Báo cáo tiểu luận

An toàn thông
tin
 Nội dung
L01: TH6: Giải thích sự ảnh hưởng của ATTT đến cá nhân, tổ chức
và xã hội.
L02: TH4: Nhận diện các mối đe doạ.
L03: TH4: Pháp luật.
L04: TH4: Giải thích và giải pháp đảm bảo ATTT.
 Công ty cổ phần đầu tư và Du Lịch Viễn Đông hoạt động từ 11/2007, là doanh
nghiệp chuyên về tổ chức các tour lữ hành Du Lịch Trong & Ngoài Nước. Ngoài
ra công ty đã mở rộng hoạt động theo sự phát triển chung của thị trường như đầu
tư các dự án BĐS, cho thuê nhà xưởng trong các KCN (Bình Dương) và kinh
doanh Xăng Dầu...Các dịch vụ của công ty:
A. Du lịch trong và ngoài nước B. Bất động sản

LO1: TH6: 1. Tổ chức tour du lịch.

2. Cho thuê xe du lịch.
1. Tham gia đầu tư các dự án BĐS
2. Cho thuê nhà xưởng trong KCN
Giải thích sự ảnh 3. Đặt phòng khách sạn 3. Môi giới bất động sản.
4. Cung cấp các sản phẩm du lịch C. Kinh doanh xăng dầu
hưởng của ATTT theo nhu cầu của khách hàng 4. Mua và bán xăng dầu
đến cá nhân, tổ Câu hỏi:
1) Hãy nêu và giải thích ít nhất 4 tính cần thiết của an toàn HTTT đối với công
chức và xã hội. ty/doanh nghiệp được mô tả ở trên.
2) Tại sao một doanh nghiệp cần phải có các biện pháp khác nhau để đảm bảo
tính an toàn thông tin của doanh nghiệp?
Trả lời:

1) Hãy nêu và giải thích ít nhất 4 tính cần thiết của an toàn HTTT đối
với công ty/doanh nghiệp được mô tả ở trên.
4 tính cần thiết của an toàn HTTT:

1. Tính bí mật 2. Tính toàn vẹn

3. Tính sẵn sàng 4. Tính không thể chối

cãi
1. Tính bí mật Se c re c y !
• Là bảo vệ dữ liệu không bị lộ ra ngoài một cách trái phép.

• Doanh nghiệp đảm bảo an toàn, xác định quyền được truy cập đối
với thông tin được tìm kiếm.

• Với tính bảo mật cao, hệ thống sẽ thống kê, kiểm soát lượng truy
cập, thông tin truy cập, chức năng kiểm soát truy cập luôn có hiệu
lực, bảo mật tuyệt đối thông tin

• Trên hệ thống của công ty cổ phần đầu tư và Du lịch Viễn Đông,

khách hàng được bảo mật các thông tin riêng tư một cách tuyệt
đối, mỗi khách chỉ có thể xem thông tin về hợp đồng, tour du lịch
hay dữ liệu về kí kết bất động sản của chính mình, những người
khác sẽ không thể nào truy cập, xem hay xâm nhập trái phép vào
dữ liệu của khách hàng.
 y !
2. Tính toàn vẹn Int e gr i t
• Đảm bảo sự nguyên bản của thông tin, không xảy ra sự chỉnh
sửa, sao chép dữ liệu trái phép.

• Ngăn cản sự làm biến dạng nội dung thông tin của những
người sử dụng không được phép; duy trì sự nguyên bản của
dữ liệu trên hệ thống, hạn chế sự tự chỉnh sửa thiếu chủ tâm
của người sở hữu thông tin.

• Ở tình huống trên, tính toàn vẹn được duy trì, khách hàng sẽ
yên tâm rằng tour du lịch của mình sẽ không có ai có thể tự ý
chỉnh sửa, thay đổi yếu tố nào, mọi thứ đều được đảm bảo sự
nguyên bản, toàn vẹn.
 3. Tính sẵn sàng Re ady !
• Đảm bảo dữ liệu luôn trong trạng thái sẵn sàng khi người dùng yêu cầu.

