Tài liệu An toàn thông tin

An toàn hệ thống thông tin ● Hệ thống thông tin ● ● ● ● Dữ liệu Quy trình xử lý dữ liệu CON NGƯỜI An toàn hệ thống thông tin là giảm thiểu rủi ro có thể xảy ra tới hệ thống thông tin. An toàn hệ thống thông tin ● Hoàn cảnh hiện tại ● ● ● ● ● ● ● Phát triển của hệ thống thông tin trong doanh nghiệp (ngân hàng, bảo hiểm, quốc phòng) Luật pháp ngày càng chặt chẽ (SOX) Sự số hóa phổ biến hơn Giá trị thông tin số tăng cao Gián điệp công nghiệp Chiến tranh trên mạng (honkers vs US vs VN) Tiên tiến kỹ thuật (IM, Web hóa) An toàn hệ thống thông tin ● Hoàn cảnh hiện tại ở Việt Nam ● ● ● ● ● ● Báo SGGP ngày 31 tháng 03 năm 2008: tội phạm quốc tế đánh cắp tiền từ ngân hàng VN Báo điện tử Đảng Cộng sản Việt Nam ngày 18 tháng 12 năm 2007: Nhân viên Eximbank lừa đảo làm thẻ tín dụng quốc tế Sự cố máy ATM không rút được tiền Sự cố gửi tiền 04 triệu VND thành AUD Sự cố trang web bộ Giáo dục Đào tạo Hàng ngàn sự cố các trang web nhỏ khác An toàn hệ thống thông tin ● Hoàn cảnh hiện tại ở Việt Nam ● Hội tự phát – – – – – ● HVA HCE 4VN VNSecurity Và các nhóm khác chưa ra mặt Tổ chức chính quy – – VNCERT VNISA An toàn hệ thống thông tin ● Hoàn cảnh hiện tại ở Việt Nam ● ● ● ● ● ● ● Tư vấn Trăng Xanh và OWASP Việt Nam BKIS Athena CMC InfoSec Nhu cầu cao, cung ứng thấp Thiếu luật (chủ yếu chỉ có luật CNTT) Thiếu/sợ trách nhiệm An toàn hệ thống thông tin ● Sinh viên là nguồn lực quý, cần có sự đầu tư và định hướng đúng ● ● ● ● Nhà trường BẢN THÂN Doanh nghiệp phải nâng cao nhận thức, trách nhiệm, áp dụng quy trình tiên tiến như COBIT, ITIL, loạt chuẩn ISO 27000 Doanh nghiệp trong ngành phải có trách nhiệm xã hội 3 trụ cột ● Tính sẵn sàng (Availability) ● ● Tính toàn vẹn (Integrity) ● ● ● Thông tin phải có khi cần Thông tin không được thay đổi khi không được phép Khi được phép, thông tin không được thay đổi sai Tính bảo mật (Confidentiality) ● Người ngoài không được biết thông tin 3 trụ cột 3 trụ cột ● ● 3 trụ cột này quan hệ mật thiết với nhau Tùy vào hoàn cảnh mà tổ chức tập trung vào khía cạnh này hoặc khía cạnh khác ● ● ● ● Quốc phòng quan tâm C Doanh nghiệp quan tâm I Ai cũng quan tâm A Chính sách an toàn thông tin phải làm rõ sự quan trọng này, và phải đi cùng hướng với chính sách kinh doanh của công ty 3 nguyên tắc chính ● ● Phòng thủ nhiều tầng (Defense in Depth) ● Lọt sàng xuống nia ● Cân bằng trò chơi với mũ đen Chia nhiệm vụ (Separation of Duties) ● ● Việc quan trọng phải do ít nhất hai người làm Quyền hạn tối thiểu (Least Privilege) ● Chỉ đủ quyền để thực hiện công việc ● Có bị tấn công cũng hạn chế hậu quả 10 miền kiến thức chung ● ● ● ● ● ● ● ● ● ● Kiểm soát truy cập An toàn ứng dụng Liên tục kinh doanh và kế hoạch hồi phục sau thảm họa Mã hóa An toàn thông tin và quản lý rủi ro Luật pháp và điều tra An toàn hoạt động An toàn vật lý Kiến trúc an ninh và thiết kế An toàn viễn thông và mạng An toàn thông tin và