Bài giảng Cơ sở an toàn thông tin
MỤC LỤC
MỤC LỤC .1
DANH MỤC CÁC HÌNH .5
DANH MỤC CÁC THUẬT NGỮ TIẾNG ANH VÀ VIẾT TẮT .8
MỞ ĐẦU .9
CHƢƠNG 1. TỔNG QUAN VỀ AN TOÀN THÔNG TIN .11
1.1. KHÁI QUÁT VỀ AN TOÀN THÔNG TIN .11
1.1.1. Một số khái niệm trong an toàn thông tin.11
1.1.2. Sự cần thiết của an toàn thông tin.13
1.2. CÁC YÊU CẦU ĐẢM BẢO ATTT VÀ HTTT .15
1.2.1. Bí mật .15
1.2.2. Toàn vẹn .16
1.2.3. Sẵn dùng .16
1.3. CÁC THÀNH PHẦN CỦA AN TOÀN THÔNG TIN .17
1.3.2. An toàn máy tính và dữ liệu .17
1.3.3. An ninh mạng .18
1.3.4. Quản lý an toàn thông tin .18
1.3.5. Chính sách an toàn thông tin .19
1.4. CÁC MỐI ĐE DỌA VÀ NGUY CƠ TRONG CÁC VÙNG HẠ TẦNG CNTT .19
1.4.1. Bảy vùng trong cơ sở hạ tầng CNTT.19
1.4.2. Các mối đe dọa và nguy cơ trong các vùng hạ tầng CNTT.20
1.5. MÔ HÌNH TỔNG QUÁT ĐẢM BẢO ATTT VÀ HỆ THỐNG THÔNG TIN.21
1.5.1. Nguyên tắc đảm bảo an toàn thông tin, hệ thống và mạng.21
1.5.2. Mô hình tổng quát đảm bảo an toàn thông tin và hệ thống thông tin.22
1.6. CÂU HỎI ÔN TẬP .23
CHƢƠNG 2. LỖ HỔNG BẢO MẬT VÀ ĐIỂM YẾU HỆ THỐNG .24
2.1. TỔNG QUAN VỀ LỖ HỔNG BẢO MẬT VÀ CÁC ĐIỂM YẾU HỆ THỐNG .24
2.1.1. Khái quát về điểm yếu hệ thống và lỗ hổng bảo mật .24
2.1.2. Một số thống kê về lỗ hổng bảo mật .26
2.2. CÁC DẠNG LỖ HỔNG TRONG HỆ ĐIỀU HÀNH VÀ PHẦN MỀM ỨNG DỤNG 28
2.2.1. Lỗi tràn bộ đệm .28
2.2.2. Lỗi không kiểm tra đầu vào.34
PTITBài giảng Cơ sở an toàn thông tin Các bảng danh mục
- 2 -
2.2.3. Các vấn đề với điều khiển truy nhập .36
2.2.4. Các điểm yếu trong xác thực, trao quyền .37
2.2.5. Các điểm yếu trong các hệ mật mã.37
2.2.6. Các lỗ hổng bảo mật khác.37
2.3. QUẢN LÝ, KHẮC PHỤC CÁC LỖ HỔNG BẢO MẬT VÀ TĂNG CƢỜNG KHẢ
NĂNG ĐỀ KHÁNG CHO HỆ THỐNG .38
2.3.1. Nguyên tắc chung .38
2.3.2. Các biện pháp cụ thể.38
2.4. GIỚI THIỆU MỘT SỐ CÔNG CỤ RÀ QUÉT ĐIỂM YẾU VÀ LỖ HỔNG BẢO
MẬT .39
2.4.1. Công cụ rà quét lỗ hổng bảo mật hệ thống.39
2.4.2. Công cụ rà quét lỗ hổng ứng dụng web.40
2.5. CÂU HỎI ÔN TẬP .41
CHƢƠNG 3. CÁC DẠNG TẤN CÔNG VÀ CÁC PHẦN MỀM ĐỘC HẠI .42
3.1. KHÁI QUÁT VỀ MỐI ĐE DỌA VÀ TẤN CÔNG.42
3.1.1. Mối đe dọa.42
3.1.2. Tấn công .42
3.2. CÁC CÔNG CỤ HỖ TRỢ TẤN CÔNG.43
3.2.1. Công cụ quét cổng dịch vụ .43
3.2.2. Công cụ nghe lén .44
3.2.3. Công cụ ghi phím gõ .45
3.3. CÁC DẠNG TẤN CÔNG THƢỜNG GẶP.46
3.3.1. Tấn công vào mật khẩu.46
3.3.2. Tấn công bằng mã độc.47
3.3.3. Tấn công từ chối dịch vụ .52
3.3.4. Tấn công giả mạo địa chỉ.57
3.3.5. Tấn công nghe lén.58
3.3.6. Tấn công kiểu ngƣời đứng giữa.59
3.3.7. Tấn công bằng bom thƣ và thƣ rác .60
3.3.8. Tấn công sử dụng các kỹ thuật xã hội .60
3.3.9. Tấn công pharming.62
3.4. CÁC DẠNG PHẦN MỀM ĐỘC HẠI .64
3.4.1. Giới thiệu.64
3.4.2. Logic bombs .64
3.4.3. Trojan Horses .65
PTITBài giảng Cơ sở an toàn thông tin Các bảng danh mục
- 3 -
3.4.4. Back doors .65
3.4.5. Viruses.65
3.4.6. Worms .67
3.4.7. Zombies .68
3.4.8. Rootkits.68
3.4.9. Adware và Spyware.69
3.5. CÂU HỎI ÔN TẬP .69
CHƢƠNG 4. ĐẢM BẢO AN TOÀN THÔNG TIN DỰA TRÊN MÃ HÓA .70
4.1. KHÁI QUÁT VỀ MÃ HÓA THÔNG TIN VÀ ỨNG DỤNG.70
