Chapter 04

ĐẠI HỌC QUỐC GIA TP.
HCM
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN
CƠ SỞ HẠ TẦNG
CÔNG NGHỆ THÔNG TIN
CBGD: ThS. Nguyễn Quốc Việt
Email: nqviet@hcmuit.edu.vn
ĐẠI HỌC QUỐC GIA TP.HCM
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN
BÀI 04
BẢO MẬT HỆ THỐNG THÔNG TIN
CBGD: ThS. Nguyễn Quốc Việt

Email: nqviet@hcmuit.edu.vn
MỤC TIÊU
▪ Giải thích lý do tại sao các hệ thống thông tin dễ bị
phá hủy, lỗi và lạm dụng.
▪ Mô tả giá trị kinh doanh của bảo mật và kiểm soát.
▪ Mô tả các thành phần của một khung tổ chức cho
bảo mật và kiểm soát.
▪ Mô tả các công cụ và công nghệ được sử dụng để
bảo vệ tài nguyên thông tin.
NỘI DUNG
1. Giới thiệu
2. Khuôn bảo mật và kiểm soát
3. Công nghệ và công cụ bảo mật thông tin
1. GIỚI THIỆU
• Security (Bảo mật):
– Các chính sách, thủ tục và biện pháp kỹ thuật được
sử dụng để ngăn chặn truy cập trái phép, thay đổi,
trộm cắp hoặc thiệt hại vật chất cho các hệ thống
thông tin
• Controls (Kiểm soát):
– Phương pháp, chính sách, quy trình tổ chức bảo đảm
an toàn tài sản của tổ chức; tính chính xác và độ tin
cậy của hồ sơ kế toán; và tuân thủ các tiêu chuẩn
quản lý
1. GIỚI THIỆU
Tại sao các hệ thống thông tin bị đe dọa?

1. GIỚI THIỆU
• Tại sao các hệ thống thông tin bị đe dọa?
– Truy cập mạng
– Các vấn đề về phần cứng (sự cố, lỗi cấu hình, thiệt
hại do sử dụng không đúng cách hoặc tội phạm)
– Sự cố phần mềm (lỗi lập trình, lỗi cài đặt, thay đổi trái
phép)
– Thảm họa (thiên tai, lũ lụt)
– Sử dụng mạng/máy tính ngoài tầm kiểm soát của
công ty
– Mất mát và trộm cắp các thiết bị di động
1. GIỚI THIỆU
• Những thách thức và lỗ hổng bảo mật
1. GIỚI THIỆU
Internet vulnerabilities (Lỗ hỏng internet)

▪ Ai cũng có thể truy cập internet
▪ Kích thước mạng rộng lớn
▪ Sử dụng địa chỉ Internet (IP Address) cố định
với modem cáp/DSL tạo ra các mục tiêu cố định
cho tin tặc
1. GIỚI THIỆU
• Malware (malicious software): Phần mềm
độc hại
– Viruses
– Worms
• Các chương trình độc lập, tự sao chép từ máy này sang
máy khác
– Worms and viruses lây lan qua:
• Downloads
• E-mail, file đính kèm
• Các bản crack
1. GIỚI THIỆU
• Malware
– Điện thoại thông minh
• 13.000 loại phần mềm độc hại
– Trojan horses
• Nghĩ là có ích nhưng âm thầm phá hoại hệ thống
– SQL injection
• Lợi dụng lỗ hỏng trong về các câu truy vấn trong các
phần mềm
1. GIỚI THIỆU
• Malware:
– Spyware (Phần mềm gián điệp)
• Các chương trình được cài đặt trên máy tính để theo dõi
hoạt động của người dùng.
• Key loggers
– Ghi lại mọi tổ hợp phím trên máy tính để đánh cắp số sê-ri, mật
khẩu, khởi động các cuộc tấn công Internet
• Loại khác:
– Đặt lại trang chủ trình duyệt
– Chuyển hướng các yêu cầu tìm kiếm
– Làm chậm máy tính
1. GIỚI THIỆU
• Hackers and computer crime (tin tặc và tội phạm

máy tính)
– Hacker và cracker
– Bao gồm các hoạt động:
• System intrusion (xâm nhập hệ thống)
• System damage (Phá hoại hệ thống)
• Cybervandalism (Tấn công mạng)
– Phá hủy trang web hoặc hệ thống thông tin
doanh nghiệp.
1. GIỚI THIỆU
• Spoofing (giả danh)

