1
9/26/2017

U
M
_T
TM
H
D

AN TOÀN THÔNG TIN VÀ QU N TR R I RO
TH
NG M I I N T

Biên so n: TS.Ch Bá Quy t
B môn Th ng m i đi n t


2
9/26/2017

ng 1 T ng quan An toƠn thông tin
vƠ Qu n tr r i ro TM T

U
M
_T
TM
H
D

Ch

1. M t s khái ni m v An toàn thông tin
2. Các khía c nh c a An toàn thông tin
3. An toàn thông tin và qu n tr r i ro
4. Qu n tr r i ro trong TM T
5. Câu h i & th o lu n


3
9/26/2017

U
M
_T
TM
H
D

1. M t s khái ni m v An toƠn thông tin
• An toàn (security),

• An toàn máy tính (computer security)

• An toàn thông tin (Information security)
• An toàn d li u (data security)

• An toàn trình duy t (Browser security)



4
9/26/2017

U
M
_T
TM
H
D

1. M t s khái ni m … (ti p)
• An toàn (security): Là đ
t n công

c b o v , không b xâm h i ho c b

• An toàn là ch ng l i, ho c b o v kh i t n công, gây t n h i.
An toàn không ch g n v i b o v con ng
nhi u đ i t

i, mà g n v i

ng khác: tài s n, ho t đ ng kinh doanh, thông tin


5
9/26/2017

U
M

_T
TM
H
D

1. M t s khái ni m … (ti p)
• An toàn (security):

• An toàn là tr ng thái mà kh n ng gây h i cho con ng
h y ho i tài s n đ
đ ch p nh n đ

c gi m thi u và duy trì t i ho c d

i ho c
im c

c thông qua quá trình liên t c nh n d ng m i

nguy hi m và qu n lý r i ro (53/2011/TT-BGTVT)


6
9/26/2017

1. M t s khái ni m

U
M
_T

TM
H
D

• An toàn máy tính (Computer security) còn đc g i là an toàn m ng
(cybersecurity), an toàn thông tin (IT security) là vi c b o v các

HTTT kh i hành vi tr m c p, phá ho i ph n c ng, ph n m m, và
các thông tin trong h th ng, c ng nh làm gián đo n, ho c l c
h ng (misdirection) c a các DV mà HT cung c p.
• ATMT bao g m vi c ki m soát truy c p v t lý đ n ph n c ng, c ng
nh vi c b o v ch ng l i các tác đ ng có th đ n thông qua truy
c p m ng, d li u và l h ng code injection, do s su t c a các nhà

khai thác c ý, vô ý, ho c do không th c hi n đúng các quy trình
an toàn.


7
9/26/2017

1. M t s khái ni m

U
M
_T
TM
H
D


• An toàn thông tin (Information security) là vi c b o đ m, duy trì
tính bí m t (confidentiality), tính toàn v n (integrity) và tính s n
sàng (availability) c a thông tin; có th bao hàm: tính xác th c,

tính trách nhi m, tính ch ng ph nh n và tính tin c y" (ISO/IEC
27000:2009)

• ATTT là b o v thông tin, các HTTT t vi c truy c p, s d ng, ti t
l trái phép, làm gián đo n, s a đ i ho c phá h y đ đ m b o tính
tin c y, toàn v n và tính s n có c a thông tin (CNSS, 2010)


8
9/26/2017

1. M t s khái ni m

U
M
_T
TM
H
D

ATTT là vi c b o đ m ch nh ng ng
(confidentiality) đ

i có th m quy n

c truy c p thông tin đ y đ và chính xác


(integrity) khi có nhu c u (availability)." (ISACA, 2008)

ATTT là quá trình b o v tài s n trí tu c a m t t ch c (Pipkin,
2000)

ATTT là b o v TT và t i thi u r i ro ti t l thông tin t i nh ng

bên không có quy n (Venter and Eloff, 2003).


9
9/26/2017

Tam giác CIA v an toƠn thông tin

U
M
_T
TM
H
D

• Tam giác CIA (Confidenttiality, integrity, availability) là tr ng tâm

(tâm đi m) c a ATTT, và các b ph n này: Confidentiality,
Integrity và Availability đ c xem nh là các thu c tính, đ c tính,
m c tiêu, các khía c nh c b n, tiêu chí … c a ATTT.
Confidentiality


Integrity

Availability


10
9/26/2017

Tam giác CIA m r ng
c đ xu t nh : tính

U
M
_T
TM
H
D

• Ngoài 3 y u t trên, nh ng y u t khác đã đ

trách nhi m (Accountability), tính không th ch i cãi (Non –
Repudiation), và v i s phát tri n c a h th ng máy tính nh hi n
nay, tính riêng t (privacy) ngày càng tr thành m t nhân t r t
quan tr ng.