quản lý rủi ro ● ● ● ● ● ATTT phải đi từ trên xuống (top-down) Chính sách, định hướng phải do chủ dữ liệu đề xuất Chủ dữ liệu là người chịu trách nhiệm về dữ liệu (tổng giám đốc, giám đốc, v.v…) Quản trị hệ thống, quản lý dữ liệu là người chịu trách nhiệm thực hiện chính sách Họ thực hiện qua các điều khiển (control): hành chính, luận lý, và vật lý An toàn thông tin và quản lý rủi ro ● ● ● Điều khiển hành chính (administrative control) là định hướng, chính sách, chuẩn, hướng dẫn, thủ tục thực hiện các tác vụ Điều khiển luận lý (logical control) là thiết lập, cấu hình, bảo dưỡng thiết bị, phần mềm, danh sách truy cập, v.v… Điều khiển vật lý (physical control) bao gồm chống trộm, hàng rào, khóa máy tính, thẻ ra vào, bảo vệ, v.v… An toàn thông tin và quản lý rủi ro ● Các điều khiển này nhằm: ● ● ● ● ● ● ● Làm nản (Deterrent) Phòng ngừa (Preventive) Sửa sai (Corrective) Khôi phục (Recovery) Phát hiện (Detective) Bù đắp (Compensating) Định hướng (Directive) ví dụ như luật An toàn thông tin và quản lý rủi ro Dữ liệu Điều khiển hành chính Điều khiển luận lý Điều khiển vật lý An toàn thông tin và quản lý rủi ro ● ● ● ● Tổ chức phải có chương trình an toàn thông tin bao trùm hoạt động của tổ chức Chương trình này phải rõ ràng, phải được mọi người trong tổ chức hiểu và thực hiện Chương trình phải do một tổ phụ trách, tổ này phải gồm tất cả những chủ dữ liệu trong tổ chức Chương trình phải được bảo trì, cập nhật và theo dõi định kỳ An toàn thông tin và quản lý rủi ro ● ● ● ● ● Lỗ hổng (vulnerability) là những điểm yếu mà có thể bị bộc lộ Sự đe dọa (threat) là những điều nguy hại có thể xảy ra, đối tượng đe dọa (threat agent) tận dụng lỗ hổng có thể là trận bão, virus… Rủi ro (risk) là xác suất một đối tượng đe dọa tận dụng lỗ hổng và ảnh hưởng vì nó (phần trăm) Sự bộc lộ (exposure) là mất mát xảy ra khi lỗ hổng bị đối tượng đe dọa tận dụng (tiền) Thiết bị an toàn (countermeasure, safeguard) để giảm rủi ro có thể xảy ra An toàn thông tin và quản lý rủi ro ● ● ● ● ● ● Xác định tài sản Xác định sự đe dọa Xác định tần số xảy ra hàng năm Xác định mức thiệt hại một lần Xác định mức thiệt hại hàng năm Annualized Loss Expectancy = Annualized Rate of Occurence * Single Loss Expectancy Tài sản Đe dọa ARO SLE ALE Nhà máy Cháy nổ 0,1 230.000 23.000 Bí mật Mất cắp 0,01 40.000 400 Thông tin thẻ khách hàng Mất cắp 3 300.000 900.000 An toàn thông tin và quản lý rủi ro ● ● ● Chọn phương án giải quyết dựa vào ALE ● Giảm rủi ro (dùng các điều khiển) ● Chuyển rủi ro (bảo hiểm) ● Tránh rủi ro (không dùng, không sử dụng) ● Chấp nhận (không làm gì cả) Khi dùng các điều khiển để giảm rủi ro → vẫn còn những rủi ro tồn đọng → Controls Gap Total Risk * Controls Gap = Residual Risk Điều khiển truy cập ● Định danh (Identification) ● ● Xác nhận (Authentication) ● ● Tôi có CMND để chứng minh điều đó Phân quyền (Authorization) ● ● Tôi là Nam Tôi có được thay đổi mức