Tài liệu Giới thiệu chung về bảo mật thông tin

Giới thiệu chung về bảo mật
thông tin
Bởi:
TS. Trần Văn Dũng
Mở đầu về bảo mật thông tin
Cùng với sự phát triển của doanh nghiệp là những đòi hỏi ngày càng cao của môi trường
kinh doanh yêu cầu doanh nghiệp cần phải chia sẻ thông tin của mình cho nhiều đối
tượng khác nhau qua Internet hay Intranet. Việc mất mát, rò rỉ thông tin có thể ảnh
hưởng nghiêm trọng đến tài chính, danh tiếng của công ty và quan hệ với khách hàng.
Các phương thức tấn công thông qua mạng ngày càng tinh vi, phức tạp có thể dẫn đến
mất mát thông tin, thậm chí có thể làm sụp đổ hoàn toàn hệ thống thông tin của doanh
nghiệp. Vì vậy an toàn và bảo mật thông tin là nhiệm vụ rất nặng nề và khó đoán trước
được, nhưng tựu trung lại gồm ba hướng chính sau:
- Bảo đảm an toàn thông tin tại máy chủ
- Bảo đảm an toàn cho phía máy trạm
- Bảo mật thông tin trên đường truyền
Đứng trước yêu cầu bảo mật thông tin, ngoài việc xây dựng các phương thức bảo mật
thông tin thì người ta đã đưa ra các nguyên tắc về bảo vệ dữ liệu như sau:
- Nguyên tắc hợp pháp trong lúc thu thập và xử lý dữ liệu.
- Nguyên tắc đúng đắn.
- Nguyên tắc phù hợp với mục đích.
- Nguyên tắc cân xứng.
- Nguyên tắc minh bạch.
Giới thiệu chung về bảo mật thông tin
1/11
- Nguyên tắc được cùng quyết định cho từng cá nhân và bảo đảm quyền truy cập cho
người có liên quan.
- Nguyên tắc không phân biệt đối xử.
- Nguyên tắc an toàn.
- Nguyên tắc có trách niệm trước pháp luật.
- Nguyên tắc giám sát độc lập và hình phạt theo pháp luật.
- Nguyên tắc mức bảo vệ tương ứng trong vận chuyển dữ liệu xuyên biên giới.
Ở đây chúng ta sẽ tập trung xem xét các nhu cầu an ninh và đề ra các biện pháp an toàn
cũng như vận hành các cơ chế để đạt được các mục tiêu đó.
Nhu cầu an toàn thông tin:
• An toàn thông tin đã thay đổi rất nhiều trong thời gian gần đây. Trước kia hầu
như chỉ có nhu cầu bảo mật thông tin, nay đòi hỏi thêm nhiều yêu cầu mới như
an ninh máy chủ và trên mạng.
• Các phương pháp truyền thống được cung cấp bởi các cơ chế hành chính và
phương tiện vật lý như nơi lưu trữ bảo vệ các tài liệu quan trọng và cung cấp
giấy phép được quyền sử dụng các tài liệu mật đó.
• Máy tính đòi hỏi các phương pháp tự động để bảo vệ các tệp và các thông tin
lưu trữ. Nhu cầu bảo mật rất lớn và rất đa dạng, có mặt khắp mọi nơi, mọi lúc.
Do đó không thể không đề ra các qui trình tự động hỗ trợ bảo đảm an toàn
thông tin.
• Việc sử dụng mạng và truyền thông đòi hỏi phải có các phương tiện bảo vệ dữ
liệu khi truyền. Trong đó có cả các phương tiện phần mềm và phần cứng, đòi
hỏi có những nghiên cứu mới đáp ứng các bài toán thực tiễn đặt ra.
Các khái niệm:
• An toàn máy tính: tập hợp các công cụ được thiết kế để bảo vệ dữ liệu và chống
hacker.
• An toàn mạng: các phương tiện bảo vệ dữ liệu khi truyền chúng.
• An toàn Internet: các phương tiện bảo vệ dữ liệu khi truyền chúng trên tập các
mạng liên kết với nhau.
Mục đích của môn học là tập trung vào an toàn Internet gồm các phương tiện để bảo vệ,
chống, phát hiện, và hiệu chỉnh các phá hoại an toàn khi truyền và lưu trữ thông tin.
Giới thiệu chung về bảo mật thông tin
2/11
Nguy cơ và hiểm họa đối với hệ thống thông tin
Các hiểm họa đối với hệ thống có thể được phân loại thành hiểm họa vô tình hay cố ý,
chủ động hay thụ động.
- Hiểm họa vô tình: khi người dùng khởi động lại hệ thống ở chế độ đặc quyền, họ có
thể tùy ý chỉnh sửa hệ thống. Nhưng sau khi hoàn thành công việc họ không chuyển hệ
thống sang chế độ thông thường, vô tình để kẻ xấu lợi dụng.
- Hiểm họa cố ý: như cố tình truy nhập hệ thống trái phép.
- Hiểm họa thụ động: là hiểm họa nhưng chưa hoặc không tác động trực tiếp lên hệ
thống, như nghe trộm các gói tin trên đường truyền.
- Hiểm họa chủ động: là việc sửa đổi thông tin, thay đổi tình trạng hoặc hoạt động của
hệ thống.
Đối với mỗi hệ thống thông tin mối đe dọa và hậu quả tiềm ẩn là rất lớn, nó có thể xuất
phát từ những nguyên nhân như sau:
- Từ phía người sử dụng: xâm nhập bất hợp pháp, ăn cắp tài sản có giá trị
- Trong kiến trúc hệ thống thông tin: tổ chức hệ thống kỹ thuật không có cấu trúc hoặc
không đủ mạnh để bảo vệ thông tin.
- Ngay trong chính sách bảo mật an toàn thông tin: không chấp hành các chuẩn an toàn,
không xác định rõ các quyền trong vận hành hệ thống.
- Thông tin trong hệ thống máy tính cũng sẽ dễ bị xâm nhập nếu không có công cụ quản
lý, kiểm tra và điều khiển hệ thống.
- Nguy cơ nằm ngay trong cấu trúc phần cứng của các thiết bị tin học và trong phần
mềm hệ thống và ứng dụng do hãng sản xuất cài sẵn các loại 'rệp' điện tử theo ý đồ định
trước, gọi là 'bom điện tử'.
- Nguy hiểm nhất đối với mạng máy tính mở là tin tặc, từ phía bọn tội phạm.
Giới thiệu chung về bảo mật thông tin
3/11
Phân loại tấn công phá hoại an toàn:
Các hệ thống trên mạng có thể là đối tượng của nhiều kiểu tấn công:
- Tấn công giả mạo là một thực thể tấn công giả danh một thực thể khác. Tấn công giả
mạo thường được kết hợp với các dạng tấn công khác như tấn công chuyển tiếp và tấn
công sửa đ