Bài giảng An toàn dữ liệu

Bài giảng An toàn dữ liệu Nguyễn Thị Hội - Bộ môn CNTT TMĐT 1 Bài giảng môn: An toàn dữ liệu trong Thương mại điện tử 1/18/2011 Bộ môn CNTT - TMĐT 1 Bộ môn CNTT – TMĐT Khoa Thương mại điện tử 1. Mục đích và yêu cầu z Mục đích của môn học z Cung cấp những kiến thức cơ bản về an toàn dữ liệu và sự cần thiết của việc đảm bảo an toàn dữ liệu. ấ ề ấ 1/18/2011 Bộ môn CNTT - TMĐT 2 z Cung c p thông tin v các nguy cơ t n công dữ liệu và phương pháp đảm bảo an toàn cho hệ thống dữ liệu z Giới thiệu một số ứng dụng của an toàn dữ liệu trong thương mại điện tử. 1. Mục đích và yêu cầu (t) z Yêu cầu cần đạt được z Nắm vững các kiến thức cơ bản về an toàn dữ liệu và an toàn dữ liệu trong TMĐT z Có kiến thức về các nguy cơ tấn công và và ả ả 1/18/2011 Bộ môn CNTT - TMĐT 3 các phương pháp đ m b o an toàn cho hệ thống dữ liệu z Sử dụng được một số ứng dụng đã có trong việc đảm bảo an toàn dữ liệu cho TMĐT 2. Phân phối chương trình z Môn học gồm 2 tín chỉ (45 tiết) phân phối như sau: z Nghe giảng: 27 tiết lý thuyết z Thảo luận và thực hành: 3 tiết 1/18/2011 Bộ môn CNTT - TMĐT 4 z Đọc tài liệu tham khảo: 15 tiết 3. Nội dung môn học z Môn học bao gồm 5 chương z Chương 1: Tổng quan về an toàn dữ liệu z Chương 2: Các hình thức tấn công dữ liệu trong Thương mại điện tử 1/18/2011 Bộ môn CNTT - TMĐT 5 z Chương 3: Các phương pháp phòng tránh và khắc phục hậu quả z Chương 4: Mã hóa z Chương 5: Ứng dụng của an toàn dữ liệu trong giao dịch TMĐT 4. Tài liệu tham khảo z [1] Giáo trình An toàn dữ liệu, Bộ môn CNTT, Đại học Thương Mại, 2007. z [2] Phan Đình Diệu, Lý thuyết mật mã và an toàn thông tin, Đại học Quốc gia Hà Nội, 1999. [3] Willi St lli C t h d N t k 1/18/2011 Bộ môn CNTT - TMĐT 6 z am a ngs, ryp ograp y an e wor Security Principles and Practices, Fourth Edition, Prentice Hall, 2005 z [4] Man Young Rhee. Internet Security: Cryptographic principles, algorithms and protocols. John Wiley & Sons, 2003. Bài giảng An toàn dữ liệu Nguyễn Thị Hội - Bộ môn CNTT TMĐT 2 Nội dung chương I: Tổng quan về an toàn dữ liệu z 1.1. An toàn dữ liệu z Khái niệm z Mục tiêu z Yêu cầu z 1.2. An toàn dữ liệu trong Thương mại điện tử z Khái niệm z Mục tiêu z Yêu cầu z 1.3. Mô hình đảm bảo an toàn dữ liệu z Mô hình an toàn trên máy đầu cuối z Mô hình an toàn trong truyền dữ liệu 1/18/2011 Bộ môn CNTT - TMĐT 7 I. Vấn đề an toàn dữ liệu 1. An toàn dữ liệu là gì? Dữ liệu chưa được bảo vệ Mình khóa như này đã đủ chưa nhỉ??? 1/18/2011 Bộ môn CNTT - TMĐT 8 => Dữ liệu không bị hỏng hóc, không bị mất mát 2. Phải đảm bảo an toàn cho những dữ liệu nào? z Đối với chính phủ: z Dữ liệu quân sự z Dữ liệu ngoại giao z Dữ liệu kinh tế Dữ liệ kh hz u oa ọc z Đối với tổ chức z Dữ liệu nhạy cảm z Dữ liệu mật của tổ chức z Đối với cá nhân: z Dữ liệu cá nhân 1/18/2011 Bộ môn CNTT - TMĐT 9 ⇒Tất cả các dữ liệu này Cần phải bảo đảm an toàn 3. Biện pháp ? a) Biện pháp vật lý và hành chính z Cất giữ trong kho? z Cất giữ trong két? z Ban hành các luật? z Hay mang tất cả theo người???? 