AISe C01

02-Jan-23
CHƯƠNG 1
TỔNG QUAN VỀ AN TOÀN THÔNG TIN KẾ TOÁN
1
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
Tình huống
Một ngày làm việc bình thường, cô Maggie Q. – nhân viên kế toán nhận được email
của trưởng phòng Kế toán, với nội dung yêu cầu cô Q. mở file văn bản đính kèm để
làm báo cáo nhanh về tình hình công nợ. Sau khi mở email, cô Q. không đọc được nội
dung, máy tính tự khởi động và sau đó, toàn bộ dữ liệu bị mã hóa. Trong 15 phút sau,
màn hình máy tính của tất cả nhân viên công ty đều hiện lên thông báo dữ liệu bị mã
hóa, yêu cầu công ty phải trả tiền chuộc hoặc toàn bộ dữ liệu sẽ bị xóa sạch sau 24
giờ.
• Điều gì đã xảy ra?
• Sự cố diễn ra như thế nào?
• Làm sao để ngăn chặn? 2
1
02-Jan-23
Mục tiêu chương
• Định nghĩa an toàn thông tin
• Hiểu biết về lịch sử an toàn máy tính và giải thích sự phát triển an toàn
thông tin.
• Định nghĩa các thuật ngữ chủ yếu và các khái niệm quan trọng về an
toàn thông tin
• Mô tả vai trò của các chuyên gia đối với an toàn thông tin trong DN
3
Nội dung
1. Giới thiệu về an toàn thông tin
1.1. Lịch sử an toàn thông tin
1.2. Định nghĩa an toàn thông tin
1.3. Bản chất An toàn thông tin: Khoa học hay Nghệ thuật?
2. Mô hình an toàn thông tin
2.1. Mô hình an toàn CNSS
2.2. Các thành phần của hệ thống thông tin
2.3. Cân bằng giữa an toàn thông tin và truy cập
3. Triển khai an toàn thông tin
4. An toàn thông tin trong doanh nghiệp
4.1. Chuyên gia an toàn thông tin trong doanh nghiệp
4.2. Các nhóm người dùng ảnh hưởng đến an toàn thông tin trong DN
4
2
02-Jan-23
Thuật ngữ
Accuracy Độ chính xác thuộc tính thông tin mô tả cách dữ liệu không có lỗi và có giá trị mà người dùng mong đợi
thuộc tính của thông tin mô tả cách dữ liệu được xác thực hoặc là nguyên bản thay vì sao chép hoặc
Authenticity Tính xác thực
bịa đặt
một thuộc tính của thông tin mô tả cách dữ liệu có thể truy cập và được định dạng chính xác để sử
Availability: Tính khả dụng
dụng mà không bị can thiệp hoặc cản trở
Bottom-up Cách tiếp cận từ dưới một phương pháp thiết lập các chính sách bảo mật bắt đầu từ một nỗ lực cấp thấp hơn trong đó quản
approach lên trị viên hệ thống cố gắng cải thiện tính bảo mật của hệ thống của họ
C.I.A. triad: C
(confidentiality); I ba tiêu chuẩn C.I.A / tiêu chuẩn công nghiệp về bảo mật máy tính kể từ khi phát triển máy tính lớn (mainframe) - Tiêu chuẩn
(integrity); A tam giác C.I.A dựa trên ba đặc điểm mô tả ứng dụng tiện ích của thông tin: tính bảo mật, tính toàn vẹn và tính sẵn có
(availability)
Chief information Giám đốc Công nghệ Vị trí cấp điều hành chịu trách nhiệm quản lý và giám sát các vấn đề về công nghệ thông tin trong đơn
officer (CIO) thông tin vị, đảm bảo tính hữu hiệu và hiệu quả trong việc xử lý và cung cấp thông tin
Chief information
Giám đốc an toàn Người đứng đầu nhóm nhân viên chịu trách nhiệm an toàn thông tin và báo cáo cho Giám đốc công
security officer
thông tin nghệ thông tin
(CISO)
Communications
Bảo mật truyền thông bảo vệ cho tất cả thiết bị, phương tiện truyền thông, công nghệ và nội dung số trong đơn vị
security
Community of một nhóm người có cũng mối quan tâm, lợi ích, lợi nhuận trong đơn vị và chi sẻ cũng mục tiêu nhằm
Nhóm lợi ích liên quan
interest giúp đơn vị đạt được mục tiêu. 5
Thuật ngữ
trong gian đoạn sơ khai của máy tính, an toàn máy tính mô tả các chi tiết liên quan đến yêu
Computer security An toàn máy tính cầu đảm bảo an toàn trước những nguy cơ bên ngoài. Hiện nay, thuật ngữ này được tiến
hóa thành an toàn thông tin nói chung
một thuộc tính của thông tin mô tả cách dữ liệu được bảo vệ khỏi tiết lộ hoặc tiếp xúc với
Confidentiality Tính bảo mật
các cá nhân hoặc hệ thống trái phép
Người quản lý dữ
Data custodians những người chịu trách nhiệm lưu trữ, duy trì và bảo vệ thông tin
liệu
các cá nhân kiểm soát và do đó chịu trách nhiệm về bảo mật và sử dụng một tập hợp thông
tin cụ thể; chủ sở hữu dữ liệu có thể dựa vào người giám sát về các khía cạnh thực tế của
Data owners Chủ sở hữu dữ liệu
việc bảo vệ thông tin của họ, chỉ định người dùng nào được phép truy cập thông tin đó,
nhưng họ phải chịu trách nhiệm cuối cùng về điều đó
những người làm việc với thông tin để thực hiện công việc hàng ngày của họ và hỗ trợ sứ
Data users Người dùng dữ liệu
mệnh của tổ chức
Bảo vệ tính bảo mật, toàn vẹn, khả dụng của tài sản thông tin ở bất cứ nơi lưu trữ nào, hoặc
Information security An toàn thông tin trong quá trình truyền tải - thông qua việc áp dụng các chính sách, quá trình đào tạo, huấn
luyện, nâng cao nhận thức cũng như sử dụng công nghệ
Tập hợp phần cứng, phần mềm, con người, các thủ tục, mạng máy tính nhằm sử dụng các
Information system (IS) Hệ thống thông tin
nguồn lực công ngệ thông tin trong đơn vị
6
3
02-Jan-23
Thuật ngữ
Thuộc tính của thông tin mô tả dữ liệu và thông tin ở mức độ toàn bộ,
Integrity Tính toàn vẹn
hoàn chỉnh và không gián đoạn
Khối lập Hình ảnh minh họa theo hình khối lập phương, là cách tiếp cận phổ biến
McCumber Cube phương trong an toàn thông tin, mô tả các chiều theo các lĩnh vực liên quan an
McCumber toàn thông tin
Một phân nhánh của bảo mật truyền thông (communications security) –
Network security An toàn mạng
nhằm bảo vệ các thành phần, nội dung của mạng mát tính
Personally
Thông tin định
identifiable Tập hợp các thông tin có thể nhận dạng một cá nhân duy nhất
danh cá nhân
information (PII)
Bảo vệ các tài sản vật lý khỏi bị lạm dụng, sử dụng sai mục đích hoặc
Physical security An toàn vật lý
truy cập trái phép
thuộc tính thông tin mô tả cách thức quyền sở hữu hoặc kiểm soát dữ
Possession Chiếm hữu
liệu là hợp pháp hoặc được ủy quyền
7
Thuật ngữ
một nhóm chức năng nhỏ gồm những người có kinh nghiệm trong một hoặc nhiều
Project team Đội dự án
khía cạnh của các lĩnh vực kỹ thuật và kỹ thuật cần thiết cho dự án mà họ được giao.
An toàn / an ninh / trạng thái an toàn và không bị nguy hiểm hoặc tổn hại. Ngoài ra, các hành động
Security
bảo mật được thực hiện để đảm bảo an toàn cho ai đó hoặc thứ gì đó
một cách tiếp cận theo phương pháp luận để phát triển phần mềm nhằm xây dựng
Bảo hiểm phần
Software assurance bảo mật vào vòng đời phát triển hơn là giải quyết vấn đề đó ở các giai đoạn sau. SA
mềm / đảm bảo
(SA) cố gắng cố ý tạo ra phần mềm không có lỗ hổng và cung cấp phần mềm hiệu quả,
phần mềm
hiệu quả mà người dùng có thể tự tin triển khai
Systems development Chu kỳ phát triển

