Đang tải... (xem toàn văn)
File ôn tập cuối kỳ tự luận tóm tắt môn An toàn thông tin kế toán UEH
Đại học Kinh tế TP Hồ Chí Minh Khoa Ké tốn Bộ mơn Hệ thống thơng tin kế tốn -"======-=(0) ~======= LECTURE NOTE AN TỒN THƠNG TIN KÉ TOÁN Principles of Information Security- 6th Michael E Whitman & Herbert J Mattord TP Hồ Chí Minh - Năm 2023 Mục lục Chương TỔNG QUAN VỀ AN TỒN THƠNG TIN KẾ TỐN 1.1 Giới thiệu an tồn thơng tin 1.1.1 Lịch sử an tồn thơng tin 5 1.1.2 Định nghĩa an tồn thơng tin 10 1.1.3 Bản chất an tồn thơng tin 13 1.2 Mơ hình an tồn thống tin 13 1.2.1 Mũ hình an toản CNSS 13 1.2.2 Các thành phần hệ thống thống tin 14 1.2.3 Cân an tồn thơng tin truy cập 15 1.3 Triển khai an tồn thơng tin 16 1.3.1 Cách tiếp cận thực an toàn thơng tin 16 1.3.2 An tồn thơng tin chu kỹ phát triển hệ thống 17 1.4 An tồn thơng tin doanh nghiệp 15 1.4.1 Chuyễn gia an toàn thơng tin doanh nghiệp 13 1.4.2 Các nhóm người dùng ảnh hưởng đến an tồn thơng tin doanh nghiệp 15 Chương NHU CẦU CỦA TỔ CHỨC ĐỐI VỚI AN TỒN THƠNG TIN 21 2.1 Nhu cầu tổ chức an tồn thơng tin 22 2.2 Các loại nguy & công an tồn thơng tin 23 Chương QUẢN LÝ AN TỒN THƠNG TIN 47 3.1 Lập kế hoạch quản trị an tồn thơng tin 48 3.2 Chính sách, tiêu chuẩn thực tiễn triển khai an tồn thơng tin 53 3.2.1 Chính sách làm tảng cha việc lập kế hoạch 53 3.2.1.1 Chính sách an tồn thơng tin doanh nghiệp (EISP] 55 3.2.1.2 Chính sách an tồn đặc thù |ISSP] 56 3.2.1.3 Chính sách an tồn dành riêng cho hệ thống (SysSP] 3.2.2 Phát triển triển khai chỉnh sách an toàn hữu hiệu 56 58 3.2.3 Duản lý sách 58 3.3 Chương trình giáo dục, huấn luyện nhận thức an toàn 58 3.3.1 Giáo dục an toàn 5Ũ 3.3.2 Huấn luyện an toản 61 3.3.3 Nhận thức an toán 61 3.4 Bảng kế hoạch tiết vẽ an tồn thưng tin 62 3.4.1 Giới thiệu mỏ hình, khn mẫu an tồn 52 3.4.2 Thiết kế kiến trúc an toàn (Design of Security Architecture] B4 3.4.2.2 Phịng thủ sầu 66 3.4.2.1 Cấp độ kiểm sốt LECTURE NOTE: AN TỒN THƠNG TIN KẺ TỐN 66 BỘ MƠN HỆ THƠNG THƠNG TỊN KẺ TỐN 3.4.2.3 Vành đai an toàn Chương QUẢN LÝ RỦI RO 4.1 Giới thiệu 4.3 Quy trình quản lý rủi rõ 4.4 Phản ứng với rủi 4.6 Các phương pháp quản lý rủi khác Chương KẾ HOẠCH PHẢN ỨNG SỰ CỐ VÀ HOẠT ĐỘNG LIÊN TỤC Chương KIỂM SOÁT AN TỒN 6.1 Kiếm sốt truy cập 6.2 Tường lửa 6.3 Bảo vệ kết nối từ xa - Mạng riêng ảo (VPN] CHƯƠNG LUẬT, ĐẠO ĐỨC, VẤN ĐỀ NHÂN SỰ VÀ AN TỒN THƠNG TIN 7.2 Định vị cung cấp nhãn cho vị trían tồn thơng tin 7.3 Chính sách nhân thực hành cơng việc 7.4 Các cần nhắc an toàn người nhân viễn công ty 7.5 Các chiến lược kiếm soát nội kiếm soát nhân Chương THỰC HIỆN VÀ DUY TRÌ AN TỒN THƠNG TIN LECTURE NOTE: AN TỒN THƠNG TIỊN KẺ TỐN BỘ MƠN HỆ THỞNG THƠNG TIN KẺ TỐN Chương TỔNG QUAN VỀ AN TỒN THƠNG TIN KẾ TỐN Textbook: Module - Introduction to Information Security Mục tiêu chương Sau hồn thành chương 1, sinh