1/18/2011 Bộ môn CNTT - TMĐT 10 =>Các biện pháp này có còn khả thi với tình hình hiện nay? b) Lưu trữ bằng thiết bị nhớ z Lưu trữ được dung lượng lớn, z Tìm kiếm dễ dàng, z Chia sẻ đơn giản, z Tiết kiệm diện tích, z … z => Cách thức bảo đảm an toàn cũng khó khăn hơn 1/18/2011 Bộ môn CNTT - TMĐT 11 Thay thế hình thức lưu trừ giấy sang thiết bị nhớ của máy tính Với sự phát triển CNTT zƯu điểm z Nắm bắt thông tin nhanh chóng z Trao đổi dữ liệu dễ z Nhược điểm z Tiềm ẩn nhiều nguy cơ z Các vấn đề mất an dàng z = > Môi trường mạng đưa tất cả mọi thứ đến bàn làm việc của bạn toàn dữ liệu ngày càng nhiều và phức tạp z => Cần các biện pháp đảm bảo an toàn tốt, khó bị tấn công hơn … 1/18/2011 Bộ môn CNTT - TMĐT 12 Bài giảng An toàn dữ liệu Nguyễn Thị Hội - Bộ môn CNTT TMĐT 3 Những nguy cơ tiềm ẩn z Bob chia sẻ dữ liệu của mình cho Alice => Liệu Alice đã nhận đúng cái Bob muốn chia sẻ hay chưa? z => Nguy cơ dữ liệu bị thay đổi, bị giả mạo, bị ngừng trệ, … 1/18/2011 Bộ môn CNTT - TMĐT 13 Nếu Alice gửi Tom mà Bob nhận được Jerry thì sao???? 1/18/2011 Bộ môn CNTT - TMĐT 14 c) Thống kê số vụ tấn công/năm 1/18/2011 Bộ môn CNTT - TMĐT 15 Hàng năm số vụ tấn công càng tăng lên theo cấp số nhân => Vấn đề an toàn dữ liệu càng trở nên cấp thiết z Tập đoàn Symantec tháng 3/2010 đã chính thức công bố : z 75% doanh nghiệp cho biết họ đã bị tấn công.36 % trong số đó bị ảnh hưởng nghiêm trọng VD :Buy com Amazon com eBay Datek MSN. . , . , , , , và CNN.com 1/18/2011 Bộ môn CNTT - TMĐT 16 Vậy an toàn dữ liệu là gì? zAn toàn dữ liệu là quá trình đảm bảo cho hệ thống dữ liệu tránh khỏi những nguy cơ hỏng hóc hoặc mất mát 1/18/2011 Bộ môn CNTT - TMĐT 17 4. Các nguy cơ z Ngẫu nhiên (nguyên nhân khách quan) z Thiên tai, hỏng vật lý, mất điện, … z Có chủ định (nguyên nhân chủ quan) z Tin tặc, cá nhân bên ngoài, phá hỏng vật lý, can thiệp có chủ ý, … 1/18/2011 Bộ môn CNTT - TMĐT 18 Bài giảng An toàn dữ liệu Nguyễn Thị Hội - Bộ môn CNTT TMĐT 4 Những nguy cơ ngẫu nhiên 1/18/2011 Bộ môn CNTT - TMĐT 19 Thiên tai: Lũ lụt, sóng thần, … Nguy cơ ngẫu nhiên 1/18/2011 Bộ môn CNTT - TMĐT 20 Nguy cơ có chủ định 1/18/2011 Bộ môn CNTT - TMĐT 21 Từ con người: Tin tặc, phishing, pharming, … Nguy cơ có chủ ý 1/18/2011 Bộ môn CNTT - TMĐT 22 10 nguy cơ của năm 2010 1-Những cuộc tấn công mạng gây tổn hại cho DN 2-Lượng thư rác toàn cầu tăng mạnh. 3-Biểu đồ về hoạt động của các loạt mã độc tăng đột biến. 4-Thông tin thẻ tín dụng => món hàng được bán nhiều nhất trên mạng. 5-Ngân hàng là mục tiêu lừa đảo . ề ố ầ ấ ế ằ6-Thư rác truy n th ng sẽ d n bị m t đi và thay th b ng những vụ lừa đảo có chủ đích. 7-Những tin tức thời sự nóng hổi châm ngòi cho các cuộc tấn công. 8-Tội phạm mạng theo xu hướng tấn công quy mô lớn 9-Sự phổ biến kiến thức tạo đà cho những cuộc tấn công mới . 