KỸ NĂNG BẢO MẬT THÔNG TIN
Trong thời đại bùng nổ CNTT, việc tìm kiếm dữ liệu, sử dụng thông tin trở nên
dễ dàng hơn bao giờ hết. Đồng thời với vấn đề đó là việc bảo mật cần phải được
chú trọng hơn nữa để tránh những rủi ro liên quan đến thông tin cá nhân và
doanh nghiệp của bạn. Khóa học này sẽ trang bị cho bạn những kỹ năng cơ bản
và cần thiết để bảo mật thông tin.
I. CÁC MỐI ĐE DỌA BẢO MẬT THÔNG TIN
Hiện nay thông tin luôn chịu sự đe dọa của nhiều nguồn khác nhau. Đó có
thể là từ bên trong, bên ngoài tổ chức hay từ các thảm họa hoặc chương trình
độc hại.
Theo một số liệu thống kê về vấn đề bảo mật thông tin, mỗi năm có trên 15k
hồ sơ của các bệnh viện bị tìm thấy trong thùng rác, 30k mật khẩu của các tài
khoản Internet bị công bố trên mạng, 25 người từ phòng phát triển kinh doanh
của công ty này chuyển sang công ty đối thủ, các ngân hàng phải trả hàng triệu
USD do bị tấn công vào hệ thống giao dịch nghiệp vụ và 300k số tài khoản tín
dụng cá nhân bị trộm, một số khác bị công bố trên web.
1.

Thông tin là gì?

Thông tin có thể là bất cứ thứ gì giúp bạn nhận thức được về 1 vấn đề cụ thể
nào đó. Thông tin rất đa dạng. Nếu được sử dụng hợp lý, đúng cách, đúng thời
điểm, thông tin sẽ trở thành 1 nguồn lực quan trọng, bên cạnh các nguồn lực
khác như tiền bạc, cơ sở vật chất, thời gian….
Cùng 1 thông tin nhất định có thể vô giá với người này nhưng lại là thứ bỏ đi
với người khác. Điều quan trọng là bạn phải biết cách sử dụng hợp lý và bảo
mật những thông tin quan trọng của mình theo cách hiệu quả nhất.
2.
−

Một số nguyên nhân dẫn đến việc thông tin dễ bị rò rỉ, đánh cắp

Sự phát triển mạnh mẽ của công nghệ hiện đại
1


−

Sự phổ biến rộng khắp của Internet
Sự gia tăng sử dụng công nghệ mới cho lưu trữ, truyền phát và thu thập

−

thông tin
Gia tăng số lượng người dùng các công cụ tán gẫu (Yahoo, skype,…), các

−

mạng xã hội (facebook, blogspot,…)
Nhiều tổ chức và doanh nghiệp vẫn chưa nhận thức được tầm quan trọng

−

của vấn đề bảo mật thông tin và những nguy cơ có thể xảy ra từ việc rò rỉ

−
−

thông tin từ chính nội bộ mình.
Nhiều cá nhân chưa có đủ kiến thức về bảo mật thông tin.
Các sơ suất, trục trặc trong quá trình bảo mật thông tin.
Thủ thuật đánh cắp dữ liệu của tin tặc ngày càng tinh vi và khó lường.


3.

Bảo mật thông tin là gì?

−

Bảo mật thông tin là duy trì tính bảo mật, tính trọn vẹn và tính sẵn sàng của
thông tin.
−

Tính bảo mật nghĩa là đảm bảo thông tin chỉ được tiếp cận bởi những

−

người được cấp quyền tương ứng.
Tính trọn vẹn là bảo vệ sự chính xác, hoàn chỉnh của thông tin và thông

−

tin chỉ được thay đổi bởi những người được cấp quyền.
Tính sẵn sàng của thông tin là những người được cấp quyền sử dụng có
thể truy xuất thông tin khi họ cần.

Hiện nay BMTT chủ yếu là 1 thách thức trong quản lý hơn là những vấn đề
kỹ thuật, công nghệ. Việc quản lý thông tin bao gồm các chính sách BMTT,
vấn đề phân công trách nhiệm BMTT, nhận thức và huấn luyện về BMTT
chiếm tới 80% trong công tác BMTT, chỉ có 20% còn lại là liên quan tới các
vấn đề kỹ thuật bao gồm hệ thống, công cụ, cấu trúc,vv…
4.


Các mối đe dọa với bảo mật thông tin

Các mối đe dọa BMTT là các hình thức đánh cắp, biến đổi, phá hoại thông
tin từ nhiều nguồn khác nhau đối với mọi loại thông tin quan trọng của cá
nhân, tổ chức hay doanh nghiệp.
2


Hiện nay các mối đe dọa này rất phổ biến và đa dạng.

Một số kỹ thuật lừa đảo phổ biến hiện nay:
−

Những cuộc gọi nặc danh: Từ 1 người lạ dưới danh nghĩa 1 nhân viên
trong công ty, hay 1 người quen của bạn yêu cầu bạn cung cấp thông tin

−

cho họ.
Dùng mồi câu: Lừa đảo bằng cách giả mạo các email, website,… lừa
người dùng đăng nhập hoặc click vào các đường link độc hại để đánh cắp
các thông tin cá nhân quan trọng như tài khoản, mật khẩu và số thẻ ngân

−

hàng,… hay giả mạo người dùng để giao tiếp với người khác.
Đánh cắp trực tiếp tại nơi làm việc: Việc này thường xảy ra khi các dữ
liệu thông tin quan trọng ở đây không được đảm bảo tốt về mặt an ninh,
bảo mật,…

Hệ thống mạng của bạn có thể bị truy cập trái phép từ bên trong
hoặc bên ngoài:

3


−

Các truy cập trái phép từ bên trong: Đến từ những người lạm dụng đặc
quyền của họ trong hệ thống mạng của một tổ chức, doanh nghiệp để truy
cập và sử dụng trái phép. Đó có thể là những nhân viên muốn chống lại
công ty hay có động cơ muốn kiếm tiền bất chính mà sử dụng hệ thống để
đánh cắp tài sản của công ty. Hoặc những người bên trong bị đe dọa, mua
chuộc bởi người bên ngoài nhằm đánh cắp các thông tin công ty, cài cắm

−
−
−

virus hay phần mềm độc hại để phá hỏng hệ thống mạng.
Các truy cập trái phép từ bên ngoài: Đến từ những người lạ, không nằm
trong hệ thống mạng của bạn.
Các truy cập trái phép từ bên trong thường đa dạng và khó kiểm soát hơn.
Một số hình thức truy cập dữ liệu trái phép từ bên trong:
+ Tiêm nhiễm một cách có chủ tâm các máy tính và mạng công ty
bằng phần mềm độc hại hoặc virus để làm gián đoạn công việc và
+

gây hậu quả mất năng suất.
Cài đặt phần mềm gián điệp, phần mềm keylogger hay các kiểu

phần mềm tương tự như vậy để lấy cắp thông tin về những gì đồng

+

nghiệp hay những người khác trong công ty đang thực hiện.
Đánh cắp mật khẩu để đăng nhập vào mạng công ty và giả mạo

+

trước người dùng nào đó.
Copy các thông tin bảo mật của công ty và gửi ra bên ngoài mà
không được phép.

Các phần mềm, website độc hại cũng là một vấn đề lo ngại của việc
BMTT
−
−

−

Con đường phát tán các phần mềm, website độc hại: Thường là qua các
tập tin chia sẻ, email, yahoo, CD, USB, các mạng xã hội,…
Những tác hại của phần mềm/ website độc hại:
+ Làm chậm máy tính
+ Xóa tập tin hệ thống
+ Đánh cắp thông tin cá nhân
+ Phá hỏng hệ thống bảo mật
+ Giúp tin tặc đột nhập và chiếm quyền điều khiển máy tính
Dấu hiệu nhận biết khi bị các phần mềm hoặc website độc hại tấn công:
+ Máy khởi động chậm

4


+
+

Chương trình diệt virus bị vô hiệu hóa
Xuất hiện những folder lạ không thể xóa bỏ khỏi máy
Xuất hiện những icon lạ nằm trên desktop, nó có thể shortcut dẫn

+

đến các trang web độc hại
1 số cửa sổ pop-up đi kèm trong các trình duyệt web chứa đựng nội

+

dung quảng cáo hoặc 1 thông điệp cảnh báo về máy tính của bạn,
tự động nhảy ra mỗi khi bạn khởi động vào Window hoặc sử dụng
+

các trình duyệt web.
Sự xuất hiện không rõ nguồn gốc của các thanh công cụ lạ trên

+

trình duyệt IE.
Sự gia tăng của hóa đơn tính cước: Hóa đơn cước điện thoại hoặc
hóa đơn cước ADSL tăng lên đột ngột, đó cũng là một trong những
dấu hiệu bị nhiễm phần mềm gián điệp. Nếu bạn sử dụng dịch vụ

ADSL tính trọn gói thì cách này không áp dụng được.

