Bài 1:
GIỚI THIỆU VỀ BẢO MẬT
Mô tả những thách thức của việc bảo mật thông tin
Định nghĩa bảo mật thông tin và giải thích được lý do
khiến bảo mật thông tin trở nên quan trọng
Nhận diện các dạng tấn công phổ biến hiện nay
Liệt kê các bước cơ bản của một cuộc tấn công
Mô tả năm nguyên tắc phòng thủ cơ bản
Mục tiêu bài học
Mô tả những thách thức của việc bảo mật thông tin
Định nghĩa bảo mật thông tin và giải thích được lý do
khiến bảo mật thông tin trở nên quan trọng
Nhận diện các dạng tấn công phổ biến hiện nay
Liệt kê các bước cơ bản của một cuộc tấn công
Mô tả năm nguyên tắc phòng thủ cơ bản
Bài 1 - Giới thiệu về bảo mật
2
Những thử thách
đối với bảo mật thông tin
Nhữngsố liệu nổi bật về bảo mật trên thế giới trong thế
kỷ 21
Bảo mật cá nhân
Bảo mật thông tin
Bảo mật thông tin
Không có giải pháp đơn giản
Nhiều dạng tấn công khác nhau
Việc phòng thủ chống lại các cuộc tấn công thường khó
khăn
Nhữngsố liệu nổi bật về bảo mật trên thế giới trong thế
kỷ 21
Bảo mật cá nhân

Bảo mật thông tin
Bảo mật thông tin
Không có giải pháp đơn giản
Nhiều dạng tấn công khác nhau
Việc phòng thủ chống lại các cuộc tấn công thường khó
khăn
Bài 1 - Giới thiệu về bảo mật
3
Các cuộc tấn công hiện nay
Sức mạnh tính toán ngày càng được nâng cao
Giúp cho việc phá mật khẩu dễ dàng
Những lỗ hổng phần mềm thường không được vá
Các điện thoại thông minh trở thành mục tiêu tấn công
mới
Bài 1 - Giới thiệu về bảo mật
4
Các cuộc tấn công
vào bảo mật hiện nay (tiếp tục)
Các ví dụ về những cuộc tấn công gần đây
Phần mềm diệt virus giả mạo
Được quảng cáo bởi những kẻ lấy trộm thẻ tín dụng
Các vụ tấn công ngân hàng trực tuyến
Cuộc tranh luận ở Hội nghị về Tin tặc
Vụ lừa đảo lệ phí tinh vi mang số hiệu 419 ở Nigeria
Một kiểu lừa đảo qua Internet hàng đầu
Đánh cắp danh tính nhờ sử dụng Firesheep
Phần mềm độc hại
Các thiết bị USB đã bị lây nhiễm
Các ví dụ về những cuộc tấn công gần đây
Phần mềm diệt virus giả mạo

Được quảng cáo bởi những kẻ lấy trộm thẻ tín dụng
Các vụ tấn công ngân hàng trực tuyến
Cuộc tranh luận ở Hội nghị về Tin tặc
Vụ lừa đảo lệ phí tinh vi mang số hiệu 419 ở Nigeria
Một kiểu lừa đảo qua Internet hàng đầu
Đánh cắp danh tính nhờ sử dụng Firesheep
Phần mềm độc hại
Các thiết bị USB đã bị lây nhiễm
Bài 1 - Giới thiệu về bảo mật
5
Các vụ đánh cắp thông tin điển hình
trong vòng một tháng
Tổ chức Mô tả cách thông tin bị đánh cắp SL danh
tính bị lộ
Seacoast
Radiology, NH
Thông tin cá nhân đã bị tiết lộ bởi một vụ vi
phạm bảo mật
231.400
DeviantART,
Silverpop Systems
Inc., CA
Những kẻ tấn công đã tiết lộ thông tin của
toàn bộ người dùng trong cơ sở dữ liệu.
13.000.000
DeviantART,
Silverpop Systems
Inc., CA
Những kẻ tấn công đã tiết lộ thông tin của
toàn bộ người dùng trong cơ sở dữ liệu.

