Tiêu chuẩn về hệ thống quản lý an toàn thông tin và mô hình áp dụng tại doanh nghiệp

Một trong những giải pháp toàn diện mang lại hiệu quả cao, giảm thiểu rủi ro gây mất ATTT là việc chuẩn hóa công tác đảm bảo ATTT theo các tiêu chuẩn quốc tế về Hệ thống quản lý an toàn thông tin như tiêu chuẩn ISO 27001.

Một số vấn đề về Tiêu chuẩn Yêu cầu an toàn cho Môđun Mật mã

Trong lĩnh vực công nghệ thông tin, nhu cầu sử dụng các cơ chế mật mã để bảo vệ thông tin liên tục gia tăng. Tính an toàn và tin cậy của các cơ chế như vậy phụ thuộc trực tiếp vào các môđun mật mã, trong đó các cơ chế này được thực thi. Trước yêu cầu này, Tiêu chuẩn Quốc gia Việt Nam TCVN 11295:2016 ISO/IEC 19790:2012 “Công nghệ thông tin - Các kỹ thuật an toàn - Yêu cầu an toàn cho môđun mật mã” đã được công bố theo đề nghị của Ban Cơ yếu Chính phủ. Tiêu chuẩn này đã bước đầu đáp ứng cho công tác tiêu chuẩn, kiểm định, đánh giá trong lĩnh vực mật mã. Bài viết dưới đây sẽ phân tích một số vấn đề liên quan đến việc triển khai tiêu chuẩn mới này.

Vượt qua cơ chế phòng thủ DEP/NX

Lỗ hổng tràn bộ đệm là một trong những lỗ hổng phổ biến hiện nay, thường xuất hiện trong các phần mềm viết bằng ngôn ngữ C, C++. Để khắc phục lỗ hổng này, các ngôn ngữ lập trình đã tích hợp sẵn các cơ chế phòng chống trong trình biên dịch và môi trường khi chương trình chạy trên các hệ điều hành. Một trong những cơ chế phòng chống đó là ngăn cản thực thi dữ liệu trong vùng nhớ Stack, Heap (còn gọi là DEP (Data Excution Prevention) trên hệ điều hành Windows, hay NX (Non-Excutable) trên hệ điều hành Unix/Linux). Bài báo này trình bàykỹ thuật tấn công vượt qua cơ chế phòng thủ DEP/NX của hệ điều hành.

Bảo vệ máy tính khỏi mã độc Macro

Thời gian vừa qua, mã độc MacroBARTALEX ẩn trong thư rác đính kèm tập tin Excel và Microsoft Word đã tấn công hàng loạt doanh nghiệp. Qua theo dõi một lượng lớn thư rác chứa đầy mã độc dạng macro tại khu vực châu Âu, các chuyên gia Trend Micro cho biết, loại mã độc này đang phục hồi mạnh mẽ, tốc độ lây lan nhanh và sự đa dạng về chủng loại biến thể.

Làm thế nào để bảo mật thông tin khi kết nối qua mạng Wifi công cộng?

Đến nay, hầu hết người dùng có quan tâm đến vấn đề bảo mật đều biết rằng truy cập internet qua mạng Wifi mở ở các điểm công cộng như quán cafe, sân bay…là khá nguy hiểm. Thông tin trao đổi qua đó có thể bị nghe lén và đôi khi, kẻ xấu còn chiếm quyền kiểm soát các phiên làm việc của bạn. Tuy nhiên, hầu hết các chuyên gia chỉ cảnh báo chứ không hướng dẫn người dùng cách sử dụng mạng Wifi mở một cách an toàn.

Ứng dụng phân tích dữ liệu lớn trong an toàn thông tin

Trong những năm gần đây, các công nghệ như tường lửa, hệ thống giám sát an ninh mạng, hệ thống phát hiện và ngăn chặn xâm nhập… đã góp phần đáng kể trong việc gia tăng khả năng phòng thủ cho hệ thống CNTT của các tổ chức. Cùng với đó, các thách thức về lượng dữ liệu sinh ra mỗi ngày đang trở thành một vấn đề lớn. Việc kết hợp ứng dụng Dữ liệu lớn (Big Data) với các giải pháp bảo mật đã mở ra một hướng tiếp cận mới trong nghiên cứu và phát triển các giải pháp đảm bảo ATTT.

Những điểm mới của nhân LINUX năm 2014

Trong năm 2014, nhân Linux đã được phát triển một cách đáng kể khi có đến 6 phiên bản chính được phát hành (từ 3.13 đến 3.18) với nhiều tính năng mới được thêm vào. Bài báo này sẽ điểm qua những tính năng mới đó.

Tấn công CRIME lên các giao dịch web sử dụng bộ giao thức SSL/TLS

CRIME (Compression Ratio Info-Leak Made Easy hay Compression Ratio Info-Leak Mass Exploitation) tấn công lên bộ giao thức SSL/TLS được phát triển và công bố bởi hai nhà nghiên cứu Julliano Rizzo và Dương Ngọc Thái. CRIME là kiểu tấn công kênh kề sử dụng để khôi phục khóa phiên (token) của một phiên liên lạc hoặc thông tin bí mật khác dựa trên kích thước nén của các yêu cầu HTTP (HTTP request). Đây là kỹ thuật khai thác các phiên liên lạc web được bảo vệ bởi bộ giao thức SSL/TLS sử dụng một trong hai phương pháp nén dữ liệu (DEFLATE và gzip) nhằm làm giảm hiện tượng tắc nghẽn mạng hoặc thời gian tải của trang web.

Giải pháp bảo mật hội nghị truyền hình cho các cơ quan, tổ chức

Hiện nay, cùng với sự phát triển công nghệ thông tin và truyền thông hội nghị truyền hình (HNTH) được sử dụng rộng rãi trong các tổ chức và doanh nghiệp. Điều này đem lại nhiều lợi ích, giúp các cơ quan, tổ chức giảm chi phí hội họp, tiết kiệm thời gian và nâng cao hiệu quả công việc. Tuy nhiên, HNTH cũng là mục tiêu để tội phạm mạng tấn công, khai thác và lấy cắp thông tin bí mật. Vì vậy, vấn đề bảo đảm an toàn an ninh thông tin cho các hệ thống HNTH là cần thiết và cần có những giải pháp phù hợp để áp dụng trong thực tế.

Về công tác kiểm định, đánh giá An toàn thông tin

Cùng với việc thông tin trên mạng bị lộ lọt, đánh cắp diễn ra với số lượng ngày càng lớn, thường xuyên và phức tạp thì nhu cầu phát triển và ứng dụng và các sản phẩm an toàn thông tin (ATTT) cũng tăng lên đáng kể. Để người sử dụng được cung cấp các sản phẩm đảm bảo chất lượng, việc kiểm tra, đánh giá chất lượng các sản phẩm ATTT theo các tiêu chuẩn, quy chuẩn kỹ thuật tương ứng là hết sức cần thiết và cấp bách.

Các tin khác