Đây là bài trình bày của Tiến sĩ Võ Văn Khang tại Offline lần thứ 23 của Cộng đồng CIO Việt Nam, ngày

1. i
Trình bày: TS. Võ Văn Khang

2. NỘI DUNG
1. THÁCH THỨC VỀ ATTT 2013
2. NHỮNG NGUYÊN TẮC CƠ BẢN
3. XÂY DỰNG MÔ HÌNH PHÒNG THỦ
4. XỬ LÝ CÁC HIỂM HỌA

3. 1. THÁCH THỨC ATTT 2013
• Sponsored - Espionage
- Mua chuộc nhân sự
- Mua bán thông tin
• DDOS
- Botnet
- Spyware
• Cloud Migration
- Mobile Access, users devices
- Social Network

4. 1. THÁCH THỨC ATTT 2013
New
Packet Forging/
Spoofing
High
Back
Doors
Worms
Stealth Diagnostics
DDOS
Sweepers
Sophistication of
Hacker Tools
Sniffers
Exploiting Known
Vulnerabilities
Hijacking
Sessions
Disabling
Audits
Self Replicating
Code
Password
Cracking
Technical
Knowledge
Required
Password
Guessing
Low
1980
Internet
2000
2013
4

5. 2. NHỮNG NGUYÊN TẮC CƠ BẢN
• Nguyên tắc CIA
- Tính bảo mật (Confidentiality)
- Tính sẵn sàng ( Availability)
- Tính nguyên vẹn và khả năng không thể từ chối (Integrity and
non - repudiation)
• Nguyên tắc giá trị thông tin
- Không có hệ thống an toàn tuyệt đối
• Nguyên tắc thời gian sống của thông tin
- Claude E. Shannon

6. 2. NHỮNG NGUYÊN TẮC CƠ BẢN
• Nguyên tắc 3A
- Authentication
- Authorization
- Accounting
• Murphy’s Law
- Edward A. Murphy – 1949
“If ―‖‗‛‟‣․‥‱there ―‖‗‛‟‣․‥‱are ―‖‗‛‟‣․‥‱two ―‖‗‛‟‣․‥‱or ―‖‗‛‟‣․‥‱more ―‖‗‛‟‣․‥‱ways ―‖‗‛‟‣․‥‱to ―‖‗‛‟‣․‥‱do ―‖‗‛‟‣․‥‱something, ―‖‗‛‟‣․‥‱
and one of those ways can result in a
catastrophe, ―‖‗‛‟‣․‥‱then ―‖‗‛‟‣․‥‱someone ―‖‗‛‟‣․‥‱will ―‖‗‛‟‣․‥‱do ―‖‗‛‟‣․‥‱it”

7. 2. NHỮNG NGUYÊN TẮC CƠ BẢN
• Common mistakes
- ATTT và chiến lược, phương thức kinh doanh sản xuất
- Tính tóan sai về khấu hao đầu tư
- Đánh giá sai về đối tượng và điểm yếu kỹ thuật
- Không có chính sách về ATTT

8. 2. NHỮNG NGUYÊN TẮC CƠ BẢN

9. 3. MÔ HÌNH PHÒNG THỦ
Open Network
Telecommuters
Internet
Mobile
Users
Internet-Based
Intranet (VPN)
Internet-Based
Extranet (VPN)
Business
Partner
Branch
Office
PSTN
Branch
Office

10. 3. MÔ HÌNH PHÒNG THỦ

11. 3. MÔ HÌNH PHÒNG THỦ
1. Đánh giá và phân loại dữ liệu
2. Xây dựng Security Policy
3. Hệ thống hóa thiết bị hạ tầng, quy hoạch kết nối
4. Lên kế hoạch các công cụ, ứng dụng sẽ triển khai, so sách
với chiến lược kinh doanh
5. Thiết kế chi tiết hệ thống
6. Đánh giá về bảo mật
7. Xử lý điểm yếu
8. Đánh giá chỉnh sửa Policy (PDCA)

12. 3. MÔ HÌNH PHÒNG THỦ
Data
Application
Host
Internal
Perimeter
Physical
Security Policy
Access Control, Encryption, backup
Application Control, Antivirus
OS, Update Mngt, Authentication, SIEM
VLAN, IPS/IDS
Firewall, VPN, Routers
Lock, Camera
ISMS, ISO 2700x

13. 3. MÔ HÌNH PHÒNG THỦ

14. 3. MÔ HÌNH PHÒNG THỦ

15. 4. XỬ LÝ RỦI RO
Những rủi ro có xác suất xảy ra và mang lại tác hại cho hệ
thống trong tương lai được xếp loại:
• High Risk – là rủi ro có xác suất cao và thiệt hại lớn
• Medium Risk – xác xuất thấp hoặc thiệt hại nhỏ
• Low Risk – Khó xảy ra và thiệt hại không đáng kể

16. 4. XỬ LÝ RỦI RO
Risk management là quá trình bao gồm 4 bước cơ bản sau:
• risk assessment – Đánh giá rủi ro,
• risk acceptance – Nhận diện rủi ro,
• risk treatment – Sử lý rủi ro,
• risk communication – Theo dõi, thông báo.
risk assessment bao gồm 2 kỹ thuật:
• Phân tích rủi ro (risk analysis)
• Đo lường rủi ro (risk evaluation)

17. 4. XỬ LÝ RỦI RO
Risk treatment – là quá trình đưa ra quyết định xử lý từng
rủi ro và có ít nhất 4 lựa chọn sau:
•
•
•
•
accept the risk – chấp nhận
avoid the risk – Ngăn ngừa
transfer the risk – Chuyển đổi
reduce the risk – Giảm thiểu

18. vovankhang@gmail.com