Chng I TNG QUAN V AN TON H

Chương I TỒNG QUAN VỀ AN TOÀN HỆ THỐNG THÔNG TIN GV: Trần Thị Kim Chi 1

NỘI DUNG 1. Thông tin và an toàn thông tin Ø Thông tin (Information) Ø Hê thống thông tin (Information Systems) Ø An toàn thông tin (Information Security) 2. Tầm quan trọng an toàn thông tin đối với xã hội/doanh nghiệp/cá nhân 3. Các phương pháp đảm bảo an toàn thông tin 4. Các thành phần cần bảo vệ trong một HTTT 5. C U HỎI VÀ BÀI TẬP Trần Thị Kim Chi 1 -2

Các khái niệm và các định nghĩa cơ bản Data (dữ liệu) và information (thông tin) • Data: sự biểu diễn của các đối tượng và sự kiện (văn bản, hình ảnh, âm thanh, …) được ghi nhận, có ý nghĩa không rõ ràng và được lưu trữ trên các phương tiện của máy tính. Dữ liệu có cấu trúc: số, ngày, chuỗi ký tự, … Dữ liệu không có cấu trúc: hình ảnh, âm thanh, đoạn phim, … • Information: dữ liệu đã được xử lý để làm tăng sự hiểu biết của người sử dụng. è Phân biệt giữa data và information? ? Database System Trần Thi Kim Chi 3

1 Tổng quan về CSDL quan hệ - Các khái niệm cơ bản Data (dữ liệu) và information (thông tin) Dữ liệu Thông tin DỮ LIỆU (DATA) XỬ LÝ THÔNG TIN (INFORMATION) Database System 4

Hệ thống thông tin • Hệ thống thông tin (Information Systems) • Là một hệ thống gồm con người, dữ liệu và những hoạt động xử lý dữ liệu và thông tin trong một tổ chức. • Ta i sa n cu a hê thô ng thông tin bao gô m: ü Phâ n cứng ü Phâ n mê m ü Dữ liê u ü Truyền thông giữa ca c ma y ti nh cu a hê thô ng ü Môi trươ ng la m viê c ü Con ngươ i Trần Thị Kim Chi 1 -5

An Toàn thông tin là gì? (Information Security) Trần Thị Kim Chi 1 -6

An Toàn thông tin là gì? (Information Security) Trần Thị Kim Chi 1 -7

An Toàn thông tin là gì? (Information Security) Trần Thị Kim Chi 1 -8

An Toàn thông tin là gì? (Information Security) • An toàn thông tin bao hàm một lĩnh vực rộng lớn các hoạt động trong một tổ chức. Nó bao gồm cả những sản phẩm và những quy trình nhằm ngăn chặn truy cập trái phép, hiệu chỉnh, xóa thông tin và dữ liệu. • Mục đích là đảm bảo một môi trường thông tin cậy, an toàn và trong sạch cho mọi thành viên và tổ chức trong xã hội. Trần Thị Kim Chi 1 -9

An Toàn thông tin là gì? (Information Security) • Hai nguyên tắc của an toàn bảo mật thông tin: • Việc thẩm định về bảo mật phải đủ khó và cần tính tới tất cả các tình huống , khả năng tấn công có thể được thực hiện. • Tài sản phải được bảo vệ cho tới khi hết gía trị sử dụng hoặc hết ý nghĩa bí mật. Trần Thị Kim Chi 1 -10

Đảm bảo an toàn thông tin là gì? • Đảm bảo ATTT là đảm bảo an toàn kỹ thuật cho hoạt động của các cơ sở HTTT, trong đó bao gồm đảm bảo an toàn cho cả phần cứng và phần mềm hoạt động theo các tiêu chuẩn kỹ thuật do nhà nước ban hành; ngăn ngừa khả năng lợi dụng mạng và các cơ sở HTTT để thực hiện các hành vi trái phép; đảm bảo các tính chất bí mật, toàn vẹn, sẵn sàng của thông tin trong lưu trữ, xử lý và truyền dẫn trên mạng. Trần Thị Kim Chi 1 -11

Bảo mật hệ thống thông tin • Bảo mật hệ thống thông tin (Information Systems Security) • Bao hàm một lĩnh vực rộng lớn các hoạt động trong một tổ chức. • Nó bao gồm cả những sản phẩm và những quy trình nhằm ngăn chặn truy cập trái phép, hiệu chỉnh, xóa, phá hủy, làm lộ và làm gián đoạn thông tin và hoạt động của hệ thống một cách trái phép. Trần Thị Kim Chi 1 -12

