không gian mạng (Cyberspace) bao gồm:
Phần cứng (hữu hình): gồm các máy tính, máy chủ, định tuyến,…cáp truyền
dẫn
27
28
Thống kê các hình thức tấn công
Thiệt hại …
29
30
Nguy cơ tấn công
Nguy cơ tương lai
- nguy cơ tia chớp
- DDOS
Toàn cầu
- Tấn công hạ tầng trọng yếu
Phạm vi
Lĩnh vực
- Tấn công tín dụng quốc gia
Phút
- Tấn công hạ tầng
- Vi rút
Giờ
- Sâu
Máy tính
riêng lẻ
Loại III
Đối phó nhân công: bất khả thi
Tự động đối phó: hy vọng
Khóa tiên tiến: có thể
Nguy cơ tia chớp
- Nguy cơ Warhol
Khu vực
Tổ chức
riêng lẻ
Giây
- Nguy cơ rộng
Ngày
- DOS
- Tấn công tín dụng
1990s
2000
2002
2004
Tuần,
tháng
Thời gian
Nguy cơ Warhol
Loại II
Đối phó nhân công: khó/bất khả thi
Tự động đối phó: có thể
Loại I
Đối phó nhân công: có thể
Vi rút Macro
Vi rút File
Đầu 1990s
Nguy cơ diện
rông
Sâu E-mail
Giữa 1990s
Cuối 1990s
2000
2003
Thời gian
31
Nguy cơ tấn công các cơ sở hạ tầng
32
Nguy cơ tấn công các cơ sở hạ tầng
1. Hạ tầng viễn thông
Có thể dễ dàng bị tấn công và làm cho gián đoạn
Hệ thống viễn thông cố định: Cung cấp một hạ tầng mạng
cho mạng điện thoại cố định, truyền số liệu và là phương tiện
chủ yếu của thương mại điện tử và Chính phủ điện tử. Đồng
thời các phương tiện truyền thông như Internet đều dựa trên
cơ sở mạng này.
Hệ thống thông tin di động: cho các nhà cung cấp dịch vụ
điện thoại di động
Dịch vụ truyền số liệu: Phần lớn mạng viễn thông được dùng
để trao đổi số liệu như tất cả các mạng diện rộng của các tổ
chức ngân hàng, hàng không, các hệ thống khảo sát thăm
dò.....
Mạng Internet: môi trường lý tưởng cho các loại tội phạm
mạng thâm nhập các hệ thống, các phương tiện thiết bị viễn
thông …
Hệ thống thông tin của quân đội: Mặc dù được tách biệt với
các hệ thống thông tin khác, nhưng dựa trên mạng viễn thông
cơ sở và hệ thống máy tính nên nó cũng trở thành mục tiêu
của tội phạm mạng.
Hệ thống điều hành công việc và hệ thống kiểm soát của các
cơ quan Chính phủ.
33
34
Các dạng tội phạm, hành vi, tấn công
Nguy cơ tấn công các cơ sở hạ tầng
2. Hạ tầng cơ sở kinh tế
Các tổ chức tài chính: tất cả các ngân hàng, các trung tâm giao dịch
chứng khoán...
Các nhà máy công nghiệp của Nhà nước và tư nhân sử dụng máy tính để
hiển thị và điều khiển các vật tư thiết bị
Thị trường mua bán công khai và không công khai.
Các doanh nghiệp tư nhân.
Các trung tâm kinh doanh lớn.
3. Tâm lý xã hội
Các phương tiện truyền thông như TV, Radio
Hệ thống luật, kiểm soát dân sự
35
1. Lừa đảo mạng ATM
Khi Hacker lấy được dữ liệu trên các dải từ tính cùng với
số PIN, hoàn toàn có thể tạo ra các thẻ giả, và được dùng
để rút tiền.
2. Tấn công dạng Phishing
Phishing” là hình thức lừa đảo trực
tuyến, trong đó tin tặc sẽ lừa nạn nhân
cung cấp thông tin cá nhân thông qua
những trang web giả mạo có giao diện
giống với những trang nạn nhân hay sử
dụng, hoặc lừa họ truy cập những đường
dẫn chứa mã độc.
