Qun tr H thng thông tin
1
ĐO ĐC & AN NINH MÁY TÍNH
1
CHƯƠNG 7
Mc tiêu hc tp
1. t s xut hin ca k nguyên thông tin cách th!c
đ#o đ!c máy tính nh hư(ng vic s) d+ng h thng thông
tin
2. Tho lu/n nh0ng quan tâm đ#o đ!c v3i “s riêng tư”, chính
xác, đ7c trưng, và truy xut thông tin
3. Đnh nghĩa t;i ph#m máy tính, và các lo#i t;i ph#m máy tính
4. Phân bit các thu/t ng0 “computer virus,” “worm,” Trojan
Horse
5. Gii thích ý nghĩa khái nim “an ninh h thng thông tin”
mô t đưFc các cách gii quyGt hin nay
2
Ni dung
I. Đ$o đ'c Tin hc
II. Hành vi ph$m ti trên máy tính
III. An ninh H/ th0ng thông tin
3
I. Đ$o đ'c tin hc
1. Tính riêng tư
2. Tính chính xác
3. Tài s8n thông tin
4. Quy;n truy xu<t thông tin
5. Hành vi đ$o đ'c
4
I. Đ$o đ'c tin hc
5
Đ$o đ'c máy tính
Các vn đI và các chuJn mc vI hành vi trong vic s)
d+ng h thng thông tin bao gKm s riêng tư, tính chính
xác, tài sn thông tin và quyIn truy xut.
1.Tính riêng tư – Information Privacy
6
Tính riêng tư (Information Privacy)
Nh0ng thông tin mà cá nhân phi tiGt l; cho ngưNi khác
trong quá trình xin vic hay mua hàng trc tuyGn
SE riêng tư cFa thông tin và v<n đ; phát sinh
Ăn trm thông tin “mt”
Vic đánh cQp các thông tin riêng ca cá nhân (s tài khon,
PIN T) đV mua chu, vay tiIn, mua hàng hóa, ho7c vay
mưFn, hay nói cách khác là nh0ng khon nF không bao giN
tr. Đây là vn đI đ7c bit vì:
• Vô hìnhv3i n#n nhân, hZ không biGt điIu gì đã xy ra
• Rt khó s)a ch0a T bao gKm các h/u qu có thV
• Có kh năng t^n tht không thV bù đQp
Qun tr H thng thông tin
2
1.Tính riêng tư – Information Privacy
7
Chn các Web sites đưMc các tN ch'c đc lp giám sát
S) d+ng các sites đánh giá đV chZn các sites “an toàn” (e.g
epubliceye.com)
Qu8n trP “tính riêng tư”
Tránh vi/c lưu các Cookies trên máy
Cài đ7t trình duyt đV “ch7n” vic ký g)i cookies lên máy
tính khi duyt Web
CRn thn khi nhn các thư yêu cSu
Hãy dùng tài khon email khác v3i tài khon bình thưNng
đV bo vI các thông tin riêng, tránh b xâm ph#m b(i các
ngưNi dùng bt kỳ trên máy tính ca b#n
2.Tính chính xác – Information Accuracy
8
Tính chính xác (Information Accuracy)
Các vn đI đm bo xác thc xut x! và tính trung thc
(authenticity and fidelity) ca thông tin, và xác đnh các trách
nhim vI các lfi trong thông tin làm nguy h#i ngưNi khác
NguTn lUi
Các lfi trong kGt xut ca máy tính có thV bQt nguKn tg 2
nguKn là:
LUi kW thut – lfi gii thu/t, truyIn thông và/hay quá
trình x) lý khi nh/n, x) lý, lưu tr0, và trình bày thông tin
LUi do con ngưXi – do ngưNi nh/p d0 liu vào h thng
thông tin gây ra
3.Tài s8n thông tinY Information Property
9
Tài s8n thông tin (Information property)
Tài sn thông tin liên quan đGn vic ai s( h0u thông tin
và thông tin có thV đưFc n và trao đ^i như thG nào?
Ví d
Ai là ngưNi s( h0u thông tin đưFc lưu tr0 trong hàng ngàn
cơ s( d0 liu b(i ngưNi bán ln, công ty nghiên c!u tiGp th?
