Bài giảng An toàn thông tin và quản trị rủi ro thương mại điện tự: Chương 1

9/26/2017

AN TOÀN THÔNG TIN VÀ QUẢN TRỊ RỦI RO THƯƠNG MẠI ĐIỆN TỬ

Biên soạn: TS.Chử Bá Quyết Bộ môn Thương mại điện tử

9/26/2017

Chương 1 Tổng quan An toàn thông tin và Quản trị rủi ro TMĐT

1. Một số khái niệm về An toàn thông tin

2. Các khía cạnh của An toàn thông tin

3. An toàn thông tin và quản trị rủi ro

4. Quản trị rủi ro trong TMĐT

5. Câu hỏi & thảo luận

9/26/2017

1. Một số khái niệm về An toàn thông tin

• An toàn (security),

• An toàn máy tính (computer security)

• An toàn thông tin (Information security)

• An toàn dữ liệu (data security)

• An toàn trình duyệt (Browser security)

9/26/2017

1. Một số khái niệm … (tiếp)

• An toàn (security): Là được bảo vệ, không bị xâm hại hoặc bị

tấn công

• An toàn là chống lại, hoặc bảo vệ khỏi tấn công, gây tổn hại.

nhiều đối tượng khác: tài sản, hoạt động kinh doanh, thông tin

An toàn không chỉ gắn với bảo vệ con người, mà gắn với

9/26/2017

1. Một số khái niệm … (tiếp)

• An toàn (security):

• An toàn là trạng thái mà khả năng gây hại cho con người hoặc

hủy hoại tài sản được giảm thiểu và duy trì tại hoặc dưới mức

nguy hiểm và quản lý rủi ro (53/2011/TT-BGTVT)

độ chấp nhận được thông qua quá trình liên tục nhận dạng mối

9/26/2017

1. Một số khái niệm

• An toàn máy tính (Computer security) còn đc gọi là an toàn mạng (cybersecurity), an toàn thông tin (IT security) là việc bảo vệ các HTTT khỏi hành vi trộm cắp, phá hoại phần cứng, phần mềm, và các thông tin trong hệ thống, cũng như làm gián đoạn, hoặc lạc hướng (misdirection) của các DV mà HT cung cấp.

cập mạng, dữ liệu và lỗ hổng code injection, do sơ suất của các nhà khai thác cố ý, vô ý, hoặc do không thực hiện đúng các quy trình an toàn.

• ATMT bao gồm việc kiểm soát truy cập vật lý đến phần cứng, cũng như việc bảo vệ chống lại các tác động có thể đến thông qua truy

9/26/2017

1. Một số khái niệm

• An toàn thông tin (Information security) là việc bảo đảm, duy trì

sàng (availability) của thông tin; có thể bao hàm: tính xác thực,

tính bí mật (confidentiality), tính toàn vẹn (integrity) và tính sẵn

tính trách nhiệm, tính chống phủ nhận và tính tin cậy" (ISO/IEC

27000:2009)

• ATTT là bảo vệ thông tin, các HTTT từ việc truy cập, sử dụng, tiết

lộ trái phép, làm gián đoạn, sửa đổi hoặc phá hủy để đảm bảo tính

tin cậy, toàn vẹn và tính sẵn có của thông tin (CNSS, 2010)

9/26/2017

1. Một số khái niệm

▫ ATTT là việc bảo đảm chỉ những người có thẩm quyền

(integrity) khi có nhu cầu (availability)." (ISACA, 2008)

(confidentiality) được truy cập thông tin đầy đủ và chính xác

▫ ATTT là quá trình bảo vệ tài sản trí tuệ của một tổ chức (Pipkin,

▫ ATTT là bảo vệ TT và tối thiểu rủi ro tiết lộ thông tin tới những

2000)

bên không có quyền (Venter and Eloff, 2003).

9/26/2017

Tam giác CIA về an toàn thông tin

• Tam giác CIA (Confidenttiality, integrity, availability) là trọng tâm

mục tiêu, các khía cạnh cơ bản, tiêu chí … của ATTT.

