Bài giảng Chương 1: Tổng quan về Bảo mật Hệ thốngThông tin

Chương 1: Tổng quan về Bảo mật Hệ thống Thông tin Khoa Khoa học và Kỹ thuật Máy tính Đại học Bách Khoa Tp.HCM Nội dung Các bước cơ bản trong bảo mật hệ thống thông tin2 Các khái niệm cơ bản1 Các thành phần trong hệ thống thông tin3 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 1: Tổng quan về Bảo Mật Hệ thống Thông tin 2 Những khái niệm cơ bản n Dữ liệu và thông tin n Hệ thống thông tin n Bảo mật hệ thống thông tin n Những yêu cầu bảo mật hệ thống thông tin n Mục tiêu của bảo mật Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 1: Tổng quan về Bảo Mật Hệ thống Thông tin 3 Dữ liệu và thông tin n Dữ liệu (Data) là các giá trị của thông tin định lượng hoặc đính tính của các sự vật, hiện tượng trong cuộc sống.Trong tin học, dữ liệu được dùng như một cách biểu diễn hình thức hoá của thông tin về các sự kiện, hiện tượng thích ứng với các yêu cầu truyền nhận, thể hiện và xử lí bằng máy tính. n Thông tin (Information) là dữ liệu đã được xử lý, phân tích, Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 1: Tổng quan về Bảo Mật Hệ thống Thông tin 4 tổ chức nhằm mục đích hiểu rõ hơn sự vật, sự việc, hiện tượng theo một góc độ nhất định. n Hệ thống thông tin (Information Systems) là một hệ thống gồm con người, dữ liệu và những hoạt động xử lý dữ liệu và thông tin trong một tổ chức. Hệ thống thông tin Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 1: Tổng quan về Bảo Mật Hệ thống Thông tin 5 Data Process People Bảo mật hệ thống thông tin n Bảo mật hệ thống thông tin (Information Systems Security) là bảo vệ hệ thống thông tin chống lại việc truy cập, sử dụng, chỉnh sửa, phá hủy, làm lộ và làm gián đoạn thông tin và hoạt động của hệ thống một cách trái phép. Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 1: Tổng quan về Bảo Mật Hệ thống Thông tin 6 Những yêu cầu bảo mật hệ thống thông tin Integrity Availability INFORMATION SYSTEM Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 1: Tổng quan về Bảo Mật Hệ thống Thông tin 7 Confidentiality Non-repudiation Những yêu cầu bảo mật hệ thống thông tin n Tính bí mật (Confidentiality): bảo vệ dữ liệu không bị lộ ra ngoài một cách trái phép. n Ví dụ: Trong hệ thống ngân hàng, một khách hàng được phép xem thông tin số dư tài khoản của mình nhưng không được phép xem thông tin của khách hàng khác. Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 1: Tổng quan về Bảo Mật Hệ thống Thông tin 8 Integrity Availability Confidentiality Non-repudiation INFORMATION SYSTEM Những yêu cầu bảo mật hệ thống thông tin n Tính toàn vẹn (Integrity): Chỉ những người dùng được ủy quyền mới được phép chỉnh sửa dữ liệu. n Ví dụ: Trong hệ thống ngân hàng, không cho phép khách hàng tự thay đối thông tin số dư của tài khoản của mình. Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 1: Tổng quan về Bảo Mật Hệ thống Thông tin 9 Integrity Availability Confidentiality Non-repudiation INFORMATION SYSTEM Những yêu cầu bảo mật hệ thống thông tin n Tính sẵn sàng (Availability): Đảm bảo dữ liệu luôn sẵn sàng khi những người dùng hoặc ứng dụng được ủy quyền yêu cầu. n Ví dụ: Trong hệ thống ngân hàng, cần đảm bảo rằng khách hàng có thể truy vấn thông tin số dư tài khoản bất kỳ lúc nào theo như quy định. Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 1: Tổng quan về Bảo Mật Hệ thống Thông tin 10 Integrity Availability Confidentiality Non-repudiation INFORMATION SYSTEM Những yêu cầu bảo mật hệ thống thông tin n Tính chống thoái thác (Non-repudiation): Khả năng ngăn chặn việc từ chối một hành vi đã làm. n Ví dụ: Trong hệ thống ngân hàng, có khả năng cung cấp bằng chứng để chứng minh một hành vi khách hàng đã làm, như rút tiền, chuyển tiền. Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 1: Tổng quan về Bảo Mật Hệ thống Thông tin 11 Integrity Availability Confidentiality Non-repudiation INFORMATION SYSTEM Mục tiêu của bảo mật n Ngăn chặn n Ngăn chặn kẻ tấn công vi phạm các chính sách bảo mật n Phát hiện n Phát hiện các vi phạm chính sách bảo mật Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 1: Tổng quan về Bảo Mật Hệ thống Thông tin 12 n Phục hồi n Chặn các hành vi vi phạm đang diễn ra, đánh giá và sửa lỗi n Tiếp tục hoạt động bình thường ngay cả khi tấn công đã xảy ra Nội dung Các khái niệm cơ bản1 Các bước cơ bản trong bảo mật hệ thống thông tin2 Các thành phần trong hệ thống thông tin3 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 1: Tổng quan về Bảo Mật Hệ thống Thông tin 13 Các bước cơ bản trong bảo mật hệ thống thông tin n Xác định các mối đe dọa (threat) n Cái gì có thể làm hại đến hệ thống? Lựa chọn chính sách bảo mật (security policy) Xác định các mối đe dọa Lựa chọn chính sách bảo mật Lựa chọn cơ chế bảo mật Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 1: Tổng quan về Bảo Mật Hệ thống Thông tin 14 n n Điều gì cần mong đợi ở hệ thống bảo mật? n Lựa chọn cơ chế bảo mật (security mechanism) n Cách nào để hệ thống bảo mật có thể đạt được những mục tiêu bảo mật đề ra? Xác định các mối đe dọa n Các mối đe dọa bảo mật (security threat) là những sự kiện có ảnh hưởng đến an toàn của hệ thống thông tin. n Các mối đe dọa được chia làm 4 loại: Xác định các mối nguy hiểm Lựa chọn chính sách bảo mật Lựa chọn cơ chế bảo mậtđe dọa Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 1: Tổng quan về Bảo Mật Hệ thống Thông tin 15 n Xem thông tin một cách bất hợp pháp n Chỉnh sửa thông tin một cách bất hợp pháp n Từ chối dịch vụ n Từ chối hành vi Các mối đe dọa thường gặp n Lỗi và thiếu sót của người dùng (Errors and Omissions) n Gian lận và đánh cắp thông tin (Fraud and Theft) n Kẻ tấn công nguy hiểm (Malicious Hackers) n Mã nguy hiểm (Malicious Code) n Tấn công từ chối dịch vụ (Denial-of-Service Attacks) Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 1: Tổng quan về Bảo Mật Hệ thống Thông tin 16 n Social Engineering Lỗi và thiếu sót của người dùng n Mối đe dọa của hệ thống thông tin xuất phát từ những lỗi bảo mật, lỗi thao tác của những người dùng trong hệ thống. n Là mối đe dọa hàng đầu đối với một hệ thống thông tin n Giải pháp: n Đào tạo: người dùng thực hiện đúng các thao tác, hạn chế sai sót Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 1: Tổng quan về Bảo Mật Hệ thống Thông tin 17 n Nguyên tắc: quyền tối thiểu (least privilege) n Thường xuyên back-up hệ thống Gian lận và đánh cắp thông tin n Mối đe dọa này do những kẻ tấn công từ bên trong hệ thống (inner attackers), gồm những người dùng giả mạo hoặc những người dùng có ý đồ xấu. n Những người tấn công từ bên trong luôn rất nguy hiểm. n Giải pháp: Định ra những chính sách bảo mật tốt: có chứng cứ xác định Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 