03/10/2023

• 29.03.2019, công ty Ô tô Toyota VN đã

lên tiếng xác nhận thông tin bị tin tặc
tấn công mạng. Tuy nhiên, Toyota
chưa có bằng chứng cụ thể.
Tình huống • Toyota VN đang đối mặt nguy cơ gì?
• An toàn thông tin có vai trò như thế
CHƯƠNG 2: nào đối với tổ chức?

NHU CẦU CỦA TỔ CHỨC ĐỐI

VỚI AN TOÀN THÔNG TIN

1 2

1 2

Mục tiêu Nội dung

1. Thảo luận về nhu cầu của tổ chức đối với 1. Nhu cầu của tổ chức đối với an toàn thông
an toàn thông tin tin
2. Liệt kê và mô tả các nguy cơ đối với an 2. Các loại nguy cơ & cuộc tấn công đối với
toàn thông tin an toàn thông tin
3. Liệt kê và mô tả một số cuộc tấn công phổ 3. Luật, đạo đức & thực hành an toàn thông
biến liên quan đến các nguy cơ tin
4. Hiểu sự khác biệt giữa luật, đạo đức & thực 4. Bộ quy tắc đạo đức của các tổ chức nghề
hành an toàn thông tin nghiệp
5. Bộ quy tắc đạo đức của các tổ chức nghề
nghiệp

3 4

3 4

1
 03/10/2023

Thuật ngữ Thuật ngữ

advance-fee fraud gian lận phí ứng trước cyberterrorist khủng bố mạng
phần mềm độc hại nhằm mục đích quảng cáo cyberwarfare chiến tranh mạng
adware
không mong muốn data security an toàn dữ liệu
attack tấn công database security an toàn cơ sở dữ liệu
availability disruption gián đoạn tính khả dụng denial-of-service (DoS) attack Tấn công từ chối dịch vụ
blackout thời gian mất điện dictionary password attack Tấn công từ điển
tình huống khi lượng điện cung cấp ở một khu vực distributed denial-of-service
brownout Tấn công từ chối dịch vụ đã được phân tác
ít hơn bình thường (DDos) attack
brute force password attack Tấn công mật khẩu Brute force downtime thời gian chết
competitive intelligence cạnh tranh thông tin expert/professional hacker tin tặc chuyên nghiệp
cracker người bẻ khóa exploit khai thác
cracking việc bẻ khóa fault lỗi
cyberactivist tin tặc với mục đích chính trị hacktivist tin tặc với mục đích chính trị

5 6

5 6

Thuật ngữ Thuật ngữ

industrial espionage gián điệp công nghiệp phreaker người tấn công hệ thống điện thoại công cộng
polymorphic threat nguy cơ đa hình
information extortion cưỡng đoạt thông tin pretexting in sẵn
Intellectual property (IP) Tài sản trí tuệ rainbow table Bảng cầu vồng
jailbreaking bẻ khóa phần mềm máy tính được thiết kế đặc biệt để xác định và mã hóa thông tin
ransomware có giá trị trong hệ thống của nạn nhân nhằm tống tiền cho khóa cần thiết để
mail bomb Bom thư mở khóa mã hóa
maintenance hook móc bảo trì script hiddie tin tặc có kỹ năng hạn chế
service level agreement (SLA) thỏa thuận mức dịch vụ
malicious code mã độc
software piracy ăn cắp bản quyền phần mềm
malicious software phần mềm độc hại spam Thư rác
memory-resident virus virus thường trú trong bộ nhớ spyware phần mềm gián điệp
uptime thời gian (hệ thống, máy tính) hoạt động (mà không có bất kỳ vấn đề)
non-memory-resident virus virus không cư trú trong bộ nhớ
virus hoax Trò lừa bịp (virus)
novice hacker tin tặc mới vulnerability lỗ hổng/ điểm yếu của hệ thống
phishing lừa đảo worm sâu

7 8

7 8

2
 03/10/2023

1. Nhu cầu của tổ

chức đối với an toàn
thông tin 1.1 Bảo vệ
chức năng hoạt
1.1. Bảo vệ chức năng hoạt động của hệ
thống
động của hệ
1.2. Bảo vệ dữ liệu và thông tin mà tổ chức
thu thập, sử dụng
thống
1.3. Cho phép vận hành an toàn các ứng dụng
chạy trên hệ thống CNTT của tổ chức An toàn thông tin liên quan
1.4. Bảo vệ tài sản công nghệ của tổ chức đến vấn đề quản trị và con
người hơn là vấn đề kỹ
thuật

9 10

9 10

1.1 Bảo vệ chức

Ban quản lý chung, ban quản lý CNTT, ban
quản lý an toàn thông tin có trách nhiệm triển 1.1 Bảo vệ chức
năng hoạt động
khai chương trình an toàn thông tin để bảo vệ
khả năng các tính năng hoạt động của hệ thống năng hoạt động của
của hệ thống không bị nguy hại.
hệ thống

Để hỗ trợ Ban giám đốc trong

việc xác định nhu cầu của tổ
chức đối với vấn đề an toàn
thông tin, ban quản lý chung,
ban quản lý CNTT, và ban quản
lý an toàn thông tin thảo luận
về mức độ ảnh hưởng của an
toàn thông tin đối với tổ chức
cũng như chi phí gián đoạn
kinh doanh, họ không đơn
thuần chỉ xem xét các vấn đề
thuần túy kỹ thuật

11 12

11 12

3
 03/10/2023

1.2 Bảo vệ dữ liệu và thông tin

1.2 Bảo vệ dữ liệu và thông tin mà tổ chức thu thập, sử dụng
mà tổ chức thu thập, sử dụng

• An toàn CSDL là qúa trình duy trì tính

• Một trong những tài sản giá trị bảo mật, tính toàn vẹn và tính khả
dụng của dữ liệu được quản lý bởi hệ
nhất là dữ liệu. Nếu không có dữ thống quản lý CSDL (DBMS)
liệu, một tổ chức sẽ thất bại trong • An toàn CSDL được thực hiện bằng
việc ghi nhận các nghiệp vụ và/ các kiểm soát quản lý, kỹ thuật và vật
hoặc mất khả năng tạo ra giá trị lý
cho khách hàng => Do đó, an – Kiểm soát quản lý bao gồm chính
toàn dữ liệu – bảo vệ dữ liệu sách, thủ tục và các vấn đề quản
trị doanh nghiệp
trong trạng thái truyền tải, xử lý và
lưu trữ - là khía cạnh quan trọng – Kiểm soát kỹ thuật dựa trên kiến
thức về kiểm soát truy cập, xác
của an toàn thông tin thực, bảo mật ứng dụng, sao lưu,
• Một chương trình an toàn thông phục hồi, mã hóa và kiểm soát
tính toàn vẹn
tin hiệu quả là điều cần thiết để
bảo vệ tính toàn vẹn và giá trị của – Kiểm soát vật lý gồm sử dụng các
trung tâm dữ liệu với cửa có
dữ liệu khóa, hệ thống phòng cháy chữa
cháy, giám sát bằng video, và
nhân viên bảo vệ.