Trường đại học
tổng hợp bang
Ohio, OH
Một số cá nhân đăng nhập trái phép và truy
cập thông tin về sinh viên và các thành viên
của trường.
750.000
Gawker, NY Kẻ tấn công truy cập vào cơ sở dữ liệu, lấy
được mật khẩu + e-mail của người dùng và
nhân viên.
1.300.000
Bài 1 - Giới thiệu về bảo mật
6
Những khó khăn trong việc
phòng thủ chống lại các vụ tấn công
Các thiết bị kết nối toàn cầu
Sự gia tăng tốc độ của các vụ tấn công
Các cuộc tấn công ngày càng tinh vi hơn
Các công cụ tấn công ngày càng đơn giản và sẵn dùng
Các lỗ hổng được phát hiện nhanh hơn
Vá lỗi chậm
Việc cung cấp các bản vá còn yếu kém
Các vụ tấn công phân tán
Người dùng bị bối rối
Các thiết bị kết nối toàn cầu
Sự gia tăng tốc độ của các vụ tấn công
Các cuộc tấn công ngày càng tinh vi hơn
Các công cụ tấn công ngày càng đơn giản và sẵn dùng
Các lỗ hổng được phát hiện nhanh hơn
Vá lỗi chậm

Việc cung cấp các bản vá còn yếu kém
Các vụ tấn công phân tán
Người dùng bị bối rối
Bài 1 - Giới thiệu về bảo mật
7
Bảo mật thông tin là gì?
Trước khi có thể phòng thủ, bạn cần hiểu:
Bảo mật thông tin là gì?
Tại sao nó quan trọng?
Những kẻ tấn công là ai?
Bài 1 - Giới thiệu về bảo mật
8
Định nghĩa bảo mật thông tin
Bảo mật (security)
Các bước để bảo vệ người hoặc tài sản khỏi mối nguy hại
Mối nguy hại có thể do chủ ý hoặc vô ý
Phải hy sinh sự tiện lợi để đổi lấy sự an toàn
Bảo mật thông tin (information security)
Bảo vệ các thông tin ở dạng số hóa:
Thông tin cung cấp giá trị cho con người và cho tổ chức
Bảo mật (security)
Các bước để bảo vệ người hoặc tài sản khỏi mối nguy hại
Mối nguy hại có thể do chủ ý hoặc vô ý
Phải hy sinh sự tiện lợi để đổi lấy sự an toàn
Bảo mật thông tin (information security)
Bảo vệ các thông tin ở dạng số hóa:
Thông tin cung cấp giá trị cho con người và cho tổ chức
Bài 1 - Giới thiệu về bảo mật
9
Định nghĩa bảo mật thông tin

(tiếp)
Ba hình thức bảo mật thông tin: thường gọi là CIA
Sự cẩn mật (Confidentiality)
Chỉ những cá nhân được phép mới có thể truy cập thông tin
Sự toàn vẹn (Integrity)
Đảm bảo thông tin chính xác và không bị thay đổi
Sự sẵn sàng (Availability)
Những người có quyền đều có thể truy cập được thông tin
Ba hình thức bảo mật thông tin: thường gọi là CIA
Sự cẩn mật (Confidentiality)
Chỉ những cá nhân được phép mới có thể truy cập thông tin
Sự toàn vẹn (Integrity)
Đảm bảo thông tin chính xác và không bị thay đổi
Sự sẵn sàng (Availability)
Những người có quyền đều có thể truy cập được thông tin
Bài 1 - Giới thiệu về bảo mật
10
Định nghĩa bảo mật thông tin
(tiếp)
Các biện pháp cần thực hiện để bảo mật thông tin
Sự xác thực (authentication)
Đảm bảo một cá nhân đúng như những gì họ khai báo
Sự ủy quyền (authorization)
Cấp phép truy cập thông tin
Ghi chép (accounting)
Cung cấp khả năng theo dõi các sự kiện
Các biện pháp cần thực hiện để bảo mật thông tin
Sự xác thực (authentication)
Đảm bảo một cá nhân đúng như những gì họ khai báo
Sự ủy quyền (authorization)

Cấp phép truy cập thông tin
Ghi chép (accounting)
Cung cấp khả năng theo dõi các sự kiện
Bài 1 - Giới thiệu về bảo mật
11
Bài 1 - Giới thiệu về bảo mật
12
Hình 1-3 Các thành phần bảo mật thông tin
© Cengage Learning 2012
Định nghĩa bảo mật thông tin
(tiếp)
Tầng Mô tả
Các sản phẩm
bảo mật
Là hình thức bảo mật vật lý, có thể đơn giản
như những chiếc khóa cửa, hay phức tạp hơn
như các thiết bị bảo mật mạng.
Con người Những người cài đặt và sử dụng một cách đúng
đắn các sản phẩm bảo mật để bảo vệ dữ liệu
Bài 1 - Giới thiệu về bảo mật
13
Bảng 1-3 Các tầng bảo mật thông tin
Những người cài đặt và sử dụng một cách đúng
đắn các sản phẩm bảo mật để bảo vệ dữ liệu
Các thủ tục, quy
trình
Các kế hoạch và chính sách do tổ chức thiết lập
để đảm bảo rằng con người sử dụng các sản
phẩm một cách chính xác.
Các thuật ngữ bảo mật thông tin

