Đang tải... (xem toàn văn)
Mục lục ....................................................................................................................... 1 Câu 1: Khái niệm đánh giá an toàn hệ thống thông tin. .......................................... 2 Câu 2: Tầm quan trọng của đánh giá an toàn hệ thống thông tin .......................... 2 Câu 3: Các kỹ thuật đánh giá .................................................................................... 3 Câu 4: So sánh kiểm thử và kiểm tra ........................................................................ 3 Câu 5: Rà soát hệ thống ............................................................................................. 4 Câu 6: Rà soát nhật ký .............................................................................................. 4 Câu 7: Rà soát tập luật .............................................................................................. 5 Câu 8: Rà soát cấu hình hệ thống ............................................................................. 6 Câu 9: Khám phá mạng............................................................................................. 6 Câu 10: Xác định cổng và dịch vụ mạng. ................................................................. 7 Câu 11: Xác định điểm yếu mục tiêu với bẻ mật khẩu. ........................................... 8 Câu 12: Kiểm thử xâm nhập ..................................................................................... 8 Câu 13: Kỹ nghệ xã hội.............................................................................................. 9 Câu 14: Các vấn đề liên quan tới chuẩn bị (hậu cần) đánh giá: ............................ 10 Câu 15: Xử lý dữ liệu ............................................................................................... 11 Câu 16: Hoạt động sau đánh giá: Lập báo cáo ....................................................... 12 Câu 17:Khái niệm kiểm định an toàn thông tin. Các dạng kiểm định an toàn thông tin.................................................................................................................... 13 Câu 18: Quy trình kiểm định an toàn hệ thống thông tin...................................... 14 Câu 19: Phương pháp luận đánh giá an toàn hệ thống thông tin.......................... 15 Câu 20: Phương pháp luận OSSTMM ................................................................... 15 Câu 21: Phương pháp luận ISSAF .......................................................................... 18 Câu 22: Phương pháp luận OWASP ...................................................................... 19 Câu 23:So sánh sự khác nhau giữa Kiểm định hệ thống an toàn thông tin và Đánh giá an toàn hệ thống thông tin? ................................................................................ 19 2 Câu 1: Khái niệm đánh giá an toàn hệ thống thông tin. • Theo NIST: đánh giá an toàn hệ thống thông tin (information security assessment) là quy trình xác định tính hiệu quả của một thực theer được đánh giá (ví dụ như máy tính, hệ thống, mạng, quy trình vận hành, con người…) đáp ứng các mục tiêu an ninh cụ thể. o Tập trung vào 3 phương pháp chính: kiểm thử (testing), kiểm tra (examination), phỏng vấn (interviewing). • Theo SANS: đánh giá an toàn hệ thống thông tin là thước đo độ an toàn của hệ thống hoặc tổ chức, hay còn hiểu là cách thức thực hiện an toàn thông tin. o Dựa trên việc xác định các rủi ro, trong đó tập trung vào xác định điểm yếu và các tác động tới hệ thống. o Đánh giá an toàn dựa trên 3 phương pháp chính có liên quan đến nhau là: rà soát (reviewing), kiểm thử (testing), kiểm tra (examination). o Rà soát: bao gồm các kỹ thuật xem xét thụ động và thực hiện phỏng vấn. Thường được thực hiện thủ công. o Kiểm tra: xem xét cụ thể tại tổ chức từ mức hệ thốngmạng để xác định các điểm yếu an ninh tồn tại trong hệ thống. o Kiểm thử: đóng vai trò như kẻ tấn công. Thực hiện các phương pháp tìm kiếm lỗ hổng bảo mật trong mạng để thực hiện xâm nhập tới hệ thống hoặc mạng. Câu 2: Tầm quan trọng của đánh giá an toàn hệ thống thông tin Xác định mức độ an ninh hiện tại của hệ thống thông tin trong một tổ chức. o Có cái nhìn toàn diện về các mối nguy hại tồn tại trong hệ thống mạng. o Có các giải pháp khắc phục, cải tiến hệ thống thông tin tiếp cận các mục tiêu an ninh. o Giảm thiểu các rủi ro. Cho phép trả lời các câu hỏi: o Các thông tin quan trọng là gì? o Hệ thống thông tin đã triển khai các giải pháp đảm bảo an ninh nào? o Tình hình an ninh thông tin hiện tại là như thế nào? o Có cần thêm các biện pháp để đối phó với vấn đề đảm bảo an ninh thông tin hay không? o Vấn đề nào cần ưu tiên trong lộ trình xử lý để đảm bảo an toàn thông tin một cách đầy đủ?
Mục lục Mục lục Câu 1: Khái niệm đánh giá an toàn hệ thống thông tin Câu 2: Tầm quan trọng đánh giá an toàn hệ thống thông tin Câu 3: Các kỹ thuật đánh giá Câu 4: So sánh kiểm thử kiểm tra Câu 5: Rà soát hệ thống Câu 6: Rà soát nhật ký Câu 7: Rà soát tập luật Câu 8: Rà sốt cấu hình hệ thống Câu 9: Khám phá mạng Câu 10: Xác định cổng dịch vụ mạng Câu 11: Xác định điểm yếu mục tiêu với bẻ mật Câu 12: Kiểm thử xâm nhập Câu 13: Kỹ nghệ xã hội Câu 14: Các vấn đề liên quan tới chuẩn bị (hậu cần) đánh giá: 10 Câu 15: Xử lý liệu 11 Câu 16: Hoạt động sau đánh giá: Lập báo cáo 12 Câu 17:Khái niệm kiểm định an tồn thơng tin Các dạng kiểm định an tồn thơng tin 13 Câu 18: Quy trình kiểm định an tồn hệ thống thơng tin 14 Câu 19: Phương pháp luận đánh giá an tồn hệ thống thơng tin 15 Câu 20: Phương pháp luận OSSTMM 15 Câu 21: Phương pháp luận ISSAF 18 Câu 22: Phương pháp luận OWASP 19 Câu 23:So sánh khác Kiểm định hệ thống an tồn thơng tin Đánh giá an tồn hệ thống thơng tin? 19 Câu 1: Khái niệm đánh giá an tồn hệ thống thơng tin • Theo NIST: đánh giá an tồn hệ thống thơng tin (information security assessment) quy trình xác định tính hiệu thực theer đánh giá (ví dụ máy tính, hệ thống, mạng, quy trình vận hành, người…) đáp ứng mục tiêu an ninh cụ thể o Tập trung vào phương pháp chính: kiểm thử (testing), kiểm tra (examination), vấn (interviewing) • Theo SANS: đánh giá an tồn hệ thống thơng tin thước đo độ an toàn hệ thống tổ chức, hay hiểu cách thức thực an tồn thơng tin o Dựa việc xác định rủi ro, tập trung vào xác định điểm yếu tác động tới hệ thống o Đánh giá an tồn dựa phương pháp có liên quan đến là: rà soát (reviewing), kiểm thử (testing), kiểm tra (examination) o Rà soát: bao gồm kỹ thuật xem xét thụ động thực vấn Thường thực thủ công o Kiểm tra: xem xét cụ thể tổ chức từ mức hệ thống/mạng để xác định điểm yếu an ninh tồn hệ thống o Kiểm thử: đóng vai trò kẻ cơng Thực phương pháp tìm kiếm lỗ hổng bảo mật mạng để thực xâm nhập tới hệ thống mạng Câu 2: Tầm quan trọng đánh giá an tồn hệ thống thơng tin - Xác định mức độ an ninh hệ thống thông tin tổ chức o Có nhìn tồn diện mối nguy hại tồn hệ thống mạng o Có giải pháp khắc phục, cải tiến hệ thống thông tin tiếp cận mục tiêu an ninh o Giảm thiểu rủi ro - Cho phép trả lời câu hỏi: o Các thơng tin quan trọng gì? o Hệ thống thông tin triển khai giải pháp đảm bảo an ninh nào? o Tình hình an ninh thơng tin nào? o Có cần thêm biện pháp để đối phó với vấn đề đảm bảo an ninh thông tin hay không? o Vấn đề cần ưu tiên lộ trình xử lý để đảm bảo an tồn thơng tin cách đầy đủ? Câu 3: Các kỹ thuật đánh giá • Kỹ thuật rà soát: o Là kỹ thuật kiểm tra dùng để đánh giá hệ thống, ứng dụng, mạng, sách, thủ tục o Bao gồm: ▪ Rà sốt tài liệu ▪ Rà soát nhật ký ▪ Rà soát tập luật ▪ Rà sốt cấu hình hệ thống ▪ Thăm dò mạng… • Kỹ thuật phân tích xác định mục tiêu: o Xác định hệ thống, cổng, dịch vụ lỗ hổng o Bao gồm: ▪ Phát mạng ▪ Nhận dạng cổng dịch vụ mạng ▪ Quét lỗ hổng ▪ Quét mạng không dây ▪ Kiểm tra an tồn ứng dụng • Kỹ thuật xác định điểm yếu mục tiêu: o Xác định tồn lỗ hổng hệ thống o Bao gồm: ▪ Bẻ mật ▪ Kiểm thử xâm nhập ▪ Kỹ nghệ xã hội ▪ Kiểm thử an toàn ứng dụng Câu 4: So sánh kiểm thử kiểm tra Kiểm tra Nhiệm vụ: - Xem xét tài liệu, quy trình, thủ tục để đảm bảo thứ thực theo mục tiêu đề - Ví dụ: xem xét tập luật tường lửa, xem xét thủ tục đảm bảo an toàn đặt mật khẩu… Không ảnh hưởng tới hệ thống mạng thực tế Có nhìn tồn diện hệ thống mạng đánh giá Đòi hỏi phối hợp nhiều người, nhiều phận Kiểm thử Nhiệm vụ: - Thử nghiệm thử nghiệm tới hệ thống mạng để xác định lỗ hổng an tồn - Ví dụ: kiểm thử xâm nhập hệ thống, kiểm thử xâm nhập hệ thống ứng dụng web, kiểm thử xâm nhập mạng wireless… Có thể ảnh hưởng tới hệ thống mạng thực tế Khơng có nhìn tồn diện hệ thống mạng đánh giá Chỉ cần phối hợp ban lãnh đạo phận quản trị mạng Câu 5: Rà soát hệ thống - Là việc kiểm tra quy trình áp dụng sách, thủ tục theo tiêu chuẩn, quy định nhằm: o Tìm kẽ hở điểm yếu ảnh hưởng tới kiểm soát an ninh hệ thống o Tinh chỉnh kỹ thuật kiểm tra kiểm thử khác - Bao gồm: o Kiểm tra sách bảo mật o Kiểm tra kiến trúc, yêu cầu, quy trình hoạt động chuẩn o Kiểm tra kế hoạch đảm bảo an toàn hệ thống o Kiểm thử ghi chép thỏa thuận hợp đồng việc liên kết hệ thống o Kiểm tra kế hoạch phản ứng cố - Kiểm tra lại tài liệu đưa kết luận kiểm sốt an ninh có vấn đề mà hướng tìm kiếm nhằm hỗ trợ sở hạ tầng an ninh hệ thống Câu 6: Rà soát nhật ký - Là việc kiểm tra lại nhật ký nhằm: o Kiểm tra tính xác việc ghi nhật ký o Xác nhận hệ thống hoạt động theo sách tổ chức - Bao gồm: o Rà soát nhật ký tường lửa o Rà soát nhật ký IDS o Rà soát nhật ký máy chủ o Rà soát nhật ký thiết bị mạng - Rà soát nhật ký nên thực thường xuyên - Với hệ thống mạng có quy mơ nhỏ, khơng có nhiều liệu cần bảo vệ nên rà sốt tháng lần - Với hệ thống mạng quy mơ lớn, có nhiều tài ngun quan trọng nên rà sốt hàng ngày hàng tuần - Một số thơng tin nhật ký hữu dụng thực đánh giá: o Nhật ký tường lửa định tuyến ghi chép lại kết nối từ mạng nội bên ngồi mà có tiềm kết nối thiết bị độc hại từ bên (ví dụ: rootkit, bot, trojan horse, spyware) o Nhật ký tường lửa thông tin kết nối không thành công nỗ lực truy cập trái phép o Nhật ký ứng dụng ghi chép lại nỗ lực kết nối trái phép, thay đổi tài khoản, sử dụng đặc quyền sử dụng thông tin CSDL ứng dụng o Nhật ký phần mềm phòng chống virus ghi chép cập nhật thất bại, phần mềm lỗi thời o Nhật ký bảo mật quản lý vá lỗi cụ thể hệ thống IDS/IPS ghi chép lại thông tin hệ thống dịch vụ ứng dụng mà chưa biết đến Câu 7: Rà soát tập luật - Tập luật tập hợp quy tắc mà hệ thống mạng so sánh để định nên làm hành động chấp thuận - Ví dụ: o Tập luật tường lửa: cho phép từ chối gói liệu qua o Tập luật IDS: cảnh báo có xâm nhập bất hợp pháp tới hệ thống o Tập luật AV: xóa file xác định có chứa mã độc - Rà sốt tập luật nhằm: o Tìm lỗi lỗ hổng bảo mật thiết bị an ninh: lỗ hổng bảo mật mạng, vi phạm sách o Tìm thiếu sót khơng hiệu làm ảnh hưởng đến hiệu suất luật - Bao gồm: o Bộ luật thiết đặt cho tường lửa o Luật thiết đặt cho hệ thống IDS/IPS o Luật điều khiển, kiểm soát truy cập định tuyến… - Đối với danh sách điều khiển truy cập định tuyến: o Chỉ giữ lại luật cần thiết Ví dụ luật thiết lập với mục đích tạm thời