TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP TP.

HCM
KHOA KẾ TOÁN – KIỂM TOÁN

Chương 4

KIỂM SOÁT HTTTKT

TRONG MÔI TRƯỜNG MÁY TÍNH

09/11/2021 Kiểm soát hệ thống thông tin kế toán - GV. Nguyễn Thị Phương Thúy 1
 Nội dung chương
1. Kiểm soát an toàn thông tin
2. Kiểm soát tính bảo mật và quyền riêng tư
3. Kiểm soát tính khả dụng và tính toàn vẹn của quá
trình xử lý

09/11/2021
11/9/2021 Kiểm soát hệ thống thông tin kế toán - GV. Nguyễn Thị Phương Thúy 2
 Khuôn mẫu dịch vụ tin cậy
• An toàn thông tin: Kiểm soát và hạn
chế sự truy cập vào hệ thống và dữ Độ tin cậy của hệ
liệu thống
• Bảo mật: Dữ liệu nhạy cảm của tổ

mậttext
chức được bảo vệ

Quyền riêng tư

Tính khả dụng

Tính toàn vẹn
sample
• Quyền riêng tư: Thông tin cá nhân

is abảo
của các bên liên quan được bảo vệ

Tính
• Tính toàn vẹn: Dữ liệu được xử lý

This
chính xác, đầy đủ, kịp thời
• Tính khả dụng: Hệ thống và thông
An toàn thông tin
tin luôn có sẵn
09/11/2021 Kiểm soát hệ thống thông tin kế toán - GV. Nguyễn Thị Phương Thúy 3
 Kiểm soát an toàn thông tin

Phần 1

09/11/2021 Kiểm soát hệ thống thông tin kế toán - GV. Nguyễn Thị Phương Thúy 4
 Nguyên tắc cơ bản về an toàn thông tin
1. An toàn thông tin không chỉ là vấn đề về kỹ thuật, mà
còn là vấn đề thuộc về quản trị
Nhà quản trị cấp cao cần tạo ra một văn hóa tổ chức “nhận
thức cao về an toàn thông tin”, điều này giúp:
- Tăng sự tuân thủ của nhân viên đối với các chính sách bảo
mật
- Tăng khả năng ngăn chặn các cuộc tấn công trước khi
chúng xảy ra
- Phát hiện kịp thời các cuộc tấn công sau khi chúng xảy ra
09/11/2021 Kiểm soát hệ thống thông tin kế toán - GV. Nguyễn Thị Phương Thúy 5
 Nguyên tắc cơ bản về an toàn thông tin
2. Mô hình an toàn thông tin theo thời gian
Là sự kết hợp các thủ tục kiểm soát ngăn chặn, phát hiện và
khắc phục để bảo vệ tài sản thông tin trong thời gian đủ lâu
nhằm giúp tổ chức nhận diện các cuộc tấn công đang xảy ra
và có các biện pháp ngăn chặn trước khi thông tin bị xâm
phạm hoặc bị đánh cắp

09/11/2021 Kiểm soát hệ thống thông tin kế toán - GV. Nguyễn Thị Phương Thúy 6
 Mô hình an toàn thông tin theo thời gian
• An toàn thông tin có hiệu quả khi:
P>D+R
Trong đó:
• P: thời gian để tội phạm xâm nhập vào được hệ thống
• D: thời gian để phát hiện ra sự xâm nhập trái phép
• R: thời gian để phản ứng với rủi ro và đưa ra hành động chấm dứt
rủi ro

09/11/2021 Kiểm soát hệ thống thông tin kế toán - GV. Nguyễn Thị Phương Thúy 7
 Mô hình an toàn thông tin theo thời gian
• Nhiều “lớp” kiểm soát cần được
kết hợp với nhau
• Hiệu quả của hệ thống KSNB phụ
thuộc vào chính nhân viên và nhà
quản lý của tổ chức.