11
9/26/2017

Tam giác CIA m r ng


U
M
_T
TM
H
D

• Trong n m 1992 và s a đ i n m 2002, OECD đã đ a ra h

ng

d n v an toàn cho các HTTT và m ng v i 9 yêu c u: tính nh n
th c (Awareness), tính trách nhi m (Responsibility), tính ph n h i
(Response), đ o đ c (Ethics), tính dân ch (Democracy), đánh giá
r i ro (Risk Assessment), thi t k b o m t và th c thi (security
design and implementation), qu n lý an toàn (security
management), và đánh giá l i (Reassessment).


12
9/26/2017

Tam giác CIA m r ng

U
M
_T
TM
H

D

Ti p theo, n m 2004, t ch c NIST đã đ a ra các lu t b o m t
thông tin, trong đó đ xu t 33 nguyên t c

N m 2002, Donn Parker đã đ xu t mô hình sao 6 cánh (tam giá
kép): confidentiality, possession, integrity, authenticity,
availability, và utility.


13
9/26/2017

Các khái ni m c a CIA + 3

U
M
_T
TM
H
D

• Bí m t C ngh a là thông tin không đ
t

ng không đ

c ti t l đ n nh ng đ i

c xác th c ho c b rò r . Ví d : trong 1 GD tín


d ng qua Internet, s th tín d ng đ c g i t ng i mua đ n ng i
bán, và t ng i bán đ n nhà cung c p DV th tín d ng. H th ng
ph i b o đ m tính bí m t b ng cách mã hóa s th trong quá trình
truy n tin, gi i h n n i nó có th xu t hi n (c s d li u, log file,
sao l u (backup), in hóa đ n…) và b ng vi c gi i h n truy c p
nh ng n i mà nó đ c l u l i. N u m t ng i nào đó ch a đ c
xác th c (ví d hacker…) l y s th này b ng b t kì cách nào, thì
tính bí m t không còn n a.


14
9/26/2017

Các khái ni m c a CIA + 3

U
M
_T
TM
H
D

• Tính toàn v n I: ngh a là d li u không b ch nh s a, nó khác v i
tính toàn v n trong tham chi u c a c s d li u, m c dù nó có
th đ c xem nh là m t tr ng h p đ c bi t c a tính nh t quán
nh đ c hi u trong mô hình c đi n ACID (tính nguyên t
(atomicity), tính nh t quán (consistency), tính cách ly (isolation),
tính lâu b n (durability) – là m t t p các thu c tính đ m b o r ng
c s d li u đáng tin c y) c a x lý giao d ch. I b xâm ph m khi

m t thông đi p b ch nh s a trong giao d ch. HTTT an toàn luôn
cung c p các thông đi p toàn v n và bí m t.


15
9/26/2017

Các khái ni m c a CIA + 3

U
M
_T
TM
H
D

• Tính s n sàng: M i HTTT đ u có m c đích riêng và thông tin
ph i luôn luôn s n sàng khi c n thi t. i u đó có ngh a r ng h
th ng tính toán s d ng đ l u tr và x lý thông tin, có m t h
th ng đi u khi n b o m t s d ng đ b o v nó, và kênh k t n i
s d ng đ truy c p nó ph i luôn ho t đ ng chính xác. H th ng
có tính s n sàng cao h ng đ n s s n sàng m i th i đi m,
tránh đ

c nh ng r i ro c v ph n c ng, ph n m m nh : s c

m t đi n, h ng ph n c ng, c p nh t, nâng c p h th ng… m
b o tính s n sàng c ng có ngh a là tránh đ c t n công t ch i
d ch v .



16
9/26/2017

U
M
_T
TM
H
D

Các khái ni m c a CIA + 3
• Tính ch ng ch i b (ph nh n) có ngh a r ng m t bên giao
d ch không th ph nh n vi c h đã th c hi n giao d ch v i
các bên khác. Ví d : trong khi giao d ch mua hàng qua m ng,
khi khách hàng đã g i s th tín d ng cho bên bán, đã thanh
toán thành công, thì bên bán không th ph nh n vi c h đã
nh n đ

c ti n, (tr tr

ATTT trong giao d ch).

ng h p h th ng không đ m b o tính


17
9/26/2017

U

M
_T
TM
H
D

Các khái ni m c a CIA + 3

• Tính xác th c: Trong ho t đ ng tính toán, kinh doanh qua
m ng và an toàn thông tin, tính xác th c là vô cùng c n thi t

đ đ m b o r ng d li u, giao d ch, k t n i ho c các tài li u
(tài li u đi n t ho c tài li u c ng) đ u là xác th t (genuine).
Nó c ng quan tr ng cho vi c xác nh n r ng các bên liên quan
bi t h là ai trong h th ng


18
9/26/2017

U
M
_T
TM
H
D

1. M t s khái ni m … (ti p)
• An toàn máy tính (computer security)


• An toàn thông tin (Information security)
• An toàn d li u (data security)

• An toàn trình duy t (Browser security)


