66
Threats and Attacks to information security, policies and laws.

BẢO MẬT HỆ THỐNG THÔNG TIN

  • Upload
    blaise

  • View
    45

  • Download
    2

Embed Size (px)

DESCRIPTION

BẢO MẬT HỆ THỐNG THÔNG TIN. Threats and Attacks to information security, policies and laws. BẢO MẬT HỆ THỐNG THÔNG TIN. Nhóm 1 : Châu văn Tâm Nguyễn Phan duy Trần Anh Khoa. INFORMATION SECURITY POLICY. INFORMATION SECURITY POLICY. I. Concept of information security - PowerPoint PPT Presentation

Citation preview

Page 1: BẢO MẬT HỆ THỐNG THÔNG TIN

Threats and Attacks to information security, policies and laws.

Page 2: BẢO MẬT HỆ THỐNG THÔNG TIN

BẢO MẬT HỆ THỐNG THÔNG TIN Nhóm 1:

Châu văn TâmNguyễn Phan duyTrần Anh Khoa

Page 3: BẢO MẬT HỆ THỐNG THÔNG TIN
Page 4: BẢO MẬT HỆ THỐNG THÔNG TIN

INFORMATION SECURITY POLICYI. Concept of information securityII. Definitions of a security policyIII. Security Policy StructureIV. Policies format

Global (Tier 1) policy.Topic-specific (Tier 2) policy. Application-specific (Tier 3) policy.

Page 5: BẢO MẬT HỆ THỐNG THÔNG TIN

I. Information security - should start from?

Page 6: BẢO MẬT HỆ THỐNG THÔNG TIN

When it comes to information security (ATTT), the first thing people usually think of is to build a firewall (Firewall) or something similar to prevent attacks and unauthorized intrusions. Such approach is not entirely true because the nature ATTT not merely use some tool or some other solution but to ensure that ATTT for a system should have an overview and science more.

Page 7: BẢO MẬT HỆ THỐNG THÔNG TIN

So what is information security?

Page 8: BẢO MẬT HỆ THỐNG THÔNG TIN

Information security

Technological factors

Human factors

Page 9: BẢO MẬT HỆ THỐNG THÔNG TIN

Information security

Technological factors

Human factors

Information security policy

Page 10: BẢO MẬT HỆ THỐNG THÔNG TIN

II. DefinitionsWhat is Policy ?==>In the relationship of business ,policy as a

template, the method associated with the objectives and strategies of the enterprise , such as customer priority, billing, internal governance ...

Page 11: BẢO MẬT HỆ THỐNG THÔNG TIN

Definition of a Security PolicyA security policy ?

A security policy is the essential basis on which an effective and comprehensive security program can be developed. This critical component of the over all security architecture, however, is often over looked. A security policy is the primary way in which management’s expectations for security are translated into specific, measurable, and testable goals and objectives.

A security policy is crucial to take a top down approach based on a well-stated policy in order to develop an effective security architecture .

Page 12: BẢO MẬT HỆ THỐNG THÔNG TIN

Definition of a Security PolicyA security policy should be economically feasible,

understandable, realistic, consistent, procedurally tolerable, and also provide reason able protection relative to the stated goals and objectives of management. Security policies define the over all security and risk control objectives that an organization endorses.

Page 13: BẢO MẬT HỆ THỐNG THÔNG TIN

The characteristics of good security policies are: They must be implementable through system

administration procedures, publishing of acceptable use guidelines, or other appropriate methods.

They must be enforceable with security tools, where appropriate, and with sanctions , where actual prevention is not technically feasible.

They must clearly define the areas of responsibility for the users, administrators, and management.

They must be documented, distributed,and communicated.

Page 14: BẢO MẬT HỆ THỐNG THÔNG TIN

III. Security Policy StructureThe basic structure of a security policy should contain

the following components: A statement of the issue that policy addresses. A statement about your position on the policy. How the policy applies in the environment. The roles and responsibilities of those affected by

the policy. What level of compliance to the policy is necessary. What actions, activities and processes are allowed

and which are not . What are the consequences of non-compliance.

Page 15: BẢO MẬT HỆ THỐNG THÔNG TIN

IV. Policies formatThere are three types of policies and you will use each

typeat different times in your information security program and through out the organization to support the business process or mission.

