1 / 66

BẢO MẬT HỆ THỐNG THÔNG TIN

BẢO MẬT HỆ THỐNG THÔNG TIN. Threats and Attacks to information security, policies and laws. BẢO MẬT HỆ THỐNG THÔNG TIN. Nhóm 1 : Châu văn Tâm Nguyễn Phan duy Trần Anh Khoa. INFORMATION SECURITY POLICY. INFORMATION SECURITY POLICY. I. Concept of information security

blaise
Télécharger la présentation

BẢO MẬT HỆ THỐNG THÔNG TIN

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. BẢO MẬT HỆ THỐNG THÔNG TIN Threats and Attacks to information security, policies and laws.

  2. BẢO MẬT HỆ THỐNG THÔNG TIN • Nhóm 1: • Châu văn Tâm • Nguyễn Phan duy • Trần Anh Khoa

  3. INFORMATION SECURITY POLICY

  4. INFORMATION SECURITY POLICY • I. Concept of information security • II. Definitions of a security policy • III. Security Policy Structure • IV. Policies format • Global (Tier 1) policy. • Topic-specific (Tier 2) policy. • Application-specific (Tier 3) policy.

  5. I. Information security - should start from?

  6. When it comes to information security (ATTT), the first thing people usually think of is to build a firewall (Firewall) or something similar to prevent attacks and unauthorized intrusions. Such approach is not entirely true because the nature ATTT not merely use some tool or some other solution but to ensure that ATTT for a system should have an overview and science more.

  7. So what is information security?

  8. Technological factors Information security Human factors

  9. Technological factors Information security policy Information security Human factors

  10. II. Definitions • What is Policy ? ==>In the relationship of business ,policy as a template, the method associated with the objectives and strategies of the enterprise , such as customer priority, billing, internal governance ...

  11. Definition of a Security Policy • A security policy ? • A security policy is the essential basis on which an effective and comprehensive security program can be developed. This critical component of the over all security architecture, however, is often over looked. A security policy is the primary way in which management’s expectations for security are translated into specific, measurable, and testable goals and objectives. • A security policy is crucial to take a top down approach based on a well-stated policy in order to develop an effective security architecture .

  12. Definition of a Security Policy • A security policy should be economically feasible, understandable, realistic, consistent, procedurally tolerable, and also provide reason able protection relative to the stated goals and objectives of management. Security policies define the over all security and risk control objectives that an organization endorses.

  13. The characteristics of good security policies are: • They must be implementable through system administration procedures, publishing of acceptable use guidelines, or other appropriate methods. • They must be enforceable with security tools, where appropriate, and with sanctions , where actual prevention is not technically feasible. • They must clearly define the areas of responsibility for the users, administrators, and management. • They must be documented, distributed,and communicated.

  14. III. Security Policy Structure The basic structure of a security policy should contain the following components: • A statement of the issue that policy addresses. • A statement about your position on the policy. • How the policy applies in the environment. • The roles and responsibilities of those affected by the policy. • What level of compliance to the policy is necessary. • What actions, activities and processes are allowed and which are not . • What are the consequences of non-compliance.

  15. IV. Policies format • There are three types of policies and you will use each typeat different times in your information security program and through out the organization to support the business process or mission.

  16. The three types of policies are: • Global (Tier 1). These are used to create the organization’s overall vision and direction • Topic-specific (Tier 2). These address particular subjects of concern. • Application-specific (Tier 3). These focus on decisions taken by management to control particular applications (financial reporting,payroll, etc.) or specific systems (budgeting system).

  17. Information Security • Topic-specific (Tier 2) Security Organization Asset Classification and Control Personnel Security Physical and Environmental Security Computer and Network Management Compliance System Access Control Systems Development and Maintenance Business Continuity Planning E-Mail Security Antivirus Acceptable Use of the Internet

  18. Global (Tier 1) policy • Global (Tier 1). These are used to create the organization’s overall vision and direction. • Senior management must incorporate the results of the risk analysis process into the decision-making process. Senior management is also responsible for issuing global policies to establish the organization’s direction in protecting information assets.

  19. Global (Tier 1) policies • The components of a global (Tier 1) policy typically include four characteristics: • Topic • Scope • Responsibilities • compliance or consequences.

