Tải bản đầy đủ (.pdf) (120 trang)
  1. Trang chủ
    2. >>
  2. Chuyên ngành kinh tế
    3. >>
  3. Kế toán tài chính

An toàn thông tin kế toán UEH

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (25.17 MB, 120 trang )

Đại học Kinh tế TP Hồ Chí Minh

Khoa Ké tốn
Bộ mơn Hệ thống thơng tin kế tốn
-"======-=(0) -- ~=======

LECTURE NOTE

AN TỒN THƠNG TIN KÉ TỐN

Principles of Information Security- 6th
Michael E. Whitman

& Herbert J. Mattord

TP Hồ Chí Minh - Năm 2023


Mục

lục

Chương 1 TỔNG QUAN VỀ AN TỒN THƠNG TIN KẾ TỐN

5

1.1 Giới thiệu về an tồn thơng tin
1.1.1 Lịch sử an tồn thơng tin

5
5



1.1.2 Định nghĩa an tồn thơng tin

10

1.1.3 Bản chất an tồn thơng tin

13

1.2 Mơ hình an tồn thống tin

13

1.2.1 Mũ hình an toản CNSS

13

1.2.2 Các thành phần của hệ thống thống tin

14

1.2.3 Cân bằng giữa an toàn thơng tin và truy cập

15

1.3 Triển khai an tồn thơng tin

16

1.3.1 Cách tiếp cận thực hiện an tồn thơng tin


16

1.3.2 An tồn thơng tin và chu kỹ phát triển hệ thống

17

1.4 An tồn thơng tin trong doanh nghiệp

15

1.4.1 Chuyễn gia an tồn thơng tin trong doanh nghiệp

13

1.4.2 Các nhóm người dùng ảnh hưởng đến an tồn thơng tin trong doanh nghiệp

15

Chương 2 NHU CẦU CỦA TỔ CHỨC ĐỐI VỚI AN TỒN THƠNG TIN

21

2.1 Nhu cầu của tổ chức đối với an tồn thơng tin

22

2.2 Các loại nguy cơ & cuộc tấn cơng đối với an tồn thơng tin

23


Chương 3 QUẢN LÝ AN TỒN THƠNG TIN

47

3.1 Lập kế hoạch và quản trị an tồn thơng tin

48

3.2 Chính sách, tiêu chuẩn và thực tiễn triển khai an tồn thơng tin

53

3.2.1 Chính sách làm nền tảng cha việc lập kế hoạch

53

3.2.1.1 Chính sách an tồn thơng tin doanh nghiệp (EISP]

55

3.2.1.2 Chính sách an tồn đặc thù |ISSP]

56

3.2.1.3 Chính sách an tồn dành riêng cho hệ thống (SysSP]
3.2.2 Phát triển và triển khai chỉnh sách an tồn hữu hiệu

56
58


3.2.3 Duản lý chính sách

58

3.3 Chương trình giáo dục, huấn luyện và nhận thức về an toàn

58

3.3.1 Giáo dục an toàn



3.3.2 Huấn luyện an toản

61

3.3.3 Nhận thức an toán

61

3.4 Bảng kế hoạch chỉ tiết vẽ an tồn thưng tin

62

3.4.1 Giới thiệu mỏ hình, khn mẫu an toàn

52

3.4.2 Thiết kế kiến trúc an toàn (Design of Security Architecture]


B4

3.4.2.2 Phịng thủ sầu

66

3.4.2.1 Cấp độ kiểm sốt

LECTURE NOTE: AN TỒN THƠNG

TIN KẺ TỐN

66

BỘ MƠN HỆ THƠNG THƠNG TỊN KẺ

TỐN


3.4.2.3 Vành đai an toàn

Chương 4 QUẢN LÝ RỦI RO

4.1 Giới thiệu
4.3. Quy trình quản lý rủi rõ
4.4. Phản ứng với rủi ra
4.6 Các phương pháp quản lý rủi ra khác

Chương 5 KẾ HOẠCH PHẢN ỨNG SỰ CỐ VÀ HOẠT ĐỘNG LIÊN TỤC


Chương 6 KIỂM SỐT AN TỒN
6.1 Kiếm sốt truy cập

6.2 Tường lửa
6.3 Bảo vệ kết nối từ xa - Mạng riêng ảo (VPN]

CHƯƠNG 7 LUẬT, ĐẠO ĐỨC, VẤN ĐỀ NHÂN SỰ VÀ AN TỒN THƠNG TIN
7.2 Định vị và cung cấp nhãn sự cho vị trían tồn thơng tin
7.3 Chính sách nhân sự và thực hành cơng việc
7.4 Các cần nhắc về an toàn đối với những người không phải nhân viễn của công ty
7.5 Các chiến lược kiếm soát nội bộ trong kiếm soát nhân sự

Chương 8 THỰC HIỆN VÀ DUY TRÌ AN TỒN THƠNG TIN

LECTURE NOTE: AN TỒN THƠNG

TIỊN KẺ TỐN

BỘ MƠN HỆ THỞNG THƠNG TIN KẺ TOÁN


4
Chương 1

TỔNG QUAN VỀ AN TỒN THƠNG TIN KẾ TỐN
Textbook: Module 1 - Introduction to Information Security
Mục tiêu chương
Sau khi hồn thành chương 1, sinh viên có khả năng:
Định nghĩa an tốn thơng tin


Hiểu biết về lịch sử an tồn máy tính và giải thích sự phát triển an tồn thông tin.
Xác định các thuật ngữ và các khái niệm quan trọng về an tồn thơng tin
Giải thích vai trị của an tồn trong chu kỳ phát triển hệ thống
Mơ tả vai trò của các chuyên gia đỗi với an tồn thơng tin trong doanh nghiệp

Nội dung
Chương 1 bao gồm các nội dung chính như sau:
s Giới thiệu về an tồn thơng tin

Mõ hình an tồn thơng tin

Triển khai an tồn thơng tin

An tốn thơng tin trong doanh nghiệp

1.1 Giới thiệu về an tồn thơng tin
1.1.1 Lịch sử an tồn thơng tin
Lịch sử an tồn thơng tin được chia thành nhiều giai đoạn, mỗi giai đoạn có những đặc
trưng khác nhau và tập trung vào các vấn đề khác biệt, tùy thuộc vào sự chỉ phối của nhu

cầu của chính phủ, của người dùng, và sự phát triển công nghệ.
a.

Giai đoạn trước những năm 1960: Ảnh hưởng của chiến tranh thế giới thứ 2, ảnh
hưởng của chạy đua vũ trang sau chiến tranh, tình báo, gián điệp và sự sơ khai của

®

cơng nghệ, an tồn thơng tin trong giai đoạn này có những đặc trưng sau:

Nhu cầu an tồn máy tỉnh và an toàn đối với thiết bị xuất hiện từ khi máy tính ra đời.

Nhu cầu giải mã các thông điệp trong chiến tranh dẫn đến sự ra đời của các thiết bị
phá mã, là tiền thần của máy tính hiện đại. Để đảm bảo an tồn cho thiết bị, các biện

pháp thông thường là nhận dạng thông qua giấy phép, giấy tờ cá nhân, ...
Mức độ an toàn và bảo mật thô sơ trong giai đoạn đầu tiên
Nguy cơ chính đối với an tồn là trộm cắp, gián điệp và phá hoại

Sự phát triển của công nghệ và sự ra đời của máy tính lớn (Mainframe Computer)}
Chiến tranh Lạnh; vai trở của thông tin, các chiến dịch gián điệp, chạy đua vũ trang đời
hỏi các biện pháp an tồn và bảo mật cao hơn

LECTURE NOTE:

AN TỒN THƠNG

TIN KẺ TỐN

BỘ MƠN HỆ THƠNG THƠNG TỊN KẺ TỐN


#

(Cơ quan Chỉ đạo các Dự án Nghiên cứu Tiên tiến (ARPA) của Bộ Quốc phòng Mỹ đã
bắt đầu kiểm tra tính khả thi của hệ thống liên lạc nối mạng dự phòng được thiết kế
để hỗ trợ nhu cầu trao đối thơng tin của qn đội.

®


Larry Roberts, người sáng lập ra Internet, đã phát triển dự án ARPANET.

b.

Giai đoạn những năm 70, 8D: Trong 2 thập niên này, cũng nghệ thơng tin có những
tiến bộ, sự phát triển của các giao thức chuyển giao thông tin trên nền tảng mạng máy
tính, sự phát triển của cơ sở dữ liệu cũng như công nghệ thông tin dẫn đến các đặc
thù mới của an tồn thơng tin. Trong giai đoạn này, an tồn thơng tin thường được

®

đồng nhất với an tồn máy tính. Đầy cũng là giai đoạn các hệ điều hành được hình
thành và phát triển, làm nền tảng cho các hệ điều hành sau này.
ARPANET đã trở nên phổ biến và được sử dụng nhiều hơn, và khả năng bị lạm dụng
cũng cao hơn
Robert MỊ. Metcalfe đã chỉ ra rằng có những vấn đề cơ bản với bảo mật ARPANET.
Các trang web của người dùng được truy cập từ xa khơng có đủ các biện pháp kiểm
sốt và biện pháp bảo vệ để đảm bảo an toàn dữ liệu.

