LOGO

BẢO MẬT THÔNG TIN

BẢO MẬT THÔNG TIN


Nội dung chính

I

Thực trạng bảo mật thông tin

II

Định nghĩa bảo mật thông tin

III

Quản trị bảo mật

IV

Các lỗ hỏng trong bảo mật


I. Thực trạng bảo mật thông tin

1. Các loại hình tấn công mạng chủ yếu
a. Hacker:

 Những người này hiểu rõ hoạt động của hệ thống máy tính, mạng máy tính và dùng
kiến thức của bản thân để làm thay đổi, chỉnh sửa nó với nhiều mục đích tốt xấu khác
nhau.

 Có 3 loại hacker:
- Hacker mũ trắng
- Hacker mũ đen
- Ngoài ra còn có hacker
mũ xanh, mũ xám

www.themegallery.com


I. Thực trạng bảo mật thông tin

1. Các loại hình tấn công mạng chủ yếu
b. Virus máy tính:



Virus thường được viết bởi một số người am hiểu về lập trình muốn chứng tỏ khả năng của mình nên thường virus có các
hành động như: cho một chương trình không hoạt động đúng, xóa dữ liệu, làm hỏng ổ cứng…



Những virus mới được viết trong thời gian gần đây đa phần hướng
đến việc lấy cắp các thông tin cá nhân nhạy cảm




Chiếm trên 90% số virus đã được phát

hiện là nhắm vào hệ thống sử dụng hệ
điều hành họ Windows chỉ đơn giản bởi
hệ điều hành này được sử dụng nhiều
nhất trên thế giới. 

www.themegallery.com


I. Thực trạng bảo mật thông tin

1. Các loại hình tấn công mạng chủ yếu
c. Sâu máy tính(Worm):

 Là các chương trình cũng có khả năng tự nhân bản tự tìm cách lan truyền qua hệ thống mạng.
 Các worm phá các mạng (network) thông tin chia sẻ,
 Worm là một chương trình độc lập
 Sâu máy tính thường mang theo phần mềm gián điệp để mở cửa hậu máy tính trên các máy
tính bị nhiễm.

www.themegallery.com


I. Thực trạng bảo mật thông tin

1. Các loại hình tấn công mạng chủ yếu
d. Thư rác, thư điện tử:
Là các thư điện tử vô bổ thường chứa các loại quảng cáo được gửi một cách vô tội vạ và nơi nhận
là một danh sách rất dài gửi từ các cá nhân hay các nhóm người và chất lượng của loại thư này

thường thấp.

www.themegallery.com


I. Thực trạng bảo mật thông tin

2. Các loại phần mềm

www.themegallery.com


Keylogger: Là phần mềm ghi lại chuỗi phím gõ của người dùng.

Rootkit: Là một bộ công cụ phần mềm dành cho việc che giấu các tiến trình đang chạy, các file hoặc

Thực trạng bảo mật thông tin

dữ liệu hệ thống.

Phần mềm ác tính (malware): Là một loại phần mềm hệ thống do các tay tin tặc hay các kẻ nghịch
ngợm tạo ra nhằm gây hại cho các máy tính.

Phần mềm tống tiền (ransomware): Là loại phần mềm dung một hệ thống mật mã để mã hóa dữ
liệu thuộc về một cá nhân và đòi tiền chuộc thì mới khôi phục lại .

Phần mềm gián điệp (spyware): Đây là loại virus có khả năng thâm nhập trực tiếp vào hệ điều hành
mà không để lại "di chứng".

Phần mềm quảng cáo (adware): Loại phần mềm quảng cáo, rất hay có ở trong các chương trình cài

đặt tải từ trên mạng.

www.themegallery.com


I. Thực trạng bảo mật thông tin

3. Thực trạng

Thực trạng

Tình hình thế giới

Tình hình Việt Nam

www.themegallery.com


I. Thực trạng bảo mật thông tin

3. Thực trạng
a. Tình hình Thế Giới

Năm 2007: “Xung đột mạng” ở

Năm 2008: Mạng lưới tuyệt

Estonia

mật của Mỹ bị xâm nhập


Năm 2009: “Sâu” Stuxnet tấn
công nhà máy hạt nhân của
Iran

Năm 2015: Vụ bê bối từ trang
Năm 2012: Iran phản công

Năm 2014: Sony “thất thủ”

web “ngoại tình” Ashley
Madison

Năm 2016: Hòm thư của Hillary
Clinton bị hacker đột nhập
www.themegallery.com


I. Thực trạng bảo mật thông tin

3. Thực trạng
b. Tình hình Việt Nam
Trong nửa đầu tháng 9/2014, đã có

 Mới nhất là vụ tin tặc tấn
công các sân bay tại Việt

tổng cộng 1.039 website của Việt
Nam bị tấn công, đây là con số cao
nhất trong năm 2014.