1: Tổng quan về Bảo Mật Hệ thống Thông tin 18 n được kẻ tấn công từ bên trong Kẻ tấn công nguy hiểm n Kẻ tấn công nguy hiểm xâm nhập vào hệ thống để tìm kiếm thông tin, phá hủy dữ liệu, phá hủy hệ thống. n 5 bước để tấn công vào một hệ thống: n Thăm dò (Reconnaisance) n Quét lỗ hổng để tấn công (Scanning) Cố gắng lấy quyền truy cập (Gaining access) Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 1: Tổng quan về Bảo Mật Hệ thống Thông tin 19 n n Duy trì kết nối (Maintaining access) n Xóa dấu vết (Cover his track) Mã nguy hiểm n Mã nguy hiểm là một đoạn mã không mong muốn được nhúng trong một chương trình nhằm thực hiện các truy cập trái phép vào hệ thống máy tính để thu thập các thông tin nhạy cảm, làm gián đoạn hoạt động hoặc gây hại cho hệ thống máy tính. n Bao gồm: virus, worm, trojan horses, spyware, adware, Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 1: Tổng quan về Bảo Mật Hệ thống Thông tin 20 backdoor, Tấn công từ chối dịch vụ n Là kiểu tấn công ngăn không cho những người dùng khác truy cập vào hệ thống n Làm cho hệ thống bị quá tải và không thể hoạt động n DoS (denial of service): tấn công “one-to-one” n DDoS(distributed denial of service) Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 1: Tổng quan về Bảo Mật Hệ thống Thông tin 21 n Sử dụng các Zombie host n Tấn công “many-to-one” Social Engineering n Social engineering sử dụng sự ảnh hưởng và sự thuyết phục để đánh lừa người dùng nhằm khai thác các thông tin có lợi cho cuộc tấn công hoặc thuyết phục nạn nhân thực hiện một hành động nào đó n Kẻ tấn công có thể lợi dụng các đặc điểm sau của con người để tấn công: Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 1: Tổng quan về Bảo Mật Hệ thống Thông tin 22 n Mong muốn trở nên hữu dụng n Tin người n Nỗi sợ gặp rắc rối n Đơn giản đến mức cẩu thả Có 2 loại Social Engineering n Social engineering dựa trên con người: liên quan đến sự tương tác giữa con người với con người để thu được thông tin mong muốn n Social engineering dựa trên máy tính: liên quan đến việc sử dụng các phần mềm để cố gắng thu thập thông tin cần thiết Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 1: Tổng quan về Bảo Mật Hệ thống Thông tin 23 Social engineering dựa trên con người n Nhân viên gián điệp/giả mạo n Giả làm người cần được giúp đỡ n Giả làm người quan trọng n Giả làm người được ủy quyền n Giả làm nhân viên hỗ trợ kỹ thuật Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 1: Tổng quan về Bảo Mật Hệ thống Thông tin 24 Social engineering dựa trên máy tính n Phising: lừa đảo qua thư điện tử n Vishing: lừa đảo qua điện thoại n Pop-up Windows n File đính kèm trong email n Các website giả mạo Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 1: Tổng quan về Bảo Mật Hệ thống Thông tin 25 n Các phần mềm giả mạo Lựa chọn chính sách bảo mật n Việc bảo mật hệ thống cần có một chính sách bảo mật rõ ràng. n Cần có những chính sách bảo mật riêng cho những yêu cầu Xác định các mối đe dọa Lựa chọn chính sách bảo mật Lựa chọn cơ chế bảo mật Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 1: Tổng quan về Bảo Mật Hệ thống Thông tin 26 bảo mật khác nhau n Xây dựng và lựa chọn các chính sách bảo mật cho hệ thống phải dựa theo các chính sách bảo mật do các tổ chức uy tín về bảo mật định ra (compliance) n NIST, SP800, ISO17799, HIPAA