Luận văn nghiên cứu giải pháp đánh giá hệ thống an toàn thông tin
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.78 MB, 135 trang )
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
*********
VŨ THU UYÊN
l
l
NGHIÊN CỨU GIẢI PHÁP ĐÁNH GIÁ HỆ THỐNG
AN TOÀN THÔNG TIN
l
é
l
l
l
l
LUẬN VĂN THẠC SĨ
l
l
Hà Nộ i – 2011
l
z
l
l
VŨ THU UYÊN
l
l
NGHIÊN CỨU GIẢI PHÁP ĐÁNH GIÁ HỆ THỐNG
AN TỒN THƠNG TIN
l
é
l
l
l
l
l
l
l
N gà nh: Cơ n g n ghệ thô n g t i n
c
p
p
c
p
c
v
p
c
v
z
p
Ch u yê n n gà nh: Cô n g N ghệ Phầ n
h
m
p
p
c
p
p
c
l
c
p
Mềm Mã số: 60.48.10
k
l
k
l
LUẬN VĂN THẠC SĨ
l
l
l
NGƯỜI HƯỚ NG DẪ N KHOA HỌC: PSG.TS N g u yễ n Hữ u N gự
l
l
l
Hà Nộ i – 2011
l
z
c
h
m
p
h
l
c
1
MỤC LỤC
k
k
k
MỤC LỤC HÌNH........................................................................................................3
l
MỤC LỤC BẢNG........................................................................................................5
l
DANH MỤC TÊN VIẾT TẮT....................................................................................6
l
k
k
l
MỞ ĐẦU...................................................................................................................... 7
é
I. Lý do chọ n đề tà i.................................................................................................7
g
3
p
p
v
z
II. Lị ch sử vấ n đề.....................................................................................................7
3
l
i
p
p
III. Mụ c đí ch, nh iệm vụ n gh iê n cứ u.....................................................................8
k
3
p
3
p
z
l
i
p
c
z
p
3
h
IV. Phươ n g phá p n gh iê n cứ u.................................................................................8
p
c
s
s
p
c
z
p
3
h
CHƯƠ NG 1: TỔNG QUAN.......................................................................................9
l
l
l
1.1. Tổ n g q u a n về hệ thố n g thô n g t i n...................................................................9
p
c
h
x
p
i
v
p
c
v
p
c
v
z
p
1.1.1. Khá i n iệm....................................................................................................9
z
p
z
l
1.1.2. Cá c thà nh phầ n củ a hệ thố n g thô n g t i n......................................................9
3
v
p
s
p
3
x
v
p
c
v
p
c
v
z
p
1.1.3. Cá c đ iểm yế u t ro n g hệ thố n g thô n g t i n......................................................9
3
p
z
l
m
h
v
e
p
c
v
p
c
v
p
c
v
z
p
1.2. Cá c vấ n đề ch u n g a n tồ n thơ n g t i n............................................................13
3
i
p
p
3
h
p
c
x
p
v
p
v
p
c
v
z
p
1.2.1. A n tồ n thơ n g t i n là gì?............................................................................13
p
v
p
v
p
c
v
z
p
y
c
1.2.2. Cá c yê u cầ u a n tồ n thơ n g t i n..................................................................13
3
m
h
3
h
x
p
v
p
v
p
c
v
z
p
1.2.3. Cá c phươ n g phá p bảo vệ a n tồ n thơ n g t i n..............................................14
3
s
p
c
s
s
@
i
x
p
v
p
v
p
c
v
z
p
1.2.4. Mộ t số g iả i phá p khắ c phụ c đ iểm yế u......................................................14
k
v
l
c
z
z
s
s
o
3
s
3
p
z
l
m
h
1.3. G iớ i th iệ u về cá c t iê u ch uẩ n đá nh g iá hệ thố n g a n tồ n thơ n g t i n..........16
z
z
v
z
h
i
3
3
v
z
h
3
h
p
p
p
c
z
v
p
c
x
p
v
p
v
p
c
v
z
p
1.3.1. Ch uẩ n a n tồ n thơ n g t i n............................................................................16
h
p
x
p
v
p
v
p
c
v
z
p
1.3.2. Cá c t iê u ch uẩ n đá nh g iá a n tồ n thơ n g t i n...............................................17
3
v
z
h
3
h
p
p
p
c
z
x
p
v
p
v
p
c
v
z
p
CHƯƠ NG 2: ĐỀ XUẤT GIẢI PHÁP ĐÁNH GIÁ HỆ THỐNG AN TỒN
THƠNG TIN..............................................................................................................26
l
é
l
é
l
l
l
l
l
2.1. T iê u ch uẩ n ch u n g Commo n C r i t e r i a - CC.................................................26
z
h
3
h
p
3
h
p
c
l
l
p
e
z
v
e
e
z
x
2.1.1. Khá i n iệm và mơ hì nh ch u n g củ a CC.......................................................26
z
p
z
l
i
l
p
3
h
p
c
3
x
2.1.2. Nhữ n g yê u cầ u chứ c nă n g a n toà n SFR...................................................36
l
p
c
m
h
3
h
3
3
p
p
c
x
p
v
p
2.1.3. Nhữ n g yê u cầ u đảm bảo a n toà n SAR.....................................................42
l
p
c
m
h
3
h
p
l
@
x
p
v
p
2.1.4. Nhữ n g mứ c đảm bảo đá nh g iá (EALs).....................................................47
l
p
c
l
3
p
l
@
p
p
c
z
l
2.1.5. Nộ i d u n g ch uẩ n củ a PP.............................................................................49
