Video Case
1. Mikko Hypponen: How the NSA betrayed the world's trust — time
to act (19:18)
2. Mikko Hypponen: Fighting viruses, defending the net (17:31)
3. Jennifer Golbeck: The curly fry conundrum: Why social media
“likes” say more than you might think (9:55)
4. Security.swf
1
Chapter 7
Đạo đức và An ninh trong Hệ thống thông tin
2
Hình thức tổ chức dạy học
Số tiết trên lớp
Nội dung
Tổng cộng
Thực hành
Tự học, tự NC
Tổng
Lý thuyết
Bài tập T. luận Khác
3
3 3
7 5
3 3
10 8
Đề cương chi tiết học phần MIS
Phần I. Cơ sở phương pháp luận về MIS 1 C1: Đại cương về MIS 2 C2: MIS và lợi thế cạnh tranh Phần II. Hạ tầng công nghệ thông tin của MIS
2 2
5 5
2 2
9 9
4 4
13 13
C3: Mạng, Internet và TMDT C4: Quản trị dữ liệu Phần III Các MIS trong thực tiễn
3
6
3
12
6
18
C5: Các MIS trong tổ chức Phần IV Quản trị MIS
4
C6: Phát triển MIS C7: Đạo đức và An ninh MIS
6 2 30
3 2 15
TỔNG
11
1 4
13 5 60
8 2 30
21 7 90 3-3
1. Mô tả ảnh hưởng của kỷ nguyên TT đến vấn đề đạo đức trong IS. 2. Thảo luận về 4 vấn đề trong mô
Learning Objectives
3. Giải thích và trình bày được các nguyên tắc và chuẩn mực đạo đức trong IS
4. Giải thích các rũi ro đối với IS 5. Mô tả các yêu cầu, nội dung
quản trị an ninh IS
6. Trình bày các công cụ và biện
pháp bảo vệ tài nguyên thông tin của tổ chức.
07-4
hình PAPA của Mason
Outline
I. Đạo đức trong Hệ thống thông tin 1.1. Vấn đề đạo đức trong kỹ nguyên thông tin 1.2. Các vấn đề về chuẩn mực hành vi
1.2.1. Quyền riêng tư (Information Privacy) 1.2.2. Tính chính xác (Information Accuracy) 1.2.3. Quyền sở hữu thông tin (Information Property) 1.2.4. Quyền tiếp cận thông tin (Information Accessibility)
1.3. Chuẩn mực hành vi đạo đức
1.3.1.Khung pháp lý về CNTT ở Việt Nam 1.3.2 Chuẩn mực đạo đức máy tính
II. An ninh hệ thống thông tin 2.1. Rũi ro trong HTTT 2.2. Quản trị an ninh HTTT
07-5
I. Đạo đức trong Hệ thống thông tin
1.1 Vấn đề đạo đức trong kỹ nguyên thông tin
Ethics – “Principles of right and wrong that individuals, acting as free moral agents, use to make choices to guide their behaviors” (Laudon, Management Information Systems 10e, p 128) Computer Ethics – ―Issues and standards of conduct pertaining to the use of information systems‖ (Jessup, IS Today 3e)
Cộng đồng, Xã hội
Hoạt động Cá nhân
Hoạt động Nghề nghiệp
07-6
I. Đạo đức trong IS – 1.1 Vấn đề đạo đức trong kỹ nguyên TT
Khái niệm
• Trách nhiệm (Responsibility) – nhân tố cơ bản của hành vi đạo đức. Đó là việc chấp nhận chi phí, nhiệm vụ và nghĩa vụ đối với các quyết định của mình.
• Trách nhiệm giải trình (Acountability) – cơ chế để xác định các bên chịu trách nhiệm (ai có thẩm quyền thực thi nhiệm vụ và người đó phải chịu trách nhiệm trước một cá nhân hay một nhóm người nào)
• Trách nhiệm pháp lý (Liability) – cho phép các cá nhân (và tổ chức) khắc phục các thiệt hại do người khác gây ra cho họ
• Quá trình/ thủ tục pháp lý (Due process)
07-7
I. Đạo đức trong IS – 1.1 Vấn đề đạo đức trong kỹ nguyên TT
Mối quan hệ giữa các vấn đề Đạo đức, Xã hội và Luật pháp trong HTTT
Đạo đức trong hệ thống
thông tin
• Quyền và nghĩa vụ về
• Quyền và nghĩa vụ về
tài sản thông tin
• Trách nhiệm giải trình
và kiểm soát.
• Chất lượng dữ liệu và
hệ thống
• Chất lượng cuộc sống
07-8
thông tin
I. Đạo đức trong IS – 1.1 Vấn đề đạo đức trong kỹ nguyên TT
Mối quan hệ giữa các vấn đề Đạo đức, Xã hội và Luật pháp trong HTTT
Các xu hướng phát triển công nghệ vấn đề đạo đức • Năng lực xử lý ―tăng gấp đôi‖ các tổ chức ngày càng lệ
thuộc vào IS để xử lý công việc
• Giảm chi phí lưu trữ dữ liệu khả năng lưu trữ dữ liệu cá
07-9
nhân nhiều hơn và chi tiết hơn
I. Đạo đức trong IS – 1.1 Vấn đề đạo đức trong kỹ nguyên TT
Mối quan hệ giữa các vấn đề Đạo đức, Xã hội và Luật pháp trong HTTT
• Tiến bộ công nghệ mạng và Internet sao chép và truy
xuất thông tin từ xa dễ dàng
• Tiến bộ về kỹ thuật phân tích số liệu
– Profiling – kết hợp dữ liệu từ nhiều nguồn để tạo hồ sơ
về các thông tin chi tiết của cá nhân
– Nonobvious relationship awareness (NORA)
07-10
• Tăng trưởng của thiết bị di động – Theo dõi cell phones cá nhân
I. Đạo đức trong IS – 1.1 Vấn đề đạo đức trong kỹ nguyên TT
NORA technology
Phần mềm NORA (Nonobvious relationship awareness) của SRD cho các sòng bạc ở Las Vegas để phát hiện gian lận.
