Giải pháp an toàn thông tin | Tài liệu môn An toàn thông tin | Trường Cao đẳng nghề công nghệ cao Hà Nội
Tài liệu " Giải pháp an toàn thông tin" trường Cao đẳng nghề công nghệ cao Hà Nội được biên soạn dưới dạng PDF gồm những kiến thức và thông tin cần thiết cho môn học giúp sinh viên có định hướng ôn tập, nắm vững kiến thức môn học từ đó làm tốt trong các bài kiểm tra, bài tiểu luận, bài tập kết thúc học phần, để đạt kết quả cao cũng như có thể vận dụng tốt những kiến thức đã học vào thực tiễn cuộc sống. Mời bạn đọc đón xem!
Môn: An toàn thông tin
Trường: Trường Cao đẳng nghề công nghệ cao Hà Nội
Thông tin:
Tác giả:
Tài liệu liên quan:
Preview text:
lOMoAR cPSD| 31835026
Chương trình AT & BM HTTT
◼ Sự cần thiết phải xây dựng chính sách và các văn bản
◼ Các loại hình văn bản chính sách
◼ Một số chính sách tiêu biểu lOMoAR cPSD| 31835026
Sự cần thiết của chương trình
◼ Các vấn đề của an toàn và bảo mật
xảy ra trong suốt quá trình hình
thành, phát triển, tồn tại của hệ thống
◼ Trong chuỗi mắt xích bảo vệ, sức
mạnh chuỗi bảo vệ chính là điểm yếu nhất của nó
◼ Ban hành chính sách -> tuyên truyền -> kiểm tra 2 lOMoAR cPSD| 31835026
Sự cần thiết của chương trình
◼ Phạm vi vấn đề: các loại thông tin trong hệ thống
◼ Nguồn tấn công vào hệ thống: 80%
xuất phát từ phía nhân viên
◼ Tấn công liên quan đến phần cứng,
tấn công mạng: 16%. Các tấn công
khác liên quan đến yếu tố con người 3 lOMoAR cPSD| 31835026
Sự cần thiết của chương trình
◼ Chính sách, chỉ dẫn, hướng dẫn giải
quyết các vấn đề liên quan đến con người
• Cơ sở để xem xét các hành động của
con người để đánh giá
• Kết hợp với các giải pháp kỹ thuật quản lý toàn bộ hệ thống
• Nền tảng cho việc triển khai chương trình at & bm httt 4 lOMoAR cPSD| 31835026 Các định nghĩa ◼ 1. Chính sách ◼
Một chính sách là phát biểu mức cao
của niềm tin, mục tiêu, đối tượng của
công ty và nghĩa chung cho mục tiêu
cần đạt được trong một lĩnh vực ◼ 2. Tiêu chuẩn
◼ Là yêu cầu bắt buộc để hỗ trợ các chính sách riêng lẽ 5 lOMoAR cPSD| 31835026 Các định nghĩa ◼ 3. Chỉ dẫn
◼ Chỉ dẫn là sự cần thiết, từng bước,
hành động chi tiết hoá, yêu cầu phải
thực hiện để hoàn thành một công việc 4 . Hướng dẫn
Hướng dẫn thường là các phát biểu
chung thiết kế để đạt được mục tiêu
của chính sách bằng cách đưa ra nền
tảng để thực hiện các chỉ dẫn 6 lOMoAR cPSD| 31835026
Các chính sách trong một đơn vị 7 lOMoAR cPSD| 31835026 Một số chú ý
◼ Dễ hiểu (viết bởi chuyên gia, đọc là
người dùng bình thường)
◼ Có thể áp dụng được: Chính sách
phải viết phù hợp với mục tiêu của tổ chức
◼ Có thể thực hiện được: Khi thực hiện
chính sách vẫn đảm bảo hoạt động (không bị ảnh hưởng)
◼ Có thể tuân thủ được: Không quá
