Professional Documents
Culture Documents
Tình huống
AN TOÀN THÔNG TIN KẾ TOÁN • Một ngày làm việc bình thường, cô Maggie Q. –
(Accounting Information Security – AISe) nhân viên kế toán nhận được email của trưởng
phòng Kế toán, với nội dung yêu cầu cô Q. mở file
văn bản đính kèm để làm báo cáo nhanh về tình
CHƯƠNG 1 hình công nợ. Sau khi mở email, cô Q. không đọc
được nội dung, máy tính tự khởi động và sau đó,
TỔNG QUAN VỀ AN TOÀN THÔNG TIN KẾ TOÁN toàn bộ dữ liệu bị mã hóa. Trong 15 phút sau,
màn hình máy tính của tất cả nhân viên công ty
đều hiện lên thông báo dữ liệu bị mã hóa, yêu cầu
công ty phải trả tiền chuộc hoặc toàn bộ dữ liệu sẽ
bị xóa sạch sau 24 giờ.
• Điều gì đã xảy ra?
• Sự cố diễn ra như thế nào?
• Làm sao để ngăn chặn?
1 2
MỤC TIÊU • Xác định các thuật ngữ và các khái niệm quan trọng
về an toàn thông tin NỘI DUNG 3.
2.3. Cân bằng giữa an toàn thông tin và truy cập
3 4
1
02/10/2023
5 6
bộ, hoàn chỉnh và không gián đoạn cạnh của các lĩnh vực kỹ thuật và kỹ thuật cần thiết cho dự án mà họ được giao.
McCumber Cube Khối lập Hình ảnh minh họa theo hình khối lập phương, là cách tiếp cận phổ Security An toàn / an ninh / trạng thái an toàn và không bị nguy hiểm hoặc tổn hại. Ngoài ra, các hành động được
bảo mật thực hiện để đảm bảo an toàn cho ai đó hoặc thứ gì đó
phương biến trong an toàn thông tin, mô tả các chiều theo các lĩnh vực liên
McCumber quan an toàn thông tin Software assurance Bảo hiểm phần một cách tiếp cận theo phương pháp luận để phát triển phần mềm nhằm xây dựng bảo
(SA) mềm / đảm bảo mật vào vòng đời phát triển hơn là giải quyết vấn đề đó ở các giai đoạn sau. SA cố gắng
Network security An toàn mạng Một phân nhánh của bảo mật truyền thông (communications phần mềm cố ý tạo ra phần mềm không có lỗ hổng và cung cấp phần mềm hiệu quả, hiệu quả mà
security) – nhằm bảo vệ các thành phần, nội dung của mạng mát người dùng có thể tự tin triển khai
tính
Personally Thông tin định Tập hợp các thông tin có thể nhận dạng một cá nhân duy nhất System s developm ent Chu kỳ phát triển một phương pháp luận để thiết kế và triển khai hệ thống thông tin
life cycle (SDLC) hệ thống
identifiable danh cá nhân
information (PII) Top-down approach Tiếp cận từ trên một phương pháp thiết lập các chính sách bảo mật do quản lý cấp trên khởi xướng
xuống
Physical security An toàn vật lý Bảo vệ các tài sản vật lý khỏi bị lạm dụng, sử dụng sai mục đích hoặc Utility Tính tiện ích một thuộc tính của thông tin mô tả cách dữ liệu có giá trị hoặc tính hữu ích cho mục đích
truy cập trái phép cuối cùng
Waterfall m odel M ô hình thác đổ một loại SDLC trong đó mỗi giai đoạn của quy trình “chảy từ” thông tin thu được từ giai
Possession Chiếm hữu thuộc tính thông tin mô tả cách thức quyền sở hữu hoặc kiểm soát
đoạn trước, với nhiều cơ hội để quay lại các giai đoạn trước đó và thực hiện các điều
dữ liệu là hợp pháp hoặc được ủy quyền chỉnh
7 8
2
02/10/2023
Thuật ngữ
1.1. Lịch sử an toàn thông tin
• https://en.wikipedia.org/wiki/Vulnerability_(computing)
• https://csrc.nist.gov/glossary/term/vulnerability
1. Giới thiệu 1.2. Định nghĩa an toàn thông
về an toàn tin
thông tin
1.3. Bản chất An toàn thông
tin: Khoa học hay Nghệ thuật?
