Tài liệu Giới thiệu về bảo mật

Bài 1: GIỚI THIỆU VỀ BẢO MẬT Mục tiêu bài học Mô tả những thách thức của việc bảo mật thông tin Định nghĩa bảo mật thông tin và giải thích được lý do khiến bảo mật thông tin trở nên quan trọng Nhận diện các dạng tấn công phổ biến hiện nay Liệt kê các bước cơ bản của một cuộc tấn công Mô tả năm nguyên tắc phòng thủ cơ bản Bài 1 - Giới thiệu về bảo mật 2 Những thử thách đối với bảo mật thông tin Nhữngsố liệu nổi bật về bảo mật trên thế giới trong thế kỷ 21 Bảo mật cá nhân Bảo mật thông tin Bảo mật thông tin Không có giải pháp đơn giản Nhiều dạng tấn công khác nhau Việc phòng thủ chống lại các cuộc tấn công thường khó khăn Bài 1 - Giới thiệu về bảo mật 3 Các cuộc tấn công hiện nay Sức mạnh tính toán ngày càng được nâng cao Giúp cho việc phá mật khẩu dễ dàng Những lỗ hổng phần mềm thường không được vá Các điện thoại thông minh trở thành mục tiêu tấn công mới Bài 1 - Giới thiệu về bảo mật 4 Các cuộc tấn công vào bảo mật hiện nay (tiếp tục) Các ví dụ về những cuộc tấn công gần đây Phần mềm diệt virus giả mạo Được quảng cáo bởi những kẻ lấy trộm thẻ tín dụng Các vụ tấn công ngân hàng trực tuyến Cuộc tranh luận ở Hội nghị về Tin tặc Vụ lừa đảo lệ phí tinh vi mang số hiệu 419 ở Nigeria Một kiểu lừa đảo qua Internet hàng đầu Đánh cắp danh tính nhờ sử dụng Firesheep Phần mềm độc hại Các thiết bị USB đã bị lây nhiễm Bài 1 - Giới thiệu về bảo mật 5 Các vụ đánh cắp thông tin điển hình trong vòng một tháng Tổ chức Mô tả cách thông tin bị đánh cắp Seacoast Radiology, NH Thông tin cá nhân đã bị tiết lộ bởi một vụ vi phạm bảo mật DeviantART, Silverpop Systems Inc., CA Những kẻ tấn công đã tiết lộ thông tin của 13.000.000 toàn bộ người dùng trong cơ sở dữ liệu. Trường đại học tổng hợp bang Ohio, OH Một số cá nhân đăng nhập trái phép và truy cập thông tin về sinh viên và các thành viên của trường. 750.000 Gawker, NY Kẻ tấn công truy cập vào cơ sở dữ liệu, lấy được mật khẩu + e-mail của người dùng và nhân viên. 1.300.000 Bài 1 - Giới thiệu về bảo mật SL danh tính bị lộ 231.400 6 Những khó khăn trong việc phòng thủ chống lại các vụ tấn công Các thiết bị kết nối toàn cầu Sự gia tăng tốc độ của các vụ tấn công Các cuộc tấn công ngày càng tinh vi hơn Các công cụ tấn công ngày càng đơn giản và sẵn dùng Các lỗ hổng được phát hiện nhanh hơn Vá lỗi chậm Việc cung cấp các bản vá còn yếu kém Các vụ tấn công phân tán Người dùng bị bối rối Bài 1 - Giới thiệu về bảo mật 7 Bảo mật thông tin là gì? Trước khi có thể phòng thủ, bạn cần hiểu: Bảo mật thông tin là gì? Tại sao nó quan trọng? Những kẻ tấn công là ai? Bài 1 - Giới thiệu về bảo mật 8 Định nghĩa bảo mật thông tin Bảo mật (security) Các bước để bảo vệ người hoặc tài sản khỏi mối nguy hại Mối nguy hại có thể do chủ ý hoặc vô ý Phải hy sinh sự tiện lợi để đổi lấy sự an toàn Bảo mật thông tin (information security) Bảo vệ các thông tin ở dạng số hóa: Thông tin cung cấp giá trị cho con người và cho tổ chức Bài 1 - Giới thiệu về bảo mật 9 Định nghĩa bảo mật thông tin (tiếp) Ba hình thức bảo mật thông tin: thường gọi là CIA Sự cẩn mật (Confidentiality) Chỉ những cá nhân được phép mới có thể truy cập thông tin Sự toàn vẹn (Integrity) Đảm bảo thông tin chính xác và không bị thay đổi Sự sẵn sàng (Availability) Những người có quyền đều có thể