Upload
hoc-lap-trinh-web
View
5.379
Download
11
Embed Size (px)
DESCRIPTION
Mô tả những thách thức của việc bảo mật thông tin Định nghĩa bảo mật thông tin và giải thích được lý do khiến bảo mật thông tin trở nên quan trọng Nhận diện các dạng tấn công phổ biến hiện nay Liệt kê các bước cơ bản của một cuộc tấn công Mô tả năm nguyên tắc phòng thủ cơ bản
Citation preview
Bài 1:GIỚI THIỆU VỀ BẢO MẬT
Mô tả những thách thức của việc bảo mật thông tinĐịnh nghĩa bảo mật thông tin và giải thích được lý dokhiến bảo mật thông tin trở nên quan trọngNhận diện các dạng tấn công phổ biến hiện nayLiệt kê các bước cơ bản của một cuộc tấn côngMô tả năm nguyên tắc phòng thủ cơ bản
Mục tiêu bài học
Mô tả những thách thức của việc bảo mật thông tinĐịnh nghĩa bảo mật thông tin và giải thích được lý dokhiến bảo mật thông tin trở nên quan trọngNhận diện các dạng tấn công phổ biến hiện nayLiệt kê các bước cơ bản của một cuộc tấn côngMô tả năm nguyên tắc phòng thủ cơ bản
Bài 1 - Giới thiệu về bảo mật 2
Những thử tháchđối với bảo mật thông tin
Nhữngsố liệu nổi bật về bảo mật trên thế giới trong thếkỷ 21
Bảo mật cá nhânBảo mật thông tin
Bảo mật thông tinKhông có giải pháp đơn giảnNhiều dạng tấn công khác nhauViệc phòng thủ chống lại các cuộc tấn công thường khókhăn
Nhữngsố liệu nổi bật về bảo mật trên thế giới trong thếkỷ 21
Bảo mật cá nhânBảo mật thông tin
Bảo mật thông tinKhông có giải pháp đơn giảnNhiều dạng tấn công khác nhauViệc phòng thủ chống lại các cuộc tấn công thường khókhăn
Bài 1 - Giới thiệu về bảo mật 3
Các cuộc tấn công hiện nay
Sức mạnh tính toán ngày càng được nâng caoGiúp cho việc phá mật khẩu dễ dàng
Những lỗ hổng phần mềm thường không được váCác điện thoại thông minh trở thành mục tiêu tấn côngmới
Bài 1 - Giới thiệu về bảo mật 4
Các cuộc tấn côngvào bảo mật hiện nay (tiếp tục)
Các ví dụ về những cuộc tấn công gần đâyPhần mềm diệt virus giả mạo
Được quảng cáo bởi những kẻ lấy trộm thẻ tín dụngCác vụ tấn công ngân hàng trực tuyếnCuộc tranh luận ở Hội nghị về Tin tặcVụ lừa đảo lệ phí tinh vi mang số hiệu 419 ở Nigeria
Một kiểu lừa đảo qua Internet hàng đầuĐánh cắp danh tính nhờ sử dụng FiresheepPhần mềm độc hạiCác thiết bị USB đã bị lây nhiễm
Các ví dụ về những cuộc tấn công gần đâyPhần mềm diệt virus giả mạo
Được quảng cáo bởi những kẻ lấy trộm thẻ tín dụngCác vụ tấn công ngân hàng trực tuyếnCuộc tranh luận ở Hội nghị về Tin tặcVụ lừa đảo lệ phí tinh vi mang số hiệu 419 ở Nigeria
Một kiểu lừa đảo qua Internet hàng đầuĐánh cắp danh tính nhờ sử dụng FiresheepPhần mềm độc hạiCác thiết bị USB đã bị lây nhiễm
Bài 1 - Giới thiệu về bảo mật 5
Các vụ đánh cắp thông tin điển hìnhtrong vòng một tháng
Tổ chức Mô tả cách thông tin bị đánh cắp SL danhtính bị lộ
SeacoastRadiology, NH
Thông tin cá nhân đã bị tiết lộ bởi một vụ viphạm bảo mật
231.400
DeviantART,Silverpop SystemsInc., CA
Những kẻ tấn công đã tiết lộ thông tin củatoàn bộ người dùng trong cơ sở dữ liệu.