Tài sản (Asset)
Là phần tử có giá trị
Mối đe dọa (Threat)
Là các hành động hoặc sự kiện có khả năng gây nguy hại
Tác nhân đe dọa (Threat agent)
Người hoặc phần tử có sức mạnh gây ra mối đe dọa
Tài sản (Asset)
Là phần tử có giá trị
Mối đe dọa (Threat)
Là các hành động hoặc sự kiện có khả năng gây nguy hại
Tác nhân đe dọa (Threat agent)
Người hoặc phần tử có sức mạnh gây ra mối đe dọa
Bài 1 - Giới thiệu về bảo mật
14
Tên thành phần Ví dụ Có là tài sản quan trọng?
Thông tin Cơ sở dữ liệu khách hàng, nhân viên,
sản xuất, bán hàng, tiếp thị, và tài
chính
Có: Cực kỳ khó thay thế
Phần mềm ứng
dụng
Ứng dụng giao dịch đơn hàng
chuyên dụng, bộ xử lý văn bản phổ
dụng
Có: Là phần tùy chỉnh dành
riêng cho tổ chức
Không: Phần mềm phổ dụng
Các tài sản công nghệ thông tin
Bài 1 - Giới thiệu về bảo mật
15

Phần mềm ứng
dụng
Ứng dụng giao dịch đơn hàng
chuyên dụng, bộ xử lý văn bản phổ
dụng
Có: Là phần tùy chỉnh dành
riêng cho tổ chức
Không: Phần mềm phổ dụng
Phần mềm hệ
thống
Hệ điều hành Không: Có thể thay thế dễ
dàng
Các phần tử vật
lý
Server, bộ định tuyến [router], đĩa
DVD, bộ cấp nguồn
Không: Có thể thay thế dễ
dàng
Các dịch vụ Dịch vụ truyền âm thanh và dữ liệu Không: Có thể thay thế dễ
dàng
Các thuật ngữ bảo mật thông tin
(tiếp tục)
Lỗ hổng (vulnerability)
Là những thiếu sót hay yếu điểm
Tác nhân đe dọa có thể lợi dụng để vượt qua sự bảo mật
Rủi ro (risk)
Khả năng tác nhân đe dọa khai thác lỗ hổng
Không thể được loại bỏ hoàn toàn
Chi phí sẽ quá cao
Mất quá nhiều thời gian để thực hiện

Một số cấp độ rủi ro phải được giả định
Lỗ hổng (vulnerability)
Là những thiếu sót hay yếu điểm
Tác nhân đe dọa có thể lợi dụng để vượt qua sự bảo mật
Rủi ro (risk)
Khả năng tác nhân đe dọa khai thác lỗ hổng
Không thể được loại bỏ hoàn toàn
Chi phí sẽ quá cao
Mất quá nhiều thời gian để thực hiện
Một số cấp độ rủi ro phải được giả định
Bài 1 - Giới thiệu về bảo mật
16
Bài 1 - Giới thiệu về bảo mật
17
Hình 1-4 Minh họa các thành phần bảo mật thông tin
© Cengage Learning 2012
Các thuật ngữ bảo mật thông tin
(tiếp tục)
Các lựa chọn để đối phó với rủi ro
Chấp nhận rủi ro
Cần biết rằng mất mát có thể xảy ra
Làm giảm rủi ro
Thực hiện các biện pháp phòng ngừa
Hầu hết các rủi ro bảo mật thông tin đều có thể được phòng
ngừa
Chuyển rủi ro sang một người khác
Ví dụ: mua bảo hiểm
Các lựa chọn để đối phó với rủi ro
Chấp nhận rủi ro
Cần biết rằng mất mát có thể xảy ra

Làm giảm rủi ro
Thực hiện các biện pháp phòng ngừa
Hầu hết các rủi ro bảo mật thông tin đều có thể được phòng
ngừa
Chuyển rủi ro sang một người khác
Ví dụ: mua bảo hiểm
Bài 1 - Giới thiệu về bảo mật
18
Hiểu rõ tầm quan trọng
của bảo mật thông tin
Phòng ngừa đánh cắp dữ liệu
Bảo mật thường đi đôi với việc phòng ngừa đánh cắp dữ
liệu
Đánh cắp dữ liệu kinh doanh
Thông tin về quyền sở hữu
Đánh cắp dữ liệu cá nhân
Mã số thẻ tín dụng
Phòng ngừa đánh cắp dữ liệu
Bảo mật thường đi đôi với việc phòng ngừa đánh cắp dữ
liệu
Đánh cắp dữ liệu kinh doanh
Thông tin về quyền sở hữu
Đánh cắp dữ liệu cá nhân
Mã số thẻ tín dụng
Bài 1 - Giới thiệu về bảo mật
19
Hiểu rõ tầm quan trọng
của bảo mật thông tin (tiếp)
Cản trở việc đánh cắp danh tính
Sử dụng trái phép thông tin của người khác

