Ghi nhanh lại một số khái niệm, thuật ngữ trong ATTT


CLB UNS mà tôi tham gia hiện đang có một “phi vụ” với VNISA. Tôi không đi khảo sát lần này nhưng trên forum có anh em hỏi về một số khái niệm, thuật ngữ liên quan đến lĩnh vực An toàn Thông tin được đề cập trong bản khảo sát. Đa phần tôi chỉ hiểu sơ về chúng nên đã dành cả ngày nay tìm đọc, trả lời và lưu trữ lại tại entry này :).

Các thuật ngữ sẽ được mổ xẻ:

1. Quản lý Sự kiện An ninh

2. Quản lý Mật khẩu Đặc quyền

3. Phòng chống Thất thoát Dữ liệu

4. Quản lý Định danh

5. Dò quét và Đánh giá An ninh Mạng

6. Quản lý Bản vá

Dưới đây là hiểu biết của tôi về các khái niệm trên và kèm theo là các tài liệu liên quan:

1- Quản lý Sự kiện An ninh (Security Event Management – SEM)

Về cơ bản thì đây là việc thu thập event log data do các thành phần (thiết bị, ứng dụng) trong hệ thống tạo ra. Sau đó tập trung hóa việc lưu trữ, xử lý và phân tích các event này rồi từ đó lập báo cáo (report) hoặc đưa ra thông báo (notification)/cảnh báo (alert) cho các sự kiện liên quan đến an ninh của hệ thống.

Một khái niệm khác là Security Information Management (SIM) thường bị nhầm lẫn với SEM nhưng thực ra giữa SEM và SIM tồn tại những điểm giống và khác nhau. Ví dụ:

– SEM giám sát hệ thống và phân tích các event gần như trong real-time để giúp phát hiện các mối đe dọa an ninh, các dấu hiệu bất thường nhanh nhất có thể nhưng cũng chính vì thế mà lượng event log data đổ về nó rất nhiều và nó không cung cấp khả năng lưu trữ dài lâu các log data.

– Ngược lại, SIM tuy không có khả năng thu thập và xử lý các event trong real-time nhưng lại mạnh về log management và có thể lưu trữ một lượng lớn log data trong một thời gian dài.

Khái niệm Security Information and Event Management (SIEM) là sự kết hợp một số tính năng của SEM lẫn SIM.

Xem thêm:

http://www.infosectoday.com/Articles/Security_Event_Management/Security_Event_Management.htm

http://amirjamil.blogspot.com/2009/07/difference-between-sem-sim-and-siem.html

http://www.infosecwriters.com/text_resources/pdf/SEM.pdf

http://www.sans.org/reading_room/whitepapers/logging/practical-application-sim-sem-siem-automating-threat-identification_1781

http://securosis.com/blog/understanding-and-selecting-siem-log-management-introduction

http://www.scmagazine.com.au/Feature/150059,how-to-select-a-siem-solution.aspx

2. Quản lý Mật khẩu Đặc quyền (Privileged Password Management)

Là việc đảm bảo an toàn trong việc khởi tạo, lưu trữ, phân phối (tới IT admin, program, application,..) mật khẩu của các tài khoản có các đặc quyền cao (như Local admins, Service accounts…).

Xem thêm:

http://en.wikipedia.org/wiki/Privileged_password_management

http://hitachi-id.com/privileged-access-manager/docs/privileged-password-management-best-practices.html

http://www.starlinkme.net/uploads/resources/eDMZ_Financial.pdf

3. Phòng chống Thất thoát Dữ liệu (Data Loss/Leak Prevention/Protection)

Là việc nhận dạng, giám sát và bảo vệ cho những dữ liệu quan trọng, nhạy cảm khỏi bị tuồn ra bên ngoài, tránh bị truy cập trái phép khi dữ liệu đó đang được sử dụng trên thiết bị đầu cuối (data in use), được truyền đi qua mạng (data in motion) hoặc nằm trên các thiết bị lưu trữ (data at rest).

Xem thêm:

http://www.cxo.eu.com/article/Data-Loss-Prevention–A-Step-by-Step-Guide-to-Blocking-Leaks/

http://securosis.com/reports/DLP-Whitepaper.pdf

http://www.sans.org/reading_room/whitepapers/dlp/data-loss-prevention_32883

http://en.wikipedia.org/wiki/Data_loss_prevention_software

4. Quản lý Định danh (Identification Management)

Là việc quản lý các yếu tố giúp nhận dạng người dùng như: name, ID, PIN, password, biometric (vân tay, giọng nói, võng mạc mắt…), digital certificate… và đồng thời dựa trên danh tính của người dùng đã được xác thực nó cũng làm nhiệm vụ kiểm soát truy cập tới các tài nguyên trong hệ thống.

Xem thêm:

http://www.nextgov.com/the_basics/tb_20080327_1273.php

http://hitachi-id.com/access-certifier/docs/identity-management-terminology.html

http://www.sans.org/reading_room/whitepapers/authentication/identity-management_1076

5. Dò quét và Đánh giá An ninh Mạng (Network Security Scanning & Assessment)

Bao gồm các công đoạn dò quét trên toàn bộ hệ thống như: IP/port scanning, OS Fingerprinting (nhận biết host đang chạy OS nào, version mấy), Banner Grabbing (nhận biết có những service nào, version mấy đang chạy), Vulnerability scanning (nhận biết lỗ hổng có trong các OS, service, application…),… dựa trên kết quả dò quét trên cộng với một số phần việc khác (như xem xét mô hình mạng, các chính sách, quy trình bảo mật… để tìm ra những sơ hở) để từ đó có đánh giá tổng thể về tình hình an ninh của hệ thống mạng.

6. Quản lý Bản vá (Patch Management)

Các kế hoạch, chiến lược, quy trình cập nhật các bản vá cho các OS/application có trong hệ thống sao cho nhanh chóng, tiện lợi, hiệu quả và an toàn. Dịch vụ Windows Server Update Services (WSUS) của Microsoft là một ví dụ về Patch Management.

Xem thêm:

http://en.wikipedia.org/wiki/Patch_(computing)

http://csrc.nist.gov/publications/nistpubs/800-40-Ver2/SP800-40v2.pdf

http://technet.microsoft.com/en-us/library/cc700845.aspx

http://www.sans.org/reading_room/whitepapers/iso17799/patch-management_2064

–manthang.

2 comments

    1. Trong bản khảo sát của VNISA thì các thuật ngữ đó đều được dịch sang tiếng Việt nên em bổ sung thêm thuật ngữ tiếng Anh tương ứng + các tài liệu tham khảo để anh em trên UNS forum tiện tra cứu ;)

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s