9 10
1.1. Lịch sử • Nhu cầu an toàn máy tính và an toàn đối với
thiết bị xuất hiện từ khi máy tính ra đời
1.1. Lịch sử • Sự phát triển của công nghệ và sự ra đời của
máy tính lớn (Mainframe Computer)
an toàn thông • Nhu cầu giải mã các thông điệp trong chiến
tranh dẫn đến sự ra đời của các thiết bị phá
an toàn thông • Chiến tranh Lạnh; vai trò của thông tin, các
chiến dịch gián điệp, chạy đua vũ trang đòi
tin: trước mã, là tiền thân của máy tính hiện đại
• Để đảm bảo an toàn cho thiết bị, các biện
tin: thập niên hỏi các biện pháp an toàn và bảo mật cao
hơn
• Cơ quan Chỉ đạo các Dự án Nghiên cứu Tiên
1960 pháp thông thường là nhận dạng thông qua
giấy phép, giấy tờ cá nhân, … 60 tiến (ARPA) của Bộ Quốc phòng Mỹ đã bắt
đầu kiểm tra tính khả thi của hệ thống liên lạc
• Mức độ an toàn và bảo mật thô sơ trong giai nối mạng dự phòng được thiết kế để hỗ trợ
đoạn đầu tiên nhu cầu trao đổi thông tin của quân đội.
• Nguy cơ chính đối với an toàn là trộm cắp, • Larry Roberts, người sáng lập ra Internet, đã
gián điệp và phá hoại phát triển dự án ARPANET.
11 12
3
02/10/2023
13 14
1.1. Lịch sử 1.1. Lịch sử • MULTICS: hệ thống được gọi là Dịch vụ Máy
tính và Thông tin Đa kênh (Multiplexed
tin: thập niên Bảo mật dữ liệu; (2) Hạn chế tin: thập niên • MULTICS là một hệ điều hành máy tính lớn
(mainframe computer) được phát triển vào giữa
truy cập ngẫu nhiên và trái
70 và 80 phép vào dữ liệu; (3) Sự 70 và 80 những năm 1960 bởi một tập đoàn gồm
General Electric (GE), Bell Labs và Viện Công
nghệ Massachusetts (MIT).
tham gia của nhân sự từ • UNIX: giữa năm 1969, khi tái cấu trúc dự án
nhiều cấp của tổ chức vào MULTICS, một số nhà phát triển trong dự án
MULTICS đã tạo ra một hệ điều hành mới gọi là
bảo mật thông tin UNIX.
15 16
4
02/10/2023
17 18
1.1. Lịch sử • Cuối thế kỷ 20, mạng máy tính trở nên phổ biến, nhu
cầu kết nối các mạng với nhau cũng tăng theo đã tạo
ra Internet
1.1. Lịch sử • Internet đưa hàng triệu mạng máy tính
không an toàn và hàng tỷ hệ thống máy
an toàn thông • Ban đầu, khi vấn đề an toàn được xem xét, việc triển
khai Internet coi nó ở một mức độ ưu tiên thấp.
an toàn thông tính vào giao tiếp liên tục với nhau.
• Tính bảo mật của thông tin được lưu trữ
tin: Thập niên • Khi yêu cầu đối với máy tính nối mạng chiếm ưu thế,
khả năng an toàn vật lý của máy tính vật lý bị mất đi
và thông tin lưu trữ trở nên dễ bị đe dọa hơn trước
tin: thế kỷ 21 của mỗi máy tính phụ thuộc vào mức độ
bảo mật của mọi máy tính trong mạng
19 20
5
02/10/2023
1.1. Lịch sử • Mối đe dọa ngày càng tăng của các cuộc tấn công
mạng đã khiến các chính phủ và các công ty nhận
thức rõ hơn về sự cần thiết phải bảo vệ các hệ thống
1.1. Lịch sử • Hãy liệt kê 3 trường hợp liên
quan đến an toàn thông tin trong
doanh nghiệp (các sự cố bảo
an toàn thông điều khiển máy tính của các tiện ích và cơ sở hạ tầng
quan trọng khác.
