Để trở thành một chuyên gia bảo mật Comptia SECURITY+ thì điều trước tiên chúng ta cần nắm vững các thành phần nền tảng trong mô hình bảo mật thông tin, bao gồm các cơ chế xác thực người dùng, phương pháp kiềm sóat truy cập và mục tiêu của an tòan thông tin. Trong bài thi thực tế của mình, tôi gặp các câu hỏi thuộc chủ đề này trong câu 1 đến câu 10. Điều này chứng tỏ các khái niệm cơ bản của an tòan thông tin rất quan trọng trong ki thi chứng chỉ quốc tế Comptia SECURITY+ CÁC MỤC TIÊU CỦA AN TÕAN THÔNG TIN LÀ GÌ : ĐÓ CHÍNH LÀ C.I.A C.I.A là 3 mục tiêu cơ bản nhất của các tiến trình bảo mật, đây cũng là những đặc trưng thường được hỏi trong kỳ thi chứng chỉ quốc tế Comptia Security+ vì vậy các bạn cần nắm vững 3 khái niệm này và ý nghĩa của từng ký tự trong tam giác bảo mật trên. -C: là Confidentiality nghĩa là tính riêng tư. Một trong những mục tiêu quan trọng nhất của bảo mật thông tin là bảo đảm sự riêng tư của dữ liệu. Điều này có nghĩa là dữ liệu hay thông tin của người nào thì chỉ người đó được biết và những người khác không được quyền can thiệp vào. Trong thực tế, chúng ta thường thấy khi phát lương ngoài bì thư hay đề chữ Confidentiality nhằm không cho các nhân viên biết mức lương của nhau để tránh sự đố kỵ, so sánh giữa họ. Hoặc trong những khu vực riêng của một cơ quan hay tổ chức nhằm ngăn chặn người lạ xâm nhập với bảng cấm ―không phận sự miễn vào‖ cũng là một hình thức bảo vệ tính riêng tư. Đối với dữ liệu truyền để bảo vệ tính riêng tư (confidentiality) thì chúng thường được mã hóa hay sử dụng các giao thức truyền thông an tòan như SSH. -I: là Integrity nghĩa là tính tòan vẹn. Mục tiêu thứ 2 trong bảo mật thông tin là bảo vệ tính tòan vẹn cho dữ liệu. Nhằm bảo đảm khi dữ liệu truyền đi không bị thay đổi bởi một tác nhân khác, ví dụ khi một email quan trọng được gởi đi thì thường được áp dụng các thuật tóan bảo vệ tính tòan vẹn như message digest (sẽ tham khảo trong chương 6) ngăn ngừa bị một tác nhân thứ 3 thay đổi bằng cách chặn bắt thông điệp trên. -A: là Availability nghĩa là tính khả dụng, sẳn sàng đáp ứng nhu cầu người dùng. Cần đặc biệt lưu ý khi các câu hỏi của Security+ khi hỏi rằng chữ A có phải tượng trưng cho Accountant hay không. Vì nếu không nắm rõ ý nghĩa của 3 mục tiêu này các bạn sẽ dễ bị đánh lừa bởi yếu tố thứ 3 Availability, nghĩa là dữ liệu cần phải luôn luôn đáp ứng được nhu cầu của người dùng ví dụ như dịch vụ email của doanh nghiệp phải luôn luôn có khả năng phục vụ nhu cầu gởi và nhận email, nếu do sự cố nào đó mà quá trình trao đổi thông tin qua email không diễn ra được thì hệ thống bảo mật của chúng ta đã bị gãy đổ do mục tiêu A không đáp ứng được. Non-repudiation : đây là một trong những mục tiêu thứ cấp của 3 mục tiêu chính CIA trong quá trình bảo mật thông tin. Non-repudation là tính không thể chối bỏ, nhằm bảo đảm và xác nhận nguồn gốc của thông điệp. Nếu như các bạn hay download các chương trình trên mạng thì sẽ thấy nhà cung cấp hay kèm theo một chuỗi số hàm băm MD5 hay SHA dùng để xác nhận có phải bạn đã download đúng chương trình trên từ nhà cung câp này hay không. Vì nếu như một chương trình khác được các attacker/hacker đưa lên thì chắc chắn có sự thay đổi về nội dung và khi đó giá