Nó có thể thu thập thông tin về một cá nhân từ nhiều nguồn khác nhau và các hành vi của người đó để phát hiện các mối quan hệ mờ ám, không rõ ràng
07-11
Hiện nay nó được chính phủ và khu vực tư nhân Mỹ khai thác khả năng ―Profiling” phục vụ cho yêu cầu an ninh
I. Đạo đức trong Hệ thống thông tin
1.2. Các vấn đề về chuẩn mực hành vi – mô hình PAPA
Richard O. Mason (1986)
trong bài báo ―Four Ethical Issues of the Information Age.‖ đưa ra các vấn đề liên quan đạo đức trong kỹ nguyên thông tin:
• Quyền riêng tư • Tính chính xác • Quyền sở hữu thông tin • Quyền tiếp cận thông tin
07-12
http://links.jstor.org/sici?sici=0276-7783(198603)10:1%3c5:FEIOTI%3e2.0.CO;2-B
I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi
Mô hình PAPA – Richard O. Mason (1986)
Nguyên tắc đạo đức: Chúng ta phải bảo đảm rằng công nghệ thông tin, và các thông tin được xử lý, được sử dụng để nâng cao phẩm cách của nhân loại
Mối đe dọa • Sự phát triển của IT, với khả năng ngày càng nâng cao của nó
để giám sát, truyền thông, tính toán, lưu trữ, và phục hồi. • Thông tin ngày càng có giá trị cao trong việc ra quyết định
s m ble o r P
Privacy
Accuracy
Property
Accessibility
• WHAT thông tin cá nhân hoặc hiệp hội của một cá nhân mà
người đó có thể tiết lộ cho người khác; trong những điều kiện gì và những biện pháp gì để bảo vệ
s e u s s I
• WHAT người ta có thể giữ riêng cho bản thân mà không bị bắt
buộc phải tiết lộ cho người khác?
07-13
I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi
Mô hình PAPA – Richard O. Mason (1986)
Nguyên tắc đạo đức: Chúng ta phải bảo đảm rằng công nghệ thông tin, và các thông tin được xử lý, được sử dụng để nâng cao phẩm cách của nhân loại
Thông tin sai lạc quyết định sai lầm, đặc biệt khi chúng nằm trong tay những người có lợi thế về quyền lực
s m ble o r P
Privacy
Accuracy
Property
Accessibility
• WHO chịu trách nhiệm về khả năng xác thực, tính trung thực
và chính xác của thông tin?
• WHO có trách nhiệm giải trình về sai sót trong thông tin và
s e u s s I
phải hành xử gì khi bị tổn thương?
07-14
I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi
Mô hình PAPA – Richard O. Mason (1986)
Nguyên tắc đạo đức: Chúng ta phải bảo đảm rằng công nghệ thông tin, và các thông tin được xử lý, được sử dụng để nâng cao phẩm cách của nhân loại
• Các vấn đề đa dạng và tập trung vào lãnh vực tài sản trí tuệ
quyền chiếm hữu, định đoạt và sử dụng
s m ble o r P
Privacy
Accuracy
Property
Accessibility
s e u s s I
• WHO sở hữu thông tin? • WHAT giá hợp lý và công bằng khi trao đổi thông tin? • WHO sở hữu các kênh truyền, đặc biệt là kênh truyền thông? • HOW được phép truy cập vào các nguồn tài nguyên khan
hiếm đó?
07-15
I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi
Mô hình PAPA – Richard O. Mason (1986)
Nguyên tắc đạo đức: Chúng ta phải bảo đảm rằng công nghệ thông tin, và các thông tin được xử lý, được sử dụng để nâng cao phẩm cách của nhân loại
3 Rs: Read, wRite, aRithmetic + computeR
Trình độ Tin học – Computer Literacy • Khoảng cách số – Digital Divide •
― Knowledge is Power‖ Francis Bacon, 1597
s m ble o r P
Privacy
Accuracy
Property
Accessibility
• WHAT thông tin nào cá nhân hoặc tổ chức có quyền/ đặc ân để có được, trong các điều kiện gì và với các biện pháp bảo vệ gì?
s e u s s I
07-16
I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi
1.2.1. Quyền riêng tư (Information Privacy)
Quyền riêng tư – Quyền được ở một mình, tự do không bị theo dõi hoặc can thiệp bởi các cá nhân, tổ chức, hoặc nhà nước; Quyền được kiểm soát thông tin bản thân
―Privacy‖ vs ―Freedom of Speech‖
Các vấn đề • • Kỹ nguyên thông tin đã tác động thế nào đến ―Privacy‖ ? • Mối quan hệ hỗ tương về lợi ích giữa người thu thập
thông tin cá nhân với cá nhân đó. Cá nhân có thể tiết lộ hoặc giữ bí mật các thông tin? Tổ chức được quyền thu thập thông tin gì; và được làm gì với các thông tin thu thập được? Mô hình ―Opt-out‖ vs ―Opt-in‖
• HOW bảo vệ ―Privacy‖?
07-17
I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi
1.2.1. Quyền riêng tư – HOW – FTC FIP Principles
Federal Trade Commission (FTC) đưa ra các nguyên tắc ―Fair
Information Practices (FIP)‖
• Thông báo / nhận thức (nguyên tắc cốt lõi) Website phải
báo cho cá nhân biết trước khi thu thập dữ liệu.
• Truy cập / tham gia Người tiêu dùng phải có khả năng
xem xét và tranh luận về sự chính xác của dữ liệu cá nhân. • An ninh Người thu thập dữ liệu phải thực hiện các bước
nhằm đảm bảo tính chính xác, bảo mật của dữ liệu cá nhân.
• Lựa chọn / đồng ý (nguyên tắc cốt lõi) Người tiêu dùng phải có khả năng lựa chọn việc thông tin của họ được sử dụng ra sao cho các mục tiêu thứ cấp.
• Thực thi Phải có cơ chế để đảm bảo việc tuân thủ các
07-18
nguyên tắc FIP.
I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi
1.2.1. Quyền riêng tư – THREADS – Internet challenges to privacy
• Cookies nhận dạng trình duyệt và theo dõi việc ghé thăm
trang web. Super cookie (Flash cookies)
• Web beacons (Web bugs): hình ảnh đồ họa nhỏ nhúng trong e-mail và các trang Web để giám sát người đang đọc tin nhắn e-mail hoặc truy cập vào trang web
• Spyware: ứng dụng ―gián điệp‖ cài trên máy trạm nhằm lén
• Identify Theft mạo danh • Dịch vụ của Google và ―behavioral targeting‖
07-19
lút thu thập thông tin cá nhân.
3. Tài sản thông tin – Information Property
Thu thập và sử dụng Cookies – là các tập tin ―văn bản‖ được các WebSite viết và lưu trú trên đĩa cứng của máy trạm nhằm lưu các thông tin về người dùng khi họ duyệt WebSite đó
07-20
3. Tài sản thông tin – Information Property
Thu thập và sử dụng
Spyware – ứng dụng ―gián điệp‖ cài lén lên máy trạm nhằm thu thập thông tin cá nhân một cách bất hợp pháp
Thông tin thu thập dùng để:
Lừa đảo (Identify Theft )
• • Bán cho các công ty
quảng cáo, spammers
• Sửa đổi hoạt động trình duyệt như quảng cáo, thêm ad banners, pop- ups, … (Adware)
• …
07-21
I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi
1.2.1. Quyền riêng tư (Information Privacy) – Mạo danh (Identify Theft)
Identify Theft – việc đánh cắp các thông tin cá nhân (SSN, tài khoản, số thẻ tín dụng, …) để hưởng lợi bất chính như rút tiền, mua hàng, vay nợ …
Các vấn đề •
―Vô hình‖ đối với nạn nhân
• Khó phát hiện và sửa
đổi
• Gây tổn thất về pháp lý và đôi khi không phục hồi được
07-22
I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi
1.2.1. Quyền riêng tư (Information Privacy) – Mạo danh (Identify Theft)
Phishing – Hình
thức lường gạt để lấy tài khoản, số thẻ tín dụng • Giả mạo
WebSite hợp pháp.