l
z
g
h
p
c
3
h
p
3
x
2.1.6. Lớ p đảm bảo đá nh g iá Hồ sơ bảo vệ APE và yê u cầ u củ a EAL4............53
s
p
l
@
p
p
c
z
l
@
i
i
m
h
3
h
3
x
2
2.2. Phươ n g phá p l uậ n cho đá nh g iá a n toà n - CE M........................................57
p
c
s
s
y
h
p
3
p
p
c
z
x
p
v
p
k
2.2.1. Mố i q u a n hệ CE M và CC..........................................................................57
k
z
h
x
p
k
i
2.2.2. Sơ đồ tổ n g q uá t cho đá nh g iá....................................................................58
p
v
p
c
h
v
3
p
p
c
z
2.2.3. CE M hướ n g dẫ n đá nh g iá lớ p đảm bảo APE...........................................60
k
p
c
g
p
p
p
c
z
y
s
p
l
@
CHƯƠ NG 3: ỨNG DỤNG GIẢI PHÁP ĐÁNH GIÁ HỆ THỐNG AN TỒN
THƠNG TIN..............................................................................................................72
l
l
l
l
é
l
l
l
l
l
3.1. Á p dụ n g CC đá nh g iá th iế t bị FIREWALL/VP N củ a NOKIA sử dụ n g
g iả i phá p CHECKPOINT VPN-1/FIREWALL-1..............................................72
s
c
z
z
g
p
s
c
p
p
c
s
z
v
z
v
l
@
l
3
x
l
l
g
p
c
l
3.1.1. Khá i q uá t ch u n g về F i r eW a l l/VPN No k i a...............................................72
z
h
v
3
h
p
c
i
z
e
e
x
y
y
l
l
o
z
x
3.1.2. Á p dụ n g CC vào đá nh g iá th iế t bị F i r ew a l l/VPN củ a No k i a..................76
s
g
p
c
i
p
p
c
z
v
z
v
@
z
e
e
x
y
y
l
3
x
l
o
z
x
3.2. Đá nh g iá hệ thố n g a n tồ n thơ n g q u a cá c đ iểm yế u................................124
é
p
c
z
v
p
c
x
p
v
p
v
p
c
h
x
3
3
p
z
l
m
h
KẾT LUẬN..............................................................................................................131
l
TÀI LIỆU THA M KHẢO.......................................................................................132
k
k
MỤC LỤC HÌNH
l
Hì nh 1. 1: Mơ hì nh PDCA á p dụ n g cho q uá t rì nh xử lý IS MS.......................................19
p
k
p
s
g
p
c
3
h
v
e
p
p
y
k
Hì nh 1. 2: Sơ đồ lị ch sử phá t t r iể n củ a CC.....................................................................20
p
p
y
3
l
s
v
v
e
z
p
3
x
Hì nh 2. 1: Đặ c tả đố i tượ n g q u a nh CC............................................................................27
p
é
3
v
p
z
v
p
c
h
x
p
Hì nh 2. 2: Mố i q u a n hệ PP, ST và TOE...........................................................................29
p
k
z
h
x
p
i
Hì nh 2. 3:Sơ đồ mơ i t rườ n g phá t t r iể n và sử dụ n g..........................................................31
p
p
l
z
v
e
p
c
s
v
v
e
z
p
i
l
g
p
c
Hì nh 2. 4: Phâ n tí ch để đư a r a mụ c t iê u a n tồ n.............................................................32
p
p
v
3
p
p
x
e
x
l
3
v
z
h
x
p
v
p
Hì nh 2. 5: Mơ hì nh đư a r a mứ c đá nh g iá.........................................................................33
p
k
p
p
x
e
x
l
3
p
p
c
z
Hì nh 2. 6: Phâ n Lớ p, Họ, Thà nh phầ n, Phầ n tử và Gó i...................................................34
p
p
s
p
s
p
p
v
i
z
Hì nh 2. 7: Nhữ n g chủ thể, th ao tá c, đố i tượ n g................................................................35
p
l
p
c
3
v
v
x
v
3
p
z
v
p
c
Hì nh 2. 8: Mơ hì nh tổ n g q uá t củ a CC..............................................................................35
p
k
p
v
p
c
h
v
3
x
Hì nh 2. 9: Cá ch bố t rí lớ p chứ c nă n g..............................................................................36
p
3
@
v
e
y
s
3
3
p
p
c
Hì nh 2. 10: Phâ n cấ p lớ p k iểm tố n.................................................................................37
p
p
3
s
y
s
o
z
l
v
p
Hì nh 2. 11: Phâ n cấ p lớ p l iê n lạ c.....................................................................................37
p
p
3
s
y
s
y
z
p
y
3
Hì nh 2. 12: Phâ n cấ p lớ p bảo vệ dữ l iệ u..........................................................................38
p
p
3
s
y
s
@
i
g
y
z
h
Hì nh 2. 13: Phâ n cấ p lớ p hỗ t rợ mậ t mã..........................................................................38
p
p
3
s
y
s
v
e
l
v
l
Hì nh 2. 14: Phâ n cấ p lớ p đị nh d a nh và xá c thự c.............................................................39
p
p
3
s
y
s
p
p
g
x
p
i
p
3
v
3
Hì nh 2. 15: Phâ n cấ p lớ p q uả n lý a n tồ n........................................................................39
p
p
3
s
y
s
h
p
y
x
p
v
p
Hì nh 2. 16: Phâ n cấ p lớ p r iê n g tư....................................................................................40
p
p
3
s
y
s
e
z
p
c
v