trị MD5/SHA đã bị thay đổi, khác với giá trị mà nhà cung cấp đưa ra. Còn ngược lại, nếu giá trị MD5/SHA giống như giá trị gốc thì chương trình trên đúng là của nhà cung cấp này và khi nó gây ra các tác hại nào đó thì họ không được quyền chối bỏ trách nhiệm bằng cách nói rằng chương trình đó không phải do họ viết. Trong khóa học SCNP (một hệ thống bảo mật cao cấp hơn so với Comptia Security+) có hướng dẫn phương pháp tạo giá trị hàm băm vơi thuật tóan MD5/SHA. CÁC NHÂN TỐ BẢO MẬT THÔNG TIN Vậy để đạt được 3 mục tiêu CIA chúng ta cần phải thực hiện những điều gì? Đó chính là 4 nhân tố bảo mật thông tin sau đây: - Authentication: (Xác thực) là một quá trình xác nhận đặc điểm nhận biết của người dùng qua đó quyết định quyền truy nhập cơ sở dữ liệu và khả năng thực hiện các giao dịch của người đó. Việc xác thực thường thông qua tên truy nhập và mật khẩu hay các phương pháp phức tạp hơn như chứng thực số. Ví dụ khi bạn đăng nhập một hệ thống máy tính thì tiến trình xác thực diễn ra khi bạn nhập vào tài khỏan bao gồm usernam và password trên màn hình logon. -Authorization : (Ủy quyền) là tiến trình kiểm tra quyền hạn của người dùng sau khi đăng nhập hệ thống. Ví dụ một người dùng sau khi đăng nhập hệ thống cần phải trải qua tiến trình Authorization, sau đó người dùng này được phép truy cập vào máy chủ hay dữ liệu nào thì tùy thuộc vào quyền hạn mà anh ta có được do tiến trình -Access control : là quá trình kiểm sóat truy cập có chức năng gán quyền cho người dùng hay xác nhận quyền hạn của người dùng. Khi các bạn tạo một tập tin thư mục và chia sẽ nó cho các nhân viên khác thì chúng ta thường gán các quyền như được phép đọc, ghi …Quá trình này được gọi là kiểm sóat truy cập (Access control) -Auditing hay Accounting: (kiểm tóan) đây là quá trình ghi nhật ký hệ thống để lưu giữ lại các hành động diễn ra đối với các đối tượng hay dữ liệu. Thông thường chúng ta thường hay ghi log file các lần user đăng nhập thành công hay thất bại hệ thống của mình, hoặc sau khi đăng nhập anh ta có những thao tác gì, quá trình này được gọi là Auditing hay Accounting. Security365 Tip : Đây là 4 yếu tố mà các bạn không được phép quên cùng với 3 mục tiêu C.I.A CÁC PHƢƠNG PHÁP KIỂM SÓAT TRUY CẬP: Theo nội dung do Comptia đề xuất thì phần này có tên là‖ Nhận Dạng Và Giải Thích Các Mô Hình Điều Khiển Truy Cập‖. Vậy mô hình điều khiển truy cập là gì? Đó chính là phương pháp hay các kỹ thuật dùng để cho phép hay không cho phép người dùng sử dụng một dịch vụ hay dữ liệu nào đó trên hệ thống. Ví dụ với mô hình điều khiển truy cập DAC, các bạn có thể gán quyền cho người dùng thuộc nhóm Sale được phép Read/Write đối với thư mục dữ liệu Sale Info, còn những người khác trong công ty thì chỉ có thể Read mà không được phép thay đổi. Điều khiển truy cập là bước tiếp theo sau khi tiến trình xác thực (authentication) hòan tất. Điều này cũng giống như trong một ngôi nhà có những tiện ích sử dụng như các phòng ngủ 1,2,3. Một người dùng muốn sử dụng phòng ngủ X của họ (access control) thì trước tiên họ phải được phép vào ngôi nhà đó ví dụ phải có thẻ ra vào, hay có các chìa khóa để vào nhà – quá trình này gọi là xác thực. Và mục tiêu chính của quá trình xác thực & điều khiển