truy cập được thông tin Bài 1 - Giới thiệu về bảo mật 10 Định nghĩa bảo mật thông tin (tiếp) Các biện pháp cần thực hiện để bảo mật thông tin Sự xác thực (authentication) Đảm bảo một cá nhân đúng như những gì họ khai báo Sự ủy quyền (authorization) Cấp phép truy cập thông tin Ghi chép (accounting) Cung cấp khả năng theo dõi các sự kiện Bài 1 - Giới thiệu về bảo mật 11 Hình 1-3 Các thành phần bảo mật thông tin © Cengage Learning 2012 Bài 1 - Giới thiệu về bảo mật 12 Định nghĩa bảo mật thông tin (tiếp) Tầng Các sản bảo mật Mô tả phẩm Là hình thức bảo mật vật lý, có thể đơn giản như những chiếc khóa cửa, hay phức tạp hơn như các thiết bị bảo mật mạng. Con người Những người cài đặt và sử dụng một cách đúng đắn các sản phẩm bảo mật để bảo vệ dữ liệu Các thủ tục, quy Các kế hoạch và chính sách do tổ chức thiết lập trình để đảm bảo rằng con người sử dụng các sản phẩm một cách chính xác. Bảng 1-3 Các tầng bảo mật thông tin Bài 1 - Giới thiệu về bảo mật 13 Các thuật ngữ bảo mật thông tin Tài sản (Asset) Là phần tử có giá trị Mối đe dọa (Threat) Là các hành động hoặc sự kiện có khả năng gây nguy hại Tác nhân đe dọa (Threat agent) Người hoặc phần tử có sức mạnh gây ra mối đe dọa Bài 1 - Giới thiệu về bảo mật 14 Các tài sản công nghệ thông tin Tên thành phần Ví dụ Có là tài sản quan trọng? Thông tin Cơ sở dữ liệu khách hàng, nhân viên, Có: Cực kỳ khó thay thế sản xuất, bán hàng, tiếp thị, và tài chính Phần mềm ứng dụng Ứng dụng giao dịch đơn hàng chuyên dụng, bộ xử lý văn bản phổ dụng Có: Là phần tùy chỉnh dành riêng cho tổ chức Không: Phần mềm phổ dụng Phần mềm hệ thống Hệ điều hành Không: Có thể thay thế dễ dàng Các phần tử vật lý Server, bộ định tuyến [router], đĩa DVD, bộ cấp nguồn Không: Có thể thay thế dễ dàng Các dịch vụ Dịch vụ truyền âm thanh và dữ liệu Không: Có thể thay thế dễ dàng Bài 1 - Giới thiệu về bảo mật 15 Các thuật ngữ bảo mật thông tin (tiếp tục) Lỗ hổng (vulnerability) Là những thiếu sót hay yếu điểm Tác nhân đe dọa có thể lợi dụng để vượt qua sự bảo mật Rủi ro (risk) Khả năng tác nhân đe dọa khai thác lỗ hổng Không thể được loại bỏ hoàn toàn Chi phí sẽ quá cao Mất quá nhiều thời gian để thực hiện Một số cấp độ rủi ro phải được giả định Bài 1 - Giới thiệu về bảo mật 16 Hình 1-4 Minh họa các thành phần bảo mật thông tin © Cengage Learning 2012 Bài 1 - Giới thiệu về bảo mật 17 Các thuật ngữ bảo mật thông tin (tiếp tục) Các lựa chọn để đối phó với rủi ro Chấp nhận rủi ro Cần biết rằng mất mát có thể xảy ra Làm giảm rủi ro Thực hiện các biện pháp phòng ngừa Hầu hết các rủi ro bảo mật thông tin đều có thể được phòng ngừa Chuyển rủi ro sang một người khác Ví dụ: mua bảo hiểm Bài 1 - Giới thiệu về bảo mật 18 Hiểu rõ tầm quan trọng của bảo mật thông tin Phòng ngừa đánh cắp dữ liệu Bảo mật thường đi đôi với việc phòng ngừa đánh cắp dữ liệu Đánh cắp dữ liệu kinh doanh Thông tin về quyền sở hữu Đánh cắp dữ liệu cá nhân Mã số thẻ tín dụng Bài 1 - Giới thiệu về bảo mật 19 Hiểu rõ tầm quan trọng của bảo mật thông tin (tiếp) Cản trở việc đánh cắp danh tính Sử dụng trái phép thông tin của người khác Thường nhằm mục đích thu lợi về tài chính Ví dụ: Đánh cắp SSN cá nhân Tạo một tài khoản tín dụng mới Sử dụng tài khoản để mua hàng Để lại các khoản nợ chưa thanh toán Bài 1 - Giới thiệu về bảo mật 20