• Ngụy tạo thông điệp gạt người sử dụng chuyển đến các WebSite ―giả mạo‖
07-23
I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi
1.2.1. Quyền riêng tư – THREADS – Technical solutions
• Điều lệ thành viên (Privacy Policy )-- Tìm hiểu trước khi đăng
ký thành viên
• Mật khẩu (Password ) -- Mật khẩu ―tốt‖, mật khẩu ―nhân trắc
học‖ (Biometrics)
• Email – Sử dụng nhiều tài khoản với các phạm vi sử dụng
khác nhau
• Công cụ Anti-Spyware • Công cụ sẵn có trong trình duyệt
07-24
Chế độ duyệt vô danh “Private” Tùy chọn “Do not track” • Xác thực người máy -- CAPCHA • Truy cập Wifi – SSID, PIN / MAC Address • …
I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi
1.2.1. Quyền riêng tư – HOW – Điều lệ Privacy Statement
Privacy Statements được các tổ chức thu thập thông tin nêu ra về cách thức họ dự định sử dụng chúng gồm 2 loại
• Internal Use – chỉ dùng trong phạm vi tổ chức • External Use – có thể bán ra bên ngoài
Vấn đề: Người dùng có thật sự xem và hiểu điều lệ không ?
07-25
I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi
1.2.1. Quyền riêng tư (Information Privacy) – Top-10 Passcode (Daniel Amitay)
Total 204,508 Record Passcodes
07-26
I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi
1.2.1. Quyền riêng tư (Information Privacy) – Password strength
07-27
I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi
1.2.2. Tính chính xác (Information Accuracy)
Information Accuracy – các vấn đề liên quan đến tính xác thực về nguồn gốc và sự đúng đắn của thông tin cũng như việc xác định ai chịu trách nhiệm đối với các thông tin sai lệch gây nguy hại đến người khác
Các yếu tố gây lỗi
• Lỗi kỹ thuật – lỗi giải thuật, truyền thông và/hay quá trình xử lý khi nhận, xử lý, lưu trữ, và trình bày thông tin. Lỗi này xãy ra trong quá trình phân tích, thiết kế, và xây dựng IS
• Lỗi do người sử dụng – trong quá trình nhập liệu, khai
thác và quản lý hệ thống
• Do tội phạm
07-28
I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi
1.2.3. Quyền sở hữu thông tin (Information Property)
Quyền sở hữu thông tin – các vấn đề liên quan đến ai là người sở hữu thông tin và cách thức thông tin được mua bán hay trao đổi
Tài sản trí tuệ: (Intellectual property) tài sản vô hình, thành quả của ―tư duy trí tuệ‖ của cá nhân hay tổ chức Ví dụ: các phát minh; các tác phẩm nghệ thuật và văn học; các biểu tượng, hình ảnh, tên, thiết kế dùng trong thương mại: thông tin ...
Quyền chiếm hữu
Quyền sử dụng
Quyền sở hữu
Quyền định đoạt
07-29
I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi
1.2.3. Quyền sở hữu thông tin – Phương thức bảo hộ chủ yếu
• Bí mật thương mại (Trade secret) sản phẩm hay công việc ―trí tuệ‖ thuộc sở hữu tổ chức và không công bố i.e. công thức sản xuất Coca-Cola.
• Tác quyền (Copyright): bảo hộ tài sản trí tuệ gồm quyền tái bản, in ấn và trình diễn hay trưng bày tác phẩm của mình trước công chúng cho đến 50 năm kể từ khi tác giả qua đời (công ước Berne, 1886)
07-30
• Bằng sáng chế (Patents): nhà phát minh được toàn quyền ngăn chặn người khác không được áp dụng, sử dụng và bán một phát minh đã được cấp bằng sáng chế trong 20 năm sau khi công bố để đổi lại việc công bố chi tiết phát minh cho công chúng.
I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi
1.2.3. Quyền sở hữu thông tin – Bản quyền phần mềm
07-31
I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi
1.2.3. Quyền sở hữu thông tin – Bản quyền phần mềm
07-32
I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi
1.2.3. Quyền sở hữu thông tin – Creative Common licenses
• Chuẩn cấp phép chia sẻ và sử dụng tài sản trí tuệ • Công cụ tuân thủ, bảo vệ bản quyền; giúp cho phép tác giả thay đổi các điều khoản bản quyền qua các yếu tố tùy chọn sao cho phù hợp nhất
BY – Attribution Ghi công - bắt buộc
NC – NonCommercial Phi thương mại
ND – NoDerivs
Không có tác phẩm phái sinh
07-33
SA – Share Alike Chia sẻ tương tự
I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi
1.2.3. Quyền sở hữu thông tin – Software Piracy
Ăn cắp bản quyền phần mềm (Software Piracy) – hành vi sao chép, phân phối bất hợp pháp các phần mềm có bản quyền (copyrighted software)
Nguyên nhân
• •
Lý do kinh tế Sự khác biệt về nhận thức giữa các quốc gia về “sở hữu trí tuệ (intellectual property)”
Nguồn: BSA, "2011 BSA Global Software Piracy Study, Ninth Edition“
07-34
• Thiếu hiểu biết
I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi
1.2.3. Quyền sở hữu thông tin – Cybersquatting
Mua bán tên miền (Cybersquatting) – Việc đăng ký tên miền rồi bán lại để hưởng lợi
Giải quyết tranh chấp về đăng ký, sử dụng tên miền quốc gia Việt Nam ―.vn‖ (Luật CNTT số: 67/2006/QH11) • Thông qua thương lượng, hòa giải • Thông qua Trọng tài • Khởi kiện tại Tòa án
07-35
Tên miền được các tổ chức và cá nhân đăng ký sử dụng nhằm mục đích thông qua đó góp phần quảng bá về tổ chức, sản phẩm, dịch vụ, tiến hành các hoạt động thương mại và phi thương mại trong môi trường Internet toàn cầu.
I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi
1.2.4. Quyền tiếp cận thông tin (Information Accessibility)
• Information Accessibility –ai có quyền thu thập, thông tin
riêng cá nhân/ tổ chức khác và cách thức sử dụng chúng
WHO • Chánh phủ – sử dụng các phần mềm tiên tiến (e.g
Carnivore), kiểm soát tức thời hoặc sau đó các lưu lượng email, và tất cả các hoạt động lên mạng
• Người sử dụng lao động – có quyền (trong phạm vi giới hạn) giám sát, hoặc truy xuất các hoạt động trên các máy tính hay mạng của công ty khi họ đã công bố chính sách đó với nhân viên
• Công chúng • ….
