Upload
phan-khanh-toan
View
313
Download
1
Embed Size (px)
Citation preview
8/17/2015
1
Giảng viên: Lê Phúc
Email: [email protected]
Website: http://is.ptithcm.edu.vn/~lephuc
Introduction
INT1303 Information security, PTITHCM, 2015
Các thuộc tính của thông tin2
Availability:
Sẵn sàng
Accuracy: Chính xác
Authenticity: Xác thực
Confidentiality: Bí mật
Integrity:
Toàn vẹn
Utility:
Dùng được
Possession: sở hữu
8/17/2015
2
Hệ thống thông tin
INT1303 Information security, PTITHCM, 2015
3
Phần mềm Phần cứng Hệ thống mạng
Dữ liệu Quy trình Con người
Chu trình phát triển hệ thống
INT1303 Information security, PTITHCM, 2015
4
Investigation Analysis Logical design
Physical designImplementationMaintenance &
Change
8/17/2015
3
Information vs computer security
INT1303 Information security, PTITHCM, 2015
5
Information security
Computer security
Network security
Security management
Information security
INT1303 Information security, PTITHCM, 2015
6
Bảo vệ thông tin và hệ thống thông tin để đảm
bảo tính bí mật, toàn vẹn và sẵn sàng.
Integrity
AvailabilityConfidentiality
8/17/2015
4
Confidentiality
INT1303 Information security, PTITHCM, 2015
7
Giới hạn các đối tượng được phép truy xuất
thông tin.
Data confidentiality: Chỉ được truy xuất dữ liệu
khi được phép
Privacy: Bảo đảm tính riêng tư
Tính bí mật thông tin bao gồm:
Bí mật về nội dung
Bí mật về sự tồn tại
Integrity
INT1303 Information security, PTITHCM, 2015
8
Đảm bảo thông tin và hệ thống thông tin không bị thay đổi hoặc biến mất.
Toàn vẹn dữ liệu (data integrity): dữ liệu không bị sửa, xóa ngoài ý muốn
Toàn vẹn hệ thống (system integrity): hệ thống hoạt động đúng chức năng
Tính toàn vẹn thông tin bao gồm:
Toàn vẹn nội dung
Toàn vẹn nguồn gốc
8/17/2015
5
Availability
INT1303 Information security, PTITHCM, 2015
9
Hệ thống sẵn sàng cho các yêu cầu truy xuất
hợp lệ.
Tính sẵn sàng là thuộc tính quan trọng nhất
Tấn công từ chối dịch vụ (DoS/DDoS) nhằm vào tính
sẵn sàng của hệ thống, là loại tấn công khó ngăn
chặn nhất hiện nay.
Tính hoàn thiện của CIA
INT1303 Information security, PTITHCM, 2015
10
Chỉ mô tả được các đặc điểm cơ bản, cần
quan tâm thêm các thuộc tính khác, ví dụ:
Tính xác thực (Authenticity)
Tính không chối cãi (Non-repudiation)
…
8/17/2015
6
Computer security concepts
INT1303 Information security, PTITHCM, 2015
11
Adversary (threat agent)
Attack
Countermeasure
Risk
Security Policy
System Resource (Asset)
Threat
Vulnerability
Computer security model
INT1303 Information security, PTITHCM, 2015
12
8/17/2015
7
Threats và attacks
INT1303 Information security, PTITHCM, 2015
13
Threats Attacks
Unauthorized Disclosure • Exposure
• Interception
• Inference
• Intrusion
Deception • Masquerade
• Falsification
• Repudiation
Disruption • Incapacitation
• Corruption
• Obstruction
Usurpation • Misappropriation
• Misuse
An ninh trong hệ thống mở (X.800)
INT1303 Information security, PTITHCM, 2015
14
Open System Interconnection: mô hình chuẩn
của hệ thống mạng được chuẩn hóa bởi ISO.
X.800: kiến trúc an ninh dùng cho ISO, được
chuẩn hóa bởi ITU_T. Bao gồm:
Security attack
Security mechanism
Security service
8/17/2015
8
X.800 security attacks
INT1303 Information security, PTITHCM, 2015
15
Passive attacks:
Tiết lộ thông tin
Phân tích lưu lượng
Active attacks:
Thay đổi thông tin
Từ chối dịch vụ
X.800 Security Services
INT1303 Information security, PTITHCM, 2015
16
Authentication
Access control
Data confidentiality
Availability
Data integrity
Nonrepudiation
8/17/2015
9
X.800 Security Mechanisms
INT1303 Information security, PTITHCM, 2015
17
Encipherment
Digital Signature
Access Control
Data Integrity
Authentication .
Traffic Padding
Routing Control
Notarization
Trusted Functionality
Security Label
Event Detection
Security Audit Trail
Security Recovery
Tấn công hệ thống thông tin
INT1303 Information security, PTITHCM, 2015
18
Attack = Threat + vulnerability + threat agent
Để ngăn chặn tấn công:
Ngăn chặn threat: khó khăn, liên quan đến khâu
thiết kế.
Loại bỏ vulnerability: có thể được, thông qua các
giải pháp an ninh, không loại bỏ hoàn toàn.
Loại bỏ threat agent: không thể
8/17/2015
10
Threat agents
INT1303 Information security, PTITHCM, 2015
19
White hat hackers
Script kiddies
Black hat hackers
Internal threats
Vulnerability
INT1303 Information security, PTITHCM, 2015
20
Sơ hở của hệ thống (triển khai, cấu hình)
Lỗi phần mềm
Lỗi giao thức
Lỗi cơ chế bảo mật
Từ chối dịch vụ (DoS/DDoS)
8/17/2015
11
Triển khai giải pháp an ninh
INT1303 Information security, PTITHCM, 2015
21
Cơ sở:
Chính sách an ninh thông tin
Hiệu quả kinh tế của hệ thống thông tin
Thực hiện:
Xây dựng chính sách (Chief of Security Officer)
Triển khai cơ chế
Security vs convenience
INT1303 Information security, PTITHCM, 2015
22
8/17/2015
12
Security vs Hacker: a race!
INT1303 Information security, PTITHCM, 2015
23
Security vs Hacker: Leapfrog
INT1303 Information security, PTITHCM, 2015
24
8/17/2015
13
What’s next?
INT1303 Information security, PTITHCM, 2015
25
Access control
Cryptography
Malicious code & DoS/DDoS
Security technologies: Firewall, IDS, IPS, VPN
Software security
Management issues