AN TOÀN THÔNG TIN

NHÓM 10
1.Nguyễn Trọng Dĩ
2.Nguyễn Minh Hiếu
3.Nguyễn Thị Như Hằng
4.Dương Thị Trúc Linh
5.Hồ Thị Huyền Nhi
6.Trương Ngọc Kim Quí
7.Nguyễn Thị Thanh Thảo
8.Lê Thị Minh Thư
9.Đỗ Triệu Yến Vi
10. Hoàng Quyên
 TÌNH HUỐNG
Manulife Việt Nam là thành viên của Manulife Financial, Manulife Việt Nam tự hào là doanh nghiệp
bảo hiểm nhân thọ nước ngoài đầu tiên có mặt tại Việt Nam từ năm 1999 và sở hữu tòa nhà trụ sở
riêng có với giá trị đầu tư hơn 10 triệu USD. Với bề dày kinh nghiệm và uy tín toàn cầu, Manulife hiện
là Công ty Bảo hiểm Nhân thọ lớn nhất Việt Nam, tính theo vốn điều lệ (Cập nhật đến tháng 05/2018).

Manulife Việt Nam hiện đang cung cấp một danh mục các sản phẩm đa dạng từ sản phẩm bảo
hiểm truyền thống đến sản phẩm bảo hiểm sức khoẻ, giáo dục, liên kết đầu tư, hưu trí… cho hơn
800.000 khách hàng thông qua đội ngũ đại lý hùng hậu và chuyên nghiệp tại 61 văn phòng trên 45
tỉnh thành cả nước.

Bên cạnh kênh phân phối truyền thống qua đại lý, Manulife Việt Nam đa dạng hóa hoạt động kinh
doanh bằng việc cùng các đối tác ngân hàng triển khai kênh phân phối sản phẩm bảo hiểm qua ngân
hàng (bancassurance) nhằm đáp ứng nhu cầu ngày càng đa dạng của thị trường. Ngoài ra, Manulife
Việt Nam là doanh nghiệp bảo hiểm nhân thọ duy nhất phối hợp với Trung Ương Hội liên hiệp Phụ nữ
Việt Nam triển khai chương trình bảo hiểm vi mô dành cho phụ nữ có thu nhập thấp với mong muốn
cùng Chính phủ phổ cập bảo hiểm nhân thọ đến các gia đình Việt Nam, góp phần thực hiện các chính
sách an sinh xã hội, xóa đói giảm nghèo và tạo ý thức tiết kiệm cho người dân.
YÊU CẦU

• Với cách làm trên, website có thể

gặp phải những vấn đề an ninh gì?
• Hãy đề xuất giải pháp cho mỗi vấn
đề trên và trình bày chi tiết cách
triển khai giải pháp đó như thế
nào?
• Giải thích lý do chọn giải pháp đó.
Doanh nghiệp Manulife Việt Nam là một doanh nghiệp bảo hiểm
vậy nên công ty này đang nắm giữ một lượng lớn thông tin quan
trọng của 800.000 khách hàng. Vậy nên rủi ro mà công ty này có
thể gặp rất lớn
VẤN ĐỀ VỀ NGUỒN
NHÂN LỰC:
Khi doanh nghiệp cung cấp
các gói báo hiểm qua các đối
tác thứ ba thì không thể tránh
khỏi việc nhiều người tham dự
vào quá trình tiếp cận thông
tin khách hàng vậy nên những
rủi ro như việc lộ thông tin
khách hàng từ những nhân
viên của doanh nghiệp hoặc
bên thứ ba tham gia vào là rất
cao.
VẤN ĐỀ VỀ KIỂM SOÁT
TRUY CẬP
Hệ thống của Manulife Việt Nam
ngoài nội bộ doanh nghiệp thì còn có
bên thứ ba là Ngân hàng và đại lý
tiếp cận thì vấn đề được đặt ra là
người truy cập vào hệ thống có hợp
lệ hay không.
TỔ CHỨC AN TOÀN
THÔNG TIN KHÔNG HỢP
LÝ DẪN ĐẾN SỰ RỐI LOẠN,
CHẬM TRỄ KHI XẢY RA SỰ
CỐ LÀ VẤN ĐỀ MÀ MỌI
WEBSITE CÓ THỂ GẶP PHẢI
Trong quá trình lưu thông và giao
dịch thông tin trên mạng internet
nguy cơ mất an toàn thông tin trong
quá trình truyền tin là rất cao do kẻ
xấu chặn đường truyền và thay đổi
hoặc phá hỏng nội dung thông tin
rồi gửi tiếp tục đến người nhận.
MẠO DANH LỪA ĐẢO
Doanh nghiệp Manulife là môt
doanh nghiệp lớn vậy nên sẽ dễ
là mục tiêu của các đối tượng
lừa đảo vậy nên 1 vấn đề nữa
mà website có thể sẽ đối mặt là
những kẻ mạo danh với mục
đích lừa lấy thông tin khách
hàng nhằm trục lợi cá nhân.
 GIẢI PHÁP