Hì nh 2. 17: Phâ n cấ p lớ p chứ c nă n g a n tồ n...................................................................40
p
p
3
s
y
s
3
3
p
p
c
x
p
v
p
Hì nh 2. 18: Phâ n cấ p lớ p sử dụ n g tà i n g u yê n.................................................................41
p
p
3
s
y
s
l
g
p
c
v
z
p
c
h
m
p
Hì nh 2. 19: Phâ n cấ p lớ p t r u y cập...................................................................................41
p
p
3
s
y
s
v
e
h
m
3
s
Hì nh 2. 20: Phâ n cấ p lớ p t u yế n/ kê nh t i n.........................................................................41
p
p
3
s
y
s
v
h
m
p
o
p
v
z
p
Hì nh 2. 21: Cá ch bố t rí lớ p chứ c nă n g............................................................................42
p
3
@
v
e
y
s
3
3
p
p
c
Hì nh 2. 22: Phâ n cấ p lớ p q uả n lý cấ u hì nh......................................................................43
p
p
3
s
y
s
h
p
y
3
h
p
Hì nh 2. 23: Phâ n cấ p lớ p đảm bảo vậ n hà nh...................................................................43
p
p
3
s
y
s
p
l
@
i
p
p
Hì nh 2. 24: Phâ n cấ p lớ p đảm bảo phá t t r iể n..................................................................44
p
p
3
s
y
s
p
l
@
s
v
v
e
z
p
Hì nh 2. 25: Phâ n cấ p lớ p đảm bảo tà i l iệ u hướ n g dẫ n....................................................44
p
p
3
s
y
s
p
l
@
v
z
y
z
h
p
c
g
p
Hì nh 2. 26: Phâ n cấ p lớ p đảm bảo hỗ t rợ vị n g đờ i.........................................................45
p
p
3
s
y
s
p
l
@
v
e
i
p
c
p
z
Hì nh 2. 27: Phâ n cấ p lớ p đảm bảo k iểm đị nh.................................................................45
p
p
3
s
y
s
p
l
@
o
z
l
p
p
Hì nh 2. 28: Phâ n cấ p lớ p đảm bảo đá nh g iá tổ n thươ n g.................................................46
p
p
3
s
y
s
p
l
@
p
p
c
z
v
p
v
p
c
Hì nh 2. 29: Phâ n cấ p lớ p đảm bảo đá nh g iá PP...............................................................46
p
p
3
s
y
s
p
l
@
p
p
c
z
Hì nh 2. 30: Phâ n cấ p lớ p đảm bảo đá nh g iá ST..............................................................47
p
p
3
s
y
s
p
l
@
p
p
c
z
Hì nh 2. 31: Nhữ n g mứ c đá nh g iá.....................................................................................47
p
l
p
c
l
3
p
p
c
z
Hì nh 2. 32: Nộ i d u n g củ a PP...........................................................................................50
p
l
z
g
h
p
c
3
x
Hì nh 2. 33: Mơ hì nh phâ n tí ch lớ p APE..........................................................................53
p
k
p
s
p
v
3
y
s
Hì nh 2. 34: So sá nh lớ p APE củ a CC 3.1 và CC 2.3........................................................70
p
l
p
y
s
3
x
i
Hì nh 2. 35: Mố i q u a n hệ g iữ a CC và CE M.....................................................................57
p
k
z
h
x
p
c
z
x
i
k
Hì nh 2. 36: Cá c nh iệm vụ đá nh g iá.................................................................................58
p
3
p
z
l
i
p
p
c
z
Hì nh 2. 37: Nộ i d u n g củ a báo cáo kỹ th uậ t.....................................................................59
p
l
z
g
h
p
c
3
x
@
3
o
v
h
v
k
MỤC LỤC BẢNG
l
Bả n g 1: Nhữ n g thà nh phầ n đảm bảo a n toà n mứ c EAL4...............................................55
p
c
l
p
c
v
p
s
p
p
l
@
x
p
v
p
l
3
Bả n g 2: Cá c yê u cầ u chứ c nă n g a n toà n TOE................................................................87
p
c
3
m
h
3
h
3
3
p
p
c
x
p
v
p
Bả n g 3: Cá c thà nh phầ n đảm bảo TOE...........................................................................99
p
c
3
v
p
s
p
p
l
@
Bả n g 4: Cá c yê u cầ u chứ c nă n g a n toà n cho mô i t rườ n g IT..........................................99
p
c
3
m
h
3
h
3
3
p
p
c
x
p
v
p
3
l
z
v
e
p
c
Bả n g 5: Sơ đồ cá c mụ c t iê u cơ sở.................................................................................107
p
c
p
3
3
l
3
v
z
h
3
l
Bả n g 6: Sơ đồ cá c yê u cầ u cơ sở TOE..........................................................................111
p
c
p
3
3
m
h
3
h
3
l
Bả n g 7: Sơ đồ cá c yê u cầ u cơ sở mô i t rườ n g IT..........................................................113
p
c
p
3
3
m
h
3
h
3
l
l
z
v
e
p
c
Bả n g 8: Sơ đồ cá c phụ th uộ c CC P a r t 2........................................................................116
p
c
p
3
3
s
v
h
3
x
e
v
Bả n g 9: Sơ đồ tóm tắ t cá c đặ c đ iểm kỹ th uậ t cơ sở TOE............................................124
p
c
p
v
l
v
v
3
3
p
3
p
z
l
o
v
h
v
3
l
DANH MỤC TÊN VIẾT TẮT
l
k
l
CC
Commo n C r i t e r i a
CE M
Commo n M e tho do lo g y fo r I nfo rm a t io n S e c u r i t y Ev a l u a t io n