truy cập chính là ngăn ngừa những trường hợp truy cập, sử dụng trái phép tài nguyên hệ thống, đó chính là yếu tố cơ bản của bảo mật thông tin. Theo định nghĩa được đăng trên bộ bách khoa tòan thư http://vi.wikipedia.org thi nhiệm vụ điều khiển truy cập được mô tả như sau ―Nhiệm vụ điều khiển truy cập trong an ninh máy tính (computer security access control) bao gồm các nhiệm vụ xác thực (authentication), ủy quyền (authorization) và kiểm toán (audit). Nhiệm vụ này còn bao gổm cả việc sử dụng những phương pháp bổ xung như phương pháp sử dụng các thiết bị phần cứng - chẳng hạn như các máy quét lướt sinh trắc học (biometric scans) và bằng cách dùng các khóa bằng kim loại (metal locks) - hoặc các phương pháp xử lý phần mềm như việc sử dụng "đường dẫn ẩn" (hidden path), chữ ký điện tử (digital signatures), mã hóa (encryption), các rào cản (social barriers), và theo dõi hoạt động của hệ thống bằng sức người hoặc bằng các hệ thống tự động. Sự ủy quyền có thể được thực thi dùng phương pháp điều khiển truy cập trên cơ sở vai trò (role based access control), hay bằng cách dùng các danh sách điểu khiển truy cập (access control list). Điều khiển truy cập tạo nên khả năng cho chúng ta có thể ban phép hoặc từ chối một chủ thể - một thực thể chủ động, chẳng hạn như một người hay một quy trình nào đó - sử dụng một đối tượng - một thực thể thụ động, chẳng hạn như một hệ thống, một tập tin - nào đấy trong hệ thống. Các hệ thống điều khiển truy cập cung cấp những dịch vụ thiết yếu như dịch vụ nhận dạng và xác minh (identification and authentication - I&A), dịch vụ ủy quyền (authorization) và dịch vụ quy trách nhiệm (accountability) đối với người dùng hoặc đối với quy trình. Trong khi dịch vụ nhận dạng và xác minh nhằm xác định ai là người được đăng nhập vào một hệ thống, thì dịch vụ ủy quyền xác định những gì mà một người dùng đã được xác thực có thể thi hành, và dịch vụ quy trách nhiệm nhận dạng và chứng thực những hành vi hay hoạt động mà người dùng đã thi hành trong khi họ sử dụng hệ thống.‖ Đối với các thí sinh tham dự kỳ thi chứng chỉ Comptia Security + các bạn cần nằm vững các mô hình điều khiển truy cập sau 1. Mandatory Access Control (MAC) 2. Discretionary Access Control (DAC 3. Role Based Access Control (RBAC). Các mô hình này thường được phối hợp sử dụng trong một hệ thống để gia tăng mức độ an tòan. Mandatory Access Control (MAC) – Điều Khiển Truy Cập Bắt Buộc Điều khiển truy cập bắt buộc (mandatory access control - MAC) là một chính sách truy cập không do cá nhân sở hữu tài nguyên quyết định, mà do hệ thống quyết định. MAC được dùng trong các hệ thống đa tầng cấp, là những hệ thống xử lý các loại dữ liệu nhạy cảm, như các thông tin được phân hạng về mức độ bảo mật trong chính phủ và trong quân đội. Một hệ thống đa tầng cấp là một hệ thống máy tính duy nhất chịu trách nhiệm xử lý bội số các phân loại dưới nhiều tầng cấp giữa các chủ thể và các đối tượng. Nhãn hiệu nhạy cảm (sensitivity label): Trong hệ thống dùng điểu khiển truy cập bắt buộc, hệ thống chỉ định một nhãn hiệu cho mỗi chủ thể và mỗi đối tượng trong hệ thống. Nhãn hiệu nhạy cảm của một chủ thể xác định mức tin cẩn cần thiết để truy cập. Để truy cập một đối tượng nào đấy, chủ thể phải có một mức độ nhạy cảm (tin cẩn) tương đồng hoặc cao hơn mức độ của đối tượng yêu cầu. Xuất và nhập dữ liệu (Data import and export): Điều khiển việc nhập nội thông tin từ một hệ thống khác và xuất ngoại thông tin sang các hệ thống khác (bao gồm cả các máy in) là một chức năng trọng yếu trong các hệ thống sử dụng điều khiển truy cập bắt buộc. Nhiệm vụ của việc xuất nhập thông tin là phải đảm bảo các nhãn hiệu nhạy cảm được giữ gìn một cách đúng đắn và nhiệm vụ này phải được thực hiện sao cho các thông tin nhạy cảm phải được bảo vệ trong bất kỳ tình huống nào. Có hai phương pháp được dùng phổ biến để áp dụng nguyên tắc điều khiển truy cập bắt buộc: Điều khiển truy cập dùng chính sách (rule-based access control): Việc điều khiển thuộc loại này định nghĩa thêm những điều kiện cụ thể đối với việc truy cập một đối tượng mà chúng ta yêu cầu. Tất cả các hệ thống dùng điều khiển truy cập bắt buộc đều thực hiện một hình thức đã được đơn giản hóa của thể loại điều khiển truy cập dùng chính sách, nhằm quyết định cho phép hay từ chối yêu cầu truy cập, bằng cách đối chiếu: o Nhãn hiệu nhạy cảm của đối tượng o Nhãn hiệu nhạy cảm của chủ thể Điều khiển truy cập dùng bố trí mắt lưới (lattice-based access control): Đây là phương pháp người ta sử dụng đối với những quyết định phức tạp trong điều khiển truy cập với sự liên quan bội số các đối tượng và/hay các chủ thể. Mô hình mắt lưới là một cấu trúc toán học, nó định nghĩa các giá trị cận dưới lớn nhất (greatest lower-bound) và cận trên nhỏ nhất (least upper-bound) cho những cặp nguyên tố, chẳng hạn như cặp nguyên tố bao gồm một chủ thể và một đối tượng. Security365 Tip: Đối với Comptia Security+ thì các bạn cần nhớ kỹ các thuật ngữ rule- base access control và lattice-based acecess control thuộc dạng điều khiển truy cập bắt buộc (MAC) Lưu ý: các bạn cần phân biệt thuật ngữ MAC (Mandatory Access Control ) và thuật ngữ MAC (địa chỉ vật lý card mạng). Các bạn có thể tham khảo một số hệ thống thực thi cơ chế điều khiển truy cập bắt buộc trên các hệ điều hành như: Một đề án nghiên cứu của NSA gọi là SELinux (Linux với nâng cấp về an ninh (Security-Enhanced Linux)) xây dựng thêm kiến trúc điều khiển truy cập bắt buộc vào trong bộ điều hành trung tâm của hệ thống điều hành Linux. Trong phiên bản 4 của Linux cấp kinh doanh của Red Hat (Red Hat Enterprise Linux - viết tắt là RHEL) và cả trong những phiên bản sau này, các nhân viên sản xuất phần mềm đã cho biên dịch SELinux vào trong bộ điều hành trung tâm của nó. Bộ mã nguồn tiêu chuẩn của bộ điều hành trung tâm tại kernel.org đều có chứa mã nguồn của SE Linux trong nội dung của nó. SE Linux có khả năng hạn chế tất cả các quy trình trong hệ thống, song do muốn đảm bảo tính sử dụng dễ dàng của hệ điều hành, RHEL chỉ hạn chế những chương trình ứng dụng dễ bị tấn công nhất mà thôi. Hệ điều hành Trusted Solaris (Solaris Tin cẩn) của công ty Sun sử dụng một cơ chế điều khiển truy cập bắt buộc và được thi hành ở cơ sở hạ tầng của hệ thống (mandatory and system-enforced access control mechanism - MAC), trong đó sự cho phép sử dụng thông tin bí mật (clearance) và các nhãn hiệu được dùng để đảm bảo hiệu lực của chính sách an ninh. Những chương trình ứng