Các nguyên tắc nền tảng của an toàn thông tin (CIA) Trần Thị Kim Chi 1 -13

Các nguyên tắc nền tảng của an toàn thông tin • Tính bí mật (Confidentiality): bảo vệ dữ liệu không bị lộ ra ngoài một cách trái phép. • Ví dụ: Trong hệ thống quản lý sinh viên, một sinh viên được phép xem thông tin kết quả học tập của mình nhưng không được phép xem kết quả học tập của sinh viên khác. Trần Thị Kim Chi 1 -14

Các nguyên tắc nền tảng của an toàn thông tin • Tính toàn vẹn (Integrity): Chỉ những người dùng được ủy quyền mới được phép chỉnh sửa dữ liệu. • Ví dụ: Trong hệ thống quản lý sinh viên, không cho phép sinh viên được phép tự thay đổi thông tin kết quả học tập của mình. Trần Thị Kim Chi 1 -15

Các nguyên tắc nền tảng của an toàn thông tin • Tính sẵn sàng (Availability): Đảm bảo dữ liệu luôn sẵn sàng khi những người dùng hoặc ứng dụng được ủy quyền yêu cầu. • Ví dụ: Trong hệ thống quản lý sinh viên, cần đảm bảo rằng sinh viên có thể truy vấn thông tin kết quả học tập của mình bất cứ lúc nào. Trần Thị Kim Chi 1 -16

Các nguyên tắc nền tảng của an toàn thông tin • Tính chống thoái thác (Non-repudiation): Khả năng ngăn chặn việc từ chối một hành vi đã làm. • Ví dụ: Trong hệ thống quản lý sinh viên, có khả năng cung cấp bằng chứng để chứng minh một hành vi sinh viên đã làm, như đăng ký học phần, hủy học phần. Trần Thị Kim Chi 1 -17

Tầm quan trọng an toàn thông tin đối với xã hội/doanh nghiệp/cá nhân • Tính chất của hệ thống thông tin • Nguồn thông tin là những tài sản rất có giá trị của một tổ chức. Thậm chí mang tính sống còn. • Sự yếu kém và dễ bị tấn công của các hệ thống thông tin. • Nhiều vấn đề về an ninh cần phải quan tâm, từ đó có một lý do chính đáng để thay đổi phương thức bảo mật thông tin, mạng, máy tính của bạn Trần Thị Kim Chi 1 -18

Tầm quan trọng an toàn thông tin đối với xã hội/doanh nghiệp/cá nhân • Thiếu hiểu biết và kinh nghiệm để bảo vệ dữ liệu • An toàn là một lãnh vực phát triển cao trong công nghệ TT, nhu cầu về nguồn nhân lực trong lĩnh vực này đang tăng lên rất nhanh • Liên quan đến nghề nghiệp của bạn • Sự phát triển công nghệ thông tin Trần Thị Kim Chi 1 -19

Tầm quan trọng an toàn thông tin đối với xã hội/doanh nghiệp/cá nhân • Bảo vệ dữ liệu cá nhân khởi đầu dùng để chỉ việc bảo vệ dữ liệu có liên quan đến cá nhân trước sự lạm dụng. • Các nước dung tiếng Anh người ta gọi đó là privacy hay data privacy. • Các nước theo luật lệ châu u khái niệm data protection được dùng trong luật lệ. Trần Thị Kim Chi 1 -20

Tầm quan trọng an toàn thông tin đối với xã hội/doanh nghiệp/cá nhân • Ngày nay mục đích của việc bảo vệ dữ liệu được xem là để bảo vệ từng cá nhân không bị thiệt thòi trong quyền tự quyết định về thông tin của chính mình thông qua việc sử dụng dữ liệu liên quan đến cá nhân của họ. • Bảo vệ dữ liệu cá nhân ủng hộ ý tưởng là về nguyên tắc mỗi người đều có thể tự quyết định là người nào, khi nào và dữ liệu cá nhân nào của mình được phép cho người khác xem. • Bảo vệ dữ liệu cá nhân muốn ngăn ngừa cái gọi là "con người bằng kính". Trần Thị Kim Chi 1 -21

Tầm quan trọng an toàn thông tin đối với xã hội/doanh nghiệp/cá nhân • Tầm quan trọng của việc bảo vệ dữ liệu cá nhân đã tăng liên tục từ lúc phát triển kỹ thuật số vì thu thập, lưu trữ, giao chuyển và phân tích dữ liệu ngày càng đơn giản đi. • Các phát triển kỹ thuật như Internet, thư điện tử, điện thoại di động, giám sát bằng video và các phương pháp thanh toán điện tử tạo nên những khả năng mới để thu thập dữ liệu. Trần Thị Kim Chi 1 -22

