TRƯỜNG ĐẠI HỌC THƯƠNG MẠI
THUONGMAI UNIVERSITY

Chủ biên:
PGS.TS. Đàm Gia Mạnh - TS. Nguyễn Thị Hội

AN TỒN VÀ
BẢO MẬT THƠNG TIN




LỜI NÓI ĐẦU
Từ xưa đến nay, thông tin luôn là một loại tài sản quý giá và có vai
trò quan trọng đối với mỗi cá nhân, tổ chức, quốc gia. Trong bất cứ lĩnh
vực hoạt động nào của đời sống xã hội, việc nắm bắt được thông tin một
cách nhanh chóng, kịp thời và chính xác có thể giúp cho tổ chức, cá nhân
có thể có được những chiến lược hoạt động đúng đắn, giúp họ có thể đứng
vững và phát triển trước những thay đổi thường xuyên của thị trường cũng
như đời sống xã hội. Với sự phát triển mạnh mẽ của công nghệ thông tin
và đặc biệt là của mạng Internet, con người đã có một môi trường thuận
lợi để có thể nắm bắt thông tin một cách nhanh chóng cũng như tạo ra khả
năng trao đổi thông tin dễ dàng. Tuy nhiên, ngoài mang lại những lợi ích
to lớn, mạng Internet còn tiềm ẩn trong nó rất nhiều nguy cơ và những mối
hiểm họa. Đó chính là sự tấn công vào chính hệ thống thông tin qua mạng
Internet với những mục đích không tốt đẹp, gây mất an toàn thông tin, làm
ảnh hưởng đến toàn bộ hoạt động của tổ chức, cá nhân và có thể gây tổn
hại đến những lợi ích kinh tế cũng như uy tín của tổ chức, cá nhân. Sự gia
tăng không ngừng và ngày càng tinh vi của các hành động xâm phạm vào
thông tin của các cá nhân, tổ chức gây mất sự an toàn của thông tin đang
là vấn đề nóng, nan giải luôn rình rập, đe dọa, đặt các chủ thể thông tin

trước những cơ hội và thách thức, rủi ro. Vì vậy, đảm bảo an tồn và bảo
mật thơng tin có vai trị quan trọng trong các chiến lược phát triển bền
vững của mỗi quốc gia, tổ chức và cá nhân.
Giáo trình “An toàn và bảo mật thông tin” này được biên soạn theo
chương trình học phần “An toàn và bảo mật thông tin doanh nghiệp” thuộc
chương trình đào tạo ngành Hệ thống thông tin kinh tế do Hiệu trưởng
Trường Đại học Thương mại phê chuẩn ngày 22 tháng 12 năm 2017 và
được Hiệu trưởng phê duyệt làm tài liệu chính thức dùng cho giảng dạy,
học tập ở Trường Đại học Thương mại. Đối tượng phục vụ chính của giáo
trình là sinh viên đại học chính quy các chuyên ngành Quản trị Hệ thống
thông tin và chuyên ngành Quản trị Thương mại điện tử của Trường Đại
3


học Thương mại. Ngoài ra, giáo trình cũng được dùng cho sinh viên đại
học chính quy thuộc các chuyên ngành khác của Trường Đại học Thương
mại và có thể có ích cho những ai muốn tìm hiểu và vận dụng các kiến
thức về đảm bảo an toàn và bảo mật thông tin trong đời sống, trong hoạt
động sản xuất, kinh doanh.
Giáo trình gồm 7 chương, trình bày về an toàn và bảo mật thông tin
theo tiếp cận quản trị rủi ro cho thông tin trong hệ thống thông tin, bao
gồm các nội dung: xác định và nhận dạng các rủi ro, các nguy cơ gây mất
an toàn và bảo mật thông tin; phân tích, đánh giá và đo lường các nguy cơ
(bao gồm cả các giải pháp khắc phục hậu quả do rủi ro gây ra); giám sát
rủi ro, lựa chọn giải pháp khắc phục hậu quả, thực hiện đảm bảo an toàn
và bảo mật thông tin. Tuy nhiên, với đối tượng quản trị là thông tin - một
dạng “tài nguyên” mặc dù có thể đo lường và đánh giá được nhưng lại là
“phi vật chất”, nên trong quá trình trình bày, có những nội dung của hoạt
động quản trị rủi ro được trình bày kết hợp đồng thời, chẳng hạn như nhận
dạng và đo lường, nhận dạng và đánh giá, giám sát,... Với cách làm này,

chúng tôi hy vọng sẽ giúp nâng cao khả năng vận dụng cho người đọc
trong thực tiễn hoạt động đảm bảo an toàn và bảo mật thông tin của mình.
Để sử dụng được giáo trình này, bạn đọc chỉ cần có kiến thức tối
thiểu vể Tin học được giảng dạy ở tất cả các trường đại học.
Giáo trình do PGS, TS. Đàm Gia Mạnh và TS. Nguyễn Thị Hội
làm chủ biên, phân công biên soạn như sau: PGS, TS. Đàm Gia Mạnh biên
soạn các chương 1, 2, 3; TS. Nguyễn Thị Hội biên soạn các chương 4, 5,
6, 7. PGS, TS. Đàm Gia Mạnh tổng hợp và chỉnh sửa bản thảo.
Trong quá trình biên soạn, các tác giả đã tham khảo nhiều tài liệu
của các nhà khoa học trong, ngoài nước và cũng đã nhận được những ý
kiến đóng góp quí báu của tập thể giảng viên Bộ môn Công nghệ thông
tin, của Hội đồng khoa học Khoa Hệ thống thông tin kinh tế và Thương
mại điện tử của Trường Đại học Thương mại và một số nhà khoa học trong
và ngoài Trường. Tập thể tác giả xin chân thành cảm ơn tất cả những người
đã nêu trên.
4