dụng mà người dùng vận hành được phối hợp với mức độ an ninh của phiên giao dịch mà người dùng đang làm việc. Truy cập vào thông tin, vào chương trình ứng dụng, và vào các thiết bị đều được quản lý và chỉ có thể được ban phép cho tầng cấp an ninh tương đồng hoặc thấp hơn mà thôi. MAC ngăn chặn người dùng quyền viết vào các tập tin ở các tầng thấp hơn (writing to files at lower levels) và đảm bảo hiệu lực của việc này bằng các chính sách an ninh tại cơ sở, địa điểm. Không ai có quyền vượt qua trừ khi họ được ủy quyền đặc biệt hoặc có những đặc quyền.‖ Discretionary Access Control (DAC) - Điều Khiển Truy Cập Tùy Quyền Định nghĩa những chính sách điều khiển truy cập cơ bản đối với các đối tượng trong một hệ thống tập tin (filesystem). Một ví dụ thực tế của DAC là việc phân quyền cho người dùng trên hệ thống tập tin của hệ điều hành Windows dựa trên danh sách đều khiển truy cập (Access Control List – ACL) , với mục đích hạn chế truy cập các đối tượng trên cơ sở nhận dạng (identity) và nhu cầu cần biết (need-to-know) của nhiều người dùng hay của các nhóm mà đối tượng trực thuộc. Phương pháp điều khiển được coi là 'tuỳ quyền' vì lý do một chủ thể với một phép truy cập nào đấy có thể chuyển nhượng phép truy cập (trực tiếp hay gián tiếp) sang bất cứ một chủ thể nào khác trong hệ thống." Role-Based Access Control (RBAC) - Điều Khiển Truy Cập Trên Cơ Sở Vai Trò Trong an ninh đối với các hệ thống máy tính, điều khiển truy cập trên cơ sở vai trò là một trong số các phương pháp điều khiển và đảm bảo quyền sử dụng cho người dùng. Đây là một phương pháp có thể thay thế Điề u khiển truy cập tùy quyền (discretionary access control - DAC) và Điều khiển truy cập bắt buộc (mandatory access control - MAC). Điều khiển truy cập trên cơ sở vai trò (RBAC) khác với hình thức MAC và DAC truyền thống. MAC và DAC trước đây là hai mô hình duy nhất được phổ biến trong điều khiển truy cập. Nếu một hệ thống không dùng MAC thì người ta chỉ có thể cho rằng hệ thống đó dùng DAC, hoặc ngược lại. Song cuộc nghiên cứu trong những năm 1990 đã chứng minh rằng RBAC không phải là MAC hoặc DAC. Trong nội bộ một tổ chức, các vai trò (roles) được kiến tạo để đảm nhận các chức năng công việc khác nhau. Mỗi vai trò được gắn liền với một số quyền hạn cho phép nó thao tác một số hoạt động cụ thể ('permissions'). Các thành viên trong lực lượng cán bộ công nhân viên (hoặc những người dùng trong hệ thống) được phân phối một vai trò riêng, và thông qua việc phân phối vai trò này mà họ tiếp thu được một số những quyền hạn cho phép họ thi hành những chức năng cụ thể trong hệ thống. Vì người dùng không được cấp phép một cách trực tiếp, song chỉ tiếp thu được những quyền hạn thông qua vai trò của họ (hoặc các vai trò), việc quản lý quyền hạn của người dùng trở thành một việc đơn giản, và người ta chỉ cần chỉ định những vai trò thích hợp cho người dùng mà thôi. Việc chỉ định vai trò này đơn giản hóa những công việc thông thường như việc cho thêm một người dùng vào trong hệ thống, hay đổi ban công tác (department) của người dùng. RBAC khác với các danh sách điểu khiển truy cập (access control list - ACL) được dùng trong hệ thống điều khiển truy cập tùy quyền (DAC), ở chỗ, nó chỉ định các