• Đảm bảo cho người sử dụng hợp pháp của hệ thống có khả năng truy cập
không bị ngắt quãng, tránh được những rủi ro về cả phần cứng lẫn phần
mềm.

• Đảm bảo độ ổn định đáng tin cậy của thông tin, khách hàng sẽ được nâng
cao trải nghiệm dịch vụ khi luôn có thể truy cập vào hệ thống mọi lúc, mọi
nơi.

• Trên HTTT mà cty Viễn Đông cung cấp cho khách hàng, đảm bảo khách
hàng có thể xem lại thông tin về tour du lịch, dữ liệu hợp đồng của mình
24/7, miễn là khách hàng có kết nối mạng là sẽ truy cập được, không hề có
hiện tượng ngắt quãng, gián đoạn.
4. Tính không thể chối cãi !
i li t y
• Khả năng ngăn chặn việc từ chối hành vi đã thực hiện.
u t ab
di s p
• Mọi thao tác, giao dịch, hành vi đã thực hiện của khách hàng qua hệ I n
thống đều được ghi nhận, lưu trữ và quản lý minh bạch, đảm bảo
quyền lợi và trách nhiệm của các bên.

• Trên HTTT của Cty, sẽ cung cấp bằng chứng chứng minh hành vi,
giao dịch được thực hiện của khách hàng nhằm đảm bảo quyền lợi
của khách hàng nếu các bên khác từ chối chu cấp dịch vụ với
khách, đồng thời khách hàng cũng phải có trách nhiệm với hành vi
mình đã thực hiện.
Trả lời:

2) Tại sao một doanh nghiệp cần phải có các biện pháp khác nhau để
đảm bảo tính an toàn thông tin của doanh nghiệp?
Doanh nghiệp cần có biện pháp đảm bảo tính an toàn thông tin của doanh nghiệp bởi:
• Thông tin là tài sản của doanh nghiệp, có giá trị đối với tổ chức và cần được bảo vệ thật tốt. Hệ thống bảo
mật cao sẽ giúp doanh nghiệp nâng cao uy tín, khách hàng an tâm.

• Một doanh nghiệp trên thương trường, khó tránh khỏi các đối thủ, kẻ muốn xâm nhập, tấn công.
+ Tin tặc có thể tấn công nhiều hình thức: khai thác thông tin; giả mạo thực thể,...
+ Tin tặc có thể sử dụng nhiều kỹ thuật tấn công mạng như: thăm dò, từ chối dịch vụ, mã độc,...

• Nếu hệ thống thông tin không đảm bảo tính an toàn, thì hậu quả rất nghiêm trọng. Chiến lược kinh doanh
có thể sụp đổ, thông tin bị lộ, khách hàng giảm độ tin yêu. Chi phí khôi phục lớn