một phương pháp luận để thiết kế và triển khai hệ thống thông tin
life cycle (SDLC) hệ thống
Tiếp cận từ trên
Top-down approach một phương pháp thiết lập các chính sách bảo mật do quản lý cấp trên khởi xướng
xuống
một thuộc tính của thông tin mô tả cách dữ liệu có giá trị hoặc tính hữu ích cho mục
Utility Tính tiện ích
đích cuối cùng
một loại SDLC trong đó mỗi giai đoạn của quy trình “chảy từ” thông tin thu được từ
Waterfall model Mô hình thác đổ giai đoạn trước, với nhiều cơ hội để quay lại các giai đoạn trước đó và thực hiện các
điều chỉnh
8
4
02-Jan-23
Thuật ngữ
• https://en.wikipedia.org/wiki/Vulnerability_(computing)
• https://csrc.nist.gov/glossary/term/vulnerability
9

10
10
5
02-Jan-23
Giới thiệu
Tất cả các đơn vị Các đơn vị chịu

Nếu bạn không phải
công hay tư, không trách nhiệm bảo vệ Lực lượng chuyên
là một phần của giải
phân biệt quy mô, thông tin của họ với gia an toàn và bảo
pháp, bạn là một
luôn có những thông tất cả các bên liên mật luôn thiếu hụt.
phần của vấn đề.
tin cần được bảo vệ quan.
11
11
Lịch sử an toàn thông tin

• An toàn máy tính khởi xướng ngay sau khi máy tính lớn đều tiên được phát
triển.
• Máy tính hiện đại đầu tiên được sáng tạo bởi các nhóm phá mã trong
chiến tranh thế giới thứ 2
• Các thiết bị này được bảo vệ với nhiểu cấp độ bảo mật khác nhau.
• Trong những năm đầu tiên này, an toàn thông tin là một quy trình đơn
giản, chủ yếu là an toàn vật lý và các lược đồ phân loại tài liệu đơn giản.
• Nguy cơ chính đối với an toàn là trộm cắp thiết bị, gián điệp, và phá hoại.
12
12
6
02-Jan-23
Mốc thời gian quan trọng trong lịch sử an toàn thông tin
(1 of 3)
Date Document
1968 Maurice Wilkes discusses password security in Time-Sharing Computer Systems.

