02/10/2023

Tình huống
AN TOÀN THÔNG TIN KẾ TOÁN • Một ngày làm việc bình thường, cô Maggie Q. –

(Accounting Information Security – AISe) nhân viên kế toán nhận được email của trưởng
phòng Kế toán, với nội dung yêu cầu cô Q. mở file
văn bản đính kèm để làm báo cáo nhanh về tình
CHƯƠNG 1 hình công nợ. Sau khi mở email, cô Q. không đọc
được nội dung, máy tính tự khởi động và sau đó,
TỔNG QUAN VỀ AN TOÀN THÔNG TIN KẾ TOÁN toàn bộ dữ liệu bị mã hóa. Trong 15 phút sau,
màn hình máy tính của tất cả nhân viên công ty
đều hiện lên thông báo dữ liệu bị mã hóa, yêu cầu
công ty phải trả tiền chuộc hoặc toàn bộ dữ liệu sẽ
bị xóa sạch sau 24 giờ.
• Điều gì đã xảy ra?
• Sự cố diễn ra như thế nào?
• Làm sao để ngăn chặn?

1 2

1. Giới thiệu về an toàn thông tin

1.1. Lịch sử an toàn thông tin
1.2. Định nghĩa an toàn thông tin
1.3. Bản chất An toàn thông tin: Khoa học hay Nghệ thuật?
• Định nghĩa an toàn thông tin 2. Mô hình an toàn thông tin
• Hiểu biết về lịch sử an toàn máy tính và giải thích sự 2.1. Mô hình an toàn CNSS
phát triển an toàn thông tin. 2.2. Các thành phần của hệ thống thông tin

MỤC TIÊU • Xác định các thuật ngữ và các khái niệm quan trọng
về an toàn thông tin NỘI DUNG 3.
2.3. Cân bằng giữa an toàn thông tin và truy cập

Triển khai an toàn thông tin

CHƯƠNG • Giải thích vai trò của an toàn trong chu kỳ phát triển
3.1. Cách tiếp cận thực hiện an toàn thông tin
3.2. An toàn thông tin và chu kỳ phát triển hệ thống
hệ thống
4. An toàn thông tin trong doanh nghiệp
• Mô tả vai trò của các chuyên gia đối với an toàn thông 4.1. Chuyên gia an toàn thông tin trong doanh nghiệp
tin trong doanh nghiệp
4.2. Các nhóm người dùng ảnh hưởng đến an toàn thông tin
trong doanh nghiệp

3 4

1
 02/10/2023

Thuật ngữ Thuật ngữ

Accuracy Độ chính xác thuộc tính thông tin mô tả cách dữ liệu không có lỗi và có giá trị mà người dùng mong đợi
Authenticity Tính xác thực thuộc tính của thông tin mô tả cách dữ liệu được xác thực hoặc là nguyên bản thay vì sao chép hoặc bịa đặt Com puter security An toàn máy tính trong gian đoạn sơ khai của máy tính, an toàn máy tính mô tả các chi tiết liên quan đến
yêu cầu đảm bảo an toàn trước những nguy cơ bên ngoài. Hiện nay, thuật ngữ này được
Availability: Tính khả dụng một thuộc tính của thông tin mô tả cách dữ liệu có thể truy cập và được định dạng chính xác để sử dụng mà tiến hóa thành an toàn thông tin nói chung
không bị can thiệp hoặc cản trở
Confidentiality Tính bảo mật một thuộc tính của thông tin mô tả cách dữ liệu được bảo vệ khỏi tiết lộ hoặc tiếp xúc với
Bottom-up Cách tiếp cận từ dưới một phương pháp thiết lập các chính sách bảo mật bắt đầu từ một nỗ lực cấp thấp hơn trong đó quản trị viên các cá nhân hoặc hệ thống trái phép
approach lên hệ thống cố gắng cải thiện tính bảo mật của hệ thống của họ
Data custodians Người quản lý dữ những người chịu trách nhiệm lưu trữ, duy trì và bảo vệ thông tin
C.I.A. triad: C ba tiêu chuẩn C.I.A / tam tiêu chuẩn công nghiệp về bảo mật máy tính kể từ khi phát triển máy tính lớn (mainframe) - Tiêu chuẩn dựa
liệu
(confidentiality); I giác C.I.A trên ba đặc điểm mô tả ứng dụng tiện ích của thông tin: tính bảo mật, tính toàn vẹn và tính sẵn có
(integrity); A Data owners Chủ sở hữu dữ liệu các cá nhân kiểm soát và do đó chịu trách nhiệm về bảo mật và sử dụng một tập hợp
(availability) thông tin cụ thể; chủ sở hữu dữ liệu có thể dựa vào người giám sát về các khía cạnh
thực tế của việc bảo vệ thông tin của họ, chỉ định người dùng nào được phép truy cập
thông tin đó, nhưng họ phải chịu trách nhiệm cuối cùng về điều đó
Chief information Giám đốc Công nghệ Vị trí cấp điều hành chịu trách nhiệm quản lý và giám sát các vấn đề về công nghệ thông tin trong đơn vị, đảm
Data users Người dùng dữ liệu những người làm việc với thông tin để thực hiện công việc hàng ngày của họ và hỗ trợ
officer (CIO) thông tin bảo tính hữu hiệu và hiệu quả trong việc xử lý và cung cấp thông tin
sứ mệnh của tổ chức
Chief information Giám đốc an toàn thông Người đứng đầu nhóm nhân viên chịu trách nhiệm an toàn thông tin và báo cáo cho Giám đốc công nghệ
security officer tin thông tin Inform ation security An toàn thông tin Bảo vệ tính bảo mật, toàn vẹn, khả dụng của tài sản thông tin ở bất cứ nơi lưu trữ nào, hoặc
(CISO) trong quá trình truyền tải - thông qua việc áp dụng các chính sách, quá trình đào tạo, huấn luyện,
nâng cao nhận thức cũng như sử dụng công nghệ
Communications Bảo mật truyền thông bảo vệ cho tất cả thiết bị, phương tiện truyền thông, công nghệ và nội dung số trong đơn vị
security Inform ation system Hệ thống thông tin Tập hợp phần cứng, phần mềm, con người, các thủ tục, mạng máy tính nhằm sử dụng các nguồn
(IS) lực công ngệ thông tin trong đơn vị
Community of Nhóm lợi ích liên quan một nhóm người có cũng mối quan tâm, lợi ích, lợi nhuận trong đơn vị và chi sẻ cũng mục tiêu nhằm giúp đơn
interest vị đạt được mục tiêu.