Lựa chọn chính sách bảo mật n Chính sách bảo mật phải cân bằng giữa 3 yếu tố Khả năng sử dụng Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 1: Tổng quan về Bảo Mật Hệ thống Thông tin 27 Bảo mật Hiệu suất Lựa chọn cơ chế bảo mật n Xác định cơ chế bảo mật phù hợp để hiện thực các chính sách bảo mật và đạt được các mục tiêu bảo mật đề ra n Có 4 cơ chế bảo mật: Xác định các mối đe dọa Lựa chọn chính sách bảo mật Lựa chọn cơ chế bảo mật Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 1: Tổng quan về Bảo Mật Hệ thống Thông tin 28 n Điều khiển truy cập (Access control) n Điểu khiển suy luận (Inference control) n Điều khiển dòng thông tin (Flow control) n Mã hóa (Encryption) 28 Điều khiển truy cập n Điều khiển truy cập (Access control): là cơ chế điều khiển, quản lý các truy cập vào hệ thống cơ sở dữ liệu. n Các bước trong điều khiển truy cập Định danh (Identification): Người dùng cung cấp danh định (identity) Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 1: Tổng quan về Bảo Mật Hệ thống Thông tin 29 Xác thực (Authentication): Người dùng chứng minh danh định đó là đúng Ủy quyền (Authorization): Xác định quyền mà người dùng có Điều khiển truy cập n Có 2 loại hệ thống điều khiển truy cập n Hệ thống đóng (Closed system) n Hệ thống mở (Open system) Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 1: Tổng quan về Bảo Mật Hệ thống Thông tin 30 Điều khiển truy cập – Hệ thống đóng Kiểm tra truy cập có được Yêu cầu truy cập Tập luật bao gồm những truy Hệ thống đóng Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 1: Tổng quan về Bảo Mật Hệ thống Thông tin 31 phép? Cho phép truy cập Ngăn chặn truy cập cập được phép Điều khiển truy cập – Hệ thống mở Kiểm tra truy cập có bị chặn? Yêu cầu truy cập Tập luật bao gồm những truy Hệ thống mở Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 1: Tổng quan về Bảo Mật Hệ thống Thông tin 32 Cho phép truy cập Ngăn chặn truy cập cập bị chặn Điều khiển truy cập n Cơ chế để xây dựng các tập luật điều khiển truy cập: cách thức để xét một truy cập là cho phép hoặc bị từ chối n Điều khiển truy cập tùy quyền (Discretionary Access Control) n Điều khiển truy cập bắt buộc (Mandatory Access Control) Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 1: Tổng quan về Bảo Mật Hệ thống Thông tin 33 Điều khiển suy luận n Điều khiển suy luận (Inference control): là việc quản lý, điền khiển các truy cập vào những cơ sở dữ liệu thống kê (statistical database) bởi vì từ những dữ liệu thống kê có thể suy luận ra được những thông tin nhạy cảm. n Tập dữ liệu X: người dùng A có thể đọc Tập dữ liệu Y: người dùng A không được phép đọc Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 1: Tổng quan về Bảo Mật Hệ thống Thông tin 34 n nhưng: Y = f(X) à Nếu người dùng A biết được hàm f thì có thể tìm được tập Y (mà A không được phép xem) từ tập X Tấn công suy luận (Inference attack) SUY LUẬN Cơ sở dữ liệu không nhạy cảm Cơ sở dữ liệu nhạy cảm Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 1: Tổng quan về Bảo Mật Hệ thống Thông tin 35 Điều khiển truy cập Siêu dữ liệu Không được phép truy cậpĐược phép truy cập Điều khiển suy luận Cơ sở dữ liệu không nhạy cảm Cơ sở dữ liệu nhạy cảm SUY LUẬN ĐIỀU KHIỂN SUY LUẬN Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 1: Tổng quan về Bảo Mật Hệ thống Thông tin 36 Điều khiển truy cập Siêu dữ liệu Không được phép truy cậpĐược phép truy cập Điều khiển dòng thông tin n Dòng thông tin (Information flow) giữa đối tượng (object) X và đối tượng Y xảy ra khi có một chương trình đọc dữ liệu từ X và ghi vào Y. n Điều khiển dòng thông tin (Flow control) nhằm ngăn chặn dòng thông tin đi từ đối tượng dữ liệu được bảo vệ sang đối tượng dữ liệu ít được bảo vệ hơn. Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 1: Tổng quan về Bảo Mật Hệ thống Thông tin 37 Điều khiển dòng thông tin n Kênh biến đổi (Covert Channels) là những kênh truyền mà qua đó dòng thông tin có thể được truyền ngầm ra bên ngoài một cách bất hợp pháp. Có 2 loại convert channel: n Kênh lưu trữ (Storage channel): thông tin được truyền qua những đối tượng lưu trữ trung gian n Kênh thời gian (Timing channel): một phần thông tin có thể bị Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 1: Tổng quan về Bảo Mật Hệ thống Thông tin 38 lộ ra ngoài thông qua thời gian tính toán các dữ liệu liên quan đến thông tin đó. Mã hóa n Mã hóa (Encryption) là những giải thuật tính toán nhằm chuyển đổi những văn bản gốc (plaintext), dạng văn bản có thể đọc được, sang dạng văn bản mã hóa (cyphertext), dạng văn bản không thể đọc được. n Chỉ người dùng có được khóa đúng mới có thể giải mã được văn bản mã hóa về dạng văn bản gốc ban đầu. Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 1: Tổng quan về Bảo Mật Hệ thống Thông tin 39 n Mã hóa dữ liệu được sử dụng để bảo vệ những dữ liệu nhạy cảm. Nội dung Các bước cơ bản trong bảo mật hệ thống thông tin2 Các khái niệm cơ bản1 Các thành phần trong hệ thống thông tin3 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 1: Tổng quan về Bảo Mật Hệ thống Thông tin 40 Các thành phần trong hệ thống thông tin Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 1: Tổng quan về Bảo Mật Hệ thống Thông tin 41 Các thành phần cần bảo vệ trong một HTTT n Phần cứng n Mạng n Cơ sở dữ liệu (CSDL) n Hệ quản trị CSDL (database management system - DMBS), các ứng dụng Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 1: Tổng quan về Bảo Mật Hệ thống Thông tin 42 n Người dùng n Người lập trình hệ thống n Người quản trị CSDL Các thành phần cần bảo vệ trong một HTTT Định danh và xác thực Điều khiển truy cập Mã hóa Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 1: Tổng quan về Bảo Mật Hệ thống Thông tin 43 Kiểm toán và giải trình Thiết kế Hẹ Quản trị CSDLvà CSDL bảo mật Bảo mật dịch vụ CSDL thuê ngoài Các thành phần cần bảo vệ trong một HTTT Mã hóa Các giao thức trao đổi khóa Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 1: Tổng quan về Bảo Mật Hệ thống Thông tin 44 An toàn vật lý Các thành phần cần bảo vệ trong một HTTT Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 1: Tổng quan về Bảo Mật Hệ thống Thông tin 45 An toàn vật lý Các thành phần cần bảo vệ trong một HTTT Đào tạo Kiểm toán và giải trình Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 1: Tổng quan về Bảo Mật Hệ thống Thông tin 46 Nội dung Các bước cơ bản trong bảo mật hệ thống thông tin2 Các khái niệm cơ bản1 Các thành phần trong hệ thống thông tin3 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 1: Tổng quan về Bảo Mật Hệ thống Thông tin 47 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính © 2011 Bảo mật hệ thống thông tin Chương 1: Tổng quan về Bảo Mật Hệ thống Thông tin 48