BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT MÃ TS NGUYỄN ĐÌNH VINH, TS TRẦN ĐỨC SỰ, KS VŨ THỊ VÂN GIÁO TRÌNH CƠ SỞ AN TỒN THƠNG TIN HÀ NỘI, 2013 BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT MÃ TS NGUYỄN ĐÌNH VINH, TS TRẦN ĐỨC SỰ, KS VŨ THỊ VÂN GIÁO TRÌNH CƠ SỞ AN TỒN THƠNG TIN HÀ NỘI, 2013 MỤC LỤC MỤC LỤC .ii DANH MỤC TỪ VIẾT TẮT iv DANH MỤC BẢNG vii DANH MỤC HÌNH VẼ viii LỜI NÓI ĐẦU x Chương TỔNG QUAN VỀ AN TỒN THƠNG TIN 1.1 THÔNG TIN .1 1.2 KHÁI NIỆM AN TỒN THƠNG TIN 1.3 TAM GIÁC AN TỒN THƠNG TIN 11 1.4 MÔ HÌNH TỔNG QT CỦA Q TRÌNH BẢO VỆ THƠNG TIN .14 1.5 NGHỀ AN TỒN THƠNG TIN 17 1.6 CÂU HỎI .18 Chương CÁC HIỂM HỌA GÂY MẤT AN TỒN THƠNG TIN .20 2.1 CÁC KHÁI NIỆM CƠ BẢN 20 2.2 PHÂN LOẠI CÁC HIỂM HỌA GÂY MẤT AN TỒN THƠnG TIN 21 2.3 MỘT SỐ HIỂM HỌA GÂY MẤT AN TỒN THƠNG TIN PHỔ BIẾN 24 2.4 CÁC KIỂU TẤN CÔNG PHỔ BIẾN 56 2.5 CÂU HỎI .59 Chương ĐẢM BẢO AN TỒN THƠNG TIN TỔNG THỂ 61 3.1 CÁC NGUYÊN LÝ ĐẢM BẢO AN TỒN THƠNG TIN 61 3.2 QUY TRÌNH AN TỒN HOẠT ĐỘNG .64 3.3 MƠ HÌNH BẢO VỆ THƠNG TIN THEO CHIỀU SÂU .70 3.4 CÁC PHƯƠNG PHÁP BẢO ĐẢM AN TỒN THƠNG TIN 74 3.5 CÂU HỎI .133 Chương CHÍNH SÁCH VÀ MƠ HÌNH AN TỒN THƠNG TIN 135 4.1 CHÍNH SÁCH AN TỒN THƠNG TIN .135 4.2 CÁC MÔ HÌNH AN TỒN THƠNG TIN 150 4.3 CÂU HỎI .173 Chương CÁC TIÊU CHÍ ĐÁNH GIÁ VÀ CHUẨN AN TỒN THƠNG TIN 174 5.1 GIỚI THIỆU BỘ TIÊU CHUẨN ISO/IEC 27000 .175 ii 5.2 Các tiêu chí đánh giá an tồn thơng tin 182 5.3 CÂU HỎI .240 TÀI LIỆU THAM KHẢO 242 iii DANH MỤC TỪ VIẾT TẮT AC Hệ thống tự động hoá AES Advanced Encryption Standard – Chuẩn mã hóa tiên tiến ATTT An tồn thơng tin BLP Bell – Lapadula BVTT Bảo vệ thông tin CA Certification Authority – Cơ quan cấp chứng CBT Các thiết bị tính tốn CC Common Criteria – Tiêu chí chung CNTT Công nghệ thông tin CRL Certificate revocation list – Danh sách thu hồi chứng CSAT Chính sách an tồn CSAT – D Chính sách an tồn lựa chọn CSAT – M Chính sách an tồn bắt buộc CSDL Cơ sở liệu DAC Discretionary Access Control – Điều khiển truy cập tùy chọn DDoS Distributed Denial of Service – Từ chối dịch vụ phân tán DES Data Encryption Standard – Chuẩn mã hóa liệu DMZ Demilitarized Zone – Khu vực phi quân DNS Domain Name System – Hệ thống phân giải tên miền DoS Denial of Service – Từ chối dịch vụ DRDoS Distributed Reflection DoS – Từ chối dịch vụ theo phương pháp phản xạ ĐTAT Đối tượng an toàn HAT Hệ an toàn HRU Harison – Ruzzo - Ullman HSBV Hồ sơ bảo vệ HT Hệ thống HTTT – VT Hệ thống Thông tin – Viễn thông IDPS Intrusion detection and prevention system – Hệ thống ngăn chặn phát xâm nhập IDS Intrusion detection system – Hệ thống phát xâm nhập