36
Các dạng tội phạm, hành vi, tấn công
Các dạng tội phạm, hành vi, tấn công
3. Tấn công từ chối SQL
Độ bảo mật kém của các trang web, đặc biệt là không có
khả năng phòng chống các cuộc tấn công tự động từ xa làm
cho hệ thống bị tê liệt hàng giờ, thậm chí hàng tuần.
4.Phát tán malware (virus,
trojan,…)
Mạng internet là nơi dễ dàng cho các
tin tặc thay đổi thông tin cá nhân do
tin tặc cài Trojan để phát tán phần
mềm hiểm độc và đưa tin quảng
cáo,…
37
38
39
40
Các dạng tội phạm, hành vi, tấn công
Công bố kết quả phân tích mã độc tấn công hệ thống thông
tin của Vietnam Airlines
Theo kết quả phân tích từ Bkav, mã độc sau khi xâm nhập
vào máy tính sẽ ẩn mình dưới vỏ bọc giả mạo là một phần
mềm diệt virus.
Nhờ đó, mã độc này có thể ẩn mình trong thời gian dài mà
không bị phát hiện.
Khi máy tính bị nhiễm mã độc thì mã độc này sẽ có kết nối
thường xuyên và gửi các dữ liệu về máy chủ điều khiển (C&C
Server) thông qua tên miền Name.dcsvn.org (nhái tên miền
của website Đảng Cộng sản).
41
42
Mã độc có chức năng thu thập tài khoản mật khẩu, nhận lệnh
cho phép các tin tặc (hacker) kiểm soát, điều khiển máy tính
nạn nhân từ xa.
Từ đó, các hành vi phá hoại như xóa dấu vết, thay đổi âm
thanh, hiển thị hình ảnh, mã hóa dữ liệu... được tin tặc thực
hiện.
Ngoài ra, mã độc còn có thành phần chuyên để thao tác, xử
lý với cơ sở dữ liệu SQL.
Giải pháp
Thay đổi ngay các mật khẩu hiện tại, đồng thời thiết lập chính
sách bắt buộc thay đổi mật khẩu trong chu kỳ 1 tháng, mật
khẩu không được trùng nhau, đặt mật khẩu mạnh tối thiểu 8
ký tự bao gồm chữ, số, ký tự đặc biệt.
Các đơn vị thực hiện cô lập phân vùng các vùng máy chủ,
thiết lập chính sách chỉ một vài địa chỉ IP, một số máy tính
mới có quyền truy cập vào máy chủ được chỉ định.
Mã độc trên các máy chủ, máy trạm được rà soát để phát
hiện và gỡ bỏ sớm các mã độc đã được cài cắm.
Giải pháp
Thiết lập tường lửa, hệ thống phát hiện xâm nhập để phát
hiện và cảnh báo sớm các cuộc tấn công nhằm vào hệ thống.
Các phòng, ban có chức năng quản lý hệ thống của các đơn
vị cũng được yêu cầu cập nhật thường xuyên các bản vá cho
hệ điều hành, phần mềm dịch vụ trên các máy chủ, máy trạm.
Chương trình diệt mã độc cần được cài đặt và để chế độ cập
nhật tự động thường xuyên.
Có phương án dự phòng các bản sao lưu được tách khỏi
máy chủ đang chạy dịch vụ về mặt vật lý. Tiến hành sao lưu
thường xuyên các ứng dụng, mã nguồn, cơ sở dữ liệu.
Các dạng tội phạm, hành vi, tấn công
Cử các cán bộ tăng cường ứng trực trong thời gian tới để
theo dõi hệ thống mạng của mình.
Phổ biến nâng cao nhận thức về an toàn thư điện tử, an toàn
Internet cho các cán bộ sử dụng máy tính trong cơ quan, đơn
vị mình, phổ biến cho người dùng cảnh giác với các tập tin
đính kèm theo các email; báo cáo kịp thời cho các đơn vị có
chức năng để kịp thời phối hợp xử lý sự cố.