1970 Willis H. Ware authors the report "Security Controls for Computer Systems: Report of Defense Science
Board Task Force on Computer Security-RAND Report R-609," which was not declassified until 1979. It
became known as the seminal work identifying the need for computer security.
1973 Schell, Downey, and Popek examine the need for additional security in military systems in Preliminary
Notes on the Design of Secure Military Computer Systems.
1975 The Federal Information Processing Standards (FIPS) examines DES (Digital Encryption Standard) in the
Federal Register.
1978 Bisbey and Hollingworth publish their study “Protection Analysis: Final Report," which discussed the
Protection Analysis project created by ARPA to better understand the vulnerabilities of operating
system security and examine the possibility of automated vulnerability detection techniques in existing
system software.
13
13
(2 of 3)
Date Document
1979 Morris and Thompson author “Password Security: A Case History," published in the
Communications of the Association for Computing Machinery (ACM). The paper examined
the design history of a password security scheme on a remotely accessed, time-sharing
system.
Dennis Ritchie publishes “On the Security of UNIX" and "Protection of Data File
Contents," which discussed secure user IDs, secure group IDs, and the problems inherent
in the systems.
1982 The U.S. Department of Defense Computer Security Evaluation Center publishes the first
version of the Trusted Computer Security (TCSEC) documents, which came to be known
as the Rainbow Series.
14
14
7
02-Jan-23
(3 of 3)
Date Document
1984 Grampp and Morris write “The UNIX System: UNIX Operating System Security." In this
report, the authors examined four "important handles to computer security": physical
control of premises and computer facilities, management commitment to security
objectives, education of employees, and administrative procedures aimed at increased
security.
Reeds and Weinberger publish “File Security and the UNIX System Crypt Command." Their
premise was: “No technique can be secure against wiretapping or its equivalent on the
computer. Therefore, no technique can be secure against the system administrator or other
privileged users . . . the naive user has no chance.“
1992 Researchers for the Internet Engineering Task Force, working at the Naval Research
Laboratory, develop the Simple Internet Protocol Plus (SIPP) Security protocols, creating
what is now known as IPSEC security.
15
15
1.1. Lịch sử an toàn thông tin: thập niên 60

• Sự phát triển của công nghệ và sự ra đời của máy tính lớn (Mainframe
Computer)
• Chiến tranh Lạnh; vai trò của thông tin, các chiến dịch gián điệp, chạy
đua vũ trang đòi hỏi các biện pháp an toàn và bảo mật cao hơn
• Cơ quan Chỉ đạo các Dự án Nghiên cứu Tiên tiến (ARPA) của Bộ Quốc
phòng Mỹ đã bắt đầu kiểm tra tính khả thi của hệ thống liên lạc nối
mạng dự phòng được thiết kế để hỗ trợ nhu cầu trao đổi thông tin của
quân đội.
• Larry Roberts, người sáng lập ra Internet, đã phát triển dự án ARPANET.
16
16
8
02-Jan-23
1.1. Lịch sử an toàn thông tin: thập niên 70 và 80

• ARPANET đã trở nên phổ biến và được sử dụng nhiều hơn, và khả năng
bị lạm dụng cũng cao hơn
• Robert M. Metcalfe đã chỉ ra rằng có những vấn đề cơ bản với bảo mật
ARPANET.
• Các trang web của người dùng được truy cập từ xa không có đủ các
biện pháp kiểm soát và biện pháp bảo vệ để đảm bảo an toàn dữ liệu.
• Thiếu các quy trình an toàn cho các kết nối tới ARPANET.
• Nhận dạng người dùng và phân quyền cho hệ thống không tồn tại.
17
17

• Vi phạm an toàn máy tính ngày càng nhiều, đa dạng, số lượng máy chủ
và người dùng tăng nhanh, càng đặt ra vấn đề an toàn mạng máy tính
trở nên cấp bách.
• Báo cáo của RAND Corporation 1970 (RAND R 609) xác định các thủ tục
kiểm soát và cơ chế cần thiết để bảo vệ hệ thống xử lý dữ liệu được máy
tính hóa – được xem là tài liệu đầu tiên cho việc nghiên cứu an toàn máy
tính
• Phạm vi an toàn máy tính được mở rộng, bao gồm: (1) Bảo mật dữ liệu;
(2) Hạn chế truy cập ngẫu nhiên và trái phép vào dữ liệu; (3) Sự tham gia
của nhân sự từ nhiều cấp của tổ chức vào bảo mật thông tin
18
18
9
02-Jan-23
• MULTICS: hệ thống được gọi là Dịch vụ Máy tính và Thông tin Đa kênh
(Multiplexed Information and Computing Service) là hệ điều hành đầu
tiên tích hợp bảo mật vào các chức năng cốt lõi của nó.
• MULTICS là một hệ điều hành máy tính lớn (mainframe computer) được
phát triển vào giữa những năm 1960 bởi một tập đoàn gồm General
Electric (GE), Bell Labs và Viện Công nghệ Massachusetts (MIT).
• UNIX: giữa năm 1969, khi tái cấu trúc dự án MULTICS, một số nhà phát
triển trong dự án MULTICS đã tạo ra một hệ điều hành mới gọi là UNIX.
19
19

