QTr: (60%)

- Ktra lms + tham gia trên lớp: 25% (lms làm 3 lần, lấy lần cao nhất, deadline mỗi sáng t7)
- Báo cáo nhóm: 25% (Báo cáo nhóm về phim: An toàn và bảo mật thông tin, lấy điểm trb báo cáo nhóm, làm trong 1 tuần)
- Bài giữa kỳ (bài luận, offline): 50%
Thi: (40) _ TN (50c, 60p)

Học phần
An toàn thông tin kế toán
(Accounting Information Security – AISe)

Chương 1: Tổng quan về An toàn

thông tin kế toán

TS. Phan Thị Bảo Quyên

Updated to 10 March 2021 1

Mục tiêu chương Kiểm tra nhỏ về lịch sử an toàn máy tính và sự phát triển an
Sau khi kết thúc chương, SV có thể: toàn thông tin
• Định nghĩa an toàn thông tin
• Hiểu biết về lịch sử an toàn máy tính và giải thích
sự phát triển an toàn thông tin.
• Xác định các thuật ngữ và các khái niệm quan
trọng về an toàn thông tin
• Giải thích vai trò của an toàn trong chu kỳ phát
triển hệ thống
• Mô tả vai trò của các chuyên gia đối với an toàn
thông tin trong doanh nghiệp

10 March 2021 2

Nội dung Bài tập nhóm về mô hình an toàn thông tin

1. Giới thiệu về an toàn thông tin Nắm sơ lược về lịch sử, định nghĩa và đặc tính của ATTT

2. Mô hình an toàn thông tin (CNSS) --> Nội dung quan trong nhất.

3. Triển khai an toàn thông tin có 2 hình thức: từ dưới ên trên và từ trên xuống dưới

4. An toàn thông tin trong doanh nghiệp

nắm được ví trí của CIO và CISO, và 3 nhóm quản lý.

10 March 2021 3

1
 Thuật ngữ
Key terms Thuật ngữ Diễn giải
Accuracy Độ chính xác Thuộc tính thông tin mô tả cách dữ liệu không có lỗi và có giá trị mà người
dùng mong đợi
Authenticity Tính xác thực Thuộc tính của thông tin mô tả cách dữ liệu được xác thực hoặc là nguyên
bản thay vì sao chép hoặc bịa đặt
Availability: Tính khả dụng Một thuộc tính của thông tin mô tả cách dữ liệu có thể truy cập và được định
dạng chính xác để sử dụng mà không bị can thiệp hoặc cản trở
Bottom-up Cách tiếp cận từ Một phương pháp thiết lập các chính sách bảo mật bắt đầu từ một nỗ lực cấp
approach dưới lên thấp hơn trong đó quản trị viên hệ thống cố gắng cải thiện tính bảo mật của
hệ thống của họ
C.I.A. triad: C Ba tiêu chuẩn Tiêu chuẩn công nghiệp về bảo mật máy tính kể từ khi phát triển máy tính lớn
(confidentiality C.I.A / tam giác (mainframe) - Tiêu chuẩn dựa trên ba đặc điểm mô tả ứng dụng tiện ích của
); I (integrity); A C.I.A thông tin: tính bảo mật, tính toàn vẹn và tính sẵn có
(availability)

Chief Giám đốc Công Vị trí cấp điều hành chịu trách nhiệm quản lý và giám sát các vấn đề về công
information nghệ thông tin nghệ thông tin trong đơn vị, đảm bảo tính hữu hiệu và hiệu quả trong việc xử
officer (CIO) lý và cung cấp thông tin
Chief Giám đốc an Người đứng đầu nhóm nhân viên chịu trách nhiệm an toàn thông tin và báo
information toàn thông tin cáo cho Giám đốc công nghệ thông tin
security officer
(CISO)
Communicatio Bảo mật truyền Bảo vệ cho tất cả thiết bị, phương tiện truyền thông, công nghệ và nội dung
ns security thông số trong đơn vị
Community of Nhóm lợi ích liên Một nhóm người có cũng mối quan tâm, lợi ích, lợi nhuận trong đơn vị và chi
interest quan sẻ cũng mục tiêu nhằm giúp đơn vị đạt được mục tiêu.

Thuật ngữ
Key terms Thuật ngữ Diễn giải
Computer security An toàn máy Trong gian đoạn sơ khai của máy tính, an toàn máy tính mô tả các chi tiết
tính liên quan đến yêu cầu đảm bảo an toàn trước những nguy cơ bên ngoài.
Hiện nay, thuật ngữ này được tiến hóa thành an toàn thông tin nói chung

Confidentiality Tính bảo mật Một thuộc tính của thông tin mô tả cách dữ liệu được bảo vệ khỏi tiết lộ
hoặc tiếp xúc với các cá nhân hoặc hệ thống trái phép
Data custodians Người quản lý Những người chịu trách nhiệm lưu trữ, duy trì và bảo vệ thông tin
dữ liệu
Data owners Chủ sở hữu dữ Các cá nhân kiểm soát và do đó chịu trách nhiệm về bảo mật và sử dụng
liệu một tập hợp thông tin cụ thể; chủ sở hữu dữ liệu có thể dựa vào người
giám sát về các khía cạnh thực tế của việc bảo vệ thông tin của họ, chỉ
định người dùng nào được phép truy cập thông tin đó, nhưng họ phải
chịu trách nhiệm cuối cùng về điều đó

Data users Người dùng dữ Những người làm việc với thông tin để thực hiện công việc hàng ngày
liệu của họ và hỗ trợ sứ mệnh của tổ chức
Information An toàn thông Bảo vệ tính bảo mật, toàn vẹn, khả dụng của tài sản thông tin ở bất cứ
security tin nơi lưu trữ nào, hoặc trong quá trình truyền tải - thông qua việc áp dụng
các chính sách, quá trình đào tạo, huấn luyện, nâng cao nhận thức cũng
như sử dụng công nghệ