EAL
Ev a l u a t io n Ass u r a n c e L ev e l
ETR
Ev a l u a t io n T e ch n i c a l R e po r t
IPS
I n t r us io n P r ev e n t io n S ys t em
IT
I nfo rm a t io n T e ch no lo g y
LDAP
L i gh tw e i gh t D i r e c to r y A c c ess P ro to co l
OR
O bs e rv a t io n R epo r t
PP
P ro t e c t io n P rof i l e
SF
S e c u r i t y F u n c t io n
SFP
S e c u r i t y F u n c t io n Po l i c y
SIC
S e c u r e I n t e r n a l Comm u n i c a t io n
SOF
S t r e n g th of F u n c t io n
ST
Se curit y T arge t
TOE
T a r g e t of E v a l u a t io n
TSC
TSF S co p e of Co n t ro l
TSF
TOE S e c u r i t y F u n c t io ns
TSFI
TSF I n t e rf a c e
TSP
TOE S e c u r i t y Po l i c y
URL
U n iv e rs a l R eso u r c e Lo c a to r
VPN
V i r t u a l P e rso n a l N e two r k
k
l
l
l
i
l
x
i
y
x
p
v
e
x
h
h
l
l
e
e
v
e
3
e
e
e
p
3
h
e
z
e
v
x
z
e
v
h
e
s
e
x
e
v
x
h
x
z
3
v
e
z
h
x
v
l
3
e
z
l
3
p
e
h
p
z
3
x
y
l
h
p
x
l
v
y
3
v
z
z
e
y
3
l
3
p
l
m
e
3
e
v
p
e
v
l
e
m
p
v
h
m
e
e
3
p
z
z
m
e
v
y
e
z
v
l
v
m
3
x
v
y
p
e
3
l
y
h
e
y
e
l
y
e
v
m
l
e
3
v
x
e
e
s
l
c
v
y
e
e
m
p
p
c
y
i
e
p
z
x
x
e
p
e
z
v
p
i
e
e
3
e
v
p
i
e
m
e
z
p
e
y
e
y
e
p
3
s
v
h
3
p
3
v
e
c
v
e
z
p
3
p
e
m
3
z
3
e
h
v
c
p
z
p
e
m
p
c
e
p
x
p
z
p
e
i
y
e
3
e
h
x
h
v
m
v
l
p
z
z
v
z
e
e
x
z
e
h
e
v
e
c
v
z
g
e
z
z
x
3
h
3
v
e
h
3
e
v
e
l
e
e
i
e
v
p
x
e
e
p
v
v
p
z
z
z
k
z
v
l
c
@
v
x
e
z
e
p
h
y
p
l
p
x
e
v
o
e
z
p
v
3
y
3
h
e
z
v
m
i
x
y
h
x
v
z
p
k
MỞ ĐẦU
é
I. Lý do chọ n đề tà i
g
3
p
p
v
z
1. Nh u cầ u ứ n g dụ n g cô n g n ghệ thô n g t i n vào cá c lĩ nh vự c đờ i số n g là rấ t rộ n g rã i.
l
h
3
h
p
c
g
p
c
3
p
c
p
c
v
p
c
v
z
p
i
3
3
y
p
i
3
p
z
l
p
c
y
e
v
e
p
c
e
z
2. V iệ c đảm bảo a n toà n và a n tồ n thơ n g t i n là yê u cầ u hà n g đầ u đố i vớ i cá c cơ
q u a n, do a nh n ghiệ p, …
z
h
x
3
p
p
l
g
x
@
x
p
p
p
c
v
z
p
i
x
p
v
p
v
p
c
v
z
p
y
m
h
3
h
p
c
p
h
p
z
i
z
3
3
3
s
3. Cầ n phả i á p dụ n g cá c g iả i phá p a n toà n a n toà n thô n g t i n, nhấ t là nắm đượ c
cá c đ iểm yế u củ a hệ thố n g a n tồ n thơ n g t i n
p
3
3
p
s
z
z
l
s
m
g
h
3
c
3
x
3
c
v
z
p
z
c
s
x
s
p
x
v
p
p
v
p
v
p
x
c
v
z
p
v
p
v
p
c
v
z
p
p
v
y
p
l
p
3
p
Vì nhữ n g lý do t rê n tô i chọ n đề tà i “N ghiê n cứ u g iả i phá p đá nh g iá hệ
