Mục lục
Chương 1: TỔNG QUAN VỀ AN TỒN THƠNG TIN (OVERVIEW OF INFORMATION SECURITY)
.................................................................................................................................................................................

1.

Khái niệm cơ bản......................................................................................................................

2.

Mục tiêu của an tồn thơng tin................................................................................................

3.

An tồn thơng tin đối với một tổ chức....................................................................................

4.

Giải pháp để ATTT...................................................................................................................

Chương 2: CÁC MỐI ĐE DỌA ĐẾN AN TỒN THƠNG TIN (THREATS TO INFORMATION
SECURITY)...........................................................................................................................................................
1.

Khái niệm cơ bản......................................................................................................................

Lổ hỏng – Mối đe dọa – Rủi ro.........................................................................................................................
3. Các cách tấn cơng và cách phịng chống......................................................................................................
3.1

Mã độc (Malware)...................................................

3.2

Tấn cơng Password..................................................

3.3

Tấn công bằng Backdoor :......................................

3.4

Tấn công từ chối dịch vụ.........................................

3.5

Mail Bombs..............................................................

3.6

Tấn công Man-in-the-middle..................................

3.7

Tấn công Sniffing....................................................

3.8

Tấn công Social Engineering..................................

Chương 3:.............................................................................................................................................................

PHÁP LUẬT VÀ QUY ĐỊNH VỀ AN TỒN THƠNG TIN (LAWS AND REGULATIONS ON
INFORMATION SECURITY)...........................................................................................................................
1.

Khái niệm cơ bản:.....................................................................................................................

3.

Luật Giao dịch Điện tử.............................................................................................................

4.

Luật sở hữu trí tuệ Việt Nam...................................................................................................

5.

Luật An ninh mạng...................................................................................................................
5.1.

Luật an tồn thông tin mạng 2018.........................


Chương 1:
TỔNG QUAN VỀ AN TỒN THƠNG TIN
(OVERVIEW OF INFORMATION SECURITY)
1. Khái niệm cơ bản
Dữ liệu và Thông tin
Dữ liệu (Data) là gì?
Dữ liệu có thể được định nghĩa như là một tập các sự việc, sự kiện, con số. Ví dụ: họ tên, ngày sinh của một
người, trọng lượng, giá cả, chi phí số lượng, tên sản phẩm, mã số thuế,….

Dữ liệu là khơng có ý nghĩa cho đến khi nó được đưa vào một mối liên quan nào
đó Dữ liệu có thể được thu thập, xử lý, lưu trữ trong máy tính
Dữ liệu mà chưa xử lý được gọi là dữ liệu thơ (Raw data),
Dữ liệu được trình bày dước dạng: các con số, các từ, hình ảnh, âm, thanh, đa phương tiện, dữ liệu động
Hãy cho ví dụ một vài dữ liệu
Thơng tin (Information) là gì?
Là dữ liệu đã được xử lý, tổ chức, cấu trúc hoặc trình bày
trong một ngữ cảnh nhất định để làm cho chúng hữu ích
Là dữ liệu đã được xử lý theo cách có ý ghĩa đối với
người được nhận nó.

Cho ví dụ vài thông tin
Hệ thống thông tin (Information systems) Là tập các quy trình và cơng cụ được thiết kế và triển khai để bảo vệ các
thông tin nhạy cảm của doanh nghiệp từ sự truy cập, hiệu chỉnh, phá hủy khơng hợp pháp
An tồn thơng tin mạng (information security), an tồn máy tính (computer security), đảm bảo thơng tin (information
assurance) được sử dụng hoán đổi cho nhau
Tại sao cần an tồn thơng tin?
Thơng tin là một tài sản, giống như các tài sản quan trọng khác của doanh nghiệp, có giá trị đối với tổ chức và cần
được bảo vệ một cách phù hợp (BS ISO 27002:2005)
Nếu thông tin của tổ chức lọt vào tay những những người không có thẩm quyền hoặc khơng hợp pháp thì dẫn đến
những hậu quả rất rất nghiêm trọng
Vì thế, bảo vệ thơng tin trở thành một yêu cầu không thể thiếu trong mọi hoạt động nói chung và hoạt động điện tử
nói riêng. An tồn thơng tin trong thời đại số là quan trọng hơn bao giờ hết
2. Mục tiêu của an tồn thơng tin
Ba khái niệm ATTT cần đảm bảo:
Tính bảo mật (Confidentiality),
Tính tồn vẹn (Integrity) và
Tính sẳn dùng (Availability)
hình thành một Tam giác bảo mật CIA (CIA triad).
Ba khái niệm thể hiện các mục tiêu cốt lỗi an toàn cho cả thông tin và dịch vụ của hệ thống thông tin

1


Tính bảo mật (Confidentiality):
Là ngun tắc đảm bảo kiểm sốt truy cập thông tin.
Thông tin chỉ được phép truy cập bởi những đối tượng (người, chương trình máy tính…) được cấp phép.
Ví dụ: Trong hệ thống ngân hàng, một khách hàng được phép xem thông tin số dư tài khoản của mình nhưng
khơng được phép xem thơng tin của khách hàng khác
Tính tồn vẹn (Integrity)
Là sự đảm bảo dữ liệu là đáng tin cậy và chính xác.
Thơng tin chỉ được phép xóa hoặc sửa bởi những đối tượng được phép và phải đảm bảo rằng thơng tin vẫn
cịn chính xác khi được lưu trữ hay truyền đi.
Ví dụ: Trong hệ thống ngân hàng, không cho phép khách hàng tự thay đối thơng tin số dư của tài khoản
của mình.
Tính sẵn dùng (Availability)
Là sự đảm bảo liên tục và mức độ đáp ứng kịp thời của hệ thống khi có yêu cầu truy cập dữ liệu hoặc thao tác
từ người dùng.
Đảm bảo thông tin/dịch vụ luôn sẵn sàng khi những người dùng hoặc ứng dụng được ủy quyền yêu cầu
Ví dụ: Trong hệ thống quản lý thông tin ngân hàng, cần đảm bảo rằng chủ tài khoản có thể truy vấn/giao
dịch thơng tin tài khoản của mình bất cứ lúc nào.
Một server chỉ bị ngưng hoạt động hay ngừng cung cấp dịch vụ trong vịng 5 phút trên một năm thì độ sẵn
sàng của nó là 99,999%.
Mối tương quan giữa Confidentiality - Integrity –Availability
Bộ ba C, I, A này là những tiêu chí quan trọng trong q trình phân tích, dự trù kinh phí, thời gian xây dựng hệ thống đảm
bảo an tồn thơng tin. Các tiêu chí này có mối tương quan như sau: X$=C+I+A
X$ là kinh phí cho việc xây dựng và phát triển hệ thống cà C, I, A là thuộc tính của tam giác. Theo tốn học, với mỗi X$
không đổi, việc tang chỉ số C sẽ làm giảm I và A và ngược lại.
Bên cạnh bộ ba CIA, trong lĩnh vực an tồn cịn khái niệm quan trọng cần có:
Tính xác thực (Authenticity): việc xác thực nguồn gốc của thông tin trong hệ thống (thuộc sở hữu của đối
tượng nào) để đảm bảo thông tin đến từ một nguồn đáng tin cậy

Tính chống thối thác (Non-repudiation): Khả năng ngăn chặn việc từ chối một hành vi đã làm. Bên giao dịch
không thể phủ nhận việc họ đã thực hiện giao dịch với các bên khác.
Ví dụ: Trong hệ thống ngân hàng, có khả năng cung cấp bằng chứng để chứng minh một hành vi khách hàng
đã thực hiện và người thực hiện đó có hợp pháp khơng, như giao dịch thanh tốn, giao dịch chuyển khoản....