Page 16: BẢO MẬT HỆ THỐNG THÔNG TIN

The three types of policies are:1. Global (Tier 1). These are used to create the

organization’s overall vision and direction2. Topic-specific (Tier 2). These address particular

subjects of concern.3. Application-specific (Tier 3). These focus on

decisions taken by management to control particular applications (financial reporting,payroll, etc.) or specific systems (budgeting system).

Page 17: BẢO MẬT HỆ THỐNG THÔNG TIN

InformationSecurity

SecurityOrganizatio

n

AssetClassificatio

nand Control

PersonnelSecurity

Physical andEnvironmenta

lSecurity

Computerand NetworkManagement

SystemAccessControl

SystemsDevelopment

andMaintenance

BusinessContinuityPlanning

Compliance

E-MailSecurity

AntivirusAcceptableUse of theInternet

Topic-specific (Tier 2)

Page 18: BẢO MẬT HỆ THỐNG THÔNG TIN

Global (Tier 1) policy

Global (Tier 1). These are used to create the organization’s overall vision and direction.

Senior management must incorporate the results of the risk analysis process into the decision-making process. Senior management is also responsible for issuing global policies to establish the organization’s direction in protecting information assets.

Page 19: BẢO MẬT HỆ THỐNG THÔNG TIN

Global (Tier 1) policies

The components of a global (Tier 1) policy typically include four characteristics: Topic Scope Responsibilities compliance or consequences.

Page 20: BẢO MẬT HỆ THỐNG THÔNG TIN

Global (Tier 1) policies.

Information Security

Architecture

InformationSecurityPolicy

Business continuityPlanning

Asset

ClassificationPolicy

Page 21: BẢO MẬT HỆ THỐNG THÔNG TIN

Topic-Specific (Tier 2) PolicyTopic-specific (Tier 2). These address particular

subjects of concern.Where the global (Tier 1) policy is intended to address the broad

organizationwide issues, the topic-specific (Tier 2) policy is developed to focus on areas of current relevance and concern to the organization.

The global (Tier 1) policy is usually broad enough that it does not require modification over time, whereas topic-specific (Tier 2) policies are likely to require more frequent revisions as changes in technology and other factors dictate.

Page 22: BẢO MẬT HỆ THỐNG THÔNG TIN

InformationSecurity

Architecture

InformationSecurityPolicy

BusinessContinuityPlanning

AssetClassification

Policy

SecurityOrganizati

on

Operations

Management

PersonnelSecurity

SystemsDevelopme

ntand

Maintenance

Compliance

AccessControl

Tier 1 policies

Tier 2 policies

Page 23: BẢO MẬT HỆ THỐNG THÔNG TIN

Application-specific (Tier 3)Application-specific (Tier 3). These focus on decisions

taken by management to control particular applications (financial reporting,payroll, etc.) or specific systems (budgeting system).

Page 24: BẢO MẬT HỆ THỐNG THÔNG TIN

Application-Specific (Tier 3) Policy

Global-level (Tier 1) and topic-specific (Tier 2) policies address policy on a broad level (see Figure 4.6); they usually encompass the entire enterprise.

The application-specific (Tier 3) policy focuses on one specific system or application. As the construction of an organization information security architecture takes shape, the final element will be the translation of Tier 1 and Tier 2 policies down to the lapplication and system level.

Many security issue decisions apply only at the application or system level

Page 25: BẢO MẬT HỆ THỐNG THÔNG TIN

InformationSecurity

PersonnelSecurity

JobDescriptions

UserTraining

SecurityIncidents

Tier 1

Tier 2

Tier 3

Page 26: BẢO MẬT HỆ THỐNG THÔNG TIN

Application-Specific (Tier 3) Policy

To develop a comprehensive set of Tier 3 policies, use a process that determines security requirements from a business or mission objective.

Typically, the Tier 3 policy is more free form than Tier 1 and Tier 2 policies.

Page 27: BẢO MẬT HỆ THỐNG THÔNG TIN

Application-Specific (Tier 3) Policy

As you prepare to create Tier 3 policies, keep in mind the following concepts: Understand the overall business objectives or

mission of the enterprise. Understand the mission of the application or

system. Establish requirements that support both sets of

objectives.