Các công ty lưu tr0 cơ s( d0 liu vI khách hàng và
nh0ng ngưNi đăng ký là ngưNi s( h0u thông tin, hZ đưFc
t do buôn bán
3.Tài s8n thông tinY Information Property
10
Quy;n s[ h\u thông tin (Information Ownership)
Thu;c vI các t^ ch!c lưu tr0 thông tin nGu nó đưFc chuyVn
giao T ngay c khi “không nhn thc” do s) d+ng các sites
đó (e.g. kho sát trc tuyGn)
Đi;u l/ riêng tư (Privacy Statements )
ĐưFc các t^ ch!c thu th/p thông tin nêu ra và cách th!c
s) d+ng chúng. VI pháp lý có 2 lo#i
Internal Use – chq dùng trong ph#m vi t^ ch!c
External Use – có thV bán ra bên ngoài
4. Quy;n truy xu<t thông tin
11
Quy;n truy xu<t thông tin (Information Accessibility)
Các vn đI liên quan đGn vic cá nhân/ t^ ch!c có quyIn
thu th/p nh0ng thông tin gì ca ngưNi khác và cách th!c
s) d+ng chúng
Ai có quy;n?
• Bn thân cá nhân/ t^ ch!c
• Chính ph – s) d+ng các phsn mIm tiên tiGn (e.g
Carnivore), kiVm soát t!c thNi ho7c sau đó các lưu
lưFng email, và tt c các ho#t đ;ng lên m#ng
• NgưNi thuê – có quyIn (trong ph#m vi gi3i h#n) giám
sát, ho7c truy xut các ho#t đ;ng trên các máy tính hay
m#ng ca công ty khi hZ đã công b chính sách đó v3i
nhân viên
5. Hành vi đ$o đ'c
Trong thNi đ#i Internet, ngoài pháp chG đi
v3i t;i ph#m máy tính, tính riêng bo m/t
còn có các chuJn mc vI đ#o đ!c.
NhiIu doanh nghip đ7t ra qui tQc cho vic s)
d+ng công ngh thông tin các h thng máy
tính m;t cách có đ#o đ!c.
NhiIu t/p đoàn máy tính chuyên nghip cũng
đ7t ra nh0ng qui tQc đ#o đ!c cho các doanh
nghip thành viên.
12
Qun tr H thng thông tin
3
5. Hành vi đ$o đ'c
Hsu hGt trưNng đ#i hZc và nhiIu h thng
trưNng hZc c;ng đKng đã đI ra nh0ng qui tQc cho
sinh viên, các khoa, các phòng ban nhân viên
vI đ#o đ!c s) d+ng máy tính.
Hsu hGt t^ ch!c trưNng hZc đ;ng viên tt c
ngưNi dùng h thng hành đ;ng trách nhim,
đ#o đ!c, và hFp pháp.
13
5. Hành vi đ$o đ'c
Nh0ng hành vi csn ngăn ch7n:
S) d+ng máy tính đV h#i ngưNi khác
Gây cn tr( công vic trên máy tính ca ngưNi
khác
Tò mò các t/p tin (files) ca ngưNi khác
Sao chép và s) d+ng phsn mIm không có bn
quyIn
S) d+ng tài nguyên máy tính ca ngưNi khác mà
chưa đưFc cp quyIn
14
5. Hành vi đ$o đ'c
Nh0ng hành vi đưFc khuyGn khích:
Nên suy nghĩ vI nh hư(ng h;i ca nh0ng
chương trình đang viGt các h thng
đang thiGt kG.
S) d+ng máy tính theo cách có cân nhQc và tôn
trZng ngưNi khác.