3. An tồn thơng tin đối với một tổ chức
ATTT thực hiện 4 chức năng quan trọng cho một tổ chức
Bảo vệ được các chức năng nhiệm vụ của một tổ chức
- Hoạt động của tổ chức không gián đoạn
- Không mất chi phí để phục hồi hoạt động của tổ chức
Có được các hoạt động an tồn trên các ứng dụng của tổ chức
- Hoạt động của tổ chức hiện đại cần có và vận hành các ứng dụng tích hợp
Bảo vệ được dữ liệu mà tổ chức đã thu thập và sử dụng
- Khơng có dữ liệu, tổ chưc sẽ mất các hồ sơ giao dịch hoặc khả năng cung cấp dịch vụ cho khách hàng
2


Bảo vệ được tài sản công nghệ của tổ chưc
- Để thực hiện hiệu quả, các tổ chức phải sử dụng các dịch vụ cơ sở hạ tầng an toàn phù hợp với quy mô
và phạm vi của tổ chức. Khi một tổ chức phát triển, nó phải phát triển các dịch vụ bảo mật bổ sung
An tồn thơng tin của của một tổ chức bị mất thì điều gì xảy ra?
4. Giải pháp để ATTT
Một số giải pháp
Chính sách ATTT
Kiểm sốt truy
cập Mật mã học
Duy trì an tồn thơng tin
Tuân thủ các quy định pháp luật

3



Chương 2:
CÁC MỐI ĐE DỌA ĐẾN AN TỒN THƠNG TIN
(THREATS TO INFORMATION SECURITY)
1. Khái niệm cơ bản

Lổ hỏng – Mối đe dọa – Rủi ro
Vulnerability (lổ hỏng):một điểm yếu trong tổ chức, hệ thống IT, hoặc mạng mà có thể được khám phá bởi mối
đe dọa.
Threat (mối nguy/mối đe dọa): một cái gì đó mà có thể gây thiệt hại đến tổ chức, hệ thống IT hoặc hệ thống
mạng.
Risk (rủi ro):một khả năng mà một mối đe dọa khai thác lỗ hỏng trong tài sản và gây ra nguy hại hoặc mất mát
đến tài sản
Lổ hỏng – Mối đe dọa – Rủi ro
Mối quan hệ giữa lổ hỏng, mối đe dọa, rủi ro

Tấn công (Attacks)
Hành động khai thác lỗ hổng (tức là một điểm yếu được xác định) trong hệ thống kiểm
sốt Thực hiện kẻ tấn cơng nhằm gây thiệt hại hoặc ăn cắp thông tin của tổ chức
Để bảo vệ thông tin của tổ chức, bạn cần biết điều gì?
Bạn phải biết chính bạn
- Thơng tin nào cần bảo vệ
- Các hệ thống mà lưu trữ, truyền tải và xử lý
Biết những mối đe dọa (threats) mà bạn đối mặt
- Nắm bắt được các mối đe dọa đến con người, ứng dụng, dữ liệu và hệ thống thông tin
2. Các mối đe dọa:
Hành động vô ý (Inadvertent Acts)
- Là những hành động mà xảy bởi lỗi nào đó, người thực hiện không cố ý Kẻ tấn công không ác ý hoặc hiềm thù
- Các hành động lỗi của con người, sai lệch từ chất lượng vị vụ, truyền thông lỗi là ác hành động vô ý. Nhân viên oặc người dùng hệ thống là nối đe dọa nội bộ hệ thống

Hành động cố ý (Delierate Acts)
4


- Là các hành động mà được thực hiện bởi người của tổ chức là tổ hại đến thông tin
- Các kẻ tấn cơng có một ý định thâm độc và muốn ăn cấp hoặc phá hủy dữ liệu
- Bao gồm các hành động như gián điệp, hacking, Cracking
Thảm họa tự nhiên (Natural Disaster)
- Sức mạnh của thiên nhiên là rất nguy hiểm bởi vì chúng là điều khơng ngờ và xuất hiện đơi khi khơng có cảnh
báo
- Chúng phá vợ cuộc sống của con người nhưng cũng gây nguy hại dến thơng tin mà được lưu vào trong
máy tính
- Các mối đe dọa này có thể tránh nhưng chúng ta phải có những biện pháp phịng ngừa cần thiết
Lỗi về kỹ thuật (Technical Failures)
- Lỗi về phần cứng:
Nó xảy ra khi nhà sản xuất phân phối thiết bị có lỗi mà nhà sản xuất có thể biết hoặc khơng biết
- Lỗi về phần mềm kỹ thuật:
Những lỗi này có thể khiến hệ thống hoạt động theo cách không mong muốn hoặc bất ngờ. Một số trong số này
là không thể phục hồi trong khi một số xảy ra định kỳ
Lỗi về quản lý (Management)
- Quản lý phải luôn luôn cập nhật về diễn biến và công nghệ hiện tại
- Kế hoạch phù hợp phải được thực hiện bởi nhà quản lý để bảo vệ tốt thông tin
- Các chuyên gia CNTT cũng phải giúp ban quản lý trong việc bảo vệ thông tin, bằng cách hỗ trợ an quản lý
nâng cao công nghệ mới nhất
3. Các cách tấn công và cách phịng chống

3.1 Mã độc (Malware)
Đó là bất cứ phần mềm độc hại được thiết kế để làm nguy hại đến một máy tính mà khơng có sự đồng thuận của
người dùng
Các loại mã độc: Viruses, Worms, Trojan, Spyware, Rainsomware, Adware, Rootkits, Spam.

Trojan: đặc tính phá hoại máy tính, thực hiện các hành vi phá hoại như: xoá file, làm đổ vỡ các chương trình
thơng thường, ngăn chặn người dùng kết nối internet…
Worm: Giống trojan về hành vi phá hoại, tuy nhiên nó có thể tự nhân bản để thực hiện lây nhiễm qua
nhiều máy tính.
Spyware: là phần mềm cài đặt trên máy tính người dùng nhằm thu thập các thơng tin người dùng một cách
bí mật, khơng được sự cho phép của người dùng.
Adware: phần mềm quảng cáo, hỗ trợ quảng cáo, là các phần mềm tự động tải, pop up, hiển thị hình ảnh và
các thơng tin quảng cáo để ép người dùng đọc, xem các thông tin quảng cáo. Các phần mềm này khơng có
tính phá hoại nhưng nó làm ảnh hưởng tới hiệu năng của thiết bị và gây khó chịu cho người dùng.
Ransomware: đây là phần mềm khi lây nhiễm vào máy tính nó sẽ kiểm sốt hệ thống hoặc kiểm sốt
máy tính và yêu cầu nạn nhân phải trả tiền để có thể khôi phục lại điều khiển với hệ thống.
Virus: là phần mềm có khả năng lây nhiễm trong cùng một hệ thống máy tính hoặc từ máy tính này sang máy
tính khác dưới nhiều hình thức khác nhau. Quá trình lây lan được thực hiện qua hành vi lây file. Ngoài ra,
virus cũng có thể thực hiện các hành vi phá hoại, lấy cắp thông tin…

5


Rootkit: là một kỹ thuật cho phép phần mềm có khả năng che giấu danh tính của bản thân nó trong hệ
thống, các phần mềm antivirus từ đó nó có thể hỗ trợ các module khác tấn công, khai thác hệ thống.
Bảo vệ chống lại mã độc
Đảm bảo rằng bạn đã cập nhật hệ điều hành và các phần mềm chóng mã độc
Khơng sử dụng phần mềm khơng có bản quyền hoặc tải các tập tin từ những nguồn không đáng tin cậy.
Thực hiện quết (scans) ổ đĩa cứng thường xun
Sử dụng phần mềm có bản
quyền 3.2 Tấn cơng Password
Password là gì?
Có 3 dạng tấn cơng Password phổ biến:
- Brute Force Attack (tấn cơng dị mật khẩu)
- Dictionary Attack (tấn công từ điển)

- Key Logger Attack (tấn công Key Logger)
Brute Force Attack (tấn cơng dị mật khẩu)
Kẻ tấn cơng sử dụng một cơng cụ mạnh mẽ, có khả năng thử nhiều username và password cùng lúc (từ dễ đến
khó) cho tới khi đăng nhập thành công.
VD: đặt mật khẩu đơn giản như 123456, password123, daylamatkhau,… rất dễ bị tấn công brute force.
Dictionary Attack (tấn công từ điển)
-

Là một biến thể của Brute Force Attack

-

Tuy nhiên kẻ tấn công nhắm vào các từ có nghĩa thay vì thử tất cả mọi khả năng.

-

Nhiều người dùng có xu hướng đặt mật khẩu là những từ đơn giản và có ngữ nghĩa.

