Bài giảng Quản trị hệ thống thông tin: Chương 7

Qun tr H thng thông tin

ĐO ĐC & AN NINH MÁY TÍNH

CHƯƠNG 7

Mc tiêu hc tp

1. Mô t s xut hin ca k nguyên thông tin và cách th!c

đ#o đ!c máy tính nh hư(ng vic s) d+ng h thng thông

tin

2. Tho lu/n nh0ng quan tâm đ#o đ!c v3i “s riêng tư”, chính

xác, đ7c trưng, và truy xut thông tin

3. Đnh nghĩa t;i ph#m máy tính, và các lo#i t;i ph#m máy tính

4. Phân bit các thu/t ng0 “computer virus,” “worm,” Trojan

Horse

5. Gii thích ý nghĩa khái nim “an ninh h thng thông tin” và

mô t đưFc các cách gii quyGt hin nay

Ni dung

I. Đ$o đ'c Tin hc

II. Hành vi ph$m ti trên máy tính

III. An ninh H/ th0ng thông tin

I. Đ$o đ'c tin hc

1. Tính riêng tư

2. Tính chính xác

3. Tài s8n thông tin

4. Quy;n truy xu<t thông tin

5. Hành vi đ$o đ'c

I. Đ$o đ'c tin hc

Đ$o đ'c máy tính

Các vn đI và các chuJn mc vI hành vi trong vic s)

d+ng h thng thông tin bao gKm s riêng tư, tính chính

xác, tài sn thông tin và quyIn truy xut.

1.Tính riêng tư – Information Privacy

Tính riêng tư (Information Privacy)

Nh0ng thông tin mà cá nhân phi tiGt l; cho ngưNi khác

trong quá trình xin vic hay mua hàng trc tuyGn

SE riêng tư cFa thông tin và v<n đ; phát sinh

Ăn trm thông tin “mt”

Vic đánh cQp các thông tin riêng ca cá nhân (s tài khon,

PIN T) đV mua chu, vay tiIn, mua hàng hóa, ho7c vay

mưFn, hay nói cách khác là nh0ng khon nF không bao giN

tr. Đây là vn đI đ7c bit vì:

• Vô hìnhv3i n#n nhân, hZ không biGt điIu gì đã xy ra

• Rt khó s)a ch0a T bao gKm các h/u qu có thV

• Có kh năng t^n tht không thV bù đQp

Qun tr H thng thông tin

1.Tính riêng tư – Information Privacy

Chn các Web sites đưMc các tN ch'c đc lp giám sát

S) d+ng các sites đánh giá đV chZn các sites “an toàn” (e.g

epubliceye.com)

Qu8n trP “tính riêng tư”

Tránh vi/c lưu các Cookies trên máy

Cài đ7t trình duyt đV “ch7n” vic ký g)i cookies lên máy

tính khi duyt Web

CRn thn khi nhn các thư yêu cSu

Hãy dùng tài khon email khác v3i tài khon bình thưNng

đV bo vI các thông tin riêng, tránh b xâm ph#m b(i các

ngưNi dùng bt kỳ trên máy tính ca b#n

2.Tính chính xác – Information Accuracy

Tính chính xác (Information Accuracy)

Các vn đI đm bo xác thc xut x! và tính trung thc

(authenticity and fidelity) ca thông tin, và xác đnh các trách

nhim vI các lfi trong thông tin làm nguy h#i ngưNi khác

NguTn lUi

Các lfi trong kGt xut ca máy tính có thV bQt nguKn tg 2

nguKn là:

• LUi kW thut – lfi gii thu/t, truyIn thông và/hay quá

trình x) lý khi nh/n, x) lý, lưu tr0, và trình bày thông tin

• LUi do con ngưXi – do ngưNi nh/p d0 liu vào h thng

thông tin gây ra

3.Tài s8n thông tinY Information Property

Tài s8n thông tin (Information property)

Tài sn thông tin liên quan đGn vic ai s( h0u thông tin

và thông tin có thV đưFc bán và trao đ^i như thG nào?

Ví d

Ai là ngưNi s( h0u thông tin đưFc lưu tr0 trong hàng ngàn

cơ s( d0 liu b(i ngưNi bán ln, công ty nghiên c!u tiGp th?