07-36
I. Đạo đức trong Hệ thống thông tin
1.3. Chuẩn mực hành vi đạo đức
Chuẩn mực hành vi – xuất phát từ nhiều nguồn khác nhau 1.Luật pháp Hành vi cấm hay KHÔNG cấm ngoài xã hội
Hệ thống luật pháp: về CNTT, về TMĐT
2.Quy định cơ quan, quy ước trong cộng đồng xã hội Hành
vi cấm hay KHÔNG cấm trong nhóm xã hội Nội quy tổ chức về an toàn thông tin
3.Đạo đức Hành vi ―KHÔNG‖ vi phạm luật pháp
1. Nguyên tắc đạo đức 2. ―De facto‖ The Ten Commandments of Computer
Ethics‖
07-37
I. Đạo đức trong IS – 1.3. Chuẩn mực hành vi đạo đức
1.3.1. Khung pháp lý về CNTT ở Việt Nam – Đối tượng điều chỉnh
Quan hệ dân sự (nghĩa vụ dân sự và hợp đồng dân sự)
Bản chất giao dịch
Hoạt động kinh doanh
Bộ luật dân sự
Giao dịch TMĐT
Luật doanh nghiệp
Trách nhiệm và nghĩa vụ của các bên trong hoạt động kinh doanh
Hệ thống Luật CNTT
Hệ thống Luật TMDT
Luật thương mại
Các cơ chế giải quyết tranh chấp dân sự
Hình thức giao dịch
07-38
Báo cáo TMDT tại Việt nam 2013 (trang 12)
I. Đạo đức trong IS – 1.3. Chuẩn mực hành vi đạo đức
1.3.1. Khung pháp lý về CNTT ở Việt Nam – Luật và NĐ hướng dẫn
Luật Giao dịch điện tử 51/2005/QH11
Luật Công nghệ thông tin 67/2006/QH11
Nghị định về TMĐT
Nghị định về chống thư rác
Nghị định về dịch vụ Internet và cung cấp thông tin trên Internet
Nghị định về GDĐT trong hoạt động tài chính
Nghị định về ứng dụng CNTT trong cơ quan NN
Nghị định về chữ ký số và dịch vụ chứng thực chữ ký số
Nghị định về GDĐT trong hoạt động ngân hàng
Nghị định về cung cấp thông tin và dịch vụ công trực tuyến trên Website cơ quan NN
07-39
I. Đạo đức trong IS – 1.3. Chuẩn mực hành vi đạo đức
1.3.1. Khung pháp lý về CNTT ở Việt Nam – Các Nghị định về xử lý vi phạm
Xử lý vi phạm hành chính
Ngày 10/04/2007 Nghị định số 63/2007/NĐ-CP quy định xử phạt vi phạm
hành chính trong lĩnh vực công nghệ thông tin 20/09/2011 Nghị định số 83/2011/NĐ-CP quy định về xử phạt vi phạm
hành chính trong lĩnh vực viễn thông
12/11/2013 Nghị định số 158/2013/NĐ-CP quy định xử phạt vi phạm
VB căn cứ Luật quảng cáo Luật Viễn thông Luật CNTT
hành chính trong lĩnh vực văn hoá, thể thao du lịch và quảng cáo
13/11/2013 Nghị định số 174/2013/NĐ-CP quy định xử phạt vi phạm
hành chính trong lĩnh vực bưu chính, viễn thông, công nghệ thông tin và tần số vô tuyến điện
15/11/2013 Nghị định số 185/NĐ-CP quy định xử phạt vi phạm hành
chính trong hoạt động thương mại, sản xuất, buôn bán hàng giả, hàng cấm và bảo vệ quyền lợi người tiêu dùng
07-40
I. Đạo đức trong IS – 1.3. Chuẩn mực hành vi đạo đức
1.3.2 Chuẩn mực đạo đức – Candidate ethical principles
Nguyên tắc đạo đức • Golden Rule: “Do unto others as you would have them do
unto you.‖
• Categorical Imperative (Immanuel Kant): ―If an action is not
right for everyone to take, it is not right for anyone.‖
• Rule of Change (Descartes): ―If an action cannot be taken
• Utilitarian Principle: ―Take the action that achieves the
higher or greater value.‖
• Risk Aversion Principle: ―Take the action that produces the
least harm or potential cost.‖
07-41
• Ethical ―No Free Lunch‖ Rule: “Assume that virtually all tangible and intangible objects are owned by someone unless there is a specific declaration otherwise.”
repeatedly, it is not right to take at all.‖
I. Đạo đức trong IS – 1.3. Chuẩn mực hành vi đạo đức
1.3.2 Chuẩn mực đạo đức – Candidate ethical principles
Chuẩn mực hành vi nghề nghiệp – những cam kết nghề nghiệp để điều chỉnh cá nhân hướng tới lợi ích chung của xã hội Do các hiệp hội nghề nghiệp ban hành, i.e. Ngành Y, Ngân
hàng, Luật, Máy tính, ...
07-42
Các tình huống “tiến thoái lưỡng nan” Xung đột về lợi ích nhóm. Ví dụ: Tự động hóa quá trình kinh doanh Tăng năng suất và giảm lao động
I. Đạo đức trong IS – 1.3. Chuẩn mực hành vi đạo đức
1.3.2 Chuẩn mực đạo đức – The Ten Commandments of Computer Ethics
Thou shalt NOT
1. Use a computer to harm other people. 2. Interfere with other people's computer work. 3. Snoop around in other people's computer files. 4. Use a computer to steal. 5. Use a computer to bear false witness. 6. Copy or use proprietary software for which you
have not paid.
7. Use other people's computer resources without
authorization or proper compensation.
8. Appropriate other people's intellectual output.
07-43
I. Đạo đức trong IS – 1.3. Chuẩn mực hành vi đạo đức
1.3.2 Chuẩn mực đạo đức – The Ten Commandments of Computer Ethics
Thou shalt
9.think about the social consequences of the program you are writing or the system you are designing.
10.always use a computer in ways that insure consideration and respect for your fellow humans.
07-44
Video Case – Google_data_center_security_YouTube (7-00) II. An ninh Hệ thống thông tin
Yêu cầu:
45
Ghi nhận và phân loại những biện pháp an ninh được 2.1. System Vulnerability and Abuse – Khả năng dễ bị tổn thương và lạm dụng của IS Google sử dụng được mô tả 2.2. Business Value of Security and Control trong clip trên 2.2. Biện pháp quản trị an ninh Establishing a Framework for Security and Control 2.3. Phòng chống các hiểm họa an ninh Technologies and Tools for Protecting Information Resources
II. An ninh hệ thống thông tin
2.1. Rủi ro trong HTTT 2.2. Quản trị an ninh HTTT
46
II. An ninh hệ thống thông tin – 2.1. Rủi ro trong IS
Khái niệm
• An ninh:
Chính sách, thủ tục và biện pháp kỹ thuật được sử dụng để ngăn chặn truy cập trái phép, thay đổi, trộm cắp, hoặc thiệt hại vật chất cho hệ thống thông tin
• Kiểm soát:
Phương pháp, chính sách, thủ tục để đảm bảo an toàn cho tài sản của tổ chức; độ chính xác và tin cậy của hồ sơ kế toán; và việc tuân thủ tiêu chuẩn quản lý của các hoạt động tác nghiệp.
