BỘ CÔNG THƯƠNG

TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THÀNH PHỐ HỒ CHÍ MINH

KHOA CÔNG NGHỆ THÔNG TIN

TIỂU LUẬN MÔN

AN TOÀN THÔNG TIN

GIẢNG VIÊN HƯỚNG DẪN: ThS. TỪ THỊ XUÂN HIỀN

NHÓM :4

LỚP HỌC PHẦN : DHQTLOG17ATT

TP. HỒ CHÍ MINH, THÁNG 01 NĂM 2023

 BỘ CÔNG THƯƠNG
TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THÀNH PHỐ HỒ CHÍ MINH
KHOA CÔNG NGHỆ THÔNG TIN

TIỂU LUẬN MÔN

AN TOÀN THÔNG TIN

GIẢNG VIÊN HƯỚNG DẪN: ThS. TỪ THỊ XUÂN HIỀN

NHÓM :4

LỚP HỌC PHẦN : DHQTLOG17ATT

TP. HỒ CHÍ MINH, THÁNG 01 NĂM 2023

2
NHÓM 4 – AN TOÀN THÔNG TIN – DHQTLOG17ATT
 DANH SÁCH THÀNH VIÊN NHÓM 4

MỨC ĐỘ HOÀN
STT HỌ VÀ TÊN MSSV
THÀNH

1 Dương Thị Nhựt Linh 21025181 100%

2 Nguyễn Ngọc Mao 21125031 100%

3 Đinh Nguyễn Nhật Minh 21100961 100%

4 Nguyễn Thị Cẩm Mơ 20102801 100%

5 Phạm Thị Ngọc My 21012271 100%

3
NHÓM 4 – AN TOÀN THÔNG TIN – DHQTLOG17ATT
 MỤC LỤC

CHƯƠNG I: TỔNG QUAN VỀ AN TOÀN THÔNG TIN (OVERVIEW OF

INFORMATION SECURITY) ............................................................................................ 5

Bài tập 1: .................................................................................................................... 5

Bài tập 2: .................................................................................................................... 7

Câu hỏi 1: ................................................................................................................... 9

Câu hỏi 2: ................................................................................................................. 10

Câu hỏi 3: ................................................................................................................. 10

4
NHÓM 4 – AN TOÀN THÔNG TIN – DHQTLOG17ATT
 CHƯƠNG I: TỔNG QUAN VỀ AN TOÀN THÔNG TIN
(OVERVIEW OF INFORMATION SECURITY)
Bài tập 1:

▪ Liệt kê những thông tin cá nhân nào của bạn cần an toàn, nêu lý do tại sao (nếu mất an
toàn thì hậu quả như thế nào)
▪ Hãy đưa ra những biện pháp an toàn thông tin cho từng thông tin cá nhân đã liệt kê ở
trên Commented [NNM1]: Dương Thị Nhựt Linh

Bài làm:

- Những thông tin cá nhân cần được an toàn là:

+ Thông tin cá nhân là những thông tin đủ để có thể xác đinh danh tính của một người
nào đó. Bao gồm ít nhất các nội dung sau họ tên , ngày sinh ,nghề nghiệp ,chức danh,
địa chỉ liên hệ, số điện thoại , số chứng minh nhân dân hoặc căn cước công dân .
+ Thêm vào đó là những thông tin thuộc bí mật cá nhân như là hồ sơ y tế , hồ sơ nộp thuế,
số thẻ bảo hiểm xã hội , số tín dụng và những bí mật cá nhân khác .
- Lý do thông tin cá nhân cần được bảo vệ là

Nhiều doanh nghiệp sau khi có được thông tin cá nhân của nhiều người đã tiến hành các
hoạt động truyền bá , tiếp thị và các hoạt động cạnh tranh trên thương trường . Tuy nhiên,
ở một chiều cạnh khác, để bảo đảm cuộc sống riêng tư, sự tự do cần thiết trong đời sống
thường nhật, nhìn chung, các cá nhân không muốn thông tin cá nhân của mình bị lộ, lọt
vào tay những người mà người có thông tin cá nhân không biết họ sẽ sử dụng thông tin đó
cho mục đích gì. Nói cách khác, mỗi cá nhân rất không muốn các thông tin cá nhân của
mình bị rơi vào tay người lạ .

