An toàn hệ thống thông tin
●
Hệ thống thông tin
●
●
●
●
Dữ liệu
Quy trình xử lý dữ liệu
CON NGƯỜI
An toàn hệ thống thông tin là giảm thiểu rủi
ro có thể xảy ra tới hệ thống thông tin.
An toàn hệ thống thông tin
●
Hoàn cảnh hiện tại
●
●
●
●
●
●
●
Phát triển của hệ thống thông tin trong doanh
nghiệp (ngân hàng, bảo hiểm, quốc phòng)
Luật pháp ngày càng chặt chẽ (SOX)
Sự số hóa phổ biến hơn
Giá trị thông tin số tăng cao
Gián điệp công nghiệp
Chiến tranh trên mạng (honkers vs US vs VN)
Tiên tiến kỹ thuật (IM, Web hóa)
An toàn hệ thống thông tin
●
Hoàn cảnh hiện tại ở Việt Nam
●
●
●
●
●
●
Báo SGGP ngày 31 tháng 03 năm 2008: tội
phạm quốc tế đánh cắp tiền từ ngân hàng VN
Báo điện tử Đảng Cộng sản Việt Nam ngày 18
tháng 12 năm 2007: Nhân viên Eximbank lừa
đảo làm thẻ tín dụng quốc tế
Sự cố máy ATM không rút được tiền
Sự cố gửi tiền 04 triệu VND thành AUD
Sự cố trang web bộ Giáo dục Đào tạo
Hàng ngàn sự cố các trang web nhỏ khác
An toàn hệ thống thông tin
●
Hoàn cảnh hiện tại ở Việt Nam
●
Hội tự phát
–
–
–
–
–
●
HVA
HCE
4VN
VNSecurity
Và các nhóm khác chưa ra mặt
Tổ chức chính quy
–
–
VNCERT
VNISA
An toàn hệ thống thông tin
●
Hoàn cảnh hiện tại ở Việt Nam
●
●
●
●
●
●
●
Tư vấn Trăng Xanh và OWASP Việt Nam
BKIS
Athena
CMC InfoSec
Nhu cầu cao, cung ứng thấp
Thiếu luật (chủ yếu chỉ có luật CNTT)
Thiếu/sợ trách nhiệm
An toàn hệ thống thông tin
●
Sinh viên là nguồn lực quý, cần có sự đầu
tư và định hướng đúng
●
●
●
●
Nhà trường
BẢN THÂN
Doanh nghiệp phải nâng cao nhận thức,
trách nhiệm, áp dụng quy trình tiên tiến
như COBIT, ITIL, loạt chuẩn ISO 27000
Doanh nghiệp trong ngành phải có trách
nhiệm xã hội
3 trụ cột
●
Tính sẵn sàng (Availability)
●
●
Tính toàn vẹn (Integrity)
●
●
●
Thông tin phải có khi cần
Thông tin không được thay đổi khi không
được phép
Khi được phép, thông tin không được thay đổi
sai
Tính bảo mật (Confidentiality)
●
Người ngoài không được biết thông tin
3 trụ cột
3 trụ cột
●
●
3 trụ cột này quan hệ mật thiết với nhau
Tùy vào hoàn cảnh mà tổ chức tập trung
vào khía cạnh này hoặc khía cạnh khác
●
●
●
●
Quốc phòng quan tâm C
Doanh nghiệp quan tâm I
Ai cũng quan tâm A
Chính sách an toàn thông tin phải làm rõ
sự quan trọng này, và phải đi cùng hướng
với chính sách kinh doanh của công ty
3 nguyên tắc chính
●
●
Phòng thủ nhiều tầng (Defense in Depth)
●
Lọt sàng xuống nia
●
Cân bằng trò chơi với mũ đen
Chia nhiệm vụ (Separation of Duties)
●
●
Việc quan trọng phải do ít nhất hai người làm
Quyền hạn tối thiểu (Least Privilege)
●
Chỉ đủ quyền để thực hiện công việc
●
Có bị tấn công cũng hạn chế hậu quả
10 miền kiến thức chung
●
●
●
●
●
●
●
●
●
●
Kiểm soát truy cập
An toàn ứng dụng
Liên tục kinh doanh và kế hoạch hồi phục sau
thảm họa
Mã hóa
An toàn thông tin và quản lý rủi ro
Luật pháp và điều tra
An toàn hoạt động
An toàn vật lý
Kiến trúc an ninh và thiết kế
An toàn viễn thông và mạng
An toàn thông tin và quản lý rủi ro
●
●