09/11/2021 Kiểm soát hệ thống thông tin kế toán - GV. Nguyễn Thị Phương Thúy 8
 Biện pháp giảm thiểu rủi ro từ các cuộc tấn công

NGĂN CHẶN RỦI RO PHÁT HIỆN RỦI RO

Con người Nhật ký truy cập

Kiểm soát truy cập vật lý Hệ thống phát hiện xâm nhập
Giải pháp IT Honeypot
Giám sát liên tục

KHẮC PHỤC HẬU QUẢ

Đội ứng phó sự cố máy tính

Giám đốc an ninh thông tin

09/11/2021 Kiểm soát hệ thống thông tin kế toán - GV. Nguyễn Thị Phương Thúy 9
 Kiểm soát ngăn chặn tấn công thông tin
Con người – nhân tố then chốt
Con người có thể là “mắt xích yếu nhất” hoặc là tài sản quan
trọng nhất trong an toàn thông tin
- Truyền thông các chính sách an toàn thông tin của tổ chức
- Sự “làm gương” của lãnh đạo cấp cao
- Chú trọng việc đào tạo, huấn luyện nhân viên về an toàn
thông tin

09/11/2021 Kiểm soát hệ thống thông tin kế toán - GV. Nguyễn Thị Phương Thúy 10
 Kiểm soát ngăn chặn tấn công thông tin
Kiểm soát truy cập vật lý: Các biện pháp hạn chế tiếp
xúc trực tiếp đến thông tin
• Hạn chế truy cập vật lý vào các phòng chứa thiết bị
máy tính
• Bảo vệ an toàn cho các thiết bị lưu trữ dữ liệu
• Sử dụng khóa an toàn và hệ thống camera theo dõi

09/11/2021 Kiểm soát hệ thống thông tin kế toán - GV. Nguyễn Thị Phương Thúy 11
 Kiểm soát ngăn chặn tấn công thông tin
Kiểm soát truy cập người dùng
• Kiểm soát xác thực người dùng:
• User ID, password, mã PIN, câu hỏi bảo mật
• Kỹ thuật nhận dạng vật lý (thẻ thông minh, USB)
• Thiết bị nhận dạng sinh trắc học

09/11/2021 Kiểm soát hệ thống thông tin kế toán - GV. Nguyễn Thị Phương Thúy 12
 Các loại thông tin xác thực được sử dụng trên
smartphone

09/11/2021 Kiểm soát hệ thống thông tin kế toán - GV. Nguyễn Thị Phương Thúy 13
 Kiểm soát ngăn chặn tấn công thông tin
Kiểm soát truy cập người dùng (tt)
• Kiểm soát xác thực người dùng:
• Xác thực đa yếu tố (multifactor authentication): kết hợp
nhiều loại thông tin xác thực khác nhau
• Xác thực đa phương thức (multimodal authentication): kết
hợp nhiều kiểu thông tin xác thực cùng loại với nhau

09/11/2021 Kiểm soát hệ thống thông tin kế toán - GV. Nguyễn Thị Phương Thúy 14
 Kiểm soát ngăn chặn tấn công thông tin
Kiểm soát truy cập người dùng (tt)
• Kiểm soát xác thực người dùng
• Kiểm soát ủy quyền sử dụng hệ thống (phân quyền truy
cập)
• Ma trận kiểm soát truy cập
• Kiểm tra tính tương thích

09/11/2021 Kiểm soát hệ thống thông tin kế toán - GV. Nguyễn Thị Phương Thúy 15
 Ví dụ ma
trận kiểm
soát truy cập

09/11/2021 Kiểm soát hệ thống thông tin kế toán - GV. Nguyễn Thị Phương Thúy 16
 Kiểm soát ngăn chặn tấn
công thông tin

Các giải pháp CNTT

• Kiểm soát phần mềm độc hại
• Kiểm soát truy cập hệ thống:
• Bộ định tuyến biên giới
(border router): thiết bị kết nối
hệ thống thông tin của tổ chức
với Internet
• Tường lửa (firewall)
• Mạng ngoại vi (DMZ)