Information Hệ thống thông Tập hợp phần cứng, phần mềm, con người, các thủ tục, mạng máy tính
system (IS) tin nhằm sử dụng các nguồn lực công ngệ thông tin trong đơn vị

Thuật ngữ
Key terms Thuật ngữ Diễn giải
Integrity Tính toàn Thuộc tính của thông tin mô tả dữ liệu và thông tin ở
vẹn mức độ toàn bộ, hoàn chỉnh và không gián đoạn
McCumber Khối lập Hình ảnh minh họa theo hình khối lập phương, là cách
Cube phương tiếp cận phổ biến trong an toàn thông tin, mô tả các
McCumber chiều theo các lĩnh vực liên quan an toàn thông tin
Network An toàn Một phân nhánh của bảo mật truyền thông
security mạng (communications security) – nhằm bảo vệ các thành
phần, nội dung của mạng mát tính
Personally Thông tin Tập hợp các thông tin có thể nhận dạng một cá nhân duy
identifiable định danh nhất
information cá nhân
(PII)
Physical An toàn vật Bảo vệ các tài sản vật lý khỏi bị lạm dụng, sử dụng sai
security lý mục đích hoặc truy cập trái phép
Possession Chiếm hữu Thuộc tính thông tin mô tả cách thức quyền sở hữu hoặc
kiểm soát dữ liệu là hợp pháp hoặc được ủy quyền

2
 Thuật ngữ
Key terms Thuật ngữ Diễn giải
Project team Đội dự án Một nhóm chức năng nhỏ gồm những người có kinh nghiệm trong một
hoặc nhiều khía cạnh của các lĩnh vực kỹ thuật và kỹ thuật cần thiết cho
dự án mà họ được giao.
Security An toàn / an Trạng thái an toàn và không bị nguy hiểm hoặc tổn hại. Ngoài ra, các
ninh / bảo mật hành động được thực hiện để đảm bảo an toàn cho ai đó hoặc thứ gì đó

Software assurance Bảo hiểm phần Một cách tiếp cận theo phương pháp luận để phát triển phần mềm nhằm
(SA) mềm / đảm bảo xây dựng bảo mật vào vòng đời phát triển hơn là giải quyết vấn đề đó ở
phần mềm các giai đoạn sau. SA cố gắng cố ý tạo ra phần mềm không có lỗ hổng và
cung cấp phần mềm hiệu quả, hiệu quả mà người dùng có thể tự tin triển
khai

Systems Chu kỳ phát Một phương pháp luận để thiết kế và triển khai hệ thống thông tin
development life triển hệ thống
cycle (SDLC)
Top-down Tiếp cận từ trên Một phương pháp thiết lập các chính sách bảo mật do quản lý cấp trên
approach xuống khởi xướng
Utility Tính tiện ích Một thuộc tính của thông tin mô tả cách dữ liệu có giá trị hoặc tính hữu
ích cho mục đích cuối cùng
Waterfall model Mô hình thác Một loại SDLC trong đó mỗi giai đoạn của quy trình “chảy từ” thông tin
đổ thu được từ giai đoạn trước, với nhiều cơ hội để quay lại các giai đoạn
trước đó và thực hiện các điều chỉnh

Nội dung
1. Giới thiệu về an toàn thông tin

2. Mô hình an toàn thông tin

3. Triển khai an toàn thông tin

4. An toàn thông tin trong doanh nghiệp

10 March 2021 8

1. Giới thiệu về an toàn thông tin

1.1 Lịch sử an toàn thông tin

1.2 Định nghĩa an toàn thông tin

1.3 Bản chất An toàn thông tin: Khoa học

hay Nghệ thuật?

10 March 2021 9

3
 1.1. Lịch sử an toàn thông tin: trước 1960
• Nhu cầu an toàn máy tính và an toàn đối với thiết bị
xuất hiện từ khi máy tính ra đời
• Nhu cầu giải mã các thông điệp trong chiến tranh
dẫn đến sự ra đời của các thiết bị phá mã, là tiền
thân của máy tính
• Để đảm bảo an toàn cho thiết bị, các biện pháp
thông thường là nhận dạng thông qua giấy phép,
giấy tờ cá nhân, …
• Mức độ an toàn và bảo mật thô sơ trong giai đoạn
đầu tiên
• Nguy cơ chính đối với an toàn là trộm cắp, gián điệp
và phá hoại
10
- Sự phát triển của công nghệ và sự ra đời của máy tính lớn
(Mainframe Computer)
- Chiến tranh Lạnh; vai trò của thông tin, các chiến dịch gián
điệp, chạy đua vũ trang đòi hỏi các biện pháp an toàn và bảo mật
cao hơn.
- Cơ quan Chỉ đạo các dự án Nghiên cứu tiên tiến (ARPA) của
Bộ Quốc phòng Mỹ đã bắt đầu kiểm tra tính khả thi của hệ
thống liên lạc nối mạng dự phòng được thiết kế để hỗ trợ nhu
cầu trao đổi thông tin của quân đội.
- Larry Roberts, người sáng lập ra Internet, đã phát triển dự án
ARPANET.

1.1. Lịch sử an toàn thông tin: thập niên 70 và 80 Xuất hiện máy tính nhỏ - máy tính để bàn
• ARPANET đã trở nên phổ biến và được sử dụng
nhiều hơn, và khả năng bị lạm dụng cũng cao hơn
• Robert M. Metcalfe đã chỉ ra rằng có những vấn đề
cơ bản với bảo mật ARPANET.
• Các trang web của người dùng được truy cập từ xa
không có đủ các biện pháp kiểm soát và biện pháp
bảo vệ để đảm bảo an toàn dữ liệu.
• Việc thiếu các quy trình an toàn cho các kết nối tới
ARPANET.
• Nhận dạng người dùng và phân quyền cho hệ
thống không tồn tại.