Việc thiếu các quy trình an tồn cho các kết nỗi tới ARPANET.
Nhận dạng người dùng và phân quyền cho hệ thống khơng tơn tại.
Vi phạm an tồn máy tỉnh ngày cảng nhiều, đa dạng, số lượng máy chủ và người dùng

w

tăng nhanh, càng đặt ra vấn đề an toàn mạng máy tính trở nên cấp bách.
Báo cáo của RAND Corporation 1970 (RAND R 609) xắc định các thủ tục kiểm soát và
cơ chế cần thiết để bảo vệ hệ thống xử lý dữ liệu được máy tính hóa — được xem là

#


tải liệu đầu tiên cho việc nghiên cứu an tồn máy tính
Phạm vi an tồn máy tính được mở rộng, bao gồm: (1) Bảo mật dữ liệu; (2) Hạn chế
truy cập ngẫu nhiên và trái phép vào dữ liệu; (3) Sự tham gia của nhân sự từ nhiều cấp
của tổ chức vào bảo mật thơng tin

®

MIULTICS: hệ thống được gọi là Dịch vụ Máy tính và Thơng tin Đa kênh

Multiplexed

Information and Computing Service MULTICS) là hệ điều hành đầu tiên tích hợp bảo
mật vào các chức năng cốt lõi của nó.

@

MIULTICS là một hệ điều hành máy tính lớn (mainframe computer) được phát triển

®

vào giữa những năm 1960 bởi một tập đoàn gồm General Electric (GE), Bell Labs và
Viện Công nghệ Massachusetts (MIT].
LINIX: giữa năm 1968, khi tái cấu trúc dự án MULTICS, một số nhà phát triển trong dự
án MULTICS đã tạo ra một hệ điều hành mới gọi là UNIX.
MULTICS bảo mật với nhiều cấp độ bảo mật và mật khẩu, UNIX thì khơng.

Cuối những năm 1970, bộ vi xử lý đã mang lại một kỷ nguyên mới về khả năng tính
tốn; hệ thống xử lý dữ liệu phần tắn, mạng máy tính, khả năng chia sẽ dữ liệu và các
mối đe dọa bảo mật là các vấn đề phát sinh khi các bộ vi xử lý này được nổi mạng.


LECTURE NOTE:

AN TỒN THƠNG

TIN KẺ TỐN

BỘ MƠN HỆ THƠNG THƠNG

TỊN KẺ TỐN


a

1380s: TCP (the Transmission Control

Frotocol] and IP (the Internet Pratacol) - các

®

giao thức được sử dụng trên Internet được phát triển vào đầu những năm 1980 cùng
với DNS (Hệ thống tên miền).
1388, Cơ quan Chỉ đạo các Dự án Nghiên cứu Quốc phịng Tiên tiến (DARPA), đã thành

lập Nhóm Ứng cứu Khẩn cấp Máy tính (CERT) để giải quyết vấn đề an ninh mạng.
c.

Thập niên 90: Đây là giai đoạn phát triển mạnh mẽ của những vấn đề đương đại của
an tồn thơng tin kế tốn: Kết nối mạng, khả năng tấn cơng từ xa, virus máy tính, cơ
sở dữ liệu tích hợp, mạng máy tỉnh tồn cầu, ...Giai đoạn này, các vấn đề an tồn thơng

tin hình thành một lĩnh vực riêng với đầy đủ đặc trưng và quy luật vận động.

ø

Cuối thế kỷ 20, mạng máy tính trở nên phổ biến, nhu cầu kết nối các mạng với nhau
cũng tăng theo đã tạo ra Internet

ø

Ban đầu, khi vấn đề an toàn được xem xét, việc triển khai Internet coi nó ở một mức
độ ưu tiền thấp.

ø

Khi yêu cầu đối với máy tính nối mạng chiếm ưu thế, khả năng an tồn vật lý của máy
tính vật lý bị mất đi và thông tin lưu trữ trở nên dễ bị đe dọa hơn trước các mối đe
dọa bảo mật.

#

Cuối những năm 1990 và những năm 2000, nhiều công ty lớn bắt đầu tích hợp cơng
khai các nội dung bảo mật trong tổ chức. Các sản phẩm chống vi-rút đã trở nên phổ
biến và an tồn thơng tin bắt đầu hình thành như một quy luật độc lập.

d.

Thế kỷ 21: Công nghệ thông tin phát triển vượt bậc như là một phần của Cách mạng
Công nghiện 4.0; hàng loạt tắc động của sự phát triển CNTT đến an tồn thơng tin -=

.


kể cả tích cực lẫn tiêu cực.
Internet đưa hàng triệu mạng máy tính khơng an tồn và hàng tỷ hệ thống máy tính

œ

vào giao tiếp liên tục với nhau.
Tính bảo mật của thông tin được lưu trữ của mỗi máy tính phụ thuộc vào mức độ bảo
mật của mọi máy tính trong mạng máy tính đó.

#

Trong những năm gắn đây, nhận thức vẽ nhu cầu nắng cao an toàn thông tin ngày
cảng tăng, cũng như nhận thức rằng an tồn thơng tin là quan trọng đối với quốc
phịng-

.

Mối đe dọa ngày càng tăng của các cuộc tấn công mạng đã khiến các chỉnh phủ và các
công tự nhận thức rõ hơn về sự cần thiết phải bảo vệ các hệ thống điều khiển máy tính
của các tiện ích và cơ sở hạ tầng quan trọng khác.

Chiến tranh thông tin và khả năng các hệ thống thông tin cá nhân và doanh nghiệp có
thể tổn hại nếu chúng khơng được bảo vệ

.

Kế từ năm 2000, Sarbanes-Oxley và các luật khác liên quan đến quyền riêng tư và
trách nhiệm của công ty đã ảnh hưởng đến bảo mật máy tính


LECTURE NOTE:

AN TỒN THƠNG

TIN KẺ TỐN

BỘ MƠN HỆ THƠNG THƠNG

TỊN KẺ TỐN


®

Cuộc tấn công vào Trung tâãm Thương mại Thế giới vào ngày 11 tháng 9 năm 2001 đã
dẫn đến những thay đổi lớn về luật pháp liên quan đến bảo mật máy tính, đặc biệt là
để tạo điều kiện cho cơ quan thực thi pháp luật có khả năng thu thập thơng tin về
khủng bố.

®

Điện tốn đám

mây, dữ liệu lớn, cơng nghệ chuỗi khối, máy học, trí tuệ nhân tạo, ...

vừa là cơ hội, vừa là thách thức cho an tồn thống tin nói chung và an tồn thơng tin
kế tốn nói riêng.
1.1.2 Định nghĩa an tồn thơng tin
a.

Định


nghĩa

An tồn

thơng

tin: Ủy ban

về các hệ

thống an ninh quốc gia (CNSS)] định nghĩa øn tồn thơng
tin là bảo vệ thơng tin và cúc yếu tổ quan trọng của nó,

bao gồm các hệ thống và phần cứng dùng để sử dụng,
lưu trữ và truyền tải thơng tin

Fi
5



An tồn thơng tin bao gồm các lĩnh vực:

~=



-


An tồn máy tính

-

Bảo mật dữ liệu
An ninh mạng

C.I.A.

triad:

C

(confidentiality); I (integrity]; A (availabilitv] — tam giác C.I.A:

vn

^

tiêu chuẩn công nghiệp về bảo mật máy tính kể từ khi phát
triển máy tính lớn (mainframe) - Tiêu chuẩn dựa trên ba đặc
điểm của thông tin mang lại giá trị cho tổ chức: tính bảo mật, tính tồn vẹn và tính khả
dụng.

b.

Các khái niệm chính về an tồn thơng tin
*.

Arcess: Quyền truy cập - Khả năng sử dụng, thao tác, sửa đối hoặc ảnh hưởng đến

chủ thể, hoặc đổi tượng khác của chủ thể hoặc đổi tượng.

*

Asset: Tài sản — các nguồn lực của doanh nghiệp đang được bảo vệ. Tài sản có thể

có hình thái vật chất hay phi vật chất. Tài sản thơng tin là trọng tâm của an tồn
thơng tin
*

Attack: Tân công - Một hành động cố ý hoặc võ ý có thể làm hỏng hoặc làm tổn hại

đến thơng tin và hệ thống hỗ trợ nó. Tấn cơng có thể là tấn cơng chủ động hoặc
tấn cơng bị động; tấn công trực tiếp hoặc tấn công gián tiếp
* .. Control, safeguard, or countermeasure: Kiểm soát, bảo vệ hoặc biện pháp đối phó:
Các cơ chế, chỉnh sách hoặc quy trình bảo mật có thể chống lại các cuộc tấn công

thành công, giảm thiểu rủi ro, giải quyết các lỗ hổng và cải thiện tính bảo mật trong

tổ chức.

LECTURE NOTE:

AN TỒN THƠNG

TIN

KẺ TỐN

BỘ MƠN HỆ THƠNG THƠNG


TỊN KẺ TỐN


Exploit: Khai thác - Một kỹ thuật được sử dụng để xầm phạm hệ thống.
Exposure: Điểm yếu bảo mật - Một tình trạng hoặc trạng thái bị phơi nhiễm; trong
bảo mật thông tin, sự lộ diện tồn tại khi kẻ tấn công biết được một lỗ hồng.