thố n g a n toà n thơ n g t i n” mo n g gó p phầ n vào v iệ c đề x uấ t r a mộ t số b iệ n phá p và
g iả i phá p đá nh g iá hệ thố n g a n tồ n thơ n g t i n mộ t cá ch phù hợ p để tă n g độ a n toà n
và a n tồ n thơ n g t i n t ro n g hệ thố n g và cá c sả n phẩm CNTT.
p
v
p
c
i
p
z
c
z
x
p
s
x
v
s
p
p
y
p
p
v
c
v
p
p
g
p
c
v
p
v
c
v
z
z
e
p
p
v
z
p
v
p
e
z
l
v
c
v
p
3
p
c
x
c
c
p
c
p
p
s
v
s
p
v
p
v
p
v
c
z
p
i
c
i
c
3
l
i
v
3
z
p
l
z
l
p
z
p
3
p
v
3
p
3
s
h
c
h
3
z
v
z
e
x
s
l
s
l
s
v
s
p
l
p
@
p
v
c
z
p
p
c
z
s
s
p
x
p
i
v
p
l
II. Lị ch sử vấ n đề
3
l
i
p
p
Vấ n đề a n toà n, a n n i nh thô n g t i n khô n g mớ i như n g cà n g n gà y cà n g t rở nê n
q u a n t rọ n g cù n g vớ i sự phá t t r iể n th eo ch iề u rộ n g và ch iề u sâ u củ a xã hộ i thô n g t i n.
Kh i nó i đế n a n tồ n thơ n g t i n (ATTT), đ iề u đầ u t iê n n gườ i t a thườ n g n ghĩ đế n là
xâ y dự n g tườ n g lử a (F i r ew a l l) hoặ c mộ t cá i gì đó tươ n g tự để n gă n chặ n cá c c uộ c
tấ n cô n g và xâm nhậ p bấ t hợ p phá p. Cá ch t iếp cậ n như vậ y khơ n g hồ n tồ n đú n g
vì bả n chấ t ATTT khơ n g đơ n th uầ n chỉ là sử dụ n g mộ t số cô n g cụ hoặ c mộ t và i g iả i
phá p nào đó mà để đảm bảo ATTT cho mộ t hệ thố n g cầ n có mộ t cá i nhì n tổ n g q uá t
và kho a họ c hơ n.
p
h
x
p
v
z
p
m
v
p
e
i
z
g
p
3
c
x
v
c
p
i
p
y
p
z
s
v
l
x
p
3
e
p
p
p
v
v
c
v
e
x
@
o
p
z
v
v
p
p
s
x
l
p
l
p
c
p
x
z
v
p
i
p
o
p
p
v
3
s
x
p
c
p
s
c
p
p
@
i
p
p
3
p
e
z
p
y
y
p
v
v
z
p
e
o
3
3
s
p
l
z
c
p
z
h
p
v
c
p
s
p
l
s
v
h
p
3
3
z
@
3
s
l
v
z
p
v
p
p
c
v
v
p
c
p
x
3
p
p
c
c
v
3
z
3
3
v
p
3
h
3
p
z
p
p
y
p
i
v
z
p
p
l
p
v
p
v
p
p
c
c
p
3
e
p
p
c
v
v
p
3
3
l
c
z
p
p
c
3
p
o
p
m
v
p
m
c
x
p
3
3
p
3
v
v
l
c
h
z
i
l
p
l
c
p
c
3
h
p
p
c
z
v
3
g
p
3
p
z
p
i
h
c
l
z
c
p
v
y
p
h
3
l
e
z
v
c
c
c
z
c
z
h
v
p
Khô n g thể đảm bảo a n tồ n 100% cho hệ thố n g thơ n g t i n, như n g t a có thể
g iảm bớ t cá c rủ i ro khô n g mo n g m uố n dướ i tá c độ n g từ mọ i phí a củ a cá c lĩ nh vự c
hoạ t độ n g k i nh tế xã hộ i. Kh i cá c tổ chứ c, đơ n vị t iế n hà nh đá nh g iá nhữ n g rủ i ro và
câ n nhắ c kỹ nhữ n g b iệ n phá p đố i phó về ATTT, họ l uô n l uô n đ i đế n kế t l uậ n:
nhữ n g g iả i phá p cô n g n ghệ ( kỹ th uậ t) đơ n lẻ khô n g thể c u n g cấp đủ sự a n toà n.