48
Luật ATTT
Luật ATTT
Tội phạm máy tính là hành vi vi phạm pháp luật hình sự do người có
năng lực trách nhiệm hình sự sử dụng máy tính để thực hiện hành vi
phạm tội, lưu trữ thông tin phạm tội hoặc xâm phạm đến hoạt động
bình thường và an toàn của máy tính, hệ thống mạng máy tính”.
Tội phạm máy tính (Computer Crime)
Tội phạm CNTT – điều khiển học (Cyber Crime)
Chứng cứ điện tử là những chứng cứ được lưu giữ dưới dạng tín hiệu
điện tử trong máy tính hoặc trong các thiết bị có bộ nhớ kỹ thuật số có
liên quan đến vụ án hình sự.
49
50
Luật ATTT
Luật và chính sách ATTT
Điều 224. Tội phát tán vi rút, chương trình tin học có tính năng gây hại
cho hoạt động của mạng máy tính, mạng viễn thông, mạng Internet,
thiết bị số
1. Người nào cố ý phát tán vi rút, chương trình tin học có tính năng
gây hại cho mạng máy tính, mạng viễn thông, mạng Internet, thiết bị
số gây hậu quả nghiêm trọng, thì bị phạt tiền từ hai mươi triệu đồng
đến hai trăm triệu đồng hoặc phạt tù từ một năm đến năm năm.
2. Phạm tội thuộc một trong các trường hợp sau đây, thì bị phạt tù từ
ba năm đến bảy năm:
a) Có tổ chức;
b) Gây hậu quả rất nghiêm trọng;
c) Tái phạm nguy hiểm.
3. Phạm tội thuộc một trong các trường hợp sau đây, thì bị phạt tù từ
năm năm đến mười hai năm:
a) Đối với hệ thống dữ liệu thuộc bí mật nhà nước; hệ thống thông tin
phục vụ an ninh, quốc phòng;
b) Đối với cơ sở hạ tầng thông tin quốc gia; hệ thống thông tin điều
hành lưới điện quốc gia; hệ thống thông tin tài chính, ngân hàng; hệ
thống thông tin điều khiển giao thông;
c) Gây hậu quả đặc biệt nghiêm trọng.
4. Người phạm tội còn có thể bị phạt tiền từ năm triệu đồng đến năm
mươi triệu đồng, cấm đảm nhiệm chức vụ, cấm hành nghề hoặc làm
công việc nhất định từ một năm đến năm năm.
51
52
Luật và chính sách ATTT
Luật và chính sách ATTT
Điều 225. Tội cản trở hoặc gây rối loạn hoạt động của mạng máy tính,
mạng viễn thông, mạng Internet, thiết bị số
1. Bị phạt tiền từ hai mươi triệu đồng đến hai trăm triệu đồng hoặc phạt
tù từ một năm đến năm năm:
a) Tự ý xóa, làm tổn hại hoặc thay đổi phần mềm, dữ liệu thiết bị số;
b) Ngăn chặn trái phép việc truyền tải dữ liệu của mạng máy tính, mạng
viễn thông, mạng Internet, thiết bị số;
c) Hành vi khác cản trở hoặc gây rối loạn hoạt động của mạng máy tính,
mạng viễn thông, mạng Internet, thiết bị số.
2. Phạm tội thuộc một trong các trường hợp sau đây, thì bị phạt tù từ ba
năm đến bảy năm:
a) Có tổ chức;
b) Lợi dụng quyền quản trị mạng máy tính, mạng viễn thông, mạng
Internet;
c) Gây hậu quả rất nghiêm trọng;
3. Phạm tội thuộc một trong các trường hợp sau đây, thì bị phạt tù từ
năm năm đến mười hai năm:
a) Đối với hệ thống dữ liệu thuộc bí mật nhà nước; hệ thống thông tin
phục vụ an ninh, quốc phòng;
b) Đối với cơ sở hạ tầng thông tin quốc gia; hệ thống thông tin điều
hành lưới điện quốc gia; hệ thống thông tin tài chính, ngân hàng; hệ
thống thông tin điều khiển giao thông;
c) Gây hậu quả đặc biệt nghiêm trọng.