• MULTICS bảo mật với nhiều cấp độ bảo mật và mật khẩu, UNIX thì không.
• Cuối những năm 1970, bộ vi xử lý đã mang lại một kỷ nguyên mới về khả
năng tính toán; hệ thống xử lý dữ liệu phân tán, mạng máy tính, khả năng chia
sẽ dữ liệu và các mối đe dọa bảo mật là các vấn đề phát sinh khi các bộ vi xử
lý này được nối mạng.
• 1980s: TCP (the Transmission Control Protocol) and IP (the Internet Protocol) -
các giao thức được sử dụng trên Internet được phát triển vào đầu những năm
1980 cùng với DNS (Hệ thống tên miền).
• 1988, Cơ quan Chỉ đạo các Dự án Nghiên cứu Quốc phòng Tiên tiến (DARPA)
đã thành lập Nhóm Ứng cứu Khẩn cấp Máy tính (CERT) để giải quyết vấn đề
an ninh mạng.
20
20
10
02-Jan-23
1.1. Lịch sử an toàn thông tin: Thập niên 90

• Cuối thế kỷ 20, mạng máy tính trở nên phổ biến, nhu cầu kết nối các
mạng với nhau cũng tăng theo đã tạo ra Internet
• Ban đầu, việc triển khai Internet coi vấn đề an toàn ở một mức độ ưu
tiên thấp.
• Khi yêu cầu đối với máy tính nối mạng chiếm ưu thế, khả năng an toàn
vật lý của máy tính bị mất đi và thông tin lưu trữ trở nên dễ bị đe dọa
hơn trước các mối đe dọa bảo mật.
• Cuối những năm 1990 và những năm 2000, nhiều công ty lớn bắt đầu
tích hợp công khai các nội dung bảo mật trong tổ chức. Các sản phẩm
chống vi-rút đã trở nên phổ biến và an toàn thông tin bắt đầu hình
thành như một quy luật độc lập.
21
21
1.1. Lịch sử an toàn thông tin: thế kỷ 21
• Internet đưa hàng triệu mạng máy tính không an toàn và hàng tỷ hệ
thống máy tính vào giao tiếp liên tục với nhau.
• Tính bảo mật của thông tin được lưu trữ của mỗi máy tính phụ thuộc
vào mức độ bảo mật của mọi máy tính trong mạng máy tính đó.
• Trong những năm gần đây, nhận thức về nhu cầu nâng cao an toàn
thông tin ngày càng tăng, cũng như nhận thức rằng an toàn thông tin
là quan trọng đối với quốc phòng.
22
22
11
02-Jan-23
1.1. Lịch sử an toàn thông tin: thế kỷ 21

• Mối đe dọa ngày càng tăng của các cuộc tấn công mạng đã khiến các
chính phủ và các công ty nhận thức rõ hơn về sự cần thiết phải bảo vệ
các hệ thống điều khiển máy tính của các tiện ích và cơ sở hạ tầng
quan trọng khác.
• Chiến tranh thông tin và khả năng các hệ thống thông tin cá nhân và
doanh nghiệp có thể tổn hại nếu chúng không được bảo vệ
• Kể từ năm 2000, Sarbanes-Oxley và các luật khác liên quan đến quyền
riêng tư và trách nhiệm của công ty đã ảnh hưởng đến bảo mật máy
tính
• Cuộc tấn công vào Trung tâm Thương mại Thế giới vào ngày 11 tháng
9 năm 2001 đã dẫn đến những thay đổi lớn về luật pháp liên quan đến
bảo mật máy tính, đặc biệt là để tạo điều kiện cho cơ quan thực thi
pháp luật có khả năng thu thập thông tin về khủng bố.
23
23
24
24
12
02-Jan-23
Ủy ban về các hệ thống an ninh quốc gia (CNSS) định nghĩa: an toàn
thông tin là bảo vệ thông tin và các yếu tố quan trọng của nó, bao
gồm các hệ thống và phần cứng dùng để sử dụng, lưu trữ và truyền
tải thông tin.
An toàn thông tin bao gồm các lĩnh vực:

• Quản lý an toàn thông tin
• Bảo mật dữ liệu
• An ninh mạng.
25
25
C.I.A. Triad: C (confidentiality); I (integrity);

A (availability) – tam giác C.I.A : tiêu chuẩn
công nghiệp về bảo mật máy tính kể từ khi
phát triển máy tính lớn (mainframe) - Tiêu
chuẩn dựa trên ba đặc điểm của thông tin
có thể đem lại giá trị cho tổ chức: tính bảo
mật, tính toàn vẹn và tính khả dụng.
26
26
13
02-Jan-23
C.I.A Triad Model
27
27

