GVHD: PGS.TS Đặng Trần Khánh Trình bày: - Trần Thị Ánh 10320906 - Vũ Thúy Hằng 11326020 - Hoàng Phương Hiên 10320909 - Huỳnh Văn Kháng 10320912 1 Giới thiệu Tầm quan trọng Các nguy cơ thường gặp Giải pháp Tình hình ứng dụng mobile security trên Thế giới Kết luận 2 Ngày nay để thuận tiện cho công việc, tăng năng xuất làm việc của nhân viên các tố chức, công ty cho phép nhân viên truy cập thông tin cần thiết của doanh nghiệp ở bất kỳ nơi nào thì các thiết bị di động luôn được xem là lựa chọn hàng đầu (ví dụ: điện thoại di động, laptop, PDA) Trong khi các thiết bị có thể nâng cao năng xuất và hiệu quả, chúng cũng mang lại những rủi ro mới cho công ty. 3 Các tổ chức đang bắt đầu hiểu rằng bảo mật các thiết bị di động cũng quan trọng như bảo mật máy tính để bàn hay máy tính xách tay. 4 Thông tin cá nhân, tài liệu riêng tư của bạn cũng như của công ty trong điện thoại di động trở thành mục tiêu của kẻ xấu muốn thâm nhập. Bảo mật dữ liệu là rất quan trọng cho hầu hết các doanh nghiệp và ngay cả người dùng máy tính ở nhà: thông tin khách hàng, thông tin thanh toán, các tập tin cá nhân, chi tiết tài khoản ngân hàng, tất cả các thông tin này có khả năng nguy hiểm nếu nó rơi vào tay kẻ xấu. 5 Tấn công, truy cập dữ liệu trên đường truyền (Interception of data transmission) Xác thực người dùng (User Authentication) Truy cập giả mạo vào dữ liệu trên thiết bị (Rogue access to data on device) Mất thiết bị (Loss of device) 6 Thường xảy ra ở đâu? Thư điện tử (Email) Âm thanh (Voice) Tin nhắn (Message) Trong quá trình đồng bộ dữ liệu … 7 Đánh vào 1 trong 4 nguyên tắc về bảo mật – Làm mất tính bảo mật (Confidentiality) – Làm mất tính toàn vẹn (Integrity) – Làm mất tính ‘không lặp lại’ (Non repeatable) – Làm mất tính xác thực (Authentication) 8 Ví dụ: Kẻ tấn công có thể dùng một số thiết bị nghe lén để xâm nhập vào các thiết bị di động nếu chúng không được bảo mật chặt chẽ. 9 Xác thực người dùng (User Authentication) Client có được phép kết nối đến server khi có quyền? Client được phép làm gì? 10 [...]... tập trung quản lý để bảo vệ cả hai thiết bị điện thoại di động và mạng CNTT khỏi các nguy cơ bảo mật 34 D.M.G.PRASAD & A.N.SAI KRISHNA, Mobile Data Security CREDANT Technologies (2007), Mobile Data Security Essentials for Your Changing, Growing Workforce Trend Micro (2007), Protecting Mobile Data and Increasing Productivity McAfee, Inc & Informa Telecoms & Media (2009), Mobile Security Report 35 ... thiết bị di động, và thực hiện các giải pháp bảo mật công nghệ di động 33 Các quản trị viên CNTT nên mở rộng thực hành bảo mật sử dụng cho máy tính xách tay và máy tính để bàn với các thiết bị di động vì các nguy cơ bảo mật đều như nhau cho cả hai Cuối cùng, các tổ chức nên xem xét các công nghệ bảo mật di động bao gồm xác thực, mã hóa lưu trữ dữ liệu, bảo mật cho dữ liệu trong truyền nhận, chống phần... mức độ bảo mật được xác định trước được tùy biến bởi quản trị viên Các hệ thống phát hiện xâm nhập có thể chặn các cuộc tấn công từ chối dịch vụ 21 Cài đặt các ứng dụng bảo mật di động trên các thiết bị cầm tay Tập trung cung cấp các thiết lập và chính sách Khóa các thiết lập bảo mật di động trên