- Nếu thông tin cá nhân bị lộ sẽ có hậu quả nghiêm trọng như là

Hiện nay có rất nhiều kẻ thu thập các thông tin cá nhân như tin nhắn, mật khẩu hay tài
khoản ngân hàng với các dữ liệu nhạy cảm khác một cách âm thầm mà người dùng không
hề hay biết, không chỉ trên điện thoại di động người dùng internet còn có các nguy cơ bị lộ
thông tin cá nhân khác nếu không biết cách bảo mật thông tin của mình. Một ví dụ về việc
bị lộ thông tin , đối tượng có được số điện thoại của nạn nhân sau đó , đối tượng giả danh
ngân hàng gọi điện cho họ nói rằng họ đã trúng xe máy, iphone với số lượng tiền mặt lớn.
5
NHÓM 4 – AN TOÀN THÔNG TIN – DHQTLOG17ATT
Nhiều người không nghi ngờ đã nhẹ dạ cung cấp thông tin cá nhân có liên quan như họ
tên, số chứng minh nhân dân, chi tiết hộ khẩu quê quán. Khi họ nhận ra có dấu hiệu lừa
đảo nhưng họ đã lỡ cung cấp thông tin cá nhân rồi. Kết quả đối tượng có thể dung thông
tin của nạn nhân để thành lập công ty và làm hóa đơn khống: Tức là Công ty do bạn làm
giám đốc, công ty đó tiến hành làm giả và bán hóa đơn, chứng từ hoặc dùng thông tin cá
nhân của nạn nhân làm những việc trái pháp luật khác.

- Các biện pháp bảo vệ an toàn thông tin cá nhân như là

Đối với những thông tin cá nhân họ tên , ngày sinh ,nghề nghiệp ,chức danh , địa chỉ liên
hệ, số điện thoại , số chứng minh nhân dân hoặc căn cước công dân . Chúng ta nên hạn
chế chia sẻ càng ít càng tốt trên phương tiện truyền thông xã hội. Người ta càng chia sẻ
nhiều thông tin, các kẻ xấu sẽ đánh cắp dễ dàng hơn. Cách tốt nhất để bảo vệ thông tin của
cá nhân là chia sẻ với thế giới càng ít thông tin càng tốt. Thê vào đó, khi sử dụng mạng
xã hội Không nhấp vào các đường link lạ. Đôi khi bạn sẽ gặp tình trạng nhận được các
đường link lạ từ tin nhắn, hoặc Gmail nhưng không tài nào phân biệt liệu đó có phải là
đường link an toàn không, nhất là đối với những người ít có kinh nghiệm sử dụng máy
tính. Việc vô tình truy cập vào các đường link lạ này sẽ có thể tạo cơ hội cho kẻ gian đánh
cắp lấy thông tin của bạn.

Riêng với các thông tin cần tính bí mật như là hồ sơ y tế , hồ sơ nộp thuế , số thẻ bảo hiểm
xã hội , số tín dụng và những bí mật cá nhân khác . Chỉ nên điều tra thông tin của các cá
nhân hoặc tổ chức một cách rõ rang trước khi chia sẽ thông tin với họ .

Nguồn tham khảo:

https://luatminhkhue.vn/amp/bao-ve-thong-tin-ca-nhan.aspx

https://luatduonggia.vn/bi-lua-mat-thong-tin-ca-nhan-co-lam-sao-khong/

https://bnews.vn/cac-bien-phap-bao-mat-nham-bao-ve-thong-tin-ca-nhan/86311.html

https://stp.binhthuan.gov.vn/1327/32856/66635/612760/an-toan-thong-tin/10-cach-bao-
mat-thong-tin-ca-nhan-cua-ban-trong-thoi-dai-so.aspx

6
NHÓM 4 – AN TOÀN THÔNG TIN – DHQTLOG17ATT
Bài tập 2:

• Đưa ra một doanh nghiệp mà bạn biết (nêu tên, lĩnh vực hoạt động)