-

VD: motconvit, iloveyou,… Đây là lý do khiến Dictionary Attack có tỉ lệ thành công cao hơn.

Key Logger Attack (tấn công Key Logger)
-

Kẻ tấn cơng lưu lại lịch sử các phím mà nạn nhân gõ, bao gồm cả ID, password hay nhiều nội dung khác.

-

Kẻ tấn công cần phải sử dụng một phần mềm độc hại (malware) đính kèm vào máy tính (hoặc điện thoại)

nạn nhân, phần mềm đó sẽ ghi lại tất cả những ký tự mà nạn nhân nhập vào máy tính và gửi về cho kẻ tấn
cơng. Phần mềm này được gọi là Key Logger.

-

Nguy hiểm hơn 2 cách tấn công trên, do việc đặt mật khẩu phức tạp khơng giúp ích gì trong trường hợp này.

6




3 tấn công trên chỉ là các dạng tấn công mật khẩu trực tiếp.



Ngồi ra, kẻ tấn cơng có thể tấn công gián tiếp thông qua việc:
-

Lừa đảo người dùng tự cung cấp mật khẩu (Tấn công giả mạo Phishing);

-

Tiêm nhiễm Malware

-

Tấn công vào cơ sở dữ liệu – kho lưu trữ mật khẩu người dùng của các dịch vụ…

Cách phòng chống

Đặt mật khẩu phức tạp
-

Tuy đơn giản nhưng biện pháp này giúp người dùng phòng tránh được hầu hết các cuộc tấn cơng dị mật
khẩu thơng thường.

-

Một mật khẩu mạnh thường bao gồm: chữ IN HOA, chữ thường, số, ký tự đặc biệt (ví dụ @$*%&#)

Bật xác thực 2 bước:
-

Hầu hết dịch vụ cho phép người dùng bật xác thực 2 bước khi đăng nhập trên thiết bị mới. Điều này khiến
hacker có hack được mật khẩu cũng khơng thể đăng nhập được.

-

Hiện tại Facebook, Gmail, các ngân hàng, ví điện tử… đều có tính năng này

Quản lý mật khẩu tập trung:
-

Việc lưu tất cả mật khẩu trên một thiết bị là con dao hai lưỡi. Người dùng cân nhắc khi thực hiện.

Thay đổi mật khẩu định kì:
-

Gây khó khăn cho quá trình hack mật khẩu của tin tặc.


Thận trọng khi duyệt web:
-

Tin tặc có thể hack mật khẩu của bạn bằng cách tạo ra một đường link giả mạo. Link giả thường gần
giống trang web chính vì thế, luôn thận trọng với các đường link trước khi đưa thông tin cá nhân

Cẩn trọng khi mở email, tải file:
-

Tuyệt đối không mở file lạ, và luôn kiểm tra địa chỉ email người gửi xem có chính xác khơng.
VD: tên người gửi là Ngọc Luân JSC nhưng địa chỉ email là ngoclunajsc thì chắc chắn có dấu hiệu
lừa đảo.

Bị hack mật khẩu phải làm sao?
Ngay lập tức khóa dịch vụ đang sử dụng:
-

Liên hệ trực tiếp với các nhà cung cấp dịch vụ (ngân hàng, facebook, gmail…) để yêu cầu tạm ngưng
dịch vụ cho tài khoản của bạn.

Ngắt kết nối với các dịch vụ khác (nếu có):

7


-

Nếu bạn bị mất tài khoản Gmail, cần ngắt kết nối với tài khoản facebook, tài khoản ngân hàng bằng
cách thơng báo cho nhân viên hỗ trợ.


Xác nhận danh tính để lấy lại mật khẩu:
-

Bạn chỉ cần chọn “Forget Password” hoặc “Quên mật khẩu” rồi tiến hành nhập thông tin cần thiết để lấy
lại mật khẩu. Mỗi dịch vụ khác nhau yêu cầu xác minh thông tin khác nhau, thông thường chính là
thơng tin bạn sử dụng để đăng ký tài khoản

3.3 Tấn công bằng Backdoor :
Backdoor (cửa hậu)
Backdoor trong phần mềm hay hệ thống máy tính thường là một cổng không được thông báo rộng rãi.
Cho phép người quản trị xâm nhập hệ thống để tìm nguyên nhân gây lỗi hoặc bảo dưỡng (do nhà phát triển
tạo ra).
Hacker và gián điệp dùng backdoor để truy cập bất hợp pháp vào hệ thống (cài đặt thông qua một số mã độc)
Cách phát hiện tấn cơng Backdoor
Rất khó phát hiện, tùy thuộc vào hệ hiều hành
Dụng phần mềm antimalware quét và kiểm tra backdoor
Một số trường hợp khác đòi hỏi phải sử dụng các công cụ chuyên dụng, hoặc các công cụ giám sát giao thức
để kiểm tra gói mạng mới có thể phát hiện được backdoor.
Cách phịng chống
Tn thủ đúng các phương pháp bảo mật
Chỉ cài đặt các phần mềm tin cậy và đảm bảo đã bật tường
lửa (firewall) trên thiết bị (firewall có thể ngăn chặn các cuộc tấn công backdoor, hạn chế lưu lượng truyền
qua các cổng mở)
Theo dõi lưu lượng mạng để phát hiện và kiểm tra xem có sự hiện diện của backdoor hay khơng
3.4 Tấn cơng từ chối dịch vụ
Denial-of-service (DoS)
Là hình thức tấn cơng khá phổ biến hiện nay, nó khiến cho máy tính mục tiêu không thể xử lý kịp các tác vụ và
dẫn đến quá tải.
8



Các cuộc tấn công DOS này thường nhắm vào các máy chủ ảo (VPS) hay Web Server của các doanh nghiệp lớn như
ngân hàng, chính phủ hay là các trang thương mại điện tử … hoặc hacker cũng có thể tấn công để “bỏ ghét”.

Tấn công DOS thường chỉ được tấn công từ một địa điểm duy nhất, tức là nó sẽ xuất phát tại một điểm và chỉ có
một dải IP thơi. Bạn có thể phát hiện và ngăn chặn được.
Distributed Denial Of Service (DDoS)
Là một dạng tấn công nhằm gây cạn kiện tài nguyên hệ thống máy chủ và làm ngập lưu lượng băng thông
Internet, khiến truy cập từ người dùng tới máy chủ bị ngắt quãng, truy cập chập chờn, thậm chí khơng thể truy
cập được internet, làm tê liệt hệ thống hoặc thậm chí là cả một hệ thống mạng nội bộ.
Tấn công DDOS mạnh hơn DOS rất nhiều, điểm mạnh của hình thức này đó là nó được phân tán từ nhiều dải IP
khác nhau, chính vì thế người bị tấn cơng sẽ rất khó phát hiện để ngăn chặn được.
Hacker không chỉ sử dụng máy tính của họ để thực hiện một cuộc tấn công vào một trang web hay một hệ
thống mạng nào đó, mà họ cịn lợi dùng hàng triệu máy tính khác để thực hiện việc này

3.5 Mail Bombs
Là một dạng của DoS
Một số lượng lớn email được gửi đến một tài khoản với mục đích chính là hạ gục tài khoản email mục tiêu
(gián đoạn trong quá trình nhận/chuyển và xử lý các thư hợp pháp)
Tấn công Mail Bombs
Tấn công Mailbomb thường tấn công các máy chủ email.
Trong kiểu tấn cơng này thay vì các gói, các email q lớn hoặc email rác được lọc (ngăn chặn) thì lại liên tục
được gửi đến một máy chủ email mục tiêu.
Điều này thường làm sập máy chủ email do tải đột ngột và khiến chúng vô dụng cho đến khi được sửa chữa

3.6Tấn công Man-in-the-middle
Tấn công xen giữa (Man-in-the-middle)
Là một kiểu tấn cơng mạng, trong đó kẻ tấn cơng chặn đường liên lạc giữa 2 bên