quyền hạn tới từng hoạt động cụ thể với ý nghĩa trong cơ quan tổ chức, thay vì tới các đối tượng dữ liệu hạ tầng. Lấy ví dụ, một danh sách điều khiển truy cập có thể được dùng để cho phép hoặc từ chối quyền truy cập viết một tập tin hệ thống (system file), song nó không nói cho ta biết phương cách cụ thể để thay đổi tập tin đó. Trong một hệ thống dùng RBAC, một thao tác có thể là việc một chương trình ứng dụng tài chính kiến tạo một giao dịch trong 'tài khoản tín dụng' (credit account transaction), hay là việc một chương trình ứng dụng y học khởi thủy một bản ghi 'thử nghiệm nồng độ đường trong máu' (blood sugar level test). Việc chỉ định quyền hạn cho phép thi hành một thao tác nhất định là một việc làm đầy ý nghĩa, vì các thao tác đã được phân định tinh tế và mỗi cá nhân thao tác có một ý nghĩa riêng trong chương trình ứng dụng. Security365 Tip: - Mandatory Access Control (MAC) họat động dựa trên các sự phân lọai các quy tắc (classification rule). Những object (đối tượng) được gán các nhãn nhạy cảm (sensitivity label) còn các subject (chủ thể) được gán các clearance label, và người dùng truy cập dựa trên các quyền mà học được gán cho một tài nguyên cụ thể và quá trình phân lọai này họat động theo cơ chế phân cấp. Một số hệ thống MAC thông dụng như các bộ máy hành chính hay quân sự MAC sử dụng các mức phân lọai: unclassified, sensitive but unclassified, confidential, secret, và top secret. Hay mô hình MAC trong các tổ chức kinh tế sử áp dụng cơ chế phân lọai dựa trên: public, sensitive, private, và confidential. - Discretionary Access Control (DAC) họat động trên định danh của người dùng (user identity), trong mô hình này người dùng được gán quyền truy cập đối tượng (object) như file, folder thông qua danh sách truy cập (ACL) , dựa trên sự phân quyền của chủ thể (owner) hay người tạo ra đối tượng (creator). - Role-Based Access Control (RBAC) : RBAC họat động dựa trên công việc của người dùng. Người dùng được cấp quyền tùy theo vai trò và công việc. đây là mô hình rất thích hợp cho các môi trường làm việc mà nhân sự có nhiều thay đổi. Privilege Management : Quản trị phân quyền là tiến trình sử dụng các kỹ thuật authentication and authorization để tạo nên các mô hình quả lý phân tán hay tập trung đối với người dùng hay một nhóm người dùng. Quá trình này cũng có thể bao gồm cả việc ghi nhật ký hệ thống (Audit.Accounting) hoặc cung cấp những cơ chế xác thực SSO (Single Sign On). Quá trình quản lý phân quyền -SSO là một thuật ngữ và đặc điểm mà bất kỳ thí sinh chuẩn bị thi Security+ nào cũng không được quyền quên. SSO là gì? Là Single Sign On : nghĩa là người dùng chỉ cần xác nhận một lần nhưng vẫn có thể sử dụng được nhiều dịch vụ khác nhau. Giống như khi các bạn đăng nhập hệ thống ứng dụng Google với 1 tài khỏan duy nhất nhưng vẫn có thể sử dụng được mail, docs hay calendar, webmaster tool…Trên hệ thống Windows chúng ta triển khai SSO bằng cách xây dựng các hệ thống Domain Controller. Lệnh nào dùng để nâng cấp một máy tính bình thường (standalone server thành domain controller trên Windows 2000/2003? Đó chính là lệnh dcpromo! Các câu hỏi của Topic 1A: - Lưu ý là chúng tôi sẽ không dịch các câu hỏi sang tiếng Việt, vì điều này sẽ không có lợi cho các bạn do trong các kỳ thi các câu hỏi hoàn toàn bằng tiếng Anh. Cho nên việc hiểu các câu hỏi và trang bị cho mình một vốn từ cần và đủ là yêu cầu bắt buộc đối với tất cả các bạn. 1. The three common goals of computer security are: a) Confidentiality b) Auditing c) Integrity d) Independence e) Availability 2. Katie works in a high-security government facility. When she comes to work in the morning, she places her hand on a scanning device in her building’s lobby, which reads her handprint and compares it to a master record of her handprint in a database to verify her identity. This is an example of: a) Authentication b) Authorization c) Access control d) Auditing 3. Once Katie’s identity is verified, the system checks and confirms that she is allowed to leave the lobby and enter the secure areas of the facility. The electronic door lock is released. This is an example of: a) Authentication b) Authorization c) Access Control d) Auditing 4. Katie’s handprint is matched against a record in the system that indicates that she has been assigned clearance to view the contents of Secret documents. Later, at her desk, she tries to connect to a folder that is marked Top Secret, and her access is denied. This is an example of: a) Mandatory access control. b) Discretionary access control. c) Role-based access control. d) Rule-based access control. 5. At the end of the day, security personnel can view electronic log files that record the identities of everyone who entered and exited the building along with the time of day. This is an example of: a) Authentication b) Authorization c) Access control d) Auditing 6. An administrator of a large multinational company has the ability to assign object access rights and track users’ resource access from a central administrative console. Users throughout the organization can gain access to any system after providing a single user name and password. This is an example of: [...]... dùng, và đây chính là mối nguy hểm lớn nhất trong vấn đề mất an t an thông tin Mặc dù hai lĩnh vực này h an t an khác nhau nhưng giữa chúng có một sự tác động qua lại rất chặt chẽ, vì lý do đó các câu hỏi của kỳ thi Security + luôn đề cập đến thao tác quan trọng nhất trong vấn đề bảo mật thông tin chính là huấn luyện cho người dùng An toàn thông tin được chia làm 3 lĩnh vực chính, là An T an Vật Lý (Physical... những chuyên gia an ninh mạng đó là các mô hình điều khiển truy cập, các phương pháp chứng thực, lọai bỏ những dịch vụ không cần thiết, nhận dạng các kiểu tấn công thông dụng của hacker, những mối nguy hiểm mà hệ thống của bạn có thể gặp như social engineering, malicious code và các biện pháp để giảm thiểu rũi ro do sự mất an t an gây ra THẾ NÀO LÀ AN T AN THÔNG TIN Thuật ngữ an t an thông tin bao hàm một... hay tài nguyên sẽ xác nhận các thông tin của client hay người dùng, máy trạm sau đó client sẽ xác nhận các đặc tính của máy chủ hay nơi cung cấp dịch vụ Mục đích của việc làm này là ngăn ngừa các client cung cấp thông tin nhạy cảm của mình cho các dịch vụ thiếu tin cậy Như vậy, trong phần này các bạn cần nắm rõ các phương pháp xác thực như CHAP, Kerberos hay Biometric, Token,…Đây là những chủ để mà