viên có khả năng: Định nghĩa an tốn thơng tin Hiểu biết lịch sử an tồn máy tính giải thích phát triển an tồn thơng tin Xác định thuật ngữ khái niệm quan trọng an tồn thơng tin Giải thích vai trị an tồn chu kỳ phát triển hệ thống Mô tả vai trị chun gia đỗi với an tồn thơng tin doanh nghiệp Nội dung Chương bao gồm nội dung sau: s Giới thiệu an tồn thơng tin Mõ hình an tồn thơng tin Triển khai an tồn thơng tin An tốn thơng tin doanh nghiệp 1.1 Giới thiệu an tồn thơng tin 1.1.1 Lịch sử an tồn thơng tin Lịch sử an tồn thơng tin chia thành nhiều giai đoạn, giai đoạn có đặc trưng khác tập trung vào vấn đề khác biệt, tùy thuộc vào phối nhu cầu phủ, người dùng, phát triển công nghệ a Giai đoạn trước năm 1960: Ảnh hưởng chiến tranh giới thứ 2, ảnh hưởng chạy đua vũ trang sau chiến tranh, tình báo, gián điệp sơ khai ® cơng nghệ, an tồn thơng tin giai đoạn có đặc trưng sau: Nhu cầu an toàn máy tỉnh an toàn thiết bị xuất từ máy tính đời Nhu cầu giải mã thông điệp chiến tranh dẫn đến đời thiết bị phá mã, tiền thần máy tính đại Để đảm bảo an toàn cho thiết bị, biện pháp thông thường nhận dạng thông qua giấy phép, giấy tờ cá nhân, Mức độ an toàn bảo mật thô sơ giai đoạn Nguy an tồn trộm cắp, gián điệp phá hoại Sự phát triển công nghệ đời máy tính lớn (Mainframe Computer)} Chiến tranh Lạnh; vai trở thông tin, chiến dịch gián điệp, chạy đua vũ trang đời hỏi biện pháp an toàn bảo mật cao LECTURE NOTE: AN TỒN THƠNG TIN KẺ TỐN BỘ MƠN HỆ THƠNG THƠNG TỊN KẺ TỐN # (Cơ quan Chỉ đạo Dự án Nghiên cứu Tiên tiến (ARPA) Bộ Quốc phịng Mỹ bắt đầu kiểm tra tính khả thi hệ thống liên lạc nối mạng dự phòng thiết kế để hỗ trợ nhu cầu trao đối thơng tin qn đội ® Larry Roberts, người sáng lập Internet, phát triển dự án ARPANET b Giai đoạn năm 70, 8D: Trong thập niên này, nghệ thơng tin có tiến bộ, phát triển giao thức chuyển giao thông tin tảng mạng máy tính, phát triển sở liệu công nghệ thông tin dẫn đến đặc thù an tồn thơng tin Trong giai đoạn này, an tồn thơng tin thường ® đồng với an tồn máy tính Đầy giai đoạn hệ điều hành hình thành phát triển, làm tảng cho hệ điều hành sau ARPANET trở nên phổ biến sử dụng nhiều hơn, khả bị lạm dụng cao Robert MỊ Metcalfe có vấn đề với bảo mật ARPANET Các trang web người dùng truy cập từ xa khơng có đủ biện pháp kiểm soát biện pháp bảo vệ để đảm bảo an tồn liệu Việc thiếu quy trình an tồn cho kết nỗi tới ARPANET Nhận dạng người dùng phân quyền cho hệ thống không tôn Vi phạm an toàn máy tỉnh ngày cảng nhiều, đa dạng, số lượng máy chủ người dùng w tăng nhanh, đặt vấn đề an tồn mạng máy tính trở nên cấp bách Báo cáo RAND Corporation 1970 (RAND R 609) xắc định thủ tục kiểm soát chế cần thiết để bảo vệ hệ thống xử lý liệu máy tính hóa — xem # tải liệu cho việc nghiên cứu an tồn máy tính Phạm vi an tồn máy tính mở rộng, bao gồm: (1) Bảo mật