8/17/2015

1

Giảng viên: Lê Phúc

Email: lephuc@ptithcm.edu.vn

Website: http://is.ptithcm.edu.vn/~lephuc

Introduction

INT1303 Information security, PTITHCM, 2015

Các thuộc tính của thông tin2

Availability:

Sẵn sàng

Accuracy: Chính xác

Authenticity: Xác thực

Confidentiality: Bí mật

Integrity:

Toàn vẹn

Utility:

Dùng được

Possession: sở hữu

8/17/2015

2

Hệ thống thông tin

INT1303 Information security, PTITHCM, 2015

3

Phần mềm Phần cứng Hệ thống mạng

Dữ liệu Quy trình Con người

Chu trình phát triển hệ thống

INT1303 Information security, PTITHCM, 2015

4

Investigation Analysis Logical design

Physical designImplementationMaintenance &

Change

8/17/2015

3

Information vs computer security

INT1303 Information security, PTITHCM, 2015

5

Information security

Computer security

Network security

Security management

Information security

INT1303 Information security, PTITHCM, 2015

6

Bảo vệ thông tin và hệ thống thông tin để đảm

bảo tính bí mật, toàn vẹn và sẵn sàng.

Integrity

AvailabilityConfidentiality

8/17/2015

4

Confidentiality

INT1303 Information security, PTITHCM, 2015

7

Giới hạn các đối tượng được phép truy xuất

thông tin.

Data confidentiality: Chỉ được truy xuất dữ liệu

khi được phép

Privacy: Bảo đảm tính riêng tư

Tính bí mật thông tin bao gồm:

Bí mật về nội dung

Bí mật về sự tồn tại

Integrity

INT1303 Information security, PTITHCM, 2015

8

Đảm bảo thông tin và hệ thống thông tin không bị thay đổi hoặc biến mất.

Toàn vẹn dữ liệu (data integrity): dữ liệu không bị sửa, xóa ngoài ý muốn

Toàn vẹn hệ thống (system integrity): hệ thống hoạt động đúng chức năng

Tính toàn vẹn thông tin bao gồm:

Toàn vẹn nội dung

Toàn vẹn nguồn gốc

8/17/2015

5

Availability

INT1303 Information security, PTITHCM, 2015

9

Hệ thống sẵn sàng cho các yêu cầu truy xuất

hợp lệ.

Tính sẵn sàng là thuộc tính quan trọng nhất

Tấn công từ chối dịch vụ (DoS/DDoS) nhằm vào tính

sẵn sàng của hệ thống, là loại tấn công khó ngăn

chặn nhất hiện nay.

Tính hoàn thiện của CIA

INT1303 Information security, PTITHCM, 2015

10

Chỉ mô tả được các đặc điểm cơ bản, cần

quan tâm thêm các thuộc tính khác, ví dụ:

Tính xác thực (Authenticity)

Tính không chối cãi (Non-repudiation)

…

8/17/2015

6

Computer security concepts

INT1303 Information security, PTITHCM, 2015

11

Adversary (threat agent)

Attack

Countermeasure

Risk

Security Policy

System Resource (Asset)

Threat

Vulnerability

Computer security model

INT1303 Information security, PTITHCM, 2015

12

8/17/2015

7

Threats và attacks

INT1303 Information security, PTITHCM, 2015

13

Threats Attacks

Unauthorized Disclosure • Exposure

• Interception

• Inference

• Intrusion

Deception • Masquerade

• Falsification

• Repudiation

Disruption • Incapacitation

• Corruption

• Obstruction

Usurpation • Misappropriation

• Misuse

An ninh trong hệ thống mở (X.800)

INT1303 Information security, PTITHCM, 2015

14

Open System Interconnection: mô hình chuẩn

của hệ thống mạng được chuẩn hóa bởi ISO.

X.800: kiến trúc an ninh dùng cho ISO, được

chuẩn hóa bởi ITU_T. Bao gồm:

Security attack

Security mechanism

Security service

8/17/2015

8

X.800 security attacks

INT1303 Information security, PTITHCM, 2015

15

Passive attacks:

Tiết lộ thông tin

Phân tích lưu lượng

Active attacks:

Thay đổi thông tin

Từ chối dịch vụ

X.800 Security Services

INT1303 Information security, PTITHCM, 2015

16

Authentication

Access control

Data confidentiality

Availability

Data integrity

Nonrepudiation

8/17/2015

9

X.800 Security Mechanisms

INT1303 Information security, PTITHCM, 2015

17

Encipherment

Digital Signature

Access Control

Data Integrity

Authentication .

Traffic Padding

Routing Control

Notarization

Trusted Functionality

Security Label

Event Detection

Security Audit Trail

Security Recovery

Tấn công hệ thống thông tin

INT1303 Information security, PTITHCM, 2015

18

Attack = Threat + vulnerability + threat agent

Để ngăn chặn tấn công:

Ngăn chặn threat: khó khăn, liên quan đến khâu

thiết kế.

Loại bỏ vulnerability: có thể được, thông qua các

giải pháp an ninh, không loại bỏ hoàn toàn.

Loại bỏ threat agent: không thể

8/17/2015

10

Threat agents

INT1303 Information security, PTITHCM, 2015

19

White hat hackers

Script kiddies

Black hat hackers

Internal threats

Vulnerability

INT1303 Information security, PTITHCM, 2015

20

Sơ hở của hệ thống (triển khai, cấu hình)

Lỗi phần mềm

Lỗi giao thức

Lỗi cơ chế bảo mật

Từ chối dịch vụ (DoS/DDoS)

8/17/2015

11

Triển khai giải pháp an ninh

INT1303 Information security, PTITHCM, 2015

21

Cơ sở:

Chính sách an ninh thông tin

Hiệu quả kinh tế của hệ thống thông tin

Thực hiện:

Xây dựng chính sách (Chief of Security Officer)

Triển khai cơ chế

Security vs convenience

INT1303 Information security, PTITHCM, 2015

22

8/17/2015

12

Security vs Hacker: a race!

INT1303 Information security, PTITHCM, 2015

23

Security vs Hacker: Leapfrog

INT1303 Information security, PTITHCM, 2015

24

8/17/2015

13

What’s next?

INT1303 Information security, PTITHCM, 2015

25

Access control

Cryptography

Malicious code & DoS/DDoS

Security technologies: Firewall, IDS, IPS, VPN

Software security

Management issues