Professional Documents
Culture Documents
AISe C01
AISe C01
CHƯƠNG 1
TỔNG QUAN VỀ AN TOÀN THÔNG TIN KẾ TOÁN
1
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
Tình huống
Một ngày làm việc bình thường, cô Maggie Q. – nhân viên kế toán nhận được email
của trưởng phòng Kế toán, với nội dung yêu cầu cô Q. mở file văn bản đính kèm để
làm báo cáo nhanh về tình hình công nợ. Sau khi mở email, cô Q. không đọc được nội
dung, máy tính tự khởi động và sau đó, toàn bộ dữ liệu bị mã hóa. Trong 15 phút sau,
màn hình máy tính của tất cả nhân viên công ty đều hiện lên thông báo dữ liệu bị mã
hóa, yêu cầu công ty phải trả tiền chuộc hoặc toàn bộ dữ liệu sẽ bị xóa sạch sau 24
giờ.
• Điều gì đã xảy ra?
• Sự cố diễn ra như thế nào?
• Làm sao để ngăn chặn? 2
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
1
02-Jan-23
• Hiểu biết về lịch sử an toàn máy tính và giải thích sự phát triển an toàn
thông tin.
• Định nghĩa các thuật ngữ chủ yếu và các khái niệm quan trọng về an
toàn thông tin
• Mô tả vai trò của các chuyên gia đối với an toàn thông tin trong DN
3
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
Nội dung
1. Giới thiệu về an toàn thông tin
1.1. Lịch sử an toàn thông tin
1.2. Định nghĩa an toàn thông tin
1.3. Bản chất An toàn thông tin: Khoa học hay Nghệ thuật?
2. Mô hình an toàn thông tin
2.1. Mô hình an toàn CNSS
2.2. Các thành phần của hệ thống thông tin
2.3. Cân bằng giữa an toàn thông tin và truy cập
3. Triển khai an toàn thông tin
4. An toàn thông tin trong doanh nghiệp
4.1. Chuyên gia an toàn thông tin trong doanh nghiệp
4.2. Các nhóm người dùng ảnh hưởng đến an toàn thông tin trong DN
4
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
2
02-Jan-23
Thuật ngữ
Accuracy Độ chính xác thuộc tính thông tin mô tả cách dữ liệu không có lỗi và có giá trị mà người dùng mong đợi
thuộc tính của thông tin mô tả cách dữ liệu được xác thực hoặc là nguyên bản thay vì sao chép hoặc
Authenticity Tính xác thực
bịa đặt
một thuộc tính của thông tin mô tả cách dữ liệu có thể truy cập và được định dạng chính xác để sử
Availability: Tính khả dụng
dụng mà không bị can thiệp hoặc cản trở
Bottom-up Cách tiếp cận từ dưới một phương pháp thiết lập các chính sách bảo mật bắt đầu từ một nỗ lực cấp thấp hơn trong đó quản
approach lên trị viên hệ thống cố gắng cải thiện tính bảo mật của hệ thống của họ
C.I.A. triad: C
(confidentiality); I ba tiêu chuẩn C.I.A / tiêu chuẩn công nghiệp về bảo mật máy tính kể từ khi phát triển máy tính lớn (mainframe) - Tiêu chuẩn
(integrity); A tam giác C.I.A dựa trên ba đặc điểm mô tả ứng dụng tiện ích của thông tin: tính bảo mật, tính toàn vẹn và tính sẵn có
(availability)
Chief information Giám đốc Công nghệ Vị trí cấp điều hành chịu trách nhiệm quản lý và giám sát các vấn đề về công nghệ thông tin trong đơn
officer (CIO) thông tin vị, đảm bảo tính hữu hiệu và hiệu quả trong việc xử lý và cung cấp thông tin
Chief information
Giám đốc an toàn Người đứng đầu nhóm nhân viên chịu trách nhiệm an toàn thông tin và báo cáo cho Giám đốc công
security officer
thông tin nghệ thông tin
(CISO)
Communications
Bảo mật truyền thông bảo vệ cho tất cả thiết bị, phương tiện truyền thông, công nghệ và nội dung số trong đơn vị
security
Community of một nhóm người có cũng mối quan tâm, lợi ích, lợi nhuận trong đơn vị và chi sẻ cũng mục tiêu nhằm
Nhóm lợi ích liên quan
interest giúp đơn vị đạt được mục tiêu. 5
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
Thuật ngữ
trong gian đoạn sơ khai của máy tính, an toàn máy tính mô tả các chi tiết liên quan đến yêu
Computer security An toàn máy tính cầu đảm bảo an toàn trước những nguy cơ bên ngoài. Hiện nay, thuật ngữ này được tiến
hóa thành an toàn thông tin nói chung