10-Tội phạm mạng có xu hướng nhắm tới thông tin thay vì theo đuổi các nền tảng hạ tầng . 1/18/2011 Bộ môn CNTT - TMĐT 23 => Yêu cầu Người đảm bảo an toàn dữ liệu phải luôn luôn cập nhật các kiến thức bảo ật ới h hế 1/18/2011 Bộ môn CNTT - TMĐT 24 m m ạn c được các nguy cơ tấn công ngày càng gia tăng như ngày nay! Bài giảng An toàn dữ liệu Nguyễn Thị Hội - Bộ môn CNTT TMĐT 5 5. Các nguy cơ thực tế hiện nay z a) Nguy cơ lộ thông tin z => Hay thông tin cá nhân, tổ chức và các giao dịch bị bên thứ 3 biết được 1/18/2011 Bộ môn CNTT - TMĐT 25 Biểu đồ tỉ lệ thư rác Các nguy cơ thực tế hiện nay (T) z b) Bị kẻ xấu làm sai lệch thông tin z Bắt thông tin giữa đường từ nguồn, thay đổi và gửi tiếp đến đích z Tạo “nguồn” thông tin giả mạo đưa đến đích “thật” z Tạo “đích” giả để lừa các nguồn “thật” 1/18/2011 Bộ môn CNTT - TMĐT 27 Giả mạo người gửi 1/18/2011 Bộ môn CNTT - TMĐT 28 Nguồn gốc spam từ các quốc gia Giả mạo người nhận 1/18/2011 Bộ môn CNTT - TMĐT 30 Bài giảng An toàn dữ liệu Nguyễn Thị Hội - Bộ môn CNTT TMĐT 6 Các nguy cơ thực tế hiện nay(T) z c) Nguy cơ bị tắc nghẽn, ngừng trệ thông tin z Mạng quá tải, Server chết, … 1/18/2011 Bộ môn CNTT - TMĐT 31 Mạng quá tải 1/18/2011 Bộ môn CNTT - TMĐT 32 Các loại mã độc phổ biến và nguy hiểm nhất 6. Phòng tránh z Phòng tránh là cách thức sử dụng các phương pháp, phương tiện, kỹ thuật nhằm ngăn ngừa và giảm bớt các rủi ro mà hệ thống dữ liệu gặp phải z Phân loại: z Phòng tránh từ bên trong z Yếu tố con người, hệ mã hóa, phần cứng, phần mềm, … z Phòng tránh từ bên ngoài z Yếu tố con người, mã độc, Internet, … 1/18/2011 Bộ môn CNTT 34 7. Khắc phục hậu quả z Khắc phục hậu quả là sử dụng các phương pháp, phương tiện và kỹ thuật nhằm phục hồi lại tài nguyên hệ thống dữ liệu và các hoạt động chủ yếu của nó z Phân loại: z Phục hồi dữ liệu: z Backup, Recovery data, … z Phục hồi ứng dụng: z Backup, phần cứng, phần mềm chuyên dụng, … 1/18/2011 Bộ môn CNTT 35 8. Mục tiêu của an toàn dữ liệu z Phát hiện các lỗ hổng của hệ thống dữ liệu, dự đoán trước những nguy cơ tấn công z Ngăn chặn những hành động gây mất an toàn dữ liệu từ bên trong cũng như bên ngoài z Phục hồi tổn thất khi hệ thống dữ liệu bị tấn công 1/18/2011 Bộ môn CNTT - TMĐT 36 Bài giảng An toàn dữ liệu Nguyễn Thị Hội - Bộ môn CNTT TMĐT 7 9. Các yêu cầu của an toàn dữ liệu z Tính bảo mật (Security) z Đảm bảo dữ liệu của người sử dụng luôn được bảo vệ, không bị mất mát