II. PHƯƠNG PHÁP BẢO MẬT THÔNG TIN
1.
−

Hậu quả của việc thông tin không được bảo mật
Với cá nhân: Dễ dàng bị lợi dụng, lừa đảo, thậm chí là tống tiền với
những thông tin đặc biệt quan trọng dẫn đến mất mát tài sản. Đồng thời
trong trường hợp cá nhân bị tin tặc sử dụng các thông tin cá nhân để thực
hiện hành vi bất chính, anh ta sẽ vướng phải những rắc rối về mặt pháp

−

lý.
Với tổ chức, doanh nghiệp: Thông tin bị mất mát có thể làm lộ các bí
quyết, chiến lược kinh doanh, những thông tin về sản phẩm, khách hàng,
các điểm yếu của doanh nghiệp. Điều này có thể khiến doanh nghiệp bị
thất bại trong kinh doanh, bị các đối thủ cạnh tranh đàn áp, thậm chí dẫn
đến phá sản hoặc bị truy cứu, liên đới về mặt luật pháp.

Trên thực tế có rất nhiều ví dụ về những sự cố BMTT mà ngay cả những tập
đoàn công nghệ lớn cũng không thể tránh khỏi, như:

5


−

Năm 2010, Cisco vốn tự cho mình là hãng bảo mật hàng đầu thế giới đã

gặp phải 1 sự cố đáng xấu hổ: 1 kẻ tấn công nào đó đã đột nhập vào hệ
thống họp trực tuyến Cisco Live 2010 của hãng và lấy đi toàn bộ danh
sách người tham gia. Cisco đã phải chính thức xin lỗi khách hàng và đối

−

tác qua email, trấn an họ rằng mọi thứ vẫn trong vòng kiểm soát.
Cũng vào năm 2010, Bệnh viện South Shore Hospital ở Massachusetts
(Mỹ) đã công bố bị mất khoảng 800k tệp dữ liệu liên quan đến thông tin
tài chính và hồ sơ bệnh án của các bệnh nhân và nhân viên trong 15 năm.
Lúc đầu BV có ý định liên lạc với những người có dữ liệu bị mất nhưng
sau đó đã đổi ý. Tuy nhiên các thẩm phán bang Massachusetts đã phản
đối ý định đó và yêu cầu BV này cần phải công bố thông tin và liên lạc lại

−

với những người bị hại.
Do đó, việc phải trang bị những kỹ năng BMTT là rất cần thiết với mọi cá

2.

nhân, doanh nghiệp, tổ chức.
Các phương pháp bảo mật thông tin

Phân loại dữ liệu sẽ giúp bạn nắm được vị trí, tầm quan trọng của từng loại
dữ liệu để từ đó có những biện pháp BM thích hợp.

6



Thông tin sau phân loại cần có những hình thức lưu trữ phù hợp để đảm
bảo tính an toàn, bảo mật. Đặc biệt với những thông tin có độ quan trọng cao
bạn nên tiến hành sao lưu để hạn chế rủi ro, mất mát vì những nguyên nhân như
thiên tai, cháy nổ, bị nhiễm virus phá hoại...

Khi tiến hành trao đổi thông tin với người khác dù bằng phương tiện điện
tử hay các hình thức khác, bạn cần phải:
−
−

Thông báo với người nhận trước khi tiến hành gửi
Liên lạc với người nhận kịp thời để xác nhận các thông tin đã được gửi đi

−

an toàn
Mã hóa dữ liệu hoặc đóng gói cẩn thận, kỹ càng trước khi chuyển đi

7


Một số biện pháp sau sẽ giúp hạn chế bị đánh cắp thông tin khi sử dụng
các thiết bị di động:
−

Không nên trao đổi điện thoại, nghiên cứu về các thông tin quan trọng ở

−

nơi công cộng, những địa điểm có đông người qua lại.