lương không? Trách nhiệm (Accountability) ● Ai đã thay đổi mức lương của tôi? Điều khiển truy cập ● ● ● ● ● Quản lý định danh theo cách tập trung hay phân tán Quản lý tập trung dễ quản lý Quản lý phân tán dễ thực hiện Tổ chức lớn thường dùng quản lý tập trung thông qua dịch vụ thư mục Tổ chức nhỏ hơn hay dùng quản lý phân tán vì họ có thể tự quản lý ngoài Điều khiển truy cập ● ● ● ● ● Xác nhận thông thường, một nhân tố như mật khẩu (điều bạn biết), vân tay (là chính bạn), hoặc thẻ từ (thứ bạn có). Xác nhận mạnh (strong authentication) gồm ít nhất hai nhân tố kết hợp như điều bạn biết và thứ bạn có (thẻ ATM + số PIN) Mật khẩu yếu và mạnh Sinh trắc học tỷ lệ sai sai và đúng sai Thẻ không đồng bộ hoặc đồng bộ Điều khiển truy cập ● ● ● Mô hình tự ý (discretionary access control) cho phép người chủ của đối tượng (object) gán quyền truy cập cho một chủ thể (subject) nào đó Mô hình bắt buộc (mandatory access control) do quản trị thiết lập dựa vào tính nhạy cảm của thông tin và quyền truy cập Mô hình theo vai trò (role-based access control) do quản trị thiết lập dựa vào vai trò của chủ thể trong tổ chức Điều khiển truy cập ● ● ● Điều khiển truy cập theo luật (rule-based access control) do quản trị quyết định dựa vào các luật nhất định (tường lửa) Giới hạn giao diện người dùng bằng cách chỉ cho họ sử dụng những chức năng nhất định (bàn phím máy ATM) Ma trận điều khiển truy cập gồm danh sách điều khiển truy cập (ACL) và bảng khả năng (capability table), 2 là 1, 1 là 2 Điều khiển truy cập ● ● ● ● ● Trách nhiệm chủ yếu được truy ngược từ nhật ký tác vụ (audit log) Theo dõi phím gõ Theo dõi cả máy tính Nhật ký cần được bảo vệ để không bị chỉnh sửa hoặc lộ ra ngoài Thông tin nhạy cảm khi không còn dùng phải được hủy cẩn thận (dĩa cứng, CD phải nghiền nát, giấy phải xé vụn hoặc đốt) Kiến trúc an ninh và thiết kế ● ● ● Mô hình an toàn gồm Bell-LaPadula, Biba, Clark-Wilson, Brewer & Nash (bức tường Trung Quốc) Bell-LaPadula bảo đảm tính bảo mật với không viết xuống, và không đọc lên, chỉ đọc, viết ở cùng mức an toàn Biba bảo đảm tính toàn vẹn với không viết lên, không đọc xuống, và không gọi lên Kiến trúc an ninh và thiết kế ● Vấn đề đáng quan tâm tới kiến trúc an ninh gồm cửa sau (backdoor), lúc kiểm tra/lúc chạy (TOC/TOU), kênh liên lạc ngầm (covert channel), tràn bộ đệm An toàn vật lý ● ● ● ● Môi trường: tránh đường ray, tránh đường bay, tránh nơi đông xe qua lại, tránh thiết bị tạo sóng điện từ, tránh nơi nhiều thiên tai Môi trường: gần bệnh viện, công an, cứu hỏa, ở trên khu đất cao hơn xung quanh, có cây bao quanh Sử dụng môi trường để bảo vệ và trang trí Khóa có nhiều loại khóa chìa, khóa thẻ, khóa số, khóa thông minh An toàn vật lý ● ● ● ● ● ● ● Khóa chỉ làm chậm kẻ xấu Khóa cửa phải chú ý tới việc thoát hiểm Cửa, kiếng, tường phải chú tới chất liệu Trung tâm dữ liệu (data center) không nên có cửa sổ Thiết kế trần rơi (dropped