Loss: thiệt hại - tải sản thông tin bị hư hỏng hoặc bị phá hủy, sửa đối hoặc tiết lộ

ngoài ý muốn hoặc trái phép hoặc bị từ chối sử dụng
Protection profile or security posture: Hỗ sơ bảo vệ hoặc thái độ bảo mật: Tồn
bộ tập hợp các biện pháp kiểm sốt và bảo về, bao gồm chính sách, giáo dục, đào

tạo và nâng cao nhận thức và công nghệ, mà tổ chức thực hiện để bảo vệ tài sản.

Risk: Rủi ro - Sự kiện tiềm tàng khơng mong muốn có thể xảy ra gây thiệt
hại cho doanh nghiệp
Suhjects and objects of attack: Chủ thể tấn công và đối tượng bị tấn công

Threat: Nguy cơ hoặc đe dọa - Bất kỳ sự kiện hoặc hồn cảnh nào có khả năng ảnh
hưởng xấu đến hoạt động và tài sản của tổ chức.
Threat agent: Tắc nhắn đe dọa — một trường hợp cụ thể hoặc một thành phần của

một mối đe dọa
Threat event: Sự kiện đe dọa - sự kiện xảy ra do tác nhân đe dọa gây ra
Threat saurce: Nguồn gốc đe dọa - tập hợp cắc tác nhân đe dọa

Vulnerability: Nhược điểm / điểm yếu tiềm ẩn có sẵn trong hệ thống hoặc trong
các hệ thống phịng thủ

c.

Các đặc điểm quan trọng của thơng tin
Availability: Tính khả dụng - tính chất của thơng tin cho phép người dùng khi cần
truy cập thông tin mà không bị can thiệp hoặc cản trở và truy xuất thơng tin đó ở
định dạng bắt buộc.
Accuracy: Tính chính xác - khi thơng tin khơng có lỗi hoặc sai sót, có giá trị mà
người dùng mong đợi. Nếu thơng tin chứa giá trị khác với mong đợi của người

dùng do chỉnh sửa nội dung, thì thơng tin đó khơng cịn chính xác.
Authenticity: Tính xác thực - chất lượng hoặc trạng thái của thơng tin gốc hoặc

nguyễn bản, thay vì sao chép hoặc chế tạo. Thơng tin xác thực khi nó là thông tin
được tạo, đặt, lưu trữ hoặc chuyển giao nguyên bản.
Confidentiality Tính bảo mật - chất lượng hoặc trạng thái thưng tin ngăn chặn việc
tiết lộ hoặc lộ bí mật thông tin với các cá nhãn hoặc hệ thống khơng được phép.

Tính bảo mật đảm bảo rằng chỉ những người dùng có quyền, đặc quyền và nhu
cầu truy cập thơng tin mới có thể truy cập.
Integrity: Tỉnh tồn vẹn - chất lượng hoặc trạng thải của toàn bộ, hoàn chỉnh và
khơng bị gián đoạn. Tính tồn vẹn của thơng tin bị đe dọa khi thông tin bị lộ, hỏng,

bị nhá hủy hoặc do các hành vi khác làm gián đoạn trạng thái ngun bản của nó.

LECTURE NOTE:

AN TỒN THƠNG

TIN KẺ TỐN


BỘ MƠN HỆ THƠNG THƠNG

TỊN KẺ TỐN


.

Utility: Tiện ích - chất lượng hoặc trạng thái có giá trị cho một số mục đích hoặc
kết quả. Thơng tin có giá trị khi nó phục vụ một mục đích cụ thể. Điều này có nghĩa

là nếu thơng tin có sẵn, nhưng khơng ở định dạng có ý nghĩa đối với người dùng
cuối, thì nó sẽ khơng hữu ích.
Pnssession: Chiếm hữu - chất lượng hoặc trạng thái có quyền sở hữu hoặc kiểm

«

sốt một số đối tượng hoặc vật phẩm. Thống tin được cho là thuộc quyền sở hữu
của một người nếu một người có được nó, khơng phụ thuộc vào định dạng hoặc

các đặc điểm khác. Mặc dù vi phạm bảo mật luôn dẫn đến vi phạm quyền sở hữu,
vi phạm sở hữu không phải lúc nào cũng dẫn đến vi phạm bảo mật

1.1.3 Bản chắt an toàn thơng tin
#

Tính đa dạng, phức tạp, khơng có ngun mẫu, luôn linh hoạt, luôn sáng tạo trong lĩnh
vực bảo mật, sự cần bằng trong việc vận dụng kiến thức bảo mắt, sự tương tác bảo mật

giữa các hệ thống con trong một hệ thống lớn dẫn đến tính nghệ thật của an tồn thơng
tin.


®

Đặc tính của cơng nghệ và khoa học máy tính, tính nghiêm túc và các nguyên tắc trong

®

phương pháp và kỹ thuật, sự tương tác giữa phần cứng và phần mềm và trị thức về hảo
mật cho thấy tính khoa học của an tồn thơng tin.
Sự tương tác của con người với hệ thống, hành vi của người dùng tác động đến bảo mật,
nhận thức về rủi rơ trong mơi trường CNTT cho thấy an tồn thơng tin mang tính chất của
khoa học xã hội.

1.2 Mơ hình an tồn thơng tin
1.2.1 Mõ hình an tồn CNSS

*

Committee on National Security Systems: Ủy ban Hệ thống An ninh Quốc gia (Hoa

Kỹ):

/>+



hình an tồn CNSS

được John McCumber


tạo ra năm

1331, được

gọi là khối lập

phương McCumber, bao gồm 27 khối tương ứng với các lĩnh vực an tồn thơng tin.

*

Trong quy trình bảo mật — an toàn hệ thống cần đảm bảo mỗi khối được xác định và được

giải quyết một cách đúng đắn.

LECTURE NOTE:

AN TỒN THƠNG

TIN KẺ TỐN

BỘ MƠN HỆ THƠNG THƠNG

TỊN KẺ TỐN


10

im



Confidentialiy



=
gu

Conlidentialiy

1L.
._

Integrity

Integrity
_

Availability

.ụ

uy

_ nu

Awailability

L.T

_

<—

5ttage

Proressing Iramsmissin

5image

Processing Iransmissiun

Ví dụ: Huấn luyện, đào tạo cho nhân viên quy trình sử dụng hệ thống nhẫm hạn chế các

sai sót trong quả trình xử lý dữ liệu kế toán. Vấn đề này liên quan đến khối lập phương
Education — Integrity - Processing

1.2.2 Các thành phản của hệ thống thơng tin
e

@

Hệ thống thơng tin (HTTT) có 8 thành phần: Con người, phằn cứng, phần mềm,
mạng máy tính, các chính sách và thủ tục, và dữ liệu

Mỗi thành phần có điểm mạnh, điểm yếu, tính chất và cơng dụng riêng; mỗi thành phần
có các u cầu về an tồn và bảo mật khác nhau.

œ

Con người: Luôn là mối đe dọa đối với an tồn thơng tin. Các chính sách, thủ tục, việc đào




tạo, nhận thức đạo đức và sử dụng công nghệ đúng đắn sẽ giúp hạn chế điểm yếu này.
Phần cứng: công nghệ vật lý giúp lưu trữ dữ liệu và phần mềm, cung cấp giao diện để
nhập liệu và truy xuất thơng tin. Khi phần cứng có thể bị tiếp cận, hệ thống có thể bị phá

hủy hoặc thông tin bị đánh cắp.
.

Phần mềm: Hệ điều hành, chương

trình,

tiện ích khác. Do được lập trình nên phần mềm

hàm chứa nhiều nguy cơ, từ lỗi lập trình cho đến sử dụng sai mục đích.

.

Dữ liệu: Dữ liệu được HTTT lưu trữ, xử lý, truyền tải. Dữ liệu là tài sản quan trọng của
doanh nghiệp và thường là mục tiêu tấn cơng. Đảm bảo an tồn dữ liệu cần được thực

hiện nghiêm túc và đầy đủ
®

Các chính sách và thủ tục: Các hướng dẫn bằng văn bản để hoàn thành một nhiệm vụ cụ

#

thể. Đào tạo, huấn luyện, giám sát quy trình, đánh giá định kỳ giúp đảm bảo các thủ tục

có thể hồn thành vai trị của minh
Mạng máy tính: Các máy tính và hệ thống máy tính kết nối với nhau hình thành nên mạng
máy tính, giúp HTTT truyền dữ liệu và thông tin, hỗ trợ người dùng thực hiện các tắc vụ

và ra quyết định. Mạng máy tính có nhiều nguy cơ, do đó kiểm sốt lưu lượng và kiểm
sốt truy cập là cần thiết.

