An toàn bảo mật mạng - Chương 6: Chuẩn an toàn thông tin

Chuẩn an toàn thông tin 1 AN TOÀN BẢO MẬT MẠNG (Network Security) TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM TP.HCM Giảng viên: Ths. Trần Đắc Tốt – Khoa CNTT Email: tottd@cntp.edu.vn Website: www.oktot.com Facebook: https://www.facebook.com/oktotcom/ Chuẩn an toàn thông tin 2 NỘI DUNG MÔN HỌC Chương 1: Tổng quan an toàn và bảo mật thông tin mạng máy tính. Chương 2: Tấn công mạng máy tính. Chương 3: Công nghệ Firewall. Chương 4: Hệ thống phát hiện và phòng chống xâm nhập (IDS&IPS). Chương 5: An ninh mạng WLAN (IEEE 802.11). Chương 6: Chuẩn an toàn thông tin. Chuẩn an toàn thông tin 3 Các nội dung trình bày 1. Pháp luật về an toàn thông tin 2. Bộ tiêu chuẩn ISO/IEC 2700x 3. Các bộ tiêu chuẩn khác Chuẩn an toàn thông tin 4 1. Pháp luật về an toàn thông tin Với việc kết nối máy tính vào mạng, con người có thể mở rộng phạm vi hoạt động của mình thì điều đó cũng có nghĩa là những tác hại có thể được nhân lên qua mạng. Vì thế trong một xã hội "nối mạng", mọi cá nhân phải nhận thức được trách nhiệm với cộng đồng. Pháp luật về ATTT là các quy định, nghị định, chính sách nhằm đưa ra các yêu cầu và luật về đảm bảo ATTT. Chuẩn an toàn thông tin 5 1.1. Tin tặc, tội phạm kỹ thuật Tin tặc (Hacker): Là một người hay nhóm người sử dụng sự hiểu biết của mình về cấu trúc máy tính, hệ điều hành, mạng, các ứng dụng trong cơ sở HTTT ... để tìm lỗi, lỗ hỗng, điểm yếu an toàn của nó và tìm cách xâm nhập, thay đổi hay chỉnh sửa HTTT với mục đích tốt xấu khác nhau. Chuẩn an toàn thông tin 6 Tin tặc, tội phạm kỹ thuật (tiếp) Có hai loại Hacker: Hacker mũ trắng là những người mà hành động tấn công, xâm nhập và thay đổi, chỉnh sửa hệ thống phần cứng, phần mềm với mục đích tìm ra các lỗi, lỗ hổng, điểm yếu bảo mật và đưa ra giải pháp ngăn chặn và bảo vệ hệ thống chẳng hạn như những nhà phân tích An ninh mạng. Chuẩn an toàn thông tin 7 Tin tặc, tội phạm kỹ thuật (tiếp) Hacker mũ đen là những người mà hành động tấn công, xâm nhập, thay đổi, chỉnh sửa hệ thống phần cứng, phần mềm với mục đích phá hoại, hoặc vi phạm pháp luật. Chuẩn an toàn thông tin 8 1.2. Một số tội phạm tin học liên quan đến lạm dụng Internet Mạo danh, xâm nhập máy tính trái phép để đánh cắp và huỷ hoại thông tin. Lừa đảo qua mạng (Phishing): Là loại lừa đảo hấp dẫn nhất với tin tặc và trở thành hiểm hoạ đe doạ thương mại điện tử, làm giảm lòng tin vào các giao dịch điện tử. Chuẩn an toàn thông tin 9 Một số tội phạm tin học liên quan đến lạm dụng Internet (tiếp) Spamming (thư rác) và việc vi phạm tính riêng tư của người khác: Email là hệ thống giúp marketting rất tốt với khả năng quảng bá nhanh chóng và rộng rãi. Tuy nhiên có những người lạm dụng hệ thống email để quấy rối, đe dọa, xúc phạm đến người khác. Nhiều nước đang xem xét những đạo luật liên quan đến spamming có được phép hay không. Ở Việt nam, nạn spamming đang bùng nổ rất mạnh mẽ. Chuẩn an toàn thông tin 10 Một số tội phạm tin học liên quan đến lạm dụng Internet (tiếp) Tấn công từ chối dịch vụ. Phát tán hoặc gieo rắc các tài liệu phản văn hoá, vi phạm an ninh quốc gia: Internet là môi trường công cộng, ai cũng có thể sử dụng. Một số người lợi dụng khả năng của Internet