5 6

Thuật ngữ Thuật ngữ

Integrity Tính toàn vẹn
Thuộc tính của thông tin mô tả dữ liệu và thông tin ở mức độ toàn Project team Đội dự án một nhóm chức năng nhỏ gồm những người có kinh nghiệm trong một hoặc nhiều khía

bộ, hoàn chỉnh và không gián đoạn cạnh của các lĩnh vực kỹ thuật và kỹ thuật cần thiết cho dự án mà họ được giao.

McCumber Cube Khối lập Hình ảnh minh họa theo hình khối lập phương, là cách tiếp cận phổ Security An toàn / an ninh / trạng thái an toàn và không bị nguy hiểm hoặc tổn hại. Ngoài ra, các hành động được
bảo mật thực hiện để đảm bảo an toàn cho ai đó hoặc thứ gì đó
phương biến trong an toàn thông tin, mô tả các chiều theo các lĩnh vực liên
McCumber quan an toàn thông tin Software assurance Bảo hiểm phần một cách tiếp cận theo phương pháp luận để phát triển phần mềm nhằm xây dựng bảo
(SA) mềm / đảm bảo mật vào vòng đời phát triển hơn là giải quyết vấn đề đó ở các giai đoạn sau. SA cố gắng
Network security An toàn mạng Một phân nhánh của bảo mật truyền thông (communications phần mềm cố ý tạo ra phần mềm không có lỗ hổng và cung cấp phần mềm hiệu quả, hiệu quả mà
security) – nhằm bảo vệ các thành phần, nội dung của mạng mát người dùng có thể tự tin triển khai
tính
Personally Thông tin định Tập hợp các thông tin có thể nhận dạng một cá nhân duy nhất System s developm ent Chu kỳ phát triển một phương pháp luận để thiết kế và triển khai hệ thống thông tin
life cycle (SDLC) hệ thống
identifiable danh cá nhân
information (PII) Top-down approach Tiếp cận từ trên một phương pháp thiết lập các chính sách bảo mật do quản lý cấp trên khởi xướng
xuống
Physical security An toàn vật lý Bảo vệ các tài sản vật lý khỏi bị lạm dụng, sử dụng sai mục đích hoặc Utility Tính tiện ích một thuộc tính của thông tin mô tả cách dữ liệu có giá trị hoặc tính hữu ích cho mục đích
truy cập trái phép cuối cùng
Waterfall m odel M ô hình thác đổ một loại SDLC trong đó mỗi giai đoạn của quy trình “chảy từ” thông tin thu được từ giai
Possession Chiếm hữu thuộc tính thông tin mô tả cách thức quyền sở hữu hoặc kiểm soát
đoạn trước, với nhiều cơ hội để quay lại các giai đoạn trước đó và thực hiện các điều
dữ liệu là hợp pháp hoặc được ủy quyền chỉnh

7 8

2

Thuật ngữ
• https://en.wikipedia.org/wiki/Vulnerability_(computing)
• https://csrc.nist.gov/glossary/term/vulnerability
9 10
1.1. Lịch sử • Nhu cầu an toàn máy tính và an toàn đối với
thiết bị xuất hiện từ khi máy tính ra đời
an toàn thông • Nhu cầu giải mã các thông điệp trong chiến
tranh dẫn đến sự ra đời của các thiết bị phá
tin: trước mã, là tiền thân của máy tính hiện đại
• Để đảm bảo an toàn cho thiết bị, các biện
1960 pháp thông thường là nhận dạng thông qua
giấy phép, giấy tờ cá nhân, …
• Mức độ an toàn và bảo mật thô sơ trong giai
đoạn đầu tiên
• Nguy cơ chính đối với an toàn là trộm cắp,
gián điệp và phá hoại
11
02/10/2023
1.1. Lịch sử an toàn thông tin
1. Giới thiệu 1.2. Định nghĩa an toàn thông
về an toàn tin
thông tin
1.3. Bản chất An toàn thông
tin: Khoa học hay Nghệ thuật?
1.1. Lịch sử • Sự phát triển của công nghệ và sự ra đời của
máy tính lớn (Mainframe Computer)
an toàn thông • Chiến tranh Lạnh; vai trò của thông tin, các
chiến dịch gián điệp, chạy đua vũ trang đòi
tin: thập niên hỏi các biện pháp an toàn và bảo mật cao
hơn
• Cơ quan Chỉ đạo các Dự án Nghiên cứu Tiên
60 tiến (ARPA) của Bộ Quốc phòng Mỹ đã bắt
đầu kiểm tra tính khả thi của hệ thống liên lạc
nối mạng dự phòng được thiết kế để hỗ trợ
nhu cầu trao đổi thông tin của quân đội.
• Larry Roberts, người sáng lập ra Internet, đã
phát triển dự án ARPANET.
12
3
 02/10/2023

1.1. Lịch sử • ARPANET đã trở nên phổ biến và được sử

dụng nhiều hơn, và khả năng bị lạm dụng
cũng cao hơn
1.1. Lịch sử • Vi phạm an toàn máy tính ngày càng
nhiều, đa dạng, số lượng máy chủ

an toàn thông • Robert M. Metcalfe đã chỉ ra rằng có những

vấn đề cơ bản với bảo mật ARPANET.
an toàn thông và người dùng tăng nhanh, càng đặt
ra vấn đề an toàn mạng máy tính
trở nên cấp bách.
tin: thập niên • Các trang web của người dùng được truy
cập từ xa không có đủ các biện pháp kiểm
tin: thập niên • Báo cáo của RAND Corporation