07-47
II. An ninh hệ thống thông tin – 2.1. Rủi ro trong IS
Phân loại rũi ro
• Rủi ro khách quan, thiên tai
– Mất điện, hỏa hạn – Chuột bọ …
• Rủi ro về hệ thống hạ tầng (thiết bị, phần mềm và đường truyền) mất cắp, hư hỏng, Wifi …
• Rủi ro do con người: trong
và ngoài tổ chức
07-48
II. An ninh hệ thống thông tin – 2.1. Rủi ro trong IS
Rũi ro do con người
Chưa có sự phân biệt rõ ràng về các đối tượng xâm hại IS • Bốn loại chính
– Nhân viên hiện và đã làm việc trong tổ chức
• 85-95% việc xâm hại đến hoạt động kinh doanh là từ
nguồn bên trong
– Các cá nhân có chuyên môn kỹ thuật thực hiện vì mưu
lợi riêng
– Tội phạm chuyên nghiệp sử dụng máy tính để hỗ trợ
– Crackers bên ngoài tìm kiếm các thông tin có giá trị
• Khoảng 12% sự tấn công của crackers gây nguy hại
11-49
thực hiện hành vi tội phạm
II. An ninh hệ thống thông tin – 2.1. Rủi ro trong IS
Minh họa
Minh họa các vấn đề về an ninh và các lỗ hổng trong một ứng dụng
database trên nền Web 3 tier.
07-50
II. An ninh hệ thống thông tin – 2.1. Rủi ro trong IS
Hacking and Cracking
Hackers – cá nhân truy cập trái phép vào IS • Xuất hiện vào những năm 1960s • Ban đầu vì mục đích tìm hiểu không gây hại
Crackers – cá nhân đột nhập hệ thống máy tính với ý đồ
xâm hại hoặc thực hiện hành vi phạm tội.
Cyberterrorism – sử dụng máy tính và mạng để gây nguy hại đến cá nhân hay tài sản nhằm hăm dọa hoặc bắt buộc chính phủ, dân chúng, hoặc bộ phận bất kỳ của xã hội vì các mục tiêu chính trị, tôn giáo, hoặc lý thuyết nào đó
07-51
II. An ninh hệ thống thông tin – 2.1. Rủi ro trong IS
Các hình thức xâm hại
Tội phạm Mô tã
Data diddling
Việc thay đổi dữ liệu vào và ra của 1 máy tính. Ví dụ: nhân viên đột nhập vào hệ thống chấm công để thay đổi số giờ làm việc, qua đó nâng thu nhập.
Salami slicing
Hình thức data diddling với giá trị thay đổi đủ nhỏ để hệ thống không phát hiện. Ví dụ nhân viên ngân hàng rút vài trăm đồng từ hàng ngàn tài khoản để chuyển vào tài khoản đăng ký bằng tên giả.
Phreaking Tấn công máy tính của công ty viễn thông nhằm thực
hiện các cuộc gọi đường dài không mất tiền
Cloning
Tấn công mạng di động qua đánh cắp mã số máy người khác để sử dụng dịch vụ cell phone ―không tốn tiền‖
Carding
Thường chỉ việc lấy cắp số thẻ tín dụng trên mạng để bán lại hoặc mua hàng bằng tài khoản của người bị hại
07-52
II. An ninh hệ thống thông tin – 2.1. Rủi ro trong IS
Các hình thức xâm hại
Tội phạm
Mô tã
Xem lén số PIN khi nạn nhân rút tiền thẻ ATM làm giả thẻ để rút tiền của nạn nhân
Piggybacking/ shoulder- surfing
Social Engineering
Mạo danh nhà báo, nhân viên điện thoại, hoặc người thân để nạn nhân tiết lộ mật khẩu và các thông tin khác. Thông tin đó được dùng để đột nhập vào hệ thống máy tính để lấy cắp
Dumpster diving
Đơn giản là moi rác văn phòng để lấy cắp chứng từ, tài liệu ….
Spoofing
Lấy cắp tài khoản bằng cách giả mạo màn hình đăng nhập
07-53
II. An ninh hệ thống thông tin
2.1. Rủi ro trong HTTT 2.2. Quản trị an ninh HTTT
Video: security.swf 54
II. An ninh Hệ thống Thông tin – 2.2. Quản trị an ninh HTTT
Các biện pháp quản trị an toàn
Quản trị an ninh hệ thống thông tin – Các biện pháp phòng chống giữ cho tất cả các lãnh vực hoạt động hệ thống thông tin được an toàn khỏi các hành vi truy cập trái phép
Quản trị rũi ro
Biện pháp
Sao lưu và phục hồi
Chính sách và thủ tục an ninh
07-55
Kiểm soát truy xuất
II. An ninh Hệ thống Thông tin – 2.2. Quản trị an ninh HTTT
2.2.1 Quản trị rũi ro
• Kiểm toán mức độ an ninh nhận dạng mọi lãnh vực hệ thống
thông tin và các quá trình kinh doanh
• Phân tích rũi ro xác định giá trị và tổn thất tài sản bảo vệ
• Xây dựng phương án dựa trên phân tích rũi ro
– Giảm thiểu rũi ro – hiện thực các phương án tích cực để
bảo vệ hệ thống (e.g. firewalls)
07-56
– Chấp nhận rũi ro – Xử lý khi rũi ro phát sinh – Chuyển đổi rũi ro – e.g. mua bảo hiểm
II. An ninh Hệ thống Thông tin – 2.2. Quản trị an ninh HTTT
2.2.2 Kiểm soát truy xuất – Biện pháp quản trị
Biện pháp đảm bảo an ninh bằng cách chỉ cho phép truy xuất
những gì cần để làm việc
• Xác thực (Authentication) – xác thực nhân thân trước khi truy
• Cấp quyền truy xuất (Access Control) – chỉ cấp quyền trong những lãnh vực của hệ thống mà người dùng được quyền (e.g. accouting)
07-57
xuất (e.g. passwords)
II. An ninh Hệ thống Thông tin – 2.2. Quản trị an ninh HTTT
2.2.3. Thủ tục và chính sách – Ex. Acceptable use policies
7-58
II. An ninh Hệ thống Thông tin – 2.2. Quản trị an ninh HTTT
2.2.3. Thủ tục và chính sách – Biện pháp về con người (phi kỹ thuật)
Acceptable Use Policies – Tài liệu chính thức về cách thức sử
dụng, mục tiêu và các xử lý khi không phù hợp – WHO Phân loại đối tượng sử dụng hệ thống người
– HOW phương thức quản lý và xử lý
07-59
dùng tin cậy và ―cần chăm sóc‖
II. An ninh Hệ thống Thông tin – 2.2. Quản trị an ninh HTTT
2.2.4. Sao lưu và phục hồi – Biện pháp kỹ thuật
• Sao lưu – định kỳ sao chép dự phòng các dữ liệu hệ thống
thiết yếu và lưu vào nơi an toàn (e.g. backup tape)
• Hoạch định phục hồi sự cố – các thủ tục chi tiết dược dùng để khôi phục khả năng truy xuất đến các hệ thống chủ yếu (e.g. viruses hay hỏa hoạn)
• Phục hồi sự cố – thực hiện các thủ tục phục hồi bằng cách dùng công cụ backup để phục hồi hệ thống về trạng thái gần nhất trước khi nó bị tổn thất
07-60
II. An ninh Hệ thống Thông tin – 2.2. Quản trị an ninh HTTT
Thống kê các kỹ thuật an toàn được sử dụng (%đvị khảo sát)
CSI 2007 2007: 484 Respondents 2006: 616 Respondents
07-61
II. An ninh Hệ thống Thông tin – 2.2. Quản trị an ninh HTTT
2.2.5. Hoạch định an ninh HTTT
Kế hoạch an ninh IS – văn bản tổng hợp tất cả biện pháp được
chuẩn bị sẵn để bảo vệ tài sãn thông tin của tổ chức
Ba nội dung phải thực hiện • Security Audit – Xác định tất cả các tài sãn về IS của tổ chức gồm phần cứng, phần mềm, tài liệu, các quy trình thủ tục, con người, dữ liệu, phương tiện và nguồn cung cấp.