4.1.1. Các khái niệm cơ bản .70
4.1.2. Các thành phần của một hệ mã hóa .72
4.1.3. Mã hóa dòng và mã hóa khối .73
4.1.4. Sơ lƣợc lịch sử mật mã .74
4.1.5. Ứng dụng của mã hóa.74
4.2. CÁC PHƢƠNG PHÁP MÃ HÓA.75
4.2.1. Phƣơng pháp thay thế .75
4.2.2. Phƣơng pháp hoán vị.76
4.2.3. Phƣơng pháp XOR .76
4.2.4. Phƣơng pháp Vernam .77
4.2.5. Phƣơng pháp sách hoặc khóa chạy.77
4.2.6. Phƣơng pháp hàm băm .77
4.3. CÁC GIẢI THUẬT MÃ HÓA.78
4.3.1. Các giải thuật mã hóa khóa đối xứng .78
4.3.2. Các giải thuật mã hóa khóa bất đối xứng .87
4.4. Các hàm băm .89
4.4.1. Khái quát về hàm băm.89
4.4.2. Một số hàm băm thông dụng .92
4.5. CÂU HỎI ÔN TẬP .95
CHƢƠNG 5. CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN THÔNG TIN.96
5.1. ĐIỀU KHIỂN TRUY NHẬP .96
5.1.1. Khái niệm điều khiển truy nhập .96
5.1.2. Các biện pháp điều khiển truy nhập .96
5.1.3. Một số công nghệ điều khiển truy nhập .101
5.2. TƢỜNG LỬA.106
PTITBài giảng Cơ sở an toàn thông tin Các bảng danh mục
- 4 -
5.2.1. Giới thiệu tƣờng lửa .106
5.2.2. Các loại tƣờng lửa .108
5.2.3. Các kỹ thuật kiểm soát truy nhập .110
5.2.4. Các hạn chế của tƣờng lửa.110
5.3. CÁC HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP.111
5.3.1. Giới thiệu.111
5.3.2. Phân loại .112
5.3.3. Các kỹ thuật phát hiện xâm nhập .113
5.4. CÁC CÔNG CỤ RÀ QUÉT PHẦN MỀM ĐỘC HẠI.114
5.5. CÂU HỎI ÔN TẬP .116
CHƢƠNG 6. QUẢN LÝ, CHÍNH SÁCH VÀ PHÁP LUẬT AN TOÀN THÔNG TIN .117
6.1 QUẢN LÝ AN TOÀN THÔNG TIN.117
6.1.1. Khái quát về quản lý an toàn thông tin.117
6.1.2. Đánh giá rủi ro an toàn thông tin.118
6.1.3. Phân tích chi tiết rủi ro an toàn thông tin .120
6.1.4. Thực thi quản lý an toàn thông tin.122
6.2. CÁC CHUẨN QUẢN LÝ AN TOÀN THÔNG TIN .125
6.2.1. Giới thiệu.125
6.2.2. Chu trình Plan-Do-Check-Act.126
6.3. PHÁP LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN.127
6.3.1. Giới thiệu về pháp luật và chính sách an toàn thông tin.127
6.3.2. Luật quốc tế về an toàn thông tin .128
6.3.3. Luật Việt Nam về an toàn thông tin .129
6.4. VẤN ĐỀ ĐẠO ĐỨC AN TOÀN THÔNG TIN .130
6.4.1. Sự cần thiết của đạo đức an toàn thông tin.130
6.4.2. Một số bộ quy tắc ứng xử trong CNTT và ATTT .130
6.4.3. Một số vấn đề khác.131
6.5. CÂU HỎI ÔN TẬP .13
bảo vệ quyền sở hữu trí tuệ (Agreement on Trade-Related Aspects of Intellectual Property Rights (TRIPS)): do Tổ chức Thƣơng mại thế giới WTO chủ trì đàm phán trong giai đoạn 1986–1994; - Digital Millennium Copyright Act (DMCA): Luật bản quyền số Thiên niên kỷ. 6.3.3. Luật Việt Nam về an toàn thông tin Luật an toàn thông tin mạng đƣợc Quốc hội thông qua vào tháng 11 năm 2015 và chính thức có hiệu lực từ ngày 1/7/2016. Đây là cơ sở pháp lý quan trọng cho việc quản lý các hoạt động liên quan đến an toàn thông tin ở Việt Nam. Ngoài Luật an toàn thông tin mạng, đã có nhiều văn bản có liên quan đến công nghệ thông tin và an toàn thông tin đƣợc Quốc Hội, Chính Phủ và các cơ quan nhà nƣớc ban hành nhƣ: - Luật công nghệ thông tin số 67/2006/QH11 của Quốc hội, ngày 12/07/2006. - Nghị định