liệu; (2) Hạn chế truy cập ngẫu nhiên trái phép vào liệu; (3) Sự tham gia nhân từ nhiều cấp tổ chức vào bảo mật thơng tin ® MIULTICS: hệ thống gọi Dịch vụ Máy tính Thơng tin Đa kênh Multiplexed Information and Computing Service MULTICS) hệ điều hành tích hợp bảo mật vào chức cốt lõi @ MIULTICS hệ điều hành máy tính lớn (mainframe computer) phát triển ® vào năm 1960 tập đoàn gồm General Electric (GE), Bell Labs Viện Công nghệ Massachusetts (MIT] LINIX: năm 1968, tái cấu trúc dự án MULTICS, số nhà phát triển dự án MULTICS tạo hệ điều hành gọi UNIX MULTICS bảo mật với nhiều cấp độ bảo mật mật khẩu, UNIX khơng Cuối năm 1970, vi xử lý mang lại kỷ nguyên khả tính tốn; hệ thống xử lý liệu phần tắn, mạng máy tính, khả chia liệu mối đe dọa bảo mật vấn đề phát sinh vi xử lý mạng LECTURE NOTE: AN TỒN THƠNG TIN KẺ TỐN BỘ MƠN HỆ THƠNG THƠNG TỊN KẺ TOÁN a 1380s: TCP (the Transmission Control Frotocol] and IP (the Internet Pratacol) - ® giao thức sử dụng Internet phát triển vào đầu năm 1980 với DNS (Hệ thống tên miền) 1388, Cơ quan Chỉ đạo Dự án Nghiên cứu Quốc phòng Tiên tiến (DARPA), thành lập Nhóm Ứng cứu Khẩn cấp Máy tính (CERT) để giải vấn đề an ninh mạng c Thập niên 90: Đây giai đoạn phát triển mạnh mẽ vấn đề đương đại an tồn thơng tin kế tốn: Kết nối mạng, khả cơng từ xa, virus máy tính, sở liệu tích hợp, mạng máy tỉnh tồn cầu, Giai đoạn này, vấn đề an tồn thơng tin hình thành lĩnh vực riêng với đầy đủ đặc trưng quy luật vận động ø Cuối kỷ 20, mạng máy tính trở nên phổ biến, nhu cầu kết nối mạng với tăng theo tạo Internet ø Ban đầu, vấn đề an tồn xem xét, việc triển khai Internet coi mức độ ưu tiền thấp ø Khi yêu cầu máy tính nối mạng chiếm ưu thế, khả an tồn vật lý máy tính vật lý bị thông tin lưu trữ trở nên dễ bị đe dọa trước mối đe dọa bảo mật # Cuối năm 1990 năm 2000, nhiều cơng ty lớn bắt đầu tích hợp công khai nội dung bảo mật tổ chức Các sản phẩm chống vi-rút trở nên phổ biến an tồn thơng tin bắt đầu hình thành quy luật độc lập d Thế kỷ 21: Công nghệ thông tin phát triển vượt bậc phần Cách mạng Công nghiện 4.0; hàng loạt tắc động phát triển CNTT đến an tồn thơng tin -= kể tích cực lẫn tiêu cực Internet đưa hàng triệu mạng máy tính khơng an tồn hàng tỷ hệ thống máy tính œ vào giao tiếp liên tục với Tính bảo mật thơng tin lưu trữ máy tính phụ thuộc vào mức độ bảo mật máy tính mạng máy tính # Trong năm gắn đây, nhận thức vẽ nhu cầu nắng cao an tồn thơng tin ngày cảng tăng, nhận thức an tồn thơng tin quan trọng quốc phịng- Mối đe dọa ngày tăng công mạng khiến chỉnh phủ công tự nhận thức rõ cần thiết phải bảo vệ hệ thống điều khiển máy tính tiện ích sở hạ tầng quan trọng khác Chiến tranh thông tin khả hệ thống thơng tin cá nhân doanh nghiệp tổn hại chúng không bảo vệ Kế từ năm 2000, Sarbanes-Oxley luật khác liên quan đến quyền riêng tư trách nhiệm