• Risk Analysis – Xác định tất cả các rũi ro có thể xãy ra gây tổn thất đến tài sãn thông tin. Xếp hạng theo tần suất xuất hiện. Ước lượng tổn thất đối với từng rũi ro bao gồm cả tổn thất về kinh doanh
• Alternatives – Đối với từng rũi ro, xác định các phương án
xử lý gồm các biện pháp phát hiện, ngăn ngừa và khôi phục tồn thất
07-62
II. An ninh Hệ thống Thông tin – 2.2. Quản trị an ninh HTTT
2.2.5. Hoạch định an ninh HTTT – IS Security Plan
Trình tự xây dựng kế hoạch an ninh HTTT – 5 bước Bước 1. Phân tích rủi ro • Xác định giá trị thông tin số của tổ chức • Đánh giá mối đe dọa đến tính bảo mật, tính toàn vẹn và tính
sẵn sàng của thông tin
7-63
• Xác định hoạt động dễ gây tổn thương đến hệ thống • Đánh giá chính sách an ninh hiện tại • Đề nghị thay đổi phương thức hiện có để cải thiện an ninh
II. An ninh Hệ thống Thông tin – 2.2. Quản trị an ninh HTTT
2.2.5. Hoạch định an ninh HTTT – IS Security Plan
Bước 2. Các chính sách và thủ tục – hành động được thực hiện
nếu có sự vi phạm an ninh Information Policy – xử lý các thông tin nhạy cảm
• • Security Policy – kiểm soát về kỹ thuật vấn đề an ninh IS
của tổ chức
7-64
• Use Policy – quy định việc sử dụng trong nội bộ tổ chức • Backup Policy – chính sách sao lưu • Account Management Policy – thủ tục thêm người dùng mới Incident Handling Procedures – xử lý vi phạm an ninh • • Disaster Recovery Plan – phục hồi hoạt động máy tính
II. An ninh Hệ thống Thông tin – 2.2. Quản trị an ninh HTTT
2.2.5. Hoạch định an ninh HTTT – IS Security Plan
Bước 3. Triển khai thực hiện • Triển khai các biện pháp an ninh về phần cứng, phần mềm
và an ninh mạng
• Phổ biến ID và smart cards. • Phân công trách nhiệm của bộ phận IS
Bước 4. Đào tạo nhân viên của tổ chức Bước 5. Kiểm toán • Đánh giá việc tuân thủ chính sách • Kiểm tra thâm nhập
7-65
II. An ninh Hệ thống Thông tin – 2.2. Quản trị an ninh HTTT
2.2.5. Hoạch định an ninh HTTT – IS Security Plan
Disaster Recovery Plan
• Xác định thời gian phục hồi khi có sự cố Thời gian phục hồi tối đa cho phép ??
• Xác định trạng thái khôi phục
Phương án backup: định kỳ, thường xuyên
7-66
The End
67
07-68
http://onguardonline.gov/index.html
07-69
Security.swf
I. Đạo đức trong Hệ thống thông tin
1.2. Các vấn đề về chuẩn mực hành vi – mô hình PAPA
07-70
I. Đạo đức trong Hệ thống thông tin
1.2. Các vấn đề về chuẩn mực hành vi – mô hình PAPA – Case Study
07-71
I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi
1.2.3. Quyền sở hữu thông tin – Software Piracy
07-72
Hoạt động – A you a ―Netizen‖ ??
Look and Think
Video Case: Yêu cầu: Chủ đề và nội dung chính của clip security.swf
07-73
Hoạt động – A you a ―Netizen‖ ??
Chia sẽ – Teamwork
Chia sẻ theo nhóm: Mỗi nhóm (cùng bàn) trao đổi về nội dung đoạn phim. (thời
gian 2 phút)
Yêu cầu: 1. Căn cứ vào nội dung clip và kinh nghiệm cá nhân Liệt kê Top-6 các nguy cơ (phương tiện gây hại) thường gặp nhất?