09/11/2021 Kiểm soát hệ thống thông tin kế toán - GV. Nguyễn Thị Phương Thúy 17
 Kiểm soát ngăn chặn tấn công thông tin
Giải pháp CNTT:
• KS phần mềm độc hại
• KS truy cập hệ thống
• Kiểm soát thiết bị đầu cuối và phần mềm:
• Cấu hình thiết bị đầu cuối
• Quản lý tài khoản người dùng
• Thiết kế phần mềm

09/11/2021 Kiểm soát hệ thống thông tin kế toán - GV. Nguyễn Thị Phương Thúy 18
 Kiểm soát ngăn chặn tấn công thông tin
A. Kiểm soát truy cập 1. Mạng ngoại vi
người dùng 2. Nhận dạng sinh trắc học
3. Kiểm soát phần mềm độc hại
B. Kiểm soát truy cập 4. Xác thực người dùng
vật lý
5. Bảo vệ an toàn thiết bị lưu trữ
dữ liệu
C. Giải pháp CNTT 6. Phân quyền truy cập

Kiểm soát hệ thống thông tin kế toán - GV. Nguyễn Thị

09/11/2021 19
Phương Thúy
 Kiểm soát phát hiện tấn công thông tin
• Nhật ký truy cập hệ thống

09/11/2021 Kiểm soát hệ thống thông tin kế toán - GV. Nguyễn Thị Phương Thúy 20
 Nhật ký
truy cập
hệ thống

09/11/2021 Kiểm soát hệ thống thông tin kế toán - GV. Nguyễn Thị Phương Thúy 21
 Kiểm soát phát hiện tấn công thông tin
• Nhật ký truy cập hệ thống
• Hệ thống phát hiện xâm nhập (IDS): một thiết bị hoặc
ứng dụng phần mềm giám sát mạng để tìm hoạt động
độc hại hoặc vi phạm chính sách. Mọi hoạt động độc
hại hoặc vi phạm thường được báo cáo cho quản trị
viên hoặc thu thập tập trung bằng cách sử dụng hệ
thống quản lý sự kiện và thông tin bảo mật.

09/11/2021 Kiểm soát hệ thống thông tin kế toán - GV. Nguyễn Thị Phương Thúy 22
 Kiểm soát phát hiện tấn công thông tin
• Nhật ký truy cập hệ thống
• Hệ thống phát hiện xâm nhập (IDS)
• Honeypot: cơ chế bảo mật máy tính được thiết lập để
phát hiện, làm chệch hướng hoặc chống lại các nỗ lực
sử dụng trái phép hệ thống thông tin. Honeypot bao
gồm dữ liệu chứa thông tin hoặc tài nguyên có giá trị
đối với những kẻ tấn công. Các dữ liệu này bị cô lập,
theo dõi và có khả năng ngăn chặn hoặc phân tích
những kẻ tấn công.
09/11/2021 Kiểm soát hệ thống thông tin kế toán - GV. Nguyễn Thị Phương Thúy 23
 Kiểm soát phát hiện tấn công thông tin
• Nhật ký truy cập hệ thống
• Hệ thống phát hiện xâm nhập (IDS)
• Honeypot
• Giám sát liên tục sự tuân thủ của nhân viên đối với
các chính sách bảo mật thông tin và hiệu quả của các
quy trình kinh doanh.

09/11/2021 Kiểm soát hệ thống thông tin kế toán - GV. Nguyễn Thị Phương Thúy 24
 Biện pháp khắc phục hậu quả
• Đội ứng phó sự cố máy tính (Computer Incident
Response Team – CIRT): gồm các chuyên gia kỹ thuật
và nhà quản lý cấp cao của tổ chức
• Bố trí một cá nhân giữ chức danh Giám đốc an ninh
thông tin (Chief Information Security Officer – CISO)

09/11/2021 Kiểm soát hệ thống thông tin kế toán - GV. Nguyễn Thị Phương Thúy 25
09/11/2021 Kiểm soát hệ thống thông tin kế toán - GV. Nguyễn Thị Phương Thúy 26