• Nêu ra một HTTT của DN và mục tiêu của HTTT đó

• Liệt kê ra những thông tin/dữ liệu của doanh nghiệp đó cần an toàn, nêu lý do tại
sao (nếu mất an toàn thì hậu quả như thế nào – phân tích hậu quả) Commented [NNM2]: Nguyễn Ngọc Mao

Bài làm:

- Đưa ra một doanh nghiệp mà bạn biết (nêu tên, lĩnh vực hoạt động)

Ngân hàng TMCP Ngoại thương Việt Nam (tên giao dịch quốc tế: Joint Stock Commercial
Bank for Foreign Trade of Vietnam) tên viết tắt: "Vietcombank", là công ty lớn nhất trên thị
trường chứng khoán Việt Nam tính theo vốn hóa.

Từ một ngân hàng chuyên doanh phục vụ kinh tế đối ngoại, Vietcombank ngày nay đã trở
thành một ngân hàng đa năng, hoạt động đa lĩnh vực, cung cấp cho khách hàng đầy đủ các
dịch vụ tài chính hàng đầu trong lĩnh vực thương mại quốc tế; trong các hoạt động truyền
thống như kinh doanh vốn, huy động vốn, tín dụng, tài trợ dự án…cũng như mảng dịch vụ
ngân hàng hiện đại: kinh doanh ngoại tệ và các công vụ phái sinh, dịch vụ thẻ, ngân hàng
điện tử… Trong đó giao dịch tài chính được coi là hoạt dộng trọng tâm nhất.

- Nêu ra một HTTT của DN và mục tiêu của HTTT đó:

Một hệ thống thông tin của ngân hàng Vietcombank là hệ thống thông tin quản lý tài khoản
khách hàng.
Mục tiêu của hệ thống là quản lý tài khoản khách hàng, quản lý tính bảo mật thông tin
khách hàng, quản lý thông tin giao dịch, quản lý số dư tài khoản khách hàng.

- Liệt kê ra những thông tin/dữ liệu của doanh nghiệp đó cần an toàn, nêu lý do tại sao
(nếu mất an toàn thì hậu quả như thế nào – phân tích hậu quả):

+ Thứ nhất, tính bảo mật (Confidentiality)

Tính bảo mật là nguyên tắc đảm bảo kiểm soát quyền truy cập thông tin.

Thông tin chỉ được phép truy cập bởi những đối tượng (người, chương trình máy tính…)
được cấp phép.

Ví dụ:

7
NHÓM 4 – AN TOÀN THÔNG TIN – DHQTLOG17ATT
Trong hệ thống thông tin quản lý tài khoản của ngân hàng Vietcombank, một khách hàng
được phép xem thông tin số dư tài khoản, thông tin tài khoản, cũng như chỉ biết được mã
OTTP mà ngân hàng gửi về của mình nhưng không được phép xem thông tin của khách
hàng khác để đảm bảo các giao dịch được diễn ra bình thường, tránh các đối tượng xấu lợi
dụng đánh cắp thông tin, khách hàng bị đánh mất thông tin khách hàng, rút hết số dư tài
khoản, giảm tính bảo mât, gây ra sự mất mất an toàn toàn trong hoạt động tài chính, ảnh
hưởng đến khách hàng, gây ra làn sóng dư luận xã hội, gây ảnh hưởng đến hoạt động tài
chính ngân hàng.

+ Thứ hai, tính toàn vẹn (Integrity)

Tính toàn vẹn: là sự đảm bảo dữ liệu là đáng tin cậy và chính xác.

Thông tin chỉ được phép xóa hoặc sửa bởi những đối tượng được phép

Thông tin phải được đảm bảo vẫn còn chính xác khi được lưu trữ hoặc truyền đi.

Ví dụ:

Trong hệ thống thông tin quản lý tài khoản của ngân hàng Vietcombank, không cho phép
khách hàng tự thay đối thông tin số dư của tài khoản của mình mà phải trải qua một quá
trình xác thực cẩn thận trực tiếp từ chính chủ tài khoản, để tránh việc mạo danh chủ tài
khoản, đánh cắp thông tin tài khoản ngân hàng vì mục đích lừa đảo.