phải gỡ bỏ sau không cần tới o Mặc định từ chối tất lưu lượng mạng, chho phép lưu lượng cấp quyền theo sách truy cập - Đối với tường lửa: o Chỉ giữ lại luật cần thiết o Luật thực thi việc truy cập đặc quyền tối thiểu o Tạo luật cụ thể trước tạo luật chung sau o Không nên mở cổng không cần thiết để thắt chặt an ninh o Các luật thiết lập không cho phép truy cập vượt qua rào cản an ninh khác - Đối với hệ thống IDS/IPS: o Những mẫu (signature) không cần thiết cần phải vô hiệu gỡ bỏ o Những mẫu cần thiết phải kích hoạt, chỉnh sửa bảo trì hợp lý Câu 8: Rà sốt cấu hình hệ thống - Là trình kiểm tra nhằm: o Xác định dịch vụ ứng dụng không cần thiết o Xác định tài khoản người dùng thiết lập mật không hợp lý o Xác định thiết lập lưu đăng nhập không phù hợp - Kiểm tra thông qua file cấu hình hệ thống lưu trữ sẵn tập tin khác hệ điều hành - Ví dụ: o Hệ điều hành Windows: nơi lưu trữ file cấu hình hệ thống: “windows security policy settings” o Hệ điều hành Linux/Unix: nơi lưu trữ file cấu hình hệ thống: /etc Câu 9: Khám phá mạng - Là việc phát máy chủ, máy trạm, thiết bị mạng hoạt động mạng - Có hai phương pháp khám phá mạng khám phá thụ động khám phá chủ động Nội dung Ưu điểm Khám phá thụ động Khám phá chủ động - Sử dụng cơng cụ dò qt - Sử dụng cơng cụ tự mạng theo dõi: lưu lượng động gửi trực tiếp mạng, địa IP gói tin mong muốn máy hoạt động, (TCP, ICMP, UDP) tới cách thức kết nối, xử lý thông máy chủ để: xác tin mang, tần suất liên lạc định máy chủ, máy máy mạng trạm, trạng thái hoạt động máy, xác - Được thực từ máy định cổng mạng tính mạng nội trạng thái hoạt động cổng, xác định hệ điều hành chạy - Không ảnh hưởng tới hoạt động mạng - Nhược điểm - Tốn thời gian để thu thập thông tin - Mất thời gian để thu thập thơng tin Có thể thực khám phá mạng từ mạng khác mạng khám phá Có thể gây nhiễu trễ mạng - Không phát thiết bị mạng máy chủ/ máy trạm không thực nhận gửi gói tin khoảng thời gian giám sát - - Có thể kích hoạt tính cảnh báo từ thiết bị IDS thiết bị an ninh khác Thơng tin bị sai lệch Câu 10: Xác định cổng dịch vụ mạng - Sử dụng cơng cụ dò qt để xác định cổng, dịch vụ hoạt động - Quá trình truyền tin TCP: sử dụng quy tắc bắt tay bước (tự nêu) - Các phương pháp quét cổng: o TCP connect: client gửi gói tin chứa cờ SYN thông số cổng định tới server Server trả gói SYN/ACK: cổng mở, server gửi gói RST: cổng đóng Client gửi tiếp đến server gói tin ACK+RST o Quét Stealth (quét nửa): client gửi gói tin chứa cờ SYN thông số cổng định tới server Server trả gói SYN/ACK: cổng mở, server gửi gói RST: cổng đóng Client gửi tiếp đến server gói tin RST o Quét XMAS: client gửi gói TCP với số cổng định cần quét chứa nhiều thông số cờ như: FIN, URG, PSH tới server Server gửi gói RST: cổng đóng o Quét FIN: client chưa có kết nối tới server tạo gói FIN với số cổng định gửi tới server Server gửi gói ACK: cổng mở, server gửi gói RST: cổng đóng o Quét NULL: client gửi tới server gói TCP với số cổng cần quét mà không chứa thông số cờ Server gửi gói RST: cổng đóng o Quét IDLE: ▪ Client gửi gói tin SYN/ACK tới mục tiêu zombie để thăm dò số IPID ▪ Zombie nhận gói tin từ chối kết nối cách gửi lại gói tin RST ▪ Client gửi tới server gói tin chứa cờ SYN kèm theo số hiệu cổng với địa IP giả mạo địa IP zombie ▪ Zombie sau nhận gói tin SYN/ACK gửi lại cho server gói tin RST với số IPID tăng thêm ▪ Client gửi lại yêu cầu kết nối tới zombie với số IPID giống IPID thăm dò từ trước ▪ Zombie tiếp tục gửi trả lời lại gói tin RST kèm theo số IPID tăng thêm: IPID tăng 2: cổng mở, IPID tăng 1: cổng đóng o Quét UDP: client gửi gói tin ICMP request tới server Server gửi gói tin ICMP type code với nội dụng “unreachble”: cổng đóng o Xác định hệ điều hành: ▪ Dùng kỹ thuật fingerprinting ▪ Tạo kết nối TCP đến máy đích dựa vào gói SYN/ACK để lấy thơng tin hệ điều hành ▪ So sánh với CSDL Câu 11: Xác định điểm yếu mục tiêu với bẻ mật - Bẻ mật q trình khơi phục mật từ bảng băm mật khẩu: xác định tài khoản với mật yếu - Các phương pháp bẻ mật khẩu: o Dictionary Attack: từ điển đưa vào ứng dụng crack để xác định tài khoản o Brute Forcing Attack: thử kết hợp tất ký tự tìm mật o Hybrid Attack: tương tự công từ điển, thêm vài số ký tự o Syllable Attack: kết hơp công từ điển công brute force o Rule-based Attack: sử dụng có số thơng tin mật Câu 12: Kiểm thử xâm nhập - Kiểm thử xâm nhập kiểm tra độ an tồn hệ thống thơng tin Người đánh giá bắt chước công thực tế để phá vỡ tính bảo mật ứng dụng, hệ thống mạng - Kiểm thử xâm nhập hữu ích cho việc xác định: o Làm hệ thống cho phép dạng công phổ biến thực tế o Mức độ tinh vi kẻ công cần để làm tổn hại hệ thống o Biện pháp đối phó bổ sung giảm thiểu mối đe dọa hệ thống o Khả phòng vệ để phát cơng phản ứng thích hợp - Cần có cho phép thức để tiến hành kiểm thử xâm nhập trước bắt đầu: o Các địa chỉ/ dải IP cụ thể kiểm tra o Các máy chủ bị hạn chế o Một danh sách kỹ thuật kiểm thử chấp nhận công cụ o Thời gian kiểm thử tiến hành o Xác định thời hạn định cho kiểm thử o Địa điểm liên lac cho đội kiểm thử xâm nhập vào hệ thống mạng đích o Các biện pháp để ngăn chặn thực thi luật gọi cảnh báo sai (được tạo trình kiểm thử) o Xử lý thông tin thu thập nhóm kiểm thử xâm nhập Các pha kiểm thử: - - Khám phá: o Thu thập thông tin: thông tin địa IP tên máy chủ, tên nhân viên thông ti liên hệ, thông tin hệ thống tên chia sẻ, thông tin dịch vụ ứng dụng o Xác định điểm yếu: dò quét cổng dịch vụ, dò quét lỗ hổng Tấn công: o Giành quyền truy cập: thu thập thông tin từ giai đoạn khám phá để thức giành quyền truy cập vào mục tiêu o Leo thang đặc quyền: dành quyền truy cập người dùng người kiểm thử cố gằng để lấy quyền điều khiển hệ thống (truy cập cấp quản trị) o Duyệt hệ thống: tiếp tục thu thập thông tin để xác định chế làm việc hệ thống giành quyền truy cập vào hệ thống khác o Cài đặt thêm công cụ: cài thêm cơng cụ kiểm thử để có thêm nhiều thơng tin quyền truy cập hai Câu 13: Kỹ nghệ xã hội - Tấn công kỹ nghệ xã hôi: o Là việc thử lừa người tiết lộ thơng tin mà sử dụng để công hệ thống mạng o Ví dụ: tài khoản đăng nhập, mật khẩu… - Kiểm thử sử dụng kỹ nghệ xã hội: ể kiểm tra nhận thức người dùng vấn đề an ninh, bộc lộ điểm yếu hành vi người dùng - Cách thức thực kiểm thử: o Qua hội thoại thực trực tiếp o Qua điện thoại o Qua email, tin nhắn tức thời… - Một hình thức kỹ nghệ xã hội phổ biến phishing: o Sử dụng email xác thực để yêu cầu thông tin o Hướng người dùng đến trang web giả mạo để thu thập thông tin Câu 14: Các vấn đề liên quan tới chuẩn bị (hậu cần) đánh giá: Lựa chọn đánh giá viên - Đánh giá viên cần có kinh nghiệm, có kỹ thuât chuyên môn giảm thiểu rủi ro liên quan tiến hành kiểm thử an toàn - Kiến thức chuyên môn tốt an ninh bảo mật mạng máy tính, bao gồm an tồn mạng, tường lửa, hệ thống phát xâm nhập, hệ điều hành, lập trình giao thức mạng (như TCP/IP) - Làm việc nhóm - Tính đặc thù hệ thống - Tính cập nhật kiến thức, phương thức công cụ phục vụ cho việc đánh giá - Trách nhiệm đánh giá viên: o Thông báo cho bên liên quan hoạt động đánh giá an toàn an ninh o Phát triển xây dụng kế hoạch đánh giá o Thực thi việc kiểm tra, kiểm thử, thu thập liệu liên quan o Phân tích liêu thu thaapj phát triển khuyến nghị giản lược o Thực kiểm tra kiểm thử bổ sung cần thiết để xác nhận hoạt động giản lược o Phối hợp với tổ chức đánh giá o Đảm bảo quyền gán trì ký duyệt kế hoạch