– Sử dụng địa chỉ email giả hoặc giả mạo người khác
– Chuyển hướng liên kết đến các trang web giả mạo
• Sniffer (nghe lén)
– Chương trình nghe lén theo dõi thông tin đi qua mạng
– Cho phép tin tặc đánh cắp thông tin độc quyền như e-
mail, tệp công ty...
1. GIỚI THIỆU
• Denial-of-service attacks (DoS)
– Gửi nhiều yêu cầu cùng lúc đến máy chủ => làm sập máy chủ
• Distributed denial-of-service attacks (DDoS)
– Sử dụng nhiều máy tính để thực hiện DoS
– Botnets
• Mạng lưới các máy tính bị xâm nhập bởi phần mềm độc hại
• Tạo ra 90% thư rác, 80% phần mềm độc hại trên thế giới
• Grum botnet: điều khiển từ 560.000 đến 840.000 máy tính
1. GIỚI THIỆU
• Computer crime (Tội phạm máy tính)
– Là bất kỳ hành vi vi phạm pháp luật hình sự liên quan
đến kiến thức về công nghệ máy tính
– Máy tính có thể là mục tiêu của tội phạm, ví dụ:
• Vi phạm tính bảo mật của dữ liệu máy tính được bảo vệ
• Truy cập hệ thống máy tính mà không có thẩm quyền
– Máy tính có thể là công cụ của tội phạm, ví dụ:
• Trộm cắp bí mật thương mại
• Sử dụng e-mail để đe dọa hoặc quấy rối
1. GIỚI THIỆU
• Identity theft (trộm cắp danh tính)
– Đánh cắp thông tin cá nhân (số an sinh xã hội, bằng lái
xe hoặc số thẻ tín dụng) để mạo danh người khác
• Phishing (Lừa đảo)
– Thiết lập các trang web giả mạo hoặc gửi tin nhắn
email trông giống như các doanh nghiệp hợp pháp để
yêu cầu người dùng cung cấp dữ liệu cá nhân bí mật.
• Evil twins
– Tạo ra các SSID mạng trùng nhau, làm cho người dùng
không biết cái nào là thật
1. GIỚI THIỆU
• Pharming
– Chuyển hướng người dùng đến một trang Web không có
thật
• Click fraud
– Xảy ra khi chương trình cá nhân hoặc máy tính gian lận
nhấp vào quảng cáo trực tuyến mà không có ý định tìm
hiểu thêm về nhà quảng cáo hoặc mua hàng
• Cyberterrorism and Cyberwarfare (Khủng bố mạng và chiến
tranh mạng)
1. GIỚI THIỆU
• Mối đe dọa nội bộ: Nhân viên

– Các mối đe dọa bảo mật thường bắt nguồn từ bên
trong một tổ chức
– Kiến thức bên trong
– Quy trình bảo mật cẩu thả
• Người dùng thiếu kiến thức
– Social engineering (kỹ thuật xã hội)
• Lừa nhân viên tiết lộ mật khẩu của họ bằng cách giả vờ
là thành viên hợp pháp của công ty cần thông tin
1. GIỚI THIỆU
• Software vulnerability (lỗ hỏng phần mềm)
– Phần mềm thương mại chứa các lỗ hổng tạo ra lỗ
hổng bảo mật
• Hidden bugs (lỗi ẩn)
• Flaws can open networks to intruders (truy cập mạng
cho tin tặc mạng tấn công)
– Patches
• Những bản vá lỗi
• Khai thác thường được tạo ra nhanh hơn các bản vá có
thể được phát hành và thực hiện
2. THIẾT LẬP KHUÔN KHỔ VỀ BẢO MẬT VÀ KIỂM SOÁT
• Điều khiển hệ thống thông tin
– Thủ công và tự động
– Kiểm soát chung và ứng dụng
• Kiểm soát chung
– Quản lý thiết kế, bảo mật và sử dụng các chương trình
máy tính và bảo mật tệp dữ liệu nói chung trong toàn
bộ cơ sở hạ tầng công nghệ thông tin của tổ chức
– Áp dụng cho tất cả các ứng dụng trên máy tính
– Kết hợp phần cứng, phần mềm và quy trình thủ công
để tạo môi trường kiểm soát tổng thể
• Application controls
– Các kiểm soát cụ thể duy nhất cho từng ứng dụng
trên máy tính
– Bao gồm tự động và thủ công
– Đảm bảo rằng chỉ dữ liệu được ủy quyền mới được
xử lý đầy đủ và chính xác bởi ứng dụng đó
– Include:
• Input controls
• Processing controls
• Output controls
• Các loại kiểm soát chung

– Software controls
– Hardware controls
– Computer operations controls
– Data security controls
– Implementation controls
– Administrative controls
• Các loại kiểm soát chung