15
II. Hành vi ph$m ti trên máy tính
1. Các hành vi truy xu<t b<t hMp pháp
2. Hacking và Craking
3. Các hình th'c ti ph$m
4. B8n quy;n phSn m;m
5. Virus máy tính
16
1. Hành vi truy xu<t b<t hMp pháp
17
S) d+ng máy tính đV thc hin các hành vi không hFp
pháp như:
ThEc hi/n hành vi ph$m ti trên máy tính (e.g đăng
nh/p vào h thng máy tính nhwm xâm h#i đGn máy
tính ho7c d0 liu lưu tr0 trong máy đó)
Dùng máy tính đg ph$m ti
(e.g. ly cQp s thn tín d+ng trong CSDL ca t^ ch!c)
Sh dng máy tính đg hU trM các hành vi ph$m ti
(e.g. lưu thông tin vI các giao dch bt hFp pháp)
2. Hacking và Cracking
18
Hackers
Thu/t ng0 dùng mô t ngưNi truy c/p trái phép vào máy
tính đV tìm hiVu vI các máy tính đó.
• Ra đNi đV mô t các sinh viên ca MIT tìm cách truy
c/p mainframes trong nh0ng năm 1960s
• Hin nay đưFc dùng ph^ biGn đV chq vic giành quyIn
truy c/p trái phép v3i mZi lý do
Crackers
Thu/t ng0 mô t nh0ng ngưNi đ;t nh/p h thng máy
tính v3i ý đK xâm h#i ho7c thc hin hành vi ph#m t;i.
• Phá ho#i d0 liu
• Đánh cQp thông tin
Qun tr H thng thông tin
4
3. Các hình th'c ti ph$m
Có nhi;u hình th'c ti ph$m:
S) d+ng máy tính đV đánh cQp tiIn, tài sn ho7c
lga g#t tiIn ca ngưNi khác. d+: qung cáo
hàng gim giá trên trang Web đu giá, nh/n đơn
hàng thanh toán sau đó g)i hàng kém cht
lưFng.
Đánh cQp và thay đ^i thông tin.
Đánh cQp thông tin ho7c phá hư h thng máy tính
sau đó tng tiIn n#n nhân.
19
3. Các hình th'c ti ph$m
Có nhi;u hình th'c ti ph$m:
Nh0ng tên khng b công ngh (Technozterrorists) cài
đ7t các chương trình phá hy vào h thng máy tính
sau đó đe dZa và tng tiIn n#n nhân.
Hình th!c t;i ph#m phát tán virus làm phá ho#i h
thng máy tính ho7c ngăn ch7n dch v+ trên trang web.
Vic s) d+ng Internet làm phát sinh nhiIu hình th!c t;i
ph#m như xut hin các trang web n;i dung không
lành m#nh (phn đ;ng, đKi tr+y,T)
20
4. B8n quy;n phSn m;m
Nh0ng ngưNi phát triVn sn xut phsn mIm
mun n đưFc càng nhiIu bn sn phJm ca hZ
càng tt.
NgưNi bán không mun bt c! ai đó mua 1 bn
phsn mIm sau đó nhân ra thành nhiIu bn và bán
l#i cho ngưNi khác.
Nhà cung cp cũng bi quan vI kh năng các công
ty mua 1 bn phsn mIm !ng d+ng sau đó t#o ra
nhiIu bn và phân phi cho nhân viên.
21
4. B8n quy;n phSn m;m
Tình hình vi ph$m b8n quy;n (2008)
22
5. Virus máy tính
23
Viruses
Các chương trình phá ho#i ho#t đ;ng bình thưNng ca h
thng máy tính bwng các hành vi ác ý gây nguy h#i ho7c
phá hy các t/p tin trên máy b nhi{m. Các lo#i virus:
Boot Sector nhi{m vào phsn đĩa dùng đV kh(i đ;ng.
File Infector nhi{m vào files như .doc, .exe, T
Combination có kh năng hoán đ^i gi0a boot và file
đV đánh lga các trình dit virus
Attachment – lây theo ezmail khi m( file đính kèm
(attachment). Có kh năng t g)i theo đa chq
Worms
Đo#n mã phá ho#i có kh năng nhân bn và lan r;ng trên
m#ng máy tính. Nó gây nguy h#i bwng cách nhi{m vào b;
nh3 làm h thng ho#t đ;ng ch/m thay vì phá hy t/p tin
5. Virus máy tính
24
Trojan Horses
Các chương trình này không có kh năng nhân bn nhưng có
thV gây nguy h#i bwng cách ch#y Jn các chương trình trên máy
b nhi{m (i.e m;t s game t t#o account trên máy đV truy c/p
trái phép)
Logic or Time Bombs
BiGn thV Trojan Horse (không nhân bn và Jn mình)
đưFc thiGt kG đV chN s kin kích ho#t. (i.e. nhân
viên l/p trình s} phá ho#i khi hZ nghq vic)
Time Bombs – kích ho#t b(i thNi gian (e.g. sinh nh/t)
Logic Bombs – kích ho#t b(i tác v+ nào đó (e.g. nh/p
m/t khJu nào đó)
Qun tr H thng thông tin
5
5. Virus máy tính
Virus phát tán theo cách:
1. Hacker t#o virus và đính kèm nó vào chương trình ho7c
t/p tin trên Website.