LECTURE NOTE:

AN TỒN THƠNG

TIN

KẺ TỐN

BỘ MƠN HỆ THƠNG

THƠNG

TỊN KẺ TỐN


lhi
1.2.3 Cân bằng giữa an tồn thơng tin và truy cập
*

Khơng thể có được an tồn thơng tin tuyệt đối, hồn hảo

*
*


An tồn thơng tin là q trình, khơng phải là mục tiêu
Hệ thống luôn sẵn sàng để truy cập sẽ dẫn đến nguy cơ bị tấn công, ngược lại, nếu cơ lập

hệ thống để đảm bảo an tồn cao thì khơng thể truy cập được
+

Cần bằng giữa an tồn và truy cập nhằm đảm bảo sự hợp lý giữa khả năng truy cập và việc
hạn chế rủi ra - với một mức độ bảo mật phù hợp.

*

An tồn thơng tin và khả năng truy cập đều phục vụ cho mục tiêu chung của doanh nghiệp,
và do đó phải hài hòa và cần xứng

Lke

1:
15 a hagsde,

'ClS0: Encryptlon
0E
ni the anganizatlan,
Ukếr2:

e-mall
sluwts mẹ dgwn.,

5SeUUIIIY


1.3 Triển khai an tồn thơng tin
1.3.1 Cách tiếp cận thực hiện an tồn thơng tin
s

Tiếp cận từ dưới lên (bottom-up approach)

<⁄ Bắt đầu từ các hành vi từ cấp dưới nhắm cải thiện an toàn hệ thống
„x Dựa trên kỹ năng và kiến thức của quản trị viên hệ thống

x# Gắn liền với hiểu biết chuyên sâu của quản trị viên hệ thống với hệ thống
có liên quan

x* Hiểu rõ đặc tính của hệ thống, hiểu rõ nguy cơ và cách thức hạn chế nguy cơ

x# Thiếu nhất quán, thiếu sự hỗ trợ của cấp trên, thiếu sự hỗ trợ từ các hệ
thống khác và hạn chế quyền hạn thực thi
s

w^ Khả năng thành công thấp

Tiếp cận từ trên xuống (top-down approach)

LECTURE NOTE:

AN TỒN THƠNG

TIN KẺ TỐN

BỘ MƠN HỆ THƠNG THƠNG


TỊN KẺ TỐN


12
x# Dự án an tồn thơng tin được khởi xướng bởi các nhà quản lý cấp trên, những
người ban hành các chính sách, thủ tục và quy trình; đề xuất các mục tiêu và kết
quả mong đợi; và xác định trách nhiệm cá nhân cho mỗi hành động.

x⁄ Có sự hỗ trợ từ cấp trên và khai thác các nguồn lực của doanh nghiệp, quy
trình, kế hoạch rõ ràng và ảnh hưởng toàn doanh nghiệp

x^ Cách tiếp cận này được thể hiện phổ biến thông qua chiến lược phát triển hệ thống

tiêu chuẩn - được gọi là chu kỳ phát triển hệ thống
x Khả năng thành cơng cao
Top-doum agprộch

Battom-up apgrgach
r

CEO
Cm

(I5

|

cm

|




H]

|

| WVP.Swstems |

|V?-Nemurks

sECHIII
mg

5ựslEmIs
mg

TEŸNU
mặt

56£UHÍI
ndmin

EU H
admin

FgDwDrk
adrin

5ECLIII


5lEms

TEEN

ki

|

|

lạch

lạch

1.3.2 An tồn thơng tin và chu kỳ phát triển hệ thống
Để triển khai an tồn thơng tin vào hệ thống thông tin của doanh nghiệp cần đảm bảo
rằng an tồn thơng tin là một phần cơ bản trong chu kỳ phát triển hệ thống
An tồn thơng tin cần được quản trị như mọi hệ thống thông tin trong doanh nghiệp
Cách tiếp cận truyền thống để triển khai an tồn thơng tin có nhiều cách thức khắc nhau
như JAD (joint application development

— phát triển ứng dụng liên kết); RAD

(rapid

application development - phát triển ứng dụng nhanh]; Dev0ps - phương pháp dựa trên
sự tích hợp nhu cầu của nhám
(operations team)


phát triển (development

team) và nhóm

vận

hành

Chu kỳ phát triển hệ thống SDLC (Systems Development Life Cycle): SDLC là một phương

pháp luận được áp dụng trong phần tích, thiết kế, thực hiện và vận hành hệ thống, bao
gồm các cách thức tiếp cận chính thức để giải quyết vấn đề dựa trên chuỗi các thủ tục có
cấu trúc, quy trình chặt chẽ, khơng bỏ sót các bước cho đến khi đạt được mục tiêu cuối
cùng.
5DLC có nhiều cách thức thực hiện, bao gồm SDLC truyền thống, tích hợp bảo hiểm phần

mềm (Software Assurance) vào quá trình phát triển phần mềm của hệ thống; áp dụng các

LECTURE NOTE:

AN TỒN THƠNG

TIN KẺ TỐN

BỘ MƠN HỆ THƠNG THƠNG

TỊN KẺ TỐN


13


œ

nguyên tắc thiết kế phần mềm hoặc phương pháp tiếp cận dựa trên các tiều chuẩn NIST
(Viện Tiêu chuẩn và Công nghệ Quốc gia - The National Institute of Standards and
Technologv) trong bảo đảm an toàn cho SDLC
Bản hiểm phần mềm: Một phương pháp tiếp cận để phát triển phần mềm nhằm thiết lập

an toàn ngay trong chu kỳ phát triển hơn là giải quyết an tồn đó ở các giai đoạn sau,
nhằm đạt được các phần mềm khơng có lỗ hổng bảo mật, cung cấp phần mềm hữu hiệu
và hiệu quả cho người sử dụng. Rất nhiều vấn đề liên quan bảo mật hệ thống có nguyên
nhân từ yếu tố phần mềm. An toàn hệ thống yêu cầu phần mềm an tồn hoặc ít nhất có
khả năng an tồn. Việc xác định sự cần thiết cho việc lập kế hoạch cho các mục tiêu bảo
mật trong SDLC và thiết lập thủ tục để tạo ra phần mềm

có khả năng triển khai an toàn

được gọi là bảo hiểm phần mềm. Bộ Quốc phòng Hoa Kỳ đã khởi động Sáng kiển Bảo hiểm
Phần mềm vào năm 2003, dẫn đến việc xuất bản Khối Kiến thức Chung (CBK) về Bảo hiểm
Phần mềm An tồn (SwA). Có hai khía cạnh cần xem xét:
-

(1) Các hoạt động kỹ thuật hoặc các khía cạnh của các hoạt động có liên quan đến việc đạt

được phần mềm an tồn là gì?
-

(2) Những kiến thức cần thiết để thực hiện các hoạt động hoặc khía cạnh này?

œ


Phát triển phần mềm tốt sẽ tạo ra một sản phẩm hồn chỉnh đáp ứng tất cả các thơng số
kỹ thuật thiết kế của nó. Các cần nhắc về An tồn thơng tin là một thành phần quan trọng

®

của các thơng số kỹ thuật này.
Các nguyên tắc thiết kế phần mềm an tồn phố biến: Tính kinh tế của cơ chế thiết kế; Mặc
định khơng an tồn; điều tiết hồn chỉnh; Thiết kế mở; Tách biệt đặc quyền; Đặc quyền ít



nhất; Cơ chế chung ít nhất; Khả năng chấp nhận tầm lý
Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST] đã điều chỉnh đơn giản hóa chu kỳ phát
triển hệ thống dựa trên 5 giai đoạn: (1) Khởi đầu; (7) Phát triển / Mua sắm; (3) Thực hiện/
Đánh giá; (4) Vận hành / Bảo trì; và (5) Thanh lý

œ

NIST khuyến cáo các tổ chức tích hợp các bước bảo mật CNTT liên quan của SDLC vào quy
trình phắt triển hệ thống, an tồn thơng tin phải được thiết kế trong một hệ thống ngay
từ đầu chứ không phải sau khi được thực hiện

1.4 An tồn thơng tin trong doanh nghiệp
1.4.1 Chun gia an tồn thơng tin trong doanh nghiệp
#

Giám đốc thơng tin (chief information officer - CIO): Một vị trí ở cấp điều hành; giám sát
cơng nghệ máy tính của doanh nghiệp và có trách nhiệm trong việc tạo ra hiệu quả trong
xử lý và truy cập thông tin của doanh


nghiệp; tư vấn hoạch định chiến lược CNTT cho

Giảm đốc điều hành và triển khai chiến lược của doanh nghiệp liên quan đến CNTT.

LECTURE NOTE:

AN TỒN THƠNG

TIN KẺ TỐN

BỘ MƠN HỆ THƠNG THƠNG

TỊN KẺ TỐN


14
œ

Giám đốc an tồn thơng tin (chief information security officer - CISO): CISO thường khơng
phải là một vị trí cấp điều hành, bảo cáo cho CIO, chịu trách nhiệm chính trong vấn đề an
tồn và bảo mật hệ thống thơng tin, về việc đánh giá, quản lý và thực hiện an tồn thơng
tin.

.