Các công ty lưu tr0 cơ s( d0 liu vI khách hàng và

nh0ng ngưNi đăng ký là ngưNi s( h0u thông tin, hZ đưFc

t do buôn bán

3.Tài s8n thông tinY Information Property

Quy;n s[ h\u thông tin (Information Ownership)

Thu;c vI các t^ ch!c lưu tr0 thông tin nGu nó đưFc chuyVn

giao T ngay c khi “không nhn thc” do s) d+ng các sites

đó (e.g. kho sát trc tuyGn)

Đi;u l/ riêng tư (Privacy Statements )

ĐưFc các t^ ch!c thu th/p thông tin nêu ra và cách th!c

s) d+ng chúng. VI pháp lý có 2 lo#i

• Internal Use – chq dùng trong ph#m vi t^ ch!c

• External Use – có thV bán ra bên ngoài

4. Quy;n truy xu<t thông tin

Quy;n truy xu<t thông tin (Information Accessibility)

Các vn đI liên quan đGn vic cá nhân/ t^ ch!c có quyIn

thu th/p nh0ng thông tin gì ca ngưNi khác và cách th!c

s) d+ng chúng

Ai có quy;n?

• Bn thân cá nhân/ t^ ch!c

• Chính ph – s) d+ng các phsn mIm tiên tiGn (e.g

Carnivore), kiVm soát t!c thNi ho7c sau đó các lưu

lưFng email, và tt c các ho#t đ;ng lên m#ng

• NgưNi thuê – có quyIn (trong ph#m vi gi3i h#n) giám

sát, ho7c truy xut các ho#t đ;ng trên các máy tính hay

m#ng ca công ty khi hZ đã công b chính sách đó v3i

nhân viên

5. Hành vi đ$o đ'c

• Trong thNi đ#i Internet, ngoài pháp chG đi

v3i t;i ph#m máy tính, tính riêng tư và bo m/t

còn có các chuJn mc vI đ#o đ!c.

• NhiIu doanh nghip đ7t ra qui tQc cho vic s)

d+ng công ngh thông tin và các h thng máy

tính m;t cách có đ#o đ!c.

• NhiIu t/p đoàn máy tính chuyên nghip cũng

đ7t ra nh0ng qui tQc đ#o đ!c cho các doanh

nghip thành viên.

Qun tr H thng thông tin

5. Hành vi đ$o đ'c

• Hsu hGt trưNng đ#i hZc và nhiIu h thng

trưNng hZc c;ng đKng đã đI ra nh0ng qui tQc cho

sinh viên, các khoa, các phòng ban và nhân viên

vI đ#o đ!c s) d+ng máy tính.

• Hsu hGt t^ ch!c và trưNng hZc đ;ng viên tt c

ngưNi dùng h thng hành đ;ng có trách nhim,

đ#o đ!c, và hFp pháp.

5. Hành vi đ$o đ'c

• Nh0ng hành vi csn ngăn ch7n:

S) d+ng máy tính đV h#i ngưNi khác

Gây cn tr( công vic trên máy tính ca ngưNi

khác

Tò mò các t/p tin (files) ca ngưNi khác

Sao chép và s) d+ng phsn mIm không có bn

quyIn

S) d+ng tài nguyên máy tính ca ngưNi khác mà

chưa đưFc cp quyIn

5. Hành vi đ$o đ'c

• Nh0ng hành vi đưFc khuyGn khích:

Nên suy nghĩ vI nh hư(ng xã h;i ca nh0ng

chương trình mà đang viGt và các h thng

đang thiGt kG.

S) d+ng máy tính theo cách có cân nhQc và tôn

trZng ngưNi khác.

II. Hành vi ph$m ti trên máy tính

1. Các hành vi truy xu<t b<t hMp pháp

2. Hacking và Craking

3. Các hình th'c ti ph$m

4. B8n quy;n phSn m;m

5. Virus máy tính

1. Hành vi truy xu<t b<t hMp pháp

S) d+ng máy tính đV thc hin các hành vi không hFp

pháp như:

• ThEc hi/n hành vi ph$m ti trên máy tính (e.g đăng

nh/p vào h thng máy tính nhwm xâm h#i đGn máy

tính ho7c d0 liu lưu tr0 trong máy đó)

• Dùng máy tính đg ph$m ti

(e.g. ly cQp s thn tín d+ng trong CSDL ca t^ ch!c)

• Sh dng máy tính đg hU trM các hành vi ph$m ti

(e.g. lưu thông tin vI các giao dch bt hFp pháp)

2. Hacking và Cracking

Hackers

Thu/t ng0 dùng mô t ngưNi truy c/p trái phép vào máy

tính đV tìm hiVu vI các máy tính đó.