• Chiến tranh thông tin và khả năng các hệ thống thông
an toàn thông mật, các cuộc tấn công, …) mà
tin: thế kỷ 21 tin cá nhân và doanh nghiệp có thể tổn hại nếu chúng
không được bảo vệ tin: thế kỷ 21 bạn đã từng biết thông qua báo
chí, internet, ...
• Kể từ năm 2000, Sarbanes-Oxley và các luật khác liên
quan đến quyền riêng tư và trách nhiệm của công ty • Thảo luận nhóm: Bạn có thể là
đã ảnh hưởng đến bảo mật máy tính người ngoài cuộc đối với các vấn
• Cuộc tấn công vào Trung tâm Thương mại Thế giới
vào ngày 11 tháng 9 năm 2001 đã dẫn đến những
đề liên quan đến an toàn thông tin
thay đổi lớn về luật pháp liên quan đến bảo mật máy hay không?
tính, đặc biệt là để tạo điều kiện cho cơ quan thực thi
pháp luật có khả năng thu thập thông tin về khủng bố.
21 22
1. Giới
thiệu về an 1.2. Định nghĩa an toàn thông tin • Ủy ban về các hệ thống an
ninh quốc gia (CNSS) định
23 24
6
02/10/2023
25 26
nghĩa an được bảo vệ. Tài sản có thể có hình thái vật chất hay phi
vật chất. Tài sản thông tin là trọng tâm của an toàn thông nghĩa an • Loss: thiệt hại - tài sản thông tin bị hư hỏng hoặc
bị phá hủy, sửa đổi hoặc tiết lộ ngoài ý muốn hoặc
toàn thông tin
• Attack: Tấn công - Một hành động cố ý hoặc vô ý có thể toàn thông trái phép hoặc bị từ chối sử dụng
• Protection profile or security posture: Hồ sơ bảo
tin tin
làm hỏng hoặc làm tổn hại đến thông tin và hệ thống hỗ trợ
nó. Tấn công có thể là tấn công chủ động hoặc tấn công bị vệ hoặc thái độ bảo mật: Toàn bộ tập hợp các
động; tấn công trực tiếp hoặc tấn công gián tiếp biện pháp kiểm soát và bảo vệ, bao gồm chính
• Control, safeguard, or countermeasure: Kiểm soát, bảo vệ sách, giáo dục, đào tạo và nâng cao nhận thức và
hoặc biện pháp đối phó: Các cơ chế, chính sách hoặc quy công nghệ, mà tổ chức thực hiện để bảo vệ tài
trình bảo mật có thể chống lại các cuộc tấn công thành sản.
công, giảm thiểu rủi ro, giải quyết các lỗ hổng và cải thiện
• Risk: rủi ro – Sự kiện tiềm tàng không mong muốn
tính bảo mật trong tổ chức.
có thể xảy ra gây thiệt hại cho doanh nghiệp
• Exploit: Khai thác - Một kỹ thuật được sử dụng để xâm
phạm hệ thống. • Subjects and objects of attack: Chủ thể tấn công
và đối tượng bị tấn công
27 28
7
02/10/2023
1.2. Định Các đặc điểm quan trọng của thông tin
• Availability: Tính khả dụng – tính chất của thông tin
Các khái niệm chính về An toàn thông tin nghĩa an cho phép người dùng khi cần truy cập thông tin mà
không bị can thiệp hoặc cản trở và truy xuất thông tin
1.2. Định • Threat: Nguy cơ hoặc đe dọa - Bất kỳ sự kiện toàn đó ở định dạng bắt buộc.
• Accuracy: Tính chính xác - khi thông tin không có lỗi
hoặc hoàn cảnh nào có khả năng ảnh hưởng xấu
nghĩa an đến hoạt động và tài sản của tổ chức. thông tin hoặc sai sót, có giá trị mà người dùng mong đợi. Nếu
thông tin chứa giá trị khác với mong đợi của người
• Threat agent: tác nhân đe dọa – một trường hợp dùng do chỉnh sửa nội dung, thì thông tin đó không
toàn thông cụ thể hoặc một thành phần của một mối đe dọa còn chính xác.
