- AN TOÀN HỆ THỐNG THÔNG TIN. - An toàn hệ thống thông tin. - Mục tiêu an toàn toàn hệ thống thông tin 3. - Các tấn công an toàn hệ thống thông tin 4. - Các bước cơ bản an toàn hệ thống thông tin. - Sự cần thiết của An toàn HTTT đối với cá nhân, tổ chức, và xã hội. - Pháp luật về an toàn hệ thống thông tin. - An toàn hê thống thông tin. - Nó bao gồm cả những sản phẩm và những quy trình nhằm ngăn chặn việc truy cập trái phép, hiệu chỉnh, xóa, phá hủy, làm lộ và làm gián đoạn thông tin và hoạt động của hệ thống một cách trái phép.. - Mục tiêu an toàn thông tin. - Che dấu nội dung hoặc sự tồn tại dữ liệu, thông tin và tài nguyên Một hệ thống an toàn sẽ đảm bảo sự bí mật của dữ liệu. - Có nghĩa là nó chỉ cho phép những các cá nhân hợp pháp được xem những dữ liệu hợp. - Ví dụ: Trong hệ thống thông tin ngân hàng, chỉ có chủ tài khoản hoặc người được ủy quyền mới được phép xem thông tin tài khoản và thực hiện giao dịch trên tài khoản đó. - Người thân cũng không thể xem được thông tin của tài khoản đó.. - Chỉ những người dùng được ủy quyền mới được phép chỉnh sửa dữ liệu.. - Ví dụ: Trong hệ thống thông tin ngân hàng, bản thân chủ tài khoản cũng không thể tự tiện thay đổi thông tin tài khoản (như địa chỉ, số điện thoại. - Cho phép truy cập dữ liệu và tài nguyên ở mọi lúc.. - Đảm bảo dữ liệu luôn sẵn sàng được truy cập bởi những người dùng hợp pháp, không bị trì hoãn.. - Denial-of-service là một hình thức tấn công làm mất đi tính sẵn sàng của dữ liệu.. - Ví dụ: Trong hệ thống quản lý thông tin ngân hàng, cần đảm bảo rằng chủ tài khoản có thể truy vấn/giao dịch thông tin tài khoản của mình bất cứ lúc nào.. - Bên cạnh bộ ba CIA, trong lĩnh vực an toàn còn khái niệm quan trọng cần có:. - Ví dụ: Trong hệ thống ngân hàng, có khả năng cung cấp bằng chứng để chứng minh một hành vi khách hàng đã thực hiện, như giao dịch thanh toán, giao dịch chuyển khoản..... - Các tấn công an toàn thông tin. - Tấn công thụ động (passive attacks): cố gắng tìm hiểu hoặc sử dụng thông tin từ hệ thống nhưng không ảnh hưởng đến tài nguyên hệ thống.. - Tấn công chủ động (active attacks): cố gắng để thay đổi tài nguyên hệ thống hoặc ảnh hưởng đến hoạt động của hệ thống.. - 3.1 Tấn công thụ động. - Các tấn công thụ động thực chất là nghe lén, hoặc giám sát việc trao đổi thông tin. - Mục tiêu của đối phương là thu thập thông tin đang được trao đổi.. - Hai loại tấn công thụ động là (a) xem trộm thông tin. - Các tấn công thụ động rất khó phát hiện bởi vì chúng không làm sai lệch hoặc hủy hoại thông tin trao đổi, nhưng có thể có những biện pháp ngăn chặn hiệu quả.. - 3.2 Tấn công chủ động. - Có thể thêm vào một số thông tin ngoại lai để làm sai lệch nội dung thông tin trao đổi.. - Tấn công chủ động dễ phát hiện nhưng để ngăn chặn hiệu quả thì khó khăn hơn nhiều.. - Cái gì có thể làm hại đến hệ thống?. - Lựa chọn chính sách bảo mật (security policy). - Điều gì cần mong đợi ở hệ thống bảo mật?. - Lựa chọn cơ chế bảo mật (security mechanism). - Cách nào để hệ thống bảo mật có thể đạt được những mục tiêu bảo mật đề ra?. - Lựa chọn chính sách an toàn thông tin. - Lựa chọn cơ chế an toàn thông tin. - Các mối đe dọa bảo mật (security threat) có thể xem là các tấn công an toàn thông tin.. - Lựa chọn cơ chế an toàn thông tin Lựa chọn chính sách. - an toàn thông