  20. Global (Tier 1) policies. Information Security Architecture Asset Classification Policy Information Security Policy Business continuity Planning

  21. Topic-Specific (Tier 2) Policy • Topic-specific (Tier 2). These address particular subjects of concern. • Where the global (Tier 1) policy is intended to address the broad organizationwide issues, the topic-specific (Tier 2) policy is developed to focus on areas of current relevance and concern to the organization. • The global (Tier 1) policy is usually broad enough that it does not require modification over time, whereas topic-specific (Tier 2) policies are likely to require more frequent revisions as changes in technology and other factors dictate.

  22. Information Security Architecture Tier 1 policies Information Security Policy Business Continuity Planning Asset Classification Policy Tier 2 policies Security Organization Operations Management Personnel Security Systems Development and Maintenance Compliance Access Control

  23. Application-specific (Tier 3) • Application-specific (Tier 3). These focus on decisions taken by management to control particular applications (financial reporting,payroll, etc.) or specific systems (budgeting system).

  24. Application-Specific (Tier 3) Policy • Global-level (Tier 1) and topic-specific (Tier 2) policies address policy on a broad level (see Figure 4.6); they usually encompass the entire enterprise. • The application-specific (Tier 3) policy focuses on one specific system or application. As the construction of an organization information security architecture takes shape, the final element will be the translation of Tier 1 and Tier 2 policies down to the lapplication and system level. • Many security issue decisions apply only at the application or system level

  25. Information Security Tier 1 Personnel Security Tier 2 Tier 3 Job Descriptions User Training Security Incidents

  26. Application-Specific (Tier 3) Policy • To develop a comprehensive set of Tier 3 policies, use a process that determines security requirements from a business or mission objective. • Typically, the Tier 3 policy is more free form than Tier 1 and Tier 2 policies.

  27. Application-Specific (Tier 3) Policy • As you prepare to create Tier 3 policies, keep in mind the following concepts: • Understand the overall business objectives or mission of the enterprise. • Understand the mission of the application or system. • Establish requirements that support both sets of objectives.

  28. Table sample Application-Specific Policy Accounts Payable Policy Accounts payable checks are issued on Friday only. This will promote efficiency in the accounts payable function. To ensure your check is available, please have your check request or invoice to the Financial Affairs office by close of business on Monday. For access to the online portion of the Accounts Payable System (APS), please contact the APS System Administrator. The APS Customer Help Desk is available to answer any additional questions. We appreciate your cooperation.

  29. NEXT…

  30. Threats to Information Security

  31. 1. Kháiniệmbảomậtthông tin. 2.Các mốiđedọađốivớihệthốngthông tin. 2.1 Errors and Omissions 2.2 Fraud and Theft 2.3 Malicious Hackers 2.4 Malicious Code 2.5 Denial-of-Service Attacks 2.6 Social Engineering

  32. Bảomậtthông tin làgì? • Đảm bảo thông tin chỉ được truy xuất bởi những người có chức năng. • Đảm bảo các phương pháp xử lý thông tin chính xác , an toàn và trọn vẹn. • Đảm bảo những người có chức năng có thể truy cập thông tin mọi lúc, mọi nơi khi có yêu cầu.

  33. Example Security wheel

  34. Bảomậtthông tin • Bảo mật tầng vật lý: • Đảm bảo an toàn từ các yếu tố môi trường như nhiệt độ,sấm sét…. • Đảm bảo tránh các mối đe dọa từ sự cố như chập mạch, động đất,sấm….Đặc biệt quan trọng nhất là nguồn điện dự phòng(back up power)==>để khắc phục sự cố này người ta hay dùng các UPS (bộ lưu điện).

  35. Bảomậtthông tin • Bảo mật thông qua quản lí hoạt động và quản lí giao tiếp (communication and operations management): • Quản lý giao tiếp và hoạt động bảo đảm không cho bất kì ai trong tổ chức có quyền thực hiện và che dấu việc tấn công, giữ cho hệ thống phát triển được tách rời với hệ thống sản phẩm, và bảo đảm các hệ thống được tiêu hủy (bỏ đi, delete...) một cách bảo mật; bỏ qua các tasks này có thể tạo nên một lỗ hổng bảo mật lớn cho tổ chức; mảng này thường bị bỏ qua ở các hệ thống có qui mô nhỏ vì được cho là không cần thiết tuy nhiên đây là một mảng khá quan trọng.