Confidentiality

Integrity

Availability

(tâm điểm) của ATTT, và các bộ phận này: Confidentiality, Integrity và Availability được xem như là các thuộc tính, đặc tính,

9/26/2017

Tam giác CIA mở rộng

• Ngoài 3 yếu tố trên, những yếu tố khác đã được đề xuất như: tính

quan trọng.

trách nhiệm (Accountability), tính không thể chối cãi (Non – Repudiation), và với sự phát triển của hệ thống máy tính như hiện nay, tính riêng tư (privacy) ngày càng trở thành một nhân tố rất

9/26/2017

Tam giác CIA mở rộng

• Trong năm 1992 và sửa đổi năm 2002, OECD đã đưa ra hướng

dẫn về an toàn cho các HTTT và mạng với 9 yêu cầu: tính nhận

thức (Awareness), tính trách nhiệm (Responsibility), tính phản hồi

(Response), đạo đức (Ethics), tính dân chủ (Democracy), đánh giá

rủi ro (Risk Assessment), thiết kế bảo mật và thực thi (security

management), và đánh giá lại (Reassessment).

design and implementation), quản lý an toàn (security

9/26/2017

Tam giác CIA mở rộng

▫ Tiếp theo, năm 2004, tổ chức NIST đã đưa ra các luật bảo mật

thông tin, trong đó đề xuất 33 nguyên tắc

▫ Năm 2002, Donn Parker đã đề xuất mô hình sao 6 cánh (tam giá

kép): confidentiality, possession, integrity, authenticity,

availability, và utility.

9/26/2017

Các khái niệm của CIA + 3

tượng không được xác thực hoặc bị rò rỉ. Ví dụ: trong 1 GD tín dụng qua Internet, số thẻ tín dụng được gửi từ người mua đến người bán, và từ người bán đến nhà cung cấp DV thẻ tín dụng. Hệ thống phải bảo đảm tính bí mật bằng cách mã hóa số thẻ trong quá trình

• Bí mật C nghĩa là thông tin không được tiết lộ đến những đối

truyền tin, giới hạn nơi nó có thể xuất hiện (cơ sở dữ liệu, log file, sao lưu (backup), in hóa đơn…) và bằng việc giới hạn truy cập những nơi mà nó được lưu lại. Nếu một người nào đó chưa được

xác thực (ví dụ hacker…) lấy số thẻ này bằng bất kì cách nào, thì tính bí mật không còn nữa.

9/26/2017

Các khái niệm của CIA + 3

• Tính toàn vẹn I: nghĩa là dữ liệu không bị chỉnh sửa, nó khác với tính toàn vẹn trong tham chiếu của cơ sở dữ liệu, mặc dù nó có thể được xem như là một trường hợp đặc biệt của tính nhất quán như được hiểu trong mô hình cổ điển ACID (tính nguyên tử

(atomicity), tính nhất quán (consistency), tính cách ly (isolation), tính lâu bền (durability) – là một tập các thuộc tính đảm bảo rằng cơ sở dữ liệu đáng tin cậy) của xử lý giao dịch. I bị xâm phạm khi

một thông điệp bị chỉnh sửa trong giao dịch. HTTT an toàn luôn cung cấp các thông điệp toàn vẹn và bí mật.

9/26/2017

Các khái niệm của CIA + 3

• Tính sẵn sàng: Mọi HTTT đều có mục đích riêng và thông tin phải luôn luôn sẵn sàng khi cần thiết. Điều đó có nghĩa rằng hệ thống tính toán sử dụng để lưu trữ và xử lý thông tin, có một hệ

tránh được những rủi ro cả về phần cứng, phần mềm như: sự cố mất điện, hỏng phần cứng, cập nhật, nâng cấp hệ thống… Đảm bảo tính sẵn sàng cũng có nghĩa là tránh được tấn công từ chối

dịch vụ.

thống điều khiển bảo mật sử dụng để bảo vệ nó, và kênh kết nối sử dụng để truy cập nó phải luôn hoạt động chính xác. Hệ thống có tính sẵn sàng cao hướng đến sự sẵn sàng ở mọi thời điểm,

9/26/2017

Các khái niệm của CIA + 3

• Tính chống chối bỏ (phủ nhận) có nghĩa rằng một bên giao

dịch không thể phủ nhận việc họ đã thực hiện giao dịch với

các bên khác. Ví dụ: trong khi giao dịch mua hàng qua mạng,

khi khách hàng đã gửi số thẻ tín dụng cho bên bán, đã thanh

toán thành công, thì bên bán không thể phủ nhận việc họ đã

nhận được tiền, (trừ trường hợp hệ thống không đảm bảo tính

ATTT trong giao dịch).