nghiêm khắc và không phù hợp với văn hóa, môi trường 8 lOMoAR cPSD| 31835026 Một số chú ý ◼
Được lên kế hoạch, thực hiện từng
bước: dự kiến, phản hồi, áp dụng ◼
Chủ động: đưa ra những vấn đề có
thể làm, yêu cầu với nhân viên. ◼
Không quá tuyệt đối: không sử dụng
những quyết định mang tính cố định, không mềm dẻo ◼
Đảm bảo được mục tiêu công việc:
những chính sách không phù hợp sẽ bị loại bỏ 9 lOMoAR cPSD| 31835026 Định dạng
1 . Chính sách toàn thể (mức 1) ◼ Chủ đề
Vấn đề mà chính sách đề cập đến
Phạm vi chính sách quan tâm ◼ Giới hạn
Giới hạn người có ảnh hưởng bởi chính sách
Giới hạn đối tượng điều chỉnh của chính sách 1 0 lOMoAR cPSD| 31835026 Định dạng
1 . Chính sách toàn thể (mức 1) ◼ Trách nhiệm Trách nhiệm các cá nhân ◼ Sự
tuân thủ hoặc những kết quả xấu
Hình thức xử phạt khi không tuân thủ 1 1 lOMoAR cPSD| 31835026 Định dạng chính sách
◼ 2. Chính sách theo chủ đề (mức 2)
◼ Tập trung đến vấn đề liên quan và quan tâm hiện tại
◼ Thay đổi theo thời gian, sự thay đổi
công nghệ, các nhân tố khác 1 2 lOMoAR cPSD| 31835026
Một số chính sách mức 2 1 3 lOMoAR cPSD| 31835026 Định dạng chính sách
◼ 3. Chính sách ở mức ứng dụng (mức 3 )
◼ Chính sách mức 3 không có mô hình
chặt chẽ như mức 1, 2. Nhưng cần chú ý một số điểm:
• Hiểu được nhiệm vụ, mục tiêu toàn cục của công ty
• Hiểu được nhiệm vụ của chương trình, hệ thống
• Thiết lập các yêu cầu hỗ trợ cả hai mục tiêu 1 4 lOMoAR cPSD| 31835026
Một số chính sách tiêu biểu
◼ Chính sách phân lớp tài sản
◼ Chính sách quản lý tài liệu
◼ Chính sách điều khiển truy xuất
◼ Chính sách bảo mật vật lý
◼ Chính sách công việc liên tục 1 5 lOMoAR cPSD| 31835026 Phân lớp tài sản
◼ Đảm bảo cho các tài sản được phân lớp đúng theo giá trị
◼ Cơ sở cho các chính sách đảm bảo trên các phân lớp 1 6 lOMoAR cPSD| 31835026 Phân lớp tài sản (t) 1 7 lOMoAR cPSD| 31835026 Phân lớp tài sản (t)
◼ Tiến trình quyết định công việc
◼ Trách nhiệm, và thực thi trách nhiệm
quản lý tài sản của người quản lý ◼ Vấn đề liên quan
• Nhiệm vụ quan trọng, hành động nhạy cảm
• Nơi nào là nhiệm vụ quan trọng và
thông tin nhạy cảm được lưu trữ.
• Nơi mà nhưng thông tin nhạy cảm này được xử lý.
• Người nào là cần thiết truy xuất thông 1 8 tin này. lOMoAR cPSD| 31835026 Phân lớp tài sản (t)
◼ Tiến hành tại mỗi đơn vị, nơi quản lý thông tin (sở hữu)
Đưa ra phân lớp riêng theo đặc thù ◼
Không nên tạo quá nhiều phân lớp ◼
Một số vấn đề liên quan: ◼ • Luật bản quyền • Luật sáng chế • Luật thương hiệu 1 9 lOMoAR cPSD| 31835026 Phân lớp tài sản (t)
◼ Một số thành phần trong phân lớp tài sản • Người sở hữu
1 . Xác định phân lớp tài sản thông tin trong đơn vị mình
2 . Xác định và thực hiện các bảo vệ thích ứng để
đảm bảo tính mật, tính toàn vẹn, tính khả
dụng của tài nguyên thông tin.
