Chương 6: An Ninh Mạng & Kết Nối Từ Xa | Môn An ninh mạng - Học viện An ninh nhân dân

lOMoAR cPSD| 59540283 2/20/2023 Chương 6: KIỂM SOÁT AN TOÀN THÔNG TIN
If you think technology can solve your security
problems, then you don ’ t understand the problems and
you don ’ t understand the technology ( Bruce Schneier ) 1 lOMoAR cPSD| 59540283 2/20/2023 Ifsomeonereallywants togetattheinformation, itisnotdifficultifthey cangainphysicalaccess tothecomputerorhard
drive. ( MicrosoftWhite Paper,1999) Tình huống : Kẻ đeo bám ( Tailgater ) 2 Mục tiêu
• Hiểu vai trò của kiểm soát truy cập trong hệ
thống thông tin –Định nghĩa xác thực và ba
nhân tố xác thực phổ biến.
• Hiểu cơ bản tường lửa và các loại tường lửa
• Hiểu Kiểm soát truy cập từ xa và mạng riêng ảo (VPN).
• Hiểu và thảo luận về mối quan hệ giữa an
toàn thông tin và an toàn vật lý –một số
kiểm soát an toàn vật lý.
• Hiểu về Đánh chặn dữ liệu.
• Hiểu về An toàn máy tính và thiết bị di động. 3 lOMoAR cPSD| 59540283 2/20/2023 1. Kiểm soát truy cập 2. Tường lửa
Nội dung 3. Bảo vệ kết nối từ xa
4. Kiểm soát truy cập vật lý
5. Sự đánh chặn dữ liệu
6. An toàn hệ thống di động
7. Những cân nhắc đặc biệt cho an toàn vật lý 4 1 Kiểm soát truy cập . 1.1 Cơ chếkiểm soÆttruy cập) 1.2 .Sinh trắc học 1.3 .CÆcm hnh kiến trœc kiểm soÆt truy cập 5 lOMoAR cPSD| 59540283 2/20/2023
Kiểm soát truy cập (Access Control)
Kiểm soÆt truy cập l phương
phÆp m hệ thống xÆc định
cÆch thức cho phØp người
døng v o khu vực tin cậy của
tổ chức, đó l hệ thống th ng
tin, khu vực hạn chế như ph
ng mÆy t nh v to n bộ vị tr vật l . 6 6
Kiểm soát truy cập (Access Control)
Kiểm soÆt truy cập tập trung v o
cÆc quyền hoặc đặc quyền m một
chủ thể (người døng hoặc hệ
thống) c trŒn một đối tượng (t i
nguyên/nguồn lực), bao gồm: khi
n o v từ đâu m một chủ thể c thể
truy cập v o một đối tượng v đặc
biệt l l m thế n o chủ thể c thể sử
dụng đối tượng đó. 7 7 lOMoAR cPSD| 59540283 2/20/2023 Kiểm soát truy cập ạt ược thông qua Chương Cng Chnh trnh nghệ sÆch 8 8 lOMoAR cPSD| 59540283 2/20/2023 Các loại kiểm soát truy cập
• Kiểm soát truy cập tùy ý
( Discretionary access controls - DACs)
• Kiểm soát truy cập bắt buộc / KS truy cập không tùy ý
( Nondiscretionary access controls - NDACs ) 9 lOMoAR cPSD| 59540283 2/20/2023 Kiểm soÆt truy cập tøy
Kiểm soÆt truy cập kh ng tøy Discretionary access controls (DACs) Nondiscretionary access controls (NDACs)
Các loại Theo quyết định hoặc tøy chọn Thực hiện theo ủy quyền trung
của người døng dữ liệu (kiểm t m (kiểm soÆt bởi tổ
kiểm soÆt bởi người dung) chức)
Truy cập kh ng hạn chế, (Kiểm soÆt truy cập dựa
trŒn ma trận ph n quyền soát
hoặc giới hạn người, nh
m người c thể truy cập v o (lattice-based access controlLBAC)
t i nguyŒn. V dụ: người døng truy
Người døng được gÆn một
c thể c một ổ cứng chứa th ng ma trận ph n quyền cho cÆc
tin được chia sẻ với đồng khu vực truy cập cụ thể. Việc cập
nghiệp. Người døng n y c thể ph n quyền khÆc nhau giữa
chọn cho phØp cÆc đồng cÆc cấp. Ma trận ph n quyền gồm
nghiệp truy cập bằng cÆch cÆc chủ thể v đối tượng v
cung cấpquyền truy cập theo cÆc đường biŒn của mội
tŒn trong chức năng chia sẻ cặp chủ thể - đối tượng. XÆc kiểm soÆt.