13.000.000DeviantART,Silverpop SystemsInc., CA
Những kẻ tấn công đã tiết lộ thông tin củatoàn bộ người dùng trong cơ sở dữ liệu.
Trường đại họctổng hợp bangOhio, OH
Một số cá nhân đăng nhập trái phép và truycập thông tin về sinh viên và các thành viêncủa trường.
750.000
Gawker, NY Kẻ tấn công truy cập vào cơ sở dữ liệu, lấyđược mật khẩu + e-mail của người dùng vànhân viên.
1.300.000
Bài 1 - Giới thiệu về bảo mật 6
Những khó khăn trong việcphòng thủ chống lại các vụ tấn công
Các thiết bị kết nối toàn cầuSự gia tăng tốc độ của các vụ tấn côngCác cuộc tấn công ngày càng tinh vi hơnCác công cụ tấn công ngày càng đơn giản và sẵn dùngCác lỗ hổng được phát hiện nhanh hơnVá lỗi chậm
Việc cung cấp các bản vá còn yếu kémCác vụ tấn công phân tánNgười dùng bị bối rối
Các thiết bị kết nối toàn cầuSự gia tăng tốc độ của các vụ tấn côngCác cuộc tấn công ngày càng tinh vi hơnCác công cụ tấn công ngày càng đơn giản và sẵn dùngCác lỗ hổng được phát hiện nhanh hơnVá lỗi chậm
Việc cung cấp các bản vá còn yếu kémCác vụ tấn công phân tánNgười dùng bị bối rối
Bài 1 - Giới thiệu về bảo mật 7
Bảo mật thông tin là gì?
Trước khi có thể phòng thủ, bạn cần hiểu:Bảo mật thông tin là gì?Tại sao nó quan trọng?Những kẻ tấn công là ai?
Bài 1 - Giới thiệu về bảo mật 8
Định nghĩa bảo mật thông tin
Bảo mật (security)Các bước để bảo vệ người hoặc tài sản khỏi mối nguy hại
Mối nguy hại có thể do chủ ý hoặc vô ýPhải hy sinh sự tiện lợi để đổi lấy sự an toàn
Bảo mật thông tin (information security)Bảo vệ các thông tin ở dạng số hóa:
Thông tin cung cấp giá trị cho con người và cho tổ chức
Bảo mật (security)Các bước để bảo vệ người hoặc tài sản khỏi mối nguy hại
Mối nguy hại có thể do chủ ý hoặc vô ýPhải hy sinh sự tiện lợi để đổi lấy sự an toàn
Bảo mật thông tin (information security)Bảo vệ các thông tin ở dạng số hóa:
Thông tin cung cấp giá trị cho con người và cho tổ chức
Bài 1 - Giới thiệu về bảo mật 9
Định nghĩa bảo mật thông tin(tiếp)
Ba hình thức bảo mật thông tin: thường gọi là CIASự cẩn mật (Confidentiality)
Chỉ những cá nhân được phép mới có thể truy cập thông tinSự toàn vẹn (Integrity)
Đảm bảo thông tin chính xác và không bị thay đổiSự sẵn sàng (Availability)
Những người có quyền đều có thể truy cập được thông tin
Ba hình thức bảo mật thông tin: thường gọi là CIASự cẩn mật (Confidentiality)
Chỉ những cá nhân được phép mới có thể truy cập thông tinSự toàn vẹn (Integrity)
Đảm bảo thông tin chính xác và không bị thay đổiSự sẵn sàng (Availability)
Những người có quyền đều có thể truy cập được thông tin
Bài 1 - Giới thiệu về bảo mật 10
Định nghĩa bảo mật thông tin(tiếp)
Các biện pháp cần thực hiện để bảo mật thông tinSự xác thực (authentication)
Đảm bảo một cá nhân đúng như những gì họ khai báoSự ủy quyền (authorization)
Cấp phép truy cập thông tinGhi chép (accounting)
Cung cấp khả năng theo dõi các sự kiện
Các biện pháp cần thực hiện để bảo mật thông tinSự xác thực (authentication)
Đảm bảo một cá nhân đúng như những gì họ khai báoSự ủy quyền (authorization)
Cấp phép truy cập thông tinGhi chép (accounting)
Cung cấp khả năng theo dõi các sự kiện
Bài 1 - Giới thiệu về bảo mật 11
Bài 1 - Giới thiệu về bảo mật 12
Hình 1-3 Các thành phần bảo mật thông tin© Cengage Learning 2012
Định nghĩa bảo mật thông tin(tiếp)
Tầng Mô tả
Các sản phẩmbảo mật
Là hình thức bảo mật vật lý, có thể đơn giảnnhư những chiếc khóa cửa, hay phức tạp hơnnhư các thiết bị bảo mật mạng.