70 và 80 soát và biện pháp bảo vệ để đảm bảo an

toàn dữ liệu. 70 và 80 1970 (RAND R 609) xác định các thủ
tục kiểm soát và cơ chế cần thiết để
• Việc thiếu các quy trình an toàn cho các kết bảo vệ hệ thống xử lý dữ liệu được
nối tới ARPANET. máy tính hóa – được xem là tài liệu
• Nhận dạng người dùng và phân quyền cho đầu tiên cho việc nghiên cứu an toàn
hệ thống không tồn tại. máy tính

13 14

1.1. Lịch sử 1.1. Lịch sử • MULTICS: hệ thống được gọi là Dịch vụ Máy
tính và Thông tin Đa kênh (Multiplexed

an toàn thông • Phạm vi an toàn máy tính

được mở rộng, bao gồm: (1)
an toàn thông Information and Computing Service MULTICS)
là hệ điều hành đầu tiên tích hợp bảo mật vào
các chức năng cốt lõi của nó.

tin: thập niên Bảo mật dữ liệu; (2) Hạn chế tin: thập niên • MULTICS là một hệ điều hành máy tính lớn
(mainframe computer) được phát triển vào giữa
truy cập ngẫu nhiên và trái
70 và 80 phép vào dữ liệu; (3) Sự 70 và 80 những năm 1960 bởi một tập đoàn gồm
General Electric (GE), Bell Labs và Viện Công
nghệ Massachusetts (MIT).
tham gia của nhân sự từ • UNIX: giữa năm 1969, khi tái cấu trúc dự án
nhiều cấp của tổ chức vào MULTICS, một số nhà phát triển trong dự án
MULTICS đã tạo ra một hệ điều hành mới gọi là
bảo mật thông tin UNIX.

15 16

4
 02/10/2023

1.1. Lịch sử • MULTICS bảo mật với nhiều cấp

độ bảo mật và mật khẩu, UNIX thì 1.1. Lịch sử • 1980s: TCP (the Transmission Control
Protocol) and IP (the Internet Protocol) -
an toàn thông không.
• Cuối những năm 1970, bộ vi xử lý
an toàn thông các giao thức được sử dụng trên
Internet được phát triển vào đầu những

tin: thập niên đã mang lại một kỷ nguyên mới

về khả năng tính toán; hệ thống
tin: thập niên năm 1980 cùng với DNS (Hệ thống tên
miền).

70 và 80 xử lý dữ liệu phân tán, mạng máy

tính, khả năng chia sẽ dữ liệu và
70 và 80 • 1988, Cơ quan Chỉ đạo các Dự án
Nghiên cứu Quốc phòng Tiên tiến
(DARPA), đã thành lập Nhóm Ứng cứu
các mối đe dọa bảo mật là các Khẩn cấp Máy tính (CERT) để giải quyết
vấn đề phát sinh khi các bộ vi xử vấn đề an ninh mạng.
lý này được nối mạng.

17 18

1.1. Lịch sử • Cuối thế kỷ 20, mạng máy tính trở nên phổ biến, nhu
cầu kết nối các mạng với nhau cũng tăng theo đã tạo
ra Internet
1.1. Lịch sử • Internet đưa hàng triệu mạng máy tính
không an toàn và hàng tỷ hệ thống máy
an toàn thông • Ban đầu, khi vấn đề an toàn được xem xét, việc triển
khai Internet coi nó ở một mức độ ưu tiên thấp.
an toàn thông tính vào giao tiếp liên tục với nhau.
• Tính bảo mật của thông tin được lưu trữ
tin: Thập niên • Khi yêu cầu đối với máy tính nối mạng chiếm ưu thế,
khả năng an toàn vật lý của máy tính vật lý bị mất đi
và thông tin lưu trữ trở nên dễ bị đe dọa hơn trước
tin: thế kỷ 21 của mỗi máy tính phụ thuộc vào mức độ
bảo mật của mọi máy tính trong mạng

90 các mối đe dọa bảo mật.

• Cuối những năm 1990 và những năm 2000, nhiều
máy tính đó.
• Trong những năm gần đây, nhận thức về
công ty lớn bắt đầu tích hợp công khai các nội dung
bảo mật trong tổ chức. Các sản phẩm chống vi-rút đã
nhu cầu nâng cao an toàn thông tin ngày
trở nên phổ biến và an toàn thông tin bắt đầu hình càng tăng, cũng như nhận thức rằng an
thành như một quy luật độc lập. toàn thông tin là quan trọng đối với quốc
phòng.

19 20

5
 02/10/2023

1.1. Lịch sử • Mối đe dọa ngày càng tăng của các cuộc tấn công
mạng đã khiến các chính phủ và các công ty nhận
thức rõ hơn về sự cần thiết phải bảo vệ các hệ thống
1.1. Lịch sử • Hãy liệt kê 3 trường hợp liên
quan đến an toàn thông tin trong
doanh nghiệp (các sự cố bảo
an toàn thông điều khiển máy tính của các tiện ích và cơ sở hạ tầng
quan trọng khác.
• Chiến tranh thông tin và khả năng các hệ thống thông
an toàn thông mật, các cuộc tấn công, …) mà
tin: thế kỷ 21 tin cá nhân và doanh nghiệp có thể tổn hại nếu chúng
không được bảo vệ tin: thế kỷ 21 bạn đã từng biết thông qua báo
chí, internet, ...
• Kể từ năm 2000, Sarbanes-Oxley và các luật khác liên
quan đến quyền riêng tư và trách nhiệm của công ty • Thảo luận nhóm: Bạn có thể là
đã ảnh hưởng đến bảo mật máy tính người ngoài cuộc đối với các vấn
• Cuộc tấn công vào Trung tâm Thương mại Thế giới
vào ngày 11 tháng 9 năm 2001 đã dẫn đến những
đề liên quan đến an toàn thông tin
thay đổi lớn về luật pháp liên quan đến bảo mật máy hay không?
tính, đặc biệt là để tạo điều kiện cho cơ quan thực thi
pháp luật có khả năng thu thập thông tin về khủng bố.