số 90/2008/NÐ-CP của Chính Phủ "Về chống thƣ rác", ngày 13/08/2008. - Quyết định số 59/2008/QÐ-BTTTT của Bộ Thông tin và Truyền thông "Ban hành Danh mục tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số", ngày 31/12/2008. PT IT Bài giảng Cơ sở an toàn thông tin Chương 5. Quản lý, chính sách & pháp luật ATTT - 130 - - Quyết định 63/QÐ-TTg của Thủ tƣớng CP "Phê duyệt Quy hoạch phát triển an toàn thông tin số quốc gia đến năm 2020", ngày 13/01/2010. - Chỉ thị số 897/CT-TTg của Thủ tƣớng CP "V/v tăng cƣờng triển khai các hoạt động đảm bảo an toàn thông tin số", 10/06/2011. - Thông tƣ số 23/2011/TT-BTTTT của Bộ TT&TT "Quy định về việc quản lý, vận hành, sử dụng và bảo đảm an toàn thông tin trên Mạng truyền số liệu chuyên dùng của các cơ quan Đảng, Nhà nƣớc", ngày 11/08/2011. - Nghị định số 77/2012/NĐ-CP của Chính Phủ "Sửa đổi, bổ sung một số điều của Nghị định số 90/2008/NĐ-CP ngày 13 tháng 8 năm 2008 của Chính phủ về chống thƣ rác", ngày 05/10/2012. - Nghị định 72/2013/NĐ-CP của Chính Phủ về Quản lý, cung cấp, sử dụng dịch vụ internet và thông tin trên mạng; quy định về việc chia sẻ thông tin trên các trang mạng xã hội. 6.4. VẤN ĐỀ ĐẠO ĐỨC AN TOÀN THÔNG TIN 6.4.1. Sự cần thiết của đạo đức an toàn thông tin Vấn đề đạo đức nghề nghiệp (Professional ethics) hay quy tắc ứng xử (Code of conduct) đƣợc đề cập trong ngành công nghệ thông tin nói chung và an toàn thông tin nói riêng do các công việc liên quan đến an toàn thông tin có thể liên quan đến các thông tin nhạy cảm, nhƣ thông tin, hệ thống bí mật quốc gia, thông tin bí mật của các cơ quan, tổ chức, hoặc bí mật công nghệ, bí mật kinh doanh của các công ty. Nếu các thông tin nhạy cảm bị rò rỉ, hoặc bị đánh cắp và lạm dụng có thể ảnh hƣởng nghiêm trọng đến an ninh quốc gia, hoặc ảnh hƣởng xấu đến các cơ quan, tổ chức và ngƣời dùng. Do vậy, ngƣời làm trong lĩnh vực an toàn thông tin cần có hiểu biết về chính sách, pháp luật và có thái độ và hành động đúng đắn trong khi thực thi nhiệm vụ. 6.4.2. Một số bộ quy tắc ứng xử trong CNTT và ATTT Nhiều tổ chức xã hội nghề nghiệp đã ban hành các quy tắc ứng xử bắt buộc tại nơi làm việc, nhƣ với luật sƣ, bác sỹ. Nếu vi phạm nghiêm trọng các quy tắc ứng xử tại nơi làm việc có thể bị cấm hành nghề có thời hạn, hoặc vĩnh viễn. Trong lĩnh vực công nghệ thông tin và an toàn thông tin, hiện không có bộ quy tắc ứng xử bắt buộc. Một số tổ chức xã hội nghề nghiệp nhƣ ACM (Association for Computing Machinery) và ISSA (Information Systems Security Association) hợp tác để đề ra các quy tắc ứng xử trong an toàn thông tin. Tuy nhiên, các quy tắc ứng xử trong an toàn thông tin chỉ có tính khuyến nghị do các tổ chức trên không có thẩm quyền buộc phải thực hiện. Hiệp hội an toàn thông tin Việt Nam đã công bố Bộ Qui tắc ứng xử an toàn thông tin vào đầu năm 2015, đƣa ra một số quy tắc và khuyến nghị về những việc không đƣợc làm cho các thành viên và các nhân viên của các tổ chức hoạt động trong lĩnh vực an toàn thông tin. Viện đạo đức máy tính (Mỹ) đƣa ra