3 . Quản lý việc bảo vệ an toàn để đảm bảo sự
tuân thủ và thông báo trạng thái không tuân thủ
4 . Xác thực việc truy xuất ai có công việc liên quan đến thông tin.
5 . Loại bỏ quyền truy xuất với những người
không còn có công việc liên quan 2 0 lOMoAR cPSD| 31835026 Phân lớp tài sản (t)
◼ Một số thành phần trong phân lớp tài sản • Người bảo vệ
◼ Không có quyền, thay đổi, cho phép sử
dụng thông tin nếu không có sự cấp phép người chủ sở hữu
◼ Trong coi, thực hiện việc bảo vệ cần thiết theo yêu cầu 2 1 lOMoAR cPSD| 31835026 Phân lớp tài sản (t)
◼ Một số thành phần trong phân lớp tài sản • Người sử dụng
◼ Người được cấp quyền truy xuất
◼ Thực hiện đúng theo quyền cho phép
◼ Chỉ được cấp quyền theo nguyên tắc tối thiểu
◼ Tuân thủ những điều khiển mà người chủ sở hữu chỉ định 2 2 lOMoAR cPSD| 31835026 Phân lớp tài sản (t)
◼ Ví dụ về phân lớp thông tin
◼ Top secret – tối mật:
◼ Confidential – mật:
◼ Restricted – giới hạn:
◼ Internal Use – sử dụng nội bộ:
◼ Public – công khai: 2 3 lOMoAR cPSD| 31835026 Phân lớp tài sản (t)
◼ Ví dụ về phân lớp thông tin
◼ Company Confidential Red –
thông tin mật màu đỏ:
◼ Company Confidential Yellow –
Thông tin mật màu vàng:
◼ Company Confidential Green –
Thông tin mật màu xanh:
◼ Company Public – thông tin công khai: 2 4 lOMoAR cPSD| 31835026
Chính sách quản lý tài liệu
◼ Kết hợp với chính sách về phân lớp
tài sản để đề xuất các múc bảo vệ phù hợp
◼ Thực hiện trên các giai đoạn của tài liệu • Lưu trữ • Xử lý • Hủy 2 5 lOMoAR cPSD| 31835026
Chính sách quản lý tài liệu (t)
◼ Phân rõ trách nhiệm của các nhóm • Chủ sở hữu • Người bảo vệ • Người sử dụng 2 6 lOMoAR cPSD| 31835026
Chính sách quản lý tài liệu (t)
◼ Phân rõ trách nhiệm của các nhóm • Chủ sở hữu
◼ Cung cấp sự truy xuất với các tài liệu với các công việc ◼ ◼Gán mức bảo vệ
◼Xem xét lại phân lớp theo thời gian
Đánh giá lại các điều khiển tương ứng Thông ◼
tin yêu cầu bảo vệ và truy xuất cho
người bảo vệ và người sử dụng
◼ Đánh giá nguy cơ với mất mát thông tin
◼ Chương trình công việc liên tục với thông tin 2 7 lOMoAR cPSD| 31835026
Chính sách quản lý tài liệu (t)
◼ Phân rõ trách nhiệm của các nhóm • Người bảo vệ
◼ Cung cấp sự bảo vệ thích ứng cho việc công
cụ xử lý, lưu trữ thông tin, lưu bản sao, và hồi phục.
◼ Đưa ra môi trường xử lý an toàn có được sự
bảo vệ hoàn toàn về tính toàn vẹn, tính
mật, và tính khả dụng của thông tin.