21 22

1.1. Lịch sử an toàn thông tin 1.2. Định nghĩa an

toàn thông tin

1. Giới
thiệu về an 1.2. Định nghĩa an toàn thông tin • Ủy ban về các hệ thống an
ninh quốc gia (CNSS) định

toàn thông nghĩa an toàn thông tin là bảo

vệ thông tin và các yếu tố

tin quan trọng của nó, bao gồm

các hệ thống và phần cứng
1.3. Bản chất An toàn thông tin: dùng để sử dụng, lưu trữ và
truyền tải thông tin

Khoa học hay Nghệ thuật?

23 24

6
 02/10/2023

1.2. Định nghĩa an

toàn thông tin
1.2. Định nghĩa
An toàn thông tin bao
an toàn thông tin
gồm các lĩnh vực: • C.I.A. triad: C (confidentiality);
- An toàn máy tính I (integrity); A (availability) – tam
giác C.I.A : tiêu chuẩn công
- Bảo mật dữ liệu nghiệp về bảo mật máy tính kể
- An ninh mạng. từ khi phát triển máy tính lớn
(mainframe) - Tiêu chuẩn dựa
trên ba đặc điểm mô tả ứng
dụng tiện ích của thông tin: tính
bảo mật, tính toàn vẹn và tính
khả dụng.

25 26

Các khái niệm chính về An toàn thông tin

Các khái niệm chính về An toàn thông tin
• Exposure: điểm yếu bảo mật - Một tình trạng
• Access: Quyền truy cập - Khả năng sử dụng, thao tác, sửa
hoặc trạng thái bị phơi nhiễm; trong bảo mật
đổi hoặc ảnh hưởng đến chủ thể, hoặc đối tượng khác của
thông tin, sự lộ diện tồn tại khi kẻ tấn công biết
1.2. Định chủ thể hoặc đối tượng.
• Asset: Tài sản – các nguồn lực của doanh nghiệp đang
1.2. Định được một lỗ hổng.

nghĩa an được bảo vệ. Tài sản có thể có hình thái vật chất hay phi
vật chất. Tài sản thông tin là trọng tâm của an toàn thông
toàn thông tin
• Attack: Tấn công - Một hành động cố ý hoặc vô ý có thể
tin
làm hỏng hoặc làm tổn hại đến thông tin và hệ thống hỗ trợ
nó. Tấn công có thể là tấn công chủ động hoặc tấn công bị
động; tấn công trực tiếp hoặc tấn công gián tiếp
• Control, safeguard, or countermeasure: Kiểm soát, bảo vệ
hoặc biện pháp đối phó: Các cơ chế, chính sách hoặc quy
trình bảo mật có thể chống lại các cuộc tấn công thành
công, giảm thiểu rủi ro, giải quyết các lỗ hổng và cải thiện
tính bảo mật trong tổ chức.
• Exploit: Khai thác - Một kỹ thuật được sử dụng để xâm
phạm hệ thống.
nghĩa an • Loss: thiệt hại - tài sản thông tin bị hư hỏng hoặc
bị phá hủy, sửa đổi hoặc tiết lộ ngoài ý muốn hoặc
toàn thông trái phép hoặc bị từ chối sử dụng
• Protection profile or security posture: Hồ sơ bảo
tin
vệ hoặc thái độ bảo mật: Toàn bộ tập hợp các
biện pháp kiểm soát và bảo vệ, bao gồm chính
sách, giáo dục, đào tạo và nâng cao nhận thức và
công nghệ, mà tổ chức thực hiện để bảo vệ tài
sản.
• Risk: rủi ro – Sự kiện tiềm tàng không mong muốn
có thể xảy ra gây thiệt hại cho doanh nghiệp
• Subjects and objects of attack: Chủ thể tấn công
và đối tượng bị tấn công

27 28

7
 02/10/2023

1.2. Định Các đặc điểm quan trọng của thông tin
• Availability: Tính khả dụng – tính chất của thông tin
Các khái niệm chính về An toàn thông tin nghĩa an cho phép người dùng khi cần truy cập thông tin mà
không bị can thiệp hoặc cản trở và truy xuất thông tin
1.2. Định • Threat: Nguy cơ hoặc đe dọa - Bất kỳ sự kiện toàn đó ở định dạng bắt buộc.
• Accuracy: Tính chính xác - khi thông tin không có lỗi
hoặc hoàn cảnh nào có khả năng ảnh hưởng xấu
nghĩa an đến hoạt động và tài sản của tổ chức. thông tin hoặc sai sót, có giá trị mà người dùng mong đợi. Nếu
thông tin chứa giá trị khác với mong đợi của người
• Threat agent: tác nhân đe dọa – một trường hợp dùng do chỉnh sửa nội dung, thì thông tin đó không
toàn thông cụ thể hoặc một thành phần của một mối đe dọa còn chính xác.
• Authenticity: Tính xác thực - chất lượng hoặc trạng
tin • Threat event: Sự kiện đe dọa – sự kiện xảy ra do
tác nhân đe dọa gây ra
thái của thông tin gốc hoặc nguyên bản, thay vì sao
chép hoặc chế tạo. Thông tin xác thực khi nó là thông
• Threat source: Nguồn gốc đe dọa – tập hợp các tin được tạo, đặt, lưu trữ hoặc chuyển giao nguyên
tác nhân đe dọa bản.
• Confidentiality :Tính bảo mật - chất lượng hoặc trạng
• Vulnerability: Nhược điểm / điểm yếu tiềm ẩn có thái thông tin ngăn chặn việc tiết lộ hoặc lộ bí mật
sẵn trong hệ thống hoặc trong các hệ thống phòng thông tin với các cá nhân hoặc hệ thống không được
thủ phép. Tính bảo mật đảm bảo rằng chỉ những người
dùng có quyền, đặc quyền và nhu cầu truy cập thông
tin mới có thể truy cập.