+ Thứ ba, tính sẵn dùng (Availability)

Tình sẵn dùng: là sự đảm bảo liên tục và mức độ đáp ứng kịp thời của hệ thống khi có yêu
cầu truy cập dữ liệu hoặc thao tác từ người dùng.

Đảm bảo thông tin/dịch vụ luôn sẵn sàng khi những người dùng hoặc ứng dụng được ủy
quyền yêu cầu

Ví dụ:

Trong hệ thống thông tin quản lý tài khoản của ngân hàng Vietcombank ,cần đảm bảo rằng
chủ tài khoản có thể truy vấn/giao dịch thông tin tài khoản của mình bất cứ lúc nào thông
qua dịch vụ Internet Banking hoặc app VCB để tạo thuận lợi cho nhu cầu giao dịch được
diễn ra thuận lợi, khách hàng biết được thông tin tình trạng, số dư hiện tại của tài khoản,
dễ dàng giao dịch mọi loại dịch vụ tránh mất thời gian trực tiếp tại các trụ sở ngân hàng,
gây quá tải.
8
NHÓM 4 – AN TOÀN THÔNG TIN – DHQTLOG17ATT
Nguồn tham khảo:
https://vi.wikipedia.org/wiki/Ngân_hàng_thương_mại_cổ_phần_Ngoại_thương_Việt_Na
m

Sách giáo trình An toàn thông tin, trường Đại học Công nghiệp Thành phố Hồ Chính Minh.

https://portal.vietcombank.com.vn/Pages/Home.aspx

Câu hỏi 1:

Phân biệt dữ liệu (data) và thông tin (information), cho ví dụ từng loại. Commented [NNM3]: Đinh Nguyễn Nhật Minh

Bài làm:

DỮ LIỆU (DATA) THÔNG TIN (INFORMATION)

Dữ liệu là các giá trị thô, chưa có ý nghĩa Thông tin là ý nghĩa được rút ra từ dữ liệu
thực sự; thường là các con số, văn bản, thông qua quá trình xử lý (phân tích, tổng
âm thanh, hình ảnh,… hợp, v.v..).
Dữ liệu là đầu vào của hệ thống Thông tin là đầu ra của hệ thống
Dữ liệu tạo ra thông tin nên dữ liệu không Thông tin phụ thuộc vào dữ liệu.
phụ thuộc vào thông tin.
Dữ liệu không có mối quan hệ với nhau Thông tin thường liên quan với nhau theo
ngữ cảnh.
Đo bằng các đơn vị có ý nghĩa như thời
Đo bằng bit và byte.
gian, số lượng,…
Ví dụ: Dữ liệu về một sản phẩm A trong
Ví dụ: Thông qua phân tích dữ liệu có
tháng 1 bao gồm số lượng hàng nhập, số
được, ta có thông tin về A là sản phẩm có
lượng hàng bán, doanh thu, phản hồi của
doanh thu đứng đầu trong tháng 1.
khách hàng,…

Nguồn tham khảo:

https://hoannhct.wordpress.com/2019/01/22/du-lieu-va-thong-tin/

https://vi.gadget-info.com/difference-between-data
9
NHÓM 4 – AN TOÀN THÔNG TIN – DHQTLOG17ATT
Câu hỏi 2:

Hệ thống thông tin là gì? Hãy cho ví dụ một hệ thống thông tin mà bạn biết. Đưa ra dữ
liệu/ thông tin/ chức năng nào cần đảm bảo an toàn, nêu lý do. Commented [NNM4]: Nguyễn Thị Cẩm Mơ

Bài làm:

Hệ thống thông tin là một tập hợp các thành phần có liên quan với nhau làm việc cùng
nhau để thu thập, xử lý, lưu trữ và phổ biến thông tin để hỗ trợ việc ra quyết định, điều
phối, kiểm soát, phân tích và trực quan hóa trong một tổ chức.