=> Doanh nghiệp cần phải có các biện pháp khác nhau, thật nhiều biện pháp và tối ưu hóa công hiệu để
đảm bảo tính an toàn thông tin cho doanh nghiệp.
Các biện pháp đảm bảo an toàn thông tin:
• Cải tiến, nâng cao bằng Công nghệ: thiết lập hệ thống phòng thủ website chống tấn
công; sử dụng nền tảng bảo vệ dữ liệu cao cấp; sử dụng cơ chế tự động sao lưu dữ
liệu.
• Đưa ra chính sách và tổ chức: Nhất quán toàn nhân sự của doanh nghiệp về quy
trình nghiệp vụ chuẩn hóa và đồng nhất; Dữ liệu và thông tin phải được truyền trong
hệ thống an toàn và thông suốt, đúng quy trình, kỹ thuật.
• Đào tạo, tập huấn và nâng cao nhận thức: Thường xuyên tổ chức các buổi tập huấn
về an toàn thông tin, thử đối mặt với các tình huống giả định.
• Hợp tác với các bên chuyên môn an toàn thông tin, cải tiến quy trình chuẩn hóa
quốc tế: đặt mối quan hệ hợp tác, phối hợp với các cơ quan về an toàn thông tin, tự
chuẩn hóa theo đuổi hệ thống an toàn thông tin để có thể kịp thời đối phó với các sự
cố.
 Website BẢO HIỂM MANULIFE của Manulife Financial cung cấp các
dịch vụ xem danh mục các sản phẩm đa dạng từ sản phẩm bảo hiểm truyền
thống đến sản phẩm bảo hiểm sức khoẻ, giáo dục, liên kết đầu tư, hưu trí…
cho hơn 700.000 khách hàng thông qua đội ngũ đại lý hùng hậu và chuyên
nghiệp tại 55 văn phòng trên 40 tỉnh thành cả nước. Khách hàng có thể chọn
lựa, đặt câu hỏi, cần tư vấn hay mua gói bảo hiểm trực tuyến trên Website.
Xem thông tin và quyền lợi bảo hiểm, xem hợp đồng bảo hiểm đã mua. Ngoài
ra Website còn giúp cho công ty có thể quản lý toàn bộ các hoạt động của
công ty như quản lý khách hàng, nhân viên, hợp đồng bảo hiểm,…
Câu hỏi:

LO2: TH4: 1. Chỉ ra 3 mối đe doạ mà bạn có thể gặp trong TH trên;
2. Nếu ra được lý do tại sao có những mối đe doạ đó;
NHẬN DIỆN 3. Phân tích hậu quả nếu mối đe doạ đó thực sự xảy ra;
CÁC MỐI ĐE 4. Biện pháp phòng ngừa.
DỌA
 Ảnh hưởng
Lý do tồn tại
tới Manulife
Hệ thống của Manulife trải dài trên
• Sự cố từ tự nhiên (thiên tai, bão
nhiều tỉnh; thiên tai năm nào cũng
lũ,…) nguy hại tới hệ thống.
xảy ra -> Một vài văn phòng bị ảnh
• Bảo hiểm Manulife có nhiều đại
hưởng là khó tránh khỏi.
lý (>40 tỉnh) -> 1 số nơi lỗi dữ
liệu, gián đoạn kết nối.