Hạn chế sử dụng máy tính dùng chung. Nếu dùng nên tránh nhập những
thông tin quan trọng vào đó. Trong những trường hợp bất đắc dĩ bạn hãy
đảm bảo bạn đã xóa sạch mọi dấu vết trước khi tắt máy: Xóa các đường
link truy cập trên trình duyệt web, thoát ra và không để chế độ ghi nhớ tài

−

khoản mà bạn dùng, xóa các dữ liệu đưa vào hoặc tải về máy,...
Thực hiện các cuộc trao đổi hoặc xử lý thông tin trên các thiết bị di động
trong những không gian riêng tư, kiểm soát âm lượng giọng nói, để ý

−

quan sát và đảm bảo rằng bạn không bị ai theo dõi hay nghe lén.
Luôn giữ các thiết bị bên mình, khóa máy cẩn thận sau khi dùng xong.
Bạn cũng nên cài mật khẩu, các loại chuông báo động cho thiết bị của
mình và cài đặt thêm các chương trình tự động hủy toàn bộ các dữ liệu

−

trong máy phòng khi xảy ra mất cắp.
Đặc biệt bạn phải cảnh giác trước các thông tin đăng tải trên MXH, nhất
là các hình ảnh, đoạn phim hay các đường liên kết hấp dẫn. Bạn cũng nên
tập luyện thói quen nghi ngờ và đặt câu hỏi: Vì sao ứng dụng này muốn
đăng thông tin trên trang cá nhân của bạn hay muốn truy cập vào danh
sách bạn bè của bạn. Nếu nghi ngờ hãy thiết lập quyền hạn chế hay cấm

−

ứng dụng đó.

Khi truy cập vào hệ thống mạng không dây bằng các thiết bị di động, nếu
sơ suất, khả năng xảy ra sự cố rò rỉ thông tin là rất cao. Do vậy bạn phải
đặc biệt lưu ý vấn đề BMTT khi áp dụng bất cứ hình thức nào trong 3
hình thức kết nối mạng: Tại nhà, tại nơi làm việc và tại nơi công cộng.

8


−

Việc BMTT ở nơi làm việc là trách nhiệm chung của tất cả mọi thành
viên trong công ty. Để đảm bảo an ninh và BMTT ở nơi làm việc, bạn cần
chú ý:
+ Kiểm soát việc ra vào cơ quan bằng tên và thẻ ra vào áp dụng với mọi
+

nhân viên
Phát triển quy tắc bảo mật đơn giản, tổng quát cho hệ thống để mọi
người dùng trong hệ thống có thể đọc hiểu nó dễ dàng và thực hành
theo. VD: Quy định ai là người có quyền kết nối vào hệ thống, ai được
phép cài đặt các phần mềm, ai là người sở hữu các dữ liệu,... Điều này
có thể bảo vệ dữ liệu của hệ thống được an toàn như là các thông tin
riêng tư của các người dùng.

9


+

Hãy thiết lập, quản lý tài khoản cho từng thành viên khi tham gia vào

hệ thống mạng của công ty. Xóa bỏ tài khoản đó khi nhân viên không

+

còn hoạt động tại công ty của bạn.
Nếu bạn là người phụ trách hệ thống BM của doanh nghiệp, hãy
thường xuyên kiểm tra mức độ an toàn của hệ thống thông tin. Ngoài
ra, nếu phát hiện những hoạt động đáng ngờ trên mạng, hãy tiến hành

+

các cuộc rà soát quyền truy cập dữ liệu của người dùng.
Tại khu vực làm việc của các cá nhân trong công ty phải đảm bảo bàn
làm việc được sắp xếp gọn gàng, mọi tài liệu quan trọng phải được cất

+

giữ cẩn thận.
Tuân thủ các quy định về xử lý tài liệu tại công ty, không vứt các vật
mang thông tin (CD, USB, tập tài liệu…) khi chưa xóa bỏ hoàn toàn

+
+

các nội dung bên trong.
Không sử dụng bảng trắng để ghi thông tin trong các cuộc họp
Trang bị kiến thức xử lý và đảm bảo thông tin trong những tình huống
khẩn cấp như cháy, nổ, thiên tai,… cho nhân viên.

10



11