• Authenticity: Tính xác thực - chất lượng hoặc trạng
tin • Threat event: Sự kiện đe dọa – sự kiện xảy ra do
tác nhân đe dọa gây ra
thái của thông tin gốc hoặc nguyên bản, thay vì sao
chép hoặc chế tạo. Thông tin xác thực khi nó là thông
• Threat source: Nguồn gốc đe dọa – tập hợp các tin được tạo, đặt, lưu trữ hoặc chuyển giao nguyên
tác nhân đe dọa bản.
• Confidentiality :Tính bảo mật - chất lượng hoặc trạng
• Vulnerability: Nhược điểm / điểm yếu tiềm ẩn có thái thông tin ngăn chặn việc tiết lộ hoặc lộ bí mật
sẵn trong hệ thống hoặc trong các hệ thống phòng thông tin với các cá nhân hoặc hệ thống không được
thủ phép. Tính bảo mật đảm bảo rằng chỉ những người
dùng có quyền, đặc quyền và nhu cầu truy cập thông
tin mới có thể truy cập.
29 30
1.2. Định Các đặc điểm quan trọng của thông tin
1 Availability:
Tính khả dụng
d A Chất lượng hoặc trạng thái có giá trị cho một số
mục đích hoặc kết quả
nghĩa an • Integrity :Tính toàn vẹn - chất lượng hoặc trạng thái
của toàn bộ, hoàn chỉnh và không bị gián đoạn. Tính duy trì trong 1 khoang thoi
2 Accuracy: F B Chất lượng hoặc trạng thái thông tin ngăn chặn
toàn vẹn của thông tin bị đe dọa khi thông tin bị lộ,
toàn
gian
Tính chính xác việc tiết lộ hoặc lộ bí mật thông tin với các cá
hỏng, bị phá hủy hoặc do các hành vi khác làm gián
thông tin đoạn trạng thái nguyên bản của nó. Liên kết giữa nhân hoặc hệ thống không được phép
• Utility: Tiện ích - chất lượng hoặc trạng thái có giá trị
cho một số mục đích hoặc kết quả. Thông tin có giá trị
bao gom kha
dung gan voi
đặc điểm 3 Authenticity:
Tính xác thực
g C Chất lượng hoặc trạng thái có quyền sở hữu
hoặc kiểm soát một số đối tượng hoặc vật
khi nó phục vụ một mục đích cụ thể. Điều này có
nghĩa là nếu thông tin có sẵn, nhưng không ở định
muc tieu cu
the thông tin và phẩm
dạng có ý nghĩa đối với người dùng cuối, thì nó sẽ
không hữu ích. định nghĩa 4 Confidentiality:
Tính bảo mật
b D Tính chất của thông tin cho phép người dùng khi
cần truy cập thông tin mà không bị can thiệp
• Possession: Chiếm hữu - chất lượng hoặc trạng thái tương ứng hoặc cản trở và truy xuất thông tin đó ở định
dạng bắt buộc
có quyền sở hữu hoặc kiểm soát một số đối tượng
hoặc vật phẩm. Thông tin được cho là thuộc quyền sở 5 Integrity: e E Chất lượng hoặc trạng thái của toàn bộ, hoàn
hữu của một người nếu một người có được nó, không Tính toàn vẹn chỉnh và không bị gián đoạn
phụ thuộc vào định dạng hoặc các đặc điểm khác.
Mặc dù vi phạm bảo mật luôn dẫn đến vi phạm quyền 6 Utility: Tiện ích F Khi thông tin không có lỗi hoặc sai sót, có giá trị
sở hữu, vi phạm sở hữu không phải lúc nào cũng dẫn a mà người dùng mong đợi.