9/26/2017

Các khái niệm của CIA + 3

mạng và an toàn thông tin, tính xác thực là vô cùng cần thiết

• Tính xác thực: Trong hoạt động tính toán, kinh doanh qua

để đảm bảo rằng dữ liệu, giao dịch, kết nối hoặc các tài liệu

(tài liệu điện tử hoặc tài liệu cứng) đều là xác thật (genuine).

Nó cũng quan trọng cho việc xác nhận rằng các bên liên quan

biết họ là ai trong hệ thống

9/26/2017

1. Một số khái niệm … (tiếp)

• An toàn máy tính (computer security)

• An toàn thông tin (Information security)

• An toàn dữ liệu (data security)

• An toàn trình duyệt (Browser security)

9/26/2017

1. Một số khái niệm

• An toàn Internet (internet security) là một nhánh của ATMT, liên

quan đến Internet, thường đề cập đến an toàn trình duyệt (Browser

security) cũng như an toàn dữ liệu nhập vào dưới dạng web, và xác

thực tổng thể và bảo vệ dữ liệu gửi qua giao thức Internet. Internet là

một kênh không an toàn cho việc trao đổi thông tin dẫn đến khả năng

rủi ro bị xâm nhập, gian lận, lừa đảo cao. Mục tiêu của an toàn

Internet là thiết lập các quy tắc và các biện pháp để chống lại các

cuộc tấn công trên Internet

9/26/2017

1. Một số khái niệm

• An toàn trình duyệt (Browser security) là ứng dụng an toàn

Internet cho các trình duyệt web để bảo vệ dữ liệu mạng và các hệ

thống máy tính từ vi phạm bí mật riêng tư hoặc phần mềm độc

hại. Khai thác an toàn trình duyệt cũng có thể lợi dụng các lỗ hổng

bảo mật (security holes) và thường được sử dụng với tất cả các

trình duyệt như Mozilla Firefox, Google Chrome, Opera,

Microsoft Internet Explorer, và Safari.

9/26/2017

1. Một số khái niệm

• An toàn mạng (Network security) bao gồm các chính sách và

thực tế áp dụng để ngăn chặn và giám sát truy cập trái phép, sử

dụng sai, sửa đổi, hoặc từ chối của một mạng máy tính và các tài

phép truy cập vào dữ liệu trong một mạng, (được kiểm soát bởi

nguyên mạng có thể truy cập. An toàn mạng đề cập đến việc cấp

quản trị mạng). Người sử dụng chọn hoặc được chỉ định một ID và

mật khẩu hoặc các thông tin chứng thực khác để truy cập thông tin

và các chương trình theo thẩm quyền của minh

9/26/2017

1. Một số khái niệm

▫ An toàn mạng bao gồm một loạt các mạng máy tính, cả công

cộng và tư nhân, được sử dụng trong công việc hàng ngày; thực

hiện giao dịch và truyền thông giữa các DN, CP, CN. An toàn

mạng là bảo vệ mạng, là giám sát các hoạt động được thực hiện.

9/26/2017

Phân biệt An toàn mạng và An toàn máy tính

• Ở cấp độ đơn giản, ATMT là một kỹ thuật được sử dụng để bảo vệ dữ liệu được lưu trữ trên 1 máy tính. Việc bảo vệ này đảm bảo các dữ liệu hoặc thông tin được lưu trữ trên máy tính cá nhân không thể bị truy cập, đọc, hoặc sao chép… Các hệ thống bảo mật máy tính từ đơn giản đến phức tạp tùy thuộc vào mức độ bảo mật mong muốn

• An toàn mạng là các biện pháp để bảo vệ mạng riêng. Đây là loại hình bảo vệ bao gồm bất kỳ máy tính nào kết nối vào mạng và đề cập đến việc đảm bảo sử dụng, tính toàn vẹn và an toàn mạng riêng và bất kỳ dữ liệu liên quan đến mạng.

• ATMT được thiết kế để bảo vệ một đơn vị duy nhất hoặc một máy tính, trong khi an toàn mạng bảo vệ tất cả các máy và người dùng kết nối vào mạng. Mức độ bảo mật là tương tự và phòng ngừa nhiều vấn đề tương tự. Tuy nhiên, hầu hết các DN kết hợp cả an toàn máy tính và an toàn mạng để thiết lập mức độ bảo vệ cao nhất.

