2. Chủ đề
• Khái niệm an toàn thông tin
• Các hướng đi trong an toàn thông
tin
• Cơ hội nghề nghiệp liên quan đến An
toàn Thông tin
• Các tài nguyên và kỹ năng cần thiết
khi làm việc trong lĩnh vực An toàn
Thông tin
3. An toàn thông tin là gì?
• Khái niệm
• Các mục tiêu
• Phương pháp
4. Security là gì?
• Security (n.) the state of being free from danger
or threat(Oxford Dictionary of English)
– by protecting assets from danger and/or threat
5. Information Security(An toàn
thông tin) là gì?
• Information Security – An toàn
thông tin
– Bảo vệ tài sản thông tin
• Bản thân thông tin
• Các hệ thống thông tin: lưu trữ, truyền
dẫn, xử lý, sử dụng
6. Thế nào là an toàn?
• Thỏa mãn 3 mục tiêu chính:
– Confidentiality: Bảo mật
– Integrity: Toàn vẹn
– Availability: Tính sẵn sàng
Lệnh: Tấn
công lúc 6h8h
7. Làm sao để đảm bảo an toàn?
Information
Asset
Vulnerability
Attack
Threat
Bằng cách đưa ra những biện pháp kiểm soát
(Control) nguy cơ (Threat)
Control Buffer Overflow
Vulnerability
Buffer Overflow
Attack
Patch / Update
Apache Web Server
8. Các hướng đi trong ATTT
• Các hướng đi trong ATTT
• Các lĩnh vực, chuyên ngành có liên quan đến
ATTT
9. Phân loại theo các bước bảo vệ
• Phát hiện các nguy cơ (Phát hiện
Attack/Vulnerability)
– Kiểm thử ứng dụng
– Kiểm thử hệ thống (Penetration testing)
– Tìm lỗi phần mềm
• Triển khai các biện pháp kiểm soát
– Triển khai các biện pháp bảo vệ (Trên hạ tầng
mạng: Firewall, IDS, v.v.; trên hệ thống: Windows,
Linux, Unix, v.v.; trên dịch vụ: Web, Mail, v.v.)
– Quản lý và tính toán các biện pháp triển khai sao
cho hiệu quả (Risk management, bảo đảm các
control và hệ thống làm việc khớp với nhau)
10. Hướng đi theo các loại hình tấn
công
• Buffer Overflow
• Tấn công trên Web
• Denial of Service
• Malware
• v.v.
11. Hướng đi theo các biện pháp bảo
vệ
• Firewall
• VPN
• Proxy
• IDS/IPS
• HA, Clustering, v.v.
• v.v.
12. Các ngành nghiên cứu khác có
liên quan đến ATTT
• Mật mã học (Cryptography)
• Mạng máy tính(Networking)
• Các công nghệ phần mềm(Web
Technologies)
• Khoa học máy tính(Computer
Science)
13. Kỹ năng và tài nguyên cần có
• Khi học và làm việc trong ngành ATTT, trang bị
những gì?
14. Cần trang bị kiến thức gì?
• Về đối tượng được bảo vệ (Cấu trúc,
cách hoạt động, v.v.)
• Các vấn đề hiện có (Về ATTT) của đối
tượng đó
– Các lỗ hổng/hình thức tấn công đã biết?
– Hạn chế của đối tượng được bảo vệ?
• Quan hệ đối với các đối tượng khác
trong một hệ thống?
• Các nguồn tin về an toàn thông tin
15. Các kiến thức cần có
• Kiến trúc máy tính (Máy tính hoạt
động như thế nào?)
– Ngôn ngữ C
– Linux / Căn bản về hệ điều hành
18. Các kiến thức cần có
• Kiến thức về các hệ điều hành được
sử dụng rộng rãi:
– Microsoft Windows
– Linux/Unix
– v.v.
19. Các kiến thức cần có
• Sử dụng được thành thạo một ngôn
ngữ
– Scripting: Nhanh, ngắn gọn, hiệu quả
– Chọn các ngôn ngữ dễ học và hỗ trợ
được nhiều chức năng: Python, Perl
20. Các kiến thức cần có
• Kiến thức về các công nghệ/dịch vụ
được sử dụng rộng rãi:
– HTML/CSS/Javascript
– PHP
– SQL: MySQL, v.v.
– Hoặc đang phát triển: Android, iOS
21. Các công cụ cần có
• Máy tính
– Theo dõi, truy cập, tìm kiếm thông tin,
tài liệu
– Thực hành
– Virtualization/Simulation
22. Các công cụ cần có
• VPS/Hosting (Nên có)
– Kinh nghiệm làm việc với một hệ thống
thật, có kết nối với bên ngoài
– Thiết lập các server như Web, Mail, File
Server, Proxy
23. Các nguồn tin về ATTT
• General Information:
– packetstormsecurity.org
– liquidmatrix.org
– exploit-db.com
– slashdot.org/stories/security
• Q&A: Stack Exchange Sites:
– stackoverflow.com
– serverfault.com
– …
• Blogs:
– Blog KHMT: www.procul.org/blog
– Coding Horrors: www.codinghorror.com/blog
– Bruce Schneier: http://www.schneier.com/
• Learning Sources:
– Khan Academy (khanacademy.org)
– Coursera (coursera.org)