L/O/G/O
www.trungtamtinhoc.edu.vn
An toàn bảo mật hệ thống thông tin
An toàn bảo mật hệ thống thông tin
Xây dựng quy định về sử dụng ứng dụng và quy trình đảm bảo
an toàn cho hệ thống.
1
www.trungtamtinhoc.edu.vn
Nội dung
Nội dung
•
1. Tầm quan trọng của an toàn bảo mật đối với hệ thông thông tin.
•
2. Các tiêu chuẩn chính sách an toàn thông tin (ISO/IEC 27001)
•
3. Phân tích, đưa ra các chính sách tiêu chuẩn trong việc xây dựng và sử
dụng trang web khoa công nghệ thông tin – Học viện Kỹ thuật Quân sự.
2
www.trungtamtinhoc.edu.vn
Sự phát triển của ứng dụng công nghệ thông tin trong đời sống, kinh tế, xã hội.
Sự phát triển của ứng dụng công nghệ thông tin trong đời sống, kinh tế, xã hội.
•
Phát triển nhanh cả về số lượng và chất lượng
•
Ứng dụng ngày một áp dụng rộng rãi trong tất cả các lĩnh vực về mọi mặt đời sống kinh tế
xã hội
•
Một phần thiết yếu không thể thiếu, phục vụ đời sống con người, nâng cao chất lượng cuộc
sống.
•
Phục vụ cho nghiên cứu khoa học

An toàn an ninh trong công nghệ thông tin
•
Con người và kỹ thuật là hai mắt xích quan trọng trong các mắt xích góp phần đến sự ảnh hưởng của an toàn thông tin.
•
Con người là khâu yếu nhất cần được chú trọng nhất.
•
Ở Việt Nam, các doanh nghiệp và tổ chức hiểu an toàn hệ thống thông tin là khái niệm thuộc về công nghệ, nên chỉ tập trung và việc đầu tư các
thiết bị phần cứng, nâng cấp hệ thống, xây dựng giải pháp, tái cấu trúc hệ thống vật lý… Trong đó những vấn đề mang tính quyết định trong an
toàn thông tin thì các tổ chức chưa thực sự quan tâm, cụ thể như:
+)Chính sách an toàn thông tin chưa được hoạch định bài bản.
+) Trách nhiệm an toàn thông tin chưa được giao rõ ràng và chi tiết đến mỗi bộ phận, đến mỗi loại thông tin
+) Chưa có kế hoạch, phương án xử lý rủi ro khi xuất hiện mối đe dọa an toàn thông tin.
+) Việc truyền thông an toàn thông tin trong tổ chức chưa được phổ biến, tập huấn đầy đủ đến các cấp quản lý, đến mỗi nhân viên.
6
www.trungtamtinhoc.edu.vn
An toàn an ninh trong công nghệ thông tin
An toàn an ninh trong công nghệ thông tin
•
Cũng giống như ngoài xã hội, muốn xã hội được phát triển ổn định, bình thường, không có các tệ nạn và vi
phạm pháp luật để ảnh hưởng đến môi trường sống của xã hội thì người ta sử dụng các luật để là căn cứ cho
người dân biết những việc nào không được làm, vừa mang tính răn đe để biết được hậu quả của việc vi
phạm đó sẽ sợ mà không làm.
•
Trong an toàn an ninh thông tin người ta cũng đưa ra các chính sách, tiêu chuẩn và các quy định về sử dụng
ứng dụng, quy trình đảm bảo an toàn cho hệ thống, hạn chế những thói quen xấu như:
–
Thao tác cập nhật tin tức trên mạng xã hội
–
Thói quen sử dụng các thiết bị
7