9



Mục tiêu là bất kỳ loại giao tiếp trực tuyến nào, như trao đổi email, phương tiện truyền thông mạng xã hội hoặc
thậm chí các trang web tài chính, các kết nối liên quan đến khóa cơng khai hoặc khóa riêng và các trang web
yêu cầu đăng nhập.
Tin tặc có thể xem dữ liệu riêng tư của bạn (các cuộc hội thoại, thông tin đăng nhập hoặc thông tin tài chính).
Họ cũng có thể gửi và nhận dữ liệu mà bạn không biết.
Các loại tấn công Man-in-the-middle
Email Hijacking (Đánh cắp email)
-

Chiếm quyền điều khiển email của các tổ chức ngân hàng hoặc tài chính. Họ có quyền truy cập vào tài khoản

cá nhân của nhân viên và khách hàng và theo dõi các giao dịch. Khi có cơ hội, họ sử dụng địa chỉ email của ngân
hàng để gửi hướng dẫn riêng cho khách hàng. Bằng cách làm theo các hướng dẫn này, khách hàng vơ tình gửi
tiền của họ cho những kẻ tấn cơng thay vì ngâ hàng của họ.
Wi-Fi Eavesdropping (Nghe lén Wifi )
-

Kẻ tấn công thiết lập một địa chỉ Wi-Fi có tên có vẻ hợp pháp. Sau đó, họ chờ người dùng (bạn) kết nối với

mạng Wi-Fi. Khi bạn kết nối với Wi-Fi, tin tặc có thể truy cập thiết bị của bạn, theo dõi hoạt động của bạn và
chặn dữ liệu cá nhân của bạn. Sau đó dùng các thơng tin đó thực hiện một tấn công khác.
Session Hijacking (chiếm phiên làm việc)
Một phiên là khoảng thời gian bạn đã đăng nhập và làm việc trong hệ thống (các hệ thống ngân hàng, tài chính) Mục
tiêu lấy thông tin đăng nhập, thông tin cá nhân, theo dõi phiên làm việc thông qua các cookie của bạn thậm

chí thay mặt bạn thực hiện một số giao dịch.
IP Spoofing/DNS Spoofing/HTTPS Spoofing
Bảo vệ khỏi tấn công MITM

Sử dụng kết nối HTTPS
Sử dụng HSTS (HTTP Strict Transport Security)
Luôn luôn cập nhật hệ thống và chương trình của
bạn Cẩn thận với mạng Wi-Fi
Sử dụng mạng riêng ảo (VPN)

10


3.7Tấn cơng Sniffing
Sniffing là một chương trình lắng nghe trên hệ thống
mạng để truyền dữ liệu. Sniffing cho phép các cá nhân nắm bắt dữ liệu khi nó truyền qua mạng.
Kỹ thuật này được sử dụng bởi các chuyên gia mạng để chuẩn đoán các sự cố mạng và bởi những users có ý định
xấu để thu thập dữ liệu khơng được mã hóa, như password và username. Nếu thơng tin này được ghi lại trong
q trình người dùng có thể truy cập vào hệ thống hoặc mạng.
Khởi đầu Sniffer là tên một sản phầm của Network Associates có tên là Sniffier Analyzer.
Đối tượng Sniffing là:
-

Password (từ Email, Web, SMB, FTP, SQL hoặc Telnet)

-

Các thơng tin về thẻ tín dụng

-

Văn bản của Email

-


Các tập tin đang di động trên mạng (tập tin Email, FTP hoặc SMB)

Sniffing thường được sử dụng vào 2 mục đích khác biệt nhau.
-

Tích cực:
 Chuyển đổi dữ liệu trên đường truyền để quản trị viên có thể đọc và hiểu ý nghĩa của những
dữ liệu đó.
 Bằng cách nhìn vào lưu lượng của hệ thống cho phép quản trị viên có thể phân tích lỗi đang
mắc phải trên hệ thống lưu lượng của mạng.
 Một số Sniffing tân tiến có thêm tính năng tự động phát hiện và cảnh báo các cuộc tấn công
đang được thực hiện vào hệ thống mạng mà nó đang hoạt động. (Intrusion
Detecte Service)
 Ghi lại thơng tin về các gói dữ liệu, các phiên truyền...Giúp các quản trị viên có thể xem lại thơng
tin về các gói dữ liệu, các phiên truyền sau sự cố...Phục vụ cho cơng việc
phân tích, khắc phục các sự cố trên hệ thống mạng.

-

Tiêu cực:
 Nghe lén thông tin trên mạng để lấy các thông tin quan trọng.

3.8Tấn công Social Engineering
là kỹ thuật tác động đến con người, nhằm mục đích lấy được thơng tin hoặc đạt được một mục đích mong muốn. Dựa
vào điểm yếu tâm lý, nhận thức sai lầm của con người về việc bảo mật thông tin, sử dụng sự ảnh hưởng và thuyết
phục để đánh lừa người dùng nhằm khai thác các thơng tin có lợi cho cuộc tấn cơng, hoặc thuyết phục nạn

nhân thực hiện một hành động nào đó.


11


Các hình thức tấn cơng Social Engineering phổ biến
 Phishing
 Watering Hole
 Pretexting
 Baiting và Quid Pro Quo
Phishing
Ghép từ “Fishing” và Phony” (“câu cá” và “lừa dảo”)
Là một hình thức lừa đảo bằng cách giả mạo các tổ chức có uy tín như ngân hàng, trang web giao dịch trực
tuyến, các cơng ty thẻ tín dụng để lừa người dùng chia sẻ thơng tin tài chính bí mật như: tên đăng nhập, mật khẩu
giao dịch và những thông tin nhạy cảm khác.
Các kiểu tấn công Phishing
Spear phishing
-

Tấn công cá nhân hoặc tổ chức cụ thể, với nội dung được thiết kế riêng cho nạn nhân. Hacker phải thu
thập và đối chiếu các thông tin của nạn nhân (tên, chức danh, email, tên đồng nghiệp, mối quan hệ,…)
để tạo ra một email lừa đảo đáng tin cậy, yêu cầu bạn cung cấp thơng tin của mình. Bạn tưởng email đó
là email từ một người hoặc bất kỳ tổ chức nào mà bạn biết.

-

Ví dụ, something.com có thể có tên miền phụ tên là paypal.something.com. Kẻ tấn công tạo một ID
email là Email có vẻ khá giống với ID email liên quan đến PayPal.

-

Là mối đe dọa nghiêm trọng đối với doanh nghiệp, chính phủ và gây thiệt hại lớn


-

Các biện pháp bảo vệ khỏi Spear Phishing
 Nếu bạn nhận được bất kỳ email nào, dưới bất kỳ hình thức nào, yêu cầu bạn cung cấp thông tin chi
tiết, thứ mà bạn không cảm thấy thoải mái khi chia sẻ, hãy coi đó là một hình thức spear phishing và
trực tiếp loại bỏ nó. Bỏ qua các email, tin nhắn đó và kết thúc các cuộc gọi như vậy.

 Chỉ chia sẻ những gì cần thiết trên các trang mạng xã hội
 Nên có một phần mềm bảo mật tốt để lọc các email của mình. Bạn có thể thêm chứng chỉ email
và mã hóa cho các ứng dụng email mà bạn sử dụng để bạn được bảo vệ tốt hơn. Nhiều cuộc tấn
cơng spear phishing có thể bị phát hiện bằng các chương trình hoặc chứng chỉ bảo mật được
tích hợp hay cài đặt cho ứng dụng email.
Clone phishing

12


-

Hacker sao chép các email hợp pháp, nhưng thay thế đường dẫn hoặc trong email. Khi người dùng
nhấp vào liên kết hoặc mở tệp đính kèm, tài khoản của họ sẽ bị hacker kiểm sốt. Sau đó, hacker sẽ giả
mạo danh tính của nạn nhân để thực hiện phishing trong chính tổ chức của nạn nhân

Phone phishing
-

“vice phishing” hoặc “vishing”

-


Các phisher sẽ tự xưng là đại điện của ngân hàng, sở cảnh sát, hoặc thậm chí sở thuế vụ tại địa phương
bạn sống. Họ sẽ đe dọa và yêu cầu bạn cung cấp thông tin tài khoản hoặc nộp phạp qua chuyển khoản
hoặc bằng thẻ trả trước để tránh bị theo dõi

Lừa đảo qua mạng xã hội:
-

Hacker thực hiện bằng cách gửi đường dẫn qua tin nhắn, trạng thái Facebook hoặc các mạng xã hội
khác. Các tin nhắn này có thể là thơng báo trúng thưởng các hiện vật có giá trị như xe SH, xe ôtô, điện
thoại iPhone,… và hướng dẫn người dùng truy cập vào một đường dẫn để hoàn tất việc nhận thưởng.

