Chương 1
Giới thiệu tổng quan về an toàn và
bảo mật thông tin
Nội dung
Thông tin và an toàn thông tin
Kiến trúc OSI an toàn
Yêu cầu của một hệ truyền thông an toàn
Các loại hình tấn công
Bảo mật thông tin trên mạng
Thông tin và hệ thống thông tin
“Information system is the study of complementary
networks of hardware and software that people
and organization use to collect, filter, process,
create, and distribute data” Wikipedia
1.1. An toàn và bảo mật thông
tin
Sự phát triễn mạnh mẽ của CNTT nhu cầu an
toàn thông tin.
q Bảo vệ thông tin trong quá trình truyền
q Bảo vệ thông tin cục bộ tránh sự phá hoại từ bên ngoài.
1.2. Kiến trúc OSI an toàn
Để đảm bảo hệ thống an toàn, các tổ chức cần
đánh giá, lựa chọn giải pháp và chính sách đồng
bộ, xây dựng các yêu cầu bảo mật.
ITUT : khuyến nghị X.800 như một kiến trúc bảo
mật OSI, định nghĩa một PP đồng bộ và cung cấp
các yêu cầu bảo mật.
Kiến trúc OSI an toàn(tt)
OSI an toàn tập trung vào:
◦ tấn công bảo mật: bất kỳ hành động nào thảo hiệp bảo
mật thông tin của tổ chức.
◦ Cơ chế bảo mật: tiến trình được thiết kế để dò tìm,
ngăn chặn, hoặc phục hồi từ tấn công bảo mật.
◦ Dịch vụ bảo mật: tiến trình hoặc dịch vụ giao tiếp đảm
bảo bảo mật hệ thống xử lý dữ liệu và việc truyền thông
tin của một tổ chức mong muốn chống lại tấn công bảo
mật.
◦ Dịch vụ bảo mật sử dụng một hoặc nhiều cơ chế bảo
mật.
Security Attacks
Security Attacks
Interruption: This is an attack on availability
Interception: This is an attack on confidentiality
Modification: This is an attack on integrity
Fabrication: This is an attack on authenticity
8
Security Goals
Confidentiality
Integrity
Avalaibility
9
10
Security Services
Confidentiality (privacy)
Authentication (who created or sent the data)
Integrity (has not been altered)
Nonrepudiation (the order is final)
Access control (prevent misuse of resources)
Availability (permanence, nonerasure)
◦ Denial of Service Attacks
◦ Virus that deletes files
11
Yêu cầu của một hệ truyền
thông an toàn
Tính bảo mật (confedentialy)
Tính chứng thực (authentication)
Tính không từ chối (Nonrepudiation)
13
Methods of Defence
Encryption
Software Controls (access limitations in a data base, in
operating system protect each user from other users)
Hardware Controls (smartcard)
Policies (frequent changes of passwords)
Physical Controls
Henric Johnson
14
1.3. Vai trò của mật mã trong
bảo mật thông tin trên mạng
Mật mã hay mã hóa dữ liệu (cryptography) là
công cụ cơ bản thiết yếu của bảo mật thông tin,
đáp ứng như cầu tính bảo mật, tính chứng thực,
tính không thể từ chối của một hệ truyền tin.
Các giao thức bảo mật
Keberos
X.509
SSL
PGP và S/MIME
1.4. Bảo vệ sự xâm nhập từ bên
ngoài
Access control
◦ Authentication
◦ Authorization
18
Câu hỏi ôn tập
1. Nên các hình thức tấn công trong quá trình
truyền tin trên mạng.
2. Bảo vệ thông tin trong quá trình truyền đi trên
mạng là gì? Các biện pháp phòng thủ tấn công
mạng trong quá trình truyền tin.