• Các khái niệm chính về An toàn thông tin
• Access: Quyền truy cập - Khả năng sử dụng, thao tác, sửa đổi hoặc ảnh hưởng
đến chủ thể, hoặc đối tượng khác.
• Asset: Tài sản – các nguồn lực của doanh nghiệp đang được bảo vệ. Tài sản có thể
có hình thái vật chất hay phi vật chất. Tài sản thông tin là trọng tâm của an toàn
thông tin
• Attack: Tấn công - Một hành động cố ý hoặc vô ý có thể làm hỏng hoặc làm tổn
hại đến thông tin và hệ thống hỗ trợ nó. Tấn công có thể là tấn công chủ động
hoặc tấn công bị động; tấn công trực tiếp hoặc tấn công gián tiếp
• Control, safeguard, or countermeasure: Kiểm soát, bảo vệ hoặc biện pháp đối
phó: Các cơ chế, chính sách hoặc quy trình bảo mật có thể chống lại các cuộc tấn
công thành công, giảm thiểu rủi ro, giải quyết các lỗ hổng và cải thiện tính bảo
mật trong tổ chức.
• Exploit: Khai thác - Một kỹ thuật được sử dụng để xâm phạm hệ thống.
28
28
14
02-Jan-23

• Exposure: Điểm yếu bảo mật - Một tình trạng hoặc trạng thái bị phơi nhiễm; trong bảo
mật thông tin, điểm yếu bảo mật tồn tại khi kẻ tấn công biết được một lỗ hổng.
• Loss: Thiệt hại - tài sản thông tin bị hư hỏng hoặc bị phá hủy, sửa đổi hoặc tiết lộ ngoài ý
muốn hoặc trái phép hoặc bị từ chối sử dụng
• Protection profile or security posture: Hồ sơ bảo vệ hoặc thái độ bảo mật: Tập hợp toàn
bộ các biện pháp kiểm soát và bảo vệ, bao gồm chính sách, giáo dục, đào tạo và nâng cao
nhận thức và công nghệ, mà tổ chức thực hiện để bảo vệ tài sản.
• Risk: Rủi ro – Khả năng sự kiện không mong muốn có thể xảy ra gây thiệt hại cho doanh
nghiệp
• Subjects and objects of attack: Chủ thể tấn công và đối tượng bị tấn công
29
29

• Threat: Nguy cơ hoặc đe dọa - Bất kỳ sự kiện hoặc hoàn cảnh nào có khả
năng ảnh hưởng xấu đến hoạt động và tài sản của tổ chức.
• Threat agent: Tác nhân đe dọa – một trường hợp cụ thể hoặc một thành
phần của một mối đe dọa
• Threat event: Sự kiện đe dọa – sự kiện xảy ra do tác nhân đe dọa gây ra
• Threat source: Nguồn gốc đe dọa – tập hợp các tác nhân đe dọa
• Vulnerability: Nhược điểm/điểm yếu tiềm ẩn có sẵn trong hệ thống hoặc
trong các hệ thống phòng thủ
30
30
15
02-Jan-23

• Các đặc điểm quan trọng của thông tin
• Availability: Tính khả dụng – tính chất của thông tin cho phép người dùng khi cần
truy cập thông tin mà không bị can thiệp hoặc cản trở và truy xuất thông tin đó ở định
dạng bắt buộc.
• Accuracy: Tính chính xác - khi thông tin không có lỗi hoặc sai sót, có giá trị mà người
dùng mong đợi. Nếu thông tin chứa giá trị khác với mong đợi của người dùng do
chỉnh sửa nội dung, thì thông tin đó không còn chính xác.
• Authenticity: Tính xác thực - chất lượng hoặc trạng thái của thông tin gốc hoặc
nguyên bản, thay vì sao chép hoặc chế tạo. Thông tin xác thực khi nó là thông tin được
tạo, đặt, lưu trữ hoặc chuyển giao nguyên bản.
• Confidentiality: Tính bảo mật - chất lượng hoặc trạng thái thông tin ngăn chặn việc
tiết lộ hoặc lộ bí mật thông tin với các cá nhân hoặc hệ thống không được phép. Tính
bảo mật đảm bảo rằng chỉ những người dùng có quyền, đặc quyền và nhu cầu truy
cập thông tin mới có thể truy cập.
31
31