Nhữ n g sả n phẩm A n t i- v i r us, F i r ew a l ls và cá c cô n g cụ khá c khô n g thể c u n g cấ p sự
a n toà n cầ n th iế t cho hầ u hế t cá c tổ chứ c. ATTT là mộ t mắ t xí ch l iê n kế t h a i yế u tố:
yế u tố cô n g n ghệ và yế u tố co n n gườ i.
p
c
z
l
@
v
3
p
p
c
p
p
c
h
o
z
p
v
z
z
p
3
p
p
c
p
v
l
p
c
v
3
z
i
m
3
h
v
3
e
3
p
v
p
3
p
v
y
p
i
p
v
c
c
z
v
y
l
p
i
y
3
3
3
p
3
c
c
y
h
l
h
x
h
p
3
l
c
x
z
3
3
3
z
p
c
z
x
p
v
i
y
p
h
p
3
z
p
v
c
x
3
e
v
l
o
i
e
h
v
p
o
3
p
3
y
p
v
z
x
3
p
c
v
p
s
y
c
p
p
p
p
p
3
p
o
v
p
c
y
3
v
p
p
p
o
z
s
p
v
3
v
z
p
p
c
l
p
o
p
v
y
p
3
c
p
i
h
x
v
p
s
e
3
z
3
z
v
g
3
v
z
p
v
p
l
v
h
h
o
e
3
l
s
h
c
c
3
c
i
p
p
s
p
z
v
z
z
p
l
p
@
3
z
c
p
z
c
s
v
x
p
p
p
s
@
o
v
s
p
l
e
p
z
3
p
e
o
l
v
m
c
c
v
3
3
p
l
3
p
p
p
x
v
c
s
m
l
h
v
z
1. Yế u tố cô n g n ghệ: b ao gồm nhữ n g sả n phẩm như F i r ew a l l, phầ n mềm
phò n g chố n g v i r us, g iả i phá p mậ t mã, sả n phẩm mạ n g, hệ đ iề u hà nh và
nhữ n g ứ n g dụ n g như: t rì nh d u yệ t I n t e r n e t và phầ n mềm nhậ n Em a i l từ
má y t rạm.
h
s
p
p
c
p
l
v
3
3
p
c
m
p
v
p
e
c
c
c
p
i
z
g
c
e
p
@
h
l
c
c
x
z
c
z
p
v
l
s
e
p
s
p
p
l
g
v
h
m
c
l
p
l
s
l
v
p
v
e
l
p
e
p
p
s
e
v
z
l
i
l
p
s
p
e
e
x
y
c
y
s
p
l
l
p
z
h
p
l
l
p
p
l
i
x
z
y
v
l
2. Yế u tố co n n gườ i: Là nhữ n g n gườ i sử dụ n g má y tí nh, nhữ n g n gườ i làm
v iệ c vớ i thô n g t i n và sử dụ n g má y tí nh t ro n g cô n g v iệ c củ a mì nh.
h
i
z
3
v
i
3
z
p
v
p
p
c
c
z
v
z
p
p
i
l
p
g
p
c
c
p
c
l
z
m
v
l
g
p
v
p
e
p
c
c
l
m
3
p
c
v
p
i
p
z
3
p
3
x
c
l
p
c
z
y
l
p
Có lẽ khơ n g mộ t vị lã nh đạo nào dám khẳ n g đị nh nộ i bộ cô n g t y là thự c sự a n
toà n và t i n cậ y. T ro n g bố i cả nh nề n k i nh tế thị t rườ n g như h iệ n n a y, sự cạ nh t r a nh
d iễ n r a
y
v
g
p
z
p
i
e
o
v
x
z
p
p
3
c
m
l
v
e
i
p
y
c
@
p
p
z
3
p
p
p
g
p
o
l
z
p
o
v
p
v
c
p
v
e
p
p
p
c
z
p
@
3
z
p
p
c
p
v
x
m
m
y
l
v
3
3
p
l
x
v
e
x
p
p
g a y gắ t thậm chí g iữ a cá c nhâ n v iê n t ro n g nộ i bộ cô n g t y: t r a nh dà nh khá ch hà n g,
mụ c đí ch thă n g t iế n hoặ c cá c mụ c đí ch khơ n g là nh mạ nh khá c. Ở mộ t số tổ chứ c,
lợ i dụ n g sự lỏ n g lẻo t ro n g q uả n lý về ATTT, nhâ n v iê n đã có nhữ n g hà nh v i bấ t
lươ n g như lấ y cắ p thô n g t i n mậ t, ch iếm đoạ t tà i khoả n khá ch hà n g, ă n cắ p t iề n
thô n g q u a hệ thố n g tí n dụ n g… Th eo thố n g kê, khoả n g 70% cá c rủ i ro về ATTT là
x uấ t phá t từ nộ i bộ t ro n g tổ chứ c. Mộ t t ro n g nhữ n g câ u hỏ i l uô n đượ c đặ t r a t rướ c
cá c nhà lã nh đạo và cá c nhà q uả n t rị thô n g t i n là: “Hệ thố n g thô n g t i n củ a tổ chứ c
a n toà n đế n mứ c độ nào?” Câ u hỏ i nà y là mố i q u a n tâm lớ n nhấ t và cũ n g là vấ n đề
nhạ y cảm nhấ t t ro n g cá c khâ u q uả n lý hệ thố n g thô n g t i n.