9 tháng
đầu năm

Nam 2016.

2014, đã

 Vụ khách hàng của ngân
hàng vietcombank bị rút
500 triệu khỏi thẻ chỉ sau

Còn trong

có 4.767
Trong khoảng thời gian từ 26/8/2014 đến

websites

17/11/2014 có đến 2.500 website của các

của Việt

cơ quan nhà nước bị tấn công(gov.vn)

Nam bị tấn
công, tăng

1 đêm


gấp đôi so
với các
năm từ
2011-2013.

Năm 2014 đến nay có đến hơn 2,5
triệu hành vi dò quét, tấn công có
mức độ nguy hiểm cao vào cổng
thông tin củawww.themegallery.com
TP.HCM ..


•

www.themegallery.com

(Information Systems Security)
Bảo mật hệ thống thông tin
Là bảo vệ hệ thống thông tin chống lại việc truy cập, sử dụng, chỉnh sửa, phá
hủy, làm lộ và làm gián đoạn thông tin và hoạt động của hệ thống một cách trái
phép.

•

Là lĩnh vực liên quan đến việc xử lý ngăn ngừa và phát hiện những hành
động bất hợp pháp/trái phép của người dùng

•

Là một chủ đề rộng bao gồm tất cả các vấn đề bảo mật có liên quan

đến lưu trữ và xử lý thông tin.

security)
Bảo mật máy tính (computer
security)
Bảo mật thông tin (information
Bảo mật (security)

1. Các khái niệm:

•

Là việc bảo vệ những thứ có giá trị.

II. Định nghĩa bảo mật thông tin


www.themegallery.com

Tính khả
dụng(Avallab
ility)

Tính toàn

• Là tính sẵn sàng của thông tin cho các nhu cầu truy xuất hợp lệ.
• Tính khả dụng là một yêu cầu rất quan trọng của hệ thống
• Tính khả dụng được xem là nền tảng của một hệ thống bảo mật

vẹn

(Integrity):

Tính bí

•
•
•

Chỉ những người dùng được ủy quyền mới được phép chỉnh sửa dữ liệu
Tính toàn vẹn được xét trên 2 khía cạnh:toàn vẹn về nội dung và toàn vẹn về nguồn gốc.
Sự tòan vẹn về nguồn gốc thông tin trong một số ngữ cảnh còn có ý nghĩa tương đương với sự đảm bảo tính không thể chối cãi (non-repudiation) của hệ

mật
(Confidenti
ality):

thống thông tin.

2. Những đặc trưng của một hệ thống bảo mật thông tin

• Bảo vệ dữ liệu không bị lộ ra ngoài một cách trái phép.
• Tuỳ theo tính chất của thông tin mà mức độ bí mật của chúng có khác nhau.
• Sự bí mật của thông tin phải được xem xét dưới dạng 2 yếu tố tách rời: sự tồn tại của thông tin và nội dung của thông tin đó.

II. Định nghĩa bảo mật thông tin


II. Định nghĩa bảo mật thông tin

2. Những đặc trưng của một hệ thống bảo mật thông tin


Thương mại điện tử thêm một yếu tố nữa:

Tính chống thoái thác (Non-repudiation): Khả năng ngăn chặn việc từ chối một hành vi đã
làm

Trên thực tế, kỹ thuật mật mã được triển khai rộng rãi để đảm bảo tính bí mật và toàn vẹn
của thông tin được lưu trữ hay truyền nhận nhưng kỹ thuật này không bảo đảm cho tính
sẵn sàng của hệ thống.