iv IPS Intrusion prevention system – Hệ thống ngăn chặn xâm nhập ISMS Information Security Management System – Hệ thống quản lý an tồn thơng tin ISO/IEC The International Organization for Standardization and the International Electrotechnical Commission – Tổ chức tiêu chuẩn hóa quốc tế Ủy ban kỹ thuật điện quốc tế ISP Internet Service Provider – Nhà cung cấp dịch vụ Internet KCZ Tổ hợp thiết bị bảo vệ MAC Mandatory Access Control – Điều khiển truy cập bắt buộc MD5 Message-Digest algorithm MHAT Mơ hình an tồn MHAT – D Mơ hình an tồn lựa chọn MHAT – M Mơ hình an tồn bắt buộc MK Mật MT Máy tính MTĐT Máy tính điện tử NAT Network Address Translation – Chuyển đổi địa mạng ND Nhận dạng NIST National Institute of Standart and Technology – Viện Tiêu chuẩn Kỹ thuật Quốc gia NRU No Read Up – Không đọc lên NWD No Write Down – Không ghi xuống OSI Open Systems Interconnection – Kết nối hệ thống mở PGP Pretty Good Privacy PIN Personal Identification Number – Số định danh cá nhân PKI Public Key Infastructure – Cơ sở hạ tầng khóa cơng khai RAT Remote Administration Tool – Cơng cụ quản trị từ xa SSL Secure Sockets Layer SSO Single Sign On – Đăng nhập lần TBBV Thiết bị bảo vệ TCTP Tiếp cận trái phép TLS Transport Layer Security v TT Thông tin TT – VT Thông tin – Viễn thông VPN Virtual private network – Mạng riêng ảo XT Xác thực YCCN Yêu cầu chức YCĐB Yêu cầu đảm bảo vi DANH MỤC BẢNG Bảng 3.1 Các loại tường lửa mức mạng tương ứng 115 Bảng 3.2 So sánh HIDS NIDS .124 Bảng 4.3 Chính sách an tồn thơng tin doanh nghiệp mẫu 142 Bảng 4.4 Ví dụ tiêu chuẩn 143 Bảng 4.5 Ví dụ phát biểu sách 146 Bảng 4.6 Các luật mơ hình take - grant .156 Bảng 5.7 Sự phân bố yêu cầu an toàn Sách Da cam theo lớp .199 Bảng 5.8 Các số bảo vệ yêu cầu tới lớp 210 Bảng 5.9 Phân bố yêu cầu đảm bảo theo mức an toàn CC 237 vii DANH MỤC HÌNH VẼ Hình 1.1 Bộ ba CIA .12 Hình 1.2 Mơ hình tổng qt BVTT 14 Hình 2.3 Phân loại mã độc hại 31 Hình 2.4 Mơ hình hoạt động Logic bomb 33 Hình 2.5 Phân loại virus 35 Hình 2.6 Mô tả Phishing 43 Hình 2.7 Tấn cơng kiểu DOS 44 Hình 2.8 Tấn cơng kiểu DDoS 46 Hình 2.9 Tấn cơng kiểu DRDoS 47 Hình 2.10 Các loại cơng phổ biến 56 Hình 2.11 Tấn cơng chặn bắt thông tin 57 Hình 2.12 Tấn cơng ngăn chặn thơng tin 58 Hình 2.13 Tấn cơng sửa đổi 58 Hình 2.14 Tấn cơng giả mạo .59 Hình 3.15 Quy trình an tồn hoạt động .66 Hình 3.16 Phịng thủ chiều sâu 72 Hình 3.17 Các phương pháp phòng ngự lớp 74 Hình 3.18 Mật mã Caesar 79 Hình 3.19 Jefferson Disk .80 Hình 3.20 Hiển thị Jefferson Disk 81 Hình 3.21 Máy mã Enigma Đức 82 Hình 3.22 Sơ đồ nhận dạng xác thực người dùng .96 Hình 3.23 Thẻ an tồn dựa phần mềm 97 Hình 3.24 Tấn công kẻ đứng 99 Hình 3.25 Nhận dạng, xác thực ủy quyền 104 Hình 3.26 Trách nhiệm giải trình .108 Hình 3.27 Sơ đồ chức tiểu hệ đăng ký .110 Hình 3.28 Tường lửa 113 Hình 3.29 DMZ 118 Hình 3.30 NIDS (Network Intrusion Detection System) 122 Hình 3.31 HIDS (Host Intrusion Detection System) 123 Hình 3.32 Trang web với giá trị MD5 130 viii Hình 4.33 Sơ đồ thiết bị kiểm soát (Reference Monitor) .137 Hình 4.34 Các mức an tồn qn thương mại 161 Hình 4.35 Hạng mục AT quân điển hình 162 Hình 4.36 Hạng mục AT thương mại điển hình 162 Hình 4.37 Mơ tả quan hệ trội giản đồ 166 Hình 4.38 Đồ hình mức .168 Hình 4.39 Mơ tả thao tác read write 168 Hình 4.40 Các thao tác đọc ghi khơng phép 169 Hình 4.41 Các đường dịng thơng tin 169 Hình 4.42 Thuộc tính an tồn đơn giản (NRU) .170 Hình 4.43 Quy tắc khơng ghi xuống (NWD) 171 Hình 5.44 Các tiêu chí an tồn Sách Da cam 194 Hình 5.45 Các tiêu chí đảm bảo .206 Hình 5.46 Các yêu cầu TBBV AC 211 Hình 5.47 Các mối liên hệ nhân-quả khái niệm CC .214 Hình 5.48 Cấu trúc Hồ sơ bảo vệ 218 Hình 5.49 Cấu trúc Đối tượng an tồn .222 Hình 5.50 Cấu trúc chung yêu cầu chức 227 Hình 5.51 Các yêu cầu chức CC 229 Hình 5.52 Phân loại lớp bảo vệ TT 230 Hình 5.53 Phân loại lớp xác TBBV 231 Hình 5.54 Phân loại lớp đặc thù .232 Hình 5.55 Phân loại lớp cuối 233 Hình 5.56 Phân loại yêu cầu đảm bảo .235 ix hướng độc lập tăng cường yêu cầu - Đưa chế cho phép cần xác định khách hàng theo giả danh họ; đưa điều luật (khi lập giả danh) cho phép xác lập cá nhân khách hàng Hai yêu cầu nằm nhánh khác không so sánh với (và tăng cường nhau)  Các tham số điều khiển Trong tiểu mục tham số liệt kê, vào tham số cần thực quản lý TBBV, thực hoá yêu cầu mục nêu  Các đối tượng đăng ký kiểm toán Trong tiểu mục yêu cầu phải liệt kê thao tác kiện cần phải qua đăng ký kiểm toán Sự phân loại lớp yêu cầu chức CC thể sơ đồ đây: Các yêu cầu chức Kiểm tốn Khẳng định nhận, truyền thơng tin Mã hố Bảo vệ TT Nhận dạng xác thực Quản lý an tồn Tính bí mật cơng việc HT Chính xác TBBV Kiểm soát việc dùng tài nguyên Kiểm soát tiếp cận HT Đường dẫn tin cậy Hình 5.51 Các yêu cầu chức CC 229 Sự phân loại yêu cầu chức tất lớp “Các tiêu chí chung” loạt hình sau Trước tiên phép phân loại lớp: lớp bảo vệ TT lớp xác TBBV Đây lớp có tính đặc thù riêng CC Bảo vệ TT Chính sách điều khiển tiếp cận Thiết bị điều khiển tiếp cận Xác thực TT Chính sách quản lý luồng tin Thiết bị quản lý luồng tin Nhập TT Bảo vệ TT truyền theo kênh nội Huỷ TT lại Từ chối Kiểm sốt tồn vẹn tin lưu trữ Bảo vệ việc truyền tin bên HT dùng kênh Toàn vẹn tin truyền bên HT dùng