một thuộc tính của thông tin mô tả cách dữ liệu được bảo vệ khỏi tiết lộ hoặc tiếp xúc với
Confidentiality Tính bảo mật
các cá nhân hoặc hệ thống trái phép
Người quản lý dữ
Data custodians những người chịu trách nhiệm lưu trữ, duy trì và bảo vệ thông tin
liệu
các cá nhân kiểm soát và do đó chịu trách nhiệm về bảo mật và sử dụng một tập hợp thông
tin cụ thể; chủ sở hữu dữ liệu có thể dựa vào người giám sát về các khía cạnh thực tế của
Data owners Chủ sở hữu dữ liệu
việc bảo vệ thông tin của họ, chỉ định người dùng nào được phép truy cập thông tin đó,
nhưng họ phải chịu trách nhiệm cuối cùng về điều đó
những người làm việc với thông tin để thực hiện công việc hàng ngày của họ và hỗ trợ sứ
Data users Người dùng dữ liệu
mệnh của tổ chức
Bảo vệ tính bảo mật, toàn vẹn, khả dụng của tài sản thông tin ở bất cứ nơi lưu trữ nào, hoặc
Information security An toàn thông tin trong quá trình truyền tải - thông qua việc áp dụng các chính sách, quá trình đào tạo, huấn
luyện, nâng cao nhận thức cũng như sử dụng công nghệ
Tập hợp phần cứng, phần mềm, con người, các thủ tục, mạng máy tính nhằm sử dụng các
Information system (IS) Hệ thống thông tin
nguồn lực công ngệ thông tin trong đơn vị
6
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
3
02-Jan-23
Thuật ngữ
Thuộc tính của thông tin mô tả dữ liệu và thông tin ở mức độ toàn bộ,
Integrity Tính toàn vẹn
hoàn chỉnh và không gián đoạn
Khối lập Hình ảnh minh họa theo hình khối lập phương, là cách tiếp cận phổ biến
McCumber Cube phương trong an toàn thông tin, mô tả các chiều theo các lĩnh vực liên quan an
McCumber toàn thông tin
Một phân nhánh của bảo mật truyền thông (communications security) –
Network security An toàn mạng
nhằm bảo vệ các thành phần, nội dung của mạng mát tính
Personally
Thông tin định
identifiable Tập hợp các thông tin có thể nhận dạng một cá nhân duy nhất
danh cá nhân
information (PII)
Bảo vệ các tài sản vật lý khỏi bị lạm dụng, sử dụng sai mục đích hoặc
Physical security An toàn vật lý
truy cập trái phép
thuộc tính thông tin mô tả cách thức quyền sở hữu hoặc kiểm soát dữ
Possession Chiếm hữu
liệu là hợp pháp hoặc được ủy quyền
7
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
Thuật ngữ
một nhóm chức năng nhỏ gồm những người có kinh nghiệm trong một hoặc nhiều
Project team Đội dự án
khía cạnh của các lĩnh vực kỹ thuật và kỹ thuật cần thiết cho dự án mà họ được giao.
An toàn / an ninh / trạng thái an toàn và không bị nguy hiểm hoặc tổn hại. Ngoài ra, các hành động
Security
bảo mật được thực hiện để đảm bảo an toàn cho ai đó hoặc thứ gì đó
một cách tiếp cận theo phương pháp luận để phát triển phần mềm nhằm xây dựng
Bảo hiểm phần
Software assurance bảo mật vào vòng đời phát triển hơn là giải quyết vấn đề đó ở các giai đoạn sau. SA
mềm / đảm bảo
(SA) cố gắng cố ý tạo ra phần mềm không có lỗ hổng và cung cấp phần mềm hiệu quả,
phần mềm
hiệu quả mà người dùng có thể tự tin triển khai
4
02-Jan-23
Thuật ngữ
• https://en.wikipedia.org/wiki/Vulnerability_(computing)
• https://csrc.nist.gov/glossary/term/vulnerability
9
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
10
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
10
5
02-Jan-23
Giới thiệu
11
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
11
12
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
12
6
02-Jan-23
Mốc thời gian quan trọng trong lịch sử an toàn thông tin
(1 of 3)
Date Document
1973 Schell, Downey, and Popek examine the need for additional security in military systems in Preliminary
Notes on the Design of Secure Military Computer Systems.
1975 The Federal Information Processing Standards (FIPS) examines DES (Digital Encryption Standard) in the
Federal Register.