• Các đặc điểm quan trọng của thông tin
• Integrity :Tính toàn vẹn – thông tin đầy đủ, hoàn chỉnh và không bị gián đoạn. Tính
toàn vẹn của thông tin bị đe dọa khi thông tin bị lộ, hỏng, bị phá hủy hoặc do các
hành vi khác làm gián đoạn trạng thái nguyên bản của nó.
• Utility: Tiện ích - chất lượng hoặc trạng thái có giá trị cho một số mục đích hoặc kết
quả. Thông tin có giá trị khi nó phục vụ một mục đích cụ thể. Điều này có nghĩa là
nếu thông tin có sẵn, nhưng không ở định dạng có ý nghĩa đối với người dùng cuối,
thì nó sẽ không hữu ích.
• Possession: Chiếm hữu - chất lượng hoặc trạng thái có quyền sở hữu hoặc kiểm soát
một số đối tượng hoặc vật phẩm. Thông tin được cho là thuộc quyền sở hữu của một
người nếu một người có được nó, không phụ thuộc vào định dạng hoặc các đặc điểm
khác. Mặc dù vi phạm bảo mật luôn dẫn đến vi phạm quyền sở hữu, vi phạm sở hữu
không phải lúc nào cũng dẫn đến vi phạm bảo mật
32
32
16
02-Jan-23
Đặc điểm Định nghĩa

1 Availability: A Chất lượng hoặc trạng thái có giá trị cho một số mục
Tính khả dụng đích hoặc kết quả
2 Accuracy: B Chất lượng hoặc trạng thái thông tin ngăn chặn việc tiết
Tính chính xác lộ hoặc lộ bí mật thông tin với các cá nhân hoặc hệ
thống không được phép
Liên kết giữa 3 Authenticity: C Chất lượng hoặc trạng thái có quyền sở hữu hoặc kiểm
đặc điểm Tính xác thực soát một số đối tượng hoặc vật phẩm
thông tin và 4 Confidentiality: D Tính chất của thông tin cho phép người dùng khi cần
định nghĩa
Tính bảo mật truy cập thông tin mà không bị can thiệp hoặc cản trở
và truy xuất thông tin đó ở định dạng bắt buộc
tương ứng
5 Integrity: E Chất lượng hoặc trạng thái của toàn bộ, hoàn chỉnh và
Tính toàn vẹn không bị gián đoạn
6 Utility: Tiện ích F Khi thông tin không có lỗi hoặc sai sót, có giá trị mà
người dùng mong đợi.
7 Possession: Chiếm hữu G Chất lượng hoặc trạng thái của thông tin gốc hoặc
nguyên bản, thay vì sao chép hoặc chế tạo
33
1.3. Bản chất an toàn thông tin

• Tính đa dạng, phức tạp, không có nguyên mẫu, luôn linh hoạt, luôn sáng tạo trong
lĩnh vực bảo mật, sự cân bằng trong việc vận dụng kiến thức bảo mật, sự tương tác
bảo mật giữa các hệ thống con trong một hệ thống lớn dẫn đến tính nghệ thật của
an toàn thông tin.
• Đặc tính của công nghệ và khoa học máy tính, tính nghiêm túc và các nguyên tắc
trong phương pháp và kỹ thuật, sự tương tác giữa phần cứng và phần mềm và tri
thức về bảo mật cho thấy tính khoa học của an toàn thông tin
• Sự tương tác của con người với hệ thống, hành vi của người dùng tác động đến bảo
mật, nhận thức về rủi ro trong môi trường CNTT cho thấy an toàn thông tin mang
tính chất của khoa học xã hội
34
34
17
02-Jan-23
1.3. Bản chất an toàn thông tin

Nghệ thuật:
Sáng tạo và
linh hoạt trong
triển khai
Khoa học: Khoa học xã hội:

Đặc tính Hành vi và
công nghệ và nhận thức của
kỹ thuật con người
35
35
Nội dung
3.1. Cách tiếp cận thực hiện an toàn thông tin
3.2. An toàn thông tin và chu kỳ phát triển hệ thống
36
36
18
02-Jan-23

37
37

• Committee on National Security Systems: Ủy ban Hệ thống An ninh
Quốc gia (Hoa kỳ):
https://www.cnss.gov/CNSS/issuances/Instructions.cfm
• Mô hình an toàn CNSS được John McCumber tạo ra năm 1991, được
gọi là khối lập phương McCumber, bao gồm 27 khối tương ứng với các
lĩnh vực an toàn thông tin
• Trong quy trình bảo mật – an toàn hệ thống cần đảm bảo mỗi khối
được xác định và được giải quyết một cách đúng đắn.
38
38
19
02-Jan-23
39
39
40
40
20
02-Jan-23
41
41
• HTTT có 6 thành phần: Con người, phần cứng, phần mềm, mạng máy
tính, các chính sách và thủ tục, và dữ liệu
• Mỗi thành phần có điểm mạnh, điểm yếu, tính chất và công dụng riêng
• Mỗi thành phần có các yêu cầu về an toàn và bảo mật khác nhau
42
42
21
02-Jan-23

• Con người: Luôn là mối đe dọa đối với an toàn thông tin. Các chính
sách, thủ tục, việc đào tạo, nhận thức đạo đức và sử dụng công nghệ
đúng đắn sẽ giúp hạn chế điểm yếu này.
• Phần cứng: công nghệ vật lý giúp lưu trữ dữ liệu và phần mềm, cung
cấp giao diện để nhập liệu và truy xuất thông tin. Khi phần cứng có thể
bị tiếp cận, hệ thống có thể bị phá hủy hoặc thông tin bị đánh cắp.
• Phần mềm: Hệ điều hành, chương trình, tiện ích khác. Do được lập trình
nên phần mềm hàm chứa nhiều nguy cơ, từ lỗi lập trình cho đến sử
dụng sai mục đích.
43
43