Bộ Quy tắc ứng xử 10 điểm (Ten Commandments of Computer Ethics) nhƣ sau: 1. Không đƣợc sử dụng máy tính để gây hại cho ngƣời khác; PT IT Bài giảng Cơ sở an toàn thông tin Chương 5. Quản lý, chính sách & pháp luật ATTT - 131 - 2. Không đƣợc can thiệp vào công việc của ngƣời khác trên máy tính; 3. Không trộm cắp các file trên máy tính của ngƣời khác; 4. Không đƣợc sử dụng máy tính để trộm cắp; 5. Không đƣợc sử dụng máy tính để tạo bằng chứng giả; 6. Không sao chép hoặc sử dụng phần mềm không có bản quyền; 7. Không sử dụng các tài nguyên máy tính của ngƣời khác khi không đƣợc phép hoặc không có bồi thƣờng thỏa đáng; 8. Không chiếm đoạn tài sản trí tuệ của ngƣời khác; 9. Nên suy nghĩ về các hậu quả xã hội của chƣơng trình mình đang xây dựng hoặc hệ thống đang thiết kế; 10. Nên sử dụng máy tính một cách có trách nhiệm, đảm bảo sự quan tâm và tôn trọng đến đồng bào của mình. 6.4.3. Một số vấn đề khác Liên quan đến vấn đề đạo đức trong an toàn thông tin, có một số vấn đề khác cần lƣu ý là (1) sự khác biệt về vấn đề đạo đức giữa các nền văn hóa, (2) vấn đề vi phạm bản quyền phần mềm và (3) vấn đề lạm dụng các tài nguyên của cơ quan, tổ chức. Trên thực tế, có sự khác biệt khá lớn về vấn đề đạo đức giữa các nền văn hóa. Trong đó, nhận thức về vấn đề đạo đức trong sử dụng các tài nguyên của cơ quan, tổ chức là rất khác biệt giữa các quốc gia có nền văn hóa khác nhau. Trong nhiều trong hợp, một hành vi đƣợc phép của một số cá nhân trong một quốc gia lại vi phạm quy tắc đạo đức của quốc gia khác. Chẳng hạn, hành vi tiết lộ thông tin cá nhân và đặc biệt là mức thu nhập của ngƣời khác đƣợc coi là bình thƣờng ở Việt Nam, nhƣng đây là hành vi vi phạm quyền riêng tƣ ở các nƣớc phát triển nhƣ Mỹ và châu Âu. Vấn đề vi phạm bản quyền phần mềm là rất nghiêm trọng, đặc biệt là ở các nƣớc đang phát triển ở châu Á và châu Phi. Đa số ngƣời dùng có hiểu biết về vấn đề bản quyền phần mềm, nhƣng coi việc sử dụng phần mềm bất hợp pháp là bình thƣờng vì nhiều nƣớc chƣa có quy định hoặc không xử lý nghiêm vi phạm. Tỷ lệ vi phạm bản quyền phần mềm ở Việt Nam hiện rất cao, đến khoảng 90% do thiếu các chế tài xử lý vi phạm. Vấn đề lạm dụng các tài nguyên của công ty, tổ chức xảy ra tƣơng đối phổ biến và cần có các quy định và chế tài để kiểm soát. Một số cơ quan, tổ chức chƣa có các quy định cấm nhân viên sử dụng các tài nguyên của cơ quan, tổ chức vào việc riêng. Một số đơn vị khác có quy định nhƣng chƣa đƣợc thực thi chặt chẽ và chƣa có chế tài xử phạt nghiêm minh. Các hành vi lạm dụng thƣờng gặp, gồm: - In ấn tài liệu riêng; - Sử dụng email cá nhân cho việc riêng; - Tải các tài liệu, file không đƣợc phép; - Cài đặt và chạy các chƣơng trình, phần mềm không đƣợc phép; - Sử dụng máy tính công ty làm việc riêng; PT IT Bài giảng Cơ sở an toàn thông tin Chương 5. Quản lý, chính sách & pháp luật ATTT - 132 - - Sử dụng các phƣơng tiện làm việc khác nhƣ điện thoại công ty quá mức vào việc riêng. 