Con người Những người cài đặt và sử dụng một cách đúngđắn các sản phẩm bảo mật để bảo vệ dữ liệu
Bài 1 - Giới thiệu về bảo mật 13
Bảng 1-3 Các tầng bảo mật thông tin
Những người cài đặt và sử dụng một cách đúngđắn các sản phẩm bảo mật để bảo vệ dữ liệu
Các thủ tục, quytrình
Các kế hoạch và chính sách do tổ chức thiết lậpđể đảm bảo rằng con người sử dụng các sảnphẩm một cách chính xác.
Các thuật ngữ bảo mật thông tin
Tài sản (Asset)Là phần tử có giá trị
Mối đe dọa (Threat)Là các hành động hoặc sự kiện có khả năng gây nguy hại
Tác nhân đe dọa (Threat agent)Người hoặc phần tử có sức mạnh gây ra mối đe dọa
Tài sản (Asset)Là phần tử có giá trị
Mối đe dọa (Threat)Là các hành động hoặc sự kiện có khả năng gây nguy hại
Tác nhân đe dọa (Threat agent)Người hoặc phần tử có sức mạnh gây ra mối đe dọa
Bài 1 - Giới thiệu về bảo mật 14
Tên thành phần Ví dụ Có là tài sản quan trọng?
Thông tin Cơ sở dữ liệu khách hàng, nhân viên,sản xuất, bán hàng, tiếp thị, và tàichính
Có: Cực kỳ khó thay thế
Phần mềm ứngdụng
Ứng dụng giao dịch đơn hàngchuyên dụng, bộ xử lý văn bản phổdụng
Có: Là phần tùy chỉnh dànhriêng cho tổ chứcKhông: Phần mềm phổ dụng
Các tài sản công nghệ thông tin
Bài 1 - Giới thiệu về bảo mật 15
Phần mềm ứngdụng
Ứng dụng giao dịch đơn hàngchuyên dụng, bộ xử lý văn bản phổdụng
Có: Là phần tùy chỉnh dànhriêng cho tổ chứcKhông: Phần mềm phổ dụng
Phần mềm hệthống
Hệ điều hành Không: Có thể thay thế dễdàng
Các phần tử vậtlý
Server, bộ định tuyến [router], đĩaDVD, bộ cấp nguồn
Không: Có thể thay thế dễdàng
Các dịch vụ Dịch vụ truyền âm thanh và dữ liệu Không: Có thể thay thế dễdàng
Các thuật ngữ bảo mật thông tin(tiếp tục)
Lỗ hổng (vulnerability)Là những thiếu sót hay yếu điểm
Tác nhân đe dọa có thể lợi dụng để vượt qua sự bảo mật
Rủi ro (risk)Khả năng tác nhân đe dọa khai thác lỗ hổngKhông thể được loại bỏ hoàn toàn
Chi phí sẽ quá caoMất quá nhiều thời gian để thực hiện
Một số cấp độ rủi ro phải được giả định
Lỗ hổng (vulnerability)Là những thiếu sót hay yếu điểm
Tác nhân đe dọa có thể lợi dụng để vượt qua sự bảo mật
Rủi ro (risk)Khả năng tác nhân đe dọa khai thác lỗ hổngKhông thể được loại bỏ hoàn toàn
Chi phí sẽ quá caoMất quá nhiều thời gian để thực hiện
Một số cấp độ rủi ro phải được giả định
Bài 1 - Giới thiệu về bảo mật 16
Bài 1 - Giới thiệu về bảo mật 17
Hình 1-4Minh họa các thành phần bảo mật thông tin© Cengage Learning 2012
Các thuật ngữ bảo mật thông tin(tiếp tục)
Các lựa chọn để đối phó với rủi roChấp nhận rủi ro
Cần biết rằng mất mát có thể xảy raLàm giảm rủi ro
Thực hiện các biện pháp phòng ngừaHầu hết các rủi ro bảo mật thông tin đều có thể được phòngngừa
Chuyển rủi ro sang một người khácVí dụ: mua bảo hiểm
Các lựa chọn để đối phó với rủi roChấp nhận rủi ro
Cần biết rằng mất mát có thể xảy raLàm giảm rủi ro
Thực hiện các biện pháp phòng ngừaHầu hết các rủi ro bảo mật thông tin đều có thể được phòngngừa
Chuyển rủi ro sang một người khácVí dụ: mua bảo hiểm