29 30

Đặc điểm Định nghĩa

1.2. Định Các đặc điểm quan trọng của thông tin
1 Availability:
Tính khả dụng
d A Chất lượng hoặc trạng thái có giá trị cho một số
mục đích hoặc kết quả
nghĩa an • Integrity :Tính toàn vẹn - chất lượng hoặc trạng thái
của toàn bộ, hoàn chỉnh và không bị gián đoạn. Tính duy trì trong 1 khoang thoi
2 Accuracy: F B Chất lượng hoặc trạng thái thông tin ngăn chặn
toàn vẹn của thông tin bị đe dọa khi thông tin bị lộ,
toàn
gian
Tính chính xác việc tiết lộ hoặc lộ bí mật thông tin với các cá
hỏng, bị phá hủy hoặc do các hành vi khác làm gián
thông tin đoạn trạng thái nguyên bản của nó. Liên kết giữa nhân hoặc hệ thống không được phép

• Utility: Tiện ích - chất lượng hoặc trạng thái có giá trị
cho một số mục đích hoặc kết quả. Thông tin có giá trị
bao gom kha
dung gan voi
đặc điểm 3 Authenticity:
Tính xác thực
g C Chất lượng hoặc trạng thái có quyền sở hữu
hoặc kiểm soát một số đối tượng hoặc vật
khi nó phục vụ một mục đích cụ thể. Điều này có
nghĩa là nếu thông tin có sẵn, nhưng không ở định
muc tieu cu
the thông tin và phẩm
dạng có ý nghĩa đối với người dùng cuối, thì nó sẽ
không hữu ích. định nghĩa 4 Confidentiality:
Tính bảo mật
b D Tính chất của thông tin cho phép người dùng khi
cần truy cập thông tin mà không bị can thiệp
• Possession: Chiếm hữu - chất lượng hoặc trạng thái tương ứng hoặc cản trở và truy xuất thông tin đó ở định
dạng bắt buộc
có quyền sở hữu hoặc kiểm soát một số đối tượng
hoặc vật phẩm. Thông tin được cho là thuộc quyền sở 5 Integrity: e E Chất lượng hoặc trạng thái của toàn bộ, hoàn
hữu của một người nếu một người có được nó, không Tính toàn vẹn chỉnh và không bị gián đoạn
phụ thuộc vào định dạng hoặc các đặc điểm khác.
Mặc dù vi phạm bảo mật luôn dẫn đến vi phạm quyền 6 Utility: Tiện ích F Khi thông tin không có lỗi hoặc sai sót, có giá trị
sở hữu, vi phạm sở hữu không phải lúc nào cũng dẫn a mà người dùng mong đợi.
đến vi phạm bảo mật
7 Possession: G Chất lượng hoặc trạng thái của thông tin gốc
Chiếm hữu c hoặc nguyên bản, thay vì sao chép hoặc chế
tạo

31 32

8
 02/10/2023

1.1. Lịch sử an toàn thông tin Tính đa dạng, phức tạp, không có nguyên mẫu, luôn linh hoạt,
luôn sáng tạo trong lĩnh vực bảo mật, sự cân bằng trong việc
vận dụng kiến thức bảo mật, sự tương tác bảo mật giữa các
hệ thống con trong một hệ thống lớn dẫn đến tính nghệ thật
1. Giới của an toàn thông tin.

thiệu về an 1.2. Định nghĩa an toàn thông tin 1.3. Bản chất Đặc tính của công nghệ và khoa học máy tính, tính nghiêm túc

toàn thông an toàn thông và các nguyên tắc trong phương pháp và kỹ thuật, sự tương
tác giữa phần cứng và phần mềm và tri thức về bảo mật cho
thấy tính khoa học của an toàn thông tin
tin tin
1.3. Bản chất An toàn thông tin: Sự tương tác của con người với hệ thống, hành vi của người
dùng tác động đến bảo mật, nhận thức về rủi ro trong môi

Khoa học hay Nghệ thuật? trường CNTT cho thấy an toàn thông tin mang tính chất của
khoa học xã hội

33 34

1. Giới thiệu về an toàn thông tin

1.3. Bản chất an toàn thông 1.1. Lịch sử an toàn thông tin
1.2. Định nghĩa an toàn thông tin
tin 1.3. Bản chất An toàn thông tin: Khoa học hay Nghệ
thuật?
Nghệ thuật: Khoa học xã hội: 2. Mô hình an toàn thông tin
2.1. Mô hình an toàn CNSS
Sáng tạo và linh Hành vi và nhận 2.2. Các thành phần của hệ thống thông tin
hoạt trong triển thức của con 2.3. Cân bằng giữa an toàn thông tin và truy cập
khai người NỘI DUNG 3. Triển khai an toàn thông tin
3.1. Cách tiếp cận thực hiện an toàn thông tin
3.2. An toàn thông tin và chu kỳ phát triển hệ thống
Khoa học: Đặc 4. An toàn thông tin trong doanh nghiệp
tính công nghệ 4.1. Chuyên gia an toàn thông tin trong doanh nghiệp
và kỹ thuật 4.2. Các nhóm người dùng ảnh hưởng đến an toàn
thông tin trong doanh nghiệp

35 36

9
 02/10/2023

2.1. Mô hình an toàn • Committee on National Security Systems: Ủy

ban Hệ thống An ninh Quốc gia (Hoa Kỳ):
CNSS
https://www.cnss.gov/CNSS/issuances/Instructi
2. Mô hình 2.1. Mô hình
2.2. Các thành phần của an toàn
ons.cfm
an toàn • Mô hình an toàn CNSS được John

thông tin hệ thống thông tin CNSS McCumber tạo ra năm 1991, được gọi là
khối lập phương McCumber, bao gồm 27
khối tương ứng với các lĩnh vực an toàn
2.3. Cân bằng giữa an thông tin
• Trong quy trình bảo mật – an toàn hệ thống
toàn thông tin và truy cập cần đảm bảo mỗi khối được xác định và
được giải quyết một cách đúng đắn.