11

1.1. Lịch sử an toàn thông tin: thập niên 70 và 80

• Vi phạm an toàn máy tính ngày càng nhiều, đa dạng,
số lượng máy chủ và người dùng tăng nhanh, càng
đặt ra vấn đề an toàn mạng máy tính trở nên cấp
bách.
• Báo cáo của RAND Corporation 1970 (RAND R 609)
xác định các thủ tục kiểm soát và cơ chế cần thiết để
bảo vệ hệ thống xử lý dữ liệu được máy tính hóa –
được xem là tài liệu đầu tiên cho việc nghiên cứu an
toàn máy tính
• Phạm vi an toàn máy tính được mở rộng, bao gồm:
(1) Bảo mật dữ liệu; (2) Hạn chế truy cập ngẫu nhiên
và trái phép vào dữ liệu; (3) Sự tham gia của nhân sự
từ nhiều cấp của tổ chức vào bảo mật thông tin

12

4
1.1. Lịch sử an toàn thông tin: thập niên 70 và 80
• MULTICS bảo mật với nhiều cấp độ bảo mật và mật
khẩu, UNIX thì không.
• Cuối những năm 1970, bộ vi xử lý đã mang lại một kỷ
nguyên mới về khả năng tính toán; hệ thống xử lý dữ
liệu phân tán, mạng máy tính, khả năng chia sẽ dữ liệu
và các mối đe dọa bảo mật là các vấn đề phát sinh khi
các bộ vi xử lý này được nối mạng.
• 1980s: TCP (the Transmission Control Protocol) and IP
(the Internet Protocol) - các giao thức được sử dụng trên
Internet được phát triển vào đầu những năm 1980 cùng
với DNS (Hệ thống tên miền).
• 1988, Cơ quan Dự án Nghiên cứu Nâng cao Quốc phòng
(DARPA) đã thành lập Nhóm Ứng cứu Khẩn cấp Máy tính
(CERT) để giải quyết vấn đề an ninh mạng.

13

1.1. Lịch sử an toàn thông tin: thập niên 90

• Cuối thế kỷ 20, mạng máy tính trở nên phổ biến, nhu cầu kết
nối các mạng với nhau cũng tăng theo đã tạo ra Internet
• Ban đầu, khi vấn đề an toàn được xem xét, việc triển khai
Internet coi nó ở một mức độ ưu tiên thấp.
• Khi yêu cầu đối với máy tính nối mạng chiếm ưu thế, khả
năng an toàn vật lý của máy tính vật lý bị mất đi và thông tin
lưu trữ trở nên dễ bị đe dọa hơn trước các mối đe dọa bảo
mật.
• Cuối những năm 1990 và những năm 2000, nhiều công ty lớn
bắt đầu tích hợp công khai các nội dung bảo mật trong tổ
chức. Các sản phẩm chống vi-rút đã trở nên phổ biến và an
toàn thông tin bắt đầu hình thành như một quy luật độc lập.

14

1.1. Lịch sử an toàn thông tin: thế kỷ 21

• Internet đưa hàng triệu mạng máy tính không an
toàn và hàng tỷ hệ thống máy tính vào giao tiếp
liên tục với nhau.
• Tính bảo mật của thông tin được lưu trữ của mỗi
máy tính phụ thuộc vào mức độ bảo mật của mọi
máy tính trong mạng máy tính đó.
• Trong những năm gần đây, nhận thức về nhu cầu
nâng cao an toàn thông tin ngày càng tăng, cũng
như nhận thức rằng an toàn thông tin là quan trọng
đối với quốc phòng.

15

5
 1.1. Lịch sử an toàn thông tin: thế kỷ 21
• Mối đe dọa ngày càng tăng của các cuộc tấn công
mạng đã khiến các chính phủ và các công ty nhận thức
rõ hơn về sự cần thiết phải bảo vệ các hệ thống điều
khiển máy tính của các tiện ích và cơ sở hạ tầng quan
trọng khác.
• Chiến tranh thông tin và khả năng các hệ thống thông
tin cá nhân và doanh nghiệp có thể tổn hại nếu chúng
không được bảo vệ
• Kể từ năm 2000, Sarbanes-Oxley và các luật khác liên
quan đến quyền riêng tư và trách nhiệm của công ty đã
ảnh hưởng đến bảo mật máy tính
• Cuộc tấn công vào Trung tâm Thương mại Thế giới vào Cuộc tấn công này là sự đánh dấu về bảo mật phải nâng lên tầm
ngày 11 tháng 9 năm 2001 đã dẫn đến những thay đổi cao mới.
lớn về luật pháp liên quan đến bảo mật máy tính, đặc
biệt là để tạo điều kiện cho cơ quan thực thi pháp luật
có khả năng thu thập thông tin về khủng bố.

16

1.2. Định nghĩa an toàn thông tin

Ủy ban về các hệ thống an

ninh quốc gia (CNSS) định
nghĩa an toàn thông tin là
bảo vệ thông tin và các yếu
tố quan trọng của nó, bao
gồm các hệ thống và phần
cứng dùng để sử dụng, lưu
trữ và truyền tải thông tin

17

1.2. Định nghĩa an toàn thông tin

An toàn thông tin

bao gồm các lĩnh
vực quản lý an toàn
thông tin, bảo mật
dữ liệu và an ninh
mạng.