Page 28: BẢO MẬT HỆ THỐNG THÔNG TIN

Table sample Application-Specific PolicyAccounts Payable PolicyAccounts payable checks are issued on Friday only. This will

promote efficiency in the accounts payable function. To ensure your check is available, please have your check request or invoice to the Financial Affairs office by close of business on Monday.

For access to the online portion of the Accounts Payable System (APS),

please contact the APS System Administrator.The APS Customer Help Desk is available to answer any

additional questions.We appreciate your cooperation.

Page 29: BẢO MẬT HỆ THỐNG THÔNG TIN

NEXT…

Page 30: BẢO MẬT HỆ THỐNG THÔNG TIN
Page 31: BẢO MẬT HỆ THỐNG THÔNG TIN

1. Khái niệm bảo mật thông tin.2.Các mối đe dọa đối với hệ thống thông tin.

2.1 Errors and Omissions 2.2 Fraud and Theft2.3 Malicious Hackers2.4 Malicious Code2.5 Denial-of-Service Attacks2.6 Social Engineering

Page 32: BẢO MẬT HỆ THỐNG THÔNG TIN

Bảo mật thông tin là gì? Đảm bảo thông tin chỉ được truy xuất bởi những người

có chức năng. Đảm bảo các phương pháp xử lý thông tin chính xác ,

an toàn và trọn vẹn. Đảm bảo những người có chức năng có thể truy cập

thông tin mọi lúc, mọi nơi khi có yêu cầu.

Page 33: BẢO MẬT HỆ THỐNG THÔNG TIN

Example Security wheel

Page 34: BẢO MẬT HỆ THỐNG THÔNG TIN

Bảo mật thông tinBảo mật tầng vật lý:

Đảm bảo an toàn từ các yếu tố môi trường như nhiệt độ,sấm sét….

Đảm bảo tránh các mối đe dọa từ sự cố như chập mạch, động đất,sấm….Đặc biệt quan trọng nhất là nguồn điện dự phòng(back up power)==>để khắc phục sự cố này người ta hay dùng các UPS (bộ lưu điện).

Page 35: BẢO MẬT HỆ THỐNG THÔNG TIN

Bảo mật thông tinBảo mật thông qua quản lí hoạt động và quản lí giao

tiếp (communication and operations management): Quản lý giao tiếp và hoạt động bảo đảm không cho

bất kì ai trong tổ chức có quyền thực hiện và che dấu việc tấn công, giữ cho hệ thống phát triển được tách rời với hệ thống sản phẩm, và bảo đảm các hệ thống được tiêu hủy (bỏ đi, delete...) một cách bảo mật; bỏ qua các tasks này có thể tạo nên một lỗ hổng bảo mật lớn cho tổ chức; mảng này thường bị bỏ qua ở các hệ thống có qui mô nhỏ vì được cho là không cần thiết tuy nhiên đây là một mảng khá quan trọng.

Page 36: BẢO MẬT HỆ THỐNG THÔNG TIN

Bảo mật thông tinKiểm soát truy cập(access control):

Việc quản lí người dùng truy cập vào hệ thống cũng như cấp phép các quyền cho người dùng ở các cấp độ khác nhau.

Kiểm soát truy cập được hiện thực ở rất nhiều nơi thông dụng nhất là ở các routers ,firewalls,desktop operating system,file server,applications….

Page 37: BẢO MẬT HỆ THỐNG THÔNG TIN

Bảo mật thông tinHệ Thống phát triển và bảo trì (system development

and maintenance): Một mảng không thể không nhắc tới của bảo mật hệ

thống thông tin.Với số lượng khổng lồ các cập nhật liên tục của các ứng dụng,các attacker có thể lợi dụng chúng để xâm nhập vào hệ thống. Đòi hỏi các nhà phát triển và bảo trì hệ thống phải chú trọng vào vấn đề bảo mật, kiểm tra chặt che. Luôn đảm bảo có thể phục hồi dữ liệu hệ thống khi bị tấn công……. ẽ để giảm tối thiểu các lỗ hổng trong hệ thống.