đến vi phạm bảo mật
7 Possession: G Chất lượng hoặc trạng thái của thông tin gốc
Chiếm hữu c hoặc nguyên bản, thay vì sao chép hoặc chế
tạo
31 32
8
02/10/2023
1.1. Lịch sử an toàn thông tin Tính đa dạng, phức tạp, không có nguyên mẫu, luôn linh hoạt,
luôn sáng tạo trong lĩnh vực bảo mật, sự cân bằng trong việc
vận dụng kiến thức bảo mật, sự tương tác bảo mật giữa các
hệ thống con trong một hệ thống lớn dẫn đến tính nghệ thật
1. Giới của an toàn thông tin.
thiệu về an 1.2. Định nghĩa an toàn thông tin 1.3. Bản chất Đặc tính của công nghệ và khoa học máy tính, tính nghiêm túc
toàn thông an toàn thông và các nguyên tắc trong phương pháp và kỹ thuật, sự tương
tác giữa phần cứng và phần mềm và tri thức về bảo mật cho
thấy tính khoa học của an toàn thông tin
tin tin
1.3. Bản chất An toàn thông tin: Sự tương tác của con người với hệ thống, hành vi của người
dùng tác động đến bảo mật, nhận thức về rủi ro trong môi
Khoa học hay Nghệ thuật? trường CNTT cho thấy an toàn thông tin mang tính chất của
khoa học xã hội
33 34
35 36
9
02/10/2023
thông tin hệ thống thông tin CNSS McCumber tạo ra năm 1991, được gọi là
khối lập phương McCumber, bao gồm 27
khối tương ứng với các lĩnh vực an toàn
2.3. Cân bằng giữa an thông tin
• Trong quy trình bảo mật – an toàn hệ thống
toàn thông tin và truy cập cần đảm bảo mỗi khối được xác định và
được giải quyết một cách đúng đắn.
37 38
39 40
10
02/10/2023
2.2. Các thành phần của hệ thống thông tin • HTTT có 6 thành phần: Con
người, phần cứng, phần mềm,
mạng máy tính, các chính sách
và thủ tục, và dữ liệu
2.2. Các thành • Mỗi thành phần có điểm mạnh,
điểm yếu, tính chất và công
phần của hệ dụng riêng
thống thông tin • Mỗi thành phần có các yêu cầu
về an toàn và bảo mật khác
nhau
41 42
43 44
11
02/10/2023
2.3. Cân bằng giữa an toàn thông tin và truy cập 2.3. Cân bằng giữa an toàn
thông tin và khả năng truy cập • Không thể có được an
toàn thông tin tuyệt đối,
hoàn hảo
• An toàn thông tin là quá
trình, không phải là mục
tiêu
• Hệ thống luôn sẵn sàng
để truy cập sẽ dẫn đến
nguy cơ bị tấn công,
ngược lại, nếu cô lập hệ
thống để đảm bảm an
toàn cao thì không thể truy
cập được
45 46
47 48
12
02/10/2023
49 50
3.1. Cách tiếp cận thực hiện an toàn thông tin 3.1. Cách tiếp cận thực
hiện an toàn thông tin • Tiếp cận từ dưới
(bottom-up approach)
lên
51 52
13
02/10/2023
53 54
55 56
14
02/10/2023
• Cách tiếp cận truyền thống để triển khai an toàn Chu kỳ phát triển hệ thống SDLC (Systems
thông tin có nhiều cách thức khác nhau như JAD Development Life Cycle): SDLC là một phương
(joint application development – phát triển ứng pháp luận được áp dụng trong phân tích, thiết kế,
dụng liên kết); RAD (rapid application thực hiện và vận hành hệ thống, bao gồm các cách
development - phát triển ứng dụng nhanh); thức tiếp cận chính thức để giải quyết vấn đề dựa
DevOps – phương pháp dựa trên sự tích hợp trên chuỗi các thủ tục có cấu trúc, quy trình chặt
nhu cầu của nhóm phát triển (development team) chẽ, không bỏ sót các bước cho đến khi đạt được
và nhóm vận hành (operations team) mục tiêu cuối cùng.