Bài 1 - Giới thiệu về bảo mật 18
Hiểu rõ tầm quan trọngcủa bảo mật thông tin
Phòng ngừa đánh cắp dữ liệuBảo mật thường đi đôi với việc phòng ngừa đánh cắp dữliệuĐánh cắp dữ liệu kinh doanh
Thông tin về quyền sở hữuĐánh cắp dữ liệu cá nhân
Mã số thẻ tín dụng
Phòng ngừa đánh cắp dữ liệuBảo mật thường đi đôi với việc phòng ngừa đánh cắp dữliệuĐánh cắp dữ liệu kinh doanh
Thông tin về quyền sở hữuĐánh cắp dữ liệu cá nhân
Mã số thẻ tín dụng
Bài 1 - Giới thiệu về bảo mật 19
Hiểu rõ tầm quan trọngcủa bảo mật thông tin (tiếp)
Cản trở việc đánh cắp danh tínhSử dụng trái phép thông tin của người khác
Thường nhằm mục đích thu lợi về tài chínhVí dụ:
Đánh cắp SSN cá nhânTạo một tài khoản tín dụng mớiSử dụng tài khoản để mua hàngĐể lại các khoản nợ chưa thanh toán
Cản trở việc đánh cắp danh tínhSử dụng trái phép thông tin của người khác
Thường nhằm mục đích thu lợi về tài chínhVí dụ:
Đánh cắp SSN cá nhânTạo một tài khoản tín dụng mớiSử dụng tài khoản để mua hàngĐể lại các khoản nợ chưa thanh toán
Bài 1 - Giới thiệu về bảo mật 20
Hiểu rõ tầm quan trọngcủa bảo mật thông tin (tiếp)
Tránh các hậu quả liên quan tới pháp luậtLuật pháp bảo vệ quyền riêng tư đối với dữ liệu điện tử
Đạo luật trách nhiệm giải trình và tính khả chuyển trong bảohiểm sức khỏe năm 1996 (HIPAA)Đạo luật Sarbanes-Oxley năm 2002 (Sarbox)Đạo luật Gramm-Leach-Bliley (GLBA)Đạo luật khai báo vi phạm bảo mật cơ sở dữ liệu của bangCalifornia (2003)
Tránh các hậu quả liên quan tới pháp luậtLuật pháp bảo vệ quyền riêng tư đối với dữ liệu điện tử
Đạo luật trách nhiệm giải trình và tính khả chuyển trong bảohiểm sức khỏe năm 1996 (HIPAA)Đạo luật Sarbanes-Oxley năm 2002 (Sarbox)Đạo luật Gramm-Leach-Bliley (GLBA)Đạo luật khai báo vi phạm bảo mật cơ sở dữ liệu của bangCalifornia (2003)
Bài 1 - Giới thiệu về bảo mật 21
Hiểu rõ tầm quan trọngcủa bảo mật thông tin (tiếp)
Duy trì sản xuấtViệc khắc phục hậu quả sau khi bị tấn công làm lãng phícác tài nguyên
Thời gian và tiền bạc
Bài 1 - Giới thiệu về bảo mật 22
Bảng 1-6 Chi phí của các cuộc tấn công
Hiểu rõ tầm quan trọngcủa bảo mật thông tin (tiếp)
Đẩy lui chủ nghĩa khủng bố tin học (cyberterrorism)Mục tiêu: thông tin, hệ thống máy tính, dữ liệuMục đích nhằm:
Gây hoảng loạn tinh thầnKích động bạo lựcGây ra thảm họa tài chính
Đẩy lui chủ nghĩa khủng bố tin học (cyberterrorism)Mục tiêu: thông tin, hệ thống máy tính, dữ liệuMục đích nhằm:
Gây hoảng loạn tinh thầnKích động bạo lựcGây ra thảm họa tài chính
Bài 1 - Giới thiệu về bảo mật 23
Hiểu rõ tầm quan trọngcủa bảo mật thông tin (tiếp)
Những mục tiêu tấn công của khủng bố tin họcNgân hàngQuân độiNăng lượng (các nhà máy điện)Giao thông (các trung tâm điều khiển hàng không)Các hệ thống cấp nước
Những mục tiêu tấn công của khủng bố tin họcNgân hàngQuân độiNăng lượng (các nhà máy điện)Giao thông (các trung tâm điều khiển hàng không)Các hệ thống cấp nước
Bài 1 - Giới thiệu về bảo mật 24
Những kẻ tấn công là ai?
