Bài giảng An toàn hệ thống thông tin

Mục tiêu bài giảng nhằm giúp người học hiểu biết và vận dụng thực tiễn các vấn đề trong an toàn: mối đe dọa, biện pháp ngăn chặn
ánh giá độ an toàn của các hệ thống thông tin; hướng đến quy tắc xây dựng chính sách an toàn cho các hệ thống thông tin; cài đặt các giải thuật mật mã, phương thức và giao thức bảo mật an toàn hệ thống thông tin.
Nội dung trích xuất từ tài liệu:
Bài giảng An toàn hệ thống thông tin 8/21/2014 Hải V. Phạm Bộ môn HTTT – Viện CNTT&TT ại học Bác Khoa Hà Nội
Tên học phần: An toàn Hệ thống Thông tin
Thời lượng: 12 buổi (x 4 tiết)
Thời khóa biểu: 1 buổi / tuần
ánh giá: ◦ iểm quá trình (0,3): bài tập về nhà và bài tập nhóm (viết chương trình, cấu hình hệ thống bảo mật) ◦ iểm cuối kỳ (0,7): thi viết kết thúc học phần
Introduction to Computer Security. Matt Bishop
Security in Computing, Fourth Edition. Charles P. Pfleeger,Shari Lawrence Pfleeger
Handbook of Applied Cryptography. A. Menezes, P. van Oorschot and S. Vanstone
An toàn & Bảo mật Thông tin. TS. Nguyễn Khánh Văn
Các Bài giảng về An toàn Máy tính. H Berkerley, MIT, H Edinburgh http://msande91si.stanford.edu 1 8/21/2014
Hiểu biết và vận dụng thực tiễn các vấn đề trong an toàn: mối đe dọa, biện pháp ngăn chặn
ánh giá độ an toàn của các hệ thống thông tin
Hướng đến quy tắc xây dựng chính sách an toàn cho các hệ thống thông tin
Cài đặt các giải thuật mật mã, phương thức và giao thức bảo mật an toàn hệ thống thông tin Thiệt hại an toàn HTTT
Thiệt hại thời gian:
Thiệt hại kinh tế: ~ tỷ USD hàng năm 1. Vi rút 2. Từ chối dịch vụ 3. ……… 4. ……… 2 8/21/2014
Tài sản: phần cứng, phần mềm, dữ liệu
Mối đe dọa: phá hoại, can thiệp, sửa đổi
Biện pháp ngăn chặn: mã hóa, kiểm soát thông qua phần mềm/phần cứng/các chính sách 3 8/21/2014 Principles of Information Security - Chapter 1 10 Các mục tiêu:
Tính bí mật (Confidentiality) – người sở hữu dữ liệu không muốn dữ liệu / thông tin bị đọc bất hợp pháp.
Tính toàn vẹn (Integrity) – dữ liệu / thông tin phải không được sửa đổi bất hợp pháp.
Tính sẵn sàng (Availability) – đảm bảo những người có quyềnsẽ truy cập dữ liệu / thông tin thành công.
Phần mềm ác tính (Malware)
Phishing
Pharming
Spam
Từ chối dịch vụ (Denial of service)
Truy nhập trái phép (Unauthorized access)
Giao dịch gian lận (Fraudulent transaction)
… 4 8/21/2014 @Hai V Pham 13 @Hai V Pham 14 @Hai V Pham 15 5 8/21/2014 @Hai V Pham 16
Xem trộm thông tin (Release of Message Content) @Hai V Pham 17 @Hai V Pham 18 6 8/21/2014
Giao thức mã hóa
Kiểm tra người sử dụng + mật khẩu
Quét/diệt phần mềm ác tính
Giới hạn truy nhập
Phân quyền trong hệ điều hành
Tường lửa
Hệ thống phát hiện đột nhập
Thẻ thông minh mã hóa
Khóa
… @ Hai V Pham 20
Mô hình phòng chống xâm nhập và phá hoại hệ thống @Hai V Pham 21 7 8/21/2014
Mô hình bảo mật truyền thông tin trên mạng @Hai V Pham 22
Tính bí mật được ép thỏa bằng cơ chế điều khiển truy cập và mã hóa.
Tính toàn vẹn đạt được dùng cơ chế điều khiển truy cập và các ràng buộc toàn vẹn về ngữ nghĩa.
Tính sẵn sàng được đảm bảo dùng cơ chế phục hồi (recovery mechanism) và dùng kỹ thuật dò tìm tấn công từ chối dịch vụ (DoS)
Hành độngng cụ thể: th : ◦ ưa ra chính sách bảo mật. ◦ Lựa chọn cơ chế thỏa mãn chính sách. ◦ ảm bảo rằng cả cơ chế lẫn chính sách đề ra là vững chắc @Hai V Pham 23
Mật mã học
An toàn phần mềm
An toàn hệ điều hành
An toàn cơ sở dữ liệu
An toàn mạng, Web 8 8/21/2014
Mật mã học ◦ Hệ Mật mã không khóa ◦ Hệ Mật mã khóa bí mật ◦ Hệ Mật mã khóa công khai ◦ Hàm băm, chữ ký số ◦ Quản lý khóa, giao thức mật mã,…
An toàn phần mềm ◦ Các mối đe dọa ◦ Các biện pháp an toàn
Soát lỗi
Kiểm định
Lập trình an toàn
An toàn hệ điều hành ◦ Các mối đe dọa ◦ Các biện pháp an toàn
Phân quyền, iều khiển truy nhập, Trusted computing 9 ...