◼ Quản trị yêu cầu truy xuất vào thông tin
tương ứng với sự cấp quyền của người sở hữu 2 8 lOMoAR cPSD| 31835026
Chính sách quản lý tài liệu (t)
◼ Phân rõ trách nhiệm của các nhóm • Người sử dụng
◼ Sử dụng thông tin chỉ cho mục đích của nó
◼ Duy trì tính toàn vẹn, mật và khả dụng của
thông tin được truy xuất 2 9 lOMoAR cPSD| 31835026
Chính sách quản lý tài liệu (t)
◼ Phân rõ trách nhiệm của các nhóm • Người sử dụng
◼ Sử dụng thông tin chỉ cho mục đích của nó
◼ Duy trì tính toàn vẹn, mật và khả dụng của
thông tin được truy xuất
◼ Ví dụ về ma trận quản lý tài liệu 3 0 lOMoAR cPSD| 31835026
Chính sách điều khiển truy xuất
Kết hợp phân lớp tài sản, quản lý tài
◼ liệu để đảm bảo việc truy xuất đến
tài nguyên của hệ thống
◼ Quá trình triển khai cho hệ thống của các chính sách ở trên
◼ Sử dụng các cơ chế về mặt kỹ thuật,
con người đảm bảo các cơ chế đã được mô tả
◼ Nhân tố chính trong thực thi các chính sách đã mô tả 3 1 lOMoAR cPSD| 31835026
Chính sách điều khiển truy xuất (t) ◼ Cơ chế quản lý
• Quản lý truy xuất theo chính sách
◼ Quản lý theo mô hình dán nhãn
◼ Các bảo vệ theo nhóm đã phân • Quản lý tùy biến
◼ Tuân theo mô hình dữ liệu miêu tả
◼ Hạn chế mô hình cấp điều khiển tùy biến
* Cung cấp điều khiển phải theo yêu cầu quyền tối thiểu 3 2 lOMoAR cPSD| 31835026
Chính sách điều khiển truy xuất (t) ◼ Quy trình quản lý 1 . Cấp phép tài khoản
• Kiểm tra người dùng đăng ký tài khoản
• Cung cấp truy xuất đầu tiên với hệ thống
2 . Quản lý quyền ưu tiên truy xuất
• Đảm bảo kiểm tra các ưu tiên theo thời gian với người dùng
• Đảm bảo sự tồn tại người dùng thực tế
• Có cơ chế loại bỏ quyền nhanh chóng với các cá nhân 3 3 lOMoAR cPSD| 31835026
Chính sách điều khiển truy xuất (t) ◼ Quy trình quản lý
3. Quản lý xác thực tài khoản
• Mật khẩu thay đổi theo tiêu chuẩn công nghiệp, 30 ngày
• Thời gian thay đổi mật khẩu thể hiện sự cần
thiết bảo mật của thông tin trong hệ thống
• Mật khẩu phải được lựa chọn tốt: ít nhất có 8
ký tự, không sử dụng các ký tự trong từ điển,
và có ký tự đặc biệt
• Hỗ trợ đăng nhập một lần (single-sign-on) 3 4 lOMoAR cPSD| 31835026
Chính sách điều khiển truy xuất (t) ◼ Quy trình quản lý
3. Quản lý xác thực tài khoản
• Mật khẩu thay đổi theo tiêu chuẩn công nghiệp, 30 ngày
• Thời gian thay đổi mật khẩu thể hiện sự cần
thiết bảo mật của thông tin trong hệ thống
• Mật khẩu phải được lựa chọn tốt: ít nhất có 8
ký tự, không sử dụng các ký tự trong từ điển,
và có ký tự đặc biệt
• Hỗ trợ đăng nhập một lần (single-sign-on) 3 5 lOMoAR cPSD| 31835026
Chính sách điều khiển truy xuất (t) ◼ Cơ chế xác thực
• Những vấn đề người đó có: ◼ Thẻ thông mình ◼ Thẻ từ ◼ Thẻ phần cứng ◼ Thẻ phần mềm • Người dùng là ai: ◼ Vân tay ◼ Sơ đồ võng mạc ◼ Hình học tay ◼ Vân gan bàn tay 3 6 lOMoAR cPSD| 31835026