Phân loại những kẻ tấn côngHacker (tin tặc)Kẻ viết kịch bản non tay (Script kiddie)Gián điệp (Spy)Nội gián (Insider)Tội phạm máy tính (Cybercriminal)Những kẻ khủng bố tin học (Cyberterrorist)
Phân loại những kẻ tấn côngHacker (tin tặc)Kẻ viết kịch bản non tay (Script kiddie)Gián điệp (Spy)Nội gián (Insider)Tội phạm máy tính (Cybercriminal)Những kẻ khủng bố tin học (Cyberterrorist)
Bài 1 - Giới thiệu về bảo mật 25
Hacker
Hacker (tin tặc)Những người sử dụng kỹ năng máy tính để tấn công cácmáy tínhThuật ngữ không phổ biến trong cộng đồng bảo mật
Hacker mũ trắng (white hat hacker)Mục đích chỉ ra các lỗ hổng bảo mậtKhông đánh cắp hoặc làm hỏng dữ liệu
Hacker mũ đen (black hat hacker)Mục đích gây hại và hủy diệt
Hacker (tin tặc)Những người sử dụng kỹ năng máy tính để tấn công cácmáy tínhThuật ngữ không phổ biến trong cộng đồng bảo mật
Hacker mũ trắng (white hat hacker)Mục đích chỉ ra các lỗ hổng bảo mậtKhông đánh cắp hoặc làm hỏng dữ liệu
Hacker mũ đen (black hat hacker)Mục đích gây hại và hủy diệt
Bài 1 - Giới thiệu về bảo mật 26
Kẻ viết kịch bản non tay
Kẻ viết kịch bản non tay (script kiddie)Mục đích: bẻ khóa máy tính để phá hoạiLà những người dùng không có kỹ năngTải về các phần mềm tấn công tự động (mã kịch bản)
Sử dụng những phần mềm đó để thực hiện các hành vi nguyhại
Các phần mềm tấn công hiện nay đa số đều có hệ thốngmenu
Việc tấn công trở nên dễ dàng hơn với những người dùngkhông có kỹ năng
40% các vụ tấn công được thực hiện bởi những kẻ viếtkịch bản non tay
Kẻ viết kịch bản non tay (script kiddie)Mục đích: bẻ khóa máy tính để phá hoạiLà những người dùng không có kỹ năngTải về các phần mềm tấn công tự động (mã kịch bản)
Sử dụng những phần mềm đó để thực hiện các hành vi nguyhại
Các phần mềm tấn công hiện nay đa số đều có hệ thốngmenu
Việc tấn công trở nên dễ dàng hơn với những người dùngkhông có kỹ năng
40% các vụ tấn công được thực hiện bởi những kẻ viếtkịch bản non tay
Bài 1 - Giới thiệu về bảo mật 27
Gián điệp
Gián điệp máy tính (spy)Người được thuê để bẻ khóa máy tính
Mục đích đánh cắp thông tin
Được thuê để tấn công một máy tính hoặc một hệ thốngcụ thể:
Chứa các thông tin nhạy cảmMục đích: đánh cắp thông tin mà không gây ra sự chú ýđối với các hành động của họHọ có kỹ năng máy tính rất xuất sắc:
Để tấn công và che đậy dấu vết
Gián điệp máy tính (spy)Người được thuê để bẻ khóa máy tính
Mục đích đánh cắp thông tin
Được thuê để tấn công một máy tính hoặc một hệ thốngcụ thể:
Chứa các thông tin nhạy cảmMục đích: đánh cắp thông tin mà không gây ra sự chú ýđối với các hành động của họHọ có kỹ năng máy tính rất xuất sắc:
Để tấn công và che đậy dấu vết
Bài 1 - Giới thiệu về bảo mật 28
Nội gián
Nội gián (insider)Nhân viên, nhà thầu, và các đối tác kinh doanh48% hành vi vi phạm là do nội gián gây raVí dụ về các vụ tấn công do nội gián gây ra
Nhân viên chăm sóc sức khỏe tiết lộ thông tin về sức khỏecủa những người nổi tiếng.
Do bất mãn vì sắp bị đuổi việcNhân viên chính phủ phát tán mã kịch bản độc hạiNhà đầu tư chứng khoán che giấu các khoản lỗ thông quacác giao dịch giả mạoBình nhì trong quân đội Mỹ tiếp cận các tài liệu nhạy cảm
Nội gián (insider)Nhân viên, nhà thầu, và các đối tác kinh doanh48% hành vi vi phạm là do nội gián gây raVí dụ về các vụ tấn công do nội gián gây ra
Nhân viên chăm sóc sức khỏe tiết lộ thông tin về sức khỏecủa những người nổi tiếng.
Do bất mãn vì sắp bị đuổi việcNhân viên chính phủ phát tán mã kịch bản độc hạiNhà đầu tư chứng khoán che giấu các khoản lỗ thông quacác giao dịch giả mạoBình nhì trong quân đội Mỹ tiếp cận các tài liệu nhạy cảm
Bài 1 - Giới thiệu về bảo mật 29
Tội phạm máy tính
Tội phạm máy tính (Cybercriminal)Mạng lưới gồm những kẻ tấn công, đánh cắp danh tính,gửi thư rác, và lừa đảo tài chính
Những điểm khác biệt so với những kẻ tấn công thôngthường
Động cơ cao hơnSẵn sàng chấp nhận rủi ro nhiều hơnKiếm lợi nhiều hơnNgoan cố hơnMục đích: thu lợi tài chính
Tội phạm máy tính (Cybercriminal)Mạng lưới gồm những kẻ tấn công, đánh cắp danh tính,gửi thư rác, và lừa đảo tài chính
Những điểm khác biệt so với những kẻ tấn công thôngthường
Động cơ cao hơnSẵn sàng chấp nhận rủi ro nhiều hơnKiếm lợi nhiều hơnNgoan cố hơnMục đích: thu lợi tài chính
Bài 1 - Giới thiệu về bảo mật 30
Tội phạm máy tính (tiếp)
Tội ác máy tính (cybercrime)Mục tiêu tấn công nhằm vào các mạng tài chínhTruy cập trái phép thông tinĐánh cắp thông tin cá nhân
Tội phạm tài chính mạng (Financial Cybercriminal)Buôn bán thẻ tín dụng và thông tin tài chínhSử dụng thư rác để thực hiện lừa đảo
Tội ác máy tính (cybercrime)Mục tiêu tấn công nhằm vào các mạng tài chínhTruy cập trái phép thông tinĐánh cắp thông tin cá nhân
Tội phạm tài chính mạng (Financial Cybercriminal)Buôn bán thẻ tín dụng và thông tin tài chínhSử dụng thư rác để thực hiện lừa đảo
Bài 1 - Giới thiệu về bảo mật 31
Những kẻ khủng bố tin học
Những kẻ khủng bố tin học (cyberterrorist)Động cơ liên quan tới hệ tư tưởng
Tấn công do các nguyên tắc và các tín ngưỡng
Mục đích tấn công:Hủy hoại thông tin điện tử
Phát tán thông tin thất thiệt và tuyên truyềnNgăn cản các dịch vụ dành cho những người dùng máytính hợp phápThực hiện các vụ xâm nhập trái phép
Hậu quả: làm tê liệt hoạt động của các cơ sở hạ tầng chủchốt; làm sai hỏng các thông tin quan trọng
Những kẻ khủng bố tin học (cyberterrorist)Động cơ liên quan tới hệ tư tưởng
Tấn công do các nguyên tắc và các tín ngưỡng
Mục đích tấn công:Hủy hoại thông tin điện tử
Phát tán thông tin thất thiệt và tuyên truyềnNgăn cản các dịch vụ dành cho những người dùng máytính hợp phápThực hiện các vụ xâm nhập trái phép
Hậu quả: làm tê liệt hoạt động của các cơ sở hạ tầng chủchốt; làm sai hỏng các thông tin quan trọng
Bài 1 - Giới thiệu về bảo mật 32
Tấn công và phòng thủ
Có rất nhiều vụ tấn côngSử dụng chung các bước cơ bản
Để bảo vệ máy tính khỏi bị tấn công:Làm theo năm nguyên tắc bảo mật cơ bản