53
54
Luật và chính sách ATTT
Luật và chính sách ATTT
Điều 226. Tội đưa hoặc sử dụng trái phép thông tin mạng máy
tính, mạng viễn thông, mạng Internet
1. Người nào thực hiện một trong các hành vi sau đây xâm phạm
lợi ích của cơ quan, tổ chức, cá nhân, xâm phạm trật tự, an toàn
xã hội gây hậu quả nghiêm trọng, thì bị phạt tiền từ mười triệu
đồng đến một trăm triệu đồng, cải tạo không giam giữ đến ba năm
hoặc bị phạt tù từ sáu tháng đến ba năm:
a) Đưa lên mạng máy tính, mạng viễn thông, mạng Internet
những thông tin trái với quy định của pháp luật, nếu không thuộc
trường hợp quy định tại Điều 88 và Điều 253 của Bộ luật này;
b) Mua bán, trao đổi, tặng cho, sửa chữa, thay đổi hoặc công khai
hóa những thông tin riêng hợp pháp của cơ quan, tổ chức, cá
nhân khác trên mạng máy tính, mạng viễn thông, mạng Internet
mà không được phép của chủ sở hữu thông tin đó;
c) Hành vi khác sử dụng trái phép thông tin trên mạng máy tính,
mạng viễn thông, mạng Internet.
2. Phạm tội thuộc một trong các trường hợp sau đây, thì bị phạt tù từ
hai năm đến bảy năm:
a) Có tổ chức;
b) Lợi dụng quyền quản trị mạng máy tính, mạng viễn thông, mạng
Internet;
c) Thu lợi bất chính từ một trăm triệu đồng trở lên;
d) Gây hậu quả rất nghiêm trọng hoặc đặc biệt nghiêm trọng.
55
56
Luật và chính sách ATTT
Luật và chính sách ATTT
Điều 226a. Tội truy cập bất hợp pháp vào mạng máy tính, mạng viễn
thông, mạng Internet hoặc thiết bị số của người khác
1. Người nào cố ý vượt qua cảnh báo, mã truy cập, tường lửa, sử dụng
quyền quản trị của người khác hoặc bằng phương thức khác truy cập
bất hợp pháp vào mạng máy tính, mạng viễn thông, mạng Internet hoặc
thiết bị số của người khác chiếm quyền điều khiển; can thiệp vào chức
năng hoạt động của thiết bị số; lấy cắp, thay đổi, hủy hoại, làm giả dữ
liệu hoặc sử dụng trái phép các dịch vụ, thì bị phạt tiền từ hai mươi triệu
đồng đến hai trăm triệu đồng hoặc phạt tù từ một năm đến năm năm.
2. Phạm tội thuộc một trong các trường hợp sau đây, thì bị phạt tù từ ba
năm đến bảy năm:
a) Có tổ chức;
b) Lợi dụng chức vụ, quyền hạn;
c) Thu lợi bất chính lớn;
d) Gây hậu quả nghiêm trọng;
đ) Tái phạm nguy hiểm.
57
58
Luật và chính sách ATTT
Luật và chính sách ATTT
3. Phạm tội thuộc một trong các trường hợp sau đây, thì bị phạt tù
từ năm năm đến mười hai năm:
a) Đối với hệ thống dữ liệu thuộc bí mật nhà nước; hệ thống thông
tin phục vụ an ninh, quốc phòng;
b) Đối với cơ sở hạ tầng thông tin quốc gia; hệ thống thông tin
điều hành lưới điện quốc gia; hệ thống thông tin tài chính, ngân
hàng; hệ thống thông tin điều khiển giao thông;
c) Thu lợi bất chính rất lớn hoặc đặc biệt lớn;
d) Gây hậu quả rất nghiêm trọng hoặc đặc biệt nghiêm trọng.