1978 Bisbey and Hollingworth publish their study “Protection Analysis: Final Report," which discussed the
Protection Analysis project created by ARPA to better understand the vulnerabilities of operating
system security and examine the possibility of automated vulnerability detection techniques in existing
system software.
13
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
13
Mốc thời gian quan trọng trong lịch sử an toàn thông tin
(2 of 3)
Date Document
1979 Morris and Thompson author “Password Security: A Case History," published in the
Communications of the Association for Computing Machinery (ACM). The paper examined
the design history of a password security scheme on a remotely accessed, time-sharing
system.
Dennis Ritchie publishes “On the Security of UNIX" and "Protection of Data File
Contents," which discussed secure user IDs, secure group IDs, and the problems inherent
in the systems.
1982 The U.S. Department of Defense Computer Security Evaluation Center publishes the first
version of the Trusted Computer Security (TCSEC) documents, which came to be known
as the Rainbow Series.
14
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
14
7
02-Jan-23
Mốc thời gian quan trọng trong lịch sử an toàn thông tin
(3 of 3)
Date Document
1984 Grampp and Morris write “The UNIX System: UNIX Operating System Security." In this
report, the authors examined four "important handles to computer security": physical
control of premises and computer facilities, management commitment to security
objectives, education of employees, and administrative procedures aimed at increased
security.
Reeds and Weinberger publish “File Security and the UNIX System Crypt Command." Their
premise was: “No technique can be secure against wiretapping or its equivalent on the
computer. Therefore, no technique can be secure against the system administrator or other
privileged users . . . the naive user has no chance.“
1992 Researchers for the Internet Engineering Task Force, working at the Naval Research
Laboratory, develop the Simple Internet Protocol Plus (SIPP) Security protocols, creating
what is now known as IPSEC security.
15
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
15
16
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
16
8
02-Jan-23
17
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
17
18
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
18
9
02-Jan-23
• MULTICS: hệ thống được gọi là Dịch vụ Máy tính và Thông tin Đa kênh
(Multiplexed Information and Computing Service) là hệ điều hành đầu
tiên tích hợp bảo mật vào các chức năng cốt lõi của nó.
• MULTICS là một hệ điều hành máy tính lớn (mainframe computer) được
phát triển vào giữa những năm 1960 bởi một tập đoàn gồm General
Electric (GE), Bell Labs và Viện Công nghệ Massachusetts (MIT).
• UNIX: giữa năm 1969, khi tái cấu trúc dự án MULTICS, một số nhà phát
triển trong dự án MULTICS đã tạo ra một hệ điều hành mới gọi là UNIX.
19
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
19
20
10
02-Jan-23
21
• Internet đưa hàng triệu mạng máy tính không an toàn và hàng tỷ hệ
thống máy tính vào giao tiếp liên tục với nhau.
• Tính bảo mật của thông tin được lưu trữ của mỗi máy tính phụ thuộc
vào mức độ bảo mật của mọi máy tính trong mạng máy tính đó.
• Trong những năm gần đây, nhận thức về nhu cầu nâng cao an toàn
thông tin ngày càng tăng, cũng như nhận thức rằng an toàn thông tin
là quan trọng đối với quốc phòng.
22
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
22
11
02-Jan-23
23
24
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
24
12
02-Jan-23
Ủy ban về các hệ thống an ninh quốc gia (CNSS) định nghĩa: an toàn
thông tin là bảo vệ thông tin và các yếu tố quan trọng của nó, bao
gồm các hệ thống và phần cứng dùng để sử dụng, lưu trữ và truyền
tải thông tin.
25
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
25
26
13
02-Jan-23
27
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
27
28
14
02-Jan-23
29
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
29
30
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
30
15
02-Jan-23
31
32
16
02-Jan-23
đặc điểm Tính xác thực soát một số đối tượng hoặc vật phẩm
thông tin và 4 Confidentiality: D Tính chất của thông tin cho phép người dùng khi cần
định nghĩa
Tính bảo mật truy cập thông tin mà không bị can thiệp hoặc cản trở
và truy xuất thông tin đó ở định dạng bắt buộc
tương ứng
5 Integrity: E Chất lượng hoặc trạng thái của toàn bộ, hoàn chỉnh và
Tính toàn vẹn không bị gián đoạn
6 Utility: Tiện ích F Khi thông tin không có lỗi hoặc sai sót, có giá trị mà
người dùng mong đợi.