• Ra đNi đV mô t các sinh viên ca MIT tìm cách truy

c/p mainframes trong nh0ng năm 1960s

• Hin nay đưFc dùng ph^ biGn đV chq vic giành quyIn

truy c/p trái phép v3i mZi lý do

Crackers

Thu/t ng0 mô t nh0ng ngưNi đ;t nh/p h thng máy

tính v3i ý đK xâm h#i ho7c thc hin hành vi ph#m t;i.

• Phá ho#i d0 liu

• Đánh cQp thông tin

Qun tr H thng thông tin

3. Các hình th'c ti ph$m

Có nhi;u hình th'c ti ph$m:

– S) d+ng máy tính đV đánh cQp tiIn, tài sn ho7c

lga g#t tiIn ca ngưNi khác. Ví d+: qung cáo

hàng gim giá trên trang Web đu giá, nh/n đơn

hàng và thanh toán sau đó g)i hàng kém cht

lưFng.

– Đánh cQp và thay đ^i thông tin.

– Đánh cQp thông tin ho7c phá hư h thng máy tính

sau đó tng tiIn n#n nhân.

3. Các hình th'c ti ph$m

Có nhi;u hình th'c ti ph$m:

– Nh0ng tên khng b công ngh (Technozterrorists) cài

đ7t các chương trình phá hy vào h thng máy tính

sau đó đe dZa và tng tiIn n#n nhân.

– Hình th!c t;i ph#m phát tán virus làm phá ho#i h

thng máy tính ho7c ngăn ch7n dch v+ trên trang web.

– Vic s) d+ng Internet làm phát sinh nhiIu hình th!c t;i

ph#m như xut hin các trang web có n;i dung không

lành m#nh (phn đ;ng, đKi tr+y,T)

4. B8n quy;n phSn m;m

• Nh0ng ngưNi phát triVn và sn xut phsn mIm

mun bán đưFc càng nhiIu bn sn phJm ca hZ

càng tt.

• NgưNi bán không mun bt c! ai đó mua 1 bn

phsn mIm sau đó nhân ra thành nhiIu bn và bán

l#i cho ngưNi khác.

• Nhà cung cp cũng bi quan vI kh năng các công

ty mua 1 bn phsn mIm !ng d+ng sau đó t#o ra

nhiIu bn và phân phi cho nhân viên.

4. B8n quy;n phSn m;m

Tình hình vi ph$m b8n quy;n (2008)

5. Virus máy tính

Viruses

Các chương trình phá ho#i ho#t đ;ng bình thưNng ca h

thng máy tính bwng các hành vi ác ý gây nguy h#i ho7c

phá hy các t/p tin trên máy b nhi{m. Các lo#i virus:

• Boot Sector – nhi{m vào phsn đĩa dùng đV kh(i đ;ng.

• File Infector – nhi{m vào files như .doc, .exe, T

• Combination – có kh năng hoán đ^i gi0a boot và file

đV đánh lga các trình dit virus

• Attachment – lây theo ezmail khi m( file đính kèm

(attachment). Có kh năng t g)i theo đa chq

Worms

Đo#n mã phá ho#i có kh năng nhân bn và lan r;ng trên

m#ng máy tính. Nó gây nguy h#i bwng cách nhi{m vào b;

nh3 làm h thng ho#t đ;ng ch/m thay vì phá hy t/p tin

5. Virus máy tính

Trojan Horses

Các chương trình này không có kh năng nhân bn nhưng có

thV gây nguy h#i bwng cách ch#y Jn các chương trình trên máy

b nhi{m (i.e m;t s game t t#o account trên máy đV truy c/p

trái phép)

Logic or Time Bombs

BiGn thV Trojan Horse (không nhân bn và Jn mình)

đưFc thiGt kG đV chN s kin kích ho#t. (i.e. nhân

viên l/p trình s} phá ho#i khi hZ nghq vic)

• Time Bombs – kích ho#t b(i thNi gian (e.g. sinh nh/t)

• Logic Bombs – kích ho#t b(i tác v+ nào đó (e.g. nh/p

m/t khJu nào đó)

Qun tr H thng thông tin

5. Virus máy tính

Virus phát tán theo cách:

1. Hacker t#o virus và đính kèm nó vào chương trình ho7c

t/p tin trên Website.