13

14

13 14

1.3 Cho phép vận hành an 1.4 Bảo vệ tài

toàn các ứng dụng trên hệ sản công nghệ
thống CNTT của tổ chức của tổ chức
• Tùy thuộc vào quy mô và phạm vi
doanh nghiệp, các tổ chức phải
• Một tổ chức phải tạo ra các ứng dụng sử dụng phần cứng cơ sở hạ tầng
tích hợp, hiệu quả và hữu hiệu. an toàn phù hợp
• Tổ chức cần tạo ra môi trường bảo vệ • Các tổ chức có thể cần các giải
các ứng dụng, đặc biệt là các ứng dụng pháp công nghệ mạnh mẽ hơn để
thay thế các công nghệ an toàn
quan trọng với cơ sở hạ tầng của tổ đã quá lỗi thời
chức như nền tảng hệ điều hành, một số
ứng dụng hoạt động nhất định, thư điện • CNTT tiếp tục bổ sung khả năng
và phương pháp mới cho phép
tử… bằng cách thuê các nhà cung cấp các tổ chức giải quyết các thách
ứng dụng này thực hiện hoặc tự mình thức quản lý thông tin, tuy nhiên
thực hiện. nó cũng mang lại nhiều rủi ro mới
• Khi cơ sở hạ tầng công nghệ đã được cho thông tin của tổ chức, những
thiết lập, ban quản lý phải tiếp tục giám lo ngại tăng thêm về cách những
sát nó, không giao quyền quản lý cho bộ tài sản này có thể bị đe dọa và
cách chúng phải được bảo vệ
phận CNTT.

15 16

15 16

4
 03/10/2023

Nội dung

Nhu cầu bảo vệ nào là quan

trọng nhất? 1. Nhu cầu của tổ chức đối
với an toàn thông tin
• chức năng hoạt động
• dữ liệu và thông tin 2. Các loại nguy cơ & cuộc
• vận hành an toàn các tấn công đối với an toàn
ứng dụng
• tài sản công nghệ thông tin
3. Luật, đạo đức & thực hành
an toàn thông tin
4. Bộ quy tắc đạo đức của
các tổ chức nghề nghiệp
17 18

17 18

2. Các loại nguy cơ &

cuộc tấn công đối với an
toàn thông tin

2.1. Định nghĩa nguy cơ và tấn công

2.2. Các loại nguy cơ & các cuộc tấn
2.1 Định nghĩa Để bảo vệ thông tin, tổ chức cần hiểu rõ bản
thân: nhận biết thông tin cần được bảo vệ và
công đối với an toàn thông tin nguy cơ & tấn hiểu rõ hệ thống lưu trữ, vận chuyển và xử lý
công nó

20

19 20

5
 03/10/2023

Để bảo vệ thông tin, tổ chức cần biết các nguy
2.1 Định nghĩa cơ mà tổ chức có thể đối mặt. Để ra quyết định
về an toàn thông tin, ban quản lý phải được
nguy cơ & tấn thông báo về các nguy cơ khác nhau đối với
công con người, thiết bị, dữ liệu và hệ thống thông tin
của tổ chức.
• Nguy cơ thể hiện rủi ro tiềm tàng đối với tài sản thông tin
2.1 Định nghĩa • Cuộc tấn công thể hiện một hành động liên tục gây tổn
thất tài sản
nguy cơ & tấn • Các tác nhân nguy cơ gây thiệt hại hoặc đánh cắp thông
công tin hoặc tài sản vật chất của tổ chức bằng cách sử dụng
các hành vi tận dụng lỗ hỗng bảo mật (yếu kém của hệ
thống) nơi mà các thủ tục kiểm soát không hiện hữu hoặc
không còn hiệu quả

21 22

21 22

2.2 Các loại nguy Mỗi tổ chức sẽ ưu tiên đối phó các nguy cơ
cơ & cuộc tấn khác nhau, tùy thuộc tình hình an ninh cụ thể,
chiến lược của tổ chức, rủi ro và mức độ yếu
công đối với an kém đối với tài sản thông tin của tổ chức.
toàn thông tin
2.1 Định
nghĩa
nguy cơ
& tấn
công Nguy cơ luôn hiện hữu trong khi cuộc tấn
công chỉ tồn tại khi một hành động cụ thể có
thể gây ra tổn thất.

23 24

23 24

6
 03/10/2023

STT
Các loại nguy cơ Ví dụ
1. Xâm phạm tài sản trí tuệ Ăn cắp bản quyền, vi phạm bản
2.2 Các loại nguy Tấn công có thể liên quan đến nhiều nguy cơ.
Ví dụ: hành vi trộm cắp do tin tặc thực hiện
quyền

cơ & cuộc tấn thuộc nguy cơ “trộm”, nhưng cũng có thể

2. Sai lệch về chất lượng dịch Các vấn đề liên quan nhà cung
vụ bởi người cung cấp cấp dịch vụ Internet (ISP), năng
công đối với an thuộc nguy cơ “gián điệp hoặc kẻ xâm nhập
trái phép” khi tin tặc truy cập bất hợp pháp 2.2 Nguy cơ dịch vụ lượng và dịch vụ mạng WAN

toàn thông tin vào thông tin

đối với an toàn
3. Gián điệp hoặc kẻ xâm Truy cập trái phép hoặc/ và thu
nhập trái phép thập dữ liệu trái phép

thông tin và ví 4. Những tác động từ thiên Cháy nổ, lũ lụt, động đất, sấm sét
nhiên

dụ các cuộc 5. Lỗi con người / sai sót Vô tình nói cho người thân nghe
về bí mật đơn vị

tấn công tương 6. Cưỡng đoạt thông tin Tống tiền, tiết lộ thông tin

ứng
7. Phá hoại Huỷ hoại hệ thống hoặc thông tin
8. Tấn công có chủ đích bằng Viruses, worms, macros, từ chối
phần mềm dịch vụ
9. Lỗi phần cứng Đĩa cứng bị hỏng vật lý
10. Lỗi phần mềm Bugs, các vấn đề về mã, lổ hỗng
bảo mật chưa được xác định

11. Công nghệ lạc hậu Các máy ATM đang sử dụng hệ
điều hành Windows XP

12. Trộm Chiếm đoạt bất hợp pháp thiết bị

hoặc thông tin
25 26

25 26

2.2.1 Nguy cơ
xâm phạm tài sản
trí tuệ
Tài sản trí tuệ là việc
tạo ra, sở hữu, kiểm
soát các ý tưởng ban
đầu và trình bày các ý
tưởng đó.
• Tài sản trí tuệ được bảo vệ bởi luật
bản quyền và các luật khác, mang lại
kỳ vọng ghi nhận quyền tác giả hoặc
Các loại tài sản trí tuệ:
2.2.1 Nguy cơ ghi nhận nguồn thích hợp, có khả năng
phải xin phép để được sử dụng theo
xâm phạm tài quy định của pháp luật. Vd: phải thanh
• Bí mật thương mại
• Quyền tác giả
sản trí tuệ toán tiền bản quyền trước khi sử dụng
bài hát đó trong phim.
• Thương hiệu • Việc sử dụng trái phép tài sản trí tuệ
• Bằng sáng chế dẫn đến nguy cơ an toàn thông tin.
28
27

27 28

7
 03/10/2023

2.2.1 Một số 2.2.1 Một số

vấn đề liên vấn đề liên
quan nguy cơ quan nguy cơ
xâm phạm tài xâm phạm tài
sản trí tuệ sản trí tuệ
Bảo vệ bản quyền: Một số cơ chế kỹ thuật có thể được áp dụng để thực thi luật bản quyền:
• Ăn cắp bản quyền phần mềm (software piracy): hành vi sao chép, cài đặt
– Digital watermark
hoặc phân phối trái phép phần mềm máy tính có bản quyền là vi phạm tài
sản trí tuệ – Mã nhúng
– Mã bản quyền
• Hầu hết phần mềm được cấp phép cho một người mua cụ thể, việc sử dụng
– Mã đăng ký phần mềm duy nhất kết hợp với thỏa thuận cấp phép người dùng cuối
nó bị hạn chế cho một người dùng duy nhất hoặc cho một người dùng được
– Đăng ký người dùng trực tuyến: cài đặt phần mềm được yêu cầu đăng ký tài khoản
chỉ định trong tổ chức. Nếu người dùng sao chép chương trình sang máy sử dụng phần mềm của họ để hoàn thành cài đặt, nhận hỗ trợ kỹ thuật hoặc sử
tính khác mà không có giấy phép khác hoặc chuyển giáy phép thì người dụng tất cả các tính năng. Mặt trái của kỹ thuật này là người dùng lo sợ quy trình
dùng đã vi phạm bản quyền. này làm tổn hại quyền riêng tư của họ.

