an toàn thông tin - saigonctt.com.vn · chủ đề •khái niệm an toàn thông tin •ác...
TRANSCRIPT
Chủ đề
• Khái niệm an toàn thông tin
• Các hướng đi trong an toàn thông tin
• Cơ hội nghề nghiệp liên quan đến An toàn Thông tin
• Các tài nguyên và kỹ năng cần thiết khi làm việc trong lĩnh vực An toàn Thông tin
Security là gì?
• Security (n.) the state of being free from danger or threat(Oxford Dictionary of English) – by protecting assets from danger and/or threat
Information Security(An toàn thông tin) là gì?
• Information Security – An toàn thông tin
– Bảo vệ tài sản thông tin
• Bản thân thông tin
• Các hệ thống thông tin: lưu trữ, truyền dẫn, xử lý, sử dụng
Thế nào là an toàn?
• Thỏa mãn 3 mục tiêu chính:
– Confidentiality: Bảo mật
– Integrity: Toàn vẹn
– Availability: Tính sẵn sàng
Lệnh: Tấn
công lúc 6h 8h
Làm sao để đảm bảo an toàn?
Information Asset
Vulnerability Attack
Threat
Bằng cách đưa ra những biện pháp kiểm soát
(Control) nguy cơ (Threat)
Control Buffer Overflow Vulnerability
Buffer Overflow Attack
Patch / Update
Apache Web Server
Các hướng đi trong ATTT
• Các hướng đi trong ATTT
• Các lĩnh vực, chuyên ngành có liên quan đến ATTT
Phân loại theo các bước bảo vệ
• Phát hiện các nguy cơ (Phát hiện Attack/Vulnerability) – Kiểm thử ứng dụng – Kiểm thử hệ thống (Penetration testing) – Tìm lỗi phần mềm
• Triển khai các biện pháp kiểm soát – Triển khai các biện pháp bảo vệ (Trên hạ tầng
mạng: Firewall, IDS, v.v.; trên hệ thống: Windows, Linux, Unix, v.v.; trên dịch vụ: Web, Mail, v.v.)
– Quản lý và tính toán các biện pháp triển khai sao cho hiệu quả (Risk management, bảo đảm các control và hệ thống làm việc khớp với nhau)
Hướng đi theo các loại hình tấn công
• Buffer Overflow
• Tấn công trên Web
• Denial of Service
• Malware
• v.v.
Các ngành nghiên cứu khác có liên quan đến ATTT
• Mật mã học (Cryptography)
• Mạng máy tính(Networking)
• Các công nghệ phần mềm(Web Technologies)
• Khoa học máy tính(Computer Science)
Cần trang bị kiến thức gì?
• Về đối tượng được bảo vệ (Cấu trúc, cách hoạt động, v.v.)
• Các vấn đề hiện có (Về ATTT) của đối tượng đó
– Các lỗ hổng/hình thức tấn công đã biết?
– Hạn chế của đối tượng được bảo vệ?
• Quan hệ đối với các đối tượng khác trong một hệ thống?
• Các nguồn tin về an toàn thông tin
Các kiến thức cần có
• Kiến trúc máy tính (Máy tính hoạt động như thế nào?)
– Ngôn ngữ C
– Linux / Căn bản về hệ điều hành
Các kiến thức cần có
• Kiến thức về các hệ điều hành được sử dụng rộng rãi:
– Microsoft Windows
– Linux/Unix
– v.v.
Các kiến thức cần có
• Sử dụng được thành thạo một ngôn ngữ
– Scripting: Nhanh, ngắn gọn, hiệu quả
– Chọn các ngôn ngữ dễ học và hỗ trợ được nhiều chức năng: Python, Perl
Các kiến thức cần có
• Kiến thức về các công nghệ/dịch vụ được sử dụng rộng rãi:
– HTML/CSS/Javascript
– PHP
– SQL: MySQL, v.v.
– Hoặc đang phát triển: Android, iOS
Các công cụ cần có
• Máy tính
– Theo dõi, truy cập, tìm kiếm thông tin, tài liệu
– Thực hành
– Virtualization/Simulation
Các công cụ cần có
• VPS/Hosting (Nên có)
– Kinh nghiệm làm việc với một hệ thống thật, có kết nối với bên ngoài
– Thiết lập các server như Web, Mail, File Server, Proxy
Các nguồn tin về ATTT
• General Information: – packetstormsecurity.org – liquidmatrix.org – exploit-db.com – slashdot.org/stories/security
• Q&A: Stack Exchange Sites: – stackoverflow.com – serverfault.com – …
• Blogs: – Blog KHMT: www.procul.org/blog – Coding Horrors: www.codinghorror.com/blog – Bruce Schneier: http://www.schneier.com/
• Learning Sources: – Khan Academy (khanacademy.org) – Coursera (coursera.org)
Nhu cầu
• Chuyên gia an ninh
– Doanh nghiệp lớn, công ty nước ngoài
– An ninh thông tin chuyên nghiệp
Nhu cầu
• Quản trị mạng có kiến thức bảo mật
– Doanh nghiệp vừa và nhỏ
– Quản trị mạng có am hiểu an ninh mạng
Nhu cầu
• Sở ban ngành
– Quản lý công nghệ thông tin (vd: phòng công nghệ thông tin Sở TTTT)
– Kiểm tra đánh giá mức độ an ninh hệ thống.