c
l
x
m
c
v
3
y
p
z
v
p
p
v
p
p
3
p
l
v
v
i
p
v
v
p
3
p
z
p
p
p
3
3
o
3
z
z
p
@
c
e
v
p
p
p
m
c
v
y
z
z
z
p
c
c
x
v
v
y
p
p
h
p
y
p
e
p
c
v
v
z
i
3
i
3
z
@
s
v
v
z
p
i
3
p
c
3
p
p
p
v
v
c
z
p
l
c
p
e
3
v
p
3
c
o
l
3
z
z
p
3
o
l
c
g
3
h
v
p
p
3
3
p
x
p
v
h
e
c
y
p
v
p
p
z
v
m
o
o
p
p
l
y
v
p
v
p
i
o
c
c
l
p
o
p
p
p
v
c
e
v
z
3
y
p
p
v
v
h
l
v
k
p
h
p
p
e
h
c
o
3
c
p
p
3
v
3
e
i
h
c
v
y
l
p
e
p
3
p
p
v
3
z
l
h
v
c
i
3
c
g
e
p
3
c
p
v
3
p
p
p
c
@
l
e
v
p
p
p
3
3
s
z
p
3
y
3
p
x
p
c
m
v
y
m
p
z
z
v
v
v
v
y
x
p
p
c
y
s
3
x
l
h
c
p
p
c
h
3
c
c
3
v
p
p
l
3
g
y
v
y
p
p
v
e
3
3
x
x
p
v
e
v
c
3
3
y
3
i
p
p
p
T rả lờ i câ u hỏ i nà y thậ t khô n g đơ n g iả n như n g khô n g phả i là khơ n g có câ u t rả lờ i.
Để g iả i đá p vấ n đề t rê n, chủ yế u dự a vào h a i phươ n g phá p đá nh g iá ATTT như s a u:
e
é
c
y
z
z
z
3
p
h
s
z
i
p
p
m
p
v
v
e
v
p
o
p
3
m
c
p
h
p
g
c
x
z
p
p
i
x
p
z
c
o
s
p
p
c
c
s
s
z
s
p
y
o
p
p
c
c
3
3
z
h
v
e
p
y
l
x
z
h
+ Phươ n g phá p đá nh g iá th eo chấ t lượ n g ATTT củ a hệ thố n g bằ n g cá ch cho
đ iểm.Ví dụ: hệ thố n g đạ t 60/100 đ iểm hoặ c 60%
p
p
z
l
c
s
s
g
p
v
p
p
c
c
p
z
v
e
3
v
p
v
z
y
p
l
c
3
x
v
p
c
@
p
c
3
3
3
3
+ Phươ n g phá p đá nh g iá th eo số lượ n g th iế t bị - cô n g n ghệ a n toà n.
p
c
s
s
p
p
c
z
v
e
l
y
p
c
v
z
v
@
3
p
c
p
c
x
p
v
p
T ro n g thự c tế, phươ n g phá p đá nh g iá th eo chấ t lượ n g là phươ n g phá p d u y nhấ t
để đá nh g iá mứ c độ a n toà n củ a cá c tà i n g u yê n t ro n g hệ thố n g thô n g t i n. ở V iệ t
N am, v iệ c đá nh g iá ATTT th eo chấ t lượ n g là hoà n toà n mớ i. N gườ i t a dễ n gộ nhậ n
v iệ c t r a n g bị mộ t cô n g cụ ATTT như (F i r ew a l l, A n t i-v i r us…) là đảm bảo đượ c
ATTT cho hệ thố n g. Chấ t lượ n g ATTT phả i đượ c đá nh g iá t rê n toà n bộ cá c yế u tố
đảm bảo tí nh a n toà n cho hệ thố n g từ tổ chứ c, co n n gườ i, a n n i nh vậ t lý, q uả n lý tà i
n g u yê n … đế n v iệ c sử dụ n g cá c cô n g cụ kỹ th uậ t. Nó i cá ch khá c, chấ t lượ n g ATTT
đượ c đá nh g iá t rê n cơ sở thự c th i cá c chí nh sá ch về ATTT t ro n g hệ thố n g. Vì thế,
Phươ n g phá p đá nh g iá chấ t lượ n g hệ thố n g ATTT là dự a t rê n cá c T iê u ch uẩ n đá nh
g iá về hệ thố n g ATTT đã đượ c ch uẩ n hó a, cơ n g bố và cô n g nhậ n t rê n toà n thế g iớ i.