37 38

2.1. Mô hình an toàn CNSS • Kế toán trưởng và nhân viên

phòng kế toán dùng chung tên đăng
nhập và mật khẩu khi sử dụng phần
mềm kế toán. Đây là vấn đề liên
quan đến khối lập phương nào?
• Cho ví dụ minh họa cho mỗi khối
lập phương?
• Ví dụ: Huấn luyện, đào tạo cho
nhân viên quy trình sử dụng hệ
thống nhằm hạn chế các sai sót
trong quá trình xử lý dữ liệu kế toán.
Vấn đề này liên quan đến Education
– Integrity - Processing

39 40

10
 02/10/2023

2.2. Các thành phần của hệ thống thông tin • HTTT có 6 thành phần: Con
người, phần cứng, phần mềm,
mạng máy tính, các chính sách
và thủ tục, và dữ liệu
2.2. Các thành • Mỗi thành phần có điểm mạnh,
điểm yếu, tính chất và công
phần của hệ dụng riêng
thống thông tin • Mỗi thành phần có các yêu cầu
về an toàn và bảo mật khác
nhau

41 42

• Dữ liệu: Dữ liệu được HTTT lưu trữ, xử lý,

truyền tải. Dữ liệu là tài sản quan trọng của
doanh nghiệp và thường là mục tiêu tấn
công. Đảm bảo an toàn dữ liệu cần được
thực hiện nghiêm túc và đầy đủ
2.2. Các thành • Các chính sách và thủ tục: Các hướng dẫn

phần của hệ 2.2. Các thành

bằng văn bản để hoàn thành một nhiệm vụ
cụ thể. Đào tạo, huấn luyện, giám sát quy
trình, đánh giá định kỳ giúp đảm bảo các thủ
thống thông phần của hệ thống tục có thể hoàn thành vai trò của minh
• Mạng máy tính: Các máy tính và hệ thống
tin thông tin
máy tính kết nối với nhau hình thành nên
mạng máy tính, giúp HTTT truyền dữ liệu và
thông tin, hỗ trợ người dùng thực hiện các
tác vụ và ra quyết định. Mạng máy tính có
nhiều nguy cơ, do đó kiểm soát lưu lượng và
kiểm soát truy cập là cần thiết.

43 44

11

2.3. Cân bằng giữa an toàn thông tin và truy cập
45 46
2.3. Cân bằng giữa an toàn
thông tin và khả năng truy cập • Cân bằng giữa an toàn và
truy cập nhằm đảm bảo
sự hợp lý giữa khả năng
truy cập và việc hạn chế
rủi ro – với một mức độ
bảo mật phù hợp.
• An toàn thông tin và khả
năng truy cập đều phục vụ
cho mục tiêu chung của
doanh nghiệp, và do đó
phải hài hòa và cân xứng
47 48
02/10/2023
2.3. Cân bằng giữa an toàn
thông tin và khả năng truy cập • Không thể có được an
toàn thông tin tuyệt đối,
hoàn hảo
• An toàn thông tin là quá
trình, không phải là mục
tiêu
• Hệ thống luôn sẵn sàng
để truy cập sẽ dẫn đến
nguy cơ bị tấn công,
ngược lại, nếu cô lập hệ
thống để đảm bảm an
toàn cao thì không thể truy
cập được
• Giả sử công ty ABC đưa ra quy định về quy trình đăng
nhập để sử dụng hệ thống của công ty như sau:
https://docs.
• Sử dụng nhận diện giọng nói để ra lệnh mở máy tính google.com/
• Bật camera trên máy tính, nhận diện gương mặt để
đăng nhập vào hệ điều hành Windows document/d/
• Khởi động phần mềm kế toán, đăng nhập bằng tên
đăng nhập và mật khẩu của mỗi cá nhân. Mật khẩu
này mỗi tháng phải thay đổi 1 lần.
1KBXGFx5bYu
• Do hệ thống sử dụng dịch vụ đám mây, nên sau khi
nhập mật khẩu, phải xác thực 2 lớp qua ứng dụng xác
oYhgd5ZRsAA
thực của Microsoft, nhận mã xác thực trên điện thoại FEzHFg_LD-T/
• Các báo cáo có thể được xem trên màn hình, tuy
nhiên muốn kết xuất ra Excel, in ra giấy, cần có mã xác
thực của Kế toán trưởng
edit
• Trong phiên làm việc, nếu trên 5 phút không có thao
tác bàn phím hay chuột, phần mềm tự đăng xuất, máy
tính tự chuyển sang chế độ chờ. Muốn làm việc phải
bắt đầu lại từ bước 2
• Thảo luận theo nhóm và đưa ra ý kiến về quy trình này.
Trong nhóm bạn, có bao nhiều ý kiến đồng ý, ủng hộ hay
thích thú về quy trình trên?
12
 02/10/2023

1. Giới thiệu về an toàn thông tin

1.1. Lịch sử an toàn thông tin 3. Triển khai an toàn
1.2. Định nghĩa an toàn thông tin
1.3. Bản chất An toàn thông tin: Khoa học hay Nghệ thuật? thông tin
NỘI DUNG 2. Mô hình an toàn thông tin
2.1. Mô hình an toàn CNSS
2.2. Các thành phần của hệ thống thông tin 3.1. Cách tiếp cận thực
2.3. Cân bằng giữa an toàn thông tin và truy cập
3. Triển khai an toàn thông tin hiện an toàn thông tin
3.1. Cách tiếp cận thực hiện an toàn thông tin
3.2. An toàn thông tin và chu kỳ phát triển hệ thống
4. An toàn thông tin trong doanh nghiệp 3.2. An toàn thông tin và
4.1. Chuyên gia an toàn thông tin trong doanh nghiệp
4.2. Các nhóm người dùng ảnh hưởng đến an toàn thông tin
Chu kỳ phát triển hệ thống
trong doanh nghiệp

49 50

3.1. Cách tiếp cận thực hiện an toàn thông tin 3.1. Cách tiếp cận thực
hiện an toàn thông tin • Tiếp cận từ dưới
(bottom-up approach)
lên

• Bắt đầu từ các hành vi

từ cấp dưới nhằm cải
thiện an toàn hệ thống
• Dựa trên kỹ năng và
kiến thức của quản trị
viên hệ thống
• Gắn liền với hiểu biết
chuyên sâu của quản
trị viên hệ thống với
hệ thống có liên quan