kênh ngồi Hình 5.52 Phân loại lớp bảo vệ TT 230 Chính xác TBBV Kiểm thử phần mềm phần cứng Bảo vệ chống treo dừng Bảo vệ chống treo dừng Sẵn sàng TBBV phục vụ Clients từ xa Bí mật TT truyền làm việc với Clients xa Toàn vẹn TT truyền làm việc với Clients xa Bảo vệ kênh nội trao đổi TT TBBV Bảo vệ vật lý An tồn khơi phục sau dừng treo Nhận biết việc truyền lại TT giả mạo kiện Ghi nhận tương tác Phân tách miền Đồng Thời gian Trao đổi đồng TT TBBV Sao lưu TT dùng cho TBBV Tự kiểm thử TBBV Hình 5.53 Phân loại lớp xác TBBV Sau phân loại lớp khác là: Lớp nhận dạng xác thực; lớp kiểm toán; lớp quản lý an tồn lớp mã hố 231 Nhận dạng xác thực Kiểm toán Phản xạ với ý đồ xác thực không thành công Các dấu hiệu an toàn khách hàng Các tham số xác thực Tự động phản ứng với ý đồ phá vỡ an toàn Xác thực khách hàng Truy nhập tới ghi kiểm toán Nhận dạng khách hàng Lựa chọn kiện cho đăng ký kiểm toán Sự tương ứng khách hàng chủ thể Đăng ký kiểm tốn kiện Phân tích ghi kiểm toán Thủ tục kiểm toán Xử lý thường xuyên ghi KT Quản lý an tồn Mã hố Quản lý TBBV Quản lý khoá mã Quản lý dấu hiệu an toàn Các thiết bị mật mã Quản lý tham số cấu hình TBBV Phản biện dấu hiệu an toàn Giới hạn thời gian tác động dấu hiệu an toàn Vai trị nhà quản trị Hình 5.54 Phân loại lớp đặc thù 232 Tiếp theo sau phân loại lớp cuối cùng: Kiểm soát việc dùng tài nguyên Đường dẫn tin cậy Sự bền vững Đường dẫn tin cậy TBBV Phân phối tài nguyên ưu tiên Phân tách tài nguyên Đường dẫn tin cậy với khách hàng Kiểm soát tiếp cận tới HT Khẳng định việc truyền/nhận TT Hạn chế việc sử dụng dấu hiệu an toàn Hạn chế số phiên đồng thời Chống chối bỏ việc truyền TT Chống chối bỏ việc nhận TT Cách ly phiên làm việc với HT Giải thích, cảnh báo, mời gọi mách báo Ghi phiên làm việc với HT Kiểm sốt phiên làm việc với HT Bí mật công việc HT Mật danh khách hàng Sử dụng giả danh Mật danh phiên làm việc với HT Bảo vệ chống nghe trộm phiên làm việc với HT Hình 5.55 Phân loại lớp cuối Cần lưu ý rằng, yêu cầu bí mật, tồn vẹn kiểm sốt truy nhập gộp vào lớp “Bảo vệ TT” hợp lý tương ứng với nhiệm vụ chúng Ở có phân tách đánh giá yêu cầu sách kiểm sốt truy nhập (Các mơ hình tuỳ chọn – DAC) khỏi yêu cầu kiểm soát 233 luồng TT (Các mơ hình chuẩn bắt buộc – MAC) Và có phân tách yêu cầu CSAT khỏi yêu cầu thực CSAT Lớp yêu cầu tính xác làm việc TBBV có khối lượng lớn Điều nói lên mức độ chi tiết hoá cao yêu cầu lớp phương pháp thiết bị bảo đảm cho hoạt động bình thường TBBV ii) Các yêu cầu đảm bảo (assurance) Các yêu cầu đảm bảo (YCĐB) CC cấu trúc chặt chẽ chúng quy chế hoá tất công đoạn thiết kế, sản xuất khai thác sản