Page 38: BẢO MẬT HỆ THỐNG THÔNG TIN

Bảo mật thông tinViệc tuân thủ các qui tắc khi thiết kế một hệ thống

thông tin: Việc tuân thủ các qui tắc giúp ta lần ra sai sót cũng

như lỗ hổng trong hệ thống rất dễ dàng giúp khắc phục một cách nhanh chóng.Các chuyên gia bảo mật luôn dành rất nhiều thời gian để hoàn chỉnh cũng như test một hệ thống thông tin trước khi đưa vào sử dụng và đây là qui tắc không thể bỏ qua của bất cứ một hệ thống thông tin nào.

Nhiều người cho rằng việc này không liên quan lắm đến bảo mật tuy nhiên đây là một quan điểm sai lầm.

Page 39: BẢO MẬT HỆ THỐNG THÔNG TIN

Các mối đe dọa đối với hệ thống thông tin1. Errors and Omissions : Hệ thống không đảm bảo

tính toàn vẹn dữ liệu(integrity). Có 2 biện pháp khắc phục:

Quản lí đặc quyền user: Cấp cho các user quyền tối thiểu để có thể hoàn thành công việc của mình đồng thời cố gắng thu hẹp lượng thông tin bị nhiễu do lỗi gây ra

Backup dữ liệu đầy đủ và thường xuyên:khi người sử dụng báo thông tin cần dung có lỗi hoặc thiếu sót ngay lập tức ta cung cấp bản dữ liệu đã được backup đầy đủ trước đó

Page 40: BẢO MẬT HỆ THỐNG THÔNG TIN

Các mối đe dọa đối với hệ thống thông tin2. Fraud and Theft: Đây là mối đe dọa từ bên trong

xảy ra khi các user cố tình không đảm bảo tính bảo mật của dữ liệu.

Cách khắc phục tốt nhất là có một qui định bảo mật rõ rang và hiệu quả.Với một qui định như thế các nhà quản trị bảo mật sẽ dễ dàng kiểm soát cũng như tìm ra thủ phạm khi việc tấn công xảy ra tro.ng nội bộ

Page 41: BẢO MẬT HỆ THỐNG THÔNG TIN

Các mối đe dọa đối với hệ thống thông tin

3. Malicious Hackers: Đây là mối đe dọa đến từ các hacker sử dụng mạng để tấn công(tấn công từ bên ngoài). Bao gồm 3 nhóm cơ bản:

Hackers Crackers Phreaks.

Page 42: BẢO MẬT HỆ THỐNG THÔNG TIN

Các mối đe dọa đối với hệ thống thông tin

3.1 Hacker : Là những người xâm nhập vào hệ thống và xem xét có quyền làm gì trong hệ thống đó.Sau đó sẽ thong báo cho các admin thầy rằng đây là một hệ thống có lỗ hổng.

Hacker tấn công theo nhiều cách khác nhau.Thông thường có 5 bước cơ bản: reconnaissance(trinh sát), scanning(quét), gaining access(truy cập thử), maintaining access(duy trì truy cập),covering tracks

Page 43: BẢO MẬT HỆ THỐNG THÔNG TIN

Các mối đe dọa đối với hệ thống thông tin

3.2 Cracker: Là những người xâm nhập vào hệ thống.Sau đó phá hủy hoặc ăn cắp những dữ liệu quan trọng.Mục tiêu của các cracker là gây ra thiệt hại cho hệ thống lớn nhất chúng có thể.

3.3 Phreaks: Cố gắng xâm nhập vào hệ thống điện thoại của một tổ chức,sau đó sử dụng điện thoại của tổ chức đó một cách miễn phí đồng thời che giấu điện thoại cá nhân của mình.

Page 44: BẢO MẬT HỆ THỐNG THÔNG TIN

Các mối đe dọa đối với hệ thống thông tin

4. Malicious Code: Được hiểu là các đoạn mã độc hại mà thong qua nó các attracker có khả năng thực hiện một số thao tác bất hợp pháp lên hệ thống.Cách thâm nhập nhanh nhất của các mã trên là qua email.Malicious Code có nhiều dạng khác nhau: virus,

worm, Trojanhorse,logic bomb…..