Mặc dù các tác giả đã rất cố gắng, giáo trình cũng khó tránh khỏi
những hạn chế và thiếu sót trong nội dung và diễn giải. Vì vậy, các tác giả
mong nhận được ý kiến nhận xét của bạn đọc để tiếp tục hồn thiện nội
dung giáo trình trong những lần xuất bản sau. Ý kiến đóng góp xin gửi
theo địa chỉ: Bộ môn Công nghệ thông tin, Trường Đại học Thương mại,
email:
TẬP THỂ TÁC GIẢ

5




MỤC LỤC
Lời nói đầu

3

Danh mục từ viết tắt

13

Danh mục bảng biểu

15

Danh mục hình vẽ

17

Chương 1: TỔNG QUAN VỀ AN TỒN VÀ BẢO MẬT THÔNG TIN

19

1.1. GIỚI THIỆU CHUNG VỀ AN TOÀN VÀ BẢO MẬT THƠNG TIN

19

1.1.1. Khái niệm an tồn và bảo mật thông tin

19

1.1.2. Lịch sử phát triển của an tồn và bảo mật thơng tin


23

1.1.3. Vai trị của an tồn và bảo mật thơng tin

24

1.2. MỤC TIÊU VÀ U CẦU CỦA AN TỒN VÀ BẢO MẬT THƠNG TIN

27

1.2.1. Mục tiêu của an tồn và bảo mật thơng tin

27

1.2.2. Yêu cầu cho an toàn và bảo mật thông tin

28

1.2.3. Các nguyên tắc an toàn và bảo mật thông tin

30

1.2.4. Các mơ hình đảm bảo an tồn và bảo mật thơng tin

31

1.3. AN TOÀN VÀ BẢO MẬT THƠNG TIN THEO TIẾP CẬN QUẢN TRỊ RỦI RO

39


1.3.1. Tổng quan về rủi ro và quản trị rủi ro

39

1.3.2. Tổng quan về rủi ro cho thông tin và quản trị rủi ro
trong hệ thống thông tin

42

1.3.3. Mối quan hệ giữa quản trị rủi ro cho thông tin và an toàn
và bảo mật thông tin

47

1.4. CHÍNH SÁCH, PHÁP LUẬT VỀ AN TOÀN VÀ BẢO MẬT THƠNG TIN

48

1.4.1. Các chính sách an toàn và bảo mật thơng tin ở Việt Nam

48

1.4.2. Các chính sách an toàn và bảo mật thông tin trên thế giới

53

1.5. TỔNG KẾT CHƯƠNG 1

64


Câu hỏi ôn tập và thảo luận chương 1

65

7


Chương 2: QUY TRÌNH ĐẢM BẢO AN TOÀN VÀ BẢO MẬT THÔNG TIN

69

2.1. QUY TRÌNH CHUNG

70

2.1.1. Xác định, nhận dạng các nguy cơ gây mất an toàn và bảo mật thông tin

70

2.1.2. Phân tích, đánh giá các nguy cơ gây mất an toàn và bảo mật thông tin

71

2.1.3. Lựa chọn giải pháp đảm bảo an toàn và bảo mật thông tin

72

2.1.4. Giám sát an toàn và bảo mật thông tin


72

2.2. NHẬN DẠNG CÁC NGUY CƠ GÂY MẤT AN TOÀN VÀ BẢO MẬT THÔNG TIN

73

2.2.1. Khái niệm và tầm quan trọng của nhận dạng các nguy cơ

73

2.2.2. Phân loại các nguy cơ gây mất an toàn và bảo mật thông tin

74

2.2.3. Phương pháp nhận dạng các nguy cơ gây mất an toàn
và bảo mật thông tin

76

2.3. PHÂN TÍCH, ĐÁNH GIÁ CÁC NGUY CƠ GÂY MẤT AN TOÀN
VÀ BẢO MẬT THÔNG TIN

86

2.3.1. Giới thiệu

86

2.3.2. Những vấn đề trong phân tích, đánh giá các nguy cơ gây mất an toàn
và bảo mật thông tin


87

2.4. KIỂM SOÁT AN TOÀN VÀ BẢO MẬT THÔNG TIN

91

2.4.1. Quy trình kiểm soát

91

2.4.2. Chiến lược kiểm soát

92

2.5. TỔNG KẾT CHƯƠNG 2

94

Câu hỏi ôn tập và bài tập chương 2

95

Chương 3: CÁC KIỂU TẤN CÔNG VÀ CÁC MỐI ĐE DỌA
ĐỐI VỚI AN TOÀN VÀ BẢO MẬT THÔNG TIN

97

3.1. CÁC MỐI ĐE DỌA AN TOÀN VÀ BẢO MẬT THƠNG TIN


97

3.1.1. Mới đe dọa từ các thiết bị phần cứng

99

3.1.2. Mối đe dọa từ các phần mềm

100

3.1.3. Mối đe dọa từ con người

103

3.2. CÁC KIỂU TẤN CÔNG GÂY MẤT AN TOÀN VÀ BẢO MẬT THÔNG TIN

104

3.2.1. Kịch bản của một cuộc tấn công

104

3.2.2. Tấn công thụ động

107

8


3.2.3. Tấn công chủ động


111

3.2.4. Tấn công từ chối dịch vụ

114