Hậu quả Biện pháp

Mối đe doạ Tài sản HTTT bị phá hủy hoặc
từ tự nhiên mất đi một phần dữ liệu -> Gián
đoạn cung ứng dịch vụ, giảm
doanh thu ,gây phiền tới khách
hàng.
• Theo dõi thời tiết, dự báo, chủ
động tự bảo vệ, ngăn chặn thiên tai
ảnh hưởng tới các cơ sở, văn
phòng.
• Thiết lập tự động sao lưu, tải dữ
liệu lên hệ thống tổng thường nhật,
chống mất dữ liệu đột ngột.
 Ảnh hưởng
tới Manulife
• Sự cố, lỗi phát sinh trong quá trình
làm việc,… -> rủi ro rò rỉ, tác động
xấu tới hệ thống tổ chức.
• Website có hơn 700000 khách hàng,
nhân viên đông, khối lượng công việc
khá lớn, tiếp nối nhau -> truy cập sai
thông tin, lỗi thao tác, báo cáo,…
Hậu quả
Mối đe doạ Lỗi lưu trữ thông tin lên hệ thống,
không chủ ý khách hàng bị cung cấp sai, thiếu
thông tin về dịch vụ, giảm tín nhiệm,
có thể ảnh hưởng tới doanh thu, uy
tín.
Lý do tồn tại
Khối lượng công việc nhiều, lực
lượng nhân viên vận hành của
hệ thống rất lớn, nên việc xảy ra
sai sót trong quá trình làm việc.
Biện pháp
Đào tạo và huấn nghiệp nhân
viên thường xuyên, nhắc nhở
nhân viên cẩn trọng trong từng
thao tác, cảnh giác với các email
lạ, link lạ, và không được cấp
quyền truy cập cho người ẩn
danh.
 Ảnh hưởng
tới Manulife
• Tin tặc có thể là đối thủ hoặc kẻ phá
hoại sử dụng các phần mềm độc hại,
tấn công lừa đảo,… nhằm xâm nhập,
phá hoại hệ thống của doanh nghiệp.
• Với Bảo hiểm Manulife, tin tặc có thể
sử dụng kỹ thuật tấn công, đánh cắp
danh sách khách hàng, hay tạo web
giả mạo để lừa đảo.
Hậu quả
Mối đe doạ • Mất danh sách KH, rò rỉ chiếc lược
kinh doanh.
• HTTT bị mất dữ liệu, mất đảm bảo
có chủ ý tính toàn vẹn, bí mật.
• Dính virus, mã độc tê liệt hệ thống,
mất tính sẵn sàng, chặn dịch vụ ->
Cty bị giảm doanh thu,mất uy tín;
Khách hàng bị lộ thông tin.
Lý do tồn tại
Các tin tặc (có thể từ đối thủ)
muốn xâm nhập đánh cắp danh
sách khách hàng, phá hoại hệ
thống, gián đoạn quá trình làm
việc và giảm uy tín của Manulife.
Biện pháp
• Nâng cao mạng lưới an toàn,
cố định thông tin đăng nhập.
• Giám sát website, đặt cảnh
báo với thời điểm lưu lượng
tăng bất thường.
• Thường xuyên kiểm tra lại hệ
thống an toàn thông tin, đầu
tư cải tiến thường quý.
 Một sinh viên ngành CNTT rất đam mê công việc của một bác sĩ máy tính chuyên
cứu hộ các máy tính bị tấn công bởi các mã độc, phân tích các mối đe dọa của
HTTT để từ đó cài đặt các cơ chế phù hợp để giảm thiểu các rũi ro cho HTTT đó.
Vì vậy, sinh viên này thường xuyên vào các diễn dàn để tìm hiểu, học hỏi. Sau đó
thực hiện thử nghiệm hết tất cả các kỹ thuật đã học hỏi vào bất cứ hệ thống thông
tin mà mình thích. Kết quả đến nay đã thử nghiệm thành công rất nhiều công cụ,
cũng như website của nạn nhận lao đao vì các thử nghiệm này. Ngoài ra trong một
lần tấn công thử nghiệm, người này đã sao chép được rất nhiều thông tin bảo mật
của hệ thống này. Sau đó người này đem các thông tin này đăng tải lên các diễn đàn
công cộng như là chiến tích của cá nhân mình.
Câu hỏi:
1. Dựa vào Bộ luật an ninh mạng, bạn hãy chỉ ra sinh viên trong tình huống trên
đã vi phạm những khoản nào trong bộ luật? Trình bày nội dung điều khoản
LO3: TH4: luật đó ra.
2. Bạn hãy phân tích chi tiết nội dung của điều khoản luật này.
Pháp luật 3. Giả sử bạn là nhân viên làm việc trong ngành CNTT, bạn hãy đưa ra và giải
thích ít nhất 3 lý do tại sao bạn cần nắm rõ các một số điều khoản luật trong
luật an ninh mạng.
1. Dựa vào Bộ luật an ninh mạng, bạn hãy chỉ ra sinh viên trong tình huống trên đã vi phạm
những khoản nào trong bộ luật? Trình bày nội dung điều khoản luật đó ra.
2. Bạn hãy phân tích chi tiết nội dung của điều khoản luật này.
Dựa vào bộ luật an ninh mạng (2018) cho thấy TH trên đã vi phạm khoản 3 và 5 điều 8:

Khoản 3:
Sản xuất, đưa vào sử dụng công cụ, phương tiện, phần mềm hoặc có hành vi cản trở, gây
rối loạn hoạt động của mạng viễn thông, mạng Internet, mạng máy tính, hệ thống thông tin,
hệ thống xử lý và điều khiển thông tin, phương tiện điện tử; phát tán chương trình tin học
gây hại cho hoạt động của mạng viễn thông, mạng Internet, mạng máy tính, hệ thống thông
tin, hệ thống xử lý và điều khiển thông tin, phương tiện điện tử; xâm nhập trái phép vào
mạng viễn thông, mạng máy tính, hệ thống thông tin, hệ thống xử lý và điều khiển thông
tin, cơ sở dữ liệu, phương tiện điện tử của người khác.

Phân tích
Luật an ninh tại khoản 3 cấm các cá nhân, tổ chức tự ý xâm nhập trái phép vào các hệ thống mạng như: mạng viễn
thông, mạng máy tính, hệ thống thông tin, hệ thống xử lý và điều khiển thông tin, cơ sở dữ liệu, phương tiện điện tử;
Và cấm người khác tự ý sản xuất, đưa những công cụ, phương tiện, phền mềm hay các hoạt động cản trở, ảnh hưởng
tới các vấn đề mạng không thuộc quyền sở hữu của mình. Cụ thể trong trường hợp như trên thì bạn sinh viên này
trong lúc tìm hiểu, nghiên cứu, bạn đã tự ý xâm nhập vào hệ thống không thuộc vào quyền sở hữu của minh và sao
chép thông tin bảo mật của hệ thống này.
Dựa vào bộ luật an ninh mạng (2018) cho thấy TH trên đã vi phạm khoản 3 và 5 điều 8:

Khoản 5:
Lợi dụng hoặc lạm dụng hoạt động bảo vệ an ninh mạng để xâm phạm chủ
quyền, lợi ích, an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp
pháp của cơ quan, tổ chức, cá nhân hoặc để trục lợi.

Phân tích
Luật an ninh mạng tại khoản 5 cấm các cá nhân, tổ chức khi kinh doanh, thực hiện các hành động sửa chữa, bảo vệ an
ninh mạng thì không được lợi dụng hay lạm dụng việc này để tự ý xâm phạm, tự ý can thiệp vào các thông tin của nơi
mà cá nhân hay tổ chức bảo vệ an ninh mạng hay dùng những thông tin đó để trục lợi cho mình. Cụ thể như trong
trường hợp trên, bạn sinh viên trong lúc tìm hiểu, học hỏi, tấn công thử về an ninh mạng thì đã thành công. Sau đó
bạn đã sao chép thông tin bí mật của hệ thống này và đăng tải lên mạng coi như một chiến tích to lớn.
Dựa vào bộ luật công nghệ thông tin (2006) cho thấy tình huống trên đã vi phạm
khoản 2 điều 22:

Khoản 2:
Tổ chức, cá nhân không được cung cấp thông tin cá nhân của người khác cho bên
thứ ba, trừ trường hợp pháp luật có quy định khác hoặc có sự đồng ý của người
đó.

Phân tích
Khoản 2 tại điều 22 trong bộ luật CNTT cấm các cá nhân tổ chức trong quá
trình bảo vệ an ninh mạng hay trong bất cứ trường hợp nào cũng không được
cung cấp thông tin của người khác cho người khác biết. Trừ khi có sự đồng ý
của người sở hữu thông tin đó hay do quy định của pháp luật.
 Để phục vụ nhu cầu học tập và nghiên cứu của cán bộ, giảng viên và
sinh viên của trường (gọi chung là độc giả), nhà trường đã trang bị một
phòng đọc sách cho các độc giả. Phòng này có trang bị máy lạnh, bàn ghế,
wifi, và 100 chiếc máy tính để bàn. Sinh viên có thể tự vào ra phòng đọc
sách trong khoảng thời gian thư viên mở để ngồi đọc sách, học tập nghiên
cứu và dùng các máy tính. Các máy tính chỉ dùng để học tập/nghiên cứu
chứ không cho phép chơi game.