ceiling), sàn nâng (raised floor) phải chú ý kẻ xấu có thể sử dụng để “chui” vào, dây điện, mạng phải tiêu chuẩn Hạn chế cửa vào, cửa thoát hiểm chỉ đẩy ra Đầu vào phải được canh gác, theo dõi An toàn vật lý ● ● ● ● ● ● Hai lớp cửa để tránh “đi kèm” Điều hòa nhiệt độ phải tuần hoàn khí thay vì lấy khí từ bên ngoài Hệ thống nước và khí phải chảy từ ống ra ngoài (positive flow) Nhiệt độ phải không quá ẩm, không quá lạnh, không quá khô, không thể nóng Chống, chữa cháy phải luôn sẵn sàng Dùng khí FM200 thay vì Halon, CO2 An toàn vật lý ● ● ● ● ● Máy tính phải chạy bảo vệ màn hình, khóa bàn phím, cấm ổ rời, dùng chung thiết bị đầu vào, đầu ra Kênh liên lạc như dây mạng, hoặc sóng cần cẩn thận với việc nghe trộm Cẩn thận với việc nghe trộm rò rỉ (emancipating) Nhiều nguồn điện chính, và dự phòng Điện cho HVAC riêng, duy trì điện áp An toàn vật lý ● ● ● ● Theo dõi bằng máy quay, thiết bị chống xâm nhập, phát hiện chuyển động Canh gác bằng người, chó Cảnh giác bằng đèn chiếu, biển báo, rào chắn, lưới gai, hố trũng Kiểm tra và bảo trì định kỳ An toàn viễn thông và mạng ● ● ● ● ● ● ● Mô hình OSI Mô hình TCP Các mô hình mạng LAN, MAN, WAN Các thiết kế mạng vòng, cây, sao Các công nghệ SONET, ATM, PSTN, DSL Các kỹ thuật chuyển gói (packet switch), mạch ảo (virtual circuit), dẫn tuyến (routing) Các thiết bị hub, switch, router An toàn viễn thông và mạng ● Tường lửa (firewall) ● ● ● ● ● ● ● ● Lọc gói (packet filter) Hiểu trạng thái (stateful) Mạch (circuit level) Ứng dụng (application) Proxy Nhân proxy (kernel proxy filter) Động (dynamic, NAT) Nhiều loại tường lửa nên cần chú ý sử dụng đúng An toàn viễn thông và mạng ● Cấu trúc tường lửa ● ● ● ● ● ● Máy đã làm cứng (Bastion host, hardened) Hai card mạng (Dual-homing) Máy đã được lọc (Screened host) Mạng con được lọc (Screened subnet, DMZ) Tường lửa phải được cấu hình đúng Các luật lọc phải theo quy tắc chỉ cho vào nếu cần (khác với quy tắc chỉ cấm nếu cần) An toàn viễn thông và mạng ● Truy cập từ xa ● ● ● ● ● ● Phải định danh, xác nhận, và phân quyền Qua kênh riêng (modem), hoặc hầm (tunnel) trong kênh chung (internet) Dùng các giao thức PAP, CHAP, EAP Dùng IPSec, L2TP, PPTP, VPN Hầm site-2-site hay host-2-site Vô tuyến 802.11?, Bluetooth, vệ tinh, 3G ● Nghe lén An toàn viễn thông và mạng ● Ứng dụng mạng ● ● ● ● ● ● IM Spyware, adware WAP (Gap-in-Wap) i-Mode Malware, rootkit Web 2.0 Mã hóa ● Sẽ được bàn đến trong bài sau Liên tục kinh doanh (nhanh) ● ● ● ● ● ● Lập chính sách liên tục kinh doanh (Business Continuity) Khảo sát ảnh hưởng tới kinh doanh (Business Impact Analysis) Thiết lập các điều khiển ngăn ngừa Lập chính sách hồi phục Tạo kế hoạch hồi phục sau thảm họa (Disaster Recovery Plan) Kiểm tra và bảo trì kế hoạch đó Liên tục kinh doanh ● ● ● ● ● BIA phải do tất cả chủ dữ liệu cùng làm Phải xác định rõ tài sản, quá trình kinh doanh nào quan trọng, và thời gian tối đa thiếu nó (Maximum