51 52

13

3.1. Cách tiếp cận thực
hiện an toàn thông tin
53
3.1. Cách tiếp cận
thực hiện an toàn
thông tin
Tiếp cận từ trên xuống (top-down
approach)
• Có sự hỗ trợ từ cấp trên và
khai thác các nguồn lực của
doanh nghiệp, quy trình, kế
hoạch rõ ràng và ảnh hưởng
toàn doanh nghiệp
• Cách tiếp cận này được thể
hiện phổ biến thông qua chiến
lược phát triển hệ thống tiêu
chuẩn – được gọi là chu kỳ
phát triển hệ thống
• Khả năng thành công cao
55
02/10/2023
3.1. Cách tiếp
cận thực hiện an
Tiếp cận từ dưới lên
(bottom-up approach)
toàn thông tin
• Hiểu rõ đặc tính của
hệ thống, hiểu rõ nguy
cơ và cách thức hạn
chế nguy cơ
• Thiếu nhất quán, thiếu
sự hỗ trợ của cấp
trên, thiếu sự hỗ trợ từ
các hệ thống khác và
hạn chế quyền hạn
thực thi
• Khả năng thành công
thấp
54
3.2. An toàn thông tin
và chu kỳ phát triển HT
Để triển khai an toàn thông
tin vào hệ thống thông tin An toàn thông tin cần được
của doanh nghiệp cần đảm quản trị như mọi hệ thống
bảo rằng an toàn thông tin thông tin trong doanh
là một phần cơ bản trong nghiệp
chu kỳ phát triển hệ thống
56
14

3.2. An toàn thông tin
và chu kỳ phát triển HT
• Cách tiếp cận truyền thống để triển khai an toàn
thông tin có nhiều cách thức khác nhau như JAD
(joint application development – phát triển ứng
dụng liên kết); RAD (rapid application
development - phát triển ứng dụng nhanh);
DevOps – phương pháp dựa trên sự tích hợp
nhu cầu của nhóm phát triển (development team)
và nhóm vận hành (operations team)
57
3.2. An toàn thông tin
và chu kỳ phát triển HT
• SDLC có nhiều cách thức thực hiện, bao gồm
SDLC truyền thống, tích hợp bảo hiểm phần mềm
(Software Assurance) vào quá trình phát triển
phần mềm của hệ thống; áp dụng các nguyên tắc
thiết kế phần mềm hoặc phương pháp tiếp cận
dựa trên các tiêu chuẩn NIST (Viện Tiêu chuẩn và
Công nghệ Quốc gia - The National Institute of
Standards and Technology) trong bảo đảm an
toàn cho SDLC
59
02/10/2023
3.2. An toàn thông tin
và chu kỳ phát triển HT
Chu kỳ phát triển hệ thống SDLC (Systems
Development Life Cycle): SDLC là một phương
pháp luận được áp dụng trong phân tích, thiết kế,
thực hiện và vận hành hệ thống, bao gồm các cách
thức tiếp cận chính thức để giải quyết vấn đề dựa
trên chuỗi các thủ tục có cấu trúc, quy trình chặt
chẽ, không bỏ sót các bước cho đến khi đạt được
mục tiêu cuối cùng.
58
3.2. An toàn thông tin và chu kỳ phát triển HT: SDLC truyền thống
60
15
 02/10/2023

3.2. An toàn thông tin và chu kỳ 3.2. An toàn thông tin và chu kỳ
phát triển HT: Bảo hiểm phần phát triển HT: Bảo hiểm phần
mềm mềm

• Bảo hiểm phần mềm: Một phương pháp tiếp cận

để phát triển phần mềm nhằm thiết lập an toàn
• An toàn hệ thống yêu cầu phần mềm an toàn
ngay trong chu kỳ phát triển hơn là giải quyết an
hoặc ít nhất có khả năng an toàn
toàn đó ở các giai đoạn sau, nhằm đạt được các
phần mềm không có lổ hổng bảo mật, cung cấp • Việc xác định sự cần thiết cho việc lập kế hoạch
phần mềm hữu hiệu và hiệu quả cho người sử cho các mục tiêu bảo mật trong SDLC và thiết lập
dụng. thủ tục để tạo ra phần mềm có khả năng triển
khai an toàn được gọi là bảo hiểm phần mềm
• Rất nhiều vấn đề liên quan bảo mật hệ thống có
nguyên nhân từ yếu tố phần mềm

61 62

3.2. An toàn thông tin và chu kỳ 3.2. An toàn thông tin và chu kỳ
phát triển HT: Bảo hiểm phần phát triển HT: Nguyên tắc thiết kế
mềm phần mềm

• Bộ Quốc phòng Hoa Kỳ đã khởi động Sáng kiến

Bảo hiểm Phần mềm vào năm 2003, dẫn đến
việc xuất bản Khối Kiến thức Chung (CBK) về Các nguyên tắc thiết kế phần mềm
Bảo hiểm Phần mềm An toàn (SwA). Phát triển phần mềm tốt sẽ tạo an toàn phổ biến: Tính kinh tế của
ra một sản phẩm hoàn chỉnh đáp cơ chế thiết kế; Mặc định không
• Có hai khía cạnh cần xem xét: ứng tất cả các thông số kỹ thuật
an toàn; điều tiết hoàn chỉnh;
• (1) Các hoạt động kỹ thuật hoặc các khía thiết kế của nó. Các cân nhắc về
cạnh của các hoạt động có liên quan đến việc An toàn thông tin là một thành Thiết kế mở; Tách biệt đặc
đạt được phần mềm an toàn là gì? quyền; Đặc quyền ít nhất; Cơ
phần quan trọng của các thông
• (2) Những kiến thức cần thiết để thực hiện số kỹ thuật này. chế chung ít nhất; Khả năng
các hoạt động hoặc khía cạnh này? chấp nhận tâm lý

63 64

16
 02/10/2023

3.2. An toàn thông tin và chu kỳ 3.2. An toàn thông tin và chu kỳ phát triển HT: SDLC của MicroSoft
phát triển HT: Tiếp cận NIST
trong an toàn SDLC