z Tính toàn vẹn (Integrity): Dữ liệ không bị tạo ra sửa đổi ha óa bởi nhữngz u , y x người không sở hữu. z Tính sẵn sàng (Availability): z Dữ liệu phải luôn trong trạng thái sẵn sàng. z Tính tin cậy (Confidentiality) z Thông tin người dùng nhận được là đúng 1/18/2011 Bộ môn CNTT - TMĐT 37 Các yêu cầu trong đảm bảo an toàn dữ liệu Tính tin cẩn 1/18/2011 Bộ môn CNTT - TMĐT 38 Bảo mật Tính sẵn sàng Tính toàn vẹn 10. Quy trình đảm bảo an toàn hệ thống Xác định Đánh giá 1/18/2011 Bộ môn CNTT - TMĐT 39 Giám sát rủi ro Lựa chọn giải pháp Quy trình đảm bảo ATDL z Xác định z Bảo vệ cho ai? Bảo vệ cái gì? Bảo vệ như thế nào? => Rất quan trọng z Đánh giá Đ a ra các biện pháp? Đánh giá hiệ năng chi phí độz ư u , , an toàn, … z Lựa chọn giải pháp z Từ bước đánh giá lựa chọn giải pháp tối ưu có thể z Giám sát rủi ro z Luôn luôn giám sát hoạt động => Xác định nguy cơ => …=> …=> 1/18/2011 Bộ môn CNTT - TMĐT 40 II. An toàn dữ liệu trong TMĐT 1/18/2011 Bộ môn CNTT - TMĐT 41 Với mạng Internet bạn có thể làm tất cả mọi thứ chỉ bằng một cái nhấp chuột 1. Khái niệm TMĐT z Thương mại điện tử là các giao dịch thương mại dựa trên truyền dữ liệu qua các mạng truyền thông như Internet. 1/18/2011 Bộ môn CNTT - TMĐT 42 Bài giảng An toàn dữ liệu Nguyễn Thị Hội - Bộ môn CNTT TMĐT 8 2. Đặc điểm của TMĐT z Các bên tiến hành giao dịch không tiếp xúc trực tiếp và không cần biết nhau từ trước z TMĐT được thực hiện trong thị trường không biên giới z Hoạt động giao dịch có sự tham gia của ba chủ thể (người bán, người mua, nhà cung cấp dịch vụ, các cơ quan chứng thực) z Thị trường chính là mạng lưới thông tin 1/18/2011 Bộ môn CNTT - TMĐT 43 3. Các hình thức hoạt động chủ yếu trong TMĐT z Thư điện tử z Thanh toán điện tử z Trao đổi dữ liệu điện tử T ề dữ liệ 1/18/2011 Bộ môn CNTT - TMĐT 44 z ruy n u z Bán lẻ hàng hóa hữu hình 4. Lợi ích của thương mại điện tử z Thu thập được nhiều thông tin z Giảm chi phí bán hàng, tiếp thị và giao dịch z Giúp thiết lập củng cố đối tác 1/18/2011 Bộ môn CNTT - TMĐT 45 z Tạo điều kiện sớm tiếp cận nền kinh tế tri thức z Giảm ách tắc và tai nạn giao thông 5. Phân loại giao dịch TMĐT z B2B - Business – to – Business z B2C - Business – to – Customer z P2P (C2 C) - Peer – to – Peer z B2G - Business to Government 1/18/2011 Bộ môn CNTT - TMĐT 46 7. Khái niệm về ATDL trong TMĐT z An toàn dữ liệu trong thương mại điện tử nghiên cứu về những nguy cơ gây mất an toàn dữ liệu và các biện pháp phòng tránh và phục hồi đảm bảo an toàn, tránh khỏi những nguy cơ này trong quá trình sử dụng hình thức kinh doanh thương mại điện tử. 1/18/2011 Bộ môn CNTT - TMĐT 47 8. Các nguy cơ trong TMĐT z Bị các tin tặc tấn công z Giả mạo z Từ chối thanh toán z Sử dụng thẻ thanh toán giả, hết hạn z Mất an toàn khi tiến hành giao dịch z Thông tin bị lộ, bị sửa đổi, bị giả mạo z Lừa đảo trên mạng z Giả mạo người bán, người mua, ... 