định mức độ truy cập của
từng chủ thể đối với từng đối tượng 10
Kiểm soát truy cập không tùy ý Access control list (ACL)
Capabilities tables (In a lattice-based access control)
lattice-based access control)
Chi tiết về phân quyền cho Thể hiện từng dng thuộc người dùng
tính kết hợp với từng chủ thể
Bao gồm danh sách người cụ thể.
døng truy cập, ma trận và bảng khả năng. 11 11
Kiểm soát truy cập không tùy ý
Mandatory (theo mệnh lệnh)
Role/ task (vai trò/ nhiệm vụ) lOMoAR cPSD| 59540283 2/20/2023
Sử dụng các sơ đồ phân loại dữ (role-based access controls -
liệu, cung cấp cho người dùng RBAC)
và chủ sở hữu dữ liệu quyền
Quyền gắn với vai trò của người
kiểm soát hạn chế vào tài
dùng, được kế thừa khi người nguyŒn th ng tin.
dùng được chỉ định vai trò đó.
Thông tin được xếp hạng và tất (task-based access
cả người dùng được xếp hạng để controlsTBAC).
chỉ định mức thông tin họ có thể truy cập.
Quyền gắn với nhiệm vụ, được kế
thừa khi người dùng chỉ định
Xếp hạng theo mức độ nhạy nhiệm vụ
cảm và mức độ bảo mật thông  Nhiệm vụ tạm thời hơn vai tin. trò 12 12 Kiểm soát •
Các kiểm soát dựa trên vai trò được liên kết với các
nhiệm vụ mà người dùng thực hiện trong một tổ chức, truy cập như: vị trí
hoặc phân công tạm thời như người quản lý dự án, trong khi các kiểm soát dựa trên
nhiệm vụ được không tùy ý
gắn với một công việc hoặc trách nhiệm cụ
thể, như: quản trị viên máy in của bộ phận. 13 13 lOMoAR cPSD| 59540283 2/20/2023
Kiểm soát • TBAC là kiểm soát truy cập vai trò phụ và là phương pháp cung cấp
kiểm soát chi tiết hơn đối với các bước truy cập hoặc giai đoạn liên quan đến vai
trò hoặc dự án. Các kiểm soát này giúp dễ dàng duy trì các hạn chế liên không tùy
ý quan đến một vai trò hoặc nhiệm vụ cụ thể, đặc biệt nếu những người khác nhau thực
hiện vai trò hoặc nhiệm vụ. 14 14 lOMoAR cPSD| 59540283 2/20/2023
• Thay vì liên tục phân công và thu hồi các đặc quyền của
Kiểm soát truy nhân viên đến và đi, quản trị viên chỉ cần gán quyền truy
cập cho vai trò hoặc nhiệm vụ. Sau đó, khi người dùng
cập không tùy được liên kết với vai trò hoặc nhiệm vụ đó, họ sẽ tự động
nhận được quyền truy cập tương ứng. Khi công việc của ý
họ kết thúc, họ sẽ bị xóa khỏi vai trò hoặc nhiệm vụ và
quyền truy cập bị thu hồi. 15 15 Kiểm soát •
Vai trò có xu hướng kéo dài trong một thời gian và có liên
quan đến một vị trí, trong khi các nhiệm vụ có nhiều chi truy cập tiết và
ngắn hạn hơn nhiều. Trong một số tổ chức các thuật ngữ được sử dụng đồng nghĩa. không tùy ý 16 16 lOMoAR cPSD| 59540283 2/20/2023
Kiểm soáttruy cập
Theo National Institute of Standards and
Technology ( NIST)
• Một cách tiếp cận mới hơn đối với các kiểm
soát truy cập dựa trên ma trận là các kiểm
soát truy cập dựa trên thuộc tính (attribute -
based access controls-ABAC).