29 30

29 30

2.2.1 Một số
vấn đề liên
quan nguy cơ
xâm phạm tài
sản trí tuệ
• Sai lệch về chất lượng dịch vụ là nguy cơ xảy ra
khi sản phẩm hoặc dịch vụ không được cung cấp
như mong đợi
Tổn thất tài sản trí tuệ có thể do khai thác hiệu quả 2.2.2 Sai lệch • Hệ thống thông tin của một tổ chức phụ thuộc vào
sự vận hành thành công của nhiều hệ thống hỗ
các lỗ hổng/ điểm yếu của hệ thống liên quan đến về chất lượng trợ phụ thuộc lẫn nhau, gồm lưới điện, mạng dữ
các thủ tục kiểm soát bảo vệ tài sản. dịch vụ liệu và viễn thông, phụ tùng, nhà cung cấp dịch
vụ, thậm chí cả nhân viên vệ sinh. Bất kỳ hệ
thống hỗ trợ nào trong số này đều có thể bị gián
đoạn do những phát sinh không lường trước.

32
31

31 32

8
 03/10/2023

2.2.3 Gián điệp

hoặc kẻ xâm
nhập trái phép
Gián điệp hoặc kẻ xâm
nhập trái phép là người
không được phép cố
truy cập trái phép vào
Ba nhóm vấn đề dịch vụ ảnh hưởng nghiêm trọng
thông tin mà một tổ
đến tính khả dụng của thông tin và hệ thống: chức đang cố bảo vệ.
2.2.2 Sai lệch – Các vấn đề liên quan dịch vụ Internet
– Các vấn đề liên quan đến các nhà cung cấp
Nguy cơ này có thể vi
về chất lượng dịch vụ tiện ích khác (điện thoại, nước, nước
phạm tính bảo mật của
thải, đổ rác, truyền hình cáp, các dịch vụ trông thông tin.
dịch vụ coi…)
• Các vấn đề bất thường liên quan nguồn cung
cấp điện

33 34

33 34

2.2.3 Gián điệp

hoặc kẻ xâm
nhập trái phép
Gián điệp hoặc xâm nhập trái phép có
nhiều cách thức thực hiện:
– Cạnh tranh thông tin: Việc
thu thập và phân tích thông
tin về các đối thủ cạnh tranh
trong kinh doanh thông qua
các phương tiện pháp lý và
đạo đức để có được bí mật
kinh doanh và lợi thế cạnh
tranh.
– Gián điệp công nghiệp
– Nhìn lén (Shoulder surfing) :
Quan sát trực tiếp, bí mật về
thông tin cá nhân hoặc việc
sử dụng hệ thống. 35 36

35 36

9
 03/10/2023

2.2.3 Gián điệp

hoặc kẻ xâm 2.2.3 Gián điệp hoặc kẻ
xâm nhập trái phép
nhập trái phép
Các thủ tục kiểm soát đôi khi đánh
dấu ranh giới lãnh thổ ảo của tổ
chức. Những ranh giới này đưa ra • Tin tặc (hacker):
thông báo cho kẻ xâm nhập trái
phép rằng chúng đang xâm phạm
– Tin tặc chuyên nghiệp
vào không gian mạng của tổ chức. • Phát triển các tập
Các nguyên tắc xác thực và ủy lệnh phần mềm và
quyền mạnh mẽ có thể giúp các tổ khai thác mã
chức bảo vệ thông tin và hệ thống • Thường là bậc thầy
có giá trị. Các phương pháp kiểm về nhiều kỹ năng
soát và công nghệ này sử dụng • Thường tạo ra các
nhiều lớp hoặc nhiều yếu tố để bảo phần mềm tấn công
vệ nhằm chống lại sự truy cập và và chia sẻ chúng với
xâm nhập trái phép. những người khác

37
38

37 38

Nâng cấp đặc quyền: một khi kẻ tấn công giành được
2.2.3 Gián điệp quyền truy cập vào hệ thống, bước tiếp theo là tăng các
đặc quyền của họ để cố giành quyền quản trị hệ thống.
hoặc kẻ xâm Đặc quyền này cho phép kẻ tấn công truy cập thông tin,
sửa đổi hệ thống để xem tất cả thông tin trong đó và ẩn
nhập trái phép các hoạt động của chúng bằng cách sửa đổi nhật ký hệ
thống. Sự tăng cấp đặc quyền là một kỹ năng tự thân
hoặc sử dụng các công cụ phần mềm

• Tin tặc (hacker):

2.2.3 Gián – Script kiddies
điệp hoặc kẻ • Tin tặc có kỹ năng hạn chế
xâm nhập trái • Sử dụng phần mềm do chuyên gia
viết để khai thác hệ thống
phép • Thường không hiểu đầy đủ về hệ
thống họ tấn công
39 40

39 40

10

Ví dụ về nâng cấp đặc quyền:
2.2.3 Gián điệp hoặc jailbreaking (iOS) và rooting (Android)
- tải xuống và sử dụng các công cụ
kẻ xâm nhập trái cụ thể để giành quyền kiểm soát
các chức năng của hệ thống, ngược
phép lại ý định ban đầu của các nhà thiết
kế.
41
41
2.2.3 Gián điệp
hoặc kẻ xâm
nhập trái phép
Tấn công mật khẩu:
– Bẻ khóa: cố gắng đoán hoặc tính toán
ngược lại mật khẩu
– Brute force: là việc áp dụng tính toán và
tài nguyên mạng để thử mọi kết hợp
mật khẩu có thể có. Biện pháp kiểm
soát giới hạn số lần truy cập không
thành công trong một thời gian nhất
định và sử dụng mật khẩu mạnh rất
hiệu quả để chống lại loại tấn công mật
khẩu brute force.
– Tấn công từ điển: là một biến thể của
brute force thu hẹp phạm vi bằng cách
sử dụng từ điển các mật khẩu phổ biến
bao gồm thông tin liên quan đến người
dùng mục tiêu. Biện pháp kiểm soát: (1)
tổ chức không cho phép cá nhân đặt
mật khẩu liên quan thông tin cá nhân
hoặc có thể có trong từ điển mật khẩu,
(2) sử dụng quy tắc yêu cầu số và ký tự
đặc biệt trong mật khẩu
43
43
03/10/2023
2.2.3 Gián điệp hoặc
kẻ xâm nhập trái
phép
• Những biến thể của Hacker:
– Cracker: là cá nhân bẻ khóa
hoặc loại bỏ lớp bảo vệ được
thiết kế để ngăn chặn việc sao
chép hoặc sử dụng trái phép
– Phreaker: là cá nhân tấn công hệ
thống điện thoại công cộng để
thực hiện các cuộc gọi miễn phí
hoặc làm gián đoạn dịch vụ
42
42
2.2.3 Gián điệp Một bảng cầu vồng là danh sách chứa các giá trị
hoặc kẻ xâm nhập
hash đã được tính toán cho mọi kết hợp kí tự.
Bạn có thể lấy giá trị hash được trích rút từ máy
tính mục tiêu và so sánh nó với giá trị trong
trái phép bảng cầu vồng. Ưu điểm của bảng cầu vồng là
tiết kiệm thời gian lấy mật khẩu, bởi vì tất cả các
giá trị hash đã được tính toán trước. Tuy nhiên
nhược điểm là tốn nhiều thời gian để tạo ra
Tấn công mật khẩu: bảng cầu vồng ban đầu.
– Bảng cầu vồng: Nếu kẻ tấn công có
thể truy cập vào tệp mật khẩu được
mã hóa, dù chỉ bao gồm các giá trị
hash, các giá trị này có thể tra cứu
và định vị nhanh chóng dựa trên
Bảng cầu vồng
– Social Engineering (tấn công phi kỹ
thuật): kẻ tấn công đóng giả là
chuyên gia CNTTT của một tổ chức
cố gắng truy cập vào hệ thống
thông tin bằng cách liên hệ với nhân
viên cấp thấp và đề nghị trợ giúp về
các sự cố máy tính của họ. Bằng
cách đóng giả bộ phận trợ giúp, kẻ
tấn công yêu cầu nhân viên cung
cấp tên người dùng và mật khẩu
truy cập của họ.
44
44
11
 03/10/2023