Ví dụ : Zoom phần mềm chuyên dụng dành cho việc hội họp – làm việc trực tuyến. Nó
giúp một nhóm người có thể kết nối với nhau, nhìn mặt nhau, trò chuyện với nhau dù họ
đang ở cách rất xa nhau với điều kiện có ít nhất một trang thiết bị và có kết nối wifi

Chức năng cần đảm bảo an toàn là chức năng bảo mật vì việc nếu có lỗ hỏng bảo mật sẽ
dễ dàng bị dò quét ID cuộc họp gây rò rĩ thông tin, lộ thông tin cá nhân của người sử dụng
trong đó bao gồm email, mật khẩu, đường dẫn URL của các cuộc họp và mật khẩu kèm
theo.

Nguồn tham khảo:

https://thietbihop.com/phan-mem-zoom-co-bao-mat-khong-cach-dung-zoom-an-toan/

https://news.timviec.com.vn/zoom-la-gi-60785.html

Câu hỏi 3:

Tam giác CIA là gì? Nêu mối tương quan giữa C, I, A. Commented [NNM5]: Phạm Thị Ngọc My

Bài làm:

Để hiểu rõ CIA đầu tiên chúng ta cần tìm hiểu về khái niệm sau:

* Khái niệm lỗ hổng an ninh mạng

Bảo mật là một trong những lĩnh vực mà hiện nay trong giới công nghệ thông tin khá quan
tâm. Một khi Internet ra đời và phát triển, nhu cầu trao đổi thông tin trở nên cần thiết. Mục
tiêu của việc nối mạng là làm cho người có thể sử dụng tài nguyên từ những vị trí địa lý

10
NHÓM 4 – AN TOÀN THÔNG TIN – DHQTLOG17ATT
khác nhau. Cũng chính vì vậy mà các tài nguyên cũng rất dễ dàng bị phân tán, một điều
hiển nhiên là chúng sẽ bị xâm hại, gây mất mát dữ liệu cùng các thông tin có giá trị.

Từ lỗ hỏng hệ thống thông tin trên chúng ta cần phải hiểu rõ 3 mục tiêu của bảo mật ở trên
là bước căn bản đầu tiên trong quá trình xây dựng một hệ thống thông tin an toàn nhất có
thể. Ba mục tiêu này còn được gọi là tam giác bảo mật C-I-A. Đảm bảo an toàn hệ thống
thông tin là đảm bảo an toàn của hệ thống thông tin (phần cứng, phần mềm, dữ liệu) trước
các mối đe dọa (sự truy cập, sửa đổi, phá hoại dữ liệu bất hợp pháp) bằng các biện pháp kỹ
thuật lẫn phi kỹ thuật (mã hóa, kiểm soát truy cập, chính sách …).

*Tam giác CIA (Confidenttiality, Integrity, Availability)

Là an toàn máy tính xét trên tính bảo mật, tính toàn vẹn, tính sẵn sàng. Và hệ thống thông
tin được xem là an toàn khi đảm bảo ít nhất ba mục tiêu cơ bản này.

+ Tính bảo mật: tính bảo mật chỉ cho phép người có quyền hạn truy cập đến nó.

+ Tính toàn vẹn dữ liệu: dữ liệu không được sửa đổi, bị xóa một cách bất hợp pháp.

+ Tính sẵn sàng: bất cứ lúc nào chúng ta cần thì dữ liệu luôn sẵn sàng.
11
NHÓM 4 – AN TOÀN THÔNG TIN – DHQTLOG17ATT
Thêm vào đó phải đảm bảo được an toàn cho các bộ phận dữ liệu cứng như: hệ thống máy
tính, bộ nhớ, hệ thống ổ đĩa, máy in và nhiều tài nguyên trên hệ thống máy tính

• Tính bảo mật (Confidentiality)

Đảm bảo tính bí mật của thông tin, tức là thông tin chỉ được phép truy cập (đọc) bởi những
đối tượng (người, chương trình máy tính) được cấp phép. Tính bí mật của thông tin có thể
đạt được bằng cách giới hạn truy cập về cả mặt vật lý, ví dụ tiếp cận trực tiếp tới thiết bị
lưu trữ thông tin đó hoặc logic, ví dụ như truy cập thông tin từ xa qua môi trường mạng.