Bị đánh cắp từ các hệ thống ở bên ngoài, hoặc do nhân viên bị mua chuộc nên tiết lộ thông tin.
Tất cả điều trên đều gây ra hậu quả khôn lường cho tổ chức.
•
Triển khai ISO 27001 sẽ xác định loại thông tin trong tổ chức, xác định mối nguy hại và mối đe dọa. Sau đó có thể thiết lập hệ thống, sự kiểm soát và quy trình để
giảm thiểu các mối nguy hại.
9
www.trungtamtinhoc.edu.vn
Các tiêu chuẩn, chính sách an toàn thông tin ISO 27001
Các tiêu chuẩn, chính sách an toàn thông tin ISO 27001
Các lợi ích mà ISO 27001 đem lại cho tổ chức bao gồm:
•
Sự liên tục trong kinh doanh
•
Đánh giá được mối nguy và triển khai được các phương pháp để giảm bớt ảnh hưởng
•
An ninh được cải thiện
•
Kiếm soát việc truy cập
•
Tiết kiệm chi phí
•
Tạo ra một quá trình quản lý nội bộ
•
Tuyên truyền cam kết của bạn để bảo vệ dữ liệu của khách hàng.
•
Chứng minh được rằng bạn tuân thủ các quy định pháp luật
•
Xác định được rằng các lãnh đạo cấp cao thực sự nghiêm túc trong việc bảo mật dữ liệu.
•
Đánh giá thường xuyên để duy trì hiệu quả bảo mật

Triển khai mô hình phần cứng
Triển khai phần cứng:
-
Mô hình client /server.
-
2 server : 1 ở trung tâm công nghệ thông tin, 1 ở phòng thí nghiệm khoa,2 máy chạy song hành cùng nhau, được đồng bộ hóa trong quá trình xử
lý.
-
Hệ thống máy client nằm ở trung tâm công nghệ thông tin và phòng làm việc của các bộ môn, việc truy cập với quyền quản trị viên chỉ được
thiết lập với một số máy nhất định.
-
Hệ thống mạng trường sử dụng mạng không dây, có đăng ký mật khẩu, chống truy cập một số trang web nhất định như youtube, facebook ….
•
Hiệu quả của triển khai phần cứng như trên:
•
Tính an toàn được đảm bảo cao, hạn chế về rủi ro.
•
Hạn chế được sự truy cập bừa bãi, kể cả khi làm người quản trị làm mất mật khẩu, thì kẻ lấy cắp cũng khó để truy cập được ở ngoài.
•
Hệ thống mạng được thiết lập riêng trong học viện bảo đảm tính an toàn ,bảo mật cao.
12
www.trungtamtinhoc.edu.vn
Triển khai mô hình nghiệp vụ cho hệ thống.
Triển khai mô hình nghiệp vụ cho hệ thống.
•
Thực hiện quản lý sinh viên. Đưa thông tin sinh viên vào hệ thống sau đó có thể sử dụng các chức năng thống kê báo cáo đê đưa ra các thông tin sinh viên với
một mục đích cụ thể.
•
Thực hiện quản lý giáo viên: Đưa thông tin giáo viên vào hệ thống, sử dụng các chức năng báo cáo thống kê để đưa ra các thông tin về giáo viên.
•

+) Mất mật khẩu, không có biện pháp quản lý mật khẩu tôt, không thực hiện đổi mật khẩu định kỳ, tạo mật khẩu tính
bảo mật kém, dẫn đến nguy cơ bị chiếm quyền truy cập, phá hoại hoặc lấy cắp thông tin.
14
www.trungtamtinhoc.edu.vn
Những đe dọa với hệ thống
Những đe dọa với hệ thống
Biện pháp hạn chế những đe dọa của hệ thống từ phía người dùng:
1. Vấn đề về mật khẩu:
–
Biện pháp kỹ thuật
+) Xây dựng hệ thống mật khẩu đối với mỗi tài khoản chỉ được cấp cho một người quản lý và sử
dụng.
+) Xây dựng hệ thống phân quyền logic đảm bảo phân quyền nhỏ nhất đối với những người sử dụng
hệ thống.
+) Hệ thống cần được xây dựng mà cần giới hạn số lần đăng nhập sai liên tiếp vào hệ thống. Hệ
thống tự động khóa tài khoản trong một khoảng thời gian nhất định trước khi tiếp tục cho đăng nhập nếu
tiếp tục đăng nhập vượt qua một số lần quy định.
15
www.trungtamtinhoc.edu.vn
Những đe dọa với hệ thống
Những đe dọa với hệ thống
-
Về phía người sử dụng:
•
Mật khẩu đăng nhập hệ thống phải có độ phức tạp cao (có độ dài tối thiểu 8 ký tự, ký tự số và ký tự đặc biệt
như !, @, #, $, %, )
•
Phải được thay đổi ít nhất 3 tháng /lần và được giữ bí mật, bởi mật khẩu tượng trưng cho định danh người
dùng, mọi hoạt động diễn ra dưới mật khẩu cọi như do người dùng đó thực hiện.
•