2.2.4 Những tác 2.2.4 Những

động từ thiên tác động từ
nhiên thiên nhiên
• Những tác động từ thiên Vì không thể chủ động
nhiên hoặc những sự kiện tránh được loại nguy
bất khả kháng đều có thể cơ này, ban giám đốc
gây ra một số nguy cơ nguy cần phải triển khai các
hiểm nhất vì chúng bất ngờ kiểm soát để hạn chế
và ít có dấu hiệu cảnh báo thiệt hại, chuẩn bị các
trước, kế hoạch dự phòng để
• Bao gồm: hỏa hoạn, lũ lụt, tiếp tục hoạt động,
động đất, lở đất, gió bão, chẳng hạn kế hoạch
bão cát, sét, núi lửa phun khắc phục hậu quả
trào, sự xâm nhập của côn thiên tai, kế hoạch liên
trùng… có thể làm gián đoạn tục kinh doanh, kế
không chỉ cuộc sống của các hoạch ứng phó sự cố
cá nhân, mà còn cả việc lưu
trữ, truyền tải và sử dụng
thông tin
45 46

45 46

2.2.5 Lỗi con người/ sai sót 2.2.5 Lỗi con người/ sai sót

• Bao gồm các hành vi được thực hiện không • Sai lầm dù vô hại vẫn có thể gây ra thiệt hại
có chủ đích hoặc mục đích xấu. Ví dụ: sai lớn
lầm khi sử dụng hệ thống hoặc lỗi phát sinh
khi người dùng không tuân theo chính sách
• Sai lầm của nhân viên là nguy cơ nghiêm
trọng đe dọa tính bảo mật, tính toàn vẹn và
đã được thiết lập tính khả dụng của dữ liệu
• Nguyên nhân có thể do • Những sai lầm của nhân viên có thể dễ dàng
– Thiếu kinh nghiệm dẫn đến:
– Đào tạo không đúng cách – Tiết lộ dữ liệu đã được xử lý
– Các giả định không chính xác – Nhập dữ liệu không chính xác
– Vô tình xóa hoặc sữa dữ liệu
– Bảo quản dữ liệu ở những khu vực
không an toàn

47 48

47 48

12
 03/10/2023

2.2.5 Lỗi con người/ sai sót

2.2.6 Cưỡng đoạt
• Sai sót hoặc lỗi của con người thường có thể được ngăn chặn bằng đào thông tin
tạo, các hoạt động nâng cao nhận thức liên tục và các biện pháp kiểm
soát từ đơn giản đến phức tạp
Tống tiền / cưỡng đoạt thông
tin là kẻ tấn công hoặc người
thân tín đánh cắp thông tin từ
hệ thống máy tính và yêu cầu
bồi thường cho việc có lại
thông tin và sử dụng nó.

49 50

49 50

2.2.6 Cưỡng đoạt 2.2.7 Phá hoại

thông tin
• Cá nhân hoặc nhóm người
cố ý phá hoại hệ thống máy
• Một số ví dụ: tính hoặc hoạt động doanh
– Kẻ xấu đánh cắp số thẻ tín nghiệp, hoặc thực hiện các
dụng hành vi phá hoại để phá hủy
– Tin tặc đánh cắp dữ liệu/ tài sản hoặc làm hỏng hình
thông tin tổ chức (hộp mail,
dữ liệu về tài khoản và mật ảnh của tổ chức
khẩu của người dùng) để đòi
tiền chuộc
• Loại nguy cơ này có thể bao
gồm từ phá hoại nhỏ, riêng
– Ransomware: kẻ tấn công cài lẻ của nhân viên đến phá
phần mềm độc hại vào hệ
thống máy chủ nhằm từ chối hoại có tổ chức chống lại
quyền truy cập của người một tổ chức khác
dùng, sau đó đề nghị cung
cấp khóa để cho phép truy
cập lại hệ thống và dữ liệu
của người dùng với một
khoản phí

51
52

51 52

13
 03/10/2023

2.2.7 Phá hoại 2.2.7 Phá hoại

Một số hình thức phá hoại:

Với các tổ chức hoạt động – Hành động (phá hoại)
trực tuyến: nguy cơ
phụ thuộc nhiều vào hình hacktivist và cyber-
ảnh, loại phá hoại nhắm đến activist ngày càng gia
hình ảnh doanh nghiệp có tăng
thể làm thông tin mà doanh – Khủng bố mạng và
nghiệp phổ biến trên các chiến tranh mạng:
Khủng bố mạng thường
phương tiện truyền thông xã không phải là một nguy
hội (Web, facebook,…) bị cơ thực sự, thay vào đó,
mất độ tin cậy => niềm tin nó chỉ dùng để đánh lạc
của khách hàng giảm => hướng khỏi các vấn đề
an ninh thông tin cấp
doanh số bán hàng giảm bách và phức tạp hơn
cần được quan tâm.

53 54

53 54

2.2.8 Tấn công có chủ Định nghĩa tấn công có

đích bằng phần mềm chủ đích bằng phần mềm

• Định nghĩa
• Các loại tấn công có chủ Xảy ra khi một cá nhân hoặc một
đích bằng phần mềm nhóm người thiết kế hoặc sử
• Malware dụng phần mềm để tấn công hệ
• Back doors thống. Cuộc tấn công này có thể
bao gồm phần mềm được chế
• Denial-of-Service tạo đặc biệt mà những kẻ tấn
(DoS) and công lừa người dùng cài đặt trên
Distributed Denial- hệ thống của họ. Phần mềm này
of-Service (DDoS) có thể được sử dụng để lấn át
attacks khả năng xử lý của các hệ thống
• Email attacks trực tuyến hoặc truy cập vào các
• Communications hệ thống được bảo vệ bằng các
phương tiện ẩn.
interception attacks

55 56

55 56

14
 03/10/2023

Các loại tấn công có chủ

đích bằng phần mềm
• Malware gọi là mã/ phần mềm độc hại.
Ngoài ra, malware bao gồm những tấn
công sử dụng phần mềm như tấn công
chuyển hướng và tấn công từ chối
• Malware dịch vụ.
• Back doors • Malware được thiết kế để làm hỏng,
• Denial-of-Service Malware phá hủy hoặc từ chối dịch vụ cho các
hệ thống mục tiêu.
(DoS) and
Distributed • Thuật ngữ được sử dụng để mô tả
phần mềm độc hại thường không loại
Denial-of-Service trừ lẫn nhau. Vd: phần mềm độc hại
(DDoS) attacks Trojan horse có thể xuất hiện dưới
• Tấn công bằng dạng virus, sâu hoặc cả hai.
emails
• Tấn công chặn liên
lạc
57 58

