lect1 intro to network security

AN NINH VÀ BẢO MẬT THÔNG TIN

Thái Thanh TùngFITHOU

BÀI 1: TỔNG QUAN VỀ AN NINH VÀ BẢO MẬT THÔNG TIN

Khái niệm cơ bản về An ninhAn toàn và bảo mật Hệ thống Thông tin

TỔNG QUAN VỀ AN NINH MẠNG

I. KHÁI NIỆM VỀ AN NINH

– An ninh (Security) là sự hạn chế khả năng lạm dụng tài nguyên (resouces) và tài sản (assets).

– An ninh mạng phải cho phép truy cập vào hệ thống theo cách thức mà chúng ta muốn, và cho phép mọi người có thể làm việc với nhau.

– Mạng an toàn là một mạng được thiết kế mở để cho phép mọi người có thể truy cập sử dụng các dịch vụ và tài nguyên bất kể họ ở đâu và kết nối bằng gì.

Nếu ta thắt chặt an ninh, ta có thể cung cấp mức độ truy cập cao hơn và đảm bảo cho phép những đối tác truy cập, và ngược lại ta cung có thể truy cập tới các đối tác.

Thái Thanh Tùng - FitHou


1.1. Mô hình phân cấp về an ninh

An ninh bao gồm rất nhiều lĩnh vực, nếu ta xem xét các lĩnh vực theo thứ bậc thì ta có An ninh là gốc của các lĩnh vực khác nhau.

Ví dụ: An ninh Quốc phòng, An ninh Kinh tế, An ninh Thông tin …

Mỗi lĩnh vực lại có thể được chia nhỏ để xem xét tới các thành phần liên quan. Khi triển khai an ninh cho một lĩnh vực ta phải đặt trong ngữ cảnh của các thành phần liên quan

An ninh được xem là vấn đề bảo vệ tài sản nói chung, và các lĩnh vực con sẽ kế thừa và mở rộng về hoạt động an ninh với các thành phần liên quan



1.1. Mô hình phân cấp về an ninh

Security

Information Security

Network Security

Computer Application Data Database

Mô hình phân cấp và các thành phần trong lĩnh vực an ninh



1.2. Chế độ thiết lập an ninh

Lĩnh vực an ninh thông tin không ngừng được phát triển, nhưng những vấn đề cơ bản để đảm bảo an ninh thì không thay đổi. Nguyên lý cơ bản có thể được áp dụng trong mọi chiến lược an ninh là: chế độ 3Ds

Defence: Bảo vệ

Ví dụ: Firewall, Router Access List, …

Deterrence: Ngăn trở, gây khó khăn

Ví dụ: Luật, Quy định, Thông báo, …

Detection: Phát hiện

Ví dụ: Anti Virus, Audit trails, Log files, …



1.2. Chế độ thiết lập an ninh

Ví dụ: 3Ds trong việc triển khai an ninh cho tài sản cá nhân. Chúng ta cần làm gì khi có những đồ vật quý trong nhà cần được bảo vệ nhưng vấn cho phép sử dụng? Ta sẽ cần thiết lập cả 3 chế độ.

Defence: ta cần khóa cửa sử dụng các khóa công nghệ cao và chỉ cho phép những người tin cẩn sử dụng khóa.

Deterrence: được bảo vệ bởi luật pháp chống lại việc trộm cắp, ta có thể sử dụng thêm chó canh nhà, cảnh báo nguy hiểm.

Detection: có thể sử dụng camera, các loại cảm biến (infrared sensor), hoặc các công nghệ cảnh bảo khác, ta còn có thể kết hợp với các công ty bảo vệ hoặc cảnh sát.



1.3. Triển khai chiến lược an ninh

Trong an ninh mạng, mục tiêu của việc triển khai hệ thống an ninh phải được làm rõ để hoạch định chiến lược và lựa chọn công nghệ. Trên phương diện của người thực hiện an ninh, xác định mục tiêu là vấn đề khó khăn. Khi triển khai chiến lược an ninh ta phải cân nhắc

Không thể đảm bảo an ninh tuyệt đối

Ta có thể quản lý được các rủi ro về an ninh

Sử dụng các công nghệ chống lại các rủi ro để đạt được mục tiêu




Trước khi thiết lập chiến lược an ninh, ta cần phải thực hiện 5 bước quan trọng. Chúng là một yêu cầu trong giai đoạn đánh giá và là một phần trong việc triển khai chiến lược an ninh.

1. Assets (tài sản): Bảo vệ cái gì?

2. Risk (rủi ro): Những điểm yếu, lỗ hổng và nguy cơ có thể xẩy ra?

3. Protections (bảo vệ): Tài sản đó được bảo vệ như thế nào?

4. Tools (công cụ): Sử dụng thiết bị và công nghệ nào để đảm bảo?

5. Priorities (ưu tiên): Thứ tự thực hiện và triển khai hệ thống an ninh như thế nào?




Ví dụ: Khi xây dựng web site thương mại.