Điều 226b. Tội sử dụng mạng máy tính, mạng viễn thông, mạng
Internet hoặc thiết bị số thực hiện hành vi chiếm đoạt tài sản
1. Người nào sử dụng mạng máy tính, mạng viễn thông, mạng
Internet hoặc thiết bị số thực hiện một trong những hành vi sau
đây, thì bị phạt tiền từ mười triệu đồng đến một trăm triệu đồng
hoặc phạt tù từ một năm đến năm năm:
a) Sử dụng thông tin về tài khoản, thẻ ngân hàng của cơ quan, tổ
chức, cá nhân để chiếm đoạt hoặc làm giả thẻ ngân hàng nhằm
chiếm đoạt tài sản của chủ thẻ hoặc thanh toán hàng hóa, dịch
vụ;
59
60
Luật và chính sách ATTT
Luật và chính sách ATTT
b) Truy cập bất hợp pháp vào tài khoản của cơ quan, tổ chức, cá
nhân nhằm chiếm đoạt tài sản;
c) Lừa đảo trong thương mại điện tử, kinh doanh tiền tệ, huy động
vốn tín dụng, mua bán và thanh toán cổ phiếu qua mạng nhằm
chiếm đoạt tài sản của cơ quan, tổ chức, cá nhân;
d) Hành vi khác nhằm chiếm đoạt tài sản của cơ quan, tổ chức, cá
nhân.
2. Phạm tội thuộc một trong các trường hợp sau đây, thì bị phạt tù
từ ba năm đến bảy năm:
a) Có tổ chức;
b) Phạm tội nhiều lần;
c) Có tính chất chuyên nghiệp;
d) Chiếm đoạt tài sản có giá trị từ năm mươi triệu đồng đến dưới
hai trăm triệu đồng;
đ) Gây hậu quả nghiêm trọng;
e) Tái phạm nguy hiểm.
61
Luật và chính sách ATTT
62
Luật và chính sách ATTT
3. Phạm tội thuộc một trong các trường hợp sau đây, thì bị phạt tù
từ bảy năm đến mười lăm năm:
a) Chiếm đoạt tài sản có giá trị từ hai trăm triệu đồng đến dưới
năm trăm triệu đồng;
b) Gây hậu quả rất nghiêm trọng.
4. Phạm tội thuộc một trong các trường hợp sau đây, thì bị phạt tù
từ mười hai năm đến hai mươi năm hoặc tù chung thân:
a) Chiếm đoạt tài sản có giá trị từ năm trăm triệu đồng trở lên;
b) Gây hậu quả đặc biệt nghiêm trọng.
Chính sách ATTT (Information security policy)
Mục tiêu: Đưa ra sự hỗ trợ và định hướng cho vấn đề an toàn
thông tin.
Vấn đề quản lý các chính sách định hướng rõ ràng và chứng
tỏ khả năng hỗ trợ, các cam kết về an toàn thông tin thông
qua việc đưa ra và duy trì các chính sách về an toàn thông tin
đối với một tổ chức.
63
Luật và chính sách ATTT
64
Luật và chính sách ATTT
Xây Dựng một Chính Sách Bảo Mật Hệ Thống
1. Xác định đối tượng cần bảo vệ
2. Xác định nguy cơ đối với hệ thống
• a. Các điểm truy nhập
b. Không kiểm soát được cấu hình hệ thống
• c. Những bug phần mềm sử dụng
d. Những nguy cơ trong nội bộ mạng
3.Xác định phương án thực thi chính sách bảo mật
• a. Tính đúng đắn
• b. Tính thân thiện
• c. Tính hiệu quả
4. Triển khai chính sách bảo mật bằng cách đào tạo người sử
dụng và xây dựng thiết bị
5. Thiết lập các thủ tục bảo vệ hệ thống
a. Thủ tục quản lý tài khoản người sử dụng
b. Thủ tục quản lý mật khẩu
c. Thủ tục quản lý cấu hình hệ thống
d. Thủ tục sao lưu và khôi phục dữ liệu
e. Thủ tục báo cáo sự cố
65
66
Chính sách ATTT
Chính sách ATTT – Tổ chức
7 giải pháp:
1)
2)
3)
4)
5)
6)
7)