57 58

• Các dạng tấn công sử dụng mã độc
gồm: viruses, sâu, Trojan horses và
các tập lệnh Web được kích hoạt với
mục đích phá hủy hoặc đánh cắp
thông tin.
• Cuộc tấn công mã hiện đại nhất hiện
nay là sâu đa hình (polymorphic worm)
hay còn gọi sâu đa phương thức
(multivector worm) vì nó sử dụng 6
Malware phương thức tấn công để khai thác
nhiều lỗ hổng trong các thiết bị hệ
thống thông tin phổ biến
• zero-day attack: khi cuộc tấn công sử
dụng các malware mà các công ty
phần mềm chống malware chưa biết
về malware
• Quét và tấn công IP: hệ thống tích hợp
việc quét một loạt các địa chỉ IP ngẫu
nhiên hoặc cục bộ và nhắm vào bất kỳ
yếu kém hệ thống đã được biết bởi các
tin tặc hoặc còn sót lại từ các lần khai
thác trước đó
6 phương • Trình duyệt Web: nếu hệ thống bị
thức tấn nhiễm có quyền ghi vào bất kỳ trang
web nào, nó sẽ làm cho tất cả các tập
công của nội dung Web bị lây nhiễm, do đó
người dùng duyệt các trang Web này
virus và sâu sẽ bị nhiễm
• Virus: mỗi máy tính bị nhiễm sẽ lây
nhiễm một số tập lệnh thực thi phổ
biến trên tất cả các máy tính mà nó có
thể viết bằng mã virus có thể gây
nhiễm

60
59

59 60

15
 03/10/2023

• 10 Latest (MOST DANGEROUS) Virus &

Malware Threats in 2021
• Những chia sẻ không được bảo vệ: • Các dạng tấn công sử dụng phần
sử dụng việc chia sẻ tập tin để sao mềm độc hại khác gồm: bots,
chép các thành phần lan truyền spyware, adware.
đến tất các các vị trí có thể truy cập – Bots: là công nghệ thường
6 phương • Mass mail: bằng cách gửi email bị được dùng để triển khai Trojan
nhiễm đến các địa chỉ có trong horse, logic bombs, back doors
thức tấn trong sổ địa chỉ, máy bị nhiễm sẽ và phần mềm gián điệp
công của làm các máy khác bị nhiễm, những spyware
máy mà có chương trình đọc mail Malware
virus và sâu tự động hoạt động và tiếp tục lại
nhiễm cho nhiều hệ thống hơn
• Giao thức quản lý mạng đơn giản
(SNMP): các lỗ hổng SNMP được
sử dụng để xâm nhập và lây nhiễm

61
62

61 62

• Các dạng tấn công sử dụng phần

• Các dạng tấn công sử dụng phần mềm mềm độc hại khác gồm: bots,
độc hại khác gồm: bots, spyware, adware. spyware, adware.
– Phần mềm gián điệp spyware được – Adware: phần mềm độc hại với
đặt trên máy tính để thu thập thông tin
về người dùng và báo cáo nó. mục đích cung cấp tiếp thị và
• Web bug: một đồ họa nhỏ được
quảng cáo không mong muốn (bao
tham chiếu trong HTML của trang gồm cửa sổ bật lên và biểu ngữ
web hoặc email để thu thập thông trên màn hình của người dùng),
tin về người dùng đang xem nội được thiết kế để hoạt động ngoài
dung tầm nhìn của người dùng hoặc
Malware • Cookie theo dõi: được đặt trên
máy tính của người dùng để theo
Malware được kích hoạt bởi hành động
dường như vô hại của người dùng.
dõi hoạt động của họ trên các
trang Web khác nhau và tạo hồ sơ
chi tiết về hành vi của họ, sau đó
những thông tin này có thể được
sử dụng trong một cuộc tấn công
social engineering hoặc đánh cắp
danh tính

63 64

63 64

16
 03/10/2023

Viruses Viruses

Mã này hoạt động giống như mầm bệnh

Virus máy tính gồm các đoạn mã thực hiện các virus lây lan từ máy tính này sang máy tính
hành vi độc hại. khác qua phương tiện vật lý, email hoặc
các hình thức truyền dữ liệu máy tính.

Người dùng thường vô tình giúp virus xâm nhập Khi những virus này lây nhiễm vào một
vào hệ thống bằng cách mở email bị nhiễm hoặc máy, lập tức quét máy đó để tìm các ứng
một số hành động có vẻ tầm thường khác nhưng
có thể khiến mọi thứ từ các thông báo ngẫu nhiên dụng email hoặc thậm chí tự gửi thư đến
xuất hiện trên màn hình của người dùng đến việc mọi người có trong sổ địa chỉ email được
phá hủy toàn bộ ổ cứng. tìm thấy.

65 66

65 66

• Một trong những phương thức lây

• Virus có thể phân loại theo virus thường
truyền virus phổ biến nhất là qua trú trong bộ nhớ và không thường trú
email được đính kèm các tập tin trong bộ nhớ tùy thuộc vào việc chúng có
• Virus có thể phân loại theo cách tồn tại trong bộ nhớ của hệ thống máy
tính sau khi chúng được thực thi hay
chúng tự lây lan: virus macro, virus không.
khởi động – Virus thường trú có khả năng kích
– Virus macro được nhúng vào hoạt lại khi máy tính được khởi động
mã macro thực thi tự động, và tiếp tục hành động của chúng cho
Viruses được sử dụng bởi bộ xử lý văn
Viruses đến khi hệ thống tắt, và chỉ khởi động
lại vào lần khởi động tiếp theo của hệ
bản, bảng tính và ứng dụng thống
CSDL • Virus và worms có thể sử dụng 6 phương
– Virus khởi động lây nhiễm các thức tấn công để phát tán các bản sao của
tệp hệ điều hành chính trong chúng tới các máy tính ngang hàng đang
phần boot của máy tính hoạt động trên mạng

67 68

67 68

17
 03/10/2023

Worms là virus có thể tự tái tạo cho đến khi
chúng lấp đầy hoàn toàn các tài nguyên có sẵn,
Worms (sâu) như bộ nhớ, dung lượng ổ cứng và băng thông
mạng
Hành vi phức tạp của worm có thể được bắt đầu khi
người dùng tải xuống hoặc thực thi tệp. Một khi sâu
đã lây nhiễm vào máy tính, nó có thể tự phân phối lại
Worms (sâu) tới tất cả địa chỉ email được tìm thấy trên hệ thống bị
nhiễm. Hơn nữa, sâu có thể gửi các bản sao của
chính nó lên tất cả máy chủ Web mà hệ thống bị
nhiễm có thể tiếp cận; những người dùng sau truy
cập vào các trang web đó sẽ bị nhiễm.

69 70

69 70

Trojan horses thường được ngụy trang

dưới dạng phần mềm hữu ích hoặc cần
Trojan horses thiết, một khi được đưa vào một hệ thống,
chúng sẽ được kích hoạt và có thể tàn
phá người dùng không nghi ngờ

Sâu cũng lợi dụng các chia sẻ mở được tìm

thấy trên mạng có hệ thống bị nhiễm. Sâu đặt
Worms (sâu) các bản sao mã đang hoạt động của chúng lên
máy chủ để người dùng chia sẻ mở có khả
năng bị nhiễm bệnh.