– Software controls
– Hardware controls
– Computer operations controls
– Data security controls
– Implementation controls
– Administrative controls
• Risk assessment (đánh giá rủi ro): Xác định mức độ rủi
ro cho công ty nếu hoạt động hoặc quy trình cụ thể
không được kiểm soát đúng cách
• Các loại mối đe dọa
• Xác suất xảy ra trong năm
• Tổn thất tiềm năng, giá trị của mối đe dọa
• Tổn thất hàng năm dự kiến
EXPECTED
EXPOSURE PROBABILITY LOSS RANGE (AVG) ANNUAL LOSS
Power failure 30% $5K–$200K ($102,500) $30,750
Embezzlement 5% $1K–$50K ($25,500) $1,275
User error 98% $200–$40K ($20,100) $19,698
• Security policy (Chính sách bảo mật)

– Xếp hạng rủi ro thông tin, xác định các mục tiêu bảo
mật chấp nhận được và xác định các cơ chế để đạt
được các mục tiêu này
– Thúc đẩy các chính sách khác
• Acceptable use policy: chấp nhận sử dụng chính sác
• Authorization policies
– Xác định mức độ truy cập khác nhau của người dùng vào tài
sản thông tin
• Identity management (Quản lý danh tính)

– Xác định người dung hợp lệ của hệ thống
• Xác định và ủy quyền cho các loại người dùng khác
nhau
• Xác định phần nào người dùng hệ thống có thể
truy cập
• Xác thực người dùng và bảo vệ danh tính
– Identity management systems
• Nắm bắt các quy tắc truy cập cho các cấp độ người
dùng khác nhau
• Disaster recovery planning: Đưa ra kế hoạch khôi phục các
dịch vụ bị gián đoạn
• Business continuity planning: Tập trung khôi phục hoạt
động kinh doanh sau thảm họa
– Cả hai loại kế hoạch cần thiết để xác định các hệ thống
quan trọng nhất của công ty
– Phân tích tác động kinh doanh để xác định tác động của
sự cố làm ngừng hoạt động
– Quản lý phải xác định hệ thống nào được khôi phục
trước
• MIS audit
– Kiểm tra môi trường bảo mật tổng thể của công ty
cũng như kiểm soát việc quản lý các hệ thống thông
tin cá nhân
– Đánh giá công nghệ, thủ tục, tài liệu, đào tạo và nhân
sự.
– Thậm chí có thể mô phỏng thảm họa để thử nghiệm
phản ứng của công nghệ, nhân viên hệ thống, các
nhân viên khác
– Liệt kê và xếp hạng tất cả các điểm yếu kiểm soát và
ước tính xác suất xảy ra của chúng
– Đánh giá tác động tài chính và tổ chức của từng mối
đe dọa
3. CÔNG NGHỆ VÀ CÔNG CỤ BẢO VỆ TÀI NGUYÊN
THÔNG TIN
• Identity management software

– Tự động theo dõi tất cả người dùng và đặc quyền
– Xác thực người dùng, bảo vệ danh tính, kiểm soát
quyền truy cập
• Authentication (xác thực)
– Hệ thống mật khẩu
– Thẻ (token)
– Thẻ thông minh
– Xác thực sinh trắc học
THÔNG TIN
• Firewall (Tường lửa):
– Sự kết hợp giữa phần cứng và phần mềm ngăn
chặn người dùng truy cập trái phép mạng riêng
– Các công nghệ bao gồm:
• Static packet filtering
• Stateful inspection
• Network address translation (NAT)
• Application proxy filtering
THÔNG TIN
THÔNG TIN
• Intrusion detection systems:
– Giám sát các điểm nóng trên mạng công ty để phát hiện và
ngăn chặn những kẻ xâm nhập
– Kiểm tra các sự kiện khi chúng đang xảy ra để khám phá
các cuộc tấn công đang diễn ra
• Antivirus and antispyware software:
– Kiểm tra máy tính về sự hiện diện của phần mềm độc hại
và thường có thể loại bỏ nó
– Yêu cầu cập nhật liên tục
• Unified threat management (UTM) systems
THÔNG TIN
• Securing wireless networks
– WEP security can provide some security by:
• Gán tên duy nhất cho SSID của mạng và không phát
sóng SSID
• Sử dụng công nghệ VPN
– Wi-Fi Alliance finalized WAP2 specification, replacing
WEP with stronger standards
• Liên tục thay đổi phím
• Hệ thống xác thực được mã hóa với máy chủ trung
tâm
THÔNG TIN
• Encryption:
– Chuyển đổi văn bản hoặc dữ liệu thành văn bản
mật mã mà người nhận ngoài ý muốn không thể
đọc được
– Hai phương pháp mã hóa
• Secure Sockets Layer (SSL) và Transport Layer
Security (TLS)
• Secure Hypertext Transfer Protocol (S-HTTP)
THÔNG TIN
• Two methods of encryption