để phổ biến các tài liệu phản văn hoá như kích động bạo lực, phổ biến văn hoá đồi truỵ, kích động bạo loạn, kích động các xu hướng dân tộc hay tôn giáp cực đoan, hướng dẫn các phương pháp khủng bố. Chuẩn an toàn thông tin 11 1.3. Vấn đề sở hữu trí tuệ và bản quyền Luật bản quyền được quy định trong Bộ luật dân sự của nước Cộng hoà Xã hội chủ nghĩa Việt Nam. Về cơ bản, quyền tác giả (quyền tinh thần) được cấp cho những người trực tiếp sáng tạo ra phần mềm; quyền sở hữu (quyền thương mại) được cấp cho người đầu tư; quyền sử dụng (licence) do chủ sở hữu cấp phép cho người sử dụng. Chuẩn an toàn thông tin 12 Vấn đề sở hữu trí tuệ và bản quyền (tiếp) Về mặt luật, phần mềm hiện đang được đối xử như một tác phẩm viết và còn rất nhiều điều bất cập. Chắc chắn luật sở hữu trí tuệ phải được tiếp tục hoàn thiện, nhất là đối với phần mềm. Tình trạng dùng phần mềm sao chép không có bản quyền rất phổ biến không chỉ riêng ở các nước đang phát triển. Ngay ở Mỹ cũng có đến 1/3 số phần mềm được dùng không có bản quyền. Chuẩn an toàn thông tin 13 Vấn đề sở hữu trí tuệ và bản quyền (tiếp) Theo thống kê của các tổ chức có trách nhiệm tình trạng dùng phần mềm không có bản quyền đã gây thiệt hại cho những người làm phần mềm nhiều tỷ đô la môĩ năm. Các nhà sản xuất phần mềm đã tìm các phương pháp chống sao chép nhưng "không lại" được với dân tin tặc. Cho đến nay, chưa một phần mềm nào của Việt Nam chống được nạn bẻ khoá. Chuẩn an toàn thông tin 14 1.4. Luật tội phạm tin học ở Việt Nam Bất cứ một nước phát triển nào cũng phải có quy định dưới dạng các văn bản pháp luật để chống lại các tội phạm tin học. Ở Việt Nam, nhận thức được tính nghiêm trọng của các tội phạm tin học, Quốc hội Cộng hoà Xã hội Chủ nghĩa Việt Nam đã ban hành một số điều luật chống tội phạm tin học trong bộ luật hình sự (13/1/2000). Chuẩn an toàn thông tin 15 Luật tội phạm tin học ở Việt Nam (tiếp) Điều 224. Tội tạo ra và lan truyền, phát tán các chương trình virus tin học Điều 225. Tội vi phạm các quy định về vận hành, khai thác và sử dụng mạng máy tính điện tử Điều 226. Tội sử dụng trái phép thông tin trên mạng và trong máy tính Chuẩn an toàn thông tin 16 Luật tội phạm tin học ở Việt Nam (tiếp) Nghị định 55/2001/NĐ-CP Ngày 23/8/2001 Chính phủ ban hành nghị định 55/2001/NĐ-CP quy định một số mức xử phạt các vi phạm khi sử dụng Internet. Chuẩn an toàn thông tin 17 2. Bộ tiêu chuẩn ISO/IEC 2700x Tiêu chuẩn về quản lý an toàn thông tin có bộ ISO/IEC 2700x cung cấp các hướng dẫn và các vấn đề liên quan trong hệ thống quản lý an toàn thông tin: ISO/IEC 27000:2009 -Hệ thống quản lý an toàn thông tin - Tổng quan và từ vựng ISO/IEC 27001:2005 - Hệ thống quản lý an toàn thông tin - Các yêu cầu ISO/IEC 27002:2005 -Quy tắc thực hành quản lý an toàn thông tin ISO/IEC 27003:2010 -Hướng dẫn thực thi hệ thống quản lý an toàn thông tin ISO/IEC 27004:2009 - Quản lý an toàn thông tin - Đo lường ISO/IEC 27005:2011-Quản lý rủi ro an toàn thông tin . Chuẩn an toàn thông tin 18 2. Bộ tiêu chuẩn ISO/IEC 2700x Bộ tiêu chuẩn ISO/IEC 15408:2009 cung cấp một tập các yêu cầu đảm bảo an toàn của các sản phẩm và hệ thống công nghệ thông tin và các biện pháp đảm bảo áp dụng các yêu cầu trong quá trình đánh giá an toàn. Bộ tiêu chuẩn này gồm có 3 phần: ISO/IEC 15408-1:2009 - Công nghệ thông tin - Các kỹ thuật an toàn - Tiêu chí đánh giá cho an toàn công nghệ thông tin - Phần 1: Giới thiệu và mô hình chung ISO/IEC 15408-2:2009 - Công nghệ thông tin - Các kỹ thuật an toàn - Tiêu chí đánh giá cho an toàn công nghệ thông tin - Phần 2: Các thành phần chức năng an toàn ISO/IEC 15408-3:2008 - Công nghệ thông tin - Các kỹ thuật an toàn - Tiêu chí đánh giá cho an toàn công nghệ thông tin - Phần 3: Các thành phần đảm bảo an toàn Chuẩn an toàn thông tin 19 2. Bộ tiêu chuẩn ISO/IEC 2700x Bộ tiêu chuẩn ISO/IEC 18045:2008 - Công nghệ thông tin - Các kỹ thuật an toàn- Phương pháp ước lượng an toàn công nghệ thông tin. Tiêu chuẩn này được sử dụng cùng với các tiêu chí đánh giá an toàn trong bộ ISO/IEC 15408 Chuẩn an toàn thông tin 20 2. Bộ tiêu chuẩn ISO/IEC 2700x Bộ tiêu chuẩn ISO/IEC TR19791:2010 - Công nghệ thông tin - Các kỹ thuật an toàn-Đánh giá an toàn các hệ thống hoạt động. Tiêu chuẩn này cung cấp các hướng dẫn và tiêu chí cho việc ước lượng an toàn các hệ thống hoạt động. Tiêu chuẩn này mở rộng hơn của ISO/IEC 15408, nó đề cập các khía cạnh quan trọng trong các hệ thống hoạt động mà trong tiêu chuẩn ISO/IEC 15408 không được đề cập. Chuẩn an toàn thông tin 21 2. Bộ tiêu chuẩn ISO/IEC 2700x Bộ tiêu chuẩn ISO/IEC TR 15443:2012 đề cập đến các khái niệm và tiêu chí cho việc so sánh và phân tích các phương pháp đánh giá sự phù hợp bảo đảm an toàn. Bộ tiêu chuẩn này gồm 2 phần: ISO/IEC 15443-1:2012 - Công nghệ thông tin - Kỹ thuật an toàn - Khung bảo đảm an toàn công nghệ thông tin - Phần 1: Giới thiệu và khái niệm ISO/IEC 15443-2:2012 - Công nghệ thông tin - Kỹ thuật an toàn - Khung bảo đảm an toàn công nghệ thông tin - Phần 2: Các phân tích Chuẩn an toàn thông tin 22 3. Các Bộ tiêu chuẩn khác Bộ tiêu chuẩn ISO/IEC TR 15443:2012 đề cập đến các khái niệm và tiêu chí cho việc so sánh và phân tích các phương pháp đánh giá sự phù hợp bảo đảm an toàn. Bộ tiêu chuẩn này gồm 2 phần: ISO/IEC 15443-1:2012 - Công nghệ thông tin - Kỹ thuật an toàn - Khung bảo đảm an toàn công nghệ thông tin - Phần 1: Giới thiệu và khái niệm ISO/IEC 15443-2:2012 - Công nghệ thông tin - Kỹ thuật an toàn - Khung bảo đảm an toàn công nghệ thông tin - Phần 2: Các phân tích Chuẩn an toàn thông tin 23 4. Một số tiêu chuẩn đã được ban hành (VN) TCVN 7326-1:2003 Thiết bị công nghệ thông tin. An toàn. Phần 1: Yêu cầu chung (IEC 60950-1:2001) TCVN 7563-8:2005 Công nghệ thông tin. Từ vựng. Phần 8: An toàn (ISO/IEC 02382-8:1998) TCVN 7562:2005 Công nghệ thông tin. Mã thực hành quản lý an toàn thông tin (ISO/IEC 17799:2000) TCVN 7635:2007 Kỹ thuật mã hoá, Chữ ký số TCVN 7816:2007 Công nghệ thông tin. Kỹ thuật mật mã thuật toán mã dữ liệu AES TCVN 7818-2:2007 Công nghệ thông tin. Kỹ thuật mật mã dịch vụ tem thời gian. Phần 2: Cơ chế token độc lập (ISO/IEC 18014-2:2002) Chuẩn an toàn thông tin 24 4. Một số tiêu chuẩn đã được ban hành (VN) TCVN 7817-3:2007 Công nghệ thông tin. Kỹ thuật mật mã quản lý khoá. Phần 3: Các cơ chế sử dụng kỹ thuật không đối xứng (ISO/IEC 11770- 3:1999) TCVN 7817-1:2007 Công nghệ thông tin. Kỹ thuật mật mã quản lý khoá. Phần 1: Khung tổng quát (ISO/IEC 11770-1:1996) TCVN 7818-1:2007 Công