●
●
●
ATTT phải đi từ trên xuống (top-down)
Chính sách, định hướng phải do chủ dữ
liệu đề xuất
Chủ dữ liệu là người chịu trách nhiệm về
dữ liệu (tổng giám đốc, giám đốc, v.v…)
Quản trị hệ thống, quản lý dữ liệu là người
chịu trách nhiệm thực hiện chính sách
Họ thực hiện qua các điều khiển (control):
hành chính, luận lý, và vật lý
An toàn thông tin và quản lý rủi ro
●
●
●
Điều khiển hành chính (administrative
control) là định hướng, chính sách, chuẩn,
hướng dẫn, thủ tục thực hiện các tác vụ
Điều khiển luận lý (logical control) là thiết
lập, cấu hình, bảo dưỡng thiết bị, phần
mềm, danh sách truy cập, v.v…
Điều khiển vật lý (physical control) bao
gồm chống trộm, hàng rào, khóa máy tính,
thẻ ra vào, bảo vệ, v.v…
An toàn thông tin và quản lý rủi ro
●
Các điều khiển này nhằm:
●
●
●
●
●
●
●
Làm nản (Deterrent)
Phòng ngừa (Preventive)
Sửa sai (Corrective)
Khôi phục (Recovery)
Phát hiện (Detective)
Bù đắp (Compensating)
Định hướng (Directive) ví dụ như luật
An toàn thông tin và quản lý rủi ro
Dữ liệu
Điều khiển hành chính
Điều khiển luận lý
Điều khiển vật lý
An toàn thông tin và quản lý rủi ro
●
●
●
●
Tổ chức phải có chương trình an toàn
thông tin bao trùm hoạt động của tổ chức
Chương trình này phải rõ ràng, phải được
mọi người trong tổ chức hiểu và thực hiện
Chương trình phải do một tổ phụ trách, tổ
này phải gồm tất cả những chủ dữ liệu
trong tổ chức
Chương trình phải được bảo trì, cập nhật
và theo dõi định kỳ
An toàn thông tin và quản lý rủi ro
●
●
●
●
●
Lỗ hổng (vulnerability) là những điểm yếu mà có
thể bị bộc lộ
Sự đe dọa (threat) là những điều nguy hại có thể
xảy ra, đối tượng đe dọa (threat agent) tận dụng
lỗ hổng có thể là trận bão, virus…
Rủi ro (risk) là xác suất một đối tượng đe dọa tận
dụng lỗ hổng và ảnh hưởng vì nó (phần trăm)
Sự bộc lộ (exposure) là mất mát xảy ra khi lỗ
hổng bị đối tượng đe dọa tận dụng (tiền)
Thiết bị an toàn (countermeasure, safeguard) để
giảm rủi ro có thể xảy ra
An toàn thông tin và quản lý rủi ro
●
●
●
●
●
●
Xác định tài sản
Xác định sự đe dọa
Xác định tần số xảy ra hàng năm
Xác định mức thiệt hại một lần
Xác định mức thiệt hại hàng năm
Annualized Loss Expectancy = Annualized Rate of
Occurence * Single Loss Expectancy
Tài sản
Đe dọa
ARO
SLE
ALE
Nhà máy
Cháy nổ
0,1
230.000
23.000
Bí mật
Mất cắp
0,01
40.000
400
Thông tin thẻ khách hàng
Mất cắp
3
300.000
900.000
An toàn thông tin và quản lý rủi ro
●
●
●
Chọn phương án giải quyết dựa vào ALE
●
Giảm rủi ro (dùng các điều khiển)
●
Chuyển rủi ro (bảo hiểm)
●
Tránh rủi ro (không dùng, không sử dụng)
●
Chấp nhận (không làm gì cả)
Khi dùng các điều khiển để giảm rủi ro → vẫn
còn những rủi ro tồn đọng → Controls Gap
Total Risk * Controls Gap = Residual Risk
Điều khiển truy cập
●
Định danh (Identification)
●
●
Xác nhận (Authentication)
●
●
Tôi có CMND để chứng minh điều đó
Phân quyền (Authorization)
●
●
Tôi là Nam
Tôi có được thay đổi mức lương không?