đánh giá o Ký kết tuân thủ thỏa thuận không tiết lộ thơng tin bí mật tổ chức o Bảo vệ liệu theo quy định tổ chức, bao gồm việc xử lý, truyền nhận, lưu trữ xóa tất liệu thu thập báo cáo kết Lựa chọn vị trí - Khi thực kiểm thử, đánh giá viên làm việc chỗ từ xa - Đánh giá viên yêu cầu mức độ truy cập khác tới mạng phụ thuộc vào công cụ mà họ sử dụng - Khi lựa chọn địa điểm cho hoạt động đánh giá, cần cân nhắc rủi ro vốn có việc sử dụng địa điểm bên ngồi Lựa chọn tài ngun cơng cụ kỹ thuật - Hệ thống thông tin phát triển để thực thi việc đánh giá an ninh cần đáp ứng yêu cầu loại hình đánh giá cơng cụ đánh giá thực - Ví dụ, việc bẻ khóa mật khẩu, thường yêu cầu nhớ tốc độ tính tốn cao, đội kiểm thử yêu cầu máy chủ bẻ khóa mật chun dụng - Các cơng cụ nên lấy từ nguồn đáng tin cậy đảm bảo - Người kiểm thử cần có kiến thức, kinh nghiệm sử dụng thành thạo tất hệ điều hành hệ thống kiểm thử cơng cu kiểm thử hệ thống kiểm thử thường xuyên thay đổi - Phát triển trì sở để tiến hành cho kiểm thử 10 - Đội kiểm thử di động cần có kit phù hợp gồm hệ thống, sao, công cụ bổ sung, cáp, máy chiếu thiết bị khác mà đội cần cho thực kiểm thử địa điểm khác Câu 15: Xử lý liệu Xử lý liệu đảm bảo bảo vệ liệu nhạy cảm tổ chức bao gồm kiến trúc hệ thống, cấu hình an tồn, lỗ hổng hệ thống Thu thập liệu - Thơng tin liên quan đến kiến trúc, cấu hình mạng đnahs giá, thông tin liên quan đến hoạt động đánh giá viên o Kiến trúc cấu hình: tên hệ thống, địa IP, hệ điều hành, vị trí mạng vật lý logic, cấu hình bảo mật lỗ hổng o Hoạt động đánh giá: nhật ký ghi lại bước hoạt động đánh giá Lưu trữ liệu Bảo mật liệu thu thập suốt trình đánh giá bao gồm lỗ hổng, kết phân tích, đề xuất giảm thiểu trách nhiệm đánh giá viên: - Kế hoạch đánh giá ROE Tài liệu cấu hình an ninh hệ thống kiến trúc mạng Kết thu từ công cụ tự động phát khác Báo cáo kết đánh giá Kế hoạch khắc phục mốc thời gian (POA&M) Việc truy cập tới thông tin lưu hệ thống phải hạn chế phân quyền, có người có trách nhiệm vai trò phép truy cập Dữ liệu cần mã hóa theo chuẩn FIPS 140-2 để đảm bảo an tồn liệu Hệ thống đánh giá – máy chủ, máy tính xách tay, thiết bị di động phải có biện pháp bảo vệ mặt logic vật lý nơi hoạt động Truyền liệu Phương pháp truyền liệu nhạy cảm bao gồm việc mã hóa tệp chứa liệu nhạy cảm, mã hóa kênh thơng tin tuẩn the FIPS (VPN, SSL) truyền thông tin thông quâ việc giao nhận copy Hủy bỏ liệu Khi liệu đánh giá khơng cần thiết, hệ thống đánh giá, tài liệu lưu, phương tiện cần phải thu dọn sẽ: - Sắp xếp: o Khơng khuyến khích với liệu đa phương tiện o Thương thực với giấy tờ mà không chứa nội dung quan trọng 11 - - - Làm sạch: o Thu dọn liệu để đảm bảo tính bí mật liệu khỏi cơng theo vết bàn phím o Tránh khơi phục từ liệu, ổ đĩa tiện ích khơi phục liệu o Chống công dụa vào bàn phím từ thiết bị đầu vào cơng cụ tìm kiếm o Một số phương pháp chấp nhận cho việc làm thông tin việc ghi đè liệu (overwriting) Tẩy sách: o Quá trình thu dọn phương tiện để bảo vệ tính bí mật liệu khỏi công o Với số liệu, việc làm chưa đủ hiệu để che dấu o Ví dụ việc làm liệu thực thi câu lệnh firmware Secure Arase (chỉ cho ổ đĩa ATA – Advanced Technology Attachment) khử từ Tiêu hủy: o Phá hủy vật lý thiết bị để khơng có khả sử dụng giúp tránh thu liệu lưu o Phương pháp: đốt, đập nát, nung chảy, nghiền… Lưu ý: - Các tổ chức cần trì sách u cầu cho việc xử lý hủy bỏ hệ thống đánh giá Chuẩn NIST SP 800-88 đưa lược đồ luồng để hỗ trợ tổ chức việc xác định phương pháp hủy bỏ liệu áp dụng phù hợp hoàn cảnh Các đánh giá viên từ bên thứ ba cần hiểu yêu cầu hủy bỏ liệu tổ chức khác phận tổ chức có yêu cầu khác Câu 16: Hoạt động sau đánh giá: Lập báo cáo Thông tin hệ thống - Giúp biết thông tin chung mục tiêu, địa điểm, đối tượng thực - Căn pháp lý có cố xảy ra: o Địa điểm thực đánh giá o Thời gian thực đánh giá o Người thực đánh giá o Người theo dõi đánh giá o Thông tin hợp đồng đánh giá o Phiên báo cáo… Cấu trúc hệ thống - Các thông tin sơ đồ cấu trúc hệ thống đánh giá - Để dễ dàng cho người đọc báo cáo, người lập báo cáo cần tổng hợp thông tin theo mức độ rủi ro khác nhau: o Mức độ nguy hại 12 o Công cụ sử dụng (nếu có) o Cách thức kiểm tra o Kết o Mơ tả nguy hại xảy đến o Các khuyến cáo để phòng chống rủi ro Các rủi ro mức cao Các rủi ro mức trung bình mức thấp Câu 17:Khái niệm kiểm định an tồn thơng tin Các dạng kiểm định an tồn thơng tin Khái niệm kiểm định an tồn thơng tin o Kiểm định an tồn hệ thống thơng tin thực kiểm tra, đánh giá vấn đề an tồn, an ninh thơng tin nhằm xác định mức độ đảm bảo an tồn thơng tin tổ chức o Là khẳng định hệ thống đáp ứng điều kiện an toàn Các dạng kiểm định an tồn thơng tin Kiểm định an tồn thơng tin tồn Kiểm định tồn vấn đề an toàn tổ chức Ưu điểm - Tiếp cận tồn diện hệ thống - Có nhìn tồn diên tình trạng an ninh thơng tin tổ chức Nhược điểm - Đòi hỏi nhiều thời gian - Việc kiểm tra khơng thực cách kỹ lưỡng Kiểm định an tồn thơng tin phần Kiểm định giới hạn phần định tổ chức - Các kiểm tra diễn nghiêm ngặt so với kiểm định tồn - Chỉ có số hạn chế đối tượng kiểm tra 13 Câu 18: Quy trình kiểm định an tồn hệ thống thơng tin Bước 1: chuẩn bị kiểm định - Thực thời điểm bắt đầu kiểm định - Các công việc cần thực hiện: o Các bên liên quan thống điều khoản chung o Ký kết thỏa thuận liên quan o Xác định đối tượng kiểm định, thời gian kiểm định, chuẩn bị hồ sơ tài liệu o Tài liệu: tài liệu tổ chức, tài liệu kỹ thuật Bước 2: tạo kế hoạch kiểm định - Chi tiết cơng việc cần thực tồn q trình kiểm định - Sử dụng suốt trình kiểm định - Thời gian thực công việc: Giai đoạn Công việc Thời gian Bước Chuẩn bị kiểm định 5% Bước Tạo kế hoạch kiểm định 15% Bước Xem xét tài liệu 20% Bước Kiểm thử trực tiếp 35% Bước Đánh giá kết 5% Bước Lập báo cáo kiểm định 20% Bước 3: xem xét tài liệu - Tiến hành kiểm tra, xem xét tài liệu liên quan đến việc thực an tồn hệ thống thơng tin - Các công việc cần thực hiện: o Xác định nguy hại xảy đến o Kiểm tra vấn đề áp dụng sách o Kiểm tra nguy xảy đến thời gian gần Bước 4: kiểm tra trực tiếp - Tiến hành kiểm tra mục tiêu - So sánh kiểm tra lại tài liệu cung cấp với điều kiện thực tế - Phương pháp kiểm tra: o Phỏng vấn o Quan sát o Phân tích tập tin (bao gồm liệu điện tử) o Kiểm tra kỹ thuật o Phân tích liệu o Hỏi văn Bước 5: đánh giá kết - Được thực nhóm kiểm tốn quan có thẩm quyền - Kết đánh giá sở chứng nhận tính an tồn mục tiêu đánh giá điểu kiện cấp chứng nhận đảm bảo an tồn thơng tin Bước 6: lâp báo cáo kiểm định - Trình bày chi tiết thơng tin liên quan đến trình thực kiểm định 14 o Thông tin chung tài nguyên kiểm định o Quy trình thực kiểm định o Kết kiểm định Câu 19: Phương pháp luận đánh giá an toàn hệ thống thông tin − Ý nghĩa phương pháp luận: + Cung cấp tính thống có cấu trúc cho việc kiểm thử an tồn, từ giảm thiểu rủi ro trình đánh giá + Giúp dễ dàng việc chuyển giao quy trình đánh giá có thay đổi nhân đánh giá + Chỉ hạn chế tài nguyên kết hợp với đánh giá an toàn + Xây dựng phương pháp luận đánh giá an tồn thơng tin theo giai đoạn mang lại nhiều ưu điểm cung cấp cấu trúc, điểm dừng tự nhiên cho trình chuyển đổi đánh giá viên - Phương pháp luận chứa tối thiểu pha: + Lập kế hoạch: • Thực cơng việc chuẩn bị • Thu thấp thông tin cần thiết phục vụ q trình đánh giá + Thực thi: • Xác định lỗ hổng xác nhận lỗ hổng + Hậu thực thi: • Phân tích lỗ hổng • Đưa khuyến cáo giảm nhẹ lỗ hổng • Phát triển báo cáo - Một số phương pháp luận ứng dụng rộng rãi đánh giá an toàn hệ thống thông tin: + OSSTMM ( Open Source Security Testing Methodology Manual): Phương pháp mở đánh giá an toàn thủ công + ISSAF( Information Systems Security Assessment Framework): Phương pháp đánh giá an tồn hệ thống thơng tin + OWASP ( The Open Web Application Security Project): Dự án mở bảo mật ứng dụng web Câu 20: Phương pháp luận OSSTMM - Là dự án ISECOM, phát triển cộng đồng mở - Phương pháp khoa học mơ tả xác an ninh hoạt động đặc trưng thông qua kiểm thử cách quán lặp lặp lại kênh vật lý, tương tác người, kết nối - Phương pháp tiếp cận chia thành nhóm chính: 15 + Phạm vi + Kênh + Chỉ mục + Hướng Bước 1: Thu thập liệu thụ động trạng thái hoạt động bình thường để hiểu mục tiêu Bước 2: Kiểm thử tích cực hoạt động cách kích động hoạt động vượt mức bình thường Bước 3: Phân tích liệu nhận trực tiếp từ hoạt động kiểm thử Bước 4: Phân tích liệu gián tiếp từ tài nguyên người vận hành 16 Bước 5: Xem xét tương quan hợp thông tin thu từ kết bước để xác định quy trình an ninh hoạt động Bước 6: Xác định hợp lỗi Bước 7: Thu thập số liệu từ hoạt động bình thường kích động Bước 8: Xem xét tương quan hợp thông tin bước để xác định mức bảo vệ kiểm soát tối ưu Bước 9: Ánh xạ trạng thái hoạt động tối ưu đến quy trình (bước 5) Bước 10: Tạo kẽ hở phân tích để xác định cần thiết nâng cao cho quy trình kiểm soát cần thiết cho bảo vệ kiểm soát (bước 5) để đạt trạng thái hoạt động tối ưu (bước 8) từ hành Có tất kênh, ứng với kênh thực 17 mô-đun, chia thành giai đoạn: giai đoạn bắt đầu gồm mô-đun đầu tiên, giai đoạn tương tác gồm mô-đun từ đến 7, giai đoạn điều tra gồm mô-đun từ đến 13 giai đoạn can thiệp gồm mơ-đun lại – từ 14 đến 17 Như vậy, người kiểm thử phải thực 17 * = 85 phân tích trước đưa báo cáo cuối 17 Câu 21: Phương pháp luận ISSAF - Là phương pháp luận KTAN tổ chức OISSG, đời năm 2003 - Là khung làm việc KTAN nguồn mở, tập trung vào KTXN - Phát triển tập trung vào hai lĩnh vực KTAN: quản lý kỹ thuật + Mặt quản lý thực quản lý nhóm cơng việc kinh nghiệm thực tế tốt phải tuân thủ suốt trình kiểm thử + Mặt kỹ thuật thực quy tắc cốt lõi, thủ tục cần tuân thủ tạo quy trình đánh giá an ninh đầy đủ 18 Câu 22: Phương pháp luận OWASP - Là dự án tổ chức OWASP, tổ chức phi lợi nhuận, cộng đồng mở, mục tiêu cải tiến an ninh phần mềm ứng dụng, đặc biệt ứng dụng web - Theo OWASP, ứng dụng web mạng hầu hết phải tiếp xúc với bên ngồi, nên đối tượng chịu công phá hoại sửa đổi trái phép Câu 23:So sánh khác Kiểm định hệ thống an toàn thơng tin Đánh giá an tồn hệ thống thơng tin? Đánh giá ATHTTT thước đo độ an toàn hệ thống, cách thức thực an toàn thơng tin Việc đánh giá an tồn đánh giá dựa việc xác định rủi ro, tập trung vào xác định điểm yếu tác động hệ thống Mục đích kiểm định ATHTTT kiểm tra, đánh giá mức đọ an ninh thông tin tổ chức nhằm xác định hệ thống công nghệ thơng tin tổ chức có đạt u cầu an tồn theo tiêu chí đề hay không Kiểm định ATTT phương pháp xác định, đạt trì mức độ thích hợp với yêu cầu bảo mật tổ chức 19 ... định an tồn thơng tin Các dạng kiểm định an tồn thơng tin Khái niệm kiểm định an tồn thơng tin o Kiểm định an tồn hệ thống thông tin thực kiểm tra, đánh giá vấn đề an tồn, an ninh thơng tin nhằm... giao quy trình đánh giá có thay đổi nhân đánh giá + Chỉ hạn chế tài nguyên kết hợp với đánh giá an toàn + Xây dựng phương pháp luận đánh giá an toàn thông tin theo giai đoạn mang lại nhiều ưu... thức, phương thức công cụ phục vụ cho việc đánh giá - Trách nhiệm đánh giá viên: o Thông báo cho bên liên quan hoạt động đánh giá an toàn an ninh o Phát triển xây dụng kế hoạch đánh giá o Thực thi