10 March 2021 18

18

6
 1.2. Định nghĩa an toàn thông tin
- Tính bảo mật: chỉ có những người có quyền mới truy cập.
C.I.A. triad: C
(confidentiality); I (integrity); A - Tính toàn vẹn: không qua sao chép, phá hủy, thông tin vẫn còn
(availability) – tam giác C.I.A : nguyên bản.
tiêu chuẩn công nghiệp về
bảo mật máy tính kể từ khi
phát triển máy tính lớn - Tính khả dụng: dễ dàng sử dụng, không bị cản trở và truy xuất
(mainframe) - Tiêu chuẩn dựa
thông tin đó ở định dạng bắt buộc.
trên ba đặc điểm mô tả ứng
dụng tiện ích của thông tin: (VD: kiểu chữ phổ thông, máy tính nào cũng đọc được, ko bị lỗi
tính bảo mật, tính toàn vẹn và font chữ).
tính khả dụng.

19

- Access: Quyền truy cập - Khả năng sử dụng, thao tác, sửa đổi hoặc ảnh hưởng
đến chủ thể, hoặc đối tượng khác của chủ thế hoặc đối tượng. (Quyền truy cập có
1.2. Định nghĩa an toàn thông tin thể là truy cập hợp pháp và truy cập không hợp pháp (hacker).
• Các khái niệm chính về An toàn thông tin
- Asset: Tài sản - các nguồn lực của doanh nghiệp đang được bảo vệ. Tài sản có
 Access: Quyền truy cập
hình thái hay phi vật chất. Tài sản thông tin là trọng tâm của an toàn thông tin.
 Asset: Tài sản (TS: dữ liệu, thông tin là TS phi vật chất. Máy tính là tài sản vật chất).
 Attack: Tấn công
 Control, safeguard, or countermeasure: Kiểm soát, - Attrack: Tấn công - 1 hành động cố ý hoặc vô ý có thể làm hỏng hoặc làm tổn
bảo vệ hoặc biện pháp đối phó hại đến thông tin và hệ thống hỗ trợ nó. Tấn công có thể là tấn công chủ động
hoặc tấn công bị động; tấn công trực tiếp hoặc tấn công gián tiếp.
 Exploit: Khai thác + Chủ động: hacker cố truy cập
+ Bị động: Nhân viên A vô tình đọc được mail do lỗi hệ thống.
+ Tấn công vô ý: 1 vụ sấm sét làm hệ thống hỏng.

- Control, safeguard, or countermeasure: Kiểm soát, bảo vệ hoặc biện pháp đối
phó: Các cơ chế, chính sách hoặc quy trình bảo mật có thể chống lại các cuộc tấn
công thành công, giảm thiếu rủi ro, giải quyết các lỗ hổng và cải thiện tính bảo
mật trong tổ chức.
20
- Exploit: Khai thác - một kỹ thuật được (hacker) sử dụng để xâm phạm hệ thống.

- Exposure: điểm yếu bảo mật -1 tình trạng hoặc trạng thái bị phơi nhiễm; trong
bảo mật thông tin, điểm yếu bảo mật tồn tại khi kẻ tấn ông biết được một lổ
1.2. Định nghĩa an toàn thông tin hổng.
• Các khái niệm chính về An toàn thông tin
- Loss: Thiệt hại - TS thông tin bị hư hỏng hoặc bị phá hủy, sửa đổi hoặc tiết lộ
 Exposure: điểm yếu bảo mật ngoài ý muốn hoặc trái phép hoặc bị từ chối sử dụng.
 Loss: thiệt hại (VD: Giá của một sản phẩm cạnh tranh của DN bị tung ra bên ngoài, bị đối thủ
 Protection profile or security posture: Hồ sơ bảo cạnh tranh phát hiện và bán với giá thấp hơn, làm DN bị thiệt hại lớn.
vệ hoặc thái độ bảo mật
- Protection profile or security posture: Hồ sơ bảo vệ hoặc thái độ bảo mật:
 Risk: rủi ro
Toàn bộ tập hợp các biện pháp kiểm soát và bảo vệ, bao gồm chính sách, giáo
 Subjects and objects of attack dục, đào tạo và nâng cao nhận thức và công nghệ, mà tổ chức thực hiện để bảo
vệ tài sản.

- Risk: Rủi ro - Sự tiềm tàng không mong muốn có thể xảy ra gây thiệt hại cho
DN.

- Subject and objects of attrack: Chủ thể tấn công và đối tượng bị tấn công.
(Máy tính có kết nối mạng nội bộ - đối tượng bị tấn công.
21 Hacker cố gắng chiếm quyền sử dụng máy tính, rồi từ đó tấn công các máy
khác - chủ thể tấn công.
Máy tính nhân viên trong đơn có thể vừa là đối tương, vừa là chủ thể tấn công).

