những nguyên tắc cơ bản xây dựng hệ thống an toàn thông tin trong doanh nghiệp
DESCRIPTION
Đây là bài trình bày của Tiến sĩ Võ Văn Khang tại Offline lần thứ 23 của Cộng đồng CIO Việt Nam, ngàyTRANSCRIPT
i
Trình bày: TS. Võ Văn Khang
NỘI DUNG
1. THÁCH THỨC VỀ ATTT 2013
2. NHỮNG NGUYÊN TẮC CƠ BẢN
3. XÂY DỰNG MÔ HÌNH PHÒNG THỦ
4. XỬ LÝ CÁC HIỂM HỌA
1. THÁCH THỨC ATTT 2013
• Sponsored - Espionage - Mua chuộc nhân sự - Mua bán thông tin • DDOS - Botnet - Spyware • Cloud Migration
- Mobile Access, users devices - Social Network
Sophistication of Hacker Tools
Packet Forging/ Spoofing
2000 1980
Password Guessing
Self Replicating Code
Password Cracking
Exploiting Known Vulnerabilities
Disabling Audits
Back Doors
Hijacking Sessions
Sweepers
Sniffers
Stealth Diagnostics
Technical Knowledge Required
High
Low 2013
DDOS
New Internet Worms
4
1. THÁCH THỨC ATTT 2013
2. NHỮNG NGUYÊN TẮC CƠ BẢN
• Nguyên tắc CIA - Tính bảo mật (Confidentiality) - Tính sẵn sàng ( Availability) - Tính nguyên vẹn và khả năng không thể từ chối (Integrity and
non - repudiation)
• Nguyên tắc giá trị thông tin - Không có hệ thống an toàn tuyệt đối
• Nguyên tắc thời gian sống của thông tin - Claude E. Shannon
2. NHỮNG NGUYÊN TẮC CƠ BẢN
• Nguyên tắc 3A - Authentication - Authorization - Accounting
• Murphy’s Law - Edward A. Murphy – 1949
“If ―‖‗‛‟‣․‥‱there ―‖‗‛‟‣․‥‱are ―‖‗‛‟‣․‥‱two ―‖‗‛‟‣․‥‱or ―‖‗‛‟‣․‥‱more ―‖‗‛‟‣․‥‱ways ―‖‗‛‟‣․‥‱to ―‖‗‛‟‣․‥‱do ―‖‗‛‟‣․‥‱something, ―‖‗‛‟‣․‥‱and one of those ways can result in a catastrophe, ―‖‗‛‟‣․‥‱then ―‖‗‛‟‣․‥‱someone ―‖‗‛‟‣․‥‱will ―‖‗‛‟‣․‥‱do ―‖‗‛‟‣․‥‱it”
2. NHỮNG NGUYÊN TẮC CƠ BẢN
• Common mistakes - ATTT và chiến lược, phương thức kinh doanh sản xuất - Tính tóan sai về khấu hao đầu tư - Đánh giá sai về đối tượng và điểm yếu kỹ thuật - Không có chính sách về ATTT
2. NHỮNG NGUYÊN TẮC CƠ BẢN
3. MÔ HÌNH PHÒNG THỦ
Internet
Telecommuters
Mobile Users
Branch Office
Business Partner
Internet-Based Extranet (VPN)
PSTN
Internet-Based Intranet (VPN)
Branch Office
Open Network
3. MÔ HÌNH PHÒNG THỦ
3. MÔ HÌNH PHÒNG THỦ
1. Đánh giá và phân loại dữ liệu
2. Xây dựng Security Policy
3. Hệ thống hóa thiết bị hạ tầng, quy hoạch kết nối
4. Lên kế hoạch các công cụ, ứng dụng sẽ triển khai, so sách với chiến lược kinh doanh
5. Thiết kế chi tiết hệ thống
6. Đánh giá về bảo mật
7. Xử lý điểm yếu
8. Đánh giá chỉnh sửa Policy (PDCA)
Security Policy
OS, Update Mngt, Authentication, SIEM
Firewall, VPN, Routers
Lock, Camera
VLAN, IPS/IDS
Application Control, Antivirus
Access Control, Encryption, backup
Physical
Perimeter
Internal
Host
Application
Data
3. MÔ HÌNH PHÒNG THỦ
ISMS, ISO 2700x
3. MÔ HÌNH PHÒNG THỦ
3. MÔ HÌNH PHÒNG THỦ
4. XỬ LÝ RỦI RO
Những rủi ro có xác suất xảy ra và mang lại tác hại cho hệ thống trong tương lai được xếp loại: • High Risk – là rủi ro có xác suất cao và thiệt hại lớn • Medium Risk – xác xuất thấp hoặc thiệt hại nhỏ • Low Risk – Khó xảy ra và thiệt hại không đáng kể
4. XỬ LÝ RỦI RO
Risk management là quá trình bao gồm 4 bước cơ bản sau: • risk assessment – Đánh giá rủi ro, • risk acceptance – Nhận diện rủi ro, • risk treatment – Sử lý rủi ro, • risk communication – Theo dõi, thông báo.
risk assessment bao gồm 2 kỹ thuật: • Phân tích rủi ro (risk analysis) • Đo lường rủi ro (risk evaluation)
4. XỬ LÝ RỦI RO
Risk treatment – là quá trình đưa ra quyết định xử lý từng rủi ro và có ít nhất 4 lựa chọn sau: • accept the risk – chấp nhận • avoid the risk – Ngăn ngừa • transfer the risk – Chuyển đổi • reduce the risk – Giảm thiểu