tin. - 4.2 Lựa chọn chính sách an toàn. - Việc an toàn thông tin cần có một chính sách an toàn rõ ràng.. - Cần có những chính sách an toàn riêng cho những yêu cầu an toàn khác nhau. - Xây dựng và lựa chọn các chính sách an toàn cho thông tin phải. - 4.2 Lựa chọn chính sách an toàn thông tin. - Gải pháp an toàn phải cân bằng giữa 3 yếu tố. - An toàn Hiệu suất. - 4.3 Lựa chọn cơ chế an toàn thông tin. - Xác định cơ chế an toàn phù hợp để hiện thực các chính sách an toàn và đạt được các mục tiêu an toàn đề ra. - Có 2 cơ chế an toàn chính:. - Cơ chế an toàn riêng biệt (SPECIFIC SECURITY MECHANISMS): có thể được tích hợp vào trong các tầng giao thức thích hợp để cung cấp một vài dịch vụ bảo mật OSI.. - Cơ chế an toàn tỏa khắp (PERVASIVE SECURITY MECHANISMS):. - các cơ chế mà không được chỉ rõ cho bất kỳ dịch vụ an toàn OSI hoặc Xác định các mối. - Cơ chế an toàn riêng biệt. - Sự mã hóa (Encipherment): sử dụng các thuật toán toán học để bến đổi dữ liệu thành một dạng mà không thực sự dễ hiểu.. - Việc viển đổi và phục hồi sau đó của dữ liệu tùy thuộc vào thuật toán và không hoặc nhiều khóa mã hóa.. - Điều khiển truy cập (Access Control): một loạt cơ chế thực thi quyền truy xuất các tài nguyên.. - Toàn vẹn dữ liệu (Data Integrity): một loạt cơ chế được dùng để đảm bảo tính toàn vẹn của một đơn vị dữ liệu oặc chuỗi các đơn vị dữ liệu.. - Trao đổi xác thức (Authentication Exchange): Một cơ chế nhằm đảm bảo danh tính của một thực thể bằng phương tiện. - Traffic Padding: tạo ra thêm dữ liệu giả mạo trong quá trình truyền tải để làm khó khăn cho kẻ tấn công trong quá trình phân tích trên đường truyền hoặc giải mã.. - Routing Control: Cho phép lựa chọn các đường truyền an toàn đặc biệt cho dữ liệu nào đó và cho phép thay đổi đường truyền, đặc biệt là khi một xâm phạm an ninh được nghi ngờ.. - Notarization: Dùng tổ chức thứ ba đáng tin cậy để đảm bảo các đặc tính của một sự trao đổi dữ liệu.. - Cơ chế an toàn tỏa khắp. - Nhãn an toàn (Security Label): Các đánh dấu gắn kết với một nguồn tài nguyên (có thể là một đơn vị dữ liệu) là tên hoặc chỉ định các thuộc tính an toàn của tài nguyên. - Phát hiện sự kiện (Event Detection): phát hiện các sự kiện liên quan đến an toàn. - Theo dõi kiểm định an toàn (Security Audit Trail): Số liệu được thu thập và dùng để sử dụng cho việc đánh giá an toàn, chính là một đánh giá và kiểm tra các hoạt động và hồ sơ của hệ thống. - một cách độc lập độc lập, kiểm tra hồ sơ và hoạt động của hệ thống.. - Phục hồi an toàn (Security Recovery): giải quyết các yêu cầu từ các cơ chế, chẳng hạn như các hàm xử lý và quản lý sự kiện và thực hiện các hành động phục hồi.. - Nếu không có an toàn hệ thống thông tin thì điều gì sẽ xảy ra?. - Thông tin cá nhân không được đảm bảo an toàn thì như thế nào?. - Tầm quan trọng của an toàn hệ thống thông tin của tổ chức như thế nào. - Trình bày và phân tích các nguy cơ về an toàn HTTT của một tổ chức. - Nêu và phân tích mục tiêu của an toàn HTTT là gì?. - Nêu ít nhất 3 tính cần thiết của an toàn HTTT đối với cá nhân, tổ chức và xã hội? Nêu ra ví dụ cụ thể để minh chứng cho các tính cần thiết tương ứng.. - có những mối đe dọa an toàn HTTT nào?. - cần có những công cụ cơ chế gì để đảm bảo an toàn HTTT?
Xem thử không khả dụng, vui lòng xem tại trang nguồn hoặc xem
Tóm tắt