Những đe dọa với hệ thống
Những đe dọa với hệ thống
•
Quy tắc về sử dụng mạng: không trao đổi công việc trên các hệ thống mạng xã hội hoặc email, chỉ cung cấp những hỗ trợ thiết
yếu nhất bảo đảm duy trì hoạt động của hệ thống thông tin, hạn chế sử dụng các trang mạng không lành mạnh, không cần thiết.
•
Quy tắc về sử dụng máy tính
•
Quy tắc về ứng xử trong tình huống cố định
–
Nghi ngờ virus
–
Nghi ngờ tấn công
–
Nghi ngờ mất mát dữ liệu
•
Khi phát hiện ra bất kỳ dấu hiện nào liên quan đến việc bị nhiễm mã độc trên máy trạm (ví dụ: máy hoạt động chậm bất thường,
cảnh báo từ phần mềm phòng chống mã độc, mất dữ liệu,…), người sử dụng phải tắt máy và báo trực tiếp cho bộ phận có trách
nhiệm của đơn vị để xử lý.
19
www.trungtamtinhoc.edu.vn
Những đe dọa với hệ thống
Những đe dọa với hệ thống
•
Quy tắc về sử dụng các thiết bị sao lưu dự phòng.
•
Quy tắc xử lý và sử dụng thông tin
•
+) Mỗi giáo viên,sinh viên chỉ được phép truy cập các thông tin phù hợp với chức năng,
trách nhiệm, quyền hạn của mình, có trách nhiệm bảo mật tài khoản truy cập thông tin.

22
www.trungtamtinhoc.edu.vn
Những đe dọa đến hệ thống máy tính
Những đe dọa đến hệ thống máy tính
•
Phải xây dựng hệ thống quản lý logfile: Hệ thống thông tin cần ghi nhận các sự kiện: quá
trình đăng nhập vào hệ thống, các thao tác cấu hình hệ thống. Thường xuyên kiểm tra, sao
lưu (backup) các logfile theo từng tháng để lưu vết theo dõi, xác định những sự kiện đã xảy
ra của hệ thống và hạn chế việc tràn logfile gây ảnh hưởng đến hoạt động của hệ thống dạng
nhật ký người dùng với các nội dung như: nội dung thay đổi, lý do thay đổi, thời gian, vị trí
thay đổi,
23
www.trungtamtinhoc.edu.vn
Những đe dọa đến hệ thống máy tính
Những đe dọa đến hệ thống máy tính
•
Phải có biện pháp tổ chức quản lý tài khoản: Các tài khoản và định danh người dùng trong
hệ thống thông tin, bao gồm: tạo mới, kích hoạt, sửa đổi và loại bỏ các tài khoản , đồng thời
tổ chức kiểm tra các tài khoản của hệ thống thông tin ít nhất 6 thang một lần, thông qua các
công cụ của hệ thống. Hủy tài khoản, quyền truy nhập hệ thống thông tin, thu hồi lại tất cả
các tài sản liên quan tới hệ thống thông tin (khóa, thẻ nhận dạng, thư mục lưu trữ, ) đối với
cán bộ, công chức, viên chức đã chuyến công tác, chấm dứt hợp đồng lao động.
24
L/O/G/O
www.trungtamtinhoc.edu.vn
Thank You!
Thank You!
www.themegallery.com
25