VẤN ĐỀ NGUỒN NHÂN LỰC

+Ổn định và duy trì nguồn nhân lực chất lượng cao, hoàn thiện các quy chế,
chính sách đối với nhân viên.
+Bố trí nhân lực đúng người đúng vị trí, tuyển chọn nhân sự có lý lịch rõ ràng và có
sự đảm bảo từ bên thứ ba đối những nhân viên nắm giữ thông tin khách hàng.
+Chỉ định một hoặc nhóm nhân viên có trách nhiệm kiểm tra và chịu trách nhiệm
về việc lộ thông tin khách hàng ra bên ngoài của công ty Manulife.
+Thường xuyên giám sát hoạt động của nhân viên và đánh giá khả năng làm việc
của họ
+Tạo điều kiện tốt nhất để phát triển cá nhân của nhân viên Manulife cũng như tạo
cảm giác thích thú khi làm việc.
 VẤN ĐỀ KIỂM SOÁT TRUY CẬP
+Mỗi thành viên hay đối tác khi hợp tác với Manulife Việt Nam thì được cung
cấp ID riêng giúp góp phần đảm bảo việc truy cập hợp pháp vào hệ thống,
thuận tiện cho việc quản lý.
+Nâng cấp hệ thống bảo mật, hệ thống kiểm soát ra vào của các ngân hàng
hay đối tác của Manulife.
+Kiểm tra đình kỳ hệ thống đề phòng xảy ra lỗi

TỔ CHỨC AN TOÀN THÔNG TIN KHÔNG

HỢP LÝ DẪN ĐẾN SỰ RỐI LOẠN, CHẬM
TRỄ KHI XẢY RA SỰ CỐ LÀ VẤN ĐỀ MÀ
MỌI WEBSITE CÓ THỂ GẶP PHẢI
Lập kế hoạch đối với những lỗi thường hay xảy ra để có
hướng giải quyết tốt nhất. Đào tạo, tập huấn nhân viên
khắc phục sự cố.
 MẠO DANH LỪA ĐẢO
+Thông báo các thông tin của công ty đến khách hàng qua trang web chính
thống và tại trụ sở của công ty Manulife Việt Nam.
+Sử dụng các màng hình điện tử tại trụ sở công ty để thông báo một số thông tin
quan trọng.
+Gửi tin nhắn nhắc nhở khách hàng về việc có công ty giả mạo và nguy cơ mất
thông tin cá nhân.
+Kiểm soát, báo cáo và gỡ bỏ các trang giả mạo công ty lừa gạt khách hàng.
LÝ DO CHỌN GIẢI PHÁP
VỀ NGUỒN NHÂN LỰC
Nhân viên có thể là liên kết yếu nhất của một tổ chức nói chung và
doanh nghiệp Manulife nói riêng, nhưng cũng là hệ thống bảo vệ
mạnh mẽ nhất của tổ chức. Một nhân viên có dã tâm có thể bán thông
tin bảo mật hoặc thậm chí cho phép kẻ tấn công xâm nhập vào hệ
thống mạng của tổ chức. Một nhân viên thiếu hiểu biết thậm chí có
thể vô tình “mở cửa” cho những kẻ tấn công. Tuy nhiên, một nhân viên
nhận thức được các mối nguy cơ và đã được đào tạo về các dấu hiệu
để phát hiện vi phạm, sẽ trở thành một tuyến phòng thủ đầu tiên của
tổ chức. Vì vậy, việc đảm bảo rằng nhân viên đã được làm quen với các
mối nguy cơ và biện pháp ứng phó là điều rất cần thiết.
VẤN ĐỀ KIỂM SOÁT TRUY CẬP
+ Những kẻ tấn công có thể đã xâm nhập vào mạng lưới của doanh
nghiệp và chỉ chực chờ cơ hội thích hợp để tấn công => nâng cao hệ
thống bảo mật
+ Đảm bảo rằng những kẻ tấn công không thể khai thác được các lỗ
hổng để truy cập vào hệ thống mạng của tổ chức => Ngoài hệ thống của
tổ chức và nhân viên, các bên thứ ba và nhà cung cấp mà bạn đang hợp
tác cũng cần triển khai những biện pháp bảo mật an ninh mạng mạnh
mẽ và áp dụng các biện pháp tức thời. Các tổ chức cần xây dựng một
phương pháp thường xuyên và có cấu trúc để xem xét và đánh giá mức
độ bảo mật của các bên này.