71 72

71 72

18
 03/10/2023

• Thách thức khi chống lại
virus và sâu là các nguy
Nguy cơ đa hình cơ đa hình, nghĩa là nguy
cơ virus và sâu phát
triển, thay đổi kích thước
của nó và các đặc điểm
bên ngoài của tập tin để
tránh bị phát hiện bởi các
chương trình phần mềm
chống virus
Trò lừa bịp (hoaxes) virus và
sâu
• Một trò lừa bịp virus: một cách tiếp cận
tinh quái hơn, tốn nhiều thời gian và
tiền bạc hơn để giải quyết là việc tấn
công hệ thống máy tính bằng cách
truyền. Vd: người dùng có ý tốt nhưng
lại có thể làm gián đoạn hoạt động và
quy trình của một tổ chức khi gửi email
cảnh báo về một loại virus nguy hiểm
KHÔNG tồn tại.
• Những trò lừa bịp này làm lãng phí
thời gian của người dùng và khiến
mạng quá tải

73 74

73 74

Back doors Back doors

• Back doors: có thể là một lối đi không chủ
đích hoặc có chủ đích (do nhà thiết kế cố
tình để lại để tạo điều kiện thực hiện kiểm
soát truy cập)
• Sử dụng cơ chế truy cập đã biết hoặc mới
được phát hiện, kẻ tấn công có thể giành
quyền truy cập vào hệ thống hoặc tài
nguyên mạng thông qua back doors (cửa
hậu)
• Đôi khi những cánh cửa này do các nhà
thiết kế hệ thống hoặc nhân viên bảo trì để
lại; một cánh cửa như vậy được xem là
một maintenance door.
• Thông thường kẻ tấn công đặt một cánh
cửa sau vào hệ thống hoặc mạng mà
chúng đã thâm nhập để việc quay lại hệ
thống của chúng sau này sẽ dễ dàng hơn.
• Rất khó phát hiện back doors vì người/
chương trình cài đặt nó thường làm cho
quyền truy cập được miễn trừ khỏi các tính
năng ghi nhật ký kiểm tra thông thường
của hệ thống và cố gắng giữ kín cửa sau
với chủ sở hữu hợp pháp của hệ thống

75 76

75 76

19

Tấn công từ chối dịch vụ (DoS) và tấn công
từ chối dịch vụ đã được phân tán (DDoS)
• Tấn công từ chối dịch vụ: cuộc tấn công
cố gắng áp đảo khả năng xử lý thông tin
liên lạc được đưa đến máy tính mục tiêu,
nhằm cấm người dùng hợp pháp truy cập
vào các hệ thống đó
– Kẻ tấn công gửi một số lượng lớn
các yêu cầu kết nối hoặc yêu cầu
thông tin đến một mục tiêu
– Rất nhiều yêu cầu được đưa ra khiến
hệ thống mục tiêu không thể xử lý
chúng thành công cùng với các yêu
cầu dịch vụ hợp pháp khác
– Có thể dẫn đến sự cố hệ thống hoặc
đơn thuần là không thể thực hiện các
chức năng thông thường
77
77
Thư rác (spam) là email thương mại không mong muốn.
Nhiều người xem thư rác là một mối phiền toái hơn là một
Tấn công cuộc tấn công, tuy nhiên nó có thể là vật trung gian cho một
số cuộc tấn công. Hậu quả quan trọng nhất là lãng phí máy
bằng Emails tính và nguồn nhân lực. Để đối phó thư rác, các tổ chức có
thể (1) sử dụng công nghệ lọc email, (2) yêu cầu người
dùng xóa các thư không mong muốn
79
79
03/10/2023
Tấn công từ chối dịch vụ (DoS) và tấn công
từ chối dịch vụ đã được phân tán (DDoS)
• Tấn công từ chối dịch vụ được phân tán: là một
dạng tấn công từ chối dịch vụ, trong đó một
luồng yêu cầu phối hợp được đưa ra nhằm vào
một mục tiêu từ nhiều địa điểm trong cùng một
thời điểm bằng cách sử dụng Bot hoặc Zombies
– Hầu hết các cuộc tấn công DDoS đều diễn
ra trước giai đoạn chuẩn bị trong đó hàng
nghìn hệ thống bị xâm nhập. Các máy bị
xâm nhập bị biến thành Bot hoặc Zombies,
những máy này được kẻ tấn công chỉ đạo
từ xa để tham gia vào tấn công.
– Cuộc tấn công DDoS khó chống lại hơn và
hiện không có biện pháp kiểm soát khả thi.
Tuy nhiên có thể kích hoạt khả năng phòng
thủ Ddos giữa các nhóm nhà cung cấp
dịch vụ
78
78
Bom thư (mail bombing) là một hình thức tấn công thư điện
tử khác cũng là một DoS, trong đó kẻ tấn công gửi một
Tấn công lượng lớn thư điện tử đến mục tiêu. Mặc dù cuộc tấn công
lừa đảo xảy ra qua email, nhưng chúng thường được kết
bằng Emails hợp với một social engineering được thiết kế để lừa người
dùng thực hiện một hành động, thay vì chỉ đơn giản biến
người dùng trở thành mục tiêu của cuộc tấn công qua email
DoS.
80
80
20
 03/10/2023

Là một chương trình hoặc thiết bị có thể giám

sát dữ liệu truyền tải qua mạng. Nó có thể
Packet sniffer được sử dụng cho cả chức năng quản lý mạng
hợp pháp và cho việc lấy cắp thông tin từ một
Tấn công chặn mạng lưới

liên lạc

• Các cuộc tấn công này được thiết kế để đánh chặn và thu thập thông tin trong quá trình chuyển
tiếp thông tin
• Việc xuất hiện Internet of Things làm tăng khả năng xảy ra loại tấn công này
• Ví dụ về các tấn công chặn liên lạc:
– Packet sniffer
– Spoofing
– Pharming
– Man-in-the-middle
82
81

81 82

Spoofing

Spoofing
Giả mạo địa chỉ IP là
một kỹ thuật được sử
dụng để truy cập trái
phép vào máy tính,
trong đó kẻ xâm nhập
sẽ gửi tin nhắn đến
máy tính có địa chỉ IP
cho biết rằng tin nhắn
đến từ một máy chủ
đáng tin cậy

84

83 84

21
 03/10/2023

Pharming Pharming

• Là sự chuyển hướng • Sự khác biệt giữa

của lưu lượng truy cập Pharming và các social
Web hợp pháp đến một engineering attack - tấn
công kỹ thuật xã hội
trang Web bất hợp pháp (được gọi là lừa đảo) là:
với mục đích lấy thông lừa đảo là cuộc tấn công
tin cá nhân yêu cầu người dùng chủ
• Pharming thường sử động nhấp vào liên kết
hoặc nút để chuyển
dụng Trojan, worms hướng đến trang Web bất
hoặc các công nghệ hợp pháp, trong khi
virus khác để tấn công Pharming sửa đổi lưu
địa chỉ trình duyệt lượng truy cập của người
Internet dùng mà người dùng
không biết hoặc không
tham gia tích cực

85 86

85 86

• Man-in-the-middle: một nhóm các tấn công trong
đó một người chặn luồng liên lạc và tự chèn mình
vào cuộc trò chuyện để thuyết phục mỗi bên rằng
anh ta là đối tác hợp pháp.
• Kẻ tấn công nhận dạng các packets từ mạng, sửa
đổi chúng và chèn chúng trở lại mạng.
• Trong một cuộc tấn công chiếm quyền điều phiên
TCP (TCP hijacking attack), kẻ tấn công sử dụng
địa chỉ giả để mạo danh các thực thể hợp pháp
khác trên mạng.
Man-in-the-
middle
• Nguy cơ này xảy ra khi nhà sản xuất phân
phối cho người dùng thiết bị có chứa một lỗi
đã biết hoặc chưa biết.
• Những khiếm khuyết này có thể khiến hệ
thống hoạt động ngoài các thông số mong
đợi, dẫn đến dịch vụ không đáng tin cậy hoặc
không khả dụng
• Một số lỗi là lỗi thiết bị đầu cuối dẫn đến việc
mất thiết bị không thể khôi phục được.
• Một số lỗi không liên tục do chúng chỉ tự biểu
2.2.9 Lỗi hiện định kỳ, dẫn đến các lỗi không dễ lặp
lại, gây khó cho việc phát hiện và khắc phục.
phần cứng Do đó, thiết bị có thể ngừng hoạt động hoặc
hoạt động theo cách không mong muốn