Đội dự án an tồn thơng tin (Information Security Project Team): Tập hợp các cá nhân có
kinh nghiệm trong an tồn và bảo mật khi có u cầu; bao gồm đại diện lãnh đạo doanh

nghiệp, trưởng nhóm, chuyên gia phát triển chính sách hảo mật, chuyên gia đánh giá rủi

s

rõ, chuyên gia bảo mật, quản trị viên hệ thống và người dùng hệ thống.
Người chịu trách nhiệm về dữ liệu bao gồm: Người sở hữu dữ liệu, người bảo
quản dữ liệu và người sử dụng dữ liệu

1.4.2 Các nhóm người dùng ảnh hưởng đến an tồn thơng tin trong doanh nghiệp
®

Trong doanh nghiệp, có nhiều nhóm người dùng ảnh hưởng đến an tồn thơng tin. Mỗi
nhóm có vai trò và trách nhiệm khác nhau cũng như các mối quan tâm khác nhau đối với

an tồn thơng tin. Mỗi thành viên trong mỗi nhóm được liên kết với nhau thông qua các
giá trị tương đồng với nhau và cũng chia sẻ các mục tiêu chúng.

s

Thông thường trong doanh nghiệp có ba nhóm an toản thơng tin: nhóm quản lý
chung, nhóm quản lý CONTT và nhóm quản lý an tồn thơng tin.
x Nhóm quản lý chung: bao gồm tồn bộ người sử dụng hệ thống cơng nghệ thơng tin
(theo góc nhìn của nhóm quản lý cũng nghệ thơng tin) và cũng là đối tượng bảo mật

then góc nhìn của nhóm quản lý an tồn thơng tin
w% Nhóm quản lý cơng nghệ thông tin: bao gồm các chuyên gia CNTT và các nhà

quản lý CNTT, hỗ trợ cho việc vận hành hệ thống CNTT trong doanh nghiệp

xý Nhóm quản lý an tồn thơng tin: bao gồm các chun gia an tồn và bảo mật, tập
trung cho mục tiêu đảm bảo an tồn và bảo vệ thơng tin, dữ liệu, hệ thống của doanh


nghiệp khỏi các cuộc tấn cơng.

LECTURE NOTE:

AN TỒN THƠNG

TIN KẺ TỐN

BỘ MƠN HỆ THƠNG THƠNG

TỊN KẺ TỐN


15

Chương 2
NHU CẦU CỦA TỔ CHỨC ĐỐI VỚI AN TOÀN THÔNG TIN
Textbook: Module 2 - The Need for Security
Mục tiêu
Sau khi hồn thành chương 2, sinh viên có khả năng:

e Thảo luận về nhu cầu của tổ chức đồi với an tồn thơng tin
» Liệt kê và mơ tả các nguy cơ đối với an tồn thơng tin
s

Liệt kê và mô tả một số cuộc tắn công phố biến liên quan đến các nguy cơ

Nội dung

Nội dung chính của chương 2 bao gồm:

.

Nhu cầu của tỏ chức đối với an tồn thơng tin

Các loại nguy cơ & cuộc tắn cơng đối với an tồn thơng tin

2.1 Nhu cầu của tổ chức đối với an tồn thơng tin

Bảo vệ chức năng hoạt động của hệ thống


Ban quản lý chung, ban quản lý CNTT, ban quản lý an tồn thơng tin có trách nhiệm triển
khai chương trình an tồn thơng tin để bảo vệ khả năng các tính năng hoạt động của hệ



thống khơng bị nguy hại.
An tồn thơng tin liên quan đến vấn đề quản trị và con người hơn là vấn đề kỹ thuật



Để hỗ trợ Ban giám đốc trong việc xác định nhu cầu của tổ chức đối với vấn đề an tồn

thơng tin, ban quản lý chung, ban quản lý CNTT, và ban quản lý an tồn thơng tin thảo
luận về mức độ ảnh hưởng của an toàn thơng tin đối với tổ chức cũng như chỉ phí gián
đoạn kinh doanh, họ không đơn thuần chỉ xem xét các vấn đề thuần túy kỹ thuật.

Bảo vệ dữ liệu và thông tin mủ tổ chức thu thập và sử dụng



Một trong những tài sản giá trị nhất là dữ liệu. Nếu khơng có dữ liệu, một tổ chức sẽ thất
bại trong việc ghi nhận các nghiệp vụ và/ hoặc mất khả năng tạo ra giá trị cho khách hàng.
Do đó, an tồn dữ liệu - bảo vệ dữ liệu trong trạng thái truyền, xử lý và lưu trữ - là khía
cạnh quan trọng của an tồn thơng tin



Một chương trình an tồn thơng tin hiệu quả là điều cần thiết để bảo vệ tính tồn vẹn và
giá trị của dữ liệu

=

An tồn CSDL là q trình duy trì tính bảo mật, tính tồn vẹn và tính khả dụng của dữ liệu
được quản lý bởi hệ thống quản lý CSDL (DBMS]



An tồn CSDL được thực hiện bằng các kiểm sốt quản lý, kỹ thuật và vật lý

“Kiểm soát quản lý bao gồm chính sách, thủ tục và các vấn đề quản trị doanh nghiệp
LECTURE NOTE:

AN TỒN THƠNG

TIN KẺ TỐN

BỘ MƠN HỆ THƠNG THƠNG

TỊN KẺ TỐN



l6
-Kiềm soát kỹ thuật dựa trên kiến thức về kiểm soát truy cập, xác thực, bảo
mật ứng dụng, sao lưu, phục hồi, mã hóa và kiểm sốt tính tồn vẹn

"Kiểm soát vật lý gồm sử dụng các trung tâm dữ liệu với cửa có khóa, hệ thống

phịng cháy chữa cháy, giám sát bằng video, và nhân viên bảo vệ.

Cho phép vận hành øn toàn các ứng dụng trên hệ thống CNTT của tổ chức
-— Một tổ chức phải tạo ra các ứng dụng tích hợp, hiệu quả và hữu hiệu.
— Tổ chức cần tạo ra môi trường bảo vệ các ứng dụng, đặc biệt là các ứng dụng quan trọng
với cơ sở hạ tăng của tố chức như nền tảng hệ điều hành, một số ứng dụng hoạt động
nhất định, thư điện tử... bằng cách thuê các nhà cung cấp ứng dụng này thực hiện hoặc
tự mình thực hiện.



Khi cơ sở hạ tầng công nghệ đã được thiết lập, ban quản lý phải tiếp tục giám sắt nó,
khơng giao quyền quản lý cho bộ phận CNTT.
Bảo vệ tài sản công nghệ của tổ chức

-—

Tùy thuộc vào quy mô và phạm vi doanh nghiệp, các tỏ chức phải sử dụng phản
cứng cơ sở hạ tầng an toàn phù hợp



Các tổ chức có thể cần các giải pháp cơng nghệ mạnh mẽ hơn để thay thế các cơng nghệ


an tồn đã q lỗi thời


CNTT tiếp tục bổ sung khả năng và phương pháp mới chơ phép các tổ chức giải quyết các
thách thức quản lý thơng tin, tuy nhiên nó cũng mang lại nhiều rủi rõ mới cho thông tin
của tổ chức, những lơ ngại tăng thêm về cách những tài sản này có thể bị đe dọa và cách
chúng phải được bảo vệ

2.2 Các loại nguy cơ & cuộc tấn công đối với an tồn thơng tin

Định nghĩa nguy cơ và tấn công
Để bảo về thông tin, tổ chức cần:
“Hiếu rõ bản thân: nhận biết thông tin cản được bảo vệ và hiểu rõ hệ thống lưu trữ,

vận chuyển và xử lý nó
“Biết các nguy cơ mà tổ chức có thể đối mặt: Để ra quyết định về an tồn thơng tin,
ban quản lý phải được thông báo về các nguy cơ khác nhau đối với con người, thiết
bị, dữ liệu và hệ thống thông tin của tổ chức.
-

Nguy cơ thể hiện rủi ra tiềm tàng đối với tải sản thông tin




Cuộc tấn công thể hiện một hành động liên tục gây tốn thất tài sản
Các tác nhân nguy cơ gây thiệt hại hoặc đánh cấp thông tin hoặc tài sản vật chất của tổ

chức bằng cách sử dụng các hành vi tận dụng lỗ hỗng bảo mật (yếu kém của hệ thống)

nơi mà các thủ tục kiểm sốt khơng hiện hữu hoặc khơng cịn hiệu quả
—:

Nguy cơ ln hiện hữu trong khi cuộc tấn công chỉ tồn tại khi một hành động cụ thể có

thể gây ra tốn thất.