www.themegallery.com


II. Định nghĩa bảo mật thông tin

3. Các mục tiêu của bảo mật
Để thực hiện mô hình CIA, người quản trị hệ thống cần định nghĩa các trạng thái an toàn của hệ thống
thông qua chính sách bảo mật, sau đó thiết lập các cơ chế bảo mật để bảo vệ chính sách đó. Một hệ thống
lý tưởng là hệ thống:

 Có chính sách xác định một cách chính xác và đầy đủ các trạng thái an toàn của hệ thống;
 Có cơ chế thực thi đầy đủ và hiệu quả các quy định trong chính sách.

www.themegallery.com


II. Định nghĩa bảo mật thông tin

3. Các mục tiêu của bảo mật


Xây dựng một hệ thống bảo mật, thì mục tiêu đặt ra cho cơ chế được áp dụng phải bao
gồm 3 phần như sau:

www.themegallery.com


II. Định nghĩa bảo mật thông tin

Ngăn chặn:

Phục hồi:

Phát hiện:

-Mục tiêu thiết kế là ngăn chặn

-Mục tiêu thiết kế tập trung vào

-mục tiêu thiết kế bao gồm các

các vi phạm đối với chính sách

các sự kiện vi phạm chính sách đã

cơ chế nhằm chặn đứng các vi

-Các cơ chế an
toàn(securemechanism) hoặc cơ
chế
chínhxác(precisemechanism)

được thiết kế với mục tiêu ngăn
chặn.

và đang xảy ra trên hệ thống

phạm đang diễn ra (response)

-Thực hiện các cơ chế phát hiện rất

hoặc khắc phục hậu quả của vi

phức tạp, phải dựa trên nhiều kỹ

phạm một cách nhanh chóng

thuật và nhiều nguồn thông tin
khác nhau,chủ yếu dựa vào việc
theo dõi và phân tích các thông tin

nhất với mức độ thiệt hại thấp
nhất (recovery)

trong nhật ký hệ thống (system

-phần quan trọng trong các cơ

log) và dữ liệu đang lưu thôngtrên

chế phục hồi là việc nhận diện


mạng (network traffic) để tìm ra
các dấu hiệu của vi phạm.

sơ hở của hệ thống và điều
chỉnh những sơ hở đó

www.themegallery.com


III. Quản trị bảo mật
1.Khái niệm:
Là việc một tổ chức sử dụng các phương thức để lập kế hoạch, tập hợp, tạo mới, tổ chức, sử dụng, kiểm
soát, phổ biến và loại bỏ một cách hiệu quả các thông tin của tổ chức đó.

www.themegallery.com


III. Quản trị bảo mật
1.Khái niệm:
Thông qua quản trị bảo mật thông tin, tổ chức có thể đảm bảo rằng giá trị của các thông tin đó được xác lập
và sử dụng tối đa để hỗ trợ cho các hoạt động trong nội bộ tổ chức cũng như góp phần nâng cao hiệu quả của
bộ phận cung cấp thông tin

Các quy tắc trong bảo mật thông tin:

Phải suy nghĩ lại về cách thức xử lý thông tin cũng như cách thức phổ biến và thu thập thông tin cần
mới mẻ hơn
Cần phải có sự chia sẻ thông tin nhiều hơn nữa giữa các tổ chức công cộng
Khả năng khai thác các nguồn thông tin có liên quan và đáng tin cậy cũng như đối với các thiết bị tạo
và xử lý dữ liệu.

Cần phải có cái nhìn nhanh hơn và xa hơn phải học cách khai thác các nguồn thông tin khổng lồ từ
Internet.

www.themegallery.com


III. Quản trị bảo mật
2. Lập kế hoạch bảo mật thông tin

 Các thành phần trong lập kế hoạch bảo mật thông tin:Chính sách an toàn thông tin,Tổ chức an
toàn thông tin,Quản lý tài sản