9/26/2017

1. Một số khái niệm

• An toàn di động (mobile security) hoặc an toàn điện thoại di động ngày càng quan trọng trong máy tính di động (mobile computing). Quan tâm đặc biệt là sự an toàn của thông tin cá nhân và kinh doanh hiện nay được lưu trữ trên điện thoại thông

minh.

• Ngày càng có nhiều CN và DN sử dụng điện thoại thông minh để quản trị, lưu trữ thông tin cá nhân, và công việc. Việc lưu trữ

thông tin và kết nối Internet là nguồn gốc của những RR mới cho người dùng.

9/26/2017

2. Các khía cạnh của an toàn thông tin

• ITU-T là cụm từ viết tắt của International Telecommunication

Union - Telecommunication Standardization Sector là lĩnh vực

Tiêu chuẩn viễn thông - thuộc Tổ chức Viễn thông quốc tế.

• Theo ITU-T X.800, ATTT bao gồm ba khía cạnh (aspects):

▫ Tấn công (security attack);

▫ Dịch vụ bảo mật (security service),

▫ Cơ chế bảo mật, an toàn (security mechanism)

9/26/2017

2. Các khía cạnh của … (tiếp)

• Tấn công: Bất kỳ hành động nào làm ảnh hưởng hoặc tác

động tới ATTT. Nhiều loại khác nhau của các cuộc tấn công, có thể được phân loại: tấn công thụ động Passive attacks các cuộc tấn chủ động Active attacks (chương 2)

• Dịch vụ bảo mật: Bảo vệ dữ liệu không bị tiết lộ trái phép,

bảo đảm tính toàn vẹn, chống chối bỏ , kiểm soát truy cập, bảo đảm tính sẵn sàng …. (chương 4)

• Các cơ chế bảo mật: Phương tiện để thực hiện các dịch vụ bảo mật: Mã hóa: Mã hóa đối xứng, Mã hóa khóa công khai, Quản lý chìa; Hàm băm; Các mã xác thực thông điệp; Chữ ký số; Các giao thức xác thực thực thể

9/26/2017

3. An toàn và rủi ro (Security and Risk)

• Khái niệm rủi ro (risk) • Từ điển Oxford English Dictinary trích dẫn sớm nhất thuật ngữ risk (tiếng Pháp là risque, nguồn gốc là 'risque' ) as of 1621, and the spelling as risk from 1655. It defines risk as:

“(Exposure to) the possibility of loss, injury, or other adverse or unwelcome circumstance; a chance or situation involving such a possibility”

• Là tổn thất hay thiệt hại tiềm ẩn, hoặc thậm chí tài sản bị hủy hoại như là kết quả của mối đe dọa khai thác một lỗ hổng.

9/26/2017

3. An toàn và rủi ro (Security and Risk)

• Rủi ro: tiềm ẩn tổn thất, thiệt hại hoặc phá hủy tài sản như là

RR là một hàm thể hiện mối quan hệ giữa đe dọa khai thác lỗ hổng để gây tổn thất hoặc phá hủy tài sản. • Các mối đe dọa có thể tồn tại, nhưng nếu không có các lỗ hổng, thì có rất ít hoặc không có RR.

• Tương tự, có thể có một lỗ hổng, nhưng nếu không có mối đe dọa, thì sẽ có ít hoặc không có RR.

kết quả của một mối đe dọa khai thác một lỗ hổng.

9/26/2017

3. An toàn và rủi ro (Security and Risk)

9/26/2017

Phân biệt rủi ro với không chắc chắn

• RR chỉ phát sinh khi có một sự không chắc chắn về mất mát sẽ xảy ra (uncertainty about the occurrence of a loss). Nếu xác định được chính xác khả năng xảy ra (p = 0 hoặc p = 1) thì không được xem là có rủi ro.

• VD: một người nhảy từ tòa nhà cao tầng xuống mặt đất thì kết quả: chết 100%. Đây ko phải là RR vì kết quả đã thấy trước

• Khác, nếu một diễn viên xiếc nhảy từ nhà cao tầng xuống mặt nước, hoặc bằng dù thì có thể chết. Trường hợp này có sự không chắc chắn về kết quả, tức là có RR trong hành động của họ

9/26/2017

Phân biệt rủi ro với không chắc chắn

9/26/2017

Các khái niệm RR

• RR cố hữu (Inherent Risk): còn gọi là RR vốn có, hay rủi ro

cần thiết; là rủi ro có trước khi có bất kỳ tác động can thiệp nào.