phẩm CNTT từ góc độ trì tính xác làm việc TBBV phù hợp chúng với yêu cầu chức năng, nhiệm vụ bảo vệ hiểm họa, tác động môi trường khai thác sản phẩm.Sự phân loại YCĐB “Các tiêu chí chung” thể hình sau: 234 Các yêu cầu đảm bảo Quản lý cấu hình Phân phối Cung cấp Thiết bị kiểm soát ĐA Kiểm soát phiên Cấu hình ĐA Lắp đặt, hiệu chỉnh, cho chạy Thiết kế Tài liệu Đặc tả chức Chỉ dẫn nhà chung quản trị -Chỉ dẫn khách hàng Cấu trúc BV Quá trình sản xuất Kiểm thử Sự đầy đủ kiểm thử An tồn mơi Độ sâu kiểm trường sản xuất thử Phân tích bảo vệ Phân tích kênh ngầm Sửa lỗi khắc Phương pháp Phân tích khả sử phục rò rỉ kiểm thử dụng sai Kiểm thử độc Công nghệ TBBV lập sản xuất Phân tích Các thiết bị bền vững sản xuất TBBV Dạng hình thể sản phẩm cho kiểm chuẩn Cấu trúc TBBV Đặc tả riêng TBBV Tương ứng mơ tả mức khác -Chính sách an tồn Phân tích sản phẩm tồn rị rỉ Hình 5.56 Phân loại yêu cầu đảm bảo 235 “Các tiêu chí chung” đưa mức đảm bảo chuẩn, mà độ chặt chẽ yêu cầu đảm bảo tăng dần theo thứ tự mức đến mức Mỗi mức đặc trưng tập yêu cầu đảm bảo, quy định việc áp dụng phương pháp công nghệ khác để sản xuất, kiểm thử, quản lý kiểm chuẩn sản phẩm CNTT: - Mức Kiểm thử chức - Mức Kiểm thử cấu trúc - Mức Kiểm thử phương pháp kiểm chuẩn - Mức Thiết kế phương pháp, kiểm thử phân tích - Mức Các phương pháp kiểm thử thiết kế bán hình thức - Mức Các phương pháp kiểm chuẩn thiết kế kiểm thử bán hình thức - Mức Các phương pháp kiểm chuẩn thiết kế hình thức kiểm thử Mỗi mức có mơ tả riêng mà khơng có điều kiện phân tích chi tiết Sau bảng phân bố yêu cầu đảm bảo theo mức an toàn nêu CC Các mức đảm bảo Các yêu cầu đảm bảo 1 2 4 5 3 1 2 1 1 1 1 1 3 2 3 Quản lý Đối tượng (Target) Các thiết bị kiểm soát Đối tượng Kiểm soát phiên (Versions) Cấu hình Đối tượng Phân phối Cung ứng Lắp đặt, hiệu chỉnh, cho chạy Thiết kế Các đặc tả chức chung Cấu trúc bảo vệ Dạng thể sản phẩm cho kiểm chuẩn 236 Cấu trúc TBBV Đặc tả riêng TBBV Sự tương ứng mơ tả mức khác 1 Chính sách an toàn 1 2 2 2 Tài liệu Chỉ dẫn nhà quản trị 1 1 1 Chỉ dẫn khách hàng 1 1 1 1 1 2 Công nghệ sản xuất 2 Các thiết bị sản xuất 3 2 3 1 2 1 1 2 2 2 2 Q trình sản xuất An tồn mơi trường sản xuất Sửa lỗi khắc phục rò rỉ Kiểm thử Tính đầy đủ kiểm thử Độ sâu kiểm thử Phương pháp kiểm thử Độc lập kiểm thử Đánh giá rò rỉ Phân tích kênh ngầm Phân tích khả sử dụng sai TBBV 2 3 Phân tích độ bền vững TBBV 1 1 1 Phân tích sản phẩm tồn rò rỉ 1 4 Bảng 5.9 Phân bố yêu cầu đảm bảo theo mức an tồn CC d) Kết luận “Các tiêu chí chung an tồn cơng nghệ thơng tin” kết tổng hợp tất thành tựu lĩnh vực ATTT Bộ tiêu chuẩn ATTT nâng cao thành