Page 45: BẢO MẬT HỆ THỐNG THÔNG TIN

Các mối đe dọa đối với hệ thống thông tin4.1 Virus: Là một đoạn mã được đính kèm vào một file

bất kì,khi file vào hệ thống virus sẽ đợi đến lúc file được mở hoặc kích hoạt rồi tự động lây lan sang các file khác.Virus có nhiều dạng khác nhau có loại tấn công vào book sector của ổ cứng,có loại tấn công vào file hệ thống………

4.2 Worm: Tương tự virus nhưng lây nhiễm qua mạng,sau khi xâm nhập vào một hệ thống sẽ cố gắng lây nhiễm sang một hệ thống khác thông qua quá trình giao tiếp mạng của các hệ thống với nhau.

Page 46: BẢO MẬT HỆ THỐNG THÔNG TIN

Các mối đe dọa đối với hệ thống thông tin

4.3 Trojan horses: Là một đoạn mã có cấu hình bên ngoài an toàn nhưng chứa mã độc hại bên dưới,tấn công chủ yếu vào người dung của hệ thống,thong thường tấn công dưới hình thức gắn kèm vào các ứng dụng miễn phí trên mạng,khi người dung thực thi các ứng dụng trên ngay lập trức Trojan horses xâm nhập vào hệ thống.

4.4 Logic bom: Như một loại bom hẹn giờ, đợi đến thời điểm thích hợp tiến hành phát tán mã độc hại gây tắc nghẽn hệ thống vì quá tải

Page 47: BẢO MẬT HỆ THỐNG THÔNG TIN

Các mối đe dọa đối với hệ thống thông tin

5. Denial-of-Service Attacks: Tấn công gây tắc nghẽn phần cứng của hệ thống hoặc tắc nghẽn đường mạng.Có 2 dạng chính:

DOS one-to-one DDOS many-to-one

Page 48: BẢO MẬT HỆ THỐNG THÔNG TIN

Các mối đe dọa đối với hệ thống thông tin

5.1 DOS one-to-one: Hacker tiến hành phát động tấn công từ hệ thống cá nhân đến máy chủ hoặc hệ thống mạng của mục tiêu.Các dạng thong dụng của kiểu này là: Syn floods, Fin floods, Smurfs, Fraggles. Thường được ngăn chặn bằng cách hiện thực các phương thức ngắt kết nối chủ động

Page 49: BẢO MẬT HỆ THỐNG THÔNG TIN

Các mối đe dọa đối với hệ thống thông tin5.2 The distributed denial of service(DDOS): many-

to-one tấn công bằng cách sử dụng các zombie hots(các hots đã bị xâm nhập từ trước và luôn sẵn sàng phát động tấn công đồng loạt khi được lệnh),thông thường các hacker huy động khoảng 10.000 zombie hots cho mỗi lần tấn công. Các dạng chính của kiểu này là: Trinoo, TFN2K, stacheldraht.Đây là kiểu tấn công rất khó ngăn chặn các nhà bảo

mật chỉ có thể cố gắng ngăn chặn bằng cách hạn chế tối đa số lượng zombie hots khi phát hiện chúng tăng lên một cách đột biến.

Page 50: BẢO MẬT HỆ THỐNG THÔNG TIN

Các mối đe dọa đối với hệ thống thông tin6. Social Engineering: Đây là kiểu tấn công thông

qua các mạng cộng đồng-kẻ tấn công từng bước xây dựng mối quan hệ nhằm tạo sự tin tưởng đối với các user bên trong nhằm truy cập bất hợp pháp vào hệ thống để đánh cắp các dữ liệu quan trọng.Đây là phương pháp tấn công nhằm vào con người

do đó kẻ tấn công chủ yếu khai thác vào các điểm yếu về tâm lý của các nhân viên bên trong(mong muốn được giúp đỡ để hoàn thánh tốt công việc được giao;tạo sự tin cậy;hứa hẹn sẽ giúp bạn vượt qua một số rắc rối nào đó đang gặp phải;tận dụng sự cẩu thả của bạn).

Page 51: BẢO MẬT HỆ THỐNG THÔNG TIN

NEXT…

Page 52: BẢO MẬT HỆ THỐNG THÔNG TIN
Page 53: BẢO MẬT HỆ THỐNG THÔNG TIN

I. IntroductionRisk management is the process that allows

business managers to balance operational and economic costs of protective measures and achieve gains in mission capability by protecting business processes that support the business objectives or mission of the enterprise.

Senior management must ensure that the enterprise has the capabilities needed to accomplish its mission.

Most organizations have tight budgets for security.

