Tổng quan về bảo mật thông tin
Information security, PTITHCM, 2012
Nội dung
1. Mô hình bảo mật cổ điển
2. Mô hình bảo mật X.800
3. Chuẩn an ninh thông tin ISO 27001
4. Các nguy cơ bảo mật hệ thống hiện
nay
Information security, PTITHCM, 2012
Bảo mật thông tin
Information
security
Computer
security
Network
security
Information security, PTITHCM, 2012
Mô hình CIA

C = Confidentiality

I = Integrity

A = Availability
Th nào là m t h th ng an toàn ế ộ ệ ố
(secure system)?
Information security, PTITHCM, 2012
Tính bí mật (C)

Giới hạn các đối tượng được phép truy

hợp lệ. Là đặc trưng cơ bản nhất của hệ
thống thông tin.

Các mô hình bảo mật hiện đại (ví dụ
X.800) không đảm bảo tính khả dụng.

Tấn công dạng DoS/DDoS nhắm vào
tính khả dụng của hệ thống.
Information security, PTITHCM, 2012
Tính hòan thiện của CIA

Không đảm bảo “không từ chối hành
vi” (non-repudiation)

Không thể hiện tính “sở hữu”

Không có sự tương quan với mô hình
hệ thống mở OSI.
=> Cần xây dựng mô hình mới.
Information security, PTITHCM, 2012
Chiến lược AAA (RFC 3127)

Các cơ chế nhằm xây dựng hệ thống
bảo mật theo mô hình CIA.

Access Control

Authentication

Auditing

Vân tay, võng mạc, …

Certificates

Smart card
Information security, PTITHCM, 2012
Auditing

Auditing

System events auditing

NTFS access auditing

System log

Service log

Command history

System scanning

Vulnerability scanning

Base line analyzer
Information security, PTITHCM, 2012
Triển khai giải pháp bảo mật

Điều kiện để tấn công xảy ra:


Dùng cơ chế cấp quyền trên partition
NTFS

Dùng cơ chế cấp quyền hệ thống (user
rights)

Đưa ra các quy định mang tính thủ
tục.

…
Information security, PTITHCM, 2012
Xây dựng hệ thống bảo mật
Đ nh nghĩa ị
chính sách
Tri n khaiể
c chơ ế
Information security, PTITHCM, 2012
Mô hình bảo mật X.800 (ITU_T)
Xem xét vấn đề bảo mật trong tương
quan với mô hình hệ thống mở OSI
theo 3 phương diện:

Security attack

Security mechanism

Security service

Các dịch vụ bảo mật được cung cấp dưới dạng các
primitives tại từng lớp tương ứng của OSI


Digital Signature

Access Control

Data Integrity

Authentication exchange

Traffic padding

….
Information security, PTITHCM, 2012
ISO 27001

Dựa trên khái niệm hệ thống quản lý
an ninh thông tin ISMS

Quy trình PDCA
Information security, PTITHCM, 2012
ISO 27001 requirements

Đánh giá các rủi ro về an ninh thông tin

Chính sách an ninh thông tin

Tổ chức của hệ thống an ninh thông tin

Tổ chức quản lý tài sản trong đơn vị



Dựa vào các lỗ hổng phần mềm

Dựa vào lỗ hổng của giao thức

Tấn công vào cơ chế bảo mật

Tấn công từ chối dịch vụ (DoS/DDoS)
Information security, PTITHCM, 2012
Phần mềm phá họai

Virus

Worm

Logic bomb

Trojan horse

Backdoor

Spammer

Zoombie