Tổ chức an toàn, an ninh thông tin mạng Việt Nam
Con người
Hành lang pháp lý
Tổ chức
Quy trình
Công nghệ
Hợp tác
Thưởng phạt
An toàn, an ninh thông
tin quốc gia
Bộ Quốc phòng
Bộ thông tin và
Truyền thông
Bộ Nội vụ
Cơ quan an toàn
thông tin
Trung tâm
VNCERT
Ban Cơ yếu
Bộ Công an
Tổng cục An
ninh
68
67
67
Chính sách an toàn thông tin – Công nghệ
Chính sách an toàn thông tin – Công nghệ
2. Hợp phần
Phòng vệ theo chiều sâu
An toàn Gateway
-AAA
-Firewall/VPN
-Anti-Virus Protection
-Intrusion Detection
-Content Filtering
An toàn Server
-AAA
-Firewall/VPN
-Anti-Virus Protection
-Vulnerability
Management
-Intrusion Detection
Tổng cục
Cảnh sát
An toàn Client
-AAA
-Firewall/VPN
-Anti-Virus Protection
-Intrusion Detection
Management &
Reporting
Content Filtering
Intrusion Detection
Vulnerability Management
Anti-Virus
Firewall & VPN
AAA
Cấu trúc công nghệ
70
69
Chính sách an toàn thông tin – Công nghệ
Chính sách an toàn thông tin – Hợp tác
Cải thiện năng lực tìm và phòng ngừa tấn công: các cơ quan tình
báo, quốc phòng và hành pháp phải cải thiện khả năng tìm ra
nhanh nguồn tấn công hoặc các hoạt động có nguy cơ để đối phó
kịp thời và hiệu quả.
3. Quản lý
Quét và điều trị
Rà soát độc lập chương trình ATTT
Cập nhật chương trình chống vi rút
Chương trình kiểm soát: kiểm soát được sự
cố/tháng
Cải tiến việc phối hợp giữa các cơ quan trong một quốc gia để đối
phó với các cuộc tấn công mạng
Giành quyền đối phó thích hợp: khi một quốc gia, nhóm khủng hay
những ý đồ khác tấn công vào một quốc gia nào đó qua mạng, thì
quốc gia bị tấn công không thể bị giới hạn trong thủ thục tố tụng,
mà có thể giành quyền đối phó trước kịp thời và thích hợp.
71
72
Chính sách an toàn thông tin – Hợp tác
Chính sách an toàn thông tin – Thưởng phạt
Hợp tác với các tổ chức quốc tế và với tổ chức thuộc chuyên môn
để tạo thuận lợi và thúc đẩy “văn hóa an toàn mạng” toàn cầu: mỗi
một quốc gia cần phải quan tâm tới an toàn mạng ngoài phạm vi
biên giới của mình
Thực hiện công tác thanh tra, kiểm tra
Tuyên dương, khen thưởng
Xử phạt
Tăng cường nỗ lực công tác phản tình báo
Mỗi nước cần nỗ lực phối hợp giải quyết các vấn đề về kỹ thuật,
khoa học và các chính sách liên quan đảm bảo sự hoàn chỉnh của
các mạng thông tin
Mỗi nước nên thiết lập hệ thống cảnh báo quốc gia và quốc tế để
phát hiện và ngăn chặn các cuộc tấn công mạng
73
74
10 điểm cần quan tâm
10 điểm cần quan tâm
CEO lãnh đạo chương trình ATTT
+ Xây dựng chiến lược
+ Đảm bảo thực hiện phù hợp mục tiêu
+ Xây dựng mô hình quản lý
2. Xây dựng mức trách nhiệm
+ Phân cấp quản lý
+ Lựa chọn cán bộ có kinh nghiệm
+ Không bố trí cán bộ làm bán thời gian
+ Xây dựng cơ chế báo cáo trực tiếp
3. Lập bộ phận quản trị ATTT liên chức năng
+ Đảm bảo kết hợp chặt chẽ với các bộ phận khác
+ Đảm bảo phù hợp với quy định và luật
+ Xây dựng chính sách ATTT
4. Xây dựng ma trận quản lý chương trình
1.