Để trả lời những câu hỏi này người thiết kế có thể xác định các thành phần cần bảo vệ như thông tin, tài khoản của người sử dụng, khả năng phục vụ của web site.

– Máy chủ, Web Server, mã hóa khi kết nối trao đổi thông tin

– Lưu trữ dữ liệu trong các CSDL khác nhau và được mã hóa, backup định kỳ v..v..

– Server có sử dụng firewall để chống lại DOS và có thể tiến hành chạy song song 2 servers v..v..



II. AN TOÀN VÀ BẢO MẬT HTTT

An toàn thông tin là khả năng bảo vệ thông tin và hệ thống thông tin bởi người dùng trái phép về sử dụng, tiết lộ, sao chép, thay đổi, làm ngưng trệ, phá hủy

- An toàn thông tin chú trọng tới việc đảm bảo tính chất thông tin của dữ liệu mà không quan tâm tới dữ liệu đấy được sử dụng với hình thức nào

Mạng tin học được hiểu như một hệ thống thông tin điện tử, bao gồm những người sử dụng và quản lý, các máy tính xử lý dữ liệu, các thiết bị lưu trữ và kết nối, trao đổi dữ liệu.

- An ninh mạng (máy tính) lại tập trung vào việc đảm bảo tính chất an toàn và đúng đắn của hệ thống thông tin mà không chú trọng tới việc thông tin được lưu trữ và xử lý bởi hệ thống đó.



2.1. An toàn và bảo mật thông tin

Hệ thống thông tin an toàn thì trước hết phải có sự đảm bảo thông tin (information assurance) trên cơ sở hạ tầng mạng truyền dữ liệu tin cậy và thông suốt.

Đi kèm với an toàn là bảo mật thông tin để đảm bảo bí mật về nội dung thông tin được truyền tải.

Hai yếu tố an toàn và bảo mật đều rất quan trọng và có sự gắn bó mật thiết với nhau




Information System Security: CIA Triad (wikipedia)




Các thành phần cơ bản về thông tin:

C - Confidentiality: bảo mật

I - Integrity: toàn vẹn

A- Accessibility: sẵn sàng

Các thành phần cơ bản về mạng:

Hardware: các thiết bị

Software: ứng dụng

Communication: môi trường trao đổi thông tin



2.2. Các tính chất cần đảm bảo an ninh cho HTTT

Đảm bảo được các tính chất an toàn của mạng máy tính (Computer Security)

Tính an toàn (safety)

Tính tin cậy (reliability)

Tính sẵn sàng (accessibility)

Tính mở rộng (scalability)

Tính dễ quản trị (managebility)



2.2. Các tính chất cần đảm bảo an ninh cho HTTT

Đảm bảo được các nguyên tắc về tính bảo mật thông tin (Information Assurance)

Tính bí mật (privacy/confidentiality)

Tính toàn vẹn (integrity)

Tính xác thực/nhận dạng (authenticity)

Tính trách nhiệm/không thể chối bỏ (non-repudiation)



2.3 Mô hình triển khai An ninh (Defence In Depth)

Từ khi các máy tính cá nhân có thể được kết nối qua mạng trong môi trường các trường Đại học và các Viện nghiên cứu sang môi trường chính phủ, trước khi thương mại áp dụng vấn đề an ninh, các công nghệ về an ninh trước đây chỉ được phát triển đặc biệt cho các môi trường đó.

Government blockage model – bảo vệ tài nguyên, không cho phép truy cập từ bên ngoài, chỉ truy cập từ trong hệ thống

Academic open access model – tài nguyên được chia sẻ, cho phép truy cập từ bên ngoài

Commercial mix model – tài nguyên và dịch vụ được phân lớp và kiểm soát quyền truy cập từ ngoài cũng như từ bên trong




Lollipop Model of Defence Onion Model of Defence




Lollipop Model:

- Thiết lập vành đai bảo vệ truy cập (tương đối)

- Bảo vệ dữ liệu (quan trọng)

Onion Model:

- Thiết lập vành đai bảo vệ (vòng ngoài)

- Phân lớp kiểm soát quyền truy cập (các khu vực)

- Bảo vệ dữ liệu (theo nhiều tầng)




Lollipop Model vs Onion Model:

- Thiết lập vành đai bảo vệ truy cập (vòng ngoài)

Firewall, Router Access List, Authentication

- Phân lớp kiểm soát quyền truy cập (các lớp)Network: Environment, protocols

Host: Operating System, Authorization

Application: Xử lý và trao đổi dữ liệu

- Bảo vệ dữ liệu (vòng trong)Backup, Mã hóa


lect1 intro to network security

Documents