-

Ngoài việc lừa nạn nhân nộp lệ phí nhận thưởng, tin tặc có thể chiếm quyền điều khiển tài khoản, khai thác
thông tin danh sách bạn bè sử dụng cho các mục đích xấu như lừa mượn tiền, mua thẻ cào điện thoại,

…
Cách phòng tránh tấn công Phishing
Không ở email từ người lạ
KHông nhấp vào các liên kết đáng ngờ trong email
Nếu nghi ngờ một trang web trong có vẻ hợp pháo, bạn hãy nhập địa chỉ trang web hợp pháp trên trình duyệt
web tho cách thủ cơng
Kiểm tra xem các website có ùng các giao thức hỗ trợ bảo mật không
Nếu nghingo72 một email không ho85p pháp, hãy lấy các thông tin trong email đó để kiểm tra xm có cuộc
tấn cơng lừa đảo nào thực hiện bằng phương pháp tương tự không
Sử dụng phần mềm bảo mật chống phần mền đọc hại đáng tin cậy
Watering Hole
Hacker tấn cơng có chủ đích vào các TC/DN thông qua việc lừa các thành viên truy cập vào các trang web
chứa mã độc.

Tin tặc thường nhắm đến các trang web có nhiều người truy cập, web “đen” hoặc tạo ra các trang web riêng
để lừa người dùng, trong đó cố ý chèn vào website các mã khai thác liên quan đến các lỗ hổng trình duyệt.
Nếu truy cập vào website, các mã độc này sẽ được thực thi và lây nhiễm vào máy tính của người dùng.

13


Kịch bản của tấn công Watering Hole
Bước 1: Thu thập thông tin về TC/DN mục tiêu, gồm danh sách các website mà các nhân viên hay lãnh đạo của tổ
chức thường xun truy cập. Sau đó, tin tặc
bắt đầu tìm kiếm các trang web mà chúng để có thể xâm nhập, kết hợp với kỹ thuật tấn công local attack để
nâng cao khả năng tấn công.
Bước 2: Sau khi đã chiếm được quyền điều khiển của một website mà các nhân viên của tổ chức thường xuyên truy
cập, tin tặc sẽ thực hiện chèn các mã khai thác các lỗ hổng thơng qua trình duyệt, ứng dụng flash hay java

Bước 3: Sau khi người dùng truy cập vào các trang web độc hại, ngay lập tức mã độc sẽ được thực thi. Khi đó,
tin tặc sẽ chiếm quyền điều khiển và cài đặt các chương trình độc hại cho phép điều khiển từ xa lên máy tính nạn
nhân. Từ đó, khai thác các thông tin từ người dùng hoặc sử dụng chính máy đó để tấn cơng các máy tính khác.
Pretexting
Hacker tập trung vào việc tạo ra một lý do hợp lý, hoặc một kịch bản đã được tính tốn từ trước để ăn cắp
thông tin cá nhân của nạn nhân.
Hacker có thể sẽ cố thao túng các mục tiêu để khai thác các
điểm yếu về cấu trúc của một tổ chức hoặc cơng ty. Ví dụ, một tin tặc mạo danh một kiểm toán viên của dịch vụ
CNTT bên ngồi cơng ty với những lý lẽ hợp lý, đủ sức thuyết phục nhân viên an ninh về mặt vật lý, cho phép
tin tặc vào cơ sở làm việc của cơng ty đó.
Khơng giống như các email lừa đảo vốn lợi dụng sự sợ hãi và khẩn cấp của nạn nhân, các cuộc tấn
công Pretexting dựa vào việc xây dựng cảm giác tin cậy cho đối tượng cần khai thác.
Baiting và Quid Pro Quo
Lợi dụng sự tò mò của con người hoặc hứa hẹn về một mặt hàng hay một sản phẩm hấp dẫn nào đó để đánh
lừa nạn nhân. Ví dụ điển hình là một kịch bản tấn cơng mà tin tặc sử dụng một tệp độc hại được giả mạo thành

bản cập nhật phần mềm hoặc phần mềm phổ biến nào đó.
Hacker cũng có thể tấn cơng Baiting về mặt vật lý, ví dụ như phát miễn phí thẻ USB bị nhiễm độc trong khu vực
lân cận của tổ chức mục tiêu và đợi nhân viên nội bộ lây nhiễm phần mềm độc hại vào máy tính của cơng ty. Sau
khi được thực thi trên các máy tính, các phần mềm độc hại được cài đặt trên các USB này sẽ giúp tin tặc chiếm
được toàn quyền điều khiển, qua đó phục vụ cho mục đích tấn cơng tiếp theo.
Quid Pro Quo hay Something For Something là biến thể của Baiting.
Thay vì dụ đưa ra lời hứa về một sản phẩm, hacker hứa hẹn một dịch vụ hoặc một lợi ích dựa trên việc thực
hiện một hành động cụ thể nào đó qua một một dịch vụ hoặc lợi ích được tin tặc xây dựng để trao đổi thông tin
hoặc quyền truy cập.
14


Hacker mạo danh nhân viên CNTT của một tổ chức lớn. Hacker đó cố gắng liên lạc qua điện thoại với nhân viên
của tổ chức định tấn cơng, sau đó cung cấp và hướng dẫn cho họ một số thông tin liên quan đến việc nâng cấp
hoặc cài đặt phần mềm. Để tạo điều kiện cho việc thực hiện các hành vi độc hại, các hacker sẽ yêu cầu nạn nhân
tạm thời vơ hiệu hóa phần mềm antivirus cài trong máy, nhờ đó ứng dụng độc hại được thực thi mà khơng gặp
phải bất cứ trở ngại nào.
Biện pháp phịng chống Social Engineering- Đối với cá nhân
-

Cẩn thận và không nên trả lời bất kỳ thư rác nào yêu cầu xác nhận, cập nhật bất kỳ thông tin nào về tài khoản của
cá nhân, TC/DN.

-

Khơng kích chuột vào bất kỳ liên kết đi kèm với thư rác nếu không chắc chắn về nó.

-

Cảnh giác với các thơng tin khuyến mại, trúng thưởng nhận

được trên MXH; Không nhấp chuột vào các đường dẫn của các trang web lạ; Không cung cấp thông tin cá nhân,
đặc biệt là tài khoản ngân hàng; Sử dụng mật khẩu phức tạp đối với các tài khoản MXH và thường xuyên thay
đổi các mật khẩu này.

-

Cảnh giác khi thực hiện truy cập vào các trang web, đặc biệt là các trang web khơng phổ biến vì chúng rất có
thể tồn tại lỗ hổng mà tin tặc đang nhắm vào để khai thác

Biện pháp phòng chống Social Engineering - Đối với TC/DN
-

Phân chia tài khoản, quyền hạn và trách nhiệm rõ ràng đối với các tài khoản MXH, website, hệ thống.

-

Tránh sử dụng một mật khẩu cho nhiều tài khoản khác nhau nhằm tránh nguy cơ lộ lọt thông tin.
Hạn chế đăng những thông tin cá nhân, thông tin công ty, doanh nghiệp lên mạng xã hội để tránh kẻ xấu mạo
danh.

-

Nâng cao kiến thức về tấn cơng và cách phịng tránh Social Engineering, kỹ năng ATTT cho cán bộ, nhân viên;
Thực hiện các buổi tập huấn với các tình huống giả mạo, qua đó nâng cao nhận thức, ý thức cảnh giác và kinh
nghiệm đối phó với những tình huống tương tự.

-

Thường xuyên cập nhật bản vá cho phần mềm, hệ điều hành.