• Dữ liệu: Dữ liệu được HTTT lưu trữ, xử lý, truyền tải. Dữ liệu là tài sản
quan trọng của doanh nghiệp và thường là mục tiêu tấn công. Đảm
bảo an toàn dữ liệu cần được thực hiện nghiêm túc và đầy đủ
• Các chính sách và thủ tục: Các hướng dẫn bằng văn bản để hoàn thành
một nhiệm vụ cụ thể. Đào tạo, huấn luyện, giám sát quy trình, đánh giá
định kỳ giúp đảm bảo các thủ tục có thể hoàn thành vai trò của minh
• Mạng máy tính: Các máy tính và hệ thống máy tính kết nối với nhau
hình thành nên mạng máy tính, giúp HTTT truyền dữ liệu và thông tin,
hỗ trợ người dùng thực hiện các tác vụ và ra quyết định. Mạng máy
tính có nhiều nguy cơ, do đó kiểm soát lưu lượng và kiểm soát truy cập
là cần thiết.
44
44
22
02-Jan-23
2.3. Cân bằng giữa ATTT và khả năng truy cập
45
45
2.3. Cân bằng giữa ATTT và khả năng truy cập

• Không thể có được an toàn thông tin tuyệt đối, hoàn hảo
• An toàn thông tin là quá trình, không phải là mục tiêu
• Hệ thống luôn sẵn sàng để truy cập sẽ dẫn đến nguy cơ bị tấn công,
ngược lại, nếu cô lập hệ thống để đảm bảm an toàn cao thì không thể
truy cập được
• Cân bằng giữa an toàn và truy cập nhằm đảm bảo sự hợp lý giữa khả
năng truy cập và việc hạn chế rủi ro – với một mức độ bảo mật phù
hợp.
• An toàn thông tin và khả năng truy cập đều phục vụ cho mục tiêu
chung của doanh nghiệp, và do đó phải hài hòa và cân xứng
46
46
23
02-Jan-23
Nội dung
47
47
Cách tiếp cận

thực hiện
an toàn thông tin
48
48
24
02-Jan-23
Cách tiếp cận thực hiện an toàn thông tin

• Tiếp cận từ dưới lên (bottom-up approach)
• Bắt đầu từ các hành vi từ cấp dưới nhằm cải thiện an toàn hệ thống
• Dựa trên kỹ năng và kiến thức của quản trị viên hệ thống
• Gắn liền với hiểu biết chuyên sâu của quản trị viên hệ thống với hệ thống có liên
quan
• Hiểu rõ đặc tính của hệ thống, hiểu rõ nguy cơ và cách thức hạn chế nguy cơ
• Thiếu nhất quán, thiếu sự hỗ trợ của cấp trên, thiếu sự hỗ trợ từ các hệ thống
khác và hạn chế quyền hạn thực thi
• Khả năng thành công thấp

49
49
Cách tiếp cận thực hiện an toàn thông tin

• Tiếp cận từ trên xuống (top-down approach)
• Dự án an toàn thông tin được khởi xướng bởi các nhà quản lý cấp trên, những
người ban hành các chính sách, thủ tục và quy trình; đề xuất các mục tiêu và kết
quả mong đợi; và xác định trách nhiệm cá nhân cho mỗi hành động.
• Có sự hỗ trợ từ cấp trên và khai thác các nguồn lực của doanh nghiệp, quy trình,
kế hoạch rõ ràng và ảnh hưởng toàn doanh nghiệp
• Cách tiếp cận này được thể hiện phổ biến thông qua chiến lược phát triển hệ
thống tiêu chuẩn – được gọi là chu kỳ phát triển hệ thống
• Khả năng thành công cao

50
50
25
02-Jan-23
Nội dung
51
51
4.2. Các nhóm người dùng ảnh hưởng đến an toàn thông tin
trong doanh nghiệp (nhóm lợi ích liên quan)
52
52
26
02-Jan-23
4.1. Chuyên gia an toàn thông tin trong DN

• Giám đốc thông tin (chief information officer - CIO): Một vị trí ở cấp
điều hành; giám sát công nghệ máy tính của doanh nghiệp và có trách
nhiệm trong việc tạo ra hiệu quả trong xử lý và truy cập thông tin của
doanh nghiệp; tư vấn hoạch định chiến lược CNTT cho Giám đốc điều
hành và triển khai chiến lược của doanh nghiệp liên quan đến CNTT.
• Giám đốc an toàn thông tin (chief information security officer - CISO):
CISO thường không phải là một vị trí cấp điều hành, báo cáo cho CIO,
chịu trách nhiệm chính trong vấn đề an toàn và bảo mật hệ thống
thông tin, về việc đánh giá, quản lý và thực hiện an toàn thông tin.
53
53
4.1. Chuyên gia an toàn thông tin trong DN