công ty ảnh hưởng đến bảo mật máy tính LECTURE NOTE: AN TỒN THƠNG TIN KẺ TỐN BỘ MƠN HỆ THƠNG THƠNG TỊN KẺ TỐN ® Cuộc cơng vào Trung tâãm Thương mại Thế giới vào ngày 11 tháng năm 2001 dẫn đến thay đổi lớn luật pháp liên quan đến bảo mật máy tính, đặc biệt để tạo điều kiện cho quan thực thi pháp luật có khả thu thập thơng tin khủng bố ® Điện tốn đám mây, liệu lớn, cơng nghệ chuỗi khối, máy học, trí tuệ nhân tạo, vừa hội, vừa thách thức cho an tồn thống tin nói chung an tồn thơng tin kế tốn nói riêng 1.1.2 Định nghĩa an tồn thơng tin a Định nghĩa An tồn thơng tin: Ủy ban hệ thống an ninh quốc gia (CNSS)] định nghĩa øn tồn thơng tin bảo vệ thông tin cúc yếu tổ quan trọng nó, bao gồm hệ thống phần cứng dùng để sử dụng, lưu trữ truyền tải thông tin Fi ặ An tồn thơng tin bao gồm lĩnh vực: ~= Ệ - An tồn máy tính - Bảo mật liệu An ninh mạng C.I.A triad: C (confidentiality); I (integrity]; A (availabilitv] — tam giác C.I.A: ^ tiêu chuẩn cơng nghiệp bảo mật máy tính kể từ phát triển máy tính lớn (mainframe) - Tiêu chuẩn dựa ba đặc điểm thông tin mang lại giá trị cho tổ chức: tính bảo mật, tính tồn vẹn tính khả dụng b Các khái niệm an tồn thơng tin * Arcess: Quyền truy cập - Khả sử dụng, thao tác, sửa đối ảnh hưởng đến chủ thể, đổi tượng khác chủ thể đổi tượng * Asset: Tài sản — nguồn lực doanh nghiệp bảo vệ Tài sản có hình thái vật chất hay phi vật chất Tài sản thông tin trọng tâm an tồn thơng tin * Attack: Tân công - Một hành động cố ý võ ý làm hỏng làm tổn hại đến thơng tin hệ thống hỗ trợ Tấn cơng công chủ động công bị động; công trực tiếp công gián tiếp * Control, safeguard, or countermeasure: Kiểm soát, bảo vệ biện pháp đối phó: Các chế, chỉnh sách quy trình bảo mật chống lại công thành công, giảm thiểu rủi ro, giải lỗ hổng cải thiện tính bảo mật tổ chức LECTURE NOTE: AN TỒN THƠNG TIN KẺ TỐN BỘ MƠN HỆ THƠNG THƠNG TỊN KẺ TỐN Exploit: Khai thác - Một kỹ thuật sử dụng để xầm phạm hệ thống Exposure: Điểm yếu bảo mật - Một tình trạng trạng thái bị phơi nhiễm; bảo mật thông tin, lộ diện tồn kẻ công biết lỗ hồng Loss: thiệt hại - tải sản thông tin bị hư hỏng bị phá hủy, sửa đối tiết lộ ý muốn trái phép bị từ chối sử dụng Protection profile or security posture: Hỗ sơ bảo vệ thái độ bảo mật: Toàn tập hợp biện pháp kiểm sốt bảo về, bao gồm sách, giáo dục, đào tạo nâng cao nhận thức công nghệ, mà tổ chức thực để bảo vệ tài sản Risk: Rủi ro - Sự kiện tiềm tàng không mong muốn xảy gây thiệt hại cho doanh nghiệp Suhjects and objects of attack: Chủ thể công đối tượng bị công Threat: Nguy đe dọa - Bất kỳ kiện hoàn cảnh có khả ảnh hưởng xấu đến hoạt động tài sản tổ chức Threat agent: Tắc nhắn đe dọa — trường hợp cụ thể thành phần mối đe dọa Threat event: Sự kiện đe dọa - kiện xảy tác nhân đe dọa gây Threat saurce: Nguồn gốc đe dọa - tập hợp cắc tác nhân đe dọa