15


Chương 3:
PHÁP LUẬT VÀ QUY ĐỊNH VỀ AN TỒN THƠNG TIN
(LAWS AND REGULATIONS ON INFORMATION SECURITY)
1. Khái niệm cơ bản:
 Hệ thống pháp luật
 Các văn bản quy phạm pháp
luật Hiến pháp
Luật, bộ luật
Nghị định
Thơng tư
 Mục đích của văn bản quy phạm pháp luật
Hệ thống pháp luật
Là tổng thể các quy phạm pháp luật, các nguyên tắc, định hướng và mục đích của pháp luật có mối liên hệ mật
thiết và thống nhất với nhau, được phân định thành các ngành luật, các chế định pháp luật và được thể hiện
trong các văn bản do cơ quan nhà nước Việt Nam có thẩm quyền ban hành theo những hình thức, thủ tục nhất
định để điều chỉnh các quan hệ xã hội phát sinh trên lãnh thổ Việt Nam.
Là một khái niệm chung bao gồm hai mặt cụ thể là: Hệ thống cấu trúc của pháp luật và hệ thống văn
bản pháp luật
hệ thống văn bản pháp luật
Hiến pháp
Luật hoặc bộ luật
Văn bản dưới luật: Nghị quyết, Nghị định, Thông tư,…
Các văn bản quy phạm pháp luật
Hiến pháp là một hệ thống quy định những nguyên tắc chính trị căn bản và thiết lập kiến trúc, thủ tục, quyền hạn
và trách nhiệm của một chính quyền.
Luật, bộ luật là văn bản quy phạm pháp luật do Quốc hội ban hành để cụ thể hóa Hiến pháp nhằm điều chỉnh
các loại quan hệ xã hội trong các lĩnh vực hoạt động của xã hội. Các bộ luật và luật này đều có giá trị pháp lí

cao (chỉ sau Hiến pháp) và có phạm vi tác động rộng lớn đến đơng đảo các tầng lớp nhân dân.
-

Bộ Luật là một văn bản quy phạm pháp luật do Quốc hội ban hành nhằm điều chỉnh và tác động rộng
rãi đến các quan hệ xã hội trong một lĩnh vực hoạt động nào đó của xã hội (ví dụ: Bộ luật Hình sự, Bộ
luật Tố tụng Hình sự, Bộ luật Lao động, Bộ luật Dân sự,...).
16


-

Luật cũng là một văn bản quy phạm pháp luật do Quốc
hội ban hành,trình tự ban hành và hiệu lực giống bộ luật, song phạm vi các quan hệ xã hội cần điều
chỉnh hẹp hơn, chỉ trong một lĩnh vực hoạt động, một ngành hoặc một giới (ví dụ: Luật đất đai, Luật
thuế, Luật xây dựng, ...).

Nghị định
-

là chính phủ ban hành dùng để hướng dẫn luật hoặc quy định những việc phát sinh mà chưa có luật
hoặc pháp lệnh nào điều chỉnh. Mặt khác, nghị định do Chính phủ ban hành để quy định những quyền
lợi và nghĩa vụ của người dân theo Hiến pháp và Luật do Quốc hội ban hành.

-

Nói một cách dễ hiểu hơn thì Nghị định là quy định cho từng lĩnh vực (nhà nước, doanh nghiệp..)

Thơng tư
-


Là văn bản giải thích, hướng dẫn thực hiện những văn bản của nhà nước ban hành, thuộc phạm vi quản
lí của một ngành nhất định.

-

Đơn giản hơn, có thể nói thơng tư dùng để hướng dẫn nghị định, do cấp bộ, bộ trưởng ký ban hành.

Công văn
-

Là hình thức văn bản hành chính dùng phổ biến trong các cơ quan, tổ chức, doanh nghiệp.

-

Là phương tiện giao tiếp chính thức của cơ quan Nhà nước với cấp trên, cấp dưới và với cơng dân. Thậm
chí trong các tổ chức xã hội và các doanh nghiệp trong hoạt động hàng ngày cũng phải soạn thảo và sử
dụng công văn để thực hiện các hoạt động thông tin và giao dịch nhằm thực hiện các chức năng và nhiệm
vụ của mình.

Mục đích của văn bản quy phạm pháp luật
Ban hành văn bản quy phạm pháp luật nhằm điều tiết những vấn đề thực tiễn.
-

Xã hội ngày càng phát triển đa dạng, đa chiều với những mối quan hệ phức tạp, nhiều vấn đề liên quan
trực tiếp đến sự ổn định và phát triển kinh tế – xã hội đang đặt ra cho Nhà nước những vấn đề thực
tiễn cần phải giải quyết trong quá trình quản lý, điều hành.

Văn bản quy phạm pháp luật nhằm thể chế hóa và bảo đảm thực hiện các chính sách.
-


Pháp luật là biểu hiện hoạt động của các chính sách.

-

Pháp luật được ban hành có thể đưa ra các biện pháp gián tiếp, thông qua việc tạo ra hành lang pháp lý
mà trong phạm vi đó, từng cá nhân đóng vai trị là động lực.

-

Luật pháp có thể đem lại cơng bằng xã hội, giảm đói nghèo, tạo ra động lực cho xã hội phát triển (bền
vững). Bằng các văn bản quy phạm pháp luật, chính quyền địa phương đưa ra các biện pháp thu hút đầu

tư, khuyến khích sự phát triển của các doanh nghiệp, các cơ chế thực thi hiệu quả.
Ban hành Văn bản quy phạm pháp luật nhằm tạo ra/phân bổ/phát huy các nguồn lực nhằm phát triển kinh tế.
-

Pháp luật có thể tạo điều kiện để tăng việc làm và tăng thu nhập.
17


-

Pháp luật tạo điều kiện cho các chủ sở hữu tiếp cận với các công nghệ thông tin và thị trường, với các
kỹ năng về tín dụng và quản lý, qua đó giúp họ tăng năng suất lao động và tăng thu nhập (đặc biệt là các

vùng sâu vùng xa)
Ban hành văn bản quy phạm pháp luật góp phần nhằm ổn định trật tự xã hội, tạo cơ hội quản lý tốt và phát triển. Văn
bản quy phạm pháp luật làm thay đổi các hành vi xử sự không mong muốn và thiết lập các hành vi xử sự phù

hợp.

Các bộ luật cần tìm hiểu
 Luật Cơng nghệ thơng tin, số 67/2006/QH11, Quốc hội thơng qua 29/06/2006, có hiệu lực 01/01/2007
 Luật giao dịch điện tử, số 51/2005/QH11, Quốc hội thơng qua 29/11/2005, có hiệu lực 01/03/2006.
 Luật sở hữu trí tuệ Việt Nam, số 50/2005/QH11, Quốc hội thơng qua 29/11/2005, có hiệu lực 01/07/2006
 Luật an ninh mạng 2018, số 24/2018/QH14, Quốc hội thơng qua 12/06/2018, có hiệu lực 01/01/2019
2. Luật CNTT:
Quốc hội thơng qua 29/06/2006, có hiệu lực 01/07/2007.
Căn cứ vào Hiến pháp nước Cộng hoà xã hội chủ nghĩa Việt Nam năm 1992 đã được sửa đổi, bổ sung theo
Nghị quyết số 51/2001/QH10 ngày 25 tháng 12 năm 2001 của Quốc hội khoá X, kỳ họp thứ 10.
Là văn bản pháp luật cao nhất trong lĩnh vực CNTT định hướng và tạo hàng lang pháp lý cho lĩnh vực CNTT
phát triển và hội nhập quốc tế.
Luật CNTT quy định về hoạt động ứng dụng và phát triển CNTT, các biện pháp bảo đảm ứng dụng và phát
triển CNTT, quyền và nghĩa vụ của cơ quan, tổ chức, cá nhân tham gia hoạt động ứng dụng và phát triển
CNTT.
Luật này áp dụng đối với tổ chức, cá nhân Việt Nam, tổ chức, cá nhân nước ngoài tham gia hoạt động ứng
dụng và phát triển công nghệ thông tin tại Việt Nam.
Xem chi tiết luật CNTT
/>iew_detail.aspx?itemid=15084
/>Sự cần thiết ban hành Luật CNTT
Tầm quan trọng của CNTT
-

Phát huy hiệu quả năng lực trí tuệ cùa người VN

-

Thúc đầy phát triển kinh tế, rút ngắn khoảng cách phát triển so với các nước trong khu vực và thế giới
18



-

Tạo điều kiện hội nhập kinh tê quốc tế và đảm bảo quốc phịng, an ninh

-

Cơng nghiệp CNTT là ngành công nghiệp mà giá trị của sản phẩm chủ yếu là hàm lượng công nghệ
và tri thức cao sẽ là ngành công nghiệp mũi nhọn, là nhân tố quan trọng đẩy nhanh
tốc độ CNH, HĐH đất nước.

Hiện trạng ngành CNTT của VN
-

Còn nhiều vấn đề bất cập

-

Phát triển chưa đồng bộ, chưa đáp ứng được yêu cầu CNH, HĐH và yêu cầu hội nhập kinh tế quốc tế.

-

Việc đầu tư cho CNTT còn dàn trải và kém hiệu quả.

-

Năng lực cạnh tranh của các doanh nghiệp CNTT Việt Nam còn yếu.

-

Việc ứng dụng CNTT trong quản lý, nhất là quản lý hành chính của các cơ quan nhà nước cịn chậm,

chưa đồng bộ, hiệu quả chưa cao.

-

Sản phẩm CNTT có sức cạnh tranh thấp, thâm nhập được vào thương trường thế giới không đáng kể.

Nguyên nhân gây ra hiện trạng ngành CNTT của VN
-

Nhiều nguyên nhân khác nhau

-

Trong đó có nguyên nhân về tổ chức thực hiện và môi trường pháp lý vì các văn bản quy phạm pháp luật
hiện có ở nước ta cịn rời rạc, đơn lẻ nên hoạt động CNTT chưa được điều chỉnh bởi một hệ thống các
quy phạm pháp luật thống nhất, đồng bộ và cập nhật với sự phát triển của CNTT thế giới.



Do đó, cần thiết phải có Luật về CNTT để điều chỉnh các mối quan hệ xã hội mới phát sinh do sự phát
triển của CNTT, tạo cơ sở pháp lý để góp phần khắc phục những yếu kém, đẩy mạnh ứng dụng và phát
triển CNTT.

Tìm hiểu một số điều khoản luật
Điều 8. Quyền của tổ chức, cá nhân tham gia hoạt động ứng dụng và phát triển công nghệ thông tin
Điều 9. Trách nhiệm của tổ chức, cá nhân tham gia hoạt động ứng dụng và phát triển công nghệ thông tin
Điều 12. Các hành vi bị nghiêm cấm
Điều 16. Truyền đưa thông tin số
Điều 21. Thu thập, xử lý và sử dụng thông tin cá nhân trên môi trường
mạng Điều 69. Bảo vệ quyền sở hữu trí tuệ trong lĩnh vực công nghệ thông

tin Điều 71. Chống vi rút máy tính và phần mềm gây hại Điều 72. Bảo đảm
an tồn, bí mật thơng tin
Tìm hiểu một số điều khoản luật
- Đọc hiểu
- Giải thích

19


- Cho ví dụ minh họa tình huống vi phạm điều khoản luật
- Đưa ra mức phạt khi vi phạm điều khoản luật (đọc thêm các nghị định được đưa ra sau luật)

Ví dụ 1: Tìm hiểu điều 8, khoản 2, mục d
Điều 8. Quyền của tổ chức, cá nhân tham gia hoạt động ứng
dụng và phát triển công nghệ thông tin
1. Tổ chức, cá nhân tham gia hoạt động ứng dụng cơng nghệ thơng tin có các quyền sau đây:
d) Phân phát các địa chỉ liên lạc có trên mơi trường mạng khi có sự đồng ý của chủ sở hữu địa chỉ liên lạc đó;
Ví dụ 2: Tìm hiểu điều 8, khoản 1, mục đ
Điều 8. Quyền của tổ chức, cá nhân tham gia hoạt động ứng
dụng và phát triển công nghệ thông tin
1. Tổ chức, cá nhân tham gia hoạt động ứng dụng công nghệ thông tin có các
quyền sau đây:
đ) Từ chối cung cấp hoặc nhận trên môi trường mạng sản phẩm, dịch vụ trái với quy định của pháp luật và phải
chịu trách nhiệm về việc đó.
Bài tập: Tìm hiểu một số điều khoản luật
Bài 1: Tìm hiểu điều 9, khoản 2
Điều 9. Trách nhiệm của tổ chức, cá nhân tham gia hoạt động ứng
dụng và phát triển công nghệ thông tin
2. Tổ chức, cá nhân khi hoạt động kinh doanh trên môi trường mạng phải thông báo công khai trên môi trường
mạng những thông tin có liên quan, bao gồm:

a. Tên, địa chỉ địa lý, số điện thoại, địa chỉ thư điện tử;
b. Thông tin về quyết định thành lập, giấy phép hoạt động hoặc giấy chứng nhận đăng ký kinh doanh (nếu
có); c. Tên cơ quan quản lý nhà cung cấp (nếu có);
d. Thơng tin về giá, thuế, chi phí vận chuyển (nếu có) của hàng hóa, dịch vụ.
Bài 2a: Tìm hiểu điều 12, khoản 2, mục c
Bài 2b: Tìm hiểu điều 12, khoản 2, mục d
Bài 2c: Tìm hiểu điều 12, khoản 2, mục đ
20


Điều 12. Các hành vi bị nghiêm cấm
2. Cung cấp, trao đổi, truyền đưa, lưu trữ, sử dụng thông tin số nhằm mục đích sau đây:
c) Tiết lộ bí mật nhà nước, bí mật quân sự, an ninh, kinh tế, đối ngoại và những bí mật khác đã được pháp luật quy định;
d) Xuyên tạc, vu khống, xúc phạm uy tín của tổ chức, danh dự, nhân phẩm, uy tín của cơng dân;
đ) Quảng cáo, tun truyền hàng hố, dịch vụ thuộc danh mục cấm đã được pháp luật quy định.
Bài 3: Tìm hiểu điều 12, khoản 2, mục c
Điều 12. Các hành vi bị nghiêm cấm
3. Xâm phạm quyền sở hữu trí tuệ trong hoạt động cơng nghệ thơng tin; sản xuất, lưu hành sản phẩm công nghệ thông
tin trái pháp luật; giả mạo trang thông tin điện tử của tổ chức, cá nhân khác; tạo đường dẫn trái phép đối với tên miền của
tổ chức, cá nhân sử dụng hợp pháp tên miền đó
Bài 4: Tìm hiểu điều 16, khoản 4, mục c
Điều 16. Truyền đưa thông tin số
4. Tổ chức, cá nhân truyền đưa thông tin số của tổ chức, cá nhân khác không phải chịu trách nhiệm về nội dung thơng tin
đó, trừ trường hợp thực hiện một trong các hành vi sau đây:
c) Lựa chọn và sửa đổi nội dung thông tin được truyền đưa.
Bài 5: Tìm hiểu điều 21, khoản 4, mục c
Điều 21. Thu thập, xử lý và sử dụng thông tin cá nhân trên môi trường mạng
1. Tổ chức, cá nhân thu thập, xử lý và sử dụng thông tin cá nhân của người khác trên mơi trường mạng phải được
người đó đồng ý, trừ trường hợp pháp luật có quy định khác
Bài 6a: Tìm hiểu điều 21, khoản 2, mục a

Bài 6b: Tìm hiểu điều 21, khoản 2, mục b
Bài 6c: Tìm hiểu điều 21, khoản 2, mục c
Điều 21. Thu thập, xử lý và sử dụng thông tin cá nhân trên môi trường mạng
2. Tổ chức, cá nhân thu thập, xử lý và sử dụng thông tin cá nhân của người khác có trách nhiệm sau đây:
a) Thơng báo cho người đó biết về hình thức, phạm vi, địa điểm và mục đích của việc thu thập, xử lý và sử dụng thơng
tin cá nhân của người đó;
b) Sử dụng đúng mục đích thơng tin cá nhân thu thập được và chỉ lưu trữ những thơng tin đó trong một khoảng thời
gian nhất định theo quy định của pháp luật hoặc theo thoả thuận giữa hai bên;