VẤN ĐỀ SỰ CỐ
Để hạn chế việc xử lý sự cố sai
cách có thể khiến các tổ chức
phải gánh chịu chi phí cao hơn
và thiệt hại về mặt uy tín, từ đó
có thể gặp phải rất nhiều khó
khăn trong quá trình phục hồi.
VẤN ĐỀ LỪA ĐẢO, MẠO
DANH
Trong trường hợp các quy trình
có liên quan đến thông tin liên
hệ của con người như doanh
nghiệp Manulife, sẽ rất dễ bị lừa
đảo và lạm dụng. Nếu không có
hệ thống giám sát thích hợp tại
chỗ, các quy trình kinh doanh
này có thể sẽ bị xâm phạm và
làm ảnh hưởng rất nhiều đến
doanh nghiệp và khách hàng.
Câu hỏi ôn tập
 Câu 9:Đưa ra một hệ thống mà bạn biết có sử dụng mật
khẩu cố định (fixed password) và mô tả các bước thực hiện
để bạn có thể được chứng thực người dùng trong hệ thống
đó. Nêu mục tiêu của việc chứng thực này.
 MÃ PIN CỦA TÀI KHOẢN
NGÂN HÀNG

Khi được nhận thẻ ATM

nội địa tại ngân hàng, bạn
sẽ được nhận kèm một mật
khẩu để có thể truy nhập
vào tài khoản tại cây ATM.
Đó là mã PIN.
Đổi mã PIN tại cây ATM từng bước cụ thể
Bước 1: Ra cây ATM ngân hàng phát hành
thẻ, sau đó đút thẻ vào khe nhận thẻ theo
đúng hướng
Bước 2: Chọn ngôn ngữ
Bước 3: Nhập mã PIN cũ hoặc mã PIN ATM
do ngân hàng cấp nếu là lần đầu tiên đổi
Bước 4: Chọn “Thay đổi mã pin”
Bước 5: Nhập mã PIN mới, nhập 2 lần để
kiểm tra độ chính xác
Bước 6: Trên màn hình hiển thị đổi mã PIN
thành công, nhấp thoát và nhận lại thẻ.
Mục đích của việc chứng thực đó là:
• Việc chứng thực này sẽ giúp người dùng bảo vệ được tài
khoản của mình hơn.
• Giúp cho người khác khó có thể đánh cắp được thông tin
của bạn.
• Giúp thông tin thẻ của bạn được an toàn hơn
Câu 10: Đưa ra một hệ thống mà bạn biết có sử dụng
mật khẩu dùng một lần (one time password) và mô tả
tình huống mà bạn có sử dụng mật khẩu để chứng
thực người dùng/giao dịch. Nêu mục tiêu của việc
chứng thực này.
 MẬT KHẨU DÙNG MỘT LẦN
(OTP) DÙNG ĐỂ XÁC THỰC
NGƯỜI DÙNG TRUY CẬP ỨNG
DỤNG HOẶC THỰC HIỆN GIAO
DỊCH TRÊN INTERNET
BANKING/MOBILE BANKING.
OTP là từ viết tắt của One Time
Password, có nghĩa là mật khẩu sử
dụng một lần. Thời gian tồn tại của
mã OTP cũng rất ngắn, thường
trong vòng 30 giây, sau thời gian
này mã sẽ không còn hiệu lực.
 Mã OTP thường xuất hiện khi bạn thực hiện các
giao dịch thanh toán như chuyển khoản, mua hàng
online…OTP chỉ được sử dụng một lần duy nhất
trong giao dịch
Đối với giải pháp xác thực bằng OTP gửi qua tin
nhắn SMS hoặc thư điện tử, OTP không có thời
gian hiệu lực tối đa không quá 5 phút.
Bảo mật bằng việc xác thực qua mã OTP được coi
là hình thức bảo mật an toàn, tuy nhiên bạn cần
bảo vệ mã OTP này, tránh để lộ mã OTP và mật
khẩu của ứng dụng thanh toán
 TẤT CẢ NHỮNG THÔNG
TIN VỀ MẬT KHẨU MẶC
ĐỊNH NÀY ĐẾN TỪ ĐÂU?"