LECTURE NOTE:

AN TỒN THƠNG

TIN KẺ TỐN

BỘ MƠN HỆ THƠNG THƠNG

TỊN KẺ TỐN


17
Các loại nguy cơ & cuộc tấn công đối với an tồn thơng tin
-— Mỗi tổ chức sẽ ưu tiên đối phó các nguy cơ khác nhau (trong danh mục 12 nguy cơ) tùy
thuộc tình hình an ninh cụ thể, chiến lược của tố chức phụ thuộc vào rủi rõ và mức độ

yếu kém đối với tài sản thông tin của tổ chức.
Tấn cơng có thể liên quan đến nhiều nguy cơ. Ví dụ: hành vi trộm cấp do tin tặc thực hiện
thuộc nguy cơ “trộm”, nhưng cũng có thể thuộc nguy cơ “gián điệp hoặc kẻ xâm nhập trải
phép” khi tin tặc truy cập bất hợp pháp vào thông tin

12 loại nguy cơ đối với an tồn thơng tin và ví dụ các cuộc tổn cơng tương ứng


Các loại nguy cơ

Vi dụ

1

| Xâm phạm tài sản trí tuệ

2

| Sai lệch về chất lượng dịch vụ | Các vấn đề liên quan nhà cung cấp dịch vụ Internet (ISP),
bởi người cung cấp dịch vụ

Ăn cấp bản quyền, vi phạm bản quyền

năng lượng và dịch vụ mạng WAN

3 | Gián điệp hoặc kẻ xâm nhập trái | Truy cập trái phép hoặc/ và thu thập dữ liệu trái
4

phép

phép

Những tác động từ thiên nhiên

Cháy nổ, lũ lụt, động đất, sấm sét

5


| Lỗi con người / sai sót

Tai nạn, lỗi nhân viên

6

| Cưỡng đoạt thông tin

Tông tiền, tiết lộ thông tin

7

| Phá hoại

Huỷ hoại hệ thống hoặc thơng tin

8

Tấn cơng có chủ đích bằng phần | Viruses, worms,

macros, từ chối dịch vụ

mềm

9

| Lỗi phằn cứng

10 | Lỗi phằn mềm


Lỗi thiết bị
Bugs, các vấn đề về mã, lỗ hổng bảo mật chưa được xác
định

11 | Công nghệ lạc hậu

Công nghệ lạc hậu

12

Chiếm đoạt bất hợp pháp thiết bị hoặc thông tin

| Trộm

LECTURE NOTE: AN TỒN THƠNG TIN KẺ TỐN

BỘ MƠN HỆ THƠNG THƠNG TIN KÉ TOÁN


18
Nguy cơ xâm phạm tài sản trí tuệ


Tài sản trí tuệ là việc tạo ra, sở hữu, kiểm soát các ý tưởng ban đầu và trình bày các ý

tưởng đó.


Các loại tài sản trí tuệ:
Bí mật thương mại


Quyền tác giả
Thương hiệu

s


Bằng sáng chế

Tải sản trí tuệ được bảo vệ bởi luật bản quyền và các luật khác, mang lại kỹ vọng ghi nhận

quyền tác giả hoặc ghi nhận nguồn thích hợp, có khả năng phải xin phép để được sử dụng



-—

theo quy định của pháp luật. Vd: phải thanh toán tiền bản quyền trước khi sử dụng bài
hát đó trong phim.
Việc sử dụng trái phép tài sản trí tuệ dẫn đến nguy cơ an tồn thơng tin.
Tài sản trí tuệ là việc tạo ra, sở hữu, kiểm soát các ý tưởng ban đầu và trình bảy các ý
tưởng đó.
Một số vấn đề liên quan nguy cơ xắm phạm tải sản trí tuệ
„ Ăn cắp bản quyền phần mềm (software piracy): hành vi sao chép, cải đặt hoặc

phân phối trái phép phần mềm máy tính có bản quyền là vi phạm tài sản trí tuệ


Hầu hết phần mềm được cấp phép cho một người mua cụ thế, việc sử dụng nó bị
hạn chế cho một người dùng duy nhất hoặc cho một người dùng được chỉ định

trong tổ chức. Nếu

người dùng sao chép chương trình sang máy tính khác mà

khơng có giấy phép khác hoặc chuyển giấy phép thì người dùng đã vi phạm bản
-

quyền.
Bảo vệ bản quyền: Một số cơ chế kỹ thuật có thể được áp dụng để thực thi luật

bản quyền:


Digital watermark

ø

Mãnhúng

s

Mã đăng ký phần mềm duy nhất kết hợp với thỏa thuận cấp phép người

s

ø

Mã bản quyền

dùng cuối thường xuất hiện trong quá trình cài đặt phần mềm mới, yêu cầu

người dùng cho biết rằng họ đã đọc và đồng
ý với các điều kiện sử dụng phần
mềm
Đăng ký người dùng trực tuyến: người dùng khi cài đặt phần mềm thường
được yêu cầu hoặc thậm chí phải đăng ký tải khoản sử dụng phần mềm của
họ để hoàn thành cải đặt, nhận hỗ trợ kỹ thuật hoặc sử dụng tất cả các tính

năng. Mặt trái của kỹ thuật này là người dùng lo sợ quy trình này làm tốn
hại quyền riêng tư của họ.

LECTURE NOTE: AN TỒN THƠNG

TIN KẺ TỐN

BỘ MƠN HỆ THƠNG THƠNG

TỊN KẺ TỐN


19


Tổn thất tài sản trí tuệ có thể do khai thác hiệu quả các lỗ hổng/ điểm vếu của hệ
thống liên quan

Sai lệch về chất lượng dịch vụ
-—

Sai lệch về chất lượng dịch vụ là nguy cơ xảy ra khi sản phẩm hoặc dịch vụ không được


-

cung cấp như mong đợi
Hệ thống thông tin của một tổ chức phụ thuộc vào sự vận hành thành công của nhiều hệ
thống hỗ trợ phụ thuộc lẫn nhau, gồm lưới điện, mạng dữ liệu và viễn thông, phụ tùng,
nhà cung cấp dịch vụ, thầm chí cả nhân viên vệ sinh. Bất kỳ hệ thống hỗ trợ nào trong số

này đều có thể bị gián đoạn do những phát sinh khơng lường trước.


Ba nhóm vấn đề dịch vụ ảnh hưởng nghiêm trọng đến tính khả dụng của thông tin và hệ
thống:
“Các vấn đề liên quan dịch vụ Internet

“Các vấn đề liên quan đến các nhà cung cấp dịch vụ tiện ích khác (điện thoại, nước,
nước thải, đổ rác, truyền hình cáp, các dịch vụ trông coi...)
“Các vấn đề liên quan bất thưởng nguồn cung cấp điện

Gián điệp hoặc kẻ xâm nhập trái phép
-—

Giản điệp hoặc kẻ xâm nhập trái phép là người không được phép cố truy cập trải phép
vào thông tin mà một tổ chức đang cổ bảo vệ. Nguy cơ này có thể vi phạm tính bảo mật
của thơng tin.

-—

Một số nhóm lớn các hoạt động vi phạm tính bảo mật:

“Truy cập thơng tin trái phép

“Cạnh

tranh thơng tin (vd: sử dụng trình duyệt Web

để thực hiện nghiên cứu thị

trường)
sGián điệp công nghiệp (khi người thu thập thông tin sử dụng các kỹ thuật vượt qua

ngưỡng luật pháp hoặc đạo đức)
"Shoulder surfing (xảy ra ở bất kỳ đầu khi ai đó đang truy cập thông tin nhạy cảm,
thường xảy ra tại các thiết bị đầu cuối máy tính, bản làm việc, máy ATM, trên xe
bus, máy bay, tàu điện ngầm - nơi mọi người sử dụng điện thoại thông minh, hoặc



những nơi nhắn viên có thể truy cập thơng tin bí mật}
Các thủ tục kiểm sốt đơi khi đánh dấu ranh giới lãnh thổ ảo của tổ chức. Những ranh giới
này đưa ra thông báo cho kẻ xâm nhập trái phép rằng chúng đang xâm phạm vào không

gian mạng của tổ chức. Các nguyên tắc xác thực và ủy quyền mạnh mẽ có thể giúp các tổ
chức bảo vệ thông tin và hệ thống có giả trị. Các phương pháp kiểm sốt và công nghệ
này sử dụng nhiều lớp hoặc nhiều yếu tổ để bảo vệ nhằm chống lại sự truy cập và xâm
nhập trái phép.

-—

Tin tặc (hacker): có hai cấp độ kỹ năng

-


LECTURE NOTE:

Tin tặc chun nghiệp
AN TỒN THƠNG

TIN KẺ TỐN

BỘ MƠN HỆ THƠNG THƠNG

TỊN KẺ TỐN


20
ø

Phát triển các tập lệnh phản mềm và khai thác mã

s

Thường là bậc thầy về nhiều kỹ năng

ø

Thường tạo ra các phằn mềm tấn công và chia sẻ chúng với những
người khác

"5cript kiddies

-


s
G
s
Tăng cấp đặc

Tin tặc có kỹ năng hạn chế
Sử dụng phân mềm do chuyên gia viết để khai thác hệ thống
Thường không hiểu đầy đủ về hệ thống họ tấn công
quyền: một khi kẻ tấn công giành được quyền truy cập vào hệ thống, bước

tiếp theo là tăng các đặc quyền của họ để cố giành quyền quản trị hệ thống. Đặc quyền
này cho phép kẻ tấn công truy cập thông tin, sửa đối hệ thống để xem tất cả thơng tin
trong đó và ẩn các hoạt động của chúng bằng cách sửa đổi nhật ký hệ thống. Sự tăng cấp

-—

đặc quyền là một kỹ năng tự thân hoặc sử dụng các công cụ phần mềm

Những biến thẻ của Hacker:

“Cracker: là cá nhân bẻ khóa hoặc loại bỏ lớp bảo vệ được thiết kế để ngăn chặn việc
sao chép hoặc sử dụng trái phép
“Phreaker: là cá nhân tấn công hệ thống điện thoại công cộng để thực hiện các cuộc
gọi miễn phí hoặc làm gián đoạn dịch vụ

-— Tấn cơng mật khẩu:

sBẻ khóa: cố gắng đốn hoặc tính toán ngược lại mật khẩu
“Brute farce: là việc áp dụng tính tốn và tài ngun mạng để thử mọi kết hợp mật

khẩu có thể có. Biện pháp kiểm sốt giới hạn số lần truy cập không thành công
trong một thời gian nhất định và sử dụng mật khẩu mạnh rất hiệu quả để chống
lại loại tấn công mật khẩu
“Tấn công từ điển: là một biến
từ điển các mật khẩu phổ
tiêu. Biện pháp kiểm soát:

brute force.
thể của brute force thu hẹp phạm vi bằng cách sử dụng
biến bao gồm thông tin liên quan đến người dùng mục
(1) tổ chức không cho phép cá nhân đặt mật khẩu liên

quan thông tin cá nhân hoặc có thể có trong từ điển mật khẩu, (2) sử dụng quy tắc
yêu cầu số và ký tự đặc biệt trong mật khẩu
“Bảng cầu võng: Nếu kẻ tấn cơng có thể truy cập vào tệp mật khẩu được mã hóa, dù
chỉ bao gồm các giá trị hash, các giá trị này có thể tra cứu và định vị nhanh chóng

dựa trên Bảng cầu võng
"Social Engineering: kẻ tấn cơng đóng giả là chuyên gia CNTT của một tổ chức cố gắng
truy cập vào hệ thống thông tin bằng cách liên hệ với nhân viên cấp thấp và đề
nghị trợ giúp về các sự cố máy tính của họ. Bằng cách đóng giả bộ phận trợ giúp,
kẻ tấn cơng u cầu nhân viên cung cấp tên người dùng và mật khẩu truy cập của
họ.

LECTURE NOTE:

AN TỒN THƠNG

TIN KẺ TỐN


BỘ MƠN HỆ THƠNG THƠNG

TỊN KẺ TỐN


21
Những tác động từ thiên nhiên
Những tác động từ thiên nhiên hoặc những sự kiện bất khả kháng đều có thể gây ra một
số nguy cơ nguy hiểm nhất vì chúng bất ngờ và ít có dấu hiệu cảnh báo trước,
Bao gồm: hỏa hoạn, lũ lụt, động đất, lở đất, gió bão, bão cắt, sét, núi lửa phun trào, sự

xâm nhập của cồn trùng... có thể làm gián đoạn khơng chỉ cuộc sống của các cả nhân, mà
còn cả việc lưu trữ, truyền tải và sử dụng thơng tin
Vì khơng thể chủ động tránh được loại nguy cơ này, ban giám đốc cần phải triển khai các
kiểm soát để hạn chế thiệt hại, chuẩn bị các kế hoạch dự phòng để tiếp tục hoạt động,
chẳng hạn kế hoạch khắc phục hậu quả thiên tai, kế hoạch liên tục kinh doanh, kế hoạch

ứng phó sự cố

Lỗi con người/ sai sót

Bao gồm các hành vi được thực hiện khơng có chủ đích hoặc mục đích xấu. Vdu: sai lãm
khi sử dụng hệ thống hoặc lỗi phát sinh khi người dùng không tuần theo chính sách đã
được thiết lập

Ngun nhân có thể do
- Thiếu kinh nghiệm
"Đào tạo không đúng cách

“Các giả định không chính xác


Sai lằm dù võ hại vẫn có thể gây ra thiệt hại lớn
Sai lãm của nhân viên là nguy cơ nghiêm trọng đe dọa tính bảo mật, tính tồn vẹn và tính
khả dụng của dữ liệu

Những sai [3m của nhân viên có thế dễ dàng dẫn đến:
„Tiết lộ dữ liệu đã được xử lý

“Nhập dữ liệu khơng chính xác
„Võ tình xóa hoặc sửa dữ liệu

"Bảo quản dữ liệu ở những khu vực khơng an tồn
sai sót hoặc lỗi của con người thường có thể được ngăn chặn bằng đào tạo, các hoạt động

nẵng cao nhận thức liên tục và các biện pháp kiểm soát từ đơn giản đến phức tạp

Cưỡng đoạt thông tin
Tống tiền thông tin là kẻ tấn cơng hoặc người thần tín đánh cấp thơng tin từ hệ thống
máy tính và yêu cầu bồi thường cho việc có lại thơng tin và sử dụng nó. Một số ví dụ:

sKẻ xấu đánh cắp số thẻ tín dụng
"Tin tặc đánh cấp dữ liệu/ thông tin tổ chức (hộp mail, dữ liệu về tài khoản và mật

khẩu của người dùng) để đời tiền chuộc
sRansomware: kẻ tấn công cài phần mềm độc hại vào hệ thống máy chủ nhằm từ chối

quyền truy cập của người dùng, sau đó đề nghị cung cấp khóa để cho phép truy
cập lại hệ thống và dữ liệu của người dùng với một khoản phí

LECTURE NOTE:


AN TỒN THƠNG

TIN KẺ TỐN

BỘ MƠN HỆ THƠNG THƠNG

TỊN KẺ TỐN


22
Phá hoại





Cá nhân hoặc nhóm người cố ý phá hoại hệ thống máy tính hoặc hoạt động doanh nghiệp,

hoặc thực hiện các hành vi phá hoại để phá hủy tài sản hoặc làm hỏng hình ảnh của tổ
chức
Loại nguy cơ này có thế bao gồm từ phả hoại nhỏ, riêng lẻ của nhân viên đến phá hoại có
tổ chức chống lại một tổ chức khác
Với các tổ chức hoạt động phụ thuộc nhiều vào hình ảnh, loại phá hoại nhắm đến hình
ảnh doanh nghiệp có thể làm thơng tin mà doanh nghiệp phổ biến trên các phương tiện
truyền thông xã hội (Web, facebook,...)

-—

giảm => doanh số bán hàng giảm


bị mất độ tin cậy l niềm tin của khách

hàng

Một số hình thức phá hoại:

“Hành động (phá hoại) trực tuyến: nguy cơ hacktivist và cyber-activist ngày càng gia
tăng

“Khủng bố mạng và chiến tranh mạng: Khủng bố mạng thường không phải là một nguy
cơ thực sự, thay vào đó, nó chỉ dùng để đánh lạc hướng khỏi các vấn đề an ninh

thông tin cấp bách và phức tạp hơn cần được quan tầm.

Tần cơng có chủ đích bằng phân mềm
-

Xây ra khi một cá nhân hoặc một nhóm người thiết kế hoặc sử dụng phần mềm để tấn
công hệ thống. Cuộc tấn công này có thể bao gồm phần mềm được chế tạo đặc biệt mà

những kẻ tấn công lừa người dùng cài đặt trên hệ thống của họ. Phần mềm này có thể
được sử dụng để lấn át khả năng xử lý của các hệ thống trực tuyến hoặc truy cập vào các


hệ thống được bảo vệ bằng các phương tiện ẩn.
Các loại tấn cơng có chủ đích bằng phần mềm
.

Malware


„ổ


Back doors
Denial-of-Service (DoS] and Distributed Denial-of-Service (DDoS) attacks
Email attacks

“.

Communications interceptiun attacks

a. Malware
-— Malware gọi là mã/ phần mềm độc hại. Ngoài ra, malware bao gồm những tấn công sử
dụng phần mềm như tấn công chuyển hướng và tấn công từ chối dịch vụ.
-—

Malware được thiết kế để làm hỏng, phá hủy hoặc từ chối dịch vụ cho các hệ thống mục
tiêu.



Thuật ngữ được sử dụng để mô tả phần mềm độc hại thường không loại trừ lẫn nhau. Vd:

phần mềm độc hại Trojan horse có thể xuất hiện dưới dạng virus, sầu hoặc cả hai.
—.

Các dạng tấn công sử dụng mã độc gồm: viruses, sầu, Trojan horses và các tập lệnh Web
được kích hoạt với mục đích phá hủy hoặc đánh cắp thơng tin.


LECTURE NOTE:

AN TỒN THƠNG

TIN KẺ TỐN

BỘ MƠN HỆ THƠNG THƠNG

TỊN KẺ TỐN


23


Cuộc tấn công mã hiện đại nhất hiện nay là sâu đa hình (polymorphic worm) hay cịn gọi

sâu đa phương thức (multivector worm) vì nó sử dụng 6 phương thức tấn công để khai
thác nhiều lỗ hổng trong các thiết bị hệ thống thông tin phổ biến

-



Zero-day attack: khi cuộc tắn công sử dụng các malware mà các công ty phần

mềm chống malware chưa biết về malware
6 phương thức tắn công của virus và sâu:


Quét và tấn công IP: hệ thống tích hợp việc quét một loạt các địa chỉ IP ngẫu

nhiên hoặc cục bộ và nhắm vào bất kỳ yếu kém hệ thống đã được biết bởi các tin
tặc hoặc cịn sót lại từ các lần khai thác trước đó

„Trình duyệt Web: nếu hệ thống bị nhiễm có quyền ghi vào bất kỳ trang web nào,
nó sẽ làm cho tất cả các tập nội dung Web bị lẫy nhiễm, do đó người dùng duyệt

các trang Web này sẽ bị nhiễm

+

Virus: mỗi máy tính bị nhiễm sẽ lây nhiễm một số tập lệnh thực thị phổ

biến trên tắt cả các máy tính mà nó có thể viết bằng mã virus có thể gây
nhiễm

„ổ

Những chia sẻ khơng được bảo vệ: sử dụng việc chia sẻ tập tin để sao chép các
thành phần lan truyền đến tất các các vị trí có thế truy cập

„.