7

1.2. Định nghĩa an toàn thông tin
• Các khái niệm chính về An toàn thông tin
 Threat: Nguy cơ hoặc đe dọa
 Threat agent: tác nhân đe dọa
 Threat event: Sự kiện đe dọa
 Threat source: Nguồn gốc đe dọa
 Vulnerability: Nhược điểm / điểm yếu tiềm ẩn
22
1.2. Định nghĩa an toàn thông tin
• Các đặc điểm quan trọng của thông tin
 Availability: Tính khả dụng
 Accuracy: Tính chính xác
 Authenticity: Tính xác thực
 Confidentiality: Tính bảo mật
 Integrity :Tính toàn vẹn
 Utility: Tiện ích
 Possession: Chiếm hữu
23
1.3. Bản chất an toàn thông tin
• Tính đa dạng, phức tạp, không có nguyên mẫu, luôn
linh hoạt, luôn sáng tạo trong lĩnh vực bảo mật, sự
cân bằng trong việc vận dụng kiến thức bảo mật, sự
tương tác bảo mật giữa các hệ thống con trong một
hệ thống lớn dẫn đến tính nghệ thật của an toàn
thông tin.
• Đặc tính của công nghệ và khoa học máy tính, tính
nghiêm túc và các nguyên tắc trong phương pháp
và kỹ thuật, sự tương tác giữa phần cứng và phần
mềm và tri thức về bảo mật cho thấy tính khoa học
của an toàn thông tin
• Sự tương tác của con người với hệ thống, hành vi
của người dùng tác động đến bảo mật, nhận thức về
rủi ro trong môi trường CNTT cho thấy an toàn
thông tin mang tính chất của khoa học xã hội
24
- Threat: Nguy cơ hoặc đe dọa - Bất kỳ sự kiện hoặc hoàn cảnh nào có khả
năng ảnh hưởng xấu đến hoạt động và TS của tổ chức.
- Threat agent: Tác nhân đe dọa - 1 trường hợp cụ thể hoặc 1 thành phần
của 1 mối đe dọa.
(VD: Threat - Gián điệp thông tin mạng. Threat agent - hacker HieuPC)
- Threat event: Sự kiện đe dọa - sự kiện xảy ra do tác nhân đe dọa gây ra.
(VD: Threat - Bão, lũ. Threat agent - Cơn bão số 7. Threat event - Thiệt hại
của cơn bảo số 7)
- Threat source: Nguồn gốc đe dọa - tập hợp các tác nhân đe dọa.
(VD: thiên tai)
- Vulnerability: Nhược điểm/ điểm yếu tiềm ẩn có sẵn trong hệ thống hoặc
trong các hệ thống phòng thủ. (điểm yếu mà các hacker có thể khai thác để
tấn công hệ thống)
- Availability: Tính khả dụng - Tính chất của thông tin cho phép người dùng
khi cần truy cập thông tin mà không bị can thiệp hoặc cản trở và truy xuất thông
tin đó ở định dạng bắt buộc.
- Accuracy: Tính chính xác - khi thông tin không có lỗi hoặc sai sót, có giá trị
mà người dùng mong đợi. Nếu thông tin chứa giá trị khác với mong đợi của
người dùng do chỉnh sửa nội dung, thì thông tin đó không còn chính xác.
- Authenticity: Tính xác thực - chất lượng hoặc trạng thái của thông tin gốc
hoặc nguyên bản, thay vì sao chép hoặc chế tạo. Thông tin xác thực khi nó là
thông tin được tạo, đặt, lưu trữ hoặc chuyển giao nguyên bản.
- Confidentiality: Tính bảo mật - chất lượng hoặc trạng thái thông tin ngăn
chặn việc tiết lộ hoặc lộ bí mật thông tin với các cá nhân hoặc hệ thông không
được phép. Tính bảo mật đảm bảo rằng chỉ những người dùng có quyền, đặc
quyền và nhu cầu truy cập thông tin mới có thể truy cập.
- Integrity: Tính toàn vẹn - chất lượng hoặc trạng thái của toàn bộ hoàn chỉnh
và không bị gián đoạn. Tính toàn vẹn của thông tin bị đe dọa khi thông tin bị lộ,
bị phá hủy hoặc do các hành vì khác làm gián đoạn trạng thái nguyên bản của
nó.
- Utility: Tiện ích - chất lượng hoặc trạng thái có giá trị cho 1 số mục đích hoặc
kết quả. Thông tin có giá trị khi nó phục vụ một mục đích cụ thể. Điều này có ý
nghĩa nếu thông tin có sẵn, nhưng không ở định dạng có ý nghĩa đối với người
dùng cuối, thì nó sẽ không hữu ích.
- Possession: Chiếm hữu - chất lượng hoặc trạng thái có quyền sở hữu hoặc
kiểm soát một số đối tượng hoặc vật phẩm. Thông tin được cho là thuộc quyền
sở hữu của 1 người nếu 1 người có được nó, không phụ thuộc vào định dạng
hoặc các đặc điểm khác. Mặc dù, vi phạm bảo mật luôn dẫn đến vi phạm quyền
sở hữu, vi phạm sở hữu không phải lúc nào cũng dẫn đến vi phạm bảo mật.
8
 1.3. Bản chất an toàn thông tin
Nghệ thuật: Sáng
tạo và linh hoạt
trong triển khai

Khoa học: Đặc tính Khoa học xã hội:

công nghệ và kỹ Hành vi và nhận
thuật thức của con người

25

Nội dung
1. Giới thiệu về an toàn thông tin

2. Mô hình an toàn thông tin

3. Triển khai an toàn thông tin

4. An toàn thông tin trong doanh nghiệp

10 March 2021 26

26

2. Mô hình an toàn thông tin

2.1 Mô hình an toàn CNSS

2.2 Các thành phần của hệ thống thông tin

2.3 Cân bằng giữa an toàn thông tin và

truy cập

10 March 2021 27

27

9
 2.1. Mô hình an toàn CNSS
• Committee on National Security Systems: Ủy ban Hệ
thống An ninh Quốc gia (Hoa kỳ):
https://www.cnss.gov/CNSS/issuances/Instructions.cfm
• Mô hình an toàn CNSS được John McCumber tạo ra
năm 1991, được gọi là khối lập phương McCumber,
bao gồm 27 khối tương ứng với các lĩnh vực an toàn
thông tin
• Trong quy trình bảo mật – an toàn hệ thống cần
đảm bảo mỗi khối được xác định và được giải quyết
một cách đúng đắn.