2. NgưNi dùng ti vI nghĩ rwng đó t/p tin ho7c chương
trình bình thưNng. Khi ti xong, nó nhi{m vào các t/p
tin và chương trình khác trên máy tính.
3. NgưNi dùng g)i mail, chia sn t/p tin ch!a virus cho
nhiIu b#n bè, đKng nghip.
4. Virus phán tán m;t cách nhanh chóng thông qua
Internet.
25
III. An ninh h/ th0ng thông tin
1. Các bi/n pháp qu8n trP an toàn
2. Các higm ha v; an ninh và kW thut phòng ch0ng
26
1. Các bi/n pháp qu8n trP an toàn
27
An ninh trong h/ th0ng thông tin
Các bin pháp phòng ngga gi0 cho tt c các lĩnh vc ho#t
đ;ng h thng thông tin đưFc an toàn kh•i các hành vi truy
c/p trái phép
Các bin pháp
KiVm soát
truy xut
Qun tr ri ro
Chính sách
th t+c an ninh
Sao lưu và
ph+c hKi
1. Các bi/n pháp qu8n trP an toàn
28
Qu8n trP rFi ro
Kigm toán m'c đ an ninh nh/n d#ng mZi lĩnh vc h
thng thông tin và các quá trình kinh doanh
Phân tích rFi ro xác đnh giá tr tài sn đang đưFc bo v
Các phương án da trên phân tích ri ro
z Gi8m thigu rFi ro hin thc các phương án tích cc đV
bo v h thng (e.g. firewalls)
z Ch<p nhn rFi ro – không csn bin pháp phòng chng
z Chuygn đNi rFi ro – (e.g. mua bo hiVm)
Kigm soát truy xu<t
Đm bo an toàn bwng cách chq cho phép truy xut nh0ng gì
csn đV làm vic (ti thiVu)
• Xác thc (Authentication) – xác thc nhân thân trư3c khi
truy xut
• KiVm soát truy xut (Access Control)– Cp quyIn chq nh0ng
nh vc mà ngưNi dùng có quyIn (e.g. accout)
1. Các bi/n pháp qu8n trP an toàn
29
10/30/2011
Các thF tc và chính sách
Tài liu chính th!c vI cách th!c s) d+ng, m+c tiêu và các x)
lý khi không phù hFp
Sao lưu và phc hTi
Sao lưu đnh kỳ sao chép d phòng các d0 liu h thng
thiGt yGu và lưu vào nơi an toàn (e.g. backup tape)
Ho$ch đPnh phc hTi sE c0 – các th t+c chi tiGt đưFc
dùng đV khôi ph+c kh năng truy xut đGn các h thng
ch yGu (e.g. viruses hay h•a ho#n)
Phc hTi sE c0 – thc hin các th t+c ph+c hKi bwng
cách dùng công c+ backup đV ph+c hKi h thng vI tr#ng
thái gsn nht trư3c khi nó b t^n tht
2.Higm ha an ninh & kW thut phòng ch0ng
30
10/30/2011
Higm ha an ninh
M$o danh (Identity Theft)
Tr ch0i phc v (Denial of Service) – tn công các
websites qua các máy “zombie” làm tràn site shuts
down không ho#t đ;ng
Khác: Spyware, Spam, Wireless Access, Viruses
KW thut phòng ch0ng
Ph^ biGn gKm:
• B!c tưNng l)a – Firewalls
• Sinh trQc hZc (Biometrics)
• M#ng riêng o và mã hóa