• RR còn lại (Residual Risk): RR tồn tại sau khi có những hành

động can thiệp, phòng ngừa, xử lí.

• RR giữ lại (Retained Risk): Mức RR thường chấp nhận bởi tổ chức, tương tự như RR còn lại. Đôi khi giảm RR (chuyển giao RR) bằng bảo hiểm (nhưng chỉ là hậu quả)

9/26/2017

Nguồn gốc RR trong TMĐT

 vật lý  dữ liệu  Lỗ hổng

 Đến từ các mối đe dọa

 do người dùng  lỗi kỹ thuật: phần mềm, phần cứng, máy chủ phục vụ,

thiết bị bên ngoài

 Lỗi hạ tầng: mạng, băng thông đường truyền

• Khác:

 Gian lận thanh toán bằng thẻ tín dụng  Hacker tấn công  Các tấn công từ bên trong doanh nghiệp  Khác: sự cố mất điện,

9/26/2017

Nguyên nhân RR trong TMĐT

• Nguyên nhân khách quan

▫ Điều kiện tự nhiên: bão lụt, động đất, biến đổi khí hậu,… ▫ Điều kiện môi trường: Chính sách kinh tế vĩ mô, khủng

hoảng kinh tế, hỏa hoạn, virus

▫ Hoạch định sai chiến lược ▫ Phương thức KD, Nghiên cứu thị trường không đầy đủ ▫ Thiếu thông tin, thiếu kiến thức hiểu biết ▫ Thiếu trách nhiệm ▫ Tham nhũng, chủ quan…..

• Nguyên nhân chủ quan

9/26/2017

Từ con người

Hackers Ex-employees Intruders

Từ môi trường (Environmental)

Hỏa hoạn (Fires) Vi rút (Viruses) Power Outages

Tự nhiên Natural

 Lũ lụt (Floods) Động đất (Earthquakes) Sóng thần (Tornadoes)

9/26/2017

Phân loại Rủi ro tmđt

+ Theo Holmes Miller: có 3 loại RR chính trong TMĐT là:

RR thông tin (Information Risk)

RR công nghệ (Technology Risk)

RR kinh doanh (Business Risk)

+ Phân loại RR trong TMĐT và các RR chính trong TMĐT sẽ

được nghiên cứu chi tiết trong chương 2, 3: Nhận dạng RR

trong TMĐT

9/26/2017

Khái niệm QTRR

• QTRR (Risk management) là quá trình nhận biết, đánh giá

và xếp hạng rủi ro (theo ISO 31000).

• QTRR là quá trình bao gồm nhiều giai đoạn, từ việc xây

dựng/lập kế hoạch quản trị rủi ro tổng thể đến việc xác định, nhận dạng các rủi ro có thể xảy ra đối với đối tượng/hệ

thống/công việc/doanh nghiệp cụ thể, phân tích và lựa chọn các xử lý rủi ro, theo dõi sự thay đổi của rủi ro cũng như đưa ra các đối phó hoặc kế hoạch phòng ngừa RR hiệu quả.

9/26/2017

Khái niệm QTRR

• là một quá trình gồm nhiều giai đoạn, có trình tự

• là hoạt động có mục đích

• là một khoa học và nghệ thuật

• là một nghề

9/26/2017

Risk Management

R Planning

Risk Assessment

Risk Handling

Risk Monitoring

Risk Analysis

Risk Priority

R Identification

Risk Documentation

9/26/2017

Quản trị RR trong TMĐT

Quản trị RR trong TMĐT là việc bảo vệ các hệ thống và các hoạt động TMĐT từ các rủi ro có thể xảy ra cũng như việc nhận biết cơ hội, thách thức khi chúng xảy ra

• Quản trị RR trong TMĐT là cách thức trong đó những tác động ngược từ rủi ro (tính 2 mặt) được quản lý và các cơ hội, tiềm năng được triển khai thực hiện. Vì vậy, quản trị RR bao hàm: ▫ Tối thiểu hóa các tác động, các nguồn nguy hiểm đối với hệ

thống/doanh nghiệp

▫ Tối ưu hóa mục tiêu của doanh nghiệp.

9/26/2017