1/18/2011 Bộ môn CNTT - TMĐT 48 Bài giảng An toàn dữ liệu Nguyễn Thị Hội - Bộ môn CNTT TMĐT 9 Ví dụ bị tin tặc tấn công 1/18/2011 Bộ môn CNTT - TMĐT 49 Ví dụ bị thay đổi dữ liệu 1/18/2011 Bộ môn CNTT - TMĐT 50 Giả mạo thẻ thanh toán 1/18/2011 Bộ môn CNTT - TMĐT 51 9. Mục tiêu của ATDL trong TMĐT z Phát hiện sớm các lỗ hổng trong các hình thức giao dịch và thanh toán điện tử. z Đưa ra các mô hình và giải pháp nhằm đảm bả h TMĐT đ t đ độ t ào c o ạ ược an o n cao nhất. z Các phương pháp khắc phục hậu quả và đảm bảo lợi ích cho người sử dụng 1/18/2011 Bộ môn CNTT - TMĐT 52 Mục tiêu của ATDL trong TMĐT 1/18/2011 Bộ môn CNTT - TMĐT 53 10. Những yêu cầu ATDL trong TMĐT z Bảo mật cao: z Dữ liệu lưu trữ cũng như trao đổi giữa 2 bên giao dịch phải được giữ bí mật, đảm bảo không bị lộ. z Toàn vẹn dữ liệu: z Thông tin giao dịch giữa 2 bên không bị sửa đổi hay bị giả mạo bởi một bên thứ 3. z Chống chối bỏ: z Đảm bảo độ minh bạch giữa 2 bên thực hiện giao dịch. 1/18/2011 Bộ môn CNTT - TMĐT 54 Bài giảng An toàn dữ liệu Nguyễn Thị Hội - Bộ môn CNTT TMĐT 10 III. Mô hình đảm bảo ATDL z 1. Mô hình đảm bảo an toàn trên máy đầu cuối MỨC MẠNGMỨC VẬT LÝ 1/18/2011 Bộ môn CNTT - TMĐT 55 TÀI NGUYÊN MỨC DỮ LiỆU MỨC HỆ ĐiỀU HÀNH a) Mức vật lý z Chống nguy cơ mất mát dữ liệu qua đường vật lý z Đánh giá độ chịu đựng của hệ thống dữ liệu trước những sự cố bất ngờ. z Quản lý các truy nhập mức vật lý vào phần cứng lưu trữ z Quản lý hoạt động của các thiết bị cần bảo vệ và thiết bị bảovệ để đảm bảo sự hoạt động của dữ liệu một cách ổn đinh. 1/18/2011 Bộ môn CNTT - TMĐT 56 b) Mức hệ điều hành z Tạo và phân quyền người dùng z Kiểm soát các chương trình đang được thực thi trong máy z Các file log dùng để theo dõi hoạt động của hệ thống z Các chức năng bảo mật được tích hợp sẵn (trình diệt Virus, tường lửa) 1/18/2011 Bộ môn CNTT - TMĐT 57 c) Mức mạng z Sử dụng các thiết bị phần cứng chuyên dụng để ngăn chặn sự xâm nhập trái phép từ Internet z Dùng các cơ chế quản lý và phân quyền người sử dụng z Sử dụng các giao thức bảo mật trên mạng z Các phần mềm chống xâm nhập trái phép cũng như dò tìm Virus 1/18/2011 Bộ môn CNTT - TMĐT 58 d) Mức dữ liệu z Mã hóa dữ liệu: z Dữ liệu được lưu trữ dưới dạng bản mã. z Phân quyền người dùng: z Phân ra nhiều mức người sử dụng khác nhau . z Thiết lập các cơ chế sao lưu dữ liệu z Thiết lập cơ chế backup, lưu trên nhiều Server z Sử dụng các chương trình bảo mật thư mụcvà file z Dùng NTFS, hệ điều hành LINUX, .. 