Bài giảng An toàn hệ thống thông tin: Chương 1 - Nguyễn Thị Hạnh

Bài giảng An toàn hệ thống thông tin: Chương 1 Tổng quan về an toàn hệ thống thông tin cung cấp cho người học những kiến thức như: An toàn hệ thống thông tin; Mục tiêu an toàn toàn hệ thống thông tin; Các tấn công an toàn hệ thống thông tin; Các bước cơ bản an toàn hệ thống thông tin; Sự cần thiết của An toàn HTTT đối với cá nhân, tổ chức, và xã hội; Pháp luật về an toàn hệ thống thông tin.
Nội dung trích xuất từ tài liệu:
Bài giảng An toàn hệ thống thông tin: Chương 1 - Nguyễn Thị Hạnh 07/01/2018 TỔNG QUAN VỀ AN TOÀN HỆ THỐNG THÔNG TIN (OVERVIEW OF INFORMATION SYSTEMS SECURITY) Giáo viên: Nguyễn Thị Hạnh Nguyễn Thị Hạnh Nội dung 1. An toàn hệ thống thông tin 2. Mục tiêu an toàn toàn hệ thống thông tin 3. Các tấn công an toàn hệ thống thông tin 4. Các bước cơ bản an toàn hệ thống thông tin 5. Sự cần thiết của An toàn HTTT đối với cá nhân, tổ chức, và xã hội 6. Pháp luật về an toàn hệ thống thông tin Nguyễn Thị Hạnh 1 07/01/2018 1. An toàn hê thống thông tin ˗ Information systems Security ˗ Bao hàm một lĩnh vực rộng lớn các hoạt động trong một tổ chức. ˗ Nó bao gồm cả những sản phẩm và những quy trình nhằm ngăn chặn việc truy cập trái phép, hiệu chỉnh, xóa, phá hủy, làm lộ và làm gián đoạn thông tin và hoạt động của hệ thống một cách trái phép. Nguyễn Thị Hạnh 2. Mục tiêu an toàn thông tin ˗ Ba khái niệm: Tính bảo mật (Confidentiality), Tính toàn vẹn (Integrity) và Tính sẳn dùng (Availability) hình thành một Tam giác bảo mật CIA (CIA triad). ˗ Ba khái niệm thể hiện các mục tiêu cốt lỗi an toàn cho cả thông tin và dịch vụ của hệ thống Nguyễn Thị Hạnh 2 07/01/2018 2. Mục tiêu an toàn thông tin ˗ Tính bí mật (Confidentiality): Che dấu nội dung hoặc sự tồn tại dữ liệu, thông tin và tài nguyên Một hệ thống an toàn sẽ đảm bảo sự bí mật của dữ liệu. Có nghĩa là nó chỉ cho phép những các cá nhân hợp pháp được xem những dữ liệu hợp Ví dụ: Trong hệ thống thông tin ngân hàng, chỉ có chủ tài khoản hoặc người được ủy quyền mới được phép xem thông tin tài khoản và thực hiện giao dịch trên tài khoản đó. Người thân cũng không thể xem được thông tin của tài khoản đó. Nguyễn Thị Hạnh 2. Mục tiêu an toàn thông tin ˗ Tính toàn vẹn (Integrity): Chỉ những người dùng được ủy quyền mới được phép chỉnh sửa dữ liệu. Ví dụ: Trong hệ thống thông tin ngân hàng, bản thân chủ tài khoản cũng không thể tự tiện thay đổi thông tin tài khoản (như địa chỉ, số điện thoại,..) trừ khi chủ tài khoản có phiếu yêu cầu và Nguyễn Thị Hạnh 3 07/01/2018 2. Mục tiêu an toàn thông tin ˗ Tính sẵn dùng (Availability): Cho phép truy cập dữ liệu và tài nguyên ở mọi lúc. Đảm bảo dữ liệu luôn sẵn sàng được truy cập bởi những người dùng hợp pháp, không bị trì hoãn. Denial-of-service là một hình thức tấn công làm mất đi tính sẵn sàng của dữ liệu. Ví dụ: Trong hệ thống quản lý thông tin ngân hàng, cần đảm bảo rằng chủ tài khoản có thể truy vấn/giao dịch thông tin tài khoản của mình bất cứ lúc nào. Nguyễn Thị Hạnh 2. Mục tiêu an toàn thông tin ˗ Bên cạnh bộ ba CIA, trong lĩnh vực an toàn còn khái niệm quan trọng cần có: Tính chống thoái thác (Non-repudiation): Khả năng ngăn chặn việc từ chối một hành vi đã làm. Ví dụ: Trong hệ thống ngân hàng, có khả năng cung cấp bằng chứng để chứng minh một hành vi khách hàng đã thực hiện, như giao dịch thanh toán, giao dịch chuyển khoản.... Nguyễn Thị Hạnh 4 07/01/2018 3. Các tấn công an toàn thông tin ˗ Có thể phân hai loại chính: Tấn công thụ động (passive attacks): cố gắng tìm hiểu hoặc sử dụng thông tin từ hệ thống nhưng không ảnh hưởng đến tài nguyên hệ thống. Tấn công chủ động (active attacks): cố gắng để thay đổi tài nguyên hệ thống hoặc ảnh hưởng đến hoạt động của hệ thống. Nguyễn Thị Hạnh 3.1 Tấn công thụ động ˗ Các tấn công thụ động thực chất là nghe lén, hoặc giám sát việc trao đổi thông tin. Mục tiêu của đối phương là thu thập thông tin đang được trao đổi. ˗ Hai loại tấn công thụ động là (a) xem trộm thông tin; (b) Phân tích lưu lượng ˗ Các tấn công thụ động rất khó phát hiện bởi vì chúng không làm sai lệch hoặc hủy hoại thông tin trao đổi, nhưng có thể có những biện pháp ngăn chặn hiệu quả. Nguyễn Thị Hạnh 5 07/01/2018 3.1 Tấn công thụ động ˗ (a) xem trộm thông tin (Release of message contents) Nguyễn Thị Hạnh 3.1 Tấn công thụ động ˗ (b) Phân tích lưu lượng (Traffic analysis) Nguyễn Thị Hạnh 6 07/01/2018 3.2 Tấn công chủ động ˗ Tấn công chủ động (Active attacks): có thể làm thay đổi nội dung, xóa bỏ, làm trễ, xắp xếp lại thứ tự hoặc làm lặp lại gói tin tại thời điểm đó hoặc sau đó một thời gian. Có thể thêm vào một số thông tin ngoại lai để làm sai lệch nội dung thông tin trao đổi. ˗ Có thể được chia thành 4 loại: (a) Mạo danh (b) Phát lại thông điệp, (c) Thay đổi thông điệp, và (d) Từ chối dịch vụ. ˗ Tấn công chủ động dễ phát hiện nhưng để ngăn ...