+ Để đảm bảo không khác nhau
+ Đánh giá được hiệu quả của chương trình
+ Giúp cải tiến quy trình
5. Thực hiện chế độ thường xuyên cải tiến chương trình ATTT
6. Thực hiện rà soát độc lập chương trình ATTT
7. Triển khai các mức an toàn tại Gateway, Server và Client
8. Phân chia thành các vùng ATTT
9. Bắt đầu với chương trình cơ bản sau đó cải tiến dần
10. Xem ATTT là khoản đầu tư thiết yếu
75
76
Nội dung
Chuẩn về ứng dụng CNTT cho cơ quan nhà nước do bộ TT&TT
ban hành tại quyết định số 19/2008/QĐ-BTTTT và 20/2008/QĐBTTTT, có hiệu lực ngày 07/05/2008
An toàn thư điện tử, truyền thư điện tử
An toàn tầng giao vận
An toàn tầng mạng
An toàn truyền file
An toàn dịch vụ DNS
An toàn thông tin cho mạng không dây
Chuẩn An Toàn Thông Tin
Cho Cơ Quan Nhà Nước
77
78
Nội dung (tt)
Mô hình OSI
Giải thuật mã hóa
Giải thuật chữ kí số,
Giải thuật truyền khóa
Giải pháp xác thực người sử dụng
An toàn trao đổi bản tin XML
Quản lý khóa công khai bản tin XML
Giao thức an toàn thông tin cá nhân
Hạ tầng khóa công khai
Hệ thống #2
System #1
Application
Ứng dụng
7
People
Presentation
Trình diễn
6
Seem
Session
Phiên
5
Transport
Giao vận
4
All
To
Need
Network
Mạng
3
Data
Data Link
Liên kết dữ liệu
2
Processing
Physical
Vật lý
1
011010100011001111
79
Mô hình OSI
Mô hình OSI
Application
Presentation
80
7
Application
6
Presentation
Định dạng biểu diễn dữ liệu, encryption,…
5
Session
Thiết lập session, security, authentication
4
Transport
Application
Presentation
Data
Session
Session
Transport
Data
Network
Data
Data Link
Data
segments
packets
frames
Physical
Transport
3
Network
2
Data Link
1
Physical
Network
Data Link
Physical
Các ứng dụng mạng: email, web, chat,...
Bảo đảm truyền nhận đúng dữ liệu
Quản lý địa chỉ, tìm đường, truyền nhận
các packet.
Truyền nhận frame, kiểm tra và sửa lỗi
Kết nối vật lý, truyền các bit dữ liệu
10010111001011010010110101011110101
82
81
An toàn tầng giao vận
Họ giao thức TCP/IP
Secure Shell version (SSH v1.0, v2.0)
Secure Socket Layer version 3.0 (SSL v3.0)
Transport Layer Security version 1.0 (TLS v1.0)
83
84
An toàn tầng mạng
An toàn các dịch vụ
Hypertext Transfer Protocol over Secure Socket Layer (HTTPS)
Simple Mail Transfer Protocol over Secure Socket Layer (SMTPS)
Internet Protocol Security với IP ESP
File Transfer Protocol over Secure Socket Layer (FTPS)
Post Office Protocol over Secure Socket Layer (POPS)
Internet Message Access Protocol over Secure Socket Layer
(IMAPS)
Domain Name System Security (DNSSEC)
Secure Multi-purpose Internet Mail Extensions version 3.0
(S/MIME v3.0)
Open PGP
85
An toàn thông tin cho mạng Wi-fi
Giải thuật mã hóa
WEP (Wired Equivalency Privacy)
−
Mức độ bảo vệ tương tự như hệ thống có dây
−
Dùng 64-bit hoặc 128-bit mã hoá
−
128-bit mã hoá cho phép nhiều lựa chọn trong hệ thống an ninh.