– Symmetric key encryption
• Người gửi và người nhận sử dụng khóa duy
nhất, được chia sẻ
– Public key encryption
• Sử dụng hai khóa: Khóa công khai và khóa riêng
• Người gửi mã hóa thư bằng khóa công khai của
người nhận
• Giải mã người nhận bằng khóa riêng
THÔNG TIN
PUBLIC KEY ENCRYPTION

THÔNG TIN
• Digital certificate:
– Tệp dữ liệu được sử dụng để thiết lập danh tính của người
dùng và tài sản điện tử để bảo vệ các giao dịch trực tuyến
– Sử dụng bên thứ ba đáng tin cậy, cơ quan chứng nhận
(CA), để xác thực danh tính của người dùng
– CA xác minh danh tính của người dùng, lưu trữ thông tin
trong máy chủ CA, tạo chứng chỉ kỹ thuật số được mã hóa
chứa thông tin ID chủ sở hữu và bản sao khóa công khai
của chủ sở hữu
• Public key infrastructure (PKI)
– Sử dụng mật mã khóa công khai làm việc với cơ quan cấp
chứng chỉ
– Được sử dụng rộng rãi trong thương mại điện tử
THÔNG TIN
Quy trình sử dụng chứng chỉ kỹ thuật số

THÔNG TIN
• Ensuring system availability
– Xử lý giao dịch trực tuyến yêu cầu 100% khả năng
sẵn có, không có thời gian chết
• High-availability computing
– Giúp phục hồi nhanh chóng sau vụ tai nạn
– Giảm thiểu, không loại bỏ, thời gian chết
THÔNG TIN
• Recovery-oriented computing
– Thiết kế các hệ thống phục hồi nhanh chóng với khả
năng giúp các nhà khai thác xác định và sửa lỗi trong
các hệ thống đa thành phần
• Controlling network traffic: Kiểm soát lưu
lượng mạng
• Security outsourcing: Bảo mật trong gia công
phần mềm
THÔNG TIN
• Security in the cloud

– Trách nhiệm bảo mật thuộc về công ty sở hữu dữ
liệu
– Các công ty phải đảm bảo các nhà cung cấp cung cấp
sự bảo vệ đầy đủ:
• Nơi dữ liệu được lưu trữ
• Đáp ứng các yêu cầu của công ty, luật bảo mật hợp
pháp
• Phân tách dữ liệu với các khách hàng khác
• Kiểm toán và chứng nhận bảo mật
– Service level agreements (SLAs)
THÔNG TIN
• Securing mobile platforms
– Các chính sách bảo mật nên bao gồm và bao gồm bất kỳ
yêu cầu đặc biệt nào đối với thiết bị di động
– Công cụ quản lý thiết bị di động
• Authorization
• Inventory records
• Control updates
• Lock down/erase lost devices
• Encryption
– Phần mềm tách biệt dữ liệu doanh nghiệp trên thiết bị
THÔNG TIN
• Ensuring software quality
– Software metrics: Đánh giá khách quan hệ thống
dưới dạng phép đo định lượng
– Kiểm tra định kỳ
NỀN TẢNG TRUYỀN THÔNG, INTERNET
CÔNG NGHỆ KHÔNG DÂY
BẢO MẬT THÔNG TIN
4. KẾT LUẬN
- Một số mối đe loại về bảo mật hệ thống

- Khuôn khổ bảo mật trong công ty
- Một số công nghệ giúp bảo mật hệ thống thông
tin
5. Tài liệu tham khảo

Management Information Systems Managing the Digital Firm, 13th Edition
- Kenneth C. Laudon, Jane P. Laudon
CƠ SỞ HẠ TẦNG
CÔNG NGHỆ THÔNG TIN

Chapter 04

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Chapter 04

Uploaded by

Copyright:

Available Formats

ĐẠI HỌC QUỐC GIA TP.

CBGD: ThS. Nguyễn Quốc Việt

Tại sao các hệ thống thông tin bị đe dọa?

Internet vulnerabilities (Lỗ hỏng internet)

• Hackers and computer crime (tin tặc và tội phạm

• Spoofing (giả danh)

• Mối đe dọa nội bộ: Nhân viên

• Các loại kiểm soát chung

• Các loại kiểm soát chung

• Security policy (Chính sách bảo mật)

• Identity management (Quản lý danh tính)

• Identity management software

• Two methods of encryption

PUBLIC KEY ENCRYPTION

Quy trình sử dụng chứng chỉ kỹ thuật số

• Security in the cloud

- Một số mối đe loại về bảo mật hệ thống

5. Tài liệu tham khảo

You might also like