28

Đặc tính thông tin

Cách thức đạt mục tiêu
2.1. Mô hình an toàn CNSS
Tính bảo mật

Tính toàn vẹn chính sách Đào tạo con người công nghệ

Tính khả dụng hình thức

thông tin đang
Lưu trữ Xử lý chuyển giao tồn tại

29 VD: tệp hồ sơ, được lưu trữ trong cái tủ, phải mở bằng khóa vân tay. Mô tả này liên quan đến khía cạnh nào?
--> Lưu trữ, bảo mật, cách thức đạt được mục tiêu là công nghệ

Nhìn ở góc độ an toàn thông tin

2.2. Các thành phần của hệ thống thông tin
• HTTT có 6 thành phần: Con người, phần cứng,
phần mềm, mạng máy tính, các chính sách và
thủ tục, và dữ liệu
• Mỗi thành phần có điểm mạnh, điểm yếu, tính
chất và công dụng riêng
• Mỗi thành phần có các yêu cầu về an toàn và
bảo mật khác nhau
ATTT trong DN ko chỉ dừng lại ở vấn đề kỹ thuật công
nghệ, mà liên quan đến nhận thức con người.

30

10
 - Con người: Luôn là mối đe dọa đối với an toàn thông tin. Các chính sách, thủ
tục, việc đào tạo, nhận thức đạo dức và sử dụng công nghệ đúng đắn sẽ giúp hạn
chế điểm yếu này.

Nhìn ở góc độ an toàn thông tin - Phần cứng: Công nghệ vật lý giúp lưu trữ dữ liệu và phần mềm, cung cấp giao
diện để nhập liệu và truy xuất thông tin. Khi phần cứng có thể bị tiếp cận, hệ
2.2. Các thành phần của hệ thống thông tin thống có thể bị phá hủy hoặc thông tin bị đánh cắp.
• Con người (phụ thuộc phần lớn)
- Phần mềm: Hệ điều hành, chương trình, tiện ích khác. Do được lập trình nên
• Phần cứng phần mềm hàm chứa nhiều nguy cơ, từ lỗi lập trình cho đến sử dụng sai mục
• Phần mềm đích.
• Dữ liệu - Dữ liệu: Dữ liệu được HTTT lưu trữ, xử lý, truyền tải. Dữ liệu là tài sản quan
• Các chính sách và thủ tục trọng của DN và thường là mục tiêu tấn công. Đảm bảo an toàn dữ liệu cần được
thực hiện nghiêm túc và đầy đủ.
• Mạng máy tính
An toàn thông tin trong đơn vị ko đơn thuần là triển khai - Các chính sách và thủ tục: Các hướng dẫn bằng văn bản để hoàn thành một
nhiều công nghệ, mà liên quan đến con người (nhận thức nhiệm vụ cụ thể. Đào tạo, huấn luyện, giám sát quy trình, đánh giá định kỳ giúp
của nhân viên) đối với vấn đề an toàn. đảm bảo các thủ tục có thể hoàn thành vai trò của mình.

- Mạng máy tính: Các máy tính và hệ thống máy tính kết nối với nhau hình
thành nên mạng máy tính, giúp HTTT truyền dữ liệu và thông tin, hỗ trợ người
dùng thực hiện các tác vụ và ra quyết định. Mạng máy tính có nhiều nguy cơ, do
31 đó kiểm soát lưu lượng và kiểm soát truy cập là cần thiết.
(Nếu DN có sử dụng mạng nội bộ, thì khi 1 máy tính của nhân viên bị tấn công
thì toàn bộ máy tính của DN đều bị ảnh hưởng).

2.3. Cân bằng giữa an toàn thông tin

và truy cập
• Không thể có được an toàn thông tin tuyệt đối, hoàn
hảo
• An toàn thông tin là quá trình, không phải là mục
tiêu
• Hệ thống luôn sẵn sàng để truy cập sẽ dẫn đến
nguy cơ bị tấn công, ngược lại, nếu cô lập hệ thống
để đảm bảm an toàn cao thì không thể truy cập
được
• Cân bằng giữa an toàn và truy cập nhằm đảm bảo
sự hợp lý giữa khả năng truy cập và việc hạn chế rủi
ro – với một mức độ bảo mật phù hợp.
• An toàn thông tin và khả năng truy cập đều phục vụ
cho mục tiêu chung của doanh nghiệp, và do đó
phải hài hòa và cân xứng

32

Nội dung
1. Giới thiệu về an toàn thông tin

2. Mô hình an toàn thông tin

3. Triển khai an toàn thông tin

4. An toàn thông tin trong doanh nghiệp

10 March 2021 33

33

11
2 cách

3. Triển khai an toàn thông tin

3.1 Cách tiếp cận thực hiện an toàn thông tin Nên ưu tiên cách tiếp cận nào?

3.2 An toàn thông tin và Chu kỳ phát triển hệ

thống
Có 2 hình thức tiếp cận:
- Từ dưới lên trên
- Từ trên xuống dưới (thành công cao hơn)
Nhưng nếu được, thì nên kết hợp cả 2.

10 March 2021 34

34

3.1. Cách tiếp cận thực hiện an toàn thông tin

35

3.1. Cách tiếp cận thực hiện an toàn thông tin

• Tiếp cận từ dưới lên (bottom-up approach) Triển khai từ dưới lên trên: khó có sự đồng bộ (thiếu nhất
 Bắt đầu từ các hành vi từ cấp dưới nhằm cải thiện an quán) giữa các phòng ban, mà hoạt động riêng lẻ, thiếu sự
toàn hệ thống phản hồi, hạn chế quyền hạn thực thi.
 Dựa trên kỹ năng và kiến thức của quản trị viên hệ
thống Ưu điểm: phát hiện các lỗi mà các nhà quản lí cấp cao
 Gắn liền với hiểu biết chuyên sâu của quản trị viên không phát hiện ra.
hệ thống với hệ thống có liên quan
 Hiểu rõ đặc tính của hệ thống, hiểu rõ nguy cơ và
cách thức hạn chế nguy cơ
 Thiếu nhất quán, thiếu sự hỗ trợ của cấp trên, thiếu
sự hỗ trợ từ các hệ thống khác và hạn chế quyền
hạn thực thi
 Khả năng thành công thấp