3.2.5. Một số kiểu tấn công khác

119

3.3. XU HƯỚNG TẤN CƠNG MỚI GÂY MẤT AN TỒN
VÀ BẢO MẬT THƠNG TIN

125

3.3.1. Thay đổi xu hướng tấn công mạng

125

3.3.2. Tấn công phá mã mật khẩu

127

3.3.3. Tấn công Social Engineering

128

3.4. TỔNG KẾT CHƯƠNG 3


131

Câu hỏi ôn tập và bài tập chương 3

132

Chương 4: MÃ HĨA THƠNG TIN

135

4.1. TỔNG QUAN VỀ MÃ HĨA

135

4.1.1. Khái niệm hệ mã hóa

135

4.1.2. Vài nét về lịch sử mã hóa

138

4.1.3. Vai trị của mã hóa và quy trình mã hóa

140

4.1.4. Các yêu cầu của hệ mã hóa

140


4.1.5. Các kỹ thuật phá mã phở biến

142

4.2. HỆ MÃ HĨA ĐỐI XỨNG

144

4.2.1. Khái niệm về hệ mã hóa đối xứng

144

4.2.2. Ưu điểm và nhược điểm của hệ mã hóa đối xứng

145

4.2.3. Các hệ mã hóa đối xứng cổ điển

146

4.2.4. Hệ mã hóa đới xứng hiện đại

154

4.3. HỆ MÃ HĨA KHƠNG ĐỐI XỨNG

159

4.3.1. Khái niệm về hệ mã hóa không đối xứng


159

4.3.2. Ưu điểm và nhược điểm của hệ mã hóa không đối xứng

162

4.3.3. Hệ mã hóa RSA

164

4.3.4. Một sớ hệ mã hóa không đối xứng khác khác

167

4.4. HÀM BĂM

169

4.4.1. Khái niệm về hàm băm

169

4.4.2. Các phương pháp tạo hàm băm

170

4.4.3. Một số hàm băm thông dụng

171


9


4.5. TỔNG KẾT CHƯƠNG 4

172

Câu hỏi ôn tập và bài tập chương 4

173

Chương 5: SAO LƯU VÀ PHỤC HỒI THÔNG TIN

177

5.1. TỔNG QUAN VỀ SAO LƯU VÀ PHỤC HỒI THÔNG TIN

177

5.1.1 Xác định và tổ chức thông tin của tổ chức, doanh nghiệp

177

5.1.2. Xác định các thiết bị lưu trữ trong tở chức, doanh nghiệp

180

5.2. SAO LƯU DỰ PHỊNG THƠNG TIN

182


5.2.1. Khái niệm chung

182

5.2.2. Phân loại các cơ chế sao lưu và dự phịng

185

5.2.3. Một sớ cơng cụ sao lưu và dự phịng của Windows

186

5.3. KHƠI PHỤC THƠNG TIN SAU SỰ CỐ

189

5.3.1. Thơng tin bị hỏng hóc và việc khơi phục thông tin

189

5.3.2. Khôi phục thông tin bằng phần mềm

190

5.4. XU HƯỚNG CƠNG NGHỆ TRONG ĐẢM BẢO AN TỒN
VÀ BẢO MẬT THƠNG TIN

192


5.4.1. Cơng nghệ trí tuệ nhân tạo

192

5.4.2. Cơng nghệ BlockChain

202

5.5. TỔNG KẾT CHƯƠNG 5

204

Câu hỏi ôn tập và bài tập chương 5

204

Chương 6: ĐẢM BẢO AN TOÀN CHO HỆ THỚNG THƠNG TIN

207

6.1. ĐẢM BẢO AN TỒN BẰNG MƠ HÌNH NHIỀU LỚP

207

6.1.1. Bảo vệ mức quy trình và chính sách

207

6.1.2. Bảo vệ hệ thống thông tin theo nhiều mức


210

6.2. CÁC KIẾN TRÚC AN TỒN CHO HỆ THỐNG THƠNG TIN

217

6.2.1. Bộ ISO 27001 và mơ hình an tồn cho HTTT (ISMS)

217

6.2.2. Khung bảo mật của NIST (NIST Security Framework)

228

6.3. MỘT SỐ BIỆN PHÁP ĐẢM BẢO AN TOÀN CHO HỆ THỐNG THÔNG TIN

237

6.3.1. Phân quyền người sử dụng

237

6.3.2. Bảo mật kênh truyền

241

6.3.3. Sử dụng tường lửa

253


10


6.4. MỘT SỐ BIỆN PHÁP ĐẢM BẢO AN TOÀN CHO NGƯỜI DÙNG
TRONG HỆ THỐNG THÔNG TIN

260

6.4.1. Sử dụng phần mềm diệt virus

260

6.4.2. Sử dụng mật khẩu mạnh.

261

6.4.3. Có cơ chế xác minh thiết lập bảo mật phần mềm

262

6.4.4. Thường xuyên cập nhật các sản phẩm bảo vệ

262

6.4.5. Xây dựng tường lửa cá nhân

263

6.4.6. Thường xuyên sao lưu dự phòng


264

6.4.7. Có cơ chế bảo vệ chống lại các nguy cơ

265

6.5. TỔNG KẾT CHƯƠNG 6

267

Câu hỏi ôn tập và bài tập chương 6

267

Chương 7: AN TOÀN DỮ LIỆU TRONG THƯƠNG MẠI ĐIỆN TỬ

271

7.1. CHỮ KÝ SỐ

271

7.1.1. Tổng quan về chữ ký số