chuẩn chung quốc tế Tạo khả thực tế cho việc xác lập 237 không gian ATTT chung, việc kiểm chuẩn an tồn HT tiến hành mức toàn cầu, điều cho phép tích hợp HT thơng tin quốc gia, mở chân trời hoàn toàn cho việc ứng dụng CNTT 5.2.6 Phân tích so sánh tiêu chuẩn ATTT 5.2.6.1.Phân tích tiêu chuẩn ATTT a) Tính tổng qt Đó tính chất xác định tập HT, thiết bị tính tốn áp dụng xác luận điểm tiêu chuẩn Ở giai đoạn hình thành phát triển chuẩn ATTT nhà soạn thảo cảm giác vấn đề an toàn cần thiết cho lĩnh vực hẹp chuyên gia phủ, an ninh quốc phịng mà thơi Mặt khác tốc độ tin học hố cịn chậm chạp Cho nên tính tổng qt chuẩn ATTT khơng quan tâm nhiều Trong chuẩn ATTT – Sách Da cam, tiêu chí nhằm vào ứng dụng quân sự, dựa máy tính lớn (mainframe) Việc nâng cấp HT phân tán, CSDL địi hỏi phải có tài liệu bổ sung, thuyết minh, giải thích Sau năm, đời “Các tiêu chí châu Âu” Ở lĩnh vực áp dụng chuẩn ATTT mở rộng lên nhiều - Đó tài liệu sở tính tới HT phân tán, mạng, HT viễn thông… Tuy nhiên chuẩn châu Âu, nói cấu trúc nhiệm vụ HT mà áp dụng, khơng đề cập đến mơi trường khai thác chúng Tiêu chuẩn GTK Liên bang Nga có phạm vi áp dụng hạn chế Đó PC HT đa khách hàng (nhưng với số khách hàng hạn chế) Cuối cùng, “Các tiêu chí chung” hồn thiện trình mở rộng phạm vi ứng dụng chuẩn ATTT việc cho việc sử dụng chuẩn ATTT thành tố thiếu công nghệ thiết lập sản phẩm CNTT b) Tính mềm dẻo Sự mềm dẻo luận điểm Tiểu chuẩn xác định thuận tiện sử dụng khách hàng nhà sản xuất HT xử lý TT Vì yêu cầu chuẩn (Sách Da cam) đa số bất biến chế thực hiện, chúng tỏ trừu tượng để trực tiếp áp dụng 238 nhiều trường hợp, địi hỏi cần có thêm bình luận, bổ sung mở rộng “Các tiêu chí châu Âu” tiếp tục tiếp thu cách trình bày yêu cầu Sách Da cam, theo đường phát triển nhanh tích cực, có mức yêu cầu đặc biệt cho HT mẫu (Hệ quản trị CSDL, HT viễn thông…) Về mềm dẻo tiêu chuẩn GTK Nga cịn thua Sách da cam Nó cụ thể quy định hoá việc thực chức bảo vệ (Ví dụ, có GTK Nga đưa yêu cầu mã hoá TT dạng bắt buộc) Điều giảm thuận tiện áp dụng nhiều Cuối cùng, “Các tiêu chí chung” thực tế có mềm dẻo hồn hảo nhất, vừa có chế Hồ sơ bảo vệ cho khách hàng, vừa có chế Đề án bảo vệ cho nhà sản xuất chuyên gia kiểm chuẩn c) Tính đảm bảo Tính đảm bảo mức độ bảo vệ, lúc đầu nhà soạn thảo tiêu chuẩn xem xét cho mức an toàn cao Vì Sách Da cam coi bắt buộc việc áp dụng phương pháp kiểm chuẩn tắc (hình thức) HT thuộc lớp A Tuy nhiên, cần thiết kiểm sốt tính xác thực yêu cầu khẳng định hiệu TBBV cho HT thuộc mức nhanh chóng hiểu Ngay “Các tiêu chí châu Âu” xuất mục yêu cầu đặc biệt – yêu cầu đảm bảo, quy chế hố cơng nghệ cơng cụ thiết kế, sản xuất CC xem xét tính đảm bảo thực bảo vệ thành tố quan trọng ATTT đưa kiểm sốt nhiều giai đoạn với trình sản xuất, cho phép khẳng định tương ứng kết thu với mục tiêu đề ra, cách chứng minh đảm bảo nhiệm vụ bảo vệ với yêu cầu khách hàng, đảm bảo ĐTAT với “Các tiêu chí chung” đảm bảo sản phẩm CNTT với ĐTAT 5.2.6.2.Xu phát triển tiêu chuẩn ATTT Qua phân tích tiêu chuẩn ATTT mục xu phát triển tiêu chuẩn ATTT sau đây: 239 Sự phát triển Tiêu chuẩn dẫn tới việc từ bỏ thang đánh giá phân cấp yêu cầu tiêu chí, dẫn đến việc thay chúng tập số riêng độc lập đưa thang đánh giá có trật tự phần Sự tăng lên khơng ngừng vai trị u cầu đảm bảo thực bảo vệ thực CSAT chứng tỏ xu nghiêng “chất” đảm bảo an tồn “lượng” Xác lập vai trò nhà sản xuất, khách hàng chuyên gia đánh giá sản phẩm CNTT phân tách chức họ trình thiết lập Hệ xử lý TT an toàn chứng tỏ tích hợp bình đẳng đầy đủ tiêu chuẩn đảm bảo an toàn lĩnh vực CNTT Sự phân chia, hình thành sở tiêu chuẩn đại vai trò người tham gia vào trình thiết lập khai thác HT an toàn; việc áp dụng chế công nghệ tương ứng dẫn đến phân bố cân trách nhiệm tất thành viên trình Các xu q trình tích hợp CNTT khát vọng vươn tới hình thành khơng gian TT toàn cầu dẫn đến cần thiết toàn cầu hố tiêu chuẩn an tồn thơng tin 5.3 CÂU HỎI Nêu tóm tắt lịch sử phát triển tiêu chuẩn ATTT? Đánh giá ATTT gì? Sản phẩm CNTT gì? Hồ sơ bảo vệ, Đề án bảo vệ gì? Nêu phân loại yêu cầu tiêu chí Sách Da cam Bộ quốc phòng Mỹ Hãy nêu yêu cầu chức tiêu chí đảm bảo “Các tiêu chí châu Âu” Nêu ưu điểm nhược điểm Hệ tiêu chí ATTT GTK Liên bang Nga Trình bày cấu trúc Hồ sơ bảo vệ Đề án bảo vệ “Các tiêu chí chung” Nói rõ vai trị hai chế trình thiết kế, sản xuất kiểm chuẩn sản phẩm CNTT 240 Tóm tắt yêu cầu chức yêu cầu đảm bảo “Tiêu chí chung” Hãy phân tích tính tổng quát tính mềm dẻo tiêu chuẩn ATTT 10 Phân tích xu phát triển tiêu chuẩn ATTT đại 241 TÀI LIỆU THAM KHẢO [1] TS Nguyễn Đình Vinh, Giáo trình sở an tồn thơng tin, Học viện Kỹ thuật Mật mã, (Năm 2006) [2] TS Nguyễn Nam Hải, Giáo trình an tồn mạng, Học viện Kỹ thuật Mật mã, (Năm 2006) [3] Jason Andress, The basics of Information Security: Understanding the Fundamentals of Infosec in Theory and Practice, ISBN 978-1-59749-653-7, 190pp, Russ Rogers, (Năm 2011) [4] Thomas R Peltier, Justin Peltier, John Blackley, Information Security Fundamentals, ISBN 0-8493-1957-9, 262pp, CRC Press LLC, (Năm 2005) [5] Dr Michael E.whitman, Herbert J.Mattord, CISSP, Principles of information security, second edition, ISBN – 13: 978 – – 619 – 21625 – 2, ISBN – 10: – 619 – 21625 - [6] Tom Carr, BS