6.5. CÂU HỎI ÔN TẬP 1) Nêu khái niệm tài sản an toàn thông tin, khái niệm quản lý an toàn thông tin. Nêu vai trò và các khâu cần thực hiện của quản lý an toàn thông tin. 2) Đánh giá rủi ro an toàn thông tin là gì? Mô tả vắn tắt các phƣơng pháp tiếp cận đánh giá rủi ro an toàn thông tin. 3) Mô tả vắn tắt các bƣớc của phân tích chi tiết rủi ro an toàn thông tin. 4) Mô tả các loại kiểm soát trong thực thi quản lý an toàn thông tin. 5) Mô tả nội dung thực thi quản lý an toàn thông tin. 6) Mô tả vắn tắt các chuẩn ISO/IEC 27000, ISO/IEC 27001, ISO/IEC 27002 và ISO/IEC 27005. 7) Mô tả chu trình Plan-Do-Check-Act của chuẩn ISO/IEC 27001. 8) Phân biệt pháp luật và chính sách. Nêu các yêu cầu của chính sách có thể đƣợc áp dụng hiệu quả. 9) Mô tả vắn tắt các văn bản luật có liên quan đến an toàn thông tin của Việt Nam. 10) Nêu sự cần thiết của vấn đề đạo đức an toàn thông tin. Nêu bộ qui tắc ứng xử của Viện đạo đức máy tính (Mỹ). PT IT Bài giảng Cơ sở an toàn thông tin Tài liệu tham khảo - 133 - TÀI LIỆU THAM KHẢO [1] Michael E. Whitman, Herbert J. Mattord, Principles of information security, 4th edition, Course Technology, Cengage Learning, 2012. [2] David Kim, Michael G. Solomon, Fundamentals of Information Systems Security, Jones & Bartlettlearning, 2012. [3] Forbes.com, Internet Of Things On Pace To Replace Mobile Phones As Most Connected Device In 2018, things-on-pace-to-replace-mobile-phones-as-most-connected-device-in-2018/, accessed Sep 2016. [4] US Government Accountability Office, Cyber Threats and Data Breaches Illustrate Need for Stronger Controls across Federal Agencies, Available online at accessed Sep 2016. [5] Tập đoàn Bkav, Tổng kết an ninh mạng 2015 và dự báo xu hƣớng 2016, nam-2015-va-du-bao-xu-huong-2016, truy nhập tháng 9.2016. [6] US National Vulnerability Database, https://nvd.nist.gov, accessed Sep 2016. [7] Boni, W. C., & Kovacich, G. L. (1999). I-way robbery: crime on the Internet, Boston MA: Butterworth. [8] Butler, J. G. (1998). Contingency planning and disaster recovery: protecting your organisation's resources. New York: Computer Tech Research. [9] Denning D. E. (1999). Information warfare and security, New York. Addison-Wesley. [10] Erbschloe, M. & Vacca, J. R. (2001). Information warfare. New York: McGraw-Hill. [11] Ghosh, A. (1998). E-Commerce security – weak links, best defenses. New york: Wiley Computer Publishing. [12] Hutchinson, W. & Warren, M. (2001). Information warfare: corporate attack and defence in the digital age. Oxford: Butterworth-Heinneman. [13] Alfred J. Menezes, Paul C. van Oorschot and Scott A. Vanstone, Handbook of Applied Cryptography, CRC Press, Fifth Printing, August 2001. [14] Bruce Schneier, Applied Cryptography, 2nd edition, John Wiley & Sons, 1996. [15] Schneier, B. (2000). Secrets and lies: digital security in a networked world. New York: John Wiley and Sons. [16] Webster's Online Dictionary, truy nhập tháng 9.2016. [17] The Free Online Dictionary of Computing, truy nhập tháng 9.2016. PT IT
File đính kèm:
- bai_giang_co_so_an_toan_thong_tin.pdf