Tầm quan trọng an toàn thông tin đối với xã hội/doanh nghiệp/cá nhân • Cả cơ quan quốc gia lẫn doanh nghiệp tư nhân đều quan tâm đến những thông tin có liên quan đến cá nhân. • Cơ quan an ninh quốc gia muốn cải tiến việc đấu tranh chống tội phạm thí dụ như thông qua điều tra đặc tính cá nhân (tiếng Anh: racial profiling) và giám sát viễn thông, cơ quan tài chính quan tâm đến giao dịch ngân hàng để khám phá vi phạm về thuế. • Doanh nghiệp hy vọng tăng năng suất từ việc giám sát nhân viên và hy vọng việc định hình khách hàng sẽ giúp đỡ tiếp thị. • Đối diện với sự phát triển này là sự thời ơ của phần lớn dân chúng mà trong mắt của họ việc bảo vệ dữ liệu cá nhân không có hay chỉ có tầm quan trọng trên thực tế rất ít. Trần Thị Kim Chi 1 -23

Các nguy cơ mất ATTT • Cơ sở hạ tầng mạng: Cơ sở hạ tầng không đồng bộ, không đảm bảo yêu cầu thông tin được truyền trong hệ thống an toàn và thông suốt. • Thông tin: Dữ liệu chưa được mô hình hóa và chuẩn hóa theo tiêu chuẩn về mặt tổ chức và mặt kỹ thuật. Yếu tố pháp lý chưa được trú trọng trong truyền đưa các dữ liệu trên mạng, nghĩa là các dữ liệu được truyền đi trên mạng phải đảm bảo tính hợp pháp về mặt tổ chức và mặt kỹ thuật. 24 An toàn thông tin

Các nguy cơ mất ATTT • Công nghệ: Chưa chuẩn hóa cho các loại công nghệ, mô hình kiến trúc tham chiếu nhằm đảm bảo cho tính tương hợp, tính sử dụng lại được, tính mở, an ninh, mở rộng theo phạm vi, tính riêng tư vào trong HTTT. • Con người: Sự hiểu biết của những người trực tiếp quản lý, vận hành các HTTT, xây dựng và phát triển hệ thống phần mềm, hệ thống thông tin còn chưa đồng đều và chưa theo quy chuẩn của các cơ quan tổ chức đó. 25 An toàn thông tin

Các nguy cơ mất ATTT • Quy trình, quản lý: • Chưa chuẩn hóa qui trình nghiệp vụ trong vận hành HTTT. • Chưa chuẩn hóa các thủ tục hành chính, các qui định pháp lý trong việc đảm bảo ATTT. • Tổ chức quản lý thay đổi hệ thống, ứng dụng chưa đúng cách, chưa chuẩn hóa và có chế tài mang tính bắt buộc thực hiện. • Như vậy để đảm bảo ATTT thì các cơ quan tổ chức phải làm tốt và hạn chế tối đa 5 yếu tố trên. 26 An toàn thông tin

Các phương pháp đảm bảo an toàn thông tin 27 Hình 2 Mô hình tổng quát về an toàn thông tin An toàn thông tin

Các phương pháp đảm bảo an toàn thông tin • Bộ ba các đặc tính then chốt của thông tin đề cập đến ở trên bao trùm toàn bộ các mặt của việc đảm bảo an toàn thông tin. • Một ma trận được tạo nên bởi 3 yếu tố là 3 trạng thái của thông tin (truyền dẫn, lưu giữ, xử lí) được minh họa ở trục hoành. 28 An toàn thông tin

Các phương pháp đảm bảo an toàn thông tin • Các biện pháp công nghệ (Technology): Bao hàm tất cả các biện pháp phần cứng, các phần mềm, phần sụn cũng như các kỹ thuật công nghệ liên quan được áp dụng nhằm đảm các yêu cầu an toàn của thông tin trong các trạng thái của nó. 29 An toàn thông tin

Các phương pháp đảm bảo an toàn thông tin • Các biện pháp về chính sách và tổ chức (Policy & Practices): Đưa ra các chính sách, quy định, phương thức thực thi. • Thực tế cho thấy, ATTT không chỉ đơn thuần là vấn đề thuộc phạm trù công nghệ, kỹ thuật. Hệ thống chính sách và kiến trúc tổ chức đóng một vai trò hữu hiệu trong việc đảm bảo an toàn thông tin. 30 An toàn thông tin

Các phương pháp đảm bảo an toàn thông tin • Các biện pháp về đào tạo, tập huấn, nâng cao nhận thức (Education, training & Awarenness): Các biện pháp công nghệ hay các biện pháp về tổ chức thích hợp phải dựa trên các biện pháp đào tạo, tập huấn và tăng cường nhận thức để có thể triển khai đảm bảo an toàn thông tin từ nhiều hướng khác nhau. 31 An toàn thông tin

Các phương pháp đảm bảo an toàn thông tin • Các nhà nghiên cứu và các kỹ sư cũng cần phải hiểu rõ các nguyên lý an toàn hệ thống thông tin, thì mới mong các sản phẩm và hệ thống do họ làm ra đáp ứng được các nhu cầu về an toàn thông tin của cuộc sống hiện tại đặt ra. 32 An toàn thông tin