Triển khai:
- Chính sách an toàn thông tin: mục tiêu cung cấp định hướng

và sự hỗ trợ
- Tổ chức an toàn thông tin: mục tiêu là đưa ra mô hình, cách
thức tổ chức các bộ phận cần thiết để đảm bảo việc xây dựng, triển
khai và thực hiện tuân thủ các chính sách ATTT, duy trì ATTT và các
phương tiện xử lý thông tin của doanh nghiệp được truy cập, xử lý,
truyền thông, hoặc được quản lý bởi các tổ chức bên ngoài.
- Quản lý tài sản: mục tiêu nhằm đạt được và duy trì việc bảo
vệ phù hợp các tài sản của tổ chức

www.themegallery.com


III. Quản trị bảo mật


3. Lập kế hoạch dự phòng
Thảm họa đối với các hệ thống thông tin có thể do nhiều nguyên
nhân khác nhau, dẫn đến tình trạng hệ thống thông tin bị hư
hỏng, tê liệt hoặc phải ngừng hoạt động trong một thời gian dài

Kế hoạch phải được phát triển cùng với sự mở rộng về môi
trường kinh doanh, mục tiêu kinh doanh cũng như những
biến động trong môi trường CNTT.

Một kế hoạch dự phòng thảm họa CNTT hoàn chỉnh bao gồm các chính
sách, cơ cấu tổ chức, cơ sở hạ tầng, các quy định, quy trình và thủ tục, kế
hoạch này sẽ chỉ hoàn thiện khi tất cả các phần của bản kế hoạch được cụ
thể  hoá và được gắn kết lại với nhau thành một chỉnh thể thống nhất

www.themegallery.com


III. Quản trị bảo mật

4. Chính sách bảo mật thông tin



Chính sách bảo mật toàn doanh nghiệp là tài liệu cấp cao đặc thù, tập hợp các luật đặc biệt của tổ chức, doanh nghiệp như
những yêu cầu, quy định mà những người của tổ chức, doanh nghiệp đó phải thực hiện để đạt được các mục tiêu về an toàn
thông tin, sẽ là tiền đề để doanh nghiệp xây dựng các giải pháp bảo mật, xây dựng những quy trình đảm bảo an toàn hệ
thống, đưa ra các hướng dẫn thực hiện, gắn kết yếu tố con người, quản trị, công nghệ để thực hiện mục tiêu an toàn hệ
thống.




Để xây dựng được một bộ chính sách bảo mật tốt, trước tiên chúng ta cần xác định được các tài nguyên trong hệ thống,
đánh giá mức độ quan trọng, phân loại chúng, khi xác định được đủ các tài nguyên thì bộ chính sách viết ra mới bao quát
được toàn bộ tất cả những gì cần phải bảo vệ.



Bước tiếp theo sẽ là đánh giá các chức năng, quy trình hoạt động sử dụng các tài nguyên, sau đó, xác định tài nguyên nào
cần bảo vệ. Từ đó đưa ra các chính sách bảo mật bảo vệ các User đó.

www.themegallery.com


III. Quản trị bảo mật

CHIẾN LƯỢC BẢO MẬT HỆ THỐNG AAA

www.themegallery.com


III. Quản trị bảo mật

CHIẾN LƯỢC BẢO MẬT HỆ THỐNG AAA
Chiến lược bảo mật hệ thống AAA (access control, authentication, auditing) là chiến lược nền tảng nhất để thực thi các chính
sách bảo mật trên một hệ thống
Cơ sở của chiến lược này như sau:

1-Quyền truy xuất đến tất cả các tài nguyên trong hệ thống được xác định một cách tường minh và
gán cho các đối tượng xác định trong hệ thống.


2-Mỗi khi một đối tượng muốn vào hệ thống để truy xuất các tài nguyên, nó phải được xác thực bởi
hệ thống để chắc chắn rằng đây là một đối tượng có quyền truy xuất.

3-Sau khi đã được xác thực, tất cả các thao tác của đối đượng đều phải được theo dõi để đảm bảo
đối tượng không thực hiện quá quyền hạn của mình.
www.themegallery.com


III. Quản trị bảo mật

CHIẾN LƯỢC BẢO MẬT HỆ THỐNG AAA
Tóm lại, AAA là phương pháp tiếp cận cơ bản nhất để
thực hiện một hệ thống bảo mật theo mô hình CIA.

-Thiết lập các cơ chế điều khiển truy
xuất cho từng đối tượng (Access
control)

-Xác thực các đối tượng trước khi
cho phép thao tác trên hệ thống
(Authentication)

-Theo dõi các thao tác của đối tượng
trên hệ thống (Auditing)

3 lĩnh vực của AAA

www.themegallery.com