ISO/IEC 27001:2005 - Information technology — Security techniques — Information security management systems — Requirements, ISBN 580 46781 3, (Năm 2005) [7] Pascal Steichen, Principles and fundamentals of security: methodologies of information systems - Introduction, http://pst.libre.lu/m2ssicmetz/archive/2010-2011/01_intro-art.pdf [8] Phòng ngự chiều sâu, 12/3/2013, http://vi.wikipedia.org/wiki/Ph %C3%B2ng_ng%E1%BB%B1_chi%E1%BB%81u_s%C3%A2u [9] ThS Trần Nguyên Vũ, Ứng dụng ISO 27001/27002: Cách tiếp cận toàn diện cho an ninh hệ thống thông tin, 05/10/2008, http://antoanthongtin.vn/Detail.aspx?CatID=5a918474-446c-47ca-8e21a889bc2c8fd3&NewsID=358f794f-4ad9-463d-b770-dc9b56e924a8 [10] Giới thiệu tiêu chuẩn ISO 27000 TOOLKIT, 03/01/2012, Trung tâm Thông tin Tiêu chuẩn Đo lường Chất lượng, http://www.tcvninfo.org.vn/index.php?language=vi&nv=news&op=Gioithieu-cac-bo-tieu-chuan-moi/Gioi-thieu-ve-bo-tieu-chuan-ISO-27000TOOLKIT-810 [11] TS Đào Thế Long, An tồn thơng tin – Nên đâu, Misoft ISTC, http://www.isystem.com.vn/News/Bao-mat-he-thong/Kinh-nghiem-baomat/2106/An-toan-thong-tin-Nen-bat-dau-tu-dau.aspx 242 [12] Nguyễn Hương Giang, Xây dựng hệ thống quản lý An ninh thông tin theo Tiêu chuẩn ISO/IEC 27001:2005, 05/04/2010, http://antoanthongtin.vn/Detail.aspx?NewsID=5d882d2e-166c-4a60-82861b6160dea9e2&CatID=b452f747-554b-40e6-ab3b-7af1ee3b6a3d [13] TS Trần Đức Lịch, Q trình hình thành tiêu chuẩn an tồn thơng tin, Ban Cơ yếu Chính phủ, 25/06/2013, http://antoanthongtin.vn/QualityDetail.aspx?NewsID=3af39430-c66d-4726aaea-9bc1668d59f3&CatID=ddaac893-0257-433b-9ba3-e60cdd949aa3 [14] Khu phi quân sự, http://vi.wikipedia.org/wiki/DMZ [15] Information security: Physical security checklist, The Department for Business, Enterprise and Regulatory Reform, http://www.berr.gov.uk/files/file49964.pdf [16] Information security: How to write an information security, The Department for Business, Enterprise and Regulatory Reform, http://www.bis.gov.uk/files/file49963.pdf 243 ... lượng mang thơng tin Các vật mang thông tin gọi giá mang tin (support) Thông tin mang ý nghĩa xác định hình thức thể thơng tin rõ ràng mang tính quy ước Chẳng hạn ký hiệu "V" hệ đếm La Mã mang ý... vệ vật mang TT (vật chất) Người ta phân chia vật mang – nguồn tin, vật mang – tải tin vật mang – thu tin Ví dụ, vẽ nguồn tin, tờ giấy mà có vẽ vật mang tin Bản chất vật lý nguồn vật mang tờ giấy... 1: Tổng quan an tồn thơng tin Chương giúp sinh viên nắm bắt kiến thức lý thuyết thơng tin, an tồn thơng tin, tính chất đảm bảo an tồn thơng tin Chương 2: Các hiểm họa gây an tồn thơng tin Chương