Attribute-based access control (ABAC) :l cÆch
tiếp cận kiểm soát truy cập do tổ chức chỉ định
việc sử dụng các đối tượng dựa trên một số
thuộc tính của người dùng hoặc hệ thống . 17 17
1.1 . Cơ chế kiểm soát truy cập 18 lOMoAR cPSD| 59540283 2/20/2023
Là một cơ chế mà các thực thể phải cung cấp một mã định
Nhận dạng danh - identifier (ID) để được hệ thống xác thực. 19 19
Một số tổ chức sử dụng mã định danh tổng hợp bằng cách
Nhận dạng nối các phần tử (mã bộ phận, số ngẫu nhiên hoặc ký tự đặc
biệt) để tạo mã nhận dạng duy nhất, hoặc tạo ID ngẫu nhiên 20 lOMoAR cPSD| 59540283 2/20/2023 20
Xác thực là quá trình xác minh danh tính của cá nhân
Xác thực hoặc thiết bị đang cố truy cập vào hệ thống, nhằm đảm bảo
chỉ những người dùng hợp pháp mới có thể truy cập vào hệ thống 21 21 Cơ chế xác thực:
Cái bạn biết – something you know – ví dụ mật khẩu, mã PIN Xác thực
Cái bạn có – something you have – ví dụ thẻ
ATM, token khi ký số lOMoAR cPSD| 59540283 2/20/2023
Cái thuộc về bạn - something you are – ví dụ:
dấu vân tay, giọng nói, … 22 22 Xác thực
Thảo luận nhóm và trình bày các
cách thức tốt nhất để đảm bảo an
toàn cho các tài khoản – đặc biệt
trong trường hợp bạn có nhiều hơn 1 tài khoản. 23 23 lOMoAR cPSD| 59540283 2/20/2023 Phân quyền
L sự thiết lập quyền giữa
một thực thể được xÆc thực
v một danh sÆch cÆc t i sản
th ng tin v cÆc mức độ truy
cập tương ứng. Danh sÆch
n y thường l một danh sÆch
kiểm soÆt truy cập - ACL
(access control list) hoặc ma
trận kiểm soÆt truy cập
(access control matrix). 24 24 Phân quyền
CÆch thức ph n quyền Nội dung
Ph n quyền cho mỗi người døng
▪ XÆc minh từng thực thể
▪ cấp quyền truy cập v o t i nguyŒn
Ph n quyền cho cÆc th nh viŒn trong
▪ So sÆnh (match) cÆc thực thể được nh m
xÆc thực với danh sÆch th nh viŒn nh m.
▪ Cấp quyền truy cập v o cÆc t i nguyŒn
dựa trŒn quyền truy cập của nh m.
Ph n quyền cho nhiều hệ thống ▪ Hệ thống xÆc thực v ph n quyền trung t m xÆc minh
danh t nh của một thực thể v cấp quyền. 25 25 lOMoAR cPSD| 59540283 2/20/2023 26
• Đảm bảo rằng tất cả các hành động trên một Cơ chế truy
hệ thống (được phân quyền hoặc không
được phân quyền) có thể được gán cho một vết
danh tính được xác thực. (Accountability
• Thực hiện bằng phương tiện nhật ký hệ – Auditability)
thống, nhật ký cơ sở dữ liệu và kiểm toán các hồ sơ. 27 27 lOMoAR cPSD| 59540283 2/20/2023
1.2. Sinh Kiểm soát truy cập bằng sinh trắc học (Biometric access
control): sử dụng các ặc iểm sinh học trắc học ể xác thực v nhận dạng. 28 28 1.2. Sinh
Các công nghệ xác thực sinh trắc học bao gồm: • Dấu vân tay trắc học
• Dấu lòng bàn tay (palm print)
• Hình học tay (hand geometry)
• Nhận dạng khuôn mặt bằng thẻ ID có hình ảnh
• Nhận dạng khuôn mặt bằng máy ảnh kỹ thuật số.
• Mẫu mống mắt (retinal) lOMoAR cPSD| 59540283 2/20/2023
• Võng mạc (iris pattern) 29 29 1.2 trắc . Sinh học ( Biometrics ) 30 30 lOMoAR cPSD| 59540283 2/20/2023
1.2. Sinh Trong số các sinh trắc học, có ba đặc điểm thường được
xem là duy nhất của con người: trắc học • Dấu vân tay (Biometrics) • Võng mạc mắt • Mống mắt 31 31 Khả năng
chấp nhận Pthốnghải cân bằng giữa khả năng chấp nhận của
hệ an to n đối với người dùng và tính hữu sinh trắc hiệu của
nó trong việc duy trì sự an toàn. học 32 32 lOMoAR cPSD| 59540283 2/20/2023
• Nhiều hệ thống sinh trắc học có độ tin cậy và Khả năng
hữu hiệu cao bị người dùng coi là quấy rầy, chấp nhận
hoặc có thể vi phạm quyền riêng tư.
• Do đó, theo nhiều chuyên gia an toàn thông sinh trắc
tin thì không nên thực hiện các hệ thống này học
để tránh đối đầu và có thể bị người dùng tẩy
chay các kiểm soát sinh trắc học. 33 33 1.3. Mô hình
kiến trúc kiểm Những mô hình này minh họa sự triển khai soát truy cập
kiểm soát truy cập và giúp các tổ chức nhanh (Access Control
chóng gia tăng triển khai thông qua việc sửa Architecture đổi. Models) 34 34