Bài giảng Nhập môn an toàn thông tin: Chương 1 - Trần Thị Kim Chi

Bài giảng "Nhập môn an toàn thông tin - Chương 1: Tổng quan về an toàn hệ thống thông tin" cung cấp cho người học các kiến thức: Các khái niệm cơ bản, các bước cơ bản trong bảo mật thông tin, các bài toán an toàn thông tin cơ bản, bài toán bảo mật - Mã hóa và phong bì số, bài toán chứng thực và toàn vẹn - Chữ ký điện tử và mã chứng thực. Mời các bạn cùng tham khảo.
Nội dung trích xuất từ tài liệu:
Bài giảng Nhập môn an toàn thông tin: Chương 1 - Trần Thị Kim Chi 1 GV: Trần Thị Kim Chi NỘI DUNG 1. Các khái niệm cơ bản 2. Các bước cơ bản trong bảo mật thông tin 3. Các bài toán an toàn thông tin cơ bản 4. Bài toán bảo mật : mã hóa và phong bì số 5. Bài toán chứng thực và toàn vẹn : chữ ký điện tử và mã chứng thực 6. Một ví dụ : giao thức bảo mật email PGP Trần Thị Kim Chi 1-2 Những khái niệm cơ bản • Dữ liệu và thông tin • Hệ thống thông tin • Bảo mật hệ thống thông tin • Những yêu cầu bảo mật hệ thống thông tin • Mục tiêu của bảo mật Trần Thị Kim Chi 1-3 Dữ liệu và thông tin • Dữ liệu (Data) là các giá trị của thông tin định lượng hoặc đính tính của các sự vật, hiện tượng trong cuộc sống. Trong tin học, dữ liệu được dùng như một cách biểu diễn hình thức hoá của thông tin về các sự kiện, hiện tượng thích ứng với các yêu cầu truyền nhận, thể hiện và xử lí bằng máy tính. • Thông tin (Information) là dữ liệu đã được xử lý, phân tích, tổ chức nhằm mục đích hiểu rõ hơn sự vật, sự việc, hiện tượng theo một góc độ nhất định. Trần Thị Kim Chi 1-4 An Toàn thông tin là gì? Trần Thị Kim Chi 1-5 An Toàn thông tin là gì? Trần Thị Kim Chi 1-6 An Toàn thông tin là gì? Trần Thị Kim Chi 1-7 An Toàn thông tin là gì? • An toàn thông tin bao hàm một lĩnh vực rộng lớn các hoạt động trong một tổ chức. Nó bao gồm cả những sản phẩm và những quy trình nhằm ngăn chặn truy cập trái phép, hiệu chỉnh, xóa thông tin, kiến thức, dữ liệu. • Mục đích là đảm bảo một môi trường thông tin tin cậy , an toàn và trong sạch cho mọi thành viên và tổ chức trong xã hội Trần Thị Kim Chi 1-8 Hệ thống thông tin • Hệ thống thông tin (Information Systems) • là một hệ thống gồm con người, dữ liệu và những hoạt động xử lý dữ liệu và thông tin trong một tổ chức. • Tài sản của hệ thống bao gồm:  Phà n cứng  Phà n mề m  Dữ liệ u  Cá c truyền thông giữa cá c má y tính củ a hệ thó ng  Môi trường là m việ c  Con người Trần Thị Kim Chi 1-9 Bảo mật hệ thống thông tin • Bảo mật hệ thống thông tin (Information Systems Security) • Bao hàm một lĩnh vực rộng lớn các hoạt động trong một tổ chức. • Nó bao gồm cả những sản phẩm và những quy trình nhằm ngăn chặn truy cập trái phép, hiệu chỉnh, xóa, phá hủy, làm lộ và làm gián đoạn thông tin và hoạt động của hệ thống một cách trái phép. Trần Thị Kim Chi 1-10 Những yêu cầu bảo mật hệ thống thông tin Trần Thị Kim Chi 1-11 Những yêu cầu bảo mật hệ thống thông tin • Tính bí mật (Confidentiality): bảo vệ dữ liệu không bị lộ ra ngoài một cách trái phép. • Ví dụ: Trong hệ thống quản lý sinh viên, một sinh viên được phép xem thông tin kết quả học tập của mình nhưng không được phép xem thông tin của sinh viên khác. Trần Thị Kim Chi 1-12 Những yêu cầu bảo mật hệ thống thông tin • Tính toàn vẹn (Integrity): Chỉ những người dùng được ủy quyền mới được phép chỉnh sửa dữ liệu. • Ví dụ: Trong hệ thống quản lý sinh viên, không cho phép sinh viên được phép tự thay đổi thông tin kết quả học tập của mình. Trần Thị Kim Chi 1-13 Những yêu cầu bảo mật hệ thống thông tin • Tính sẵn sàng (Availability): Đảm bảo dữ liệu luôn sẵn sàng khi những người dùng hoặc ứng dụng được ủy quyền yêu cầu. • Ví dụ: Trong hệ thống quản lý sinh viên, cần đảm bảo rằng sinh viên có thể truy vấn thông tin kết quả học tập của mình bất cứ lúc nào. Trần Thị Kim Chi 1-14 Những yêu cầu bảo mật hệ thống thông tin • Tính chống thoái thác (Non-repudiation): Khả năng ngăn chặn việc từ chối một hành vi đã làm. • Ví dụ: Trong hệ thống quản lý sinh viên, có khả năng cung cấp bằng chứng để chứng minh một hành vi sinh viên đã làm, như đăng ký học phần, hủy học phần. Trần Thị Kim Chi 1-15 Những yêu cầu bảo mật hệ thống thông tin Tính xác thực(Authentication): • Ví dụ: NHẬN chờ GỬI “xác nhận” khi đến thời điểm thực hiện công việc • Cần đảm bảo rằng TRUNG GIAN không can thiệp để tạo “xác nhận” giả Trần Thị Kim Chi 1-16 Các mối đe doạ đối với một hệ thống và các biện pháp ngăn chặn • Có 3 hình thức chủ yếu đe dọa đối với hệ thống:  Phá hoạ i: kể thù phá hỏng thiế t bị phà n cứng hoạ c phà n mềm hoạ t đọ ng trên hệ thó ng.  Sửa đỏ i: Tà i sả n củ a hệ thó ng bị sửa đỏ i trá i phế p. Điề u nà y thường là m cho hệ thó ng không là m đú ng chức năng củ a nó . Chả ng hạ n như thay đỏ i mạ t khả u, quyề n ngƣời dù ng trong hệ thó ng là m họ không thể truy cạ p và o hệ thó ng để là m việ c.  Can thiệ p: Tà i sả n bị truy cạ p bởi những người không có thả m quyền. Cá c truyề n thông thực hiệ n trên hệ thó ng bị ngăn chạ n, sửa đỏ i. Các mối đe doạ đối với một hệ thống và các biện pháp ngăn chặn • Các đe dọa đối với một hệ thống thông tin có thể đến từ ba loại đối tượng như sau:  Cá c đó i tượng từ ngay bên trong hệ thó ng (insider), đây là những người có quyề n truy cạ p hợp phá p đó i với hệ thó ng.  Những đó i tượng bên ngoà i hệ thó ng (hacker, cracker), thường cá c đó i tượng nà y tá n công qua những đường kế t nó i với hệ thó ng như Internet chả ng hạ n.  Cá c phà n mềm (chả ng hạ n như spyware, adware …) chạ y trên hệ thó ng. Các mối đe doạ đối với mộ ...