  36. Bảomậtthông tin • Kiểm soát truy cập(access control): • Việc quản lí người dùng truy cập vào hệ thống cũng như cấp phép các quyền cho người dùng ở các cấp độ khác nhau. • Kiểm soát truy cập được hiện thực ở rất nhiều nơi thông dụng nhất là ở các routers ,firewalls,desktop operating system,file server,applications….

  37. Bảomậtthông tin • Hệ Thống phát triển và bảo trì (system development and maintenance): • Một mảng không thể không nhắc tới của bảo mật hệ thống thông tin.Với số lượng khổng lồ các cập nhật liên tục của các ứng dụng,các attacker có thể lợi dụng chúng để xâm nhập vào hệ thống. Đòi hỏi các nhà phát triển và bảo trì hệ thống phải chú trọng vào vấn đề bảo mật, kiểm tra chặt che. Luôn đảm bảo có thể phục hồi dữ liệu hệ thống khi bị tấn công……. ẽ để giảm tối thiểu các lỗ hổng trong hệ thống.

  38. Bảomậtthông tin • Việc tuân thủ các qui tắc khi thiết kế một hệ thống thông tin: • Việc tuân thủ các qui tắc giúp ta lần ra sai sót cũng như lỗ hổng trong hệ thống rất dễ dàng giúp khắc phục một cách nhanh chóng.Các chuyên gia bảo mật luôn dành rất nhiều thời gian để hoàn chỉnh cũng như test một hệ thống thông tin trước khi đưa vào sử dụng và đây là qui tắc không thể bỏ qua của bất cứ một hệ thống thông tin nào. • Nhiều người cho rằng việc này không liên quan lắm đến bảo mật tuy nhiên đây là một quan điểm sai lầm.

  39. Cácmốiđedọađốivớihệthốngthông tin 1. Errors and Omissions : Hệthốngkhôngđảmbảotínhtoànvẹndữliệu(integrity). • Có 2 biệnphápkhắcphục: • Quảnlíđặcquyền user: Cấpchocác user quyềntốithiểuđểcóthểhoànthànhcôngviệccủamìnhđồngthờicốgắngthuhẹplượngthông tin bịnhiễu do lỗigâyra • Backup dữliệuđầyđủvàthườngxuyên:khingườisửdụngbáothông tin cần dung cólỗihoặcthiếusótngaylậptứctacungcấpbảndữliệuđãđược backup đầyđủtrướcđó

  40. Cácmốiđedọađốivớihệthốngthông tin 2. Fraud and Theft: Đâylàmốiđedọatừbêntrongxảyrakhicác user cốtìnhkhôngđảmbảotínhbảomậtcủadữliệu. • Cáchkhắcphụctốtnhấtlàcómột qui địnhbảomậtrõ rang vàhiệuquả.Vớimột qui địnhnhưthếcácnhàquảntrịbảomậtsẽdễdàngkiểmsoátcũngnhưtìmrathủphạmkhiviệctấncôngxảyra tro.ng nộibộ

  41. Cácmốiđedọađốivớihệthốngthông tin 3. Malicious Hackers: Đâylàmốiđedọađếntừcác hacker sửdụngmạngđểtấncông(tấncôngtừbênngoài). • Baogồm 3 nhómcơbản: • Hackers • Crackers • Phreaks.

  42. Cácmốiđedọađốivớihệthốngthông tin 3.1 Hacker : Lànhữngngườixâmnhậpvàohệthốngvàxemxétcóquyềnlàmgìtronghệthốngđó.Sauđósẽ thong báochocác admin thầyrằngđâylàmộthệthốngcólỗhổng. • Hacker tấncôngtheonhiềucáchkhácnhau.Thôngthườngcó 5 bướccơbản: reconnaissance(trinhsát), scanning(quét), gaining access(truycậpthử), maintaining access(duytrìtruycập),covering tracks

  43. Cácmốiđedọađốivớihệthốngthông tin 3.2 Cracker: Lànhữngngườixâmnhậpvàohệthống.Sauđópháhủyhoặcăncắpnhữngdữliệuquantrọng.Mụctiêucủacác cracker làgâyrathiệthạichohệthốnglớnnhấtchúngcóthể. 3.3Phreaks: Cốgắngxâmnhậpvàohệthốngđiệnthoạicủamộttổchức,sauđósửdụngđiệnthoạicủatổchứcđómộtcáchmiễnphíđồngthờichegiấuđiệnthoạicánhâncủamình.