1/18/2011 Bộ môn CNTT - TMĐT 59 2. Mô hình an toàn trong truyền dữ liệu nChuyển đổi Chuyển đổin Bên thứ ba đáng tin Bên nhận 1/18/2011 Bộ môn CNTT - TMĐT 60 Th ôn g bá o an to àn Thông tin bí mật liên quan đến an toàn Th ôn g bá o Th ôn g bá o Thông tin bí mật liên quan đến an toàn Th ôn g bá o an to àn Đối thủ Kênh thông tin Bài giảng An toàn dữ liệu Nguyễn Thị Hội - Bộ môn CNTT TMĐT 11 3. Các yêu cầu cụ thể z Thiết kế một giải thuật thích hợp cho việc chuyển đổi liên quan đến an toàn z Tạo ra thông tin bí mật (khóa) đi kèm với giải thuật zPhát triển các phương pháp phân bổ và chia sẻ thông tin bí mật zĐặc tả một giao thức sử dụng bởi hai bên gửi và nhận 1/18/2011 Bộ môn CNTT - TMĐT 61 4. Kiến trúc an toàn trên mạng -Sử dụng bộ định tuyến (Router) - Sử dụng hệ thống bảo vệ thâm nhập (IDS) Sử d t ờ lử 1/18/2011 Bộ môn CNTT - TMĐT 62 - ụng ư ng a (Firewall) - Thiết kế mạng vành đai (DMZ) => Hạn chế các truy nhập bất thường và nguy cơ rò rỉ thông tin ra ngoài Kiến trúc an toàn mạng 1/18/2011 Bộ môn CNTT - TMĐT 63 Kết thúc chương I z Chương I trình bày các khái niệm về an toàn dữ liệu và an toàn dữ liệu trong TMĐT z Các nguy cơ bị tấn công và các yêu cầu cũng như mục tiêu của việc đảm bảo an toàn dữ liệu và an toàn dữ liệu trong TMDT 1/18/2011 Bộ môn CNTT - TMĐT 64 Từ khóa của bài z An toàn dữ liệu (Data security) z An toàn thông tin (Information security) z Thương mại điện tử (Ecommerce) H kz ac er z Mô hình mạng an toàn (Network security model) z Tường lửa (Fire wall) z Mã hóa (encryptation) 1/18/2011 Bộ môn CNTT - TMĐT 65 Câu hỏi z Hãy trình bày khái niệm về an toàn dữ liệu? An toàn dữ liệu trong TMĐT? z Nêu các nguy cơ tiềm ẩn về khả năng mất an toàn thông tin? Các nguy cơ trong TMĐT? z Mục tiêu của an toàn dữ liệu? Và mục tiêu của an toàn dữ liệu trong TMĐT? z Các yêu cầu của an toàn dữ liệu? An toàn dữ liệu trong TMĐT? 1/18/2011 Bộ môn CNTT - TMĐT 66 Bài giảng An toàn dữ liệu Nguyễn Thị Hội - Bộ môn CNTT TMĐT 12 Câu hỏi z Nêu quy trình đảm bảo an toàn dữ liệu? Trình bày chi tiết 4 pha trong quy trình? z Trình bày các mô hình đảm bảo an toàn dữ liệu trong TMĐT? z Tại sao an toàn dữ liệu trong TMĐT lại tương ứng với an toàn máy tính và mạng máy tính? Hãy trình bày chi tiết? 1/18/2011 Bộ môn CNTT - TMĐT 67 Bài giảng An toàn dữ liệu Nguyễn Thị Hội - Bộ môn CNTT TMĐT 1 Bài giảng môn: An toàn dữ liệu trong Thương mại điện tử 1/18/2011 Bộ môn CNTT - TMĐT 1 Bộ môn CNTT – TMĐT Khoa Thương mại điện tử Chương II: Các hình thức tấn công dữ liệu trong TMĐT z 2.1. Tấn công bị động z Nghe trộm z Phân tích lưu lượng z 2.2. Tấn công chủ động z Giả mạo người gửi z Thay đổi thông điệp z Tấn công lặp lại z Tấn công từ chối dịch vụ z 2.3. Các phương pháp tấn công trên thực tế z 2.4. Virus và các biến thể z 2.5. Thực tế ở Việt Nam 1/18/2011 Bộ môn CNTT - TMĐT 2 1. Tấn công dữ liệu là gì ? a) Khái niệm: Hình thức xem, sao chép, lấy