271

7.1.2. Cơ chế hoạt động của chữ ký số

273


7.1.3. Phân loại chữ ký số

274

7.1.4. Ưu và nhược điểm của chữ ký số

278

7.2. CHỨNG THỰC SỐ

279

7.2.1. Khái niệm

279

7.2.2. Sơ đồ chứng thực số sử dụng hệ mã hóa không đối xứng

280

7.2.3. Sử dụng chứng thực sớ trong trùn tin an tồn

281

7.3. ĐẢM BẢO AN TOÀN TRONG THANH TOÁN ĐIỆN TỬ

283

7.3.1. Tổng quan về thanh toán điện tử


283

7.3.2. Các đặc trưng của hệ thống thanh toán điện tử

284

7.3.3. Biện pháp an toàn thông tin trong thanh toán điện tử

286

7.3.4. Một số giải pháp cơng nghệ bảo đảm an tồn thanh tốn bằng thẻ

287

7.4. BẢO MẬT WEBSITE

294

7.4.1. Một số khái niệm

294

7.4.2. Các nguy cơ đối với Website

296

11


7.4.3. An toàn thông tin cho các website thương mại


297

7.4.4. Biện pháp bảo mật cho Website

300

7.5. BẢO MẬT TRÊN CÁC PHƯƠNG TIỆN TRUYỀN THÔNG XÃ HỘI

304

7.5.1. Giới thiệu về các phương tiện truyền thông xã hội

304

7.5.2. Các nguy cơ gây mất an tồn thơng tin từ phương tiện
trùn thơng xã hội

306

7.5.3. An toàn thông tin trên các phương tiện truyền thơng xã hội

307

7.5.4. Biện pháp đảm bảo an tồn thơng tin trên các phương tiện
truyền thông xã hội

309

7.6. TỔNG KẾT CHƯƠNG 7


312

Câu hỏi ôn tập và bài tập chương 7

312

TÀI LIỆU THAM KHẢO

317

12


DANH MỤC TỪ VIẾT TẮT
Từ viết tắt

Từ đầy đủ

Nghĩa tiếng việt

Tiếng Việt
ATTT

An tồn thơng tin

CNTT

Cơng nghệ thơng tin


HTTT

Hệ thống thơng tin

Tiếng Anh
Advanced Research Projects
Agency

Cơ quan chỉ đạo các dự án
nghiên cứu tiên tiến

ARPANET Advanced Research Projects
Agency Network

Mạng lưới cơ quan với các
đề án nghiên cứu tiên tiến

ATM

Automated Teller Machine

Máy rút tiền tự động

CGI

Common Gateway Interface

Giao diện cổng chung

CSI


Customer Satisfaction Index

Chỉ số hài lịng của khách
hàng

DHCP

Dynamic Host Configuration
Protocol

Giao thức cấu hình Host
động

DVD

Digital Versatile Disc

Đĩa đa năng kỹ thuật số

EU

European Union

Liên minh/Liên hiệp
Châu Âu

GCI

Graph Computer Interface


Giao diện đồ họa máy tính

IP

Internet Protocol

Giao thức Internet

ISP

Internet Service Provider

Nhà cung cấp dịch vụ
Internet

ISO

International Organization for
Standardization

Tổ chức quốc tế
về tiêu chuẩn hóa

ARPA

13


Từ viết tắt


Từ đầy đủ

Nghĩa tiếng việt

ITU

International
Telecommunication Union

Liên hiệp Viễn thơng
Quốc tế

MAC

Media Access Control

Kiểm sốt truy cập
phương tiện

NAS

Network Attached Storage

Lưu trữ kết nối mạng

NATO

North Atlantic Treaty
Organization


Tổ chức Hiệp ước Bắc Đại
Tây Dương

OSI

Open Systems Interconnection
Reference Model

Mơ hình tham chiếu kết nối
các hệ thống mở

SAN

Storage Area Network

Mạng lưu trữ dữ liệu

TCP/IP

Transmission Control Protocol/ Giao thức điều khiển truyền
Internet Protocol
nhận/ Giao thức liên mạng

USB

Universal Serial Bus

Chuẩn kết nối tuần tự
đa dụng


14


DANH MỤC BẢNG BIỂU
Bảng 1.1. Danh mục luật liên quan đến an toàn, bảo mật thông tin
ở Việt Nam

48

Bảng 1.2. Các nghị định và thông tư liên quan đến an toàn,
bảo mật thông tin ở Việt Nam

49

Bảng 1.3. Các quyết định, chỉ thị, công văn về an toàn,
bảo mật thông tin ở Việt Nam