Mass mail: bằng cách gửi email bị nhiễm đến các địa chỉ có trong trong sổ địa chỉ,

máy bị nhiễm sẽ làm các máy khác bị nhiễm, những máy mà có chương trình đọc
mail tự động hoạt động và tiếp tục lại nhiễm cho nhiều hệ thống hơn

„.




Giao thức quản lý mạng đơn giản (SNMP): các lỗ hổng SNMP được sử dụng để

xâm nhập và lây nhiểm
Các dạng tấn công sử dụng phần mềm độc hại khác gồm: bots, spyware, adware.


Bots: là công nghệ thường được dùng để triển khai Trojan horse, logic bombs,
back doors và phần mềm gián điệp spyware

„Phần mềm gián điệp spyware được đặt trên máy tính để thu thập thơng tin về
người dùng và báo cáo nó.
ø

Web

bug: một đồ họa nhỏ được tham chiếu trong HTML của trang web

hoặc email để thu thập thông tin về người dùng đang xem nội dung
ø.

Cookie theo dõi: được đặt trên máy tính của người dùng để theo dõi hoạt
động của họ trên các trang Web khác nhau và tạo hỗ sơ chỉ tiết vẽ hành vi

của họ, sau đó những thơng tin này có thể được sử dụng trong một cuộc
tấn công social engineering hoặc đánh cấp danh tính



Adware: phãn mềm độc hại với mục đích cung cấp tiếp thị và quảng cáo không

mong muốn (bao gồm cửa số bật lên và biểu ngữ trên màn hình của người dùng],
được thiết kế để hoạt động ngoài tãm nhìn của người dùng hoặc được kích hoạt
bởi hành động dường như võ hại của người dùng.

LECTURE NOTE:

AN TỒN THƠNG

TIN KẺ TỐN

BỘ MƠN HỆ THƠNG THƠNG

TỊN KẺ TỐN


24
Virus

Virus máy tính gồm các đoạn mã thực hiện các hành vi độc hại.

Người dùng thường vơ tình giúp virus xâm nhập vào hệ thống bằng cách mở email bị
nhiễm hoặc một số hành động có vẻ tầm thường khác nhưng có thể khiến mọi thứ từ các

thơng báo ngẫu nhiên xuất hiện trên màn hình của người dùng đến việc phá hủy toàn bộ
ổ cứng.
Mã này hoạt động giống như mầm bệnh virus lầy lan từ máy tính này sang máy tính khác
qua phương tiện vật lý, email hoặc các hình thức truyền dữ liệu máy tính.

Khi những virus này lầy nhiễm vào một máy, lập tức quét máy đó để tìm các ứng dụng
email hoặc thậm chítự gửi thư đến mọi người có trong số địa chỉ email được tìm thấy.


Một trong những phương thức lây truyền virus phổ biến nhất là qua email được đính kèm
các tập tin
Virus có thể phần loại theo cách chúng tự lây lan: virus macro, virus khởi động
s.

Virus macro được nhúng vào mã macro thực thi tự động, được sử dụng bởi bộ

„.

xử lý văn bản, bảng tính và ứng dụng CSDL
Virus khởi động lây nhiễm các tệp hệ điều hành chính trong phần boot của máy
tính

Virus có thế phần loại theo virus thường trú trong bộ nhớ và không thường trú trong bộ

nhớ tùy thuộc vào việc chúng có tồn tại trong bộ nhớ của hệ thống máy tính sau khi chúng
được thực thi hay khơng.

„.

Virus thường trú có khả năng kích hoạt lại khi máy tính được khởi động và tiếp
tục hành động của chúng cho đến khi hệ thống tắt, và chỉ khởi động lại vào lần
khởi động tiếp theo của hệ thống

Virus và worms có thể sử dụng 8 phương thức tần công để phát tán các bản sao của
chúng tới các máy tính ngang hàng đang hoạt động trên mạng
Worms (sâu]

Worms là virus có thể tự tái tạo cho đến khi chúng lấp đầy hoàn toàn các tài nguyên có

sản, như bộ nhớ, dung lượng ổ cứng và băng thơng mạng
Hành vi phức tạp của worm có thể được bất đầu khi người dùng tải xuống hoặc thực thi
tệp. Một khi sâu đã lây nhiễm vào máy tính, nó có thể tự phần phối lại tới tất cả địa chỉ
email được tìm thấy trên hệ thống bị nhiễm. Hơn nữa, sâu có thể gửi các bản sao của

chính nó lên tất cả máy chủ Web mà hệ thống bị nhiễm có thể tiếp cận; những người dùng
sau truy cập vào các trang web đó sẽ bị nhiễm.
Sầu cũng lợi dụng các chia sẻ mở được tìm thấy trên mạng có hệ thống bị nhiễm. Sâu đặt

các bản sao mã đang hoạt động của chúng lên máy chủ để người dùng chia sẻ mở có khả
năng bị nhiễm bệnh.

LECTURE NOTE:

AN TỒN THƠNG

TIN KẺ TỐN

BỘ MƠN HỆ THƠNG THƠNG

TỊN KẺ TOÁN


25
Trojan horses

-—

Trojan horses thường được ngụy trang dưới dạng phần mềm hữu ích hoặc cần thiết,
chẳng hạn như tệp readme.exe thường được bao gồm trong các gói phần mềm chia sẻ


hoặc phần mềm miễn phí
Nguy cơ đa hình
— Thách thức khi chống lại virus và sâu là các nguy cơ đa hình, nghĩa là nguy cơ virus và sầu
phát triển, thay đổi kích thước của nó và các đặc điểm bên ngoài của tập tin để tránh bị

phát hiện bởi các chương trình phần mềm chống virus.
Trị lừa bịp (hoaxes) virus và sầu
-—

Một trò lừa bịp virus: một cách tiếp cận tinh quái hơn, tốn nhiều thời gian và tiền bạc hơn

để giải quyết là việc tấn công hệ thống máy tính bằng cách truyền. Vd: người dùng có ý

tốt nhưng lại có thể làm gián đoạn hoạt động và quy trình của một tổ chức khi gửi email



cảnh báo về một loại virus nguy hiểm KHƠNG tồn tại.

Những trị lừa bịp này làm lãng phí thời gian của người dùng và khiến mạng quá

tải

b. Back doors
-—

Back doors: có thể là một lối đi khơng chủ đích hoặc có chủ đích (do nhà thiết kế cổ tình
để lại để tạo điều kiện thực hiện kiểm soát truy cập)




Sử dụng cơ chế truy cập đã biết hoặc mới được phát hiện, kẻ tấn cơng có thể giành quyền
truy cập vào hệ thống hoặc tài nguyên mạng thông qua back doors (cửa hậu)

-—

Đôi khi những cánh cửa này do các nhà thiết kế hệ thống hoặc nhắn viên bảo trì để lại;
một cánh cửa như vậy được xem là một maintenance door.

-—

Thông thường kẻ tẩn công đặt một cánh cửa sau vào hệ thống hoặc mạng mà chúng đã
thâm nhập để việc quay lại hệ thống của chúng sau này sẽ dễ dàng hơn.

-

Rất khó phát hiện back doors vì người/ chương trình cài đặt nó thường làm cho quyền

truy cập được miễn trừ khỏi các tính năng ghi nhật ký kiểm tra thơng thường của hệ thống
và cố gắng giữ kín cửa sau với chủ sở hữu hợp pháp của hệ thống
c. Tấn công từ chối dịch vụ (Do5] và tấn công từ chối dịch vụ đã được phân tán (DDaS)
— Tấn công từ chối dịch vụ: cuộc tấn công cố gắng áp đảo khả năng xử lý thông tin liên lạc
được đưa đến máy tính mục tiêu, nhằm cấm người dùng hợp pháp truy cập vào các hệ
thống đó
„Kẻ tấn công gửi một số lượng lớn các yêu cầu kết nối hoặc yêu cầu thông tin đến một
mục tiêu

“Rất nhiều yêu cầu được đưa ra khiến hệ thống mục tiều không thể xử lý chúng thành
công cùng với các yêu cầu dịch vụ hợp pháp khác


“Có thể dẫn đến sự cố hệ thống hoặc đơn thuần là không thể thực hiện các chức năng
thơng thường

LECTURE NOTE:

AN TỒN THƠNG

TIN KẺ TỐN

BỘ MƠN HỆ THƠNG THƠNG

TỊN KẺ TỐN


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×