7 Possession: Chiếm hữu G Chất lượng hoặc trạng thái của thông tin gốc hoặc
nguyên bản, thay vì sao chép hoặc chế tạo
33
34
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
34
17
02-Jan-23
35
Nội dung
1. Giới thiệu về an toàn thông tin
1.1. Lịch sử an toàn thông tin
1.2. Định nghĩa an toàn thông tin
1.3. Bản chất An toàn thông tin: Khoa học hay Nghệ thuật?
2. Mô hình an toàn thông tin
2.1. Mô hình an toàn CNSS
2.2. Các thành phần của hệ thống thông tin
2.3. Cân bằng giữa an toàn thông tin và truy cập
3. Triển khai an toàn thông tin
3.1. Cách tiếp cận thực hiện an toàn thông tin
3.2. An toàn thông tin và chu kỳ phát triển hệ thống
4. An toàn thông tin trong doanh nghiệp
4.1. Chuyên gia an toàn thông tin trong doanh nghiệp
4.2. Các nhóm người dùng ảnh hưởng đến an toàn thông tin trong DN
36
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
36
18
02-Jan-23
37
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
37
38
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
38
19
02-Jan-23
39
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
39
40
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
40
20
02-Jan-23
41
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
41
• HTTT có 6 thành phần: Con người, phần cứng, phần mềm, mạng máy
tính, các chính sách và thủ tục, và dữ liệu
• Mỗi thành phần có điểm mạnh, điểm yếu, tính chất và công dụng riêng
• Mỗi thành phần có các yêu cầu về an toàn và bảo mật khác nhau
42
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
42
21
02-Jan-23
43
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
43
44
22
02-Jan-23
45
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
45
46
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
46
23
02-Jan-23
Nội dung
1. Giới thiệu về an toàn thông tin
1.1. Lịch sử an toàn thông tin
1.2. Định nghĩa an toàn thông tin
1.3. Bản chất An toàn thông tin: Khoa học hay Nghệ thuật?
2. Mô hình an toàn thông tin
2.1. Mô hình an toàn CNSS
2.2. Các thành phần của hệ thống thông tin
2.3. Cân bằng giữa an toàn thông tin và truy cập
3. Triển khai an toàn thông tin
3.1. Cách tiếp cận thực hiện an toàn thông tin
3.2. An toàn thông tin và chu kỳ phát triển hệ thống
4. An toàn thông tin trong doanh nghiệp
4.1. Chuyên gia an toàn thông tin trong doanh nghiệp
4.2. Các nhóm người dùng ảnh hưởng đến an toàn thông tin trong DN
47
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
47
48
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
48
24
02-Jan-23
• Dựa trên kỹ năng và kiến thức của quản trị viên hệ thống
• Gắn liền với hiểu biết chuyên sâu của quản trị viên hệ thống với hệ thống có liên
quan
• Hiểu rõ đặc tính của hệ thống, hiểu rõ nguy cơ và cách thức hạn chế nguy cơ
• Thiếu nhất quán, thiếu sự hỗ trợ của cấp trên, thiếu sự hỗ trợ từ các hệ thống
khác và hạn chế quyền hạn thực thi
49
• Có sự hỗ trợ từ cấp trên và khai thác các nguồn lực của doanh nghiệp, quy trình,
kế hoạch rõ ràng và ảnh hưởng toàn doanh nghiệp
• Cách tiếp cận này được thể hiện phổ biến thông qua chiến lược phát triển hệ
thống tiêu chuẩn – được gọi là chu kỳ phát triển hệ thống
50
25
02-Jan-23
Nội dung
1. Giới thiệu về an toàn thông tin
1.1. Lịch sử an toàn thông tin
1.2. Định nghĩa an toàn thông tin
1.3. Bản chất An toàn thông tin: Khoa học hay Nghệ thuật?
2. Mô hình an toàn thông tin
2.1. Mô hình an toàn CNSS
2.2. Các thành phần của hệ thống thông tin
2.3. Cân bằng giữa an toàn thông tin và truy cập
3. Triển khai an toàn thông tin
3.1. Cách tiếp cận thực hiện an toàn thông tin
3.2. An toàn thông tin và chu kỳ phát triển hệ thống
4. An toàn thông tin trong doanh nghiệp
4.1. Chuyên gia an toàn thông tin trong doanh nghiệp
4.2. Các nhóm người dùng ảnh hưởng đến an toàn thông tin trong DN
51
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
51
4.2. Các nhóm người dùng ảnh hưởng đến an toàn thông tin
trong doanh nghiệp (nhóm lợi ích liên quan)
52
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
52
26
02-Jan-23
53
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
53
• Người chịu trách nhiệm về dữ liệu bao gồm: Người sở hữu dữ liệu,
người bảo quản dữ liệu và người sử dụng dữ liệu
54
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
54
27
02-Jan-23
55
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
55
56
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
56
28
02-Jan-23
57
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
57
29