07-74
2. Sắp thứ tự từ cao xuống thấp
Hoạt động 1 – Người tiêu dùng ―sành điệu‖
Trò chơi chung sức
3. Đánh giá: đúng tên + 10/ 1 mục, đúng vị trí +20 điểm/ 1 mục
1
Virus / sâu: 20%
Spyware / Malware: 14%
2
Truy cập Wi-Fi: 9%
3
Email / Tập tin đính kèm: 9%
4
Phishing / Đánh cắp ID: 5%
5
Remote access: 5%
6
07-75
Nguồn: CompTIA, Báo Tuổi Trẻ Thứ Hai, 03/12/2007
II. Tội phạm máy tính
1. Các hành vi truy xuất bất hợp pháp
• Tấn công vào hệ thống máy tính gây sự cố hư hỏng thiết bị và thông tin lưu trữ (e.g đăng nhập trái phép để xóa dữ liệu, DoS attach)
Computer Crime –sử dụng máy tính để thực hiện các hành vi không hợp pháp như:
• Sử dụng máy tính để tấn công đến IS khác (e.g. lấy
• Sử dụng máy tính làm công cụ hỗ trợ các hành vi
cắp số PIN khách hàng của 1 tổ chức)
tội phạm (e.g. sử dụng máy tính để giao dịch bất hợp pháp)
07-76
1. Các hành vi truy xuất bất hợp pháp
Truy xuất trái phép
• Truy cập trái phép -- sử dụng hệ thống máy tính mà họ
không được cấp quyền sử dụng
Trường hợp nào sau đây là truy cập trái phép • Nhân viên sử dụng thời gian làm việc ở công sở để kinh
doanh riêng
• Đột nhập vào Website của đối thủ để sửa thông tin hiển thị
trên đó
• An trộm tài khoản và mật khẩu thẻ tín dụng để mua hàng hóa
07-77
1. Các hành vi truy xuất bất hợp pháp
Unauthorized computer access
07-78
1. Các hành vi truy xuất bất hợp pháp
Phân loại đối tượng Unauthorized Access 2004 Survey by Computer Security Institute
07-79
5. Virus máy tính
Mã phá hoại + nhân bản
Viruses • Khả năng nhân bản • Hành vi: xóa hoặc phá hủy tập tin • Boot Sector viruses – tấn công boot sector • File Infector viruses – tấn công tập tin như .doc, .exe, • Attachment viruses – lây theo tập tin đính kèm
07-82
Worms • Không phá hủy tập tin • Được thiết kế để sao chép và truyền gửi • Làm chậm hệ thống
5. Virus máy tính
Mã phá hoại + nhân bản
07-83
5. Virus máy tính
Mã phá hoại + không có khả năng nhân bản
Trojan Horses Các chương trình này không có khả năng nhân bản nhưng có thể gây nguy hại bằng cách chạy ẩn các chương trình trên máy bị nhiểm (i.e một số game tự tạo account trên máy để truy cập trái phép)
Logic or Time Bombs Biến thể Trojan Horse (không nhân bản và ẩn mình) được thiết kế để chờ sự kiện kích hoạt. (i.e. nhân viên lập trình sẽ phá hoại khi họ nghĩ việc)
• Time Bombs – kích hoạt bởi thời gian (e.g. sinh nhật) • Logic Bombs – kích hoạt bởi tác vụ nào đó (e.g. nhập
mật khẩu nào đó)
07-84
a. Firewall
Kiến trúc Firewall - “gia đình”
Internet Service Provider (ISPs)
always-on connection
broadband modem (DSL/ cable)
07-85
a. Firewall
Kiến trúc Firewall – LAN
Internet Service Provider (ISPs)
07-86
a. Firewall
Kiến trúc Firewall đa lớp – mạng doanh nghiệp
Internet Service Provider (ISPs)
07-87
2. Các hiểm họa về an ninh và Kỹ thuật phòng chống
b. Spyware, Spam, Cookies
nào đó qua kết nối Internet một cách bí mật
Spyware Các phần mềm thu thập thông tin cá nhân về 1 người dùng
khả năng gây làm máy tính hoạt động mất ổn định • Bảo vệ: Firewalls và các phần mềm chống Spyware
• Vấn đề: chiếm dụng tài nguyên bộ nhớ, băng thông, có
Spam Thư điện tử hoặc bản tin với ―khối lượng lớn‖ gửi nhằm
mục đích quảng cáo sản phẩm/ dịch vụ nào đó Vấn đề: phiền hà, mất thời gian xóa bỏ, chiếm đĩa Bảo vệ: phần mềm ―Spam Blocker‖
• •
Cookies Thông điệp web server gửi tới trình duyệt lưu trữ thông tin
07-88
và trạng thái người dùng Vấn đề: có thể lợi dụng để theo dõi hành vi người dùng Bảo vệ: thiết lập trình duyệt, firewall
• •
2. Các hiểm họa về an ninh và Kỹ thuật phòng chống
c. Biometrics
• Sử dụng các đặc tính sinh học khó làm giả để nhận dạng cá nhân như vân tay, võng mạc, …
Sinh trắc học – Biometrics • Kỹ thuật nhận dạng phức tạp dùng để hạn chế truy xuất hệ thống, dữ liệu, hoặc các phương tiện
07-89
• Có khả năng an ninh cao
2. Các hiểm họa về an ninh và Kỹ thuật phòng chống
d. Wireless LAN
Truy xuất mạng không dây trái phép Vấn đề: khả năng xâm nhập mạng, lấy dữ liệu, hoặc dùng các dịch vụ mạng để tấn công mà không cần phải vào trong khu vực Bảo vệ: Mã hóa
07-90
2. Các hiểm họa về an ninh và Kỹ thuật phòng chống
e. VPN và Mã hóa
VPN (Virtual Private Network) • Còn gọi là secure tunnel • Tạo kết nối động cho các người dùng và các nodes • Sử dụng 2 kỹ thuật xác thực (authentication) và mã hóa
encryption
• Sử dụng phổ biến để cho truy cập từ xa (remote access)
mã ở bên nhận
• Public Key – biết trước và dùng để gửi thông điệp • Private Key – không biết và dùng để mở thông điệp • Certificate Authority – tổ chức trung gian phát hành khóa
07-91
Mã hóa – Encryption • Quá trình mã hóa dữ liệu trước khi truyền lên mạng và giãi
2. Các hiểm họa về an ninh và kỹ thuật phòng chống
Cơ chế hoạt động của mã khóa công khai
07-92
2. Các hiểm họa về an ninh và Kỹ thuật phòng chống
f. Virus
Virus Các chương trình tấn công máy tính hoặc mạng và hủy bỏ thông tin, làm hư phần mềm, sử dụng cạn kiệt các nguồn lực ,,, ,,,
tức các email ―có khả năng chứa virus‖
Phòng chống 1. Sử dụng các phần mềm Antivirus 2. Cấm disk sharing 3. Xóa các email ―nghi ngờ‖ Đừng mở mà xóa ngay lập
4. Thông báo sự xuất hiện của virus mới cho quản trị hệ
07-93
thống mạng
1. Các biện pháp quản trị an toàn
Xử lý khi bị sự cố (% đvị khảo sát)
07-94
III. An ninh Hệ thống Thông tin
2. Các hiểm họa về an ninh và Kỹ thuật phòng chống
• Khác: Spyware, Spam, Wireless Access, Viruses
Hiểm họa an ninh • Mạo danh (Identity Theft) • Từ chối phục vụ (Denial of Service) – tấn công các websites qua các máy ―zombie‖ làm tràn site shuts down không hoạt động
07-95
Kỹ thuật phòng chống Phổ biến gồm: • Bức tường lửa – Firewalls • Sinh trắc học (Biometrics) • Mạng riêng ảo và mã hóa
2. Các hiểm họa về an ninh và Kỹ thuật phòng chống
a. Firewall
Firewalls Một hệ thống phần mềm, cứng hoặc cả hai được thiết kế để phát hiện các xâm nhập và ngăn chận các truy xuất trái phép đến một hệ thống mạng riêng
Kỹ thuật được dùng • Lọc gói tin (Packet Filter) – kiểm tra từng gói tin vào và ra mạng và xử lý nhận hoặc từ chối theo các luật đã xác định
• Kiểm soát mức ứng dụng – Thực hiện các biện pháp an
ninh theo ứng dụng cụ thể (e.g. file transfer)
phép dấu địa chỉ mạng thực sự
07-96
• Kiểm soát mức mạch nối (Circuit Level Control) – phát hiện các kết nối cụ thể hoặc mạch nối ở 2 phía firewall • Proxy Server – hoạt động như là máy chủ đại diện cho
• Non-technical safeguards – Management of
people’s use of IS
• Acceptable use policies – Trustworthy employees – Well-treated employees
7-97
Managing Information Systems Security
• 1988—Computer Emergency Response Team (CERT)
– Started after Morris worm disabled 10% of all computers connected
to the Internet
Responding to a Security Breach
implementation, management, and operation
7-98
• Computer Security Division (CSD) – Raising of awareness of IT risks – Research and advising about IT vulnerabilities – Development of standards – Development of guidelines to increase secure IT planning,
Learning Objectives
Ethics (Chapter 11 + 4)
IS Hôm nay 1. Mô tả tác động và ảnh hưởng của kỷ nguyên thông tin đến vấn đề đạo đức trong hệ thống thông tin.