Viện Tiêu chuẩn và Công nghệ
Quốc gia (NIST) đã điều chỉnh đơn
giản hóa chu kỳ phát triển hệ
thống dựa trên 5 giai đoạn: (1)
Khởi đầu; (2) Phát triển / Mua
sắm; (3) Thực hiện / Đánh giá; (4)
Vận hành / Bảo trì; và (5) Thanh lý
NIST khuyến cáo các tổ chức tích
hợp các bước bảo mật CNTT liên
quan của SDLC vào quy trình phát
triển hệ thống, an toàn thông tin
phải được thiết kế trong một hệ
thống ngay từ đầu chứ không phải
sau khi được thực hiện

65 66

1. Giới thiệu về an toàn thông tin

1.1. Lịch sử an toàn thông tin
1.2. Định nghĩa an toàn thông tin
1.3. Bản chất An toàn thông tin: Khoa học hay Nghệ 4.1. Chuyên gia an toàn thông tin
2.
thuật?
Mô hình an toàn thông tin
4. An toàn trong doanh nghiệp
2.1. Mô hình an toàn CNSS
2.2. Các thành phần của hệ thống thông tin
thông tin
2.3. Cân bằng giữa an toàn thông tin và truy cập trong
NỘI DUNG 3. Triển khai an toàn thông tin doanh 4.2. Các nhóm người dùng ảnh
3.1. Cách tiếp cận thực hiện an toàn thông tin
3.2. An toàn thông tin và chu kỳ phát triển hệ thống nghiệp hưởng đến an toàn thông tin
4. An toàn thông tin trong doanh nghiệp trong doanh nghiệp (nhóm lợi
4.1. Chuyên gia an toàn thông tin trong doanh nghiệp
4.2. Các nhóm người dùng ảnh hưởng đến an toàn ích liên quan)
thông tin trong doanh nghiệp

67 68

17

4.1. Chuyên gia an toàn thông tin trong DN
• Giám đốc thông tin (chief
information officer - CIO): Một vị
trí ở cấp điều hành; giám sát
công nghệ máy tính của doanh
nghiệp và có trách nhiệm trong
việc tạo ra hiệu quả trong xử lý
và truy cập thông tin của doanh
nghiệp; tư vấn hoạch định chiến
lược CNTT cho Giám đốc điều
hành và triển khai chiến lược
của doanh nghiệp liên quan đến
CNTT.
69
4.1. Chuyên gia an toàn thông tin trong DN
• Đội dự án an toàn thông tin
(Information Security Project Team):
Tập hợp các cá nhân có kinh nghiệm
trong an toàn và bảo mật khi có yêu
cầu; bao gồm đại diện lãnh đạo
doanh nghiệp, trưởng nhóm, chuyên
gia phát triển chính sách bảo mật,
chuyên gia đánh giá rủi ro, chuyên
gia bảo mật, quản trị viên hệ thống và
người dùng hệ thống.
• Người chịu trách nhiệm về dữ liệu
bao gồm: Người sở hữu dữ liệu,
người bảo quản dữ liệu và người sử
dụng dữ liệu
71
02/10/2023
4.1. Chuyên gia an toàn thông tin trong DN
• Giám đốc an toàn thông tin
(chief information security
officer - CISO): CISO thường
không phải là một vị trí cấp
điều hành, báo cáo cho CIO,
chịu trách nhiệm chính trong
vấn đề an toàn và bảo mật
hệ thống thông tin, về việc
đánh giá, quản lý và thực
hiện an toàn thông tin.
70
4.2. Các nhóm người dùng ảnh hưởng đến
an toàn thông tin trong doanh nghiệp
• Trong doanh nghiệp, có nhiều nhóm người dùng ảnh hưởng đến an
toàn thông tin. Mỗi nhóm có vai trò và trách nhiệm khác nhau cũng
như các mối quan tâm khác nhau đối với an toàn thông tin. Mỗi
thành viên trong mỗi nhóm được liên kết với nhau thông qua các giá
trị tương đồng với nhau và cũng chia sẽ các mục tiêu chúng.
• Thông thường trong doanh nghiệp có ba nhóm an toàn thông tin:
nhóm quản lý chung, nhóm quản lý CNTT và nhóm quản lý an toàn
thông tin
72
18
 02/10/2023

Nhóm quản lý chung: bao gồm toàn bộ người sử 1. Giới thiệu về an toàn thông tin
dụng hệ thống công nghệ thông tin (theo góc nhìn
1.1. Lịch sử an toàn thông tin
4.2. Các
của nhóm quản lý công nghệ thông tin) và cũng là
đối tượng bảo mật theo góc nhìn của nhóm quản 1.2. Định nghĩa an toàn thông tin
lý an toàn thông tin 1.3. Bản chất An toàn thông tin: Khoa học hay Nghệ thuật?
nhóm người NỘI DUNG 2. Mô hình an toàn thông tin

dùng ảnh Nhóm quản lý công nghệ thông tin: bao gồm các
2.1. Mô hình an toàn CNSS
2.2. Các thành phần của hệ thống thông tin

hưởng đến chuyên gia CNTT và các nhà quản lý CNTT, hỗ trợ
cho việc vận hành hệ thống CNTT trong doanh
nghiệp 3.
2.3. Cân bằng giữa an toàn thông tin và truy cập
Triển khai an toàn thông tin
an toàn thông 3.1. Cách tiếp cận thực hiện an toàn thông tin
3.2. An toàn thông tin và chu kỳ phát triển hệ thống
tin trong Nhóm quản lý an toàn thông tin: bao gồm các
4. An toàn thông tin trong doanh nghiệp
4.1. Chuyên gia an toàn thông tin trong doanh nghiệp
doanh nghiệp chuyên gia an toàn và bảo mật, tập trung cho mục
tiêu đảm bảo an toàn và bảo vệ thông tin, dữ liệu,
hệ thống của doanh nghiệp khỏi các cuộc tấn
4.2. Các nhóm người dùng ảnh hưởng đến an toàn thông tin
trong doanh nghiệp
công.

73 74

Bài tập

Assume that a security model is needed for the protection of information in

your class. Using the CNSS model, examine each of the cells and write a brief
statement on how you would address the three components of each cell.

Using the Web, find out more about Kevin Mitnick (or HieuPC). What did he do?
Who caught him? Write a short summary of his activities and explain why he is
infamous.

75 76

19