36

12
3.1. Cách tiếp cận thực hiện an toàn thông tin Triển khai từ trên xuống dưới: đồng bộ hơn. Có thể triển
khai toàn bộ. Mức độ thành công cao.
• Tiếp cận từ trên xuống (top-down approach)
 Dự án an toàn thông tin được khởi xướng bởi các
nhà quản lý cấp trên, những người ban hành các
chính sách, thủ tục và quy trình; đề xuất các mục tiêu
và kết quả mong đợi; và xác định trách nhiệm cá
nhân cho mỗi hành động.
 Có sự hỗ trợ từ cấp trên và khai thác các nguồn lực
của doanh nghiệp, quy trình, kế hoạch rõ ràng và ảnh
hưởng toàn doanh nghiệp
 Cách tiếp cận này được thể hiện phổ biến thông qua
chiến lược phát triển hệ thống tiêu chuẩn – được gọi
là chu kỳ phát triển hệ thống
 Khả năng thành công cao

37

3.2. An toàn thông tin và chu kỳ phát triển HT

• Để triển khai an toàn thông tin vào hệ thống thông tin
của doanh nghiệp cần đảm bảo rằng an toàn thông tin
là một phần cơ bản trong chu kỳ phát triển hệ thống
• An toàn thông tin cần được quản trị như mọi hệ thống
thông tin trong doanh nghiệp
• Cách tiếp cận truyền thống để triển khai an toàn thông
tin có nhiều cách thức khác nhau như JAD (joint
application development – phát triển ứng dụng liên
kết); RAD (rapid application development - phát triển
ứng dụng nhanh); DevOps – phương pháp dựa trên sự
tích hợp nhu cầu của nhóm phát triển (development
team) và nhóm vận hành (operations team)

38

3.2. An toàn thông tin và chu kỳ phát triển HT

• Chu kỳ phát triển hệ thống SDLC (Systems Development
Life Cycle): SDLC là một phương pháp luận được áp
dụng trong phân tích, thiết kế, thực hiện và vận hành hệ
thống, bao gồm các cách thức tiếp cận chính thức để
giải quyết vấn đề dựa trên chuỗi các thủ tục có cấu trúc,
quy trình chặt chẽ, không bỏ sót các bước cho đến khi
đạt được mục tiêu cuối cùng.
• SDLC có nhiều cách thức thực hiện, bao gồm SDLC
truyền thống, tích hợp bảo hiểm phần mềm (Software Chu kỳ phát triển HT gắn với an toàn thông tin (Có nhiều cách):
Assurance) vào quá trình phát triển phần mềm của hệ
- Chu kỳ phát triển HT truyền thống: tích hợp bảo hiểm phần mềm vào quá
thống; áp dụng các nguyên tắc thiết kế phần mềm hoặc
phương pháp tiếp cận dựa trên các tiêu chuẩn NIST trình phát triển.
(Viện Tiêu chuẩn và Công nghệ Quốc gia - The National - Chu kỳ phát triền HT tiếp cập dựa trên tiêu chuẩn NIST.
Institute of Standards and Technology) trong bảo đảm
an toàn cho SDLC

39

13
 3.2. An toàn thông tin và chu kỳ phát triển
HT: SDLC truyền thống
Điều tra
Phân tích

Thiết kế luận lý
Thiết kế vật lý
Triển khai (thực hiện)

Bảo trì và thay đổi

40

3.2. An toàn thông tin và chu kỳ phát triển
HT: Bảo hiểm phần mềm
• Bảo hiểm phần mềm
• Rất nhiều vần đề liên quan bảo mật hệ thống có
nguyên nhân từ yếu tố phần mềm
• An toàn hệ thống yêu cầu phần mềm an toàn hoặc ít
nhất có khả năng an toàn
• Việc xác định sự cần thiết cho việc lập kế hoạch cho các
mục tiêu bảo mật trong SDLC và thiết lập thủ tục để
tạo ra phần mềm có khả năng triển khai an toàn được
gọi là bảo hiểm phần mềm
- Bảo hiểm phần mềm: 1 Phương pháp tiếp cận để phát triển phần mềm
nhằm thiết lập an toàn ngay trong chu lỳ phát triền hơn là giải quyết an
toàn đó ở các giai đoạn sau nhằm đặt được các phần mềm không có lổ
hổng bảo mật, cung cấp phần mềm hữu hiệu và hiệu quả cho người sử
dụng.
(*) Tại sao cần phải bảo hiểm phần mềm trong qua trình phát triền hệ
thống?
Có những cuộc tấn công thông qua những lổ hỗng của phần mềm, nên cần
phải bảo hiểm.
(VD: Ip12 bị lỗi, nó ra thông báo cho người dùng cập nhật hệ điều hành
mới để vá lỗi hiện tại).

41

3.2. An toàn thông tin và chu kỳ phát triển

HT: Bảo hiểm phần mềm
• Bộ Quốc phòng Hoa Kỳ đã khởi động Sáng kiến Bảo
hiểm Phần mềm vào năm 2003, dẫn đến việc xuất
bản Khối Kiến thức Chung (CBK) về Bảo hiểm Phần
mềm An toàn (SwA).
• Có hai khía cạnh cần xem xét:
 (1) Các hoạt động kỹ thuật hoặc các khía cạnh của các
hoạt động có liên quan đến việc đạt được phần mềm
an toàn là gì?
 (2) Những kiến thức cần thiết để thực hiện các hoạt
động hoặc khía cạnh này?