các. .. cứng chứa dữ liệu quan trọng liên quan đến việc điều hành chuyến bay Điều này cho thấy việc bảo đảm an t an cho các thiết bị thông tin vật lý là một điều rất quan trọng, không lọai trừ việc bảo vệ chiếc máy tính xách tay chứa những thông tin khách hàng của bạn có thể bị kẻ gian lấy cắp bất cứ lúc nào An t an cho môi trường vật lý (hay thường được gọi là physical security trong các câu hỏi của kỳ thi... càng tinh vi, phức tạp Điều này làm cho hiệu quả công việc tăng cao nhưng cũng để lại những lổ hổng khá lớn về an t an thông tin do sự phát triển nhanh chóng thường thiếu sự ổn định, ngòai ra trình độ của ngừơi dùng không kịp cập nhật để nắm bắt những công nghệ mới càng làm cho nguy cơ mất an t an thông tin ngày càng tăng cao Vì vậy, mục tiêu của hệ thống chứng chỉ Comptia SECURITY + là kiểm tra các. .. Security - An T an Cho Quá Trình Vận Hành Operation Security là một tập hợp các họat động mang lại tính an t an cho hệ thống, bao gồm các máy tính, hệ thống mạng và các cơ chế truyền thông cùng với các phương pháp quản lý thông tin Một chuyên gia bảo mật hệ thống sẽ là người chịu trách nhiệm chính trong quá trình thiết lập một vận hành an ninh cho tổ chức của mình Operation security còn bao gồm các cơ... Cesar Shilf thì thuật t an của nó là dịch chuyển) và thành phần quan trọng còn lại là khóa (Key) ví dụ khóa của quá trình mã hóa ABC thành BDE là 1 (dịch chuyển sang phải 1 ký tự) Kết hợp giữa thuật t an và khóa để thực hiện quá trình mã hóa Thuật t an Hash Thuật t an Hash hay còn gọi là phương pháp hàm băm là phương pháp mã hóa một chiều : one-way encryption nghĩa là các dữ liệu được mã hóa và không... lớn các họat động của một tổ chức nhằm chống lại các họat động truy cập trái phép, sự thay đổi hay xóa dữ liệu An t an thông tin còn là các thao tác ngăn ngừa sự hư hại và mất mát dữ liệu do bị hacker/attacker tấn công hay do các sự cố về máy móc, nguồn điện hoặc do thiên tai, do sự bất cẩn của người dùng Trong vai trò một chuyên gia, các bạn cần phải tiến hành nhiều công việc để đảm bảo an t an thông. .. nhận), điều này làm cho nguy cơ bị hacker nghe lén (sniffer) khóa giải mã và dữ liệu sau đó giải mã các thông tin đã mã hóa Các thuật t an thông dụng thuộc lọai này là DES, AES… Mã hóa đối xứng 1 Asymetric Encryption: phương pháp mã hóa bất đối xứng còn gọi là phương pháp mã hóa public key Các thuật t an mã hóa bất đối xứng sử dụng 1 cặp khóa và tiến hành mã hóa thông tin bằng một khóa sau đó giải mã bằng... lổ khóa, một dùng để mở hộp ra và bỏ tài liệu vào còn một dùng để mở hộp lấy tài liệu ra Và khi Sender gởi dữ liệu học chỉ cần một khóa dùng để mở hộp và bỏ tài liệu vào, và khóa này là của Receiver (public key) Sau đó, Receiver nhận tài liệu và mở hộp ra bằng chìa khóa riêng của họ mà ngay cả Sender cũng không có, vì vậy quá trình truyền thông sẽ an t an hơn do các Private Key (khóa dùng để giải mã . Authorization c) Access control d) Auditing 6. An administrator of a large multinational company has the ability to assign object access rights and track. SECURITY+ C C M C TIÊU C A AN T AN THÔNG TIN LÀ GÌ : ĐÓ CHÍNH LÀ C. I. A C. I. A là 3 m c tiêu c bản nhất c a c c tiến trình bảo mật, đây c ng là những đ c trưng thường