−
Thường dùng từ khoá bằng số
Advanced Encryption Standard (AES)
Triple Data Encryption Standard (3DES): 3DES là một phiên
bản cải tiến của DES. Nguyên tắc của 3DES là tăng chiều dài
khóa của DES để tăng độ an toàn
Secure Hash Algorithms-2 (SHA-2)
Message Digest 5 (MD5): Giải thuật xác thực thông tin dùng
để kiểm tra các phần mềm mã nguồn mở trên mạng (Ron
Rivest, RFC 1321)
Rivest-Shamir-Adleman (RSA)
WPA (WiFi Protected Access )
−
Mức độ bảo vệ truy cập WiFi
−
Phát triển từ WEP
−
Là một phần trong giao thức an ninh mạng không dây 802.11i
−
WPA1, WPA2
86
87
Giải pháp xác thực người sử dụng
88
An toàn trao đổi bản tin XML
XML: eXtended Markup Language
XML Encryption Syntax and Processing
XML Signature Syntax and Processing
Security Assertion Markup Language version 2.0 (SAML v2.0)
SSO (Single Sign On)
XML Key Management Specification version 2.0 (XKMS v2.0)
89
90
Giao thức an toàn thông tin cá nhân
Bộ tiêu chuẩn an toàn thông tin (ISMS)
ISO 27000
1.
2.
Platform for Privacy Preferences
Project version 1.0 (P3P v1.0)
Public Key Infrastructure (PKI)
3.
91
Phát hành March 15, 2011 bởi ARAROI
Phạm vi áp dụng: các tổ chức, doanh nghiệp lớn, nhỏ có sử dụng hệ
thống thông tin, trung tâm lưu trữ dữ liệu tập trung, phân tán.
ISO 27000 TOOLKIT là tập hợp các tài liệu và tiêu chuẩn giúp doanh
nghiệp đạt được mục đích bảo toàn an ninh thông tin của mình
Nội dung bao gồm:
Phiên bản mới nhất ISO/IEC 27002 (ISO 17799) và ISO/IEC 27001
(trước đây là BS 7799-2).
Bộ chính sách đầy đủ về ATTT phù hợp với ISO 27002.
Tài liệu ISO 17799 / ISO 27001 / ISO 27002 dưới dạng PowerPoint
92
Tiêu chuẩn "Hướng dẫn về quản lý an toàn thông tin” - ISO/IEC 17799:2005
ISO/IEC 17799:2005 bao gồm 134 biện pháp cho ATTT và
được chia thành 11 nhóm:
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
Chính sách ATTT (Information security policy): chỉ thị và hướng dẫn về an toàn thông tin
Tổ chức an toàn thông tin (Organization of information security): tổ chức biện pháp an toàn
và qui trình quản lý.
Quản lý tài sản (Asset management): trách nhiệm và phân loại giá trị thông tin
An toàn tài nguyên con người (Human resource security): bảo đảm an toàn
An toàn vật lý và môi trường (Physical and environmental security)
Quản lý vận hành và trao đổi thông tin (Communications and operations management)
Kiểm soát truy cập (Access control)
Thu nhận, phát triển và bảo quản các hệ thống thông tin (Information systems acquisition,
development and maintenance)
Quản lý sự cố mất an toàn thông tin (Information security incident management)
Quản lý duy trì khả năng tồn tại của doanh nghiệp (Business continuity management)
Tuân thủ các quy định pháp luật (Compliance)
93
ISO 27001
1.
2.
3.
4.
5.
6.
7.
Công nghệ thông tin
Kỹ thuật an toàn
Hệ thống quản lý an toàn thông tin
Các yêu cầu Information technology.
Security techniques
Information Security management system.
Requirements
ISO 27002
1.
2.
3.
4.
5.
Công nghệ thông tin
Kỹ thuật an toàn
Qui phạm thực hành về quản lý an toàn thông tin (ISO/IEC 17799:2005)
Information technology.
Security techniques
Code of practice for information security management (ISO/IEC
17799:2005)
95
Tiêu chuẩn ISO/IEC 27001:2005 phát triển từ phần 2 của BS
7799. Tiêu chuẩn này quy định các yêu cầu đối với một hệ
thống quản lý an toàn thông tin và tương tự như ISO 9001 là
một tiêu chuẩn về quản lý có thể được cấp giấy chứng nhận.
94