87 88

87 88

22

2.2.10 Lỗi phần mềm
• Nguy cơ này xảy ra khi mua phần mềm có lỗi ẩn, chưa
được biết
• Một lượng lớn mã được viết, gỡ lỗi, xuất bản và bán
•
trước khi tất cả các lỗi đều được giải quyết
sự kết hợp độc đáo của một số phần mềm và phần
•
cứng sẽ phát hiện ra các lỗi mới
Đôi khi, những mục này không phải là lỗi mà là những
việc làm có chủ đích do người lập trình cố tình vì lý do
lành tính
• Lỗi phần mềm phổ biến đến mức toàn bộ các trang
Web đều có mục dành riêng để ghi lại chúng. Phổ biến
nhất là Bugtraq của trang web www.securityfocus.com,
cung cấp thông tin cập nhật từng phút về các lỗ hổng
bảo mật mới nhất cũng như một kho lưu trữ kỹ lưỡng
về các lỗi trong quá khứ
• Một số lỗi và lỗi phá triển phần mềm dẫn đến phần
mềm khó hoặc không thể triển khai theo cách an toàn.
89
89
• Nguy cơ trộm cắp là thường xuyên. Trộm cắp là việc chiếm đoạt
bất hợp pháp tài sản của người khác (tài sản hữu hình, điện tử
hoặc trí tuệ)
• Giá trị thông tin giảm đi khi thông tin bị sao chép mà chủ sở hữu
không biết
2.2.12 Trộm
• Hành vi trộm cắp vật lý (các tài sản hữu hình) dễ bị phát hiện và
có thể được kiểm soát dễ dàng bằng nhiều cách: cửa khóa,
nhân viên an ninh, hệ thống báo động. Tuy nhiên trộm cắp điện
tử là một vấn đề phức tạp hơn để quản lý và kiểm soát, do khi
thông tin điện tử bị đánh cắp, tội phạm không phải lúc nào cũng
rõ ràng. Nếu tên trộm khôn khéo và che đậy dấu vết cẩn thận,
tội ác có thể không bị phát hiện cho đến khi quá muộn.
91
91
03/10/2023
• Khi cơ sở hạ tầng trở nên lạc hậu dẫn đến các hệ
thống không đáng tin cậy.
• Ban quản lý cần nhận ra rằng khi công nghệ trở
nên lạc hâu, rủi ro mất tính toàn vẹn của dữ liệu từ
các cuộc tấn công sẽ luôn hiện hữu, do đó, ban
quản lý cần lập kế hoạch phù hợp để ngăn ngừa
rủi ro đến từ sự lỗi thời về công nghệ
• Các chuyên gia CNTT đóng vai trò lớn trong việc
xác định khi nào hệ thống/ công nghệ lỗi thời. Việc
thay thế hệ thống mới sẽ tốn ít chi phí hơn ở các
2.2.11 Công tổ chức mà nhân viên CNTT kịp thời báo thời điểm
hệ thống/ công nghệ sắp sửa lỗi thời cho ban quản
nghệ lạc hậu lý hơn là báo khi hệ thống/ công nghệ ở trạng thái
đã lỗi thời
90
90
• Trộm cắp là loại nguy cơ thường trùng lặp với nguy cơ các cuộc
tấn công phần mềm, gián điệp & xâm nhập, tống tiền thông tin
và xâm phạm quyền sở hữu trí tuệ. Tin tặc hoặc các tác nhân
nguy cơ (threat agent) khác có thể truy cập vào hệ thống và
thực hiện hầu hết các hành vi vi phạm này bằng cách tải xuống
2.2.12 Trộm
thông tin của doanh nghiệp và sau đó đe dọa công khai chúng
nếu không nhận được tiền.
• Việc sử dụng ngày càng nhiều công nghệ di động làm tăng nguy
cơ bị đánh cắp dữ liệu. Tuy nhiên, đáng lo hơn việc mất dữ liệu
là khả năng người dùng cho phép thiết bị di động giữ lại thông
tin đăng nhập tài khoản, cho phép kẻ trộm sử dụng quyền truy
cập hợp pháp để vào tài khoản doanh nghiệp hoặc tài khoản cá
nhân của nạn nhân
92
92
23
 03/10/2023

3. Luật, đạo đức & thực

Nội dung hành an toàn thông tin

1. Nhu cầu của tổ chức đối Phân biệt giữa luật và đạo đức trong an toàn thông tin
với an toàn thông tin
Chính sách và luật trong an toàn thông tin
2. Các loại nguy cơ & cuộc Đạo đức và an toàn thông tin
tấn công đối với an toàn
thông tin Sự khác biệt về đạo đức giữa các nền văn hóa

3. Luật, đạo đức & thực hành Đạo đức và giáo dục

an toàn thông tin Ngăn chặn hành vi phi đạo đức và bất hợp pháp

4. Bộ quy tắc đạo đức của

các tổ chức nghề nghiệp
93 94

93 94

9
6

3.1 Phân biệt giữa

luật và đạo đức trong
an toàn thông tin

• Luật: là các quy tắc bắt buộc hoặc

nghiêm cấm các hành vi xã hội
nhất định và được thực thi bởi nhà
nước
• Đạo đức: là nhánh của triết học
Bằng cách giáo dục ban quản lý và nhân viên của một tổ chức xem xét bản chất, tiêu chí, nguồn
về các nghĩa vụ pháp lý (thông qua việc nắm và hiểu luật), và gốc, tính logic, và hiệu lực của
đạo đức cần có, cũng như việc sử dụng phù hợp các thực hành phán đoán đạo đức
an toàn thông tin, chuyên gia bảo mật có thể giúp tổ chức tập
trung vào các mục tiêu kinh doanh chính của mình.
95

95 96

24

9
7 9
3.1 Phân biệt giữa
luật và đạo đức trong
an toàn thông tin
• Phong tục, văn hóa truyền thống:
quan điểm đạo đức cố định hoặc
phong tục của một nhóm cụ thể
• Quy tắc mà các thành viên của xã hội
tạo ra để cân bằng giữa quyền tự
quyết của cá nhân so với nhu cầu của
toàn xã hội gọi là luật. Điểm khác biệt
chính giữa luật và đạo đức là luật có
thẩm quyền của cơ quan quản lý và
đạo đức thì không, và đạo đức dựa
trên phong tục, văn hóa truyền thống.
97
9
9
3.2 Chính sách và
luật trong an toàn
thông tin
Vì những chính sách này có chức
năng như luật, chúng phải được xây
dựng và thực hiện với sự cẩn trọng
như nhau để đảm bảo rằng chúng
được áp dụng đầy đủ, thích hợp và
công bằng cho mọi người tại nơi làm
việc. Tuy nhiên, sự khác biệt giữa
chính sách và luật pháp là sự thiếu
hiểu biết về chính sách là có thể
chấp nhận được.
99
03/10/2023
8
3.2 Chính sách và
luật trong an toàn
thông tin
Chính sách: các hướng dẫn quy
định hành vi nhất định trong tổ
chức
Trong một tổ chức, chuyên gia
bảo mật thông tin giúp duy trì an
toàn thông tin qua việc thiết lập,
và thực thi chính sách.
Các chính sách này hoạt động
như luật tổ chức, hoàn chỉnh với
các hình phạt, thực tiễn tư pháp
và các biện pháp trừng phạt để
yêu cầu tuân thủ.
98
1
0
0
3.2 Chính sách và
luật trong an toàn
thông tin
Một chính sách có hiệu lực thi hành cần đáp ứng
5 tiêu chí:
– Phổ biến: thông qua bản in cứng và
phân phối điện tử
– Đánh giá dễ đọc bằng cách chính sách
được ghi lại bằng tiếng anh và các ngôn
ngữ thay thế khac.
– Dễ hiểu bằng cách phát hành các câu
đố và các bài đánh giá khác
– Tuân thủ bằng cách khi đăng nhập, yêu
cầu một hành động cụ thể (nhấp chuột)
để cho thấy người dùng đã đọc, hiểu và
đồng ý tuân thủ chính sách
– Thực thi thống nhất (bất kể tình trạng
hoặc sự phân công của nhân viên)
100
25
 03/10/2023