cắp,thay đổi, phá hoại dữ liệu trái phép Tấn công dữ liệu CERT (Computer Emergency Response Team) Kịch bản tấn công dữ liệu z Kịch bản z Thu thập thông tin z Thu thập các thông tin xa hơn z Tấn công Xâ hậ thà h ôz m n p n c ng z Vui vẻ và bổ ích z Ba kiểu phổ biến z Thu thập thông tin z Khai thác lỗ hổng z Tấn công từ chối dịch vụ (Dos) 1/18/2011 Bộ môn CNTT - TMĐT 5 b) Phân loại các kiểu tấn công z Có nhiều cách phân loại tấn công z Phân chia theo cách thức z Tấn công thụ động z Tấn công chủ động z Phân loại theo hình thức z Tấn công vật lý z Tấn công phần mềm z Phân loại theo hệ thống mạng z Tấn công máy đầu cuối z Tấn công đường truyền z Tấn công máy chủ z …. 1/18/2011 Bộ môn CNTT - TMĐT 6 Bài giảng An toàn dữ liệu Nguyễn Thị Hội - Bộ môn CNTT TMĐT 2 2. Tấn công thụ động z a) Khái niệm z Kẻ tấn công lấy được thông tin trên đường truyền mà không gây ảnh hưởng gì đến thông tin được truyền từ nguồn đến đích. ểz Đặc đi m: z Khó phát hiện, khó phòng tránh z Rất nguy hiểm và ngày càng phát triển z = >Cần các biện pháp phòng tránh trước khi tấn công xảy ra. b) Phương thức thực hiện z Bằng các thiết bị phần cứng: z Các thiết bị bắt sóng wifi để tóm những gói tin được truyền trong vùng phủ sóng, z Các chương trình phần mềm : z Chương trình packet sniff nhằm bắt các gói tin được truyền qua lại trong mạng LAN. 1/18/2011 Bộ môn CNTT - TMĐT 8 c) Các kiểu tấn công thụ động z Nghe trộm đường truyền z Kẻ nghe lén sẽ bằng một cách nào đó xen ngang được quá trình truyền thông điệp giữa máy gửi và máy nhận, qua đó có thể rút ra được những thông tin quan trọng z Một số phương pháp z Bắt gói tin trong mạng Wifi z Bắt thông điệp trong mạng quảng bá z Đánh cắp password z Xem lén thư điện tử 1/18/2011 Bộ môn CNTT - TMĐT 9 Minh họa việc nghe trộm Dữ liệu truyền từ Bob -> Alice Darth nghe trộm được nhưng không thay đổi dữ liệu Biện pháp phòng chống? z Bảo mật đường truyền: z Sử dụng các giao thức: SSL, SET, WEP, … z Mã hóa dữ liệu z Sử dụng các phương pháp mã hóa z Cơ chế dùng chữ ký điện tử Ví dụ về mã hóa dữ liệu Người gửi Mã hóa 1/18/2011 Bộ môn CNTT - TMĐT 12 Kênh thông tin Giải mã Người nhận Kẻ tấn công Lấy được dữ liệu nhưng không hiểu Bài giảng An toàn dữ liệu Nguyễn Thị Hội - Bộ môn CNTT TMĐT 3 c) Các kiểu tấn công thụ động (t) z Phân tích lưu lượng z Dựa vào sự thay đổi của lưu lượng của luồng thông tin truyền trên mạng nhằm xác định được một số thông tin có ích. ấz R t hay dùng trong do thám z Sử dụng khi dữ liệu đã bị mã hóa mà không giải mã được 1/18/2011 Bộ môn CNTT - TMĐT 13 Phân tích lưu lượng Dữ liệu truyền từ Bob -> Alice (Dữ liệu đã mã hóa) Darth lấy được dữ liệu nhưng không hiểu -> phân tích luồng thông tin để phán đoán Ngăn chặn? z Độn thêm dữ liệu thừa z Lưu lượng thông tin k