Trách nhiệm (Accountability)
●
Ai đã thay đổi mức lương của tôi?
Điều khiển truy cập
●
●
●
●
●
Quản lý định danh theo cách tập trung hay
phân tán
Quản lý tập trung dễ quản lý
Quản lý phân tán dễ thực hiện
Tổ chức lớn thường dùng quản lý tập trung
thông qua dịch vụ thư mục
Tổ chức nhỏ hơn hay dùng quản lý phân
tán vì họ có thể tự quản lý ngoài
Điều khiển truy cập
●
●
●
●
●
Xác nhận thông thường, một nhân tố như
mật khẩu (điều bạn biết), vân tay (là chính
bạn), hoặc thẻ từ (thứ bạn có).
Xác nhận mạnh (strong authentication)
gồm ít nhất hai nhân tố kết hợp như điều
bạn biết và thứ bạn có (thẻ ATM + số PIN)
Mật khẩu yếu và mạnh
Sinh trắc học tỷ lệ sai sai và đúng sai
Thẻ không đồng bộ hoặc đồng bộ
Điều khiển truy cập
●
●
●
Mô hình tự ý (discretionary access control)
cho phép người chủ của đối tượng (object)
gán quyền truy cập cho một chủ thể
(subject) nào đó
Mô hình bắt buộc (mandatory access
control) do quản trị thiết lập dựa vào tính
nhạy cảm của thông tin và quyền truy cập
Mô hình theo vai trò (role-based access
control) do quản trị thiết lập dựa vào vai trò
của chủ thể trong tổ chức
Điều khiển truy cập
●
●
●
Điều khiển truy cập theo luật (rule-based
access control) do quản trị quyết định dựa
vào các luật nhất định (tường lửa)
Giới hạn giao diện người dùng bằng cách
chỉ cho họ sử dụng những chức năng nhất
định (bàn phím máy ATM)
Ma trận điều khiển truy cập gồm danh
sách điều khiển truy cập (ACL) và bảng
khả năng (capability table), 2 là 1, 1 là 2
Điều khiển truy cập
●
●
●
●
●
Trách nhiệm chủ yếu được truy ngược từ
nhật ký tác vụ (audit log)
Theo dõi phím gõ
Theo dõi cả máy tính
Nhật ký cần được bảo vệ để không bị
chỉnh sửa hoặc lộ ra ngoài
Thông tin nhạy cảm khi không còn dùng
phải được hủy cẩn thận (dĩa cứng, CD
phải nghiền nát, giấy phải xé vụn hoặc đốt)
Kiến trúc an ninh và thiết kế
●
●
●
Mô hình an toàn gồm Bell-LaPadula, Biba,
Clark-Wilson, Brewer & Nash (bức tường
Trung Quốc)
Bell-LaPadula bảo đảm tính bảo mật với
không viết xuống, và không đọc lên, chỉ
đọc, viết ở cùng mức an toàn
Biba bảo đảm tính toàn vẹn với không viết
lên, không đọc xuống, và không gọi lên
Kiến trúc an ninh và thiết kế
●
Vấn đề đáng quan tâm tới kiến trúc an
ninh gồm cửa sau (backdoor), lúc kiểm
tra/lúc chạy (TOC/TOU), kênh liên lạc
ngầm (covert channel), tràn bộ đệm
An toàn vật lý
●
●
●
●
Môi trường: tránh đường ray, tránh đường
bay, tránh nơi đông xe qua lại, tránh thiết
bị tạo sóng điện từ, tránh nơi nhiều thiên
tai
Môi trường: gần bệnh viện, công an, cứu
hỏa, ở trên khu đất cao hơn xung quanh,
có cây bao quanh
Sử dụng môi trường để bảo vệ và trang trí
Khóa có nhiều loại khóa chìa, khóa thẻ,
khóa số, khóa thông minh
An toàn vật lý
●
●
●
●
●
●
●
Khóa chỉ làm chậm kẻ xấu
Khóa cửa phải chú ý tới việc thoát hiểm
Cửa, kiếng, tường phải chú tới chất liệu
Trung tâm dữ liệu (data center) không nên có
cửa sổ
Thiết kế trần rơi (dropped ceiling), sàn nâng
(raised floor) phải chú ý kẻ xấu có thể sử dụng