19
9/26/2017

1. M t s khái ni m

U
M
_T
TM
H
D

• An toàn Internet (internet security) là m t nhánh c a ATMT, liên
quan đ n Internet, th

ng đ c p đ n an toàn trình duy t (Browser

security) c ng nh an toàn d li u nh p vào d

i d ng web, và xác

th c t ng th và b o v d li u g i qua giao th c Internet. Internet là
m t kênh không an toàn cho vi c trao đ i thông tin d n đ n kh n ng
r i ro b xâm nh p, gian l n, l a đ o cao. M c tiêu c a an toàn

Internet là thi t l p các quy t c và các bi n pháp đ ch ng l i các
cu c t n công trên Internet


20
9/26/2017

1. M t s khái ni m

U
M
_T
TM
H
D

• An toàn trình duy t (Browser security) là ng d ng an toàn
Internet cho các trình duy t web đ b o v d li u m ng và các h
th ng máy tính t vi ph m bí m t riêng t ho c ph n m m đ c
h i. Khai thác an toàn trình duy t c ng có th l i d ng các l h ng
b o m t (security holes) và th

ng đ

c s d ng v i t t c các

trình duy t nh Mozilla Firefox, Google Chrome, Opera,
Microsoft Internet Explorer, và Safari.



21
9/26/2017

1. M t s khái ni m

U
M
_T
TM
H
D

• An toàn m ng (Network security) bao g m các chính sách và
th c t áp d ng đ ng n ch n và giám sát truy c p trái phép, s
d ng sai, s a đ i, ho c t ch i c a m t m ng máy tính và các tài
nguyên m ng có th truy c p. An toàn m ng đ c p đ n vi c c p
phép truy c p vào d li u trong m t m ng, (đ

qu n tr m ng). Ng

i s d ng ch n ho c đ

c ki m soát b i

c ch đ nh m t ID và

m t kh u ho c các thông tin ch ng th c khác đ truy c p thông tin
và các ch

ng trình theo th m quy n c a minh



22
9/26/2017

1. M t s khái ni m

U
M
_T
TM
H
D

An toàn m ng bao g m m t lo t các m ng máy tính, c công
c ng và t nhân, đ

c s d ng trong công vi c hàng ngày; th c

hi n giao d ch và truy n thông gi a các DN, CP, CN. An toàn
m ng là b o v m ng, là giám sát các ho t đ ng đ

c th c hi n.


23
9/26/2017

Phơn bi t An toƠn m ng vƠ An toƠn máy tính


U
M
_T
TM
H
D

c p đ đ n gi n, ATMT là m t k thu t đ c s d ng đ b o v d li u
đ c l u tr trên 1 máy tính. Vi c b o v này đ m b o các d li u ho c
thông tin đ c l u tr trên máy tính cá nhân không th b truy c p, đ c,
ho c sao chép… Các h th ng b o m t máy tính t đ n gi n đ n ph c t p
tùy thu c vào m c đ b o m t mong mu n
• An toàn m ng là các bi n pháp đ b o v m ng riêng. ây là lo i hình b o
v bao g m b t k máy tính nào k t n i vào m ng và đ c p đ n vi c đ m
b o s d ng, tính toàn v n và an toàn m ng riêng và b t k d li u liên quan
đ n m ng.
• ATMT đ c thi t k đ b o v m t đ n v duy nh t ho c m t máy tính,
trong khi an toàn m ng b o v t t c các máy và ng i dùng k t n i vào
m ng. M c đ b o m t là t ng t và phòng ng a nhi u v n đ t ng t .
Tuy nhiên, h u h t các DN k t h p c an toàn máy tính và an toàn m ng đ
thi t l p m c đ b o v cao nh t.
•


24
9/26/2017

U
M
_T

TM
H
D

1. M t s khái ni m

• An toàn di đ ng (mobile security) ho c an toàn đi n tho i di
đ ng ngày càng quan tr ng trong máy tính di đ ng (mobile
computing). Quan tâm đ c bi t là s an toàn c a thông tin cá
nhân và kinh doanh hi n nay đ c l u tr trên đi n tho i thông
minh.

• Ngày càng có nhi u CN và DN s d ng đi n tho i thông minh
đ qu n tr , l u tr thông tin cá nhân, và công vi c. Vi c l u tr
thông tin và k t n i Internet là ngu n g c c a nh ng RR m i
cho ng i dùng.


25
9/26/2017

U
M
_T
TM
H
D

2. Các khía c nh c a an toàn thông tin
• ITU-T là c m t vi t t t c a International Telecommunication

Union - Telecommunication Standardization Sector là l nh v c
Tiêu chu n vi n thông - thu c T ch c Vi n thông qu c t .
• Theo ITU-T X.800, ATTT bao g m ba khía c nh (aspects):
T n công (security attack);

D ch v b o m t (security service),

C ch b o m t, an toàn (security mechanism)