Page 54: BẢO MẬT HỆ THỐNG THÔNG TIN

II. FAQ on Risk AnalysisWhy Conduct a Risk Analysis?When to Conduct a Risk Analysis?Who Should Conduct the Risk Analysis?

Page 55: BẢO MẬT HỆ THỐNG THÔNG TIN

FAQ (cont)What a Risk Analysis AnalyzesWhat Can the Results of a Risk Analysis Tell an Organization?Who Should Review the Results of a Risk

Analysis?How Is the Success of the Risk Analysis

Measured?

Page 56: BẢO MẬT HỆ THỐNG THÔNG TIN

How Long Should a Risk Analysis Take?- Cost- Time- Effective risk management must be totally integrated into the organization’s system development life cycle (SDLC) :

* Analysis: the need for a new system, application or process and its scope are documented.

* Design: the system or process is designed an requirements are gathered.

* Development: the system or process is purchased, developed, or otherwise constructed.

* Test: system security features should be configured, enabled, tested and verified.

* Maintenance: when changes or updates are made to the system, the changes to hardware and software are noted and the risk analysis process is revisited.

Page 57: BẢO MẬT HỆ THỐNG THÔNG TIN
Page 58: BẢO MẬT HỆ THỐNG THÔNG TIN

Risk management activities include: Analysis: identified risks are used to support the

development of system requirements, including security needs.

Design: security needs lead to architecture and design trade-offs.

Development: the security controls and safeguards are created or Implemented as part of the development process.

Test: safeguards and controls are tested to ensure that decisions regarding risks identified are reduced to acceptable levels prior to movement to production.

Maintenance: controls and safeguards are reexamined when changes or updates occur, or at regularly scheduled intervals.

Page 59: BẢO MẬT HỆ THỐNG THÔNG TIN

Risk management is an enterprise management responsibility. Each group has a different role and these roles support the activities of the other roles and responsibilities. Ex : Senior management, Chief Information Security Officer (CISO), System and Information Owners, Business Managers, Information Security Administrator (ISA; formerly ISSO).

Page 60: BẢO MẬT HỆ THỐNG THÔNG TIN

III.Information Security Life Cycle

• Risk Analysis• Cost / Benefit Implementation• Vulnerable Assessment

Page 61: BẢO MẬT HỆ THỐNG THÔNG TIN

IV. Risk Analysis ProcessAsset DefinitionThreat Identification

- Natural threats- Human threats- Environmental threats

Determine Probability of OccurrenceDetermine the Impact of the Threat

Page 62: BẢO MẬT HỆ THỐNG THÔNG TIN

Probability High probability : very likely occur Medium probability : possible occur Low probability : highly unlikely

Impact High impact: shutdown of critical business unit that

leads to a significant loss of business, corporate image or profit.

Medium impact: short interruption of critical process or system that results in a limited financial loss to a single business unit.

Low impact: interruption with no financial loss.

Page 63: BẢO MẬT HỆ THỐNG THÔNG TIN

Controls Recommended After assigning the risk level, the team will identify

controls or safeguards that could possibly eliminate the risk or at least reduce the risk to an acceptable level.

Documentation Once the risk analysis is complete, the results

should be documented in a standard format and a report issued to the asset owner

Page 64: BẢO MẬT HỆ THỐNG THÔNG TIN

VI. SummaryPractically no system or activity is risk-free, and not

all implemented controls can eliminate the risk they intend to address.

The risk analysis process has two key objectives: (1) to implement only those controls necessary and (2) to document management’s due diligence. As security professionals we are aware that our goal is to provide support for the organization and to ensure that management objectives are met.

Page 65: BẢO MẬT HỆ THỐNG THÔNG TIN

V.Risk MitigationRisk mitigation is a systematic methodology used by senior

management to reduce organizational risk. We have six most common methods of risk mitigation :

1. Risk assumption2. Risk alleviation3. Risk avoidance4. Risk limitation5. Risk planning6. Risk transference

Whichever risk mitigation technique is used, the business objectives or mission of an organization must be considered when selecting any of these techniques.

Page 66: BẢO MẬT HỆ THỐNG THÔNG TIN

Tài Liệu Tham Khảo:Information Security Fundamentals

Thomas R.

Peltier Justin

Peltier John

Blackley