• Đội dự án an toàn thông tin (Information Security Project Team): Tập
hợp các cá nhân có kinh nghiệm trong an toàn và bảo mật khi có yêu
cầu; bao gồm đại diện lãnh đạo doanh nghiệp, trưởng nhóm, chuyên
gia phát triển chính sách bảo mật, chuyên gia đánh giá rủi ro, chuyên
gia bảo mật, quản trị viên hệ thống và người dùng hệ thống.
• Người chịu trách nhiệm về dữ liệu bao gồm: Người sở hữu dữ liệu,
người bảo quản dữ liệu và người sử dụng dữ liệu
54
54
27
02-Jan-23
4.2. Các nhóm người dùng ảnh hưởng đến an toàn

thông tin trong doanh nghiệp
• Trong doanh nghiệp, có nhiều nhóm người dùng ảnh hưởng đến an
toàn thông tin. Mỗi nhóm có vai trò và trách nhiệm khác nhau cũng
như các mối quan tâm khác nhau đối với an toàn thông tin. Mỗi thành
viên trong mỗi nhóm được liên kết với nhau thông qua các giá trị
tương đồng với nhau và cũng chia sẽ các mục tiêu chúng.
• Thông thường trong doanh nghiệp có ba nhóm an toàn thông tin:
nhóm quản lý chung, nhóm quản lý CNTT và nhóm quản lý an toàn
thông tin
55
55
4.2. Các nhóm người dùng ảnh hưởng đến an toàn

thông tin trong doanh nghiệp
• Nhóm quản lý chung: bao gồm toàn bộ người sử dụng hệ thống công
nghệ thông tin (theo góc nhìn của nhóm quản lý công nghệ thông tin)
và cũng là đối tượng bảo mật theo góc nhìn của nhóm quản lý an toàn
thông tin
• Nhóm quản lý công nghệ thông tin: bao gồm các chuyên gia CNTT và
các nhà quản lý CNTT, hỗ trợ cho việc vận hành hệ thống CNTT trong
doanh nghiệp
• Nhóm quản lý an toàn thông tin: bao gồm các chuyên gia an toàn và
bảo mật, tập trung cho mục tiêu đảm bảo an toàn và bảo vệ thông tin,
dữ liệu, hệ thống của doanh nghiệp khỏi các cuộc tấn công.
56
56
28
02-Jan-23
57
57
29

AISe C01

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

AISe C01

Uploaded by

Copyright:

Available Formats

02-Jan-23

Mục tiêu chương

• Định nghĩa an toàn thông tin

Systems development Chu kỳ phát triển

1. Giới thiệu về an toàn thông tin

1.1. Lịch sử an toàn thông tin

Tất cả các đơn vị Các đơn vị chịu

Lịch sử an toàn thông tin

1968 Maurice Wilkes discusses password security in Time-Sharing Computer Systems.

1.1. Lịch sử an toàn thông tin: thập niên 60

1.1. Lịch sử an toàn thông tin: thập niên 70 và 80

1.1. Lịch sử an toàn thông tin: thập niên 70 và 80

1.1. Lịch sử an toàn thông tin: thập niên 70 và 80

1.1. Lịch sử an toàn thông tin: thập niên 70 và 80

1.1. Lịch sử an toàn thông tin: Thập niên 90

1.1. Lịch sử an toàn thông tin: thế kỷ 21

1.1. Lịch sử an toàn thông tin: thế kỷ 21

1.2. Định nghĩa an toàn thông tin

1.2. Định nghĩa an toàn thông tin

An toàn thông tin bao gồm các lĩnh vực:

1.2. Định nghĩa an toàn thông tin

C.I.A. Triad: C (confidentiality); I (integrity);

C.I.A Triad Model

1.2. Định nghĩa an toàn thông tin

1.2. Định nghĩa an toàn thông tin

1.2. Định nghĩa an toàn thông tin

1.2. Định nghĩa an toàn thông tin

1.2. Định nghĩa an toàn thông tin

Đặc điểm Định nghĩa

Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn

1.3. Bản chất an toàn thông tin

1.3. Bản chất an toàn thông tin

Khoa học: Khoa học xã hội:

2. Mô hình an toàn thông tin

2.1. Mô hình an toàn CNSS

2.1. Mô hình an toàn CNSS

2.1. Mô hình an toàn CNSS

2.1. Mô hình an toàn CNSS

2.2. Các thành phần của hệ thống thông tin

2.2. Các thành phần của hệ thống thông tin

2.2. Các thành phần của hệ thống thông tin

2.2. Các thành phần của hệ thống thông tin

2.3. Cân bằng giữa ATTT và khả năng truy cập

2.3. Cân bằng giữa ATTT và khả năng truy cập

3. Triển khai an toàn thông tin

Cách tiếp cận

Cách tiếp cận thực hiện an toàn thông tin

• Khả năng thành công thấp

Cách tiếp cận thực hiện an toàn thông tin

• Khả năng thành công cao

4. An toàn thông tin trong doanh nghiệp

4.1. Chuyên gia an toàn thông tin trong doanh nghiệp

4.1. Chuyên gia an toàn thông tin trong DN

4.1. Chuyên gia an toàn thông tin trong DN

4.2. Các nhóm người dùng ảnh hưởng đến an toàn

4.2. Các nhóm người dùng ảnh hưởng đến an toàn

You might also like