i
Trìnhbày:TS.VõVănKhang

NỘIDUNG
1.THÁCHTHỨCVỀATTT2013
2.NHỮNGNGUYÊNTẮCCƠBẢN
3.XÂYDỰNGMÔHÌNHPHÒNGTHỦ
4.XỬLÝCÁCHIỂMHỌA
1.THÁCHTHỨCATTT2013
• Sponsored - Espionage
- Mua chuộc nhân sự
- Mua bán thông tin
• DDOS
- Botnet
- Spyware
• Cloud Migration
- Mobile Access, users devices
- Social Network

Sophistication of
Hacker Tools
Packet Forging/
Spoofing
2000 1980
Password
Guessing
Self Replicating
Code
Password
Cracking
Exploiting Known

• Nguyên tắc thời gian sống của thông tin
- Claude E. Shannon

2.NHỮNGNGUYÊNTẮCCƠBẢN
• Nguyên tắc 3A
- Authentication
- Authorization
- Accounting
• Murphy’sLaw
- Edward A. Murphy – 1949

“Iftherearetwoormorewaystodosomething,
and one of those ways can result in a
catastrophe,thensomeonewilldoit”
2.NHỮNGNGUYÊNTẮCCƠBẢN
• Common mistakes
- ATTT và chiến lược, phương thức kinh doanh sản xuất
- Tính tóan sai về khấu hao đầu tư
- Đánh giá sai về đối tượng và điểm yếu kỹ thuật
- Không có chính sách về ATTT
2.NHỮNGNGUYÊNTẮCCƠBẢN
3.MÔHÌNHPHÒNGTHỦ
Internet
Telecommuters
Mobile
Users
Branch
Office
Business
Partner

Application
Data
3.MÔHÌNHPHÒNGTHỦ
ISMS, ISO 2700x
3.MÔHÌNHPHÒNGTHỦ
3.MÔHÌNHPHÒNGTHỦ
4.XỬLÝRỦIRO
Những rủi ro có xác suất xảy ra và mang lại tác hại cho hệ
thống trong tương lai được xếp loại:

• High Risk – là rủi ro có xác suất cao và thiệt hại lớn
• Medium Risk – xác xuất thấp hoặc thiệt hại nhỏ
• Low Risk – Khó xảy ra và thiệt hại không đáng kể
4.XỬLÝRỦIRO
Risk management là quá trình bao gồm 4 bước cơ bản sau:
• risk assessment – Đánh giá rủi ro,
• risk acceptance – Nhận diện rủi ro,
• risk treatment – Sử lý rủi ro,
• risk communication – Theo dõi, thông báo.
risk assessment bao gồm 2 kỹ thuật:
• Phân tích rủi ro (risk analysis)
• Đo lường rủi ro (risk evaluation)
4.XỬLÝRỦIRO
Risk treatment – là quá trình đưa ra quyết định xử lý từng
rủi ro và có ít nhất 4 lựa chọn sau:

• accept the risk – chấp nhận
• avoid the risk – Ngăn ngừa
• transfer the risk – Chuyển đổi
• reduce the risk – Giảm thiểu