nghệ thông tin. Kỹ thuật mật mã dịch vụ tem thời gian. Phần 1: Khung tổng quát (ISO/IEC 18014-1:2002) TCVN 7563-14:2009 Công nghệ thông tin. Từ vựng. Phần 14: Độ tin cậy, khả năng duy trì, tính sẵn có (ISO/IEC 2382-14:1997) Chuẩn an toàn thông tin 25 4. Một số tiêu chuẩn đã được ban hành (VN) TCVN 8051-1:2009 Công nghệ thông tin. Kỹ thuật an toàn. An toàn mạng công nghệ thông tin. Phần 1: Quản lý an toàn mạng (ISO/IEC 18028- 1:2008) TCVN ISO/IEC 27001:2009 Công nghệ thông tin. Hệ thống quản lý an toàn thông tin. Các yêu cầu (ISO/IEC 27001:2005) TCVN 8051-2:2009 Công nghệ thông tin. Kỹ thuật an toàn. An toàn mạng công nghệ thông tin. Phần 2: Kiến trúc an toàn mạng (ISO/IEC 18028- 2:2006) TCVN 7818-3:2010 Công nghệ thông tin. Kỹ thuật an toàn. Dịch vụ tem thời gian. Phần 3: Cơ chế tạo thẻ liên kết (ISO/IEC 18014-3:2009) Chuẩn an toàn thông tin 26 4. Một số tiêu chuẩn đã được ban hành (VN) TCVN 7817-4:2010 Công nghệ thông tin. Kỹ thuật an toàn quản lý khoá. Phần 4: Cơ chế dựa trên bí mật yếu (ISO/IEC 11770-4:2006) TCVN 7817-2:2010 Công nghệ thông tin. Kỹ thuật an toàn quản lý khoá. Phần 2: Cơ chế sử dụng kỹ thuật đối xứng (ISO/IEC 11770-2:2008) TCVN ISO/IEC 27002:2011 Công nghệ thông tin- Các kỹ thuật an toàn- Quy tắc thực hành quản lý an toàn thông tin (ISO/IEC 27002:2005) TCVN 8709-1:2011 Công nghệ thông tin- Các kỹ thuật an toàn- Các tiêu chí đánh giá an toàn công nghệ thông tin- Phần 1: Giới thiệu và mô hình tổng quát (ISO/IEC 15408-1:2009) TCVN 8709-2:2011 Công nghệ thông tin- Các kỹ thuật an toàn- Các tiêu chí đánh giá an toàn công nghệ thông tin- Phần 2: Các thành phần chức năng an toàn (ISO/IEC 15408-2:2008) Chuẩn an toàn thông tin 27 4. Một số tiêu chuẩn đã được ban hành (VN) TCVN 8709-3:2011 Công nghệ thông tin- Các kỹ thuật an toàn- Các tiêu chí đánh giá an toàn công nghệ thông tin- Phần 3: Các thành phần đảm bảo an toàn (ISO/IEC 15408-3:2008) TCVN 9801-1:2013 Công nghệ thông tin. Kỹ thuật an toànan toàn mạng. Phần 1: tổng quan và khái niệm TCVN 9965:2013 Công nghệ thông tin. Kỹ thuật an toàn. Hướng dẫn tích hợp triển khai TCVN ISO/IEC 27001 và ISO/IEC 20000-1 TCVN 9801-1:2013 Công nghệ thông tin - Các kỹ thuật an toàn - An toàn mạng - Phần 1: Tổng quan và khái niệm (ISO/IEC 27033-1:2009) TCVN 10295:2016 Công nghệ thông tin- Các kỹ thuật an toàn- Quản lý rủi ro an toàn thông tin (ISO/IEC 27005:2011) Chuẩn an toàn thông tin 28 4. Một số dự thảo tiêu chuẩn chưa được ban hành Dự thảo TCVN (ISO/IEC 27033-2:2012) Công nghệ Thông tin - Kỹ thuật an toàn - An toàn mạng - Phần 3: Các kịch bản kết nối mạng tham chiếu - Nguy cơ, kỹ thuật thiết kế và các vấn đề kiểm soát (ISO/IEC 27033-3:2010) Công nghệ thông tin - Các kỹ thuật an toàn - Quản lý an toàn thông tin - Đo lường (ISO/IEC 27004:2009) Chuẩn an toàn thông tin 29 4. Một số dự thảo tiêu chuẩn chưa được ban hành Công nghệ thông tin - Các ký thuật an toàn - Hướng dẫn triển khai hệ thống quản lý an toàn thông tin (ISO/IEC 27003:2010) Công nghệ thông tin - Các ký thuật an toàn - Quản lý an toàn thông tin cho truyền thông liên tổ chức, liên ngành (ISO/IEC 27010:2012) Dự thảo TCVN (ISO/IEC 27000:2009) Dự thảo TCVN (ISO/IEC 27035:2011 Chuẩn an toàn thông tin 30 Câu hỏi ? Ý kiến ? Đề xuất ?