LO4: TH4: Câu hỏi:

1. Đưa và mô tả giải pháp mà có thể cài đặt để kiểm soát sự vào ra phòng
Giải thích và giải đọc sách của các độc giả một cách tự động và nêu lý do tại sao?
2. Đưa ra và mô tả giải pháp mà có thể kiểm soát việc sử dụng wifi và thiết
pháp đảm bảo
bị máy móc ở phòng đọc sách và nêu lý do tại sao?
ATTT
1) Đưa và mô tả giải pháp có thể cài đặt Hệ thống kiểm soát cửa ra vào hoàn toàn được tự động
để kiểm soát sự vào ra phòng đọc hóa và được điều khiển theo dõi qua phần mềm trung tâm
sách một cách tự động. (thẻ từ).

Mô tả phương pháp dùng thẻ từ:

• Bình thường hệ thống chốt cửa ngăn chặn việc

tự do đi qua cửa kiểm soát.
• Mỗi đọc giả cần đăng kí vào hệ thống kiểm soát
vào ra, thẻ đó có in thông tin tên tuổi, hình ảnh
và mã số tương ứng với sinh viên. Qua đó được
người quản lý cấp một quyền truy cập duy nhất
là thẻ từ.
• Để có thể vào ra các phòng. Đọc giả cần phải để
thẻ trước đầu đọc thẻ. Đầu đọc sẽ nhận dạng thẻ
xem có hợp lệ không. Nếu thẻ hợp lệ cửa sẽ tự
động mở.
• Đầu đọc kiểm soát vào ra được kết nối với máy
tính. Qua đó thông tin vào ra của các đọc giả
vào khu vực được quản lý chặt chẽ.
Lý do chọn thẻ từ vì:

• Hợp ở môi trường có số người ra vào lớn, trường đông sinh viên.

• Thời gian đọc thẻ diễn ra chưa đến 1s/ lượt quẹt thẻ.
• Chỉ cần dùng thẻ để quẹt mỗi khi đến nơi làm việc hoặc vào ra. Những thẻ sử dụng hoàn
toàn không bị ảnh hưởng do môi trường hay thời tiết.

• Mỗi thẻ có một ID riêng không trùng lặp nhau. Khi mất thẻ thì những thẻ này sẽ bị vô
hiệu quá lập tức nên không cần lo lắng nếu kẻ xấu nhặt được.
2) Đưa và mô tả giải pháp có thể kiểm soát việc sử dụng Wifi và thiết
bị máy móc ở phòng đọc sách.

Mô tả phương pháp: Xác minh danh tính người Lý do:

sử dụng và thiết bị họ đang dùng.
Kiểm soát được người dùng đang truy cập vào trang web
• Khi người dùng sử dụng wifi cần phải đăng của phòng đọc sách, xác minh được danh tính người sử
nhập để xác minh khoảng thời gian đăng nhập dụng và thiết bị họ đang sử dụng, đồng thời có thể ngăn
vào wifi và họ tên cũng như xác nhận thông tin chặn họ phát tán thông tin xấu không phù hợp.
người sử dụng. Đăng nhập bằng 1 ID và pass cá
nhân (MSSV và mật khẩu cá nhân)
• Thiết bị khác như bàn ghế thì có thể sử dụng
giấy viết tay để vào bàn người quản lý phòng
đọc sách hay điền vào form sử dụng các thiết bị
nào trong website của phòng đọc sách.
• Các máy tính thì cần sử dụng phần mềm quản lý
phòng máy riêng biệt chẳng hạn NetSupport
School 14 để quản lí hành động của người
dùng...
Thank you!

Nhóm 4