102

1
0
1

Đọc và thảo luận:

• Luật An ninh mạng
• Quyền riêng tư
• Đánh cắp danh tính
TÌNH HUỐNG

101 102

3.3 Đạo đức và an toàn thông tin 3.3 Đạo đức và an toàn thông tin

10 điều răn về Đạo đức máy tính từ Viện đạo

10 điều răn về Đạo đức máy tính từ Viện đức máy tính
đạo đức máy tính Không được sao chép hoặc sử dụng
Không được dùng máy tính để làm phần mềm độc quyền mà bạn chưa trả
hại người khác tiền
Không nên can thiệp vào công việc Không được sử dụng tài nguyên máy tính
máy tính của người khác của người khác mà không được phép
hoặc bồi thường thích đáng
Không được rình mò các tệp máy tính
Không nên chiếm đoạt sản phẩm trí tuệ
của người khác của người khác
Không được dùng máy tính để ăn Nên nghĩ về hậu quả xã hội của chương
trộm trình bạn đang viết
Không được sử dụng máy tính để Cần phải luôn sử dụng máy tính theo
làm chứng dối cách đảm bảo sự thận trọng và tôn trọng
đối với nhân loại
103 104

103 104

26
 03/10/2023

Giáo dục là yếu tố quan

trọng hàng đầu trong
Sự khác biệt về văn hóa việc nâng cao nhận thức
gây khó khăn trong việc đạo đức
xác định hành vi đạo
đức, hành vi không đạo
đức, đặc biệt khi nói đến
3.4 Sự khác biệt việc sử dụng máy tính.
Nhân viên phải được

về đạo đức giữa 3.5 Đạo đức đào tạo về các hành vi
đạo đức được kỳ vọng,
các nền văn hóa Khó khăn này càng tăng và giáo dục đặc biệt trong lĩnh vực
an toàn thông tin
cao khi hành vi đạo đức
của một quốc gia mâu
thuẫn với bộ quy tắc đạo
Việc đào tạo hành vi
đức của nhóm quốc gia
khác. đạo đức phù hợp sẽ
quan trọng để hình
thành nên người dùng
105
hệ thống có tư duy 106

105 106

Nội dung
• Phương pháp tốt nhất để ngăn cản
3.6 Ngăn các hành vi phi đạo đức và bất hợp
chặn hành vi pháp là thực thi luật, chính sách và 1. Nhu cầu của tổ chức đối
các kiểm soát kỹ thuật, giáo dục và với an toàn thông tin
phi đạo đức đào tạo.
• 2. Các loại nguy cơ & cuộc
và bất hợp Luật và chính sách, các hình phạt đi
kèm chỉ mang lại hiệu quả nếu 3 tấn công đối với an toàn
pháp điều kiện sau hiện hữu: thông tin
– Nỗi sợ bị phạt 3. Luật, đạo đức & thực hành
– Khả năng bị bắt
– Khả năng hình phạt được áp an toàn thông tin
dụng 4. Bộ quy tắc đạo đức của
các tổ chức nghề nghiệp
107
108

107 108

27

4. Bộ quy tắc đạo đức của các tổ chức nghề nghiệp
Nhiều tổ chức nghề nghiệp đã thiết lập các quy tắc ứng xử
hoặc quy tắc đạo đức mà các thành viên phải tuân theo.
Các quy tắc đạo đức có thể tác động tích cực đến tư duy
của mọi ngừoi về việc sử dụng máy tính và việc đạt các
chứng chỉ của tổ chức nghề nghiệp có thể giúp những hạn
chế vi phạm đạo đức do sợ mất chứng nhận nghề nghiệp.
109
109
4.1 Hiệp hội máy tính (Association
of Computing Machinery)
• www.acm.org
• Hiệp hội xây dựng bộ quy tắc gồm
24 mệnh lệnh và trách nhiệm đạo
đức cá nhân đối với các chuyên gia
bảo mật
• Tổ chức này nhấn mạnh vào đạo
đức của các chuyên gia bảo mật
111
111
03/10/2023
4. Bộ quy tắc đạo đức của các tổ
chức nghề nghiệp
Các tổ chức nghề nghiệp
• Hiệp hội máy tính (Association of Computing
Machinery)
• Hiệp hội kiểm tra và kiểm soát hệ thống thông tin
(Information Systems Audit and Control
Association)
• Hiệp hội an toàn hệ thống thông tin (Information
Systems Security Association)
• Tổ chức chứng nhận bảo mật hệ thống thông tin
quốc tế (International Information Systems
Security Ceritification Consortium)
• Chứng nhận bảo đảm thông tin toàn cầu của viện
SANS (SANS Institute’s Globacl Information
Assurance Certification)
110
110
4.2 Hiệp hội kiểm toán và kiểm soát
hệ thống thông tin (Information
Systems Audit and Control
Association)
• www.isaca.org
• Hiệp hội tập trung vào kiểm
toán, bảo mật thông tin, phân
tích quy trình kinh doanh và
lập kế hoạch hệ thống thông
tin thông qua các chứng chỉ
CISA và CISM
• Tổ chức này nhấn mạnh nhiệm
vụ và kiến thức cần thiết của
chuyên gia kiểm toán hệ thống
thông tin
112
112
28

• www.issa.org
• Hiệp hội nghề nghiệp của
các chuyên gia bảo mật hệ
thống thông tin, cung cấp
4.3 Hiệp hội an toàn diễn đàn giáo dục, ấn phẩm
hệ thống thông tin và mạng ngang hàng cho
(Information Systems các thành viên
Security Association) • Tổ chức này nhấn mạnh
đến việc chia sẻ an toàn
thông tin một cách chuyên
nghiệp
113
113
4.5 Chứng nhận bảo đảm thông tin toàn cầu
của viện SANS (SANS Institute’s Global
Information Assurance Certification)
• www.giac.org
• Chứng chỉ GIAC tập trung vào bốn lĩnh
vực bảo mật: quản trị bảo mật, quản lý
bảo mật, kiểm toán CNTT và bảo mật
phần mềm, những lĩnh vực này có cấp
độ tiêu chuẩn vàng và chuyên nghiệp.
• Tổ chức này yêu cầu cá nhân có
chứng chỉ phải tuân theo bộ quy tắc
đạo đức đã được ban hành
115
115
03/10/2023
4.4 Tổ chức chứng nhận bảo mật hệ thống
thông tin quốc tế (International Information
Systems Security Ceritification Consortium)
• www.isc2.org
• Đây là tập đoàn quốc tế chuyên nâng
cao chất lượng các chuyên gia bảo
mật thông qua các chứng chỉ SSCP và
CISSP
• Tổ chức này đòi hỏi cá nhân có chứng
chỉ phải tuân theo bộ quy tắc đạo đức
đã ban hành
114
114
Nội dung
1. Nhu cầu của tổ chức đối
với an toàn thông tin
2. Các loại nguy cơ & cuộc
tấn công đối với an toàn
thông tin
3. Luật, đạo đức & thực hành
an toàn thông tin
4. Bộ quy tắc đạo đức của
các tổ chức nghề nghiệp
116
116
29
 03/10/2023

Bài tập

118

117 118

30