thiết bị để người dùng không thể thay đổi chúng Đẩy bản vá cập nhật phần mềm, an ninh và mẫu tập tin cập... thiết bị: Virus có thể tấn công qua lỗ hổng bảo mật của ứng dụng, hệ điều hành, qua các ứng dụng được tải từ mạng, hoặc qua các tin nhắn SMS "độc hại" được thiết kế đặc biệt Những nguy cơ này có thể khiến thiết bị ngừng hoạt động hoặc gây ra các lỗi nghiêm trọng 11 Mất tất cả những dữ liệu quan trọng lưu giữ trong thiết bị Thậm chí nếu thiết bị được bảo mật cao trong các mạng riêng ảo (VPN) nhưng nếu... nghiệp cung cấp cho nhân viên điện thoại thông minh và PDA để tăng năng suất nhưng cũng tạo ra các thách thức an ninh cho tổ chức Các tổ chức nên xem bảo mật di động một cách toàn diện - con người, quy trình, và công nghệ để giảm thiểu rủi ro Một giải pháp toàn diện bao gồm đào tạo con người sử dụng các thiết bị di động một cách an toàn, mở rộng chính sách bảo mật máy tính để bàn và máy tính xách tay... systems IDS) để ngăn chặn tin tặc và các cuộc tấn công từ chối dịch vụ Tập trung quản lý bảo mật thiết bị di động Nâng cao nhận thức người sử dụng về nguy cơ và đào tạo 14 Xây dựng và thực thi các chính sách với một nhóm liên ngành bao gồm bộ phận CNTT, thu mua, nhân sự, và pháp chế Nắm bắt các loại và mô hình của thiết bị sử dụng để truy cập hoặc lưu trữ dữ liệu công ty Bảo vệ và hạn chế các dữ liệu... động 15 Yêu cầu mật khẩu mạnh trên thiết bị di động Xác thực cả hai thiết bị và người sử dụng Chọn giải pháp quản lý và thực thi chính sách tập trung 16 Mã hóa dữ liệu ở phần còn lại trên các thiết bị di động, bao gồm cả trên các phương tiện thông tin lưu trữ Chọn mã hóa tối thiểu cần thiết để thực hiện theo quy định chính sách Chọn mã hóa được chứng nhận (ví dụ như FIPS 140-2) cho bảo vệ tốt hơn 17... tải các ứng dụng từ các nguồn không tin cậy không chia sẻ các ứng dụng với người lạ không giữ chức năng Bluetooth được kích hoạt khi không sử dụng sao lưu tất cả dữ liệu trên thiết bị giữ cho phần mềm trên thiết bị được cập nhật (các bản vá lỗi hệ điều hành, khóa chống virus, thiết lập tường lửa, v.v ) làm theo lời khuyên cho đồng bộ hóa an toàn 23 TLTK: Mobile Security Report 2009 Khảo sát trực tuyến... mã hóa được chứng nhận (ví dụ như FIPS 140-2) cho bảo vệ tốt hơn 17 Sử dụng giải pháp mã hóa "tại chỗ" hơn là các hộp đựng, vì vậy dữ liệu được bảo vệ mà không cần sự can thiệp của người sử dụng Quản lý các khóa mã hóa để bảo vệ chúng khỏi trộm cắp 18 SSL bảo vệ dữ liệu trong truyền dẫn, là đơn giản để thực hiện, và không yêu cầu phần mềm khách hàng mới trên các thiết bị di động VPN có thể an toàn . xấu muốn thâm nhập. Bảo mật dữ liệu là rất quan trọng cho hầu hết các doanh nghiệp và ngay cả người dùng máy tính ở nhà: thông tin khách hàng, thông tin thanh toán, các tập tin cá nhân, chi tiết. công ty. 3 Các tổ chức đang bắt đầu hiểu rằng bảo mật các thiết bị di động cũng quan trọng như bảo mật máy tính để bàn hay máy tính xách tay. 4 Thông tin cá nhân, tài liệu riêng tư của bạn cũng. ứng dụng mobile security trên Thế giới Kết luận 2 Ngày nay để thuận tiện cho công việc, tăng năng xuất làm việc của nhân viên các tố chức, công ty cho phép nhân viên truy cập thông tin cần