Bài 1 - Giới thiệu về bảo mật 33
Các bước của một vụ tấn công
Chứng nghiệm thông tinVí dụ như loại phần cứng hoặc phần mềm được sử dụng
Thâm nhập các tuyến phòng thủBắt đầu tấn công
Sửa đổi các thiết lập bảo mậtCho phép kẻ tấn công xâm nhập trở lại hệ thống bị hạimột cách dễ dàng
Vòng sang các hệ thống khácSử dụng các công cụ tương tự để tấn công sang các hệthống khác
Làm tê liệt các mạng và thiết bị
Chứng nghiệm thông tinVí dụ như loại phần cứng hoặc phần mềm được sử dụng
Thâm nhập các tuyến phòng thủBắt đầu tấn công
Sửa đổi các thiết lập bảo mậtCho phép kẻ tấn công xâm nhập trở lại hệ thống bị hạimột cách dễ dàng
Vòng sang các hệ thống khácSử dụng các công cụ tương tự để tấn công sang các hệthống khác
Làm tê liệt các mạng và thiết bị
Bài 1 - Giới thiệu về bảo mật 34
Bài 1 - Giới thiệu về bảo mật 35
Hình 1-6 Các bước thực hiện một vụ tấn công© Cengage Learning 2012
Phòng thủ chống lạicác cuộc tấn công
Các nguyên tắc bảo mật cơ bảnPhân tầngGiới hạnĐa dạngGây khó hiểuĐơn giản
Bài 1 - Giới thiệu về bảo mật
Các nguyên tắc bảo mật cơ bảnPhân tầngGiới hạnĐa dạngGây khó hiểuĐơn giản
36
Phân tầng
Bảo mật thông tin phải tạo thành các tầngCơ chế phòng vệ đơn lẻ có thể bị vượt qua một cách dễdàngKẻ tấn công sẽ khó khăn hơn khi phải vượt qua tất cả cáctầng phòng thủ
Phương pháp bảo mật phân tầngRất hữu dụng để chống lại nhiều kiểu tấn công khác nhauMang lại sự bảo vệ toàn diện
Bảo mật thông tin phải tạo thành các tầngCơ chế phòng vệ đơn lẻ có thể bị vượt qua một cách dễdàngKẻ tấn công sẽ khó khăn hơn khi phải vượt qua tất cả cáctầng phòng thủ
Phương pháp bảo mật phân tầngRất hữu dụng để chống lại nhiều kiểu tấn công khác nhauMang lại sự bảo vệ toàn diện
Bài 1 - Giới thiệu về bảo mật 37
Giới hạn
Giới hạn truy cập thông tinGiảm mối đe dọa đối với thông tin
Chỉ những người cần sử dụng thông tin mới được cấpphép truy cập
Khối lượng truy cập bị hạn chế, người dùng chỉ được truycập những gì cần biết
Các phương pháp giới hạn truy cậpCông nghệ
Quyền truy cập fileÁp dụng thủ tục
Cấm xóa tài liệu khỏi kho tài sản
Giới hạn truy cập thông tinGiảm mối đe dọa đối với thông tin
Chỉ những người cần sử dụng thông tin mới được cấpphép truy cập
Khối lượng truy cập bị hạn chế, người dùng chỉ được truycập những gì cần biết
Các phương pháp giới hạn truy cậpCông nghệ
Quyền truy cập fileÁp dụng thủ tục
Cấm xóa tài liệu khỏi kho tài sản
Bài 1 - Giới thiệu về bảo mật 38
Đa dạng
Liên quan mật thiết tới việc phân tầngCác tầng phải khác nhau (đa dạng)
Nếu kẻ tấn công vượt qua một tầng:Những kỹ thuật tương tự sẽ không thành công để xuyênphá các tầng khác
Việc vi phạm một tầng bảo mật không làm ảnh hưởngtới toàn bộ hệ thốngVí dụ về sự đa dạng
Sử dụng các sản phẩm bảo mật của các hãng sản xuấtkhác nhau
Liên quan mật thiết tới việc phân tầngCác tầng phải khác nhau (đa dạng)
Nếu kẻ tấn công vượt qua một tầng:Những kỹ thuật tương tự sẽ không thành công để xuyênphá các tầng khác