2. Thảo luận về vấn đề về quyền riêng tư, tính chính xác, quyền sở hữu, và quyền tiếp cận thông tin
3. Định nghĩa và liệt kê một số loại tội
phạm máy tính.
4. Mô tả và giải thích sự khác biệt giữa chiến tranh mạng và chủ nghĩa khủng bố trên mạng
07-99
Learning Objectives
Security (Chapter 7 + 8)
1. Giải thích được ý nghĩa của từ ―an
1. Giải thích tại sao hệ thống thông tin dễ bị phá hủy, mắc lỗi, và lạm dụng.
2. Mô tả các giá trị kinh doanh của an
ninh hệ thống thông tin" và mô tả các mối đe dọa chính và làm tổn hại đến hệ thống thông tin.
ninh và kiểm soát.
3. Mô tả các thành phần khung của cơ
cấu an ninh và kiểm soát của tổ chức
2. Mô tả cả hai biện pháp bảo vệ dựa trên công nghệ và dựa trên con người đối với hệ thống thông tin.
4. Mô tả các công cụ và công nghệ
3. Thảo luận làm thế nào để quản lý an
được sử dụng để bảo vệ nguồn tài nguyên thông tin.
ninh hệ thống thông tin tốt hơn và giải thích quá trình hoạch định an ninh hệ thống thông tin.
4. Mô tả cách thức các tổ chức có thể thiết lập việc kiểm soát IS để đảm bảo an ninh tốt hơn.
07-100
I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi
Mô hình PAPA – Richard O. Mason (1986)
Đâu là đáp án của vấn đề NÊN hay KHÔNG NÊN PAPA
•
uld
o h S
IS không nên quá mức xâm nhập sự riêng tư của một người để tránh tình huống xấu mà các sinh viên ở Tallahassee gặp phải
Privacy
Accuracy
Property
Accessibility
• Tại Tallahassee Community College, màn hình đã được đóng
T O
ít nhất một ngày mỗi tuần trong mỗi bathoom
uld N
o h S
07-101
I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi
Mô hình PAPA – Richard O. Mason (1986)
Đâu là đáp án của vấn đề NÊN hay KHÔNG NÊN PAPA
uld
o h S
IS phải chính xác để tránh những tình huống xấu như Marches&Browns
Privacy
Accuracy
Property
Accessibility
T O
uld N
o h S
07-102
• Các khoản vay của Louis Marches từ Crocker National. Tất cả những gì các quan chức ngân hàng khai là "Máy tính tạo ra những sai lầm. Các ngân hàng cũng phạm sai lầm theo. " • Dự báo của Peter Brown đã dựa vào khi ông quyết định tiến vào North Atlantic đã bị lỗi bởi chỉ vì một sự kiện – trạm 44.003 của Geoges Bank – không hoạt động. Trong sự hỗn loạn đó Gary Brown, một thành viên phi hành đoàn, đã bị cuốn trôi.
I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi
Mô hình PAPA – Richard O. Mason (1986)
• Quá trình "disemmiding" kiến thức từ một cá nhân, và sau đó
uld
o h S
"emmiding" nó vào máy tranfers quản lý tài sản cho những người sở hữu các phần cứng và phần mềm. Được trao đổi này của tài sản đảm bảo? Nếu kiểm tra xã hội về việc sử dụng mở rộng băng thông là không đủ, và một mức độ nhất định chế là không theo sau, chúng ta có thể thấy rằng gây nhiễu và tiếng ồn sẽ phá hủy các dòng chảy của thông tin rõ ràng trong không khí. Làm thế nào phân bổ nguồn tài nguyên băng thông hạn chế này?
Privacy
Accuracy
Property
Accessibility
T O
uld N
o h S
• Quá trình “phổ biến" kiến thức cá nhân, và sau đó "emmiding" nó vào máy đã chuyển giao việc kiểm soát tài sản cho những người sở hữu các phần cứng và phần mềm. Liệu việc trao đổi tài sản có được đảm bảo? Nếu xã hội kiểm tra việc mở rộng sử dụng băng thông là không thích hợp, và trong một chứng mực nào đó là không thể thực hiện, người ta có thấy rằng gây nhiễu và tiếng ồn sẽ phá hủy các dòng thông tin trong không khí. Làm thế nào sẽ nguồn tài nguyên hạn chế về băng thông được phân bổ?
07-103
I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi
Mô hình PAPA – Richard O. Mason (1986)
Đâu là đáp án của vấn đề NÊN hay KHÔNG NÊN PAPA
uld
•
o h S
IS nên có thể truy cập để tránh các tình huống xấu do trình độ và mất quyền về thông tin
Privacy
Accuracy
Property
Accessibility
• Để gọi là có văn hóa, một công dân trong kỹ nguyên TT phải có tối thiểu 3
T O
nội dung sau:
• Phải có kỹ năng trí tuệ để làm việc thông tin. Reading, Writing, aRithmeting
và Reasoning
uld N
o h S
•
07-104
• Phải có quyền khai thác tài nguyên ITs, được dùng lưu trữ, truyền tải và xử lý thông tin (thư viện, radio, TV, điện thoại và máy tính hoặc thiết bị đầu cuối liên kết thông qua mạng máy tính lớn Sau cùng, phải có quyền truy cập vào bản thân thông tin. Yêu cầu này quay trở lại với vấn đề tài sản và nó cũng là một vấn đề kinh tế xã hội