để “chui” vào, dây điện, mạng phải tiêu chuẩn
Hạn chế cửa vào, cửa thoát hiểm chỉ đẩy ra
Đầu vào phải được canh gác, theo dõi
An toàn vật lý
●
●
●
●
●
●
Hai lớp cửa để tránh “đi kèm”
Điều hòa nhiệt độ phải tuần hoàn khí thay
vì lấy khí từ bên ngoài
Hệ thống nước và khí phải chảy từ ống ra
ngoài (positive flow)
Nhiệt độ phải không quá ẩm, không quá
lạnh, không quá khô, không thể nóng
Chống, chữa cháy phải luôn sẵn sàng
Dùng khí FM200 thay vì Halon, CO2
An toàn vật lý
●
●
●
●
●
Máy tính phải chạy bảo vệ màn hình, khóa
bàn phím, cấm ổ rời, dùng chung thiết bị
đầu vào, đầu ra
Kênh liên lạc như dây mạng, hoặc sóng
cần cẩn thận với việc nghe trộm
Cẩn thận với việc nghe trộm rò rỉ
(emancipating)
Nhiều nguồn điện chính, và dự phòng
Điện cho HVAC riêng, duy trì điện áp
An toàn vật lý
●
●
●
●
Theo dõi bằng máy quay, thiết bị chống
xâm nhập, phát hiện chuyển động
Canh gác bằng người, chó
Cảnh giác bằng đèn chiếu, biển báo, rào
chắn, lưới gai, hố trũng
Kiểm tra và bảo trì định kỳ
An toàn viễn thông và mạng
●
●
●
●
●
●
●
Mô hình OSI
Mô hình TCP
Các mô hình mạng LAN, MAN, WAN
Các thiết kế mạng vòng, cây, sao
Các công nghệ SONET, ATM, PSTN, DSL
Các kỹ thuật chuyển gói (packet switch),
mạch ảo (virtual circuit), dẫn tuyến
(routing)
Các thiết bị hub, switch, router
An toàn viễn thông và mạng
●
Tường lửa (firewall)
●
●
●
●
●
●
●
●
Lọc gói (packet filter)
Hiểu trạng thái (stateful)
Mạch (circuit level)
Ứng dụng (application)
Proxy
Nhân proxy (kernel proxy filter)
Động (dynamic, NAT)
Nhiều loại tường lửa nên cần chú ý sử
dụng đúng
An toàn viễn thông và mạng
●
Cấu trúc tường lửa
●
●
●
●
●
●
Máy đã làm cứng (Bastion host, hardened)
Hai card mạng (Dual-homing)
Máy đã được lọc (Screened host)
Mạng con được lọc (Screened subnet, DMZ)
Tường lửa phải được cấu hình đúng
Các luật lọc phải theo quy tắc chỉ cho vào
nếu cần (khác với quy tắc chỉ cấm nếu
cần)
An toàn viễn thông và mạng
●
Truy cập từ xa
●
●
●
●
●
●
Phải định danh, xác nhận, và phân quyền
Qua kênh riêng (modem), hoặc hầm (tunnel)
trong kênh chung (internet)
Dùng các giao thức PAP, CHAP, EAP
Dùng IPSec, L2TP, PPTP, VPN
Hầm site-2-site hay host-2-site
Vô tuyến 802.11?, Bluetooth, vệ tinh, 3G
●
Nghe lén
An toàn viễn thông và mạng
●
Ứng dụng mạng
●
●
●
●
●
●
IM
Spyware, adware
WAP (Gap-in-Wap)
i-Mode
Malware, rootkit
Web 2.0
Mã hóa
●
Sẽ được bàn đến trong bài sau
Liên tục kinh doanh (nhanh)
●
●
●
●
●
●
Lập chính sách liên tục kinh doanh
(Business Continuity)
Khảo sát ảnh hưởng tới kinh doanh
(Business Impact Analysis)
Thiết lập các điều khiển ngăn ngừa
Lập chính sách hồi phục
Tạo kế hoạch hồi phục sau thảm họa
(Disaster Recovery Plan)
Kiểm tra và bảo trì kế hoạch đó
Liên tục kinh doanh
●
●
●
●
●
BIA phải do tất cả chủ dữ liệu cùng làm
Phải xác định rõ tài sản, quá trình kinh
doanh nào quan trọng, và thời gian tối đa
thiếu nó (Maximum Tolerable Downtime)
Mọi giải pháp phải đảm bảo hệ thống hoạt
động trở lại trước MTD.