Việc vi phạm một tầng bảo mật không làm ảnh hưởngtới toàn bộ hệ thốngVí dụ về sự đa dạng
Sử dụng các sản phẩm bảo mật của các hãng sản xuấtkhác nhau
Bài 1 - Giới thiệu về bảo mật 39
Gây khó hiểu
Làm khó hiểu các chi tiết bên trong đối với thế giới bênngoàiVí dụ: không tiết lộ thông tin chi tiết
Kiểu máy tínhPhiên bản hệ điều hànhNhãn hiệu phần mềm sử dụng
Những kẻ tấn công sẽ khó khăn hơn để có thể thực hiệntấn công nếu không biết thông tin chi tiết về hệ thống
Làm khó hiểu các chi tiết bên trong đối với thế giới bênngoàiVí dụ: không tiết lộ thông tin chi tiết
Kiểu máy tínhPhiên bản hệ điều hànhNhãn hiệu phần mềm sử dụng
Những kẻ tấn công sẽ khó khăn hơn để có thể thực hiệntấn công nếu không biết thông tin chi tiết về hệ thống
Bài 1 - Giới thiệu về bảo mật 40
Đơn giản
Bản chất của bảo mật thông tin rất phức tạpCác hệ thống bảo mật phức tạp
Gây khó hiểu và khó khắc phục sự cốThường được thỏa hiệp để những người dùng được tin cậydễ sử dụng
Hệ thống bảo mật nên đơn giản:Để những người trong nội bộ có thể hiểu và sử dụng
Đơn giản với bên trongPhức tạp đối với bên ngoài
Bản chất của bảo mật thông tin rất phức tạpCác hệ thống bảo mật phức tạp
Gây khó hiểu và khó khắc phục sự cốThường được thỏa hiệp để những người dùng được tin cậydễ sử dụng
Hệ thống bảo mật nên đơn giản:Để những người trong nội bộ có thể hiểu và sử dụng
Đơn giản với bên trongPhức tạp đối với bên ngoài
Bài 1 - Giới thiệu về bảo mật 41
Tổng kết
Các vụ tấn công vào bảo mật thông tin đang gia tăngtheo hàm mũ trong những năm gần đâyCó một số lý do khiến cho việc phòng thủ chống lại cácvụ tấn công hiện nay gặp khó khănBảo mật thông tin: bảo vệ tính toàn vẹn, tính cẩn mật vàtính sẵn sàng của thông tin:
Trên các thiết bị lưu trữ, xử lý và truyền tải thông tinSử dụng các sản phẩm, con người và các thủ tục
Các vụ tấn công vào bảo mật thông tin đang gia tăngtheo hàm mũ trong những năm gần đâyCó một số lý do khiến cho việc phòng thủ chống lại cácvụ tấn công hiện nay gặp khó khănBảo mật thông tin: bảo vệ tính toàn vẹn, tính cẩn mật vàtính sẵn sàng của thông tin:
Trên các thiết bị lưu trữ, xử lý và truyền tải thông tinSử dụng các sản phẩm, con người và các thủ tục
Bài 1 - Giới thiệu về bảo mật 42
Tổng kết (tiếp)
Mục đích của bảo mật thông tinNgăn chặn đánh cắp dữ liệuNgăn chặn đánh cắp danh tínhTránh các hậu quả liên quan tới luật pháp do việc khôngbảo mật thông tinDuy trì sản xuấtĐẩy lùi chủ nghĩa khủng bố tin học
Những kẻ tấn công máy tính thuộc nhiều thành phầnkhác nhau, với những động cơ khác nhauMột vụ tấn công có năm bước cơ bản
Mục đích của bảo mật thông tinNgăn chặn đánh cắp dữ liệuNgăn chặn đánh cắp danh tínhTránh các hậu quả liên quan tới luật pháp do việc khôngbảo mật thông tinDuy trì sản xuấtĐẩy lùi chủ nghĩa khủng bố tin học
Những kẻ tấn công máy tính thuộc nhiều thành phầnkhác nhau, với những động cơ khác nhauMột vụ tấn công có năm bước cơ bản
Bài 1 - Giới thiệu về bảo mật 43