50

Bảng 2.1. Minh họa các kiểu đe dọa và biện kiểm soát an toàn

84

Bảng 4.1. Thời gian tìm khoá đối với các khoá
có kích thước khác nhau

143

Bảng 4.2. Ví dụ mã hóa Monophabetic dựa trên bảng chữ cái


146

Bảng 4.3. Mã hóa Monophabetic dựa trên chuỗi nhị phân

147

Bảng 4.4. Minh họa mã hóa hàng với K = 4 3 1 2 5 6 7

148

Bảng 4.5. Minh họa mã hóa hàng rào với K=2

149

Bảng 4.6. Minh họa mã hóa cộng tính với K=3

150

Bảng 4.7. Minh họa mã hóa Vigenere

152

Bảng 4.8. Minh họa mã hóa khóa tự động

154

Bảng 4.9. Danh sách các hàm băm thông dụng

171


Bảng 5.1. Minh họa một cách phân loại thông tin và nơi lưu trữ

178

Bảng 5.2. Minh họa cách phân loại thông tin cần lưu trữ

179

Bảng 5.3. So sánh sao lưu và dự phịng thơng tin

184

Bảng 6.1. Ứng dụng ISO - 27001 trên thế giới

228

Bảng 7.1. Một số vụ tấn cơng vào website nổi tiếng
trên tồn thế giới

299

15



DANH MỤC HÌNH VẼ
Hình 1.1. Các lĩnh vực quan trọng cần ưu tiên đảm bảo an toàn
thông tin mạng và hệ thống thơng tin quan trọng
quốc gia của Việt Nam


27

Hình 1.2. Mơ hình an tồn và bảo mật thơng tin nhiều lớp

33

Hình 1.3. Mơ hình trùn thơng tin an tồn

38

Hình 1.4. Các nội dung quản trị rủi ro trong hệ thống thơng tin

45

Hình 2.1. Quy trình đảm bảo an tồn và bảo mật thơng tin

70

Hình 2.2. Quy trình nhận dạng các nguy cơ gây mất an toàn
và bảo mật thông tin

76

Hình 2.3. Xác định các lỗ hổng và đánh giá rủi ro

86

Hình 2.4. Quy trình kiểm sốt rủi ro


92

Hình 2.5. Các chiến lược kiểm soát rủi ro cho hệ thống thơng tin
của tổ chức

93

Hình 3.1. Minh họa các mối đe dọa từ các thiết bị phần cứng

99

Hình 3.2. Kịch bản của một cuộc tấn cơng

105

Hình 3.3. Nghe trộm thơng tin trên đường trùn

108

Hình 3.4. Phân tích lưu lượng thơng tin trên đường truyền

111

Hình 3.5. Giả mạo người gửi tin

112

Hình 3.6. Tấn cơng từ chối dịch vụ cổ điển

115


Hình 3.7. Phân loại các kiểu DDoS

117

Hình 3.8. Tấn cơng từ chối dịch vụ phản xạ

119

Hình 3.9. Tấn cơng liên kết chéo XSS

120

Hình 3.10. Tấn cơng Phishing

121

Hình 3.11. Tấn cơng Pharming

122

Hình 4.1. Mơ hình trùn tin có bảo mật cơ bản

136

Hình 4.2. Mơ hình hệ mã hóa đối xứng

145

17



Hình 4.3. Mã hóa cộng tính với bước dịch chuyển bằng 3

150

Hình 4.4. Hình vng Vigenere dùng để mã hóa và giải mã

153

Hình 4.5. Sơ đồ chung của DES

158

Hình 4.6. Sơ đồ trùn tin bằng mã hóa khóa cơng khai

162

Hình 4.7. Cơ chế xác thực bằng hệ mã hóa khóa cơng khai

163

Hình 5.1. Phần mềm EaseUS Data Recovery Wizard

190

Hình 6.1. Các kiểu dữ liệu phi cấu trúc trong HTTT

211


Hình 6.2: Các thành phần trong hệ thống ISMS

221

Hình 6.3: Các bước triển khai NIST

232

Hình 6.4: Đánh giá tình trạng hiện tại của tổ chức

235

Hình 6.5: Phân biệt người dùng tồn cục và người dùng cục bộ

238

Hình 6.6: Cấu trúc hoạt động của giao thức SSL

243

Hình 6.7. Mơ hình giao thức bắt tay

244

Hình 6.8: Cơ chế hoạt động của SET

247

Hình 6.9: Các thành phần của SET


248

Hình 6.10. Tường lửa với cơ chế lọc gói

255

Hình 7.1

Tạo chữ ký số và kiểm tra chữ ký số

274

Hình 7.2. Sơ đồ sử dụng khố cơng khai trong chữ ký số

277

Hình 7.3. Chứng thực số sử dụng khố cơng khai

280

Hình 7.4. Chu kỳ sống của chứng thực số

282

Hình 7.5: Các hình thức thanh toán điện tử

284

Hình 7.6: Thẻ tín dụng Visa Card và Master Card


288

Hình 7.8. Tổ chức của IVS

292

Hình 7.9. Số vụ website bị tấn cơng theo thời gian

298

Hình 7.10. Các phương tiện trùn thơng xã hội phổ biến

305

18


Chương 1
TỔNG QUAN VỀ AN TỒN
VÀ BẢO MẬT THƠNG TIN
Phần đầu chương trình bày những vấn đề cơ bản về an tồn và bảo
mật thơng tin trong hệ thống thơng tin, bao gồm những khái niệm cơ bản
về an toàn và bảo mật thông tin; vai trò, mục tiêu và yêu cầu của an toàn
và bảo mật thông tin trong hoạt động của các tổ chức, doanh nghiệp; các
mô hình đảm bảo an toàn và bảo mật thông tin.
Trong phần tiếp theo của chương một, trình bày những nội dung
chính trong tiếp cận nghiên cứu an toàn và bảo mật thông tin theo góc độ
quản trị rủi ro. Trên cơ sở tổng quan về rủi ro, về quản trị rủi ro, phần này
trình bày những nội dung cơ bản của hoạt động quản trị rủi ro trong hệ
thống thông tin. Những nội dung đó là: nhận dạng hay xác định rủi ro

thường gặp trong hệ thống thông tin; phân tích, đánh giá, đo lường mức
độ ảnh hưởng; xây dựng chiến lược kiểm soát các rủi ro để hạn chế tác
động của chúng.
Phần cuối của chương một giới thiệu về hành lang pháp lý (các luật,
quy định và thông tư) về an tồn và bảo mật thơng tin ở Việt Nam và một
số quy định trên thế giới về an ninh thơng tin tồn cầu.
1.1. GIỚI THIỆU CHUNG VỀ AN TỒN VÀ BẢO MẬT
THƠNG TIN
Trong mục này, giáo trình đề cập đến khái niệm về an tồn và bảo
mật thơng tin, giới thiệu vài nét về lịch sử phát triển của các hệ thống đảm
bảo an tồn thơng tin.
1.1.1. Khái niệm an tồn và bảo mật thơng tin
An tồn và an ninh: Theo từ điển tiếng Việt “An toàn là sự đảm bảo
yên ổn hoàn toàn, không gặp trắc trở, không bị nguy hiểm về tính mạng,
19


sức khỏe và vật chất”. Theo quan điểm của các nhà kinh tế chính trị học
thì “An toàn là sự ổn định, là sự phát triển bền vững, an toàn là tránh được
các thiệt hại về vật chất và con người”. Theo quan điểm của nhà tâm lý
học “An toàn là sự thoải mái về tâm lý, sự yên tâm về thể xác, tâm hồn và
tài sản”. Như vậy, an toàn là biện pháp hạn chế tối đa và phòng ngừa những
tình huống xấu xảy ra. Nói một cách khác, an tồn có nghĩa là được bảo
vệ, khơng bị xâm phạm bởi người không được phép.
Bao trùm lên khái niệm an toàn là khái niệm an ninh. Khái niệm an
ninh rộng lớn hơn, có mức độ đặc biệt quan trọng và trên một diện rộng
hơn chẳng hạn như an ninh quốc gia, an ninh kinh tế, an ninh quốc phòng...
còn khái niệm an toàn có mức độ hẹp hơn nằm ở bên trong của khái niệm
an ninh. Phải đảm bảo an ninh trước thì mới có đảm bảo an toàn. Tuy
nhiên, cả hai khái niệm này đều có điểm giống nhau và chung một mục

đích là bảo vệ cho con người và tài sản của con người.
An tồn thơng tin (Information Security) có thể hiểu là có đầy đủ các
điều kiện và các biện pháp cần thiết để đảm bảo cho thông tin tránh khỏi
những nguy cơ bị truy cập trái phép, bị sử dụng, làm rò rỉ, làm hỏng, bị
chỉnh sửa, bị sao chép, bị xóa bỏ bởi những người không được phép. Các
nguy cơ này có thể là ngẫu nhiên (do tai nạn, thiên tai,...) hoặc có chủ định
(bị phá hoại từ bên ngoài, hoặc chủ định của con người,...). Theo Bách
khoa toàn thư mở thì “An toàn thơng tin là hành động ngăn cản, phịng
ngừa sự sử dụng, truy cập, tiết lộ, chia sẻ, phát tán, ghi lại hoặc phá hủy
thông tin chưa có sự cho phép”.
Liên quan đến khái niệm an toàn thông tin có các khái niệm an tồn
thơng tin mạng (cyber security), an tồn máy tính (computer security),
đảm bảo thơng tin (information assurance). Trong nhiều trường hợp, các
khái niệm này và khái niệm an tồn thơng tin (information security) có thể
được sử dụng với nghĩa giống nhau. Về cơ bản, an tồn thơng tin quan tâm
đến khía cạnh bí mật, tồn vẹn, sẵn sàng của dữ liệu mà khơng quan tâm
đến hình thức của dữ liệu: điện tử, bản in, hoặc các dạng khác. An tồn
máy tính tập trung vào việc đảm bảo tính sẵn sàng và hoạt động đúng đắn
20


của hệ thống máy tính mà không quan tâm đến thông tin được lưu trữ và
xử lý như thế nào, chỉ đảm bảo thông tin tập trung và sẵn sàng cho người
dùng trong hệ thống. An tồn thơng tin mạng là khái niệm mới xuất hiện
những năm gần đây khi hệ thống mạng toàn cầu Internet phát triển bùng
nổ, các dịch vụ mạng được tích hợp cùng với các quy trình hoạt động của
các tổ chức doanh nghiệp dẫn đến các cuộc tấn công mạng ngày càng lan
rộng và đa dạng. An tồn thơng tin mạng nhằm đảm bảo cho các hoạt động
của người dùng cá nhân, các tổ chức đơn vị trong mạng toàn cầu được
an toàn.