Thường nhằm mục đích thu lợi về tài chính
Ví dụ:
Đánh cắp SSN cá nhân
Tạo một tài khoản tín dụng mới
Sử dụng tài khoản để mua hàng
Để lại các khoản nợ chưa thanh toán
Cản trở việc đánh cắp danh tính
Sử dụng trái phép thông tin của người khác
Thường nhằm mục đích thu lợi về tài chính
Ví dụ:
Đánh cắp SSN cá nhân
Tạo một tài khoản tín dụng mới
Sử dụng tài khoản để mua hàng
Để lại các khoản nợ chưa thanh toán
Bài 1 - Giới thiệu về bảo mật
20
Hiểu rõ tầm quan trọng
của bảo mật thông tin (tiếp)
Tránh các hậu quả liên quan tới pháp luật
Luật pháp bảo vệ quyền riêng tư đối với dữ liệu điện tử
Đạo luật trách nhiệm giải trình và tính khả chuyển trong bảo
hiểm sức khỏe năm 1996 (HIPAA)
Đạo luật Sarbanes-Oxley năm 2002 (Sarbox)
Đạo luật Gramm-Leach-Bliley (GLBA)
Đạo luật khai báo vi phạm bảo mật cơ sở dữ liệu của bang
California (2003)
Tránh các hậu quả liên quan tới pháp luật
Luật pháp bảo vệ quyền riêng tư đối với dữ liệu điện tử
Đạo luật trách nhiệm giải trình và tính khả chuyển trong bảo
hiểm sức khỏe năm 1996 (HIPAA)

Đạo luật Sarbanes-Oxley năm 2002 (Sarbox)
Đạo luật Gramm-Leach-Bliley (GLBA)
Đạo luật khai báo vi phạm bảo mật cơ sở dữ liệu của bang
California (2003)
Bài 1 - Giới thiệu về bảo mật
21
Hiểu rõ tầm quan trọng
của bảo mật thông tin (tiếp)
Duy trì sản xuất
Việc khắc phục hậu quả sau khi bị tấn công làm lãng phí
các tài nguyên
Thời gian và tiền bạc
Bài 1 - Giới thiệu về bảo mật
22
Bảng 1-6 Chi phí của các cuộc tấn công
Hiểu rõ tầm quan trọng
của bảo mật thông tin (tiếp)
Đẩy lui chủ nghĩa khủng bố tin học (cyberterrorism)
Mục tiêu: thông tin, hệ thống máy tính, dữ liệu
Mục đích nhằm:
Gây hoảng loạn tinh thần
Kích động bạo lực
Gây ra thảm họa tài chính
Đẩy lui chủ nghĩa khủng bố tin học (cyberterrorism)
Mục tiêu: thông tin, hệ thống máy tính, dữ liệu
Mục đích nhằm:
Gây hoảng loạn tinh thần
Kích động bạo lực
Gây ra thảm họa tài chính
Bài 1 - Giới thiệu về bảo mật

23
Hiểu rõ tầm quan trọng
của bảo mật thông tin (tiếp)
Những mục tiêu tấn công của khủng bố tin học
Ngân hàng
Quân đội
Năng lượng (các nhà máy điện)
Giao thông (các trung tâm điều khiển hàng không)
Các hệ thống cấp nước
Những mục tiêu tấn công của khủng bố tin học
Ngân hàng
Quân đội
Năng lượng (các nhà máy điện)
Giao thông (các trung tâm điều khiển hàng không)
Các hệ thống cấp nước
Bài 1 - Giới thiệu về bảo mật
24
Những kẻ tấn công là ai?
Phân loại những kẻ tấn công
Hacker (tin tặc)
Kẻ viết kịch bản non tay (Script kiddie)
Gián điệp (Spy)
Nội gián (Insider)
Tội phạm máy tính (Cybercriminal)
Những kẻ khủng bố tin học (Cyberterrorist)
Phân loại những kẻ tấn công
Hacker (tin tặc)
Kẻ viết kịch bản non tay (Script kiddie)
Gián điệp (Spy)
Nội gián (Insider)

Tội phạm máy tính (Cybercriminal)
Những kẻ khủng bố tin học (Cyberterrorist)
Bài 1 - Giới thiệu về bảo mật
25