Vulnerability: Nhược điểm / điểm yếu tiềm ẩn có sẵn hệ thống hệ thống phòng thủ c Các đặc điểm quan trọng thông tin Availability: Tính khả dụng - tính chất thơng tin cho phép người dùng cần truy cập thông tin mà không bị can thiệp cản trở truy xuất thơng tin định dạng bắt buộc Accuracy: Tính xác - thơng tin khơng có lỗi sai sót, có giá trị mà người dùng mong đợi Nếu thông tin chứa giá trị khác với mong đợi người dùng chỉnh sửa nội dung, thơng tin khơng cịn xác Authenticity: Tính xác thực - chất lượng trạng thái thông tin gốc nguyễn bản, thay chép chế tạo Thơng tin xác thực thơng tin tạo, đặt, lưu trữ chuyển giao nguyên Confidentiality Tính bảo mật - chất lượng trạng thái thưng tin ngăn chặn việc tiết lộ lộ bí mật thông tin với cá nhãn hệ thống không phép Tính bảo mật đảm bảo người dùng có quyền, đặc quyền nhu cầu truy cập thơng tin truy cập Integrity: Tỉnh toàn vẹn - chất lượng trạng thải toàn bộ, hồn chỉnh khơng bị gián đoạn Tính tồn vẹn thông tin bị đe dọa thông tin bị lộ, hỏng, bị nhá hủy hành vi khác làm gián đoạn trạng thái nguyên LECTURE NOTE: AN TỒN THƠNG TIN KẺ TỐN BỘ MƠN HỆ THƠNG THƠNG TỊN KẺ TỐN Utility: Tiện ích - chất lượng trạng thái có giá trị cho số mục đích kết Thơng tin có giá trị phục vụ mục đích cụ thể Điều có nghĩa thơng tin có sẵn, khơng định dạng có ý nghĩa người dùng cuối, khơng hữu ích Pnssession: Chiếm hữu - chất lượng trạng thái có quyền sở hữu kiểm « sốt số đối tượng vật phẩm Thống tin cho thuộc quyền sở hữu người người có nó, khơng phụ thuộc vào định dạng đặc điểm khác Mặc dù vi phạm bảo mật dẫn đến vi phạm quyền sở hữu, vi phạm sở hữu lúc dẫn đến vi phạm bảo mật 1.1.3 Bản chắt an tồn thơng tin # Tính đa dạng, phức tạp, khơng có ngun mẫu, linh hoạt, sáng tạo lĩnh vực bảo mật, cần việc vận dụng kiến thức bảo mắt, tương tác bảo mật hệ thống hệ thống lớn dẫn đến tính nghệ thật an tồn thơng tin ® Đặc tính cơng nghệ khoa học máy tính, tính nghiêm túc nguyên tắc ® phương pháp kỹ thuật, tương tác phần cứng phần mềm trị thức hảo mật cho thấy tính khoa học an tồn thơng tin Sự tương tác người với hệ thống, hành vi người dùng tác động đến bảo mật, nhận thức rủi rơ mơi trường CNTT cho thấy an tồn thơng tin mang tính chất khoa học xã hội 1.2 Mơ hình an tồn thơng tin 1.2.1 Mõ hình an toàn CNSS * Committee on National Security Systems: Ủy ban Hệ thống An ninh Quốc gia (Hoa Kỹ): https://www.cnss.gov/CNSS/issuances/Instructions.cfm + Mơ hình an tồn CNSS John McCumber tạo năm 1331, gọi khối lập phương McCumber, bao gồm 27 khối tương ứng với lĩnh vực an tồn thơng tin * Trong quy trình bảo mật — an toàn hệ thống cần đảm bảo khối xác định giải cách đắn LECTURE NOTE: AN TỒN THƠNG TIN KẺ TỐN BỘ MƠN HỆ THƠNG THƠNG TỊN KẺ TỐN 10 im † Confidentialiy — = gu Conlidentialiy 1L ._ Integrity Integrity _ Availability ụ uy _ nu Awailability L.T _