An toàn Thông tin

Khái niệm & Định hướng Nghiên cứu

Chủ đề

• Khái niệm an toàn thông tin

• Các hướng đi trong an toàn thông tin

• Cơ hội nghề nghiệp liên quan đến An toàn Thông tin

• Các tài nguyên và kỹ năng cần thiết khi làm việc trong lĩnh vực An toàn Thông tin

An toàn thông tin là gì?

• Khái niệm

• Các mục tiêu

• Phương pháp

Security là gì?

• Security (n.) the state of being free from danger or threat(Oxford Dictionary of English) – by protecting assets from danger and/or threat

Information Security(An toàn thông tin) là gì?

• Information Security – An toàn thông tin

– Bảo vệ tài sản thông tin

• Bản thân thông tin

• Các hệ thống thông tin: lưu trữ, truyền dẫn, xử lý, sử dụng

Thế nào là an toàn?

• Thỏa mãn 3 mục tiêu chính:

– Confidentiality: Bảo mật

– Integrity: Toàn vẹn

– Availability: Tính sẵn sàng

Lệnh: Tấn

công lúc 6h 8h

Làm sao để đảm bảo an toàn?

Information Asset

Vulnerability Attack

Threat

Bằng cách đưa ra những biện pháp kiểm soát

(Control) nguy cơ (Threat)

Control Buffer Overflow Vulnerability

Buffer Overflow Attack

Patch / Update

Apache Web Server

Các hướng đi trong ATTT

• Các hướng đi trong ATTT

• Các lĩnh vực, chuyên ngành có liên quan đến ATTT

Phân loại theo các bước bảo vệ

• Phát hiện các nguy cơ (Phát hiện Attack/Vulnerability) – Kiểm thử ứng dụng – Kiểm thử hệ thống (Penetration testing) – Tìm lỗi phần mềm

• Triển khai các biện pháp kiểm soát – Triển khai các biện pháp bảo vệ (Trên hạ tầng

mạng: Firewall, IDS, v.v.; trên hệ thống: Windows, Linux, Unix, v.v.; trên dịch vụ: Web, Mail, v.v.)

– Quản lý và tính toán các biện pháp triển khai sao cho hiệu quả (Risk management, bảo đảm các control và hệ thống làm việc khớp với nhau)

Hướng đi theo các loại hình tấn công

• Buffer Overflow

• Tấn công trên Web

• Denial of Service

• Malware

• v.v.

Hướng đi theo các biện pháp bảo vệ

• Firewall

• VPN

• Proxy

• IDS/IPS

• HA, Clustering, v.v.

• v.v.

Các ngành nghiên cứu khác có liên quan đến ATTT

• Mật mã học (Cryptography)

• Mạng máy tính(Networking)

• Các công nghệ phần mềm(Web Technologies)

• Khoa học máy tính(Computer Science)

Kỹ năng và tài nguyên cần có

• Khi học và làm việc trong ngành ATTT, trang bị những gì?

Cần trang bị kiến thức gì?

• Về đối tượng được bảo vệ (Cấu trúc, cách hoạt động, v.v.)

• Các vấn đề hiện có (Về ATTT) của đối tượng đó

– Các lỗ hổng/hình thức tấn công đã biết?

– Hạn chế của đối tượng được bảo vệ?

• Quan hệ đối với các đối tượng khác trong một hệ thống?

• Các nguồn tin về an toàn thông tin

Các kiến thức cần có

• Kiến trúc máy tính (Máy tính hoạt động như thế nào?)

– Ngôn ngữ C

– Linux / Căn bản về hệ điều hành

Các kiến thức cần có

• Kiến thức về mạng (TCP/IP)

Các kiến thức cần có

• Mật mã học

Các kiến thức cần có

• Kiến thức về các hệ điều hành được sử dụng rộng rãi:

– Microsoft Windows

– Linux/Unix

– v.v.

Các kiến thức cần có

• Sử dụng được thành thạo một ngôn ngữ

– Scripting: Nhanh, ngắn gọn, hiệu quả

– Chọn các ngôn ngữ dễ học và hỗ trợ được nhiều chức năng: Python, Perl

Các kiến thức cần có

• Kiến thức về các công nghệ/dịch vụ được sử dụng rộng rãi:

– HTML/CSS/Javascript

– PHP

– SQL: MySQL, v.v.

– Hoặc đang phát triển: Android, iOS

Các công cụ cần có

• Máy tính

– Theo dõi, truy cập, tìm kiếm thông tin, tài liệu

– Thực hành

– Virtualization/Simulation

Các công cụ cần có

• VPS/Hosting (Nên có)

– Kinh nghiệm làm việc với một hệ thống thật, có kết nối với bên ngoài

– Thiết lập các server như Web, Mail, File Server, Proxy

Các nguồn tin về ATTT

• General Information: – packetstormsecurity.org – liquidmatrix.org – exploit-db.com – slashdot.org/stories/security

• Q&A: Stack Exchange Sites: – stackoverflow.com – serverfault.com – …

• Blogs: – Blog KHMT: www.procul.org/blog – Coding Horrors: www.codinghorror.com/blog – Bruce Schneier: http://www.schneier.com/

• Learning Sources: – Khan Academy (khanacademy.org) – Coursera (coursera.org)

Cơ hội nghề nghiệp

Nhu cầu

• Chuyên gia an ninh

– Doanh nghiệp lớn, công ty nước ngoài

– An ninh thông tin chuyên nghiệp

Nhu cầu

• Quản trị mạng có kiến thức bảo mật

– Doanh nghiệp vừa và nhỏ

– Quản trị mạng có am hiểu an ninh mạng

Nhu cầu

• Sở ban ngành

– Quản lý công nghệ thông tin (vd: phòng công nghệ thông tin Sở TTTT)

– Kiểm tra đánh giá mức độ an ninh hệ thống.

Vị trí

• Doanh nghiệp

– Chuyên gia an ninh mạng

– Quản trị mạng cao cấp

• Sở ban ngành

– Quản lý công nghệ thông tin