Một số cách để đảm bảo hệ thống thông tin:

1. Khóa kín và niêm phong thiết bị.

2. Yêu cầu đối tượng cung cấp credential, ví dụ, cặp username + password hay đặc
điểm về tính xác thực.

3. Sử dụng firewall hoặc ACL trên router để ngăn chặn truy cập trái phép.

4. Mã hóa thông tin sử dụng các giao thức và thuật toán mạnh như SSL/TLS, AES.

• Tính toàn vẹn (Integrity)

Đảm bảo tính toàn vẹn thông tin, tức là thông tin chỉ được phép xóa hoặc sửa bởi những
đối tượng được cho phép và phải đảm bảo băng thông vẫn còn chính xác khi được lưu trữ
hay truyền đi. Về điểm này, nhiều người thường hay nghĩ tính toàn vẹn đơn giản chỉ là
đảm bảo thông tin không bị thay đổi là chưa đầy đủ.

Ngoài ra một giải pháp “data integrity” có thể bao gồm thêm việc xác thực nguồn gốc của
thông tin này (thuốc sở hữu của đối tượng nào) để đảm bảo thông tin đến từ một nguồn
đáng tin cậy và ta gọi đó là tính “authenticity” của thông tin.

Sau đây là một số trường hợp tính toàn vẹn của thông tin bị phá vỡ:

1. Thay đổi giao diện trang chủ của một website

2. Chặn đứng và thay đổi gói tin được gửi qua mạng

3. Chính sửa trái phép các file được lưu trữ trên máy tính

4. Do có sự cố trên đường truyền mà tín hiệu bị nhiễu hoặc suy hao dần đến thông tin
bị sai lệch.

• Tính sẵn sàng (Availablility)

12
NHÓM 4 – AN TOÀN THÔNG TIN – DHQTLOG17ATT
Đảm bảo độ sẵn sàng của thông tin, tức là thông tin có thể được truy xuất bởi những người
được phép vào bất cứ khi nào họ muốn. Ví dụ, nếu một server chỉ bị nhưng hoạt động hay
ngừng cung cấp dịch vụ trong vòng 5 phút trên một năm thì độ sẵn sàng nó là 99,999%.

Ví dụ sau cho thấy hacker có thể cản trở tính sẵn sàng của hệ thống như thế nào: máy của
hacker sẽ gửi hàng loạt các gói tin có các MAC nguồn giả tạo đến switch làm bộ nhớ lưu
trữ MAC address table của switch nhanh chóng bị đầy khiến switch không thể hoạt động
bình thường được nữa. Đây cũng thuộc hình thức tấn công từ chối dịch vụ (DoS). Để tăng
khả năng chống chọi với các cuộc tấn công như duy trì độ sẵn sàng của hệ thống ta có thể
áp dụng một số kỹ thuật như: Load Balancing, Clustering, redudancy, Failover.

➔ Các hoạt động an ninh hiệu quả là rất quan trọng để đáp ứng các mục tiêu của CIA

Nếu không có sự giám sát, phân tích và cảnh báo hiệu quả về các sự kiện an ninh trong
môi trường của bạn, bạn sẽ không thể đo lường mức độ đáp ứng các mục tiêu CIA của
mình và bạn có thể không vi phạm các mục tiêu đó, dẫn đến sự cố leo thang. Các hoạt động
bảo mật được quản lý có giá trị nhằm giúp khách hàng duy trì khả năng hiển thị về hiệu
suất của họ, xác định các sự kiện và sự cố bảo mật cũng như đáp ứng các mục tiêu của CIA
về an ninh mạng của họ.

Nguồn tham khảo:

https://vnpro.vn/thu-vien/cac-khai-niem-trong-linh-vuc-an-toan-he-thong-thong-tin-
2442.html

https://websitehcm.com/c-i-a-confidentiality-integrity-va-availability-la-gi/

13
NHÓM 4 – AN TOÀN THÔNG TIN – DHQTLOG17ATT