Chương : Tổng Quan Về Bảo Mât Thông Tin Giảng viên : Nguyễn Minh Thành E-mail : thanhnm.itc@itc.edu.vn Mục Lục Khái quát bảo mật thông tin II Các thành phần bảo mật III Các nguy bảo mật thông tin I Các nguy Các biện pháp đối phó IV Chính sách chế V Quy trình thực bảo mật Nguyễ n Minh Thành I Khái quát bảo mật thông tin  Có thơng tin mà người phát tin muốn cho đối tượng nhận, đối tượng khác khơng thể biết Bí mật quốc gia, trao đổi thư tín, giao dịch thương mại Ln u cầu thiết phải có hệ thống truyền thơng an tồn tin cậy Quyết định đến tồn vong phát triển tổ chức  Bảo mật thông tin phát triển: bảo vệ an toàn cho quốc gia quân Ngày xem vấn đề cấp thiết tổ chức để bảo vệ Nguyễ n Minh Thành I Khái quát bảo mật thơng tin  Có nhiều phương án kỹ thuật đề để giải vấn đề :  Mã hoá (Cryptography)  Các giao thức truyền (Protocols)  Các chế kiểm soát truy cập (Access control mechanisms)  Tường lửa  IDSs …  Tuy nhiên, phương án có lỗ hổng Nguyễ n Minh Thành II Các thành phần bảo mật  Bảo mật máy tính dựa thành phần  Tính bí mật (Confidentiality)  Che dấu nội dung tồn liệu, thông tin tài nguyên  Một hệ thống an tồn đảm bảo bí mật liệu Có nghĩa cho phép cá nhân hợp pháp xem liệu hợp lệ Nguyễ n Minh Thành II Các thành phần bảo mật  Tính tồn vẹn (Integrity)  Toàn vẹn liệu nguồn gốc (phải chứng thực)  Một hệ thống an toàn phải đảm bảo liệu mà có Tồn vẹn liệu bảo vệ liệu không bị xố, chỉnh xửa, bị lỗi nằm CSDL truyền mạng Nguyễ n Minh Thành II Các thành phần bảo mật  Tính sẵn sàng (Availability)  Cho phép truy cập liệu tài nguyên lúc  Một hệ thống an tồn phải đảm bảo liệu ln sẵn sàng truy cập người dùng hợp pháp, không bị trì hỗn  Denial-of-service hình thức cơng làm tính sẵn sàng liệu Nguyễ n Minh Thành III Các nguy bảo mật thơng tin (tt)  Các nguy hay cịn gọi mối đe doạ hành vi vi phạm tính bảo mật xảy cho hệ thống  Những hành vi vi phạm chưa cần xảy xảy (dù vơ tình hay cố ý) chắn ảnh hưởng xấu đến hệ thống tổ chức Nguyễ n Minh Thành III Các nguy bảo mật thông tin (tt)  Các nguy ảnh hưởng đến :  Mất tính bí mật  Phải trì bí mật cho liệu  Mất tính tồn vẹn  Phải ngăn ngừa việc thay đổi thông tin bất hợp pháp  Bao gồm tính chống thối thác xác thực -> phải kiểm toán xác định trách nhiệm  Mất tính sẵn sàng  Phải tránh công denial-of-service Nguyễ n Minh Thành III.1 Các nguy  Các nguy chia thành lớp :  Disclosure : truy cập thông tin trái phép  Deception : chấp nhận liệu sai  Disruption : ngăn chặn làm gián đoạn chức hoạt động hệ thống  Usurpation : điều khiển trái phép chức hệ thống  Bốn lớp chứa nhiều nguy chung, nguy thực thuộc vào nhiều lớp 10 Nguyễ n Minh Thành III.2 Các biện pháp đối phó  Để đối phó với nguy trên, có nhiều biện pháp đề :  Identification : việc định danh người dùng hệ thống  Authentication : việc xác thực xem người dùng có đích thực người đăng ký hay khơng  Sử dụng phương pháp ? (thảo luận)  11 Authorization : việc uỷ quyền cho người dùng với chức có hệ thống Nguyễ n Minh Thành III.2 Các biện pháp đối phó (tt)  Access Control : chế bảo mật để ngăn chặn việc truy cập đến đối tượng hệ thống  Thường áp dụng hệ thống CSDL : MS SQL Server, Oracle… 12 Nguyễ n Minh Thành III.2 Các biện pháp đối phó (tt)  Ví dụ bảo mật CSDL : cần bảo mật yếu tố ? 13 Nguyễ n Minh Thành III.2 Các biện pháp đối phó (tt)  Ví dụ bảo mật CSDL:  Bảo vệ liệu Server  Access Control  Mã hoá  Bảo vệ liệu mơi trường mạng  Tính bí mật  Khơng sửa chữa, gửi lại  Phát liệu bị  Xác định chứng thực người dùng  Kiểm toán hệ thống (truy vết) 14 Nguyễ n Minh Thành IV Chính sách Cơ chế  Chính sách bảo mật tuyên bố, phát biểu làm khơng làm hệ thống  Chính sách phải thể văn bản, phải viết trình bày dạng cơng thức tốn mang tính chắt chẽ  Chính sách phải danh sách bao gồm trạng thái cho phép không cho phép đối tượng hệ thống 15 Nguyễ n Minh Thành IV Chính sách Cơ chế (tt)  Cơ chế phương thức, công cụ, thủ tục để thực thi sách  Các chế mang tính kỹ thuật khơng mang tính kỹ thuật 16 Nguyễ n Minh Thành V Quy trình thực bảo mật  Khó chứng minh hệ thống bảo mật tốt khơng thực theo quy trình Quy trình giúp cho việc xác định công việc kiểm định lại công việc để đánh giá cải thiện  Vì vậy, để đảm bảo khả bảo mật hệ thống, phải thực theo quy trình sau : Specification : đặc tả yêu cầu bảo mật cho hệ thống  Design : thiết kế giải pháp  Implement : thực thi giải pháp  17 Nguyễ n Minh Thành V Quy trình thực bảo mật (tt)  Specification :  Đặc tả việc phát biểu cách hình thức chức mong muốn hệ thống Việc đặc tả sử dụng ngơn ngữ thường, hay ngơn ngữ tốn học để nâng cao tính hình thức độ xác  Design :  Thiết kế việc chuyển đặc tả vào thành phần hệ thống  Implementation  Thực thi việc tạo thành phần hệ thống kết nối chúng lại theo thiết kế 18 Nguyễ n Minh Thành V Quy trình thực bảo mật (tt)  Sơ đồ chung cho quy trình bảo mật 19 Nguyễ n Minh Thành 20 Nguyễ n Minh Thành ... bảo mật thông tin II Các thành phần bảo mật III Các nguy bảo mật thông tin I Các nguy Các biện pháp đối phó IV Chính sách chế V Quy trình thực bảo mật Nguyễ n Minh Thành I Khái quát bảo mật thông. .. n Minh Thành II Các thành phần bảo mật  Bảo mật máy tính dựa thành phần  Tính bí mật (Confidentiality)  Che dấu nội dung tồn liệu, thông tin tài nguyên  Một hệ thống an toàn đảm bảo bí mật. .. Oracle… 12 Nguyễ n Minh Thành III.2 Các biện pháp đối phó (tt)  Ví dụ bảo mật CSDL : cần bảo mật yếu tố ? 13 Nguyễ n Minh Thành III.2 Các biện pháp đối phó (tt)  Ví dụ bảo mật CSDL:  Bảo vệ