57 58
3.2. An toàn thông tin 3.2. An toàn thông tin và chu kỳ phát triển HT: SDLC truyền thống
và chu kỳ phát triển HT
59 60
15
02/10/2023
3.2. An toàn thông tin và chu kỳ 3.2. An toàn thông tin và chu kỳ
phát triển HT: Bảo hiểm phần phát triển HT: Bảo hiểm phần
mềm mềm
61 62
3.2. An toàn thông tin và chu kỳ 3.2. An toàn thông tin và chu kỳ
phát triển HT: Bảo hiểm phần phát triển HT: Nguyên tắc thiết kế
mềm phần mềm
63 64
16
02/10/2023
3.2. An toàn thông tin và chu kỳ 3.2. An toàn thông tin và chu kỳ phát triển HT: SDLC của MicroSoft
phát triển HT: Tiếp cận NIST
trong an toàn SDLC
Viện Tiêu chuẩn và Công nghệ NIST khuyến cáo các tổ chức tích
Quốc gia (NIST) đã điều chỉnh đơn hợp các bước bảo mật CNTT liên
giản hóa chu kỳ phát triển hệ quan của SDLC vào quy trình phát
thống dựa trên 5 giai đoạn: (1) triển hệ thống, an toàn thông tin
Khởi đầu; (2) Phát triển / Mua phải được thiết kế trong một hệ
sắm; (3) Thực hiện / Đánh giá; (4) thống ngay từ đầu chứ không phải
Vận hành / Bảo trì; và (5) Thanh lý sau khi được thực hiện
65 66
67 68
17
02/10/2023
4.1. Chuyên gia an toàn thông tin trong DN 4.1. Chuyên gia an toàn thông tin trong DN
• Giám đốc thông tin (chief • Giám đốc an toàn thông tin
information officer - CIO): Một vị (chief information security
trí ở cấp điều hành; giám sát officer - CISO): CISO thường
công nghệ máy tính của doanh
không phải là một vị trí cấp
nghiệp và có trách nhiệm trong điều hành, báo cáo cho CIO,
việc tạo ra hiệu quả trong xử lý
và truy cập thông tin của doanh
chịu trách nhiệm chính trong
nghiệp; tư vấn hoạch định chiến vấn đề an toàn và bảo mật
lược CNTT cho Giám đốc điều hệ thống thông tin, về việc
hành và triển khai chiến lược đánh giá, quản lý và thực
của doanh nghiệp liên quan đến hiện an toàn thông tin.
CNTT.
69 70
71 72
18
02/10/2023
Nhóm quản lý chung: bao gồm toàn bộ người sử 1. Giới thiệu về an toàn thông tin
dụng hệ thống công nghệ thông tin (theo góc nhìn
1.1. Lịch sử an toàn thông tin
4.2. Các
của nhóm quản lý công nghệ thông tin) và cũng là
đối tượng bảo mật theo góc nhìn của nhóm quản 1.2. Định nghĩa an toàn thông tin
lý an toàn thông tin 1.3. Bản chất An toàn thông tin: Khoa học hay Nghệ thuật?
nhóm người NỘI DUNG 2. Mô hình an toàn thông tin
dùng ảnh Nhóm quản lý công nghệ thông tin: bao gồm các
2.1. Mô hình an toàn CNSS
2.2. Các thành phần của hệ thống thông tin
hưởng đến chuyên gia CNTT và các nhà quản lý CNTT, hỗ trợ
cho việc vận hành hệ thống CNTT trong doanh
nghiệp 3.
2.3. Cân bằng giữa an toàn thông tin và truy cập
Triển khai an toàn thông tin
an toàn thông 3.1. Cách tiếp cận thực hiện an toàn thông tin
3.2. An toàn thông tin và chu kỳ phát triển hệ thống
tin trong Nhóm quản lý an toàn thông tin: bao gồm các
4. An toàn thông tin trong doanh nghiệp
4.1. Chuyên gia an toàn thông tin trong doanh nghiệp
doanh nghiệp chuyên gia an toàn và bảo mật, tập trung cho mục
tiêu đảm bảo an toàn và bảo vệ thông tin, dữ liệu,
hệ thống của doanh nghiệp khỏi các cuộc tấn
4.2. Các nhóm người dùng ảnh hưởng đến an toàn thông tin
trong doanh nghiệp
công.
73 74
Bài tập
Using the Web, find out more about Kevin Mitnick (or HieuPC). What did he do?
Who caught him? Write a short summary of his activities and explain why he is
infamous.
75 76
19