42

14
 3.2. An toàn thông tin và chu kỳ phát triển
HT: Nguyên tắc thiết kế phần mềm
• Phát triển phần mềm tốt sẽ tạo ra một sản phẩm
hoàn chỉnh đáp ứng tất cả các thông số kỹ thuật
thiết kế của nó. Các cân nhắc về An toàn thông tin
là một thành phần quan trọng của các thông số kỹ
thuật này.
• Các nguyên tắc thiết kế phần mềm an toàn phổ
biến: Tính kinh tế của cơ chế thiết kế; Mặc định
không an toàn; điều tiết hoàn chỉnh; Thiết kế mở;
Tách biệt đặc quyền; Đặc quyền ít nhất; Cơ chế
chung ít nhất; Khả năng chấp nhận tâm lý
Để luôn cập nhật và thay VD: Game flappy bird kiếm được rất
đổi cho phù hợp. nhiều tiền, nhưng nhiều người chơi bị
nghiện --> quyết định hủy bỏ game này
43

3.2. An toàn thông tin và chu kỳ phát triển

HT: Tiếp cận NIST trong an toàn SDLC
• Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) đã
điều chỉnh đơn giản hóa chu kỳ phát triển hệ thống
dựa trên 5 giai đoạn: (1) Khởi đầu; (2) Phát triển /
Mua sắm; (3) Thực hiện / Đánh giá; (4) Vận hành /
Bảo trì; và (5) Thanh lý Sự khác biệt giữa NIST với truyền thống.
• NIST khuyến cáo các tổ chức tích hợp các bước bảo
mật CNTT liên quan của SDLC vào quy trình phát
triển hệ thống, an toàn thông tin phải được thiết kế
trong một hệ thống ngay từ đầu chứ không phải
sau khi được thực hiện

44

3.2. An toàn thông tin và chu kỳ phát

triển HT: SDLC của MicroSoft

45

15
 Nội dung
1. Giới thiệu về an toàn thông tin

2. Mô hình an toàn thông tin

3. Triển khai an toàn thông tin

4. An toàn thông tin trong doanh nghiệp

10 March 2021 46

46

4. An toàn thông tin trong doanh nghiệp

4.1 Chuyên gia an toàn thông tin trong
doanh nghiệp

4.2 Các nhóm người dùng ảnh hưởng đến an

toàn thông tin trong doanh nghiệp (nhóm
lợi ích liên quan)

10 March 2021 47

47

4.1. Chuyên gia an toàn thông tin trong DN
• Giám đốc thông tin (chief information officer -
CIO)
• Giám đốc an toàn thông tin (chief information
security officer - CISO)
• Đội dự án an toàn thông tin (Information
Security Project Team
• Người chịu trách nhiệm về dữ liệu bao gồm
- Giám đốc thông tin (chief information officer - CIO): Một vị trí ở cấp điều
hành; giám sát công nghệ máy tính của DN và có trách nhiệm trong việc tạo ra
hiệu quả trong xử lý và truy cập thông tin của DN; tư vấn hoạch định chiến
lược CNTT cho Giám đốc điều hành và triển khai chiến lược của DN liên quan
đến CNTT. (Chịu trách nhiệm toàn bộ về an toàn và bảo mật đối với hệ
thống)
- Giám đốc an toàn thông tin (chief information security officer - CISO):
CISO thường không phải là một vị trí cấp điều hành, báo cáo cho CIO chịu
trách nhiệm chính trong vẫn đề an toàn và bảo mật HTTT, về việc đánh giá,
quản lý và thực hiện ATTT. (Chịu trách nhiệm trực tiếp báo cáo cho Giám
đốc thông tin về vấn đề ATTT của đơn vị)

48

16
 4.2. Các nhóm người dùng ảnh hưởng đến
an toàn thông tin trong doanh nghiệp
• Trong doanh nghiệp, có nhiều nhóm người dùng
ảnh hưởng đến an toàn thông tin. Mỗi nhóm có vai
trò và trách nhiệm khác nhau cũng như các mối
quan tâm khác nhau đối với an toàn thông tin. Mỗi
thành viên trong mỗi nhóm được liên kết với nhau
thông qua các giá trị tương đồng với nhau và cũng
chia sẽ các mục tiêu chúng.
• Thông thường trong doanh nghiệp có ba nhóm an
toàn thông tin: nhóm quản lý chung, nhóm quản lý
CNTT và nhóm quản lý an toàn thông tin
- Nhóm quản lý chung: Bao gồm toàn bộ người sử dụng hệ thống CNTT (theo
góc nhìn của nhóm quản lý CNTT) và cũng là đối tượng bảo mật theo góc nhìn
của nhóm quản lý ANTT.
- Nhóm quản lý CNTT: bao gồm các chuyên gia CNTT và các quản lý CNTT,
hỗ trợ cho việc vận hành hệ thống CNTT trong DN.
- Nhóm quản lý ATTT: Bao gồm các chuyên gia an toàn và bảo mật, tập trung
cho mục tiêu đảm bảo an toàn và bảo vệ thông tin, dữ liệu, hệ thống của DN
khỏi các cuộc tấn công. (Ảnh hướng lớn đến vấn đề ATTT của đơn vị)

49

Nội dung
1. Giới thiệu về an toàn thông tin

2. Mô hình an toàn thông tin

3. Triển khai an toàn thông tin

4. An toàn thông tin trong doanh nghiệp

10 March 2021 50

50

Bài tập
1. Assume that a security model is needed for the
protection of information in your class. Using the
CNSS model, examine each of the cells and write a
brief statement on how you would address the three
components of each cell.
2. Using the Web, find out more about Kevin Mitnick
(or HieuPC). What did he do? Who caught him?
Write a short summary of his activities and explain
why he is infamous.

51

17