Các nhà sản xuất router, bo

mạch chủ và những phần cứng
máy tính được bảo vệ bằng mật
khẩu khác đã tạo ra mật khẩu
mặc định và các thông tin mặc
định khác, cho phần cứng của
họ (thường nằm trong hướng
dẫn sử dụng sản phẩm).
MỤC TIÊU CỦA CHỨNG THỰC
LÀ:

• Đảm bảo an toàn cho tài khoản

• Đây được coi là hình thức bảo
mật 2 lớp ngoài lớp mật khẩu
bạn đăng ký khi sử dụng. Xác
thực OTP giúp bảo mật tối đa
cho tài khoản của bạn khi sử
dụng dịch vụ ngân hàng điện tử
hay thanh toán trực tuyến.
Câu 11: Sinh trắc học là gì? Nêu các lĩnh vực mà bạn có thể sử
dụng sinh trắc học.
Sinh trắc học là công
nghệ sử dụng những
thuộc tính vật lý, đặc
điểm sinh học riêng của
mỗi cá nhân như vân
tay, khuôn mặt, mống
mắt, tĩnh mạch, … để
nhận diện, xác thực bảo
mật.
CHÍNH PHỦ TÀI CHÍNH NGÂN HÀNG CHĂM SÓC SỨC
KHỎE

QL LAO ĐỘNG QL KHÁCH SẠN QL TRƯỜNG HỌC

Câu 12: Nêu ưu điểm và nhược điểm của việc áp dụng chứng
thực bằng sinh trắc học.
 ƯU ĐIỂM NHƯỢC ĐIỂM
• Tạo khả năng chính xác - Thứ nhất, sinh trắc học có
cao trong các giải pháp thể không phải là một bí mật.
xác thực, người dùng Ví dụ, xác thực vân tay là
không cần phải lo lắng về phương pháp phổ biến nhất,
nguy cơ rò rỉ những nhưng dấu vân tay của mọi
thông tin nhạy cảm người có thể tìm thấy ở mọi
• Tăng cường mức độ an nơi.
toàn thông tin - Thứ hai, dữ liệu sinh trắc học
• Giảm phụ thuộc vào là thông tin cá nhân nhạy cảm
những nhược điểm của và việc kiểm soát các dữ liệu
các loại mật khẩu truyền này sẽ có những rủi ro đáng
thống. kể.
Câu 13: Hệ thống quản lý an toàn thông tin là gì? Mục tiêu của
hệ thống an toàn thông tin?
Hệ thống quản lý an toàn thông tin là một phần của
hệ thống quản lý toàn diện, dựa trên các rủi ro
có thể xuất hiện trong doanh nghiệp để xây
dựng, điều hành, triển khai, soát xét, duy trì và
cải tiến an toàn thông tin.
 Đảm bảo tính bí mật của
MỤC TIÊU CỦA HỆ THỐNG thông tin
AN TOÀN THÔNG TIN: Thông tin chỉ được phép truy cập bởi
những được cấp phép.

Đảm bảo tính toàn vẹn của

Đảm bảo độ sẵn sàng của
thông tin
thông tin
Thông tin chỉ được phép sửa hoặc xóa
Thông tin được truy xuất bởi những
bởi những đối tượng được cấp phép và
người đượcc phép vào bất cứ lúc nào họ
đảm bảo thông tin vẫn còn chính xác
muốn.
khi được lưu trữ hay chuyển đi.
CẢM ƠN CÔ VÀ CÁC BẠN
ĐÃ LẮNG NGHE PHẦN
THUYẾT TRÌNH CỦA
NHÓM EM!