Các phương pháp đảm bảo an toàn thông tin • Biện pháp hợp tác quốc tế • Hợp tác với các quốc gia có kinh nghiệm, kế thừa những thành tựu khoa học của các quốc gia đi trước trong vấn đề đảm bảo ATTT. • Xây dựng các quy chế phối hợp với các cơ quan tổ chức quốc tế trong ứng phó các sự cố về ATTT. 33 An toàn thông tin

Bảo đảm an toàn thông tin tổ chức, cá nhân trên mạng Một số phương thức bảo đảm an toàn, bảo mật thông tin, dữ liệu: • Mật mã (Cryptography): là việc thực hiện chuyển đổi dữ liệu theo một quy tắc nào đó thành dạng mới mà kẻ tấn công không nhận biết được. • Xác thực (Authentication): là các thao tác để nhận dạng người dùng, nhận dạng client hay server… • Ủy quyền (Authorization): chính là việc phân định quyền hạn cho mỗi thành phần đã đăng nhập thành công vào hệ thống. Quyền hạn này là các quyền sử dụng dịch vụ, truy cập dữ liệu… • Kiểm toán (Auditing): là các phương pháp để xác định được client đã truy cập đến dữ liệu nào và bằng cách nào. 1 -34

Bảo đảm an toàn thông tin tổ chức, cá nhân trên mạng Một số phương thức bảo đảm an toàn, bảo mật thông tin, dữ liệu: • • • Cập nhật phần mềm Cài đặt phần mềm diệt virus Sử dụng phần mềm có nguồn gốc rõ rang Kiểm soát quyền trên thiết bị Tắt các kết nối Wifi, Bluetooth, NFC khi không sử dụng 1 -35

C U HỎI VÀ BÀI TẬP • Câu 1: Trình bày các khái niệm về tính bí mật, tính sẵn sàng và tính an toàn trong ATTT? • Câu 2: Trình bày một số kiểu tấn công mạng? • • Tấn công quét mạng Tấn công từ chối dịch vụ Tấn công mã độc Tấn công kỹ nghệ xã hội 36 An toàn thông tin

C U HỎI VÀ BÀI TẬP (tiếp) • Câu 3: Trình bày và phân tích các giải pháp bảo đảm ATTT? • Câu 4: Trình bày tổng quan về thực trạng ATTT trên thế giới và tại Việt Nam? 37 An toàn thông tin

C U HỎI VÀ BÀI TẬP (tiếp) • Công ty VCCloud là một trong nhiều công ty viễn thông, cung cấp các dịch vụ CDN cho các cá nhân và doanh nghiệp tại Việt Nam. Dịch vụ CDN là mạng lưới gồm nhiều máy chủ lưu trữ đặt tại nhiều vị trí địa lý khác nhau, cùng làm việc chung để phân phối nội dung, truyền tải hình ảnh, CSS, Javascript, Video clip, Real-time media streaming, File download đến người dùng cuối. Cơ chế hoạt động của CDN giúp cho khách hàng truy cập nhanh vào dữ liệu máy chủ web gần họ nhất thay vì phải truy cập vào dữ liệu máy chủ web tại trung tâm dữ liệu. • Hãy nêu và giải thích ít nhất 4 tính cần thiết của an toàn HTTT đối với công ty/doanh nghiệp được mô tả ở trên 38 An toàn thông tin

C U HỎI VÀ BÀI TẬP (tiếp) • BẢO HIỂM MANULIFE Là thành viên của Manulife Financial, Manulife Việt Nam tự hào là doanh nghiệp bảo hiểm nhân thọ nước ngoài đầu tiên có mặt tại Việt Nam từ năm 1999 và sở hữu tòa nhà trụ sở riêng có với giá trị đầu tư hơn 10 triệu USD. Với bề dày kinh nghiệm và uy tín toàn cầu, Manulife đặt mục tiêu trở thành công ty bảo hiểm nhân thọ chuyên nghiệp nhất tại Việt Nam. Manulife Việt Nam hiện đang cung cấp một danh mục các sản phẩm đa dạng từ sản phẩm bảo hiểm truyền thống đến sản phẩm bảo hiểm sức khoẻ, giáo dục, liên kết đầu tư, hưu trí… cho hơn 700. 000 khách hàng thông qua đội ngũ đại lý hùng hậu và chuyên nghiệp tại 55 văn phòng trên 40 tỉnh thành cả nước. • Hãy nêu và giải thích ít nhất 4 tính cần thiết của an toàn HTTT đối với công ty/doanh nghiệp được mô tả ở trên 39 An toàn thông tin

THANKS YOU