Hot Site, Warm Site, Cold Site, Mobile Site
Thỏa thuận hai chiều (Reciprocal
Agreement) cho tổ chức giống nhau
Liên tục kinh doanh
●
●
●
●
●
Sao lưu phần mềm, phần cứng, dữ liệu
Tài liệu, con người, môi trường làm việc
Chuyển rủi ro cho công ty bảo hiểm
Hoàn lại (restore), khôi phục (recover), cứu
vớt (salvage)
Kiểm tra, thử nghiệm, bảo trì kế hoạch
Luật pháp và điều tra (nhanh)
●
●
●
●
●
Luật ở mỗi quốc gia mỗi khác
Luật tài sản trí tuệ như bí mật kinh doanh,
bản quyền, thương hiệu, sáng chế công
nghiệp
Luật về tính riêng tư
Trách nhiệm trước pháp luật
Ứng phó: phát hiện, xem xét, ngăn lại
(contain), phân tích, theo dõi, sửa chữa,
hồi phục, ngăn chặn
Luật pháp và điều tra
●
●
●
●
Bằng chứng phải được xử lý theo quy
trình: xác định, giữ nguyên, thu thập, kiểm
tra, phân tích, trình bày, quyết định, hồi trả
Quy trình này đảm bảo chuỗi canh giữ
(chain of custody)
Bằng chứng phải là bằng chứng trực tiếp
mới có giá trị trước tòa
Một vài kiểu vi phạm: bòn rút, thay dữ liệu,
dư quyền, mò rác, nghe trộm
An toàn ứng dụng
●
Cơ sở dữ liệu:
●
●
●
●
Toàn vẹn dữ liệu
Rủi ro về gom góp (aggregation) và suy đoán
(inference)
Cách chống: Dấu dữ liệu (cell suppression),
phân cách (partitioning), thêm nhiễu (noise &
perturbation), góc nhìn (view), đa giá trị
(polyinstantiation)
Data warehousing & Data mining có thể
dùng để phát hiện vi phạm
An toàn ứng dụng
●
Quy trình phát triển phần mềm
●
●
●
●
●
An toàn thông tin được đưa vào càng sớm
càng giảm chi phí, tạo ra sản phẩm chất
lượng
Phát triển, kiểm tra, triển khai trên các hệ
thống khác nhau
Nhóm phát triển không được triển khai
Nhóm triển khai chỉ lấy mã đã được chấp
nhận
Có nhiều kiểu kiểm tra: đơn vị (unit), tích
hợp (integration), chấp nhận (acceptance),
kiểm tra lại (regression), hệ thống (system)
An toàn ứng dụng
●
Quản lý thay đổi
●
●
●
●
Quy trình đề nghị, xem xét, chấp nhận, thực
hiện, kiểm tra, triển khai
Nếu tổ chức thuê tổ chức khác phát triển
phần mềm thì cần bản giao kèo (escrow)
Kỹ thuật phát triển gồm các ngôn ngữ,
công cụ trợ giúp, kiểu định hướng
Các ứng dụng nguy hiểm gồm virus, worm,
trojan horse, botnet, logic bomb
An toàn ứng dụng
●
Các lỗi thông thường
●
●
●
●
●
Tràn bộ đệm
Chuỗi định dạng
Chèn mã
Quản lý phiên làm việc
Quản lý bản vá
●
●
●
●
Cần cơ sở hạ tầng gồm cả phần cứng, mềm
Nghiên cứu/Kiểm tra bản vá trước
Áp dụng/Triển khai/Quay lùi
Ghi nhớ và cập nhật
An toàn hoạt động (nhanh)
●
●
●
●
●
●
●
●
Nhìn quanh
Bàn và ghế (trừ khi nằm chắn thoát hiểm)
Quản lý nhân sự
Quản lý cấu hình
MTBF, MTTR
Sao lưu
Email
Fax/Máy in/CD/Băng từ
An toàn hoạt động
●
●
●
●
Truy cập từ xa
Bảo quản dữ liệu (RAID, HSM, SAN, v.v…)
Cluster, Grid, High Availability
Kiểm tra lỗ hổng
●
●
●
●
Kiểm tra thâm nhập (penetration test)
Kiểm tra nhân viên
Kiểm tra truy cập
Theo dõi và cảnh báo vượt ngưỡng
(clipping level)