  44. Cácmốiđedọađốivớihệthốngthông tin 4. Malicious Code: Đượchiểulàcácđoạnmãđộchạimà thong qua nócácattrackercókhảnăngthựchiệnmộtsốthaotácbấthợppháplênhệthống.Cáchthâmnhậpnhanhnhấtcủacácmãtrênlà qua email. • Malicious Code cónhiềudạngkhácnhau: virus, worm, Trojanhorse,logic bomb…..

  45. Cácmốiđedọađốivớihệthốngthông tin 4.1 Virus: Làmộtđoạnmãđượcđínhkèmvàomột file bấtkì,khi file vàohệthống virus sẽđợiđếnlúc file đượcmởhoặckíchhoạtrồitựđộnglâylan sang các file khác.Viruscónhiềudạngkhácnhaucóloạitấncôngvào book sector của ổ cứng,cóloạitấncôngvào file hệthống……… 4.2 Worm: Tươngtự virus nhưnglâynhiễm qua mạng,saukhixâmnhậpvàomộthệthốngsẽcốgắnglâynhiễm sang mộthệthốngkhácthông qua quátrìnhgiaotiếpmạngcủacáchệthốngvớinhau.

  46. Cácmốiđedọađốivớihệthốngthông tin 4.3 Trojan horses: Làmộtđoạnmãcócấuhìnhbênngoài an toànnhưngchứamãđộchạibêndưới,tấncôngchủyếuvàongười dung củahệthống,thongthườngtấncôngdướihìnhthứcgắnkèmvàocácứngdụngmiễnphítrênmạng,khingười dung thựcthicácứngdụngtrênngaylậptrức Trojan horses xâmnhậpvàohệthống. 4.4 Logic bom: Nhưmộtloạibomhẹngiờ, đợiđếnthờiđiểmthíchhợptiếnhànhpháttánmãđộchạigâytắcnghẽnhệthốngvìquátải

  47. Cácmốiđedọađốivớihệthốngthông tin 5. Denial-of-Service Attacks: Tấncônggâytắcnghẽnphầncứngcủahệthốnghoặctắcnghẽnđườngmạng. • Có 2 dạngchính: • DOS one-to-one • DDOS many-to-one

  48. Cácmốiđedọađốivớihệthốngthông tin 5.1 DOS one-to-one: Hacker tiếnhànhphátđộngtấncôngtừhệthốngcánhânđếnmáychủhoặchệthốngmạngcủamụctiêu.Cácdạng thong dụngcủakiểunàylà: Synfloods, Fin floods, Smurfs, Fraggles. Thườngđượcngănchặnbằngcáchhiệnthựccácphươngthứcngắtkếtnốichủđộng

  49. Cácmốiđedọađốivớihệthốngthông tin 5.2 The distributed denial of service(DDOS): many-to-one tấncôngbằngcáchsửdụngcác zombie hots(cáchotsđãbịxâmnhậptừtrướcvàluônsẵnsàngphátđộngtấncôngđồngloạtkhiđượclệnh),thôngthườngcác hacker huyđộngkhoảng 10.000 zombie hotschomỗilầntấncông. Cácdạngchínhcủakiểunàylà: Trinoo, TFN2K, stacheldraht. • Đâylàkiểutấncôngrấtkhóngănchặncácnhàbảomậtchỉcóthểcốgắngngănchặnbằngcáchhạnchếtốiđasốlượng zombie hotskhipháthiệnchúngtănglênmộtcáchđộtbiến.

  50. Cácmốiđedọađốivớihệthốngthông tin 6. Social Engineering: Đây là kiểu tấn công thông qua các mạng cộng đồng-kẻ tấn công từng bước xây dựng mối quan hệ nhằm tạo sự tin tưởng đối với các user bên trong nhằm truy cập bất hợp pháp vào hệ thống để đánh cắp các dữ liệu quan trọng. • Đây là phương pháp tấn công nhằm vào con người do đó kẻ tấn công chủ yếu khai thác vào các điểm yếu về tâm lý của các nhân viên bên trong(mong muốn được giúp đỡ để hoàn thánh tốt công việc được giao;tạo sự tin cậy;hứa hẹn sẽ giúp bạn vượt qua một số rắc rối nào đó đang gặp phải;tận dụng sự cẩu thả của bạn).

More Related