2. NgưNi dùng ti vI nghĩ rwng đó là t/p tin ho7c chương

trình bình thưNng. Khi ti xong, nó nhi{m vào các t/p

tin và chương trình khác trên máy tính.

3. NgưNi dùng g)i mail, chia sn t/p tin ch!a virus cho

nhiIu b#n bè, đKng nghip.

4. Virus phán tán m;t cách nhanh chóng thông qua

Internet.

III. An ninh h/ th0ng thông tin

1. Các bi/n pháp qu8n trP an toàn

2. Các higm ha v; an ninh và kW thut phòng ch0ng

1. Các bi/n pháp qu8n trP an toàn

An ninh trong h/ th0ng thông tin

Các bin pháp phòng ngga gi0 cho tt c các lĩnh vc ho#t

đ;ng h thng thông tin đưFc an toàn kh•i các hành vi truy

c/p trái phép

Các bin pháp

KiVm soát

truy xut

Qun tr ri ro

Chính sách và

th t+c an ninh

Sao lưu và

ph+c hKi

1. Các bi/n pháp qu8n trP an toàn

Qu8n trP rFi ro

• Kigm toán m'c đ an ninh nh/n d#ng mZi lĩnh vc h

thng thông tin và các quá trình kinh doanh

• Phân tích rFi ro xác đnh giá tr tài sn đang đưFc bo v

• Các phương án da trên phân tích ri ro

z Gi8m thigu rFi ro – hin thc các phương án tích cc đV

bo v h thng (e.g. firewalls)

z Ch<p nhn rFi ro – không csn bin pháp phòng chng

z Chuygn đNi rFi ro – (e.g. mua bo hiVm)

Kigm soát truy xu<t

Đm bo an toàn bwng cách chq cho phép truy xut nh0ng gì

csn đV làm vic (ti thiVu)

• Xác thc (Authentication) – xác thc nhân thân trư3c khi

truy xut

• KiVm soát truy xut (Access Control)– Cp quyIn chq nh0ng

lĩnh vc mà ngưNi dùng có quyIn (e.g. accout)

1. Các bi/n pháp qu8n trP an toàn

10/30/2011

Các thF tc và chính sách

Tài liu chính th!c vI cách th!c s) d+ng, m+c tiêu và các x)

lý khi không phù hFp

Sao lưu và phc hTi

• Sao lưu – đnh kỳ sao chép d phòng các d0 liu h thng

thiGt yGu và lưu vào nơi an toàn (e.g. backup tape)

• Ho$ch đPnh phc hTi sE c0 – các th t+c chi tiGt đưFc

dùng đV khôi ph+c kh năng truy xut đGn các h thng

ch yGu (e.g. viruses hay h•a ho#n)

• Phc hTi sE c0 – thc hin các th t+c ph+c hKi bwng

cách dùng công c+ backup đV ph+c hKi h thng vI tr#ng

thái gsn nht trư3c khi nó b t^n tht

2.Higm ha an ninh & kW thut phòng ch0ng

10/30/2011

Higm ha an ninh

• M$o danh (Identity Theft)

• Tr ch0i phc v (Denial of Service) – tn công các

websites qua các máy “zombie” làm tràn site  shuts

down không ho#t đ;ng

• Khác: Spyware, Spam, Wireless Access, Viruses

KW thut phòng ch0ng

Ph^ biGn gKm:

• B!c tưNng l)a – Firewalls

• Sinh trQc hZc (Biometrics)

• M#ng riêng o và mã hóa

Bài giảng Quản trị hệ thống thông tin: Chương 7 - Huỳnh Phước Hải

Chủ đề:

Tài liệu liên quan

Tài liêu mới

AI tóm tắt

Giới thiệu tài liệu

Đối tượng sử dụng

Từ khoá chính

Nội dung tóm tắt

Hỗ trợ

Phương thức thanh toán

Theo dõi chúng tôi