Một hệ thống thơng tin của tổ chức được coi là an tồn khi nó được
bảo vệ nhiều lớp với nhiều mức khác nhau bao gồm: bảo vệ mức vật lý,
bảo vệ mức người dùng, bảo vệ các tác vụ, bảo vệ hệ thống truyền thông,
bảo vệ hệ thống mạng và bảo vệ sự an toàn của thông tin được lưu trữ, sử
dụng và phân phối trong tổ chức.
Bảo mật thông tin có thể được hiểu là duy trì tính bí mật, tính tồn
vẹn, tồn diện và tính sẵn sàng cho tồn bộ thông tin. Theo Bách khoa toàn
thư mở bảo mật thông tin là sự hạn chế khả năng lạm dụng tài nguyên
thông tin và tài sản liên quan đến thông tin như các máy tính, thiết bị mạng,
thiết bị ngoại vi, các phần mềm của cơ quan hoặc người sở hữu hệ thống.
An tồn của một hệ thống thơng tin thực chất là sự đảm bảo an ninh
ở mức độ chấp nhận được. Muốn hệ thống thông tin an toàn thì trước hết
phải có sự đảm bảo thơng tin trên cơ sở mạng truyền dữ liệu thông suốt.
Sau chữ an toàn thường có chữ bảo mật để mở rộng khía cạnh đảm bảo bí
mật về nội dung thơng tin. Như vậy, an tồn bảo mật hệ thống thơng tin là
đảm bảo hoạt động lưu thơng và nội dung bí mật cho những thành phần
của hệ thống ở mức độ chấp nhận được.
Các yếu tố không thể tách rời trong an toàn và bảo mật thơng tin là:
(1) Tính bí mật: Đảm bảo thông tin đó là duy nhất, chỉ những người
được cho phép mới được tiếp cận đến;
(2) Tính tồn vẹn: Đảm bảo sự hồn chỉnh, tồn diện của thơng tin;
21


(3) Tính chính xác: Thơng tin đưa ra phải chính xác, đầy đủ, không
được sai lệch hay không được vi phạm bản qùn nội dung;
(4) Tính sẵn sàng: Thơng tin ln phải sẵn sàng, có thể được cung
cấp ở bất cứ đâu, bất cứ khi nào khi có yêu cầu.
Việc bảo vệ thông tin trong hệ thống thông tin của tổ chức có thể
được thực hiện bằng các thiết bị phần cứng (các hệ thống backup dữ

liệu,...) hay các chương trình phần mềm (trình diệt virus, các chương trình
mã hóa,...). Trong mơi trường mạng tồn cầu như hiện nay, việc đảm bảo
an tồn thơng tin gặp khó khăn hơn rất nhiều. Trước đây, dữ liệu chỉ được
lưu trữ trong một máy tính cá nhân độc lập, việc bảo mật thông tin được
thực hiện dễ dàng bằng cách sử dụng các biện pháp phần cứng (niêm phong
các ổ mềm, ổ CD) hay các trình bảo vệ dữ liệu cục bộ đơn giản. Nhưng
giờ đây, dữ liệu không đơn thuần nằm trong một máy tính riêng biệt nữa
mà được chia sẻ trên mạng cho nhiều người sử dụng cùng lúc, điều này
giúp việc trao đổi thông tin ngày càng thuận lợi hơn nhưng cũng gia tăng
các nguy cơ bị tấn công cho các hệ thống thông tin của các tổ chức, doanh
nghiệp. Các kẻ tấn công không cần phải trực tiếp tác động lên máy tính
của nạn nhân, thậm chí cũng khơng cần biết chiếc máy tính đó như thế nào
mà vẫn có thể xâm nhập vào nó, thay đổi, sao chép, xóa bỏ thơng tin của
nạn nhân. Vì vậy, người đảm bảo an tồn thơng tin cho các hệ thống thơng
tin phải luôn luôn cập nhật các kiến thức bảo mật mới có thể thích nghi
được với tình trạng tấn cơng dữ liệu ngày càng gia tăng như hiện nay.
Như vậy, có thể hiểu: Thông tin trong một hệ thống thông tin là an
toàn khi các khiếm khuyết không thể làm cho hoạt động chủ yếu của hệ
thống thông tin bị ngừng hẳn và các sự cố xảy ra sẽ được khắc phục kịp
thời mà không gây thiệt hại đến mức độ nguy hiểm cho chủ sở hữu. Thông
tin trong một hệ thống thông tin được coi là bảo mật nếu tính riêng tư của
nội dung thông tin được đảm bảo theo đúng các tiêu chí trong một thời
gian xác định.
Trong hệ thống thông tin, hai yếu tố an toàn và bảo mật đều rất quan
trọng và gắn bó với nhau: hệ thống mất an toàn thì không bảo mật và ngược
22


lại hệ thống không bảo mật thì mất an toàn. Tuy nhiên, nếu phân tích theo
mơ hình OSI (mơ hình tham chiếu các hệ thống mở) thì sự an toàn của hệ

