MÔ HÌNH PHÒNG THỦ THEO CHIỀU SÂU 1 AAA, Encryption, Digital Signature… Security Policy OS, Update Management, Enpoint Security,… UTM, Firewall, VPN, Routers,… Lock, Camera VLAN, IPS, IDS,… Application Control, Antivirus,… Physical Perimeter Internal Host Application Data Nội dung Xây dựng chính sách ATTT 2 Layer 1 : Data 1. Layer 2 : Application 2. Layer 3 : Host 3. Layer 4 : Internal 4. Layer 5 : Perimeter 5. Layer 6 : Physical 6. Layer 7 : Security Policy 7. Layer 1 : DATA Xây dựng chính sách ATTT 3 • Nội dung : – Data là gì ? – AAA là gì ? – Mã hóa thông tin – Chữ kí điện tử – Hệ thống chứng nhận khóa công cộng Layer 1 : DATA Data là gì ? Xây dựng chính sách ATTT 4 • Data là dữ liệu chúng ta cần bảo vệ. – Dữ liệu nên được phân chia thành 3 cấp độ : • Tuyệt mật • Công cộng • Quyền hạn sử dụng – Bảo vệ ở đây được chia vào 3 khía cạnh chính : • Đảm bảo tính bảo mật của dữ liệu • Đảm bảo tính toàn vẹn của dữ liệu • Đảm bảo tính sẵn sàng của dữ liệu Layer 1 : DATA AAA là gì ? Xây dựng chính sách ATTT 5 • AAA là một nhóm qui trình được sử dụng để bảo mật thông tin. • Một trong những mục đích của AAA là CIA – C : Confidential – I : Integrity – A : Availability • Chữ viết tắt của AAA : – A : Access Control – A : Authentication – A : Accounting Layer 1 : DATA AAA là gì ? Xây dựng chính sách ATTT 6 • Access Control là công cụ cấp quyền truy cập vào tài nguyên : Policy, NTFS, Smart Card, VPN,… • 3 kỹ thuật được sử dụng trong Access Control – Mandatory Access Control (MAC) • Build-in trong hệ điều hành • Sử dụng hard-code thiết lập trên các objects – Discretionary Access Control (DAC) • Thiết lập quyền truy cập vào các đối tượng • Người sở hữu tài nguyên có thể thao tác để thiết lập quyền – Role-Based Access Control (RBAC) • Thiết lập quyền truy cập dựa vào Group Layer 1 : DATA AAA là gì ? Xây dựng chính sách ATTT 7 • Authentication là qui trình xác nhận một đối tượng nào đó là hợp lệ hay không hợp lệ. Sau khi xác nhận xong sẽ cấp cho đối tượng đó quyền tương ứng để hoạt động trong môi trường mạng máy tính. • Phương thức xác thực : – Username/Password – Smart card – Biometric – One-Time Password – Kerberos – RADIUS Layer 1 : DATA AAA là gì ? Xây dựng chính sách ATTT 8 • Accounting là quá trình theo dõi và ghi nhận những hành động của đối tượng • Sử dụng chính sách của Windows để theo dõi Layer 1 : DATA AAA là gì ? Xây dựng chính sách ATTT 9 • Thực hành : – Tìm hiểu những chính sách theo dõi người dùng của Windows Server – Tìm hiểu những công cụ theo dõi , quản lý hoạt động của người dùng và hệ thống Layer 1 : DATA Mã hóa thông tin Xây dựng chính sách ATTT 10 Mã hóa là gì ? 1. Mã hóa đối xứng 2. Mã hóa bất đối xứng 3. Hệ thống chứng nhận khóa công cộng 5. Summary 6. Chữ ký điện tử 4. [...]... Văn phòng B cần thực hiện giao dịchhàng phải đến Khách rút tiền với Ngân hàng A tận nơi $ 5,000,000 để giao dịch OK ! ? Gửi bằng email Người gửi: Văn phòng B Người nhận: Ngân hàng A Người gửi: Văn phòng B Ngày gửi: Người nhận: Ngân hàng A 1 / 8 / 2003 ? Nội dung: Ngày gửi: …… Nội dung: Rút $5,000,000 …… Mã tài khoản: NHB-212551245 Rút $5,000,000 … Mã tài khoản: NHB-212551245 Ngân hàng A … Gửi Văn phòng. .. dựng chính sách ATTT 18 Layer 1 : DATA Chữ ký điện tử Xây dựng chính sách ATTT 19 Demo2 Giải mã & kiểm tra chữ ký Ok! Chấp nhận yêu cầu & gửi tiền $ 5,000,000 email Mã hóa & Ký Người gửi: Văn phòng B Người gửi: Văn phòng B Người nhận: Ngân hàng A Người nhận: Ngân hàng A Ngày gửi: Ngày gửi: 1 / 8 / 2003 1 / 8 / 2003 Nội dung: Nội dung: …… …… Rút $5,000,000 Rút $5,000,000 Mã tài khoản: NHB-212551245 Mã... chữ Tổ chức chứng nhận (CA) Chứng nhận hợp lệ trị Thông tin & còn giáPublic Ok! Đáng tin& chấp Tin tưởng cậy ? nhận đề nghị Tạo chứng nhận Xác thực chứng nhận Chứng cầu cấp Yêu nhận Ký X.509 chứng nhận theo & Chuẩn X.509 Mã hóa Tài liệu Thông tin Public Private key key key Demo5 Giaocấp chứng nhận Xin dịch với Ngân hàng Yêu cầu chứng thực Chứng nhận Chấp nhận giao dịch thực xác thực ?OK! Chứng nhận xác... Application Xác định những ứng dụng trong hệ thống • Liệt kê tất cả những ứng dụng đang chạy trong hệ thống STT Tên ứng dụng Nhà cung cấp 1 Windows Server 2003 SP2 Microsoft 2 Unikey Phạm Kim Long 3 MISA Mô tả Cty CP MISA … Xây dựng chính sách ATTT 31 Layer 2 : Application Phân loại ứng dụng • Networking hoặc Local – Networking : Client/Server, Peer-Peer, Hybrid – Local • System hoặc Non-System – System . MÔ HÌNH PHÒNG THỦ THEO CHIỀU SÂU 1 AAA, Encryption, Digital Signature… Security Policy OS, Update Management,. ? Xây dựng chính sách ATTT 8 • Accounting là quá trình theo dõi và ghi nhận những hành động của đối tượng • Sử dụng chính sách của Windows để theo dõi Layer 1 : DATA AAA là gì ? Xây dựng chính. dựng chính sách ATTT 9 • Thực hành : – Tìm hiểu những chính sách theo dõi người dùng của Windows Server – Tìm hiểu những công cụ theo dõi , quản lý hoạt động của người dùng và hệ thống Layer