Chính sách điều khiển truy xuất (t) ◼ Cơ chế xác thực • Người dùng biết: ◼ Mật khẩu
◼ Số PIN (số xác định người dùng) ◼ Mạnh đề phát biểu
◼ Thông báo chính xác nhưng giới hạn
và quyền, nghĩa vụ tham gia hệ thống • Kiểm soát thao tác
• Kiểm soát thông tin người dùng 3 7 lOMoAR cPSD| 31835026
Chính sách điều khiển truy xuất (t)
◼ Một số vấn đề cần chú ý
• Đảm bảo tính đồng nhất hệ thống
◼ Triển khai hệ thống phần mềm, hệ điều
hành đồng nhất tránh dị biệt
◼ Kiểm soát được các ứng dụng cài đặt và sử dụng 3 8 lOMoAR cPSD| 31835026
Chính sách điều khiển truy xuất (t)
◼ Một số vấn đề cần chú ý
• Quy trình thay đổi truy xuất với hệ thống ◼ Yêu cầu ◼ Phân tích tác động
◼ Chiến lược thay đổi ◼ Tính toán chi phí
◼ Xem xét lại vấn đề bảo mật ◼ Ghi nhận yêu cầu ◼ Đệ trình ◼ Phát triển thay đổi 3 9 lOMoAR cPSD| 31835026
Chính sách điều khiển truy xuất (t)
◼ Một số vấn đề cần chú ý
• Quy trình thay đổi truy xuất với hệ thống
◼ Nếu có sự thay đổi của hệ thống thì cần phải được
thay đổi và kiểm nghiệm
◼ Kiểm tra sự thay đổi này và yêu cầu điều khiên thay đổi.
◼ Thử nghiệm phần mềm được thiết kế.
◼ Lặp lại đến khi chất lượng chấp nhận được
◼ Thực hiện. Mã, hệ thống, cá thay đổi được thực hiện.
◼ Cập nhật thông tin phiên bản. Sau khi các thay đổi
được thực hiện, các văn bản phải được thay đổi.
◼ Báo cáo thay đổi đối với người quản lý. 4 0 lOMoAR cPSD| 31835026
Chính sách điều khiển truy xuất (t)
◼ Các vấn đề về điều khiển
• Thực hiện điều khiển trên hệ điều hành
• Thực hiện điều khiển trên hệ thống mạng
• Thực hiện điều khiển trên hệ thống phần mềm
• Thực hiện điều khiển trên hệ thống vật lý
◼ Các nghiệp vụ chú ý • Ghi nhật ký • Phát hiện xâm nhập 4 1 lOMoAR cPSD| 31835026 Bảo mật vật lý
◼ Sử dụng các phương pháp vật lý bảo
vệ hệ thống trước đe dọa mang tính vật lý
• Phòng ngừa để bảo vệ việc truy xuất
thiết bị toàn bộ tổ chức
• Đảm bảo không có sự hư hỏng và thay
đổi các thiết bị mà thông tin được lưu trữ
• Việc xây dựng bảo vệ vật lý cho trung
tâm dữ liệu phải tương ứng với giá trị dữ
liệu được lưu trữ trong đó 4 2 lOMoAR cPSD| 31835026 Bảo mật vật lý (t) ◼ Các bước
1 . Tài sản được bảo vệ
• Lựa chọn giải pháp:
◼ Chi phí xây trung tâm dữ liệu tập trung
◼ Chi phí bảo vệ các trung tâm dữ liệu đơn lẻ 2 . Đe doạ tiềm năng
• Không dựa vào thông tin nhà cung cấp
• Sử dụng công cụ kiểm tra độc lập
• Tình hình xã hội khu vực • Lịch sử khu vực 4 3 lOMoAR cPSD| 31835026 Bảo mật vật lý (t) ◼ Các bước
3 . Xu hướng với các nguy cơ
• Chuyên gia bảo mật phải tư vấn với người quản lý
• Mọi quyết định đều được đánh giá nguy cơ
4 . Các điều khiển ví dụ