thống thông tin được thực hiện chủ yếu ở các tầng dưới, còn việc bảo mật
nội dung thông tin được thực hiện ở các tầng trên.
1.1.2. Lịch sử phát triển của an tồn và bảo mật thơng tin
Lịch sử về an tồn thơng tin gắn liền với an tồn máy tính. Trong
chiến tranh thế giới, các hệ thống máy tính cần đảm bảo an tồn về tính bí
mật của vị trí cất giữ, an tồn cho phần cứng, phần mềm tránh khỏi các
mối đe dọa từ chiến tranh nên đã có nhiều biện pháp được thực hiện nhằm
đảm bảo cho các máy tính vẫn có thể hoạt động tốt trong chiến tranh như
cất vào tủ sắt, có cơ chế tài khoản kèm mật khẩu khi truy cập dữ liệu,...
Những năm 1960 của thế kỷ trước, trong suốt thời kỳ chiến tranh
lạnh giữa Mỹ và Liên Xô, các hệ thống bảo mật và phòng tránh bắt đầu ra
đời, như hệ thống ARPA (Advanced Research Project Agency - Cơ quan
hoạch định nghiên cứu tiên tiến) bắt đầu được thực thi, sau đó đến hệ thống
ARPANET (Advanced Research Projects Agency Network) rồi đến các hệ
thống ARPANET- Program Plan.
Những năm từ 1970 đến 1980, hệ thống ARPANET trở nên phổ biến
và được sử dụng rộng rãi. Tháng 12 năm 1973 Robert.M (còn gọi Bob
Metcalfe) đã phát triển một hệ thống bảo đảm an toàn cho mạng Ethernet
với khả năng đảm bảo an toàn cho dữ liệu bằng cách giới hạn người dùng,
định danh truy cập, chia quyền truy cập trong tổ chức thành nhiều mức đã
đem lại thành công mới cho các giải pháp đảm bảo an tồn thơng tin cho
các tổ chức, đơn vị. Ngoài ra, trong giai đoạn này các nghiên cứu của MIT
(Massachusetts Institute of Technology), MULTICS (Multiplexed
Information and Computing Service) rồi các hệ thống trên UNIX cũng đưa
ra các giải pháp mới cho các hệ thống thông tin được đảm bảo an toàn.
Những năm 1990 cho đến những năm cuối của thế kỷ 20, mạng máy
tính trở nên phổ biến và cũng tiềm ẩn những nguy cơ mất an toàn thông
tin cho người sử dụng, đặc biệt là sự phát triển vượt bậc của mạng toàn
cầu Internet, đã đem lại rất nhiều nguy cơ cho người sử dụng chúng.
23



Bởi sự kết nối hàng triệu người dùng kèm theo các dịch vụ như chia sẻ
thông tin, gửi nhận thư, truyền nhận tập tin,... đã làm tăng các nguy cơ giả
mạo, làm hỏng hóc cũng như các nguy cơ tác động trực tiếp lên dữ liệu
của người dùng. Do đó, đòi hỏi các nhà nghiên cứu phải đưa ra các chiến
lược và giải pháp an toàn thông tin đa dạng hơn.
Từ năm 2000 cho đến nay, đặc biệt là từ cuối những năm 2000, các
khái niệm về an tồn thơng tin, an tồn máy tính,... được thay bằng khái
niệm an ninh mạng (cyber security) bởi vào giai đoạn này sự phát triển
bùng nổ của công nghệ thông tin và các hệ thống mạng con kết nối với
mạng Internet làm gia tăng các cuộc tấn công trên mạng, gây ra sự mất an
toàn thông tin. Các hệ thống lưu trữ thông tin cũng dần được đẩy lên các
đám mây cùng các dịch vụ cho thuê kho lưu trữ ngày càng phát triển và
phổ biến làm nguy cơ mất an toàn cho dữ liệu ngày càng cao. Các hệ thống
truyền thông xã hội bùng nổ kèm theo các dịch vụ truyền thông phát triển
cũng làm tăng nguy cơ đối với người dùng, thêm nữa, các hệ thống thông
tin của các tổ chức doanh nghiệp ngày mở rộng và thâm nhập vào hầu hết
các tác vụ trong hoạt động của tổ chức làm nguy cơ mất an tồn của các
hệ thống thơng tin ngày càng cao.
1.1.3. Vai trị của an tồn và bảo mật thông tin
Không giống như các chương trình phần mềm hay các hệ thống ứng
dụng khác, các hệ thống đảm bảo an tồn thơng tin cho tổ chức có nhiệm
vụ chính là đảm bảo rằng hệ thống thông tin và các nội dung của chúng
đều hoạt động tốt, khơng có sai sót hay hỏng hóc. Về cơ bản, các hệ thống
đảm bảo an toàn thông tin cho các đơn vị tổ chức có bốn vai trị chính
sau đây:
Thứ nhất, bảo vệ chức năng hoạt động của tổ chức: Bao gồm cả khía
cạnh quản lý nói chung và quản lý CNTT nói riêng đều chịu trách nhiệm
thực thi các biện pháp an ninh thông tin để bảo vệ khả năng hoạt động của

tổ chức khơng bị sai sót hay hỏng hóc. Các tổ chức quan tâm đến các biện
pháp an ninh thơng tin có ảnh hưởng đối với các hoạt động kinh doanh
cũng như tăng thêm chi phí gây nên các gián đoạn trong hoạt động kinh
24