21


c) Tiến hành các biện pháp quản lý, kỹ thuật cần thiết để bảo đảm thông tin cá nhân không bị mất, đánh cắp, tiết lộ, thay
đổi hoặc phá huỷ;
Bài 7: Tìm hiểu điều 69, khoản 2
Điều 69. Bảo vệ quyền sở hữu trí tuệ trong lĩnh vực cơng nghệ thông tin
2. Người sử dụng hợp pháp phần mềm được bảo hộ có quyền sao chép phần mềm đó để lưu trữ dự phòng và thay thế
phần mềm bị phá hỏng mà không phải xin phép, không phải trả tiền bản quyền.:
Bài 8a: Tìm hiểu điều 71, khoản 1
Bài 8b: Tìm hiểu điều 71, khoản 2
Bài 8c: Tìm hiểu điều 71, khoản 3
Điều 71. Chống vi rút máy tính và phần mềm gây hại
Tổ chức, cá nhân không được tạo ra, cài đặt, phát tán vi rút máy tính, phần mềm gây hại vào thiết bị số của người khác
để thực hiện một trong những hành vi sau đây:
1. Thay đổi các tham số cài đặt của thiết bị số;
2. Thu thập thơng tin của người khác;
3. Xóa bỏ, làm mất tác dụng của các phần mềm bảo đảm an tồn, an ninh thơng tin được cài đặt trên thiết bị số;
Bài 9a: Tìm hiểu điều 71, khoản 2, mục a
Bài 9b: Tìm hiểu điều 71, khoản 2, mục b
Bài 9c: Tìm hiểu điều 72, khoản 2, mục d

Điều 72. Bảo đảm an tồn, bí mật thơng tin
2. Tổ chức, cá nhân không được thực hiện một trong những hành vi sau đây:
a) Xâm nhập, sửa đổi, xóa bỏ nội dung thông tin của tổ chức, cá nhân khác trên môi trường mạng;
b) Cản trở hoạt động cung cấp dịch vụ của hệ thống thơng tin;
d) Bẻ khóa, trộm cắp, sử dụng mật khẩu, khóa mật mã và thơng tin của tổ chức, cá nhân khác trên mơi trường mạng;
Tình hình vi phạm luật CNTT
Bẻ khóa, trộm cắp, sử dụng mật khẩu xâm nhập vào Facebook của người khác và giả mạo danh nghĩa
để chiếm đoạt tài sản của người khác
Xúc phạm người khác trên Facebook/trang mạng XH
Tung tin sao Việt qua đời để câu like (nạn nhân có quyền yêu cầu bồi thường thiệt hại không?)
Tung tin ảnh nhạy cảm của người khác lên mạng
22


Mua bán thông tin cá nhân trái phép

3. Luật Giao dịch Điện tử
Quốc hội thơng qua 29/11/2005, có hiệu lực 01/03/2006.
Luật này quy định về giao dịch điện tử trong hoạt động của các cơ quan nhà nước; trong lĩnh vực dân sự, kinh
doanh, thương mại và các lĩnh vực khác do pháp luật quy định.
Luật này áp dụng đối với cơ quan, tổ chức, cá nhân lựa chọn giao dịch bằng phương tiện điện tử.
Luật này bao gồm nhiều các quy định về:
-

Thông điệp dữ liệu, chữ ký điện tử và chứng thực chữ ký điện tử

-

Giao kết và thực hiện hợp đồng điện tử


-

An ninh, an toàn, bảo vệ, bảo mật trong giao dịch điện tử

-

Giải quyết tranh chấp và xử lý vi phạm trong giao dịch điện tử

/>Giải thích từ ngữ (Điều 4)
1. Chứng thư điện tử là thông điệp dữ liệu do tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử phát hành nhằm
xác nhận cơ quan, tổ chức, cá nhân được chứng thực là người ký chữ ký điện tử.
2. Chứng thực chữ ký điện tử là việc xác nhận cơ quan, tổ chức, cá nhân được chứng thực là người ký chữ ký điện tử.
3. Chương trình ký điện tử là chương trình máy tính được thiết lập để hoạt động độc lập hoặc thông qua thiết bị, hệ
thống thông tin, chương trình máy tính khác nhằm tạo ra một chữ ký điện tử đặc trưng cho người ký thông điệp dữ liệu.
4. Cơ sở dữ liệu là tập hợp các dữ liệu được sắp xếp, tổ chức để truy cập, khai thác, quản lý và cập nhật thông
qua phương tiện điện tử.
5.Dữ liệu là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự.
6. Giao dịch điện tử là giao dịch được thực hiện bằng phương tiện điện tử.
12. Thông điệp dữ liệu là thông tin được tạo ra, được gửi đi, được nhận và được lưu trữ bằng phương tiện điện tử.
13. Tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử là tổ chức thực hiện hoạt động chứng thực chữ ký điện tử
theo quy định của pháp luật.
Nguyên tắc chung tiến hành giao dịch điện tử (Điều 5)
1. Tự nguyện lựa chọn sử dụng phương tiện điện tử để thực hiện giao dịch.
2. Tự thỏa thuận về việc lựa chọn loại công nghệ để thực hiện giao dịch điện tử.
3. Không một loại công nghệ nào được xem là duy nhất trong giao dịch điện tử.
4. Bảo đảm sự bình đẳng và an tồn trong giao dịch điện tử.
23


5. Bảo vệ quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân, lợi ích của Nhà nước, lợi ích cơng cộng.

6. Giao dịch điện tử của cơ quan nhà nước phải tuân thủ các nguyên tắc quy định tại Điều 40 của Luật này.
Điều 9. Các hành vi bị nghiêm cấm trong giao dịch điện tử
1. Cản trở việc lựa chọn sử dụng giao dịch điện tử.
2. Cản trở hoặc ngăn chặn trái phép quá trình truyền, gửi, nhận thơng điệp dữ liệu.
3. Thay đổi, xố, huỷ, giả mạo, sao chép, tiết lộ, hiển thị, di chuyển trái phép một phần hoặc tồn bộ thơng điệp dữ liệu.
4. Tạo ra hoặc phát tán chương trình phần mềm làm rối loạn, thay đổi, phá hoại hệ thống điều hành hoặc có hành vi
khác nhằm phá hoại hạ tầng công nghệ về giao dịch điện tử.
5. Tạo ra thông điệp dữ liệu nhằm thực hiện hành vi trái pháp luật.
6. Gian lận, mạo nhận, chiếm đoạt hoặc sử dụng trái phép chữ ký điện tử của người khác.
Điều 22. Điều kiện để bảo đảm an toàn cho chữ ký điện tử
1. Chữ ký điện tử được xem là bảo đảm an toàn nếu được kiểm chứng bằng một quy trình kiểm tra an tồn do các
bên giao dịch thỏa thuận và đáp ứng được các điều kiện sau đây:
a) Dữ liệu tạo chữ ký điện tử chỉ gắn duy nhất với người ký trong bối cảnh dữ liệu đó được sử
dụng; b) Dữ liệu tạo chữ ký điện tử chỉ thuộc sự kiểm soát của người ký tại thời điểm ký;
c) Mọi thay đổi đối với chữ ký điện tử sau thời điểm ký đều có thể bị phát hiện;
d) Mọi thay đổi đối với nội dung của thơng điệp dữ liệu sau thời điểm ký đều có thể bị phát hiện.
Điều 45. Bảo vệ thông điệp dữ liệu
Cơ quan, tổ chức, cá nhân không được thực hiện bất kỳ hành vi nào gây phương hại đến sự tồn vẹn của thơng điệp
dữ liệu của cơ quan, tổ chức, cá nhân khác

.

Một số nghị định đính kèm Luật giao dịch điện tử
Số: 26/2007/NĐ-CP, thông qua ngày 15/2/2007
Nghị định quy định chi tiết thi hành Luật Giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số
Số: 35/2007/NĐ-CP, thông qua ngày 08/03/2007
Nghị định quy định chi tiết thi hành Luật Giao dịch điện tử về giao dịch điện tử trong hoạt động ngân hàng
Số: 52/2013/NĐ-CP, thông qua ngày 16/05/2013
Nghị định quy định chi tiết thi hành Luật Giao dịch điện tử về thương mại điện tử
3.1 Nghị Định về chữ ký số và chứng thư số


24