Tolerable Downtime) Mọi giải pháp phải đảm bảo hệ thống hoạt động trở lại trước MTD. Hot Site, Warm Site, Cold Site, Mobile Site Thỏa thuận hai chiều (Reciprocal Agreement) cho tổ chức giống nhau Liên tục kinh doanh ● ● ● ● ● Sao lưu phần mềm, phần cứng, dữ liệu Tài liệu, con người, môi trường làm việc Chuyển rủi ro cho công ty bảo hiểm Hoàn lại (restore), khôi phục (recover), cứu vớt (salvage) Kiểm tra, thử nghiệm, bảo trì kế hoạch Luật pháp và điều tra (nhanh) ● ● ● ● ● Luật ở mỗi quốc gia mỗi khác Luật tài sản trí tuệ như bí mật kinh doanh, bản quyền, thương hiệu, sáng chế công nghiệp Luật về tính riêng tư Trách nhiệm trước pháp luật Ứng phó: phát hiện, xem xét, ngăn lại (contain), phân tích, theo dõi, sửa chữa, hồi phục, ngăn chặn Luật pháp và điều tra ● ● ● ● Bằng chứng phải được xử lý theo quy trình: xác định, giữ nguyên, thu thập, kiểm tra, phân tích, trình bày, quyết định, hồi trả Quy trình này đảm bảo chuỗi canh giữ (chain of custody) Bằng chứng phải là bằng chứng trực tiếp mới có giá trị trước tòa Một vài kiểu vi phạm: bòn rút, thay dữ liệu, dư quyền, mò rác, nghe trộm An toàn ứng dụng ● Cơ sở dữ liệu: ● ● ● ● Toàn vẹn dữ liệu Rủi ro về gom góp (aggregation) và suy đoán (inference) Cách chống: Dấu dữ liệu (cell suppression), phân cách (partitioning), thêm nhiễu (noise & perturbation), góc nhìn (view), đa giá trị (polyinstantiation) Data warehousing & Data mining có thể dùng để phát hiện vi phạm An toàn ứng dụng ● Quy trình phát triển phần mềm ● ● ● ● ● An toàn thông tin được đưa vào càng sớm càng giảm chi phí, tạo ra sản phẩm chất lượng Phát triển, kiểm tra, triển khai trên các hệ thống khác nhau Nhóm phát triển không được triển khai Nhóm triển khai chỉ lấy mã đã được chấp nhận Có nhiều kiểu kiểm tra: đơn vị (unit), tích hợp (integration), chấp nhận (acceptance), kiểm tra lại (regression), hệ thống (system) An toàn ứng dụng ● Quản lý thay đổi ● ● ● ● Quy trình đề nghị, xem xét, chấp nhận, thực hiện, kiểm tra, triển khai Nếu tổ chức thuê tổ chức khác phát triển phần mềm thì cần bản giao kèo (escrow) Kỹ thuật phát triển gồm các ngôn ngữ, công cụ trợ giúp, kiểu định hướng Các ứng dụng nguy hiểm gồm virus, worm, trojan horse, botnet, logic bomb An toàn ứng dụng ● Các lỗi thông thường ● ● ● ● ● Tràn bộ đệm Chuỗi định dạng Chèn mã Quản lý phiên làm việc Quản lý bản vá ● ● ● ● Cần cơ sở hạ tầng gồm cả phần cứng, mềm Nghiên cứu/Kiểm tra bản vá trước Áp dụng/Triển khai/Quay lùi Ghi nhớ và cập nhật An toàn hoạt động (nhanh) ● ● ● ● ● ● ● ● Nhìn quanh Bàn và ghế (trừ khi nằm chắn thoát hiểm) Quản lý nhân sự Quản lý cấu hình MTBF, MTTR Sao lưu Email Fax/Máy in/CD/Băng từ An toàn hoạt động ● ● ● ● Truy cập từ xa Bảo quản dữ liệu (RAID, HSM, SAN, v.v…) Cluster, Grid, High Availability Kiểm tra lỗ hổng ● ● ● ● Kiểm tra thâm nhập (penetration test) Kiểm tra nhân viên Kiểm tra truy cập Theo dõi và cảnh báo vượt ngưỡng (clipping level)