• Không có mô hình áp dụng chung toàn bộ 4 4 lOMoAR cPSD| 31835026 Bảo mật vật lý (t) ◼ Các phương pháp • Hệ thống canh phòng • Hệ thống qua sát • Hệ thống báo cháy
• Hệ thống báo đột nhập
◼ Hệ thống hủy tài liệu • Đảm bảo an toàn • Hợp đồng phù hợp 4 5 lOMoAR cPSD| 31835026
Chính sách công việc liên tục
◼ Đảm bảo công việc hoạt động trong các tình huống
◼ Bao gồm cả kế hoạch phục hồi sự cố
◼ Có tác dụng trong tình huống khẩn cấp • Khó kiểm tra
• Khó thuyết phục người quản lý
• Bảo hiểm chỉ giải quyết về mặt kinh tế 4 6 lOMoAR cPSD| 31835026
Chính sách công việc liên tục (t)
◼ Có nhiều yếu tố ảnh hưởng đến hoạt động
• Thảm họa tự nhiên: lũ lụt, động đất, cháy, lốc, bão • Tai nạn
• Cạnh tranh, tấn công đối thủ
• Nang lượng không được cung cấp
• Các dịch vụ: kết nối, vận chuyển, bảo vệ không hoạt động
• Thảm họa về môi trường • Tấn công của hacker 4 7 lOMoAR cPSD| 31835026
Chính sách công việc liên tục (t) ◼ Các bước tiến hành
• Xác định các tài nguyên
• Xác định các đe dọa
• Xác định các nguy cơ
• Xác định ảnh hưởng đến hệ thống
• Xác định các dịch vụ và hệ thống cần được khôi phục ngay
• Xác định tài nguyên để hồi phục hệ thống 4 8 lOMoAR cPSD| 31835026
Chính sách công việc liên tục (t) ◼ Cách thức tiến hành
• Thành lập hội đồng
• Xây dựng hệ thống câu hỏi xác định tác động công việc
• Tiến hành thu thập thông tin
• Xác định các đối tượng, tiến trình cần quan tâm • Xây dưng kế hoạch • Kiểm tra kế hoạch • Duy trì kế hoạch 4 9 lOMoAR cPSD| 31835026
Chương trình AT & BM HTTT
◼ Sự cần thiết phải xây dựng chính sách và các văn bản
◼ Các loại hình văn bản chính sách
◼ Một số chính sách tiêu biểu lOMoAR cPSD| 31835026 Bài tập
1 . Lý do cần thiết phải có chính sách,
tiêu chuẩn, chỉ dẫn trong vấn đề
đảm bảo và an toàn thông tin?
2 . Vì sao cần có một chương trình tổng
thể về đảm bảo và an toàn thông tin?
3 . Sự liên quan, bổ trợ nhau giữa các
chính sách: phân lớp tài sản, quản lý
tài liệu, điều khiển truy xuất, bảo mật vật lý? lOMoAR cPSD| 31835026 Bài tập
4 . Những mô hình nào được áp dụng
trong điều khiển truy xuất? Các nhân
tố để xác thực? Phân tích việc sử
dụng mật khâu sử dụng một lần
được gửi qua điện thoại hoặc email
trong các giao dịch trực tuyến: Lợi
ích, tính an toàn, tìm kiếm giải pháp thay thế? lOMoAR cPSD| 31835026 Nội dung chuẩn bị
1 . Tìm hiểu các tiêu chuẩn mã hóa
hiện tại được áp dụng?
2 . Tìm hiểu chiến lược lưu trữ mật
khẩu của người dùng trong các ứng dụng?
3 . Tìm hiểu với mô hình tính toán hiện
tại mã hóa RSA, ECC, DES, AES có
còn được coi là an toàn, số bít mã
hóa để đảm bảo an toàn? lOMoAR cPSD| 31835026 Nội dung chuẩn bị
4 . Tìm hiểu thế nào là thám mã? Cách
thức thám mã? Cho ví dụ về một cách thức thám mã?