e
p
p
l
i
p
x
v
p
c
l
z
c
i
3
v
z
e
x
3
z
3
p
c
c
@
p
l
c
h
v
l
m
p
3
z
p
p
p
c
i
z
s
s
i
v
p
c
3
p
y
p
p
c
l
c
z
3
v
3
v
z
y
e
p
p
c
3
v
y
z
p
p
3
3
e
c
h
x
y
p
p
h
v
l
3
p
c
s
l
z
z
i
p
z
c
c
e
h
x
3
x
i
3
z
v
p
e
c
e
p
p
p
v
p
v
e
3
y
h
p
3
h
v
z
c
v
h
p
v
y
c
3
v
p
m
p
p
p
v
p
h
z
v
p
@
v
3
p
c
3
v
m
z
p
y
c
h
p
l
3
3
z
g
@
i
3
v
x
p
p
g
c
p
v
o
v
v
y
p
3
g
z
p
s
p
c
e
p
s
v
l
v
c
c
l
z
z
z
p
i
@
p
v
v
y
3
y
c
p
p
c
p
y
c
x
p
v
3
l
p
e
3
v
p
p
v
p
p
v
3
e
o
3
y
p
3
3
3
p
y
3
c
v
m
z
v
p
h
c
z
v
3
c
s
3
3
v
p
v
c
p
v
3
c
3
z
p
g
3
p
c
3
v
l
p
x
e
3
3
p
3
v
p
e
p
p
c
z
v
s
v
p
v
p
c
3
p
p
p
s
v
v
x
p
p
c
p
x
c
z
v
@
p
p
p
3
p
s
l
3
p
v
p
p
v
c
p
z
z
III. Mụ c đí ch, nh iệm vụ n gh iê n cứ u
k
3
p
3
p
z
l
i
p
c
z
p
3
h
T ro n g kh uô n khổ củ a đề tà i, tá c g iả tậ p t r u n g vào n gh iê n cứ u cá c vấ n đề s a u:
e
p
-
c
o
l
l
l
h
-
o
3
x
p
v
z
v
3
c
z
v
s
v
e
h
p
c
i
p
c
z
p
3
h
3
3
i
p
p
l
x
h
N gh iê n cứ u về a n toà n a n tồ n thơ n g t i n, mậ t mã
c
z
p
3
h
i
x
p
v
p
x
p
v
p
v
p
c
v
z
p
l
v
l
N gh iê n cứ u cá c n g u y cơ mấ t a n toà n thô n g t i n t rê n mạ n g
c
z
p
3
h
3
3
p
c
h
m
3
l
v
x
p
v
p
v
p
c
v
z
p
v
e
p
l
p
c
N gh iê n cứ u hệ thố n g t iê u ch uẩ n đá nh g iá hệ thố n g a n tồ n thơ n g t i n, cụ thể ở
đâ y là 2 t iê u ch uẩ n Commo n C r i t e r i a – CC và CE M.
c
p
-
p
z
m
p
3
y
h
v
z
v
h
3
p
h
c
v
z
p
h
l
3
h
l
p
p
p
e
z
p
v
e
c
e
z
z
v
x
p
c
i
x
p
v
p
v
p
c
v
z
p
3
v
k
Đề x uấ t b iệ n phá p và g iả i phá p đá nh g iá hệ thố n g a n tồ n thơ n g t i n
é
p
h
v
@
z
p
s
s
i
c
z
z
s
s
p
p
c
z
v
p
c
x
p
v
p
v
p
c
v
z
p
T r iể n kh a i thử n gh iệm đá nh g iá mộ t số thà nh phầ n t ro n g hệ thố n g thự c tế.
e
z
p
o
x
z
v
p
c
z
l
p
p
c
z
l
v
l
IV. Phươ n g phá p n gh iê n cứ u
p
c
s
s
p
c
z
p
3
h
1. Phươ n g phá p n ghiê n cứ u tà i l iệ u
p
c
s
s
p
c
z
p
3
h
v
z
y
2. Xâ y dự n g chươ n g t rì nh d emo
m
g
p
c
3
p
c
v
e
p
g
e
l
z
h
v
p
s
p
v
e
p
c
v
p
c
v
3
v
CHƯƠNG 1: TỔNG QUAN
l
l
l
1.1. Tổ n g q u a n về hệ thố n g thô n g t i n
p
c
h
x
p
i
v
p
c
v
p
c
v
z
p
1.1.1. Khá i n iệm
z
p
l
Hệ thố n g thô n g t i n (I nfo rm a t io n S ys t em - IS) là mộ t tậ p hợ p và kế t hợ p củ a
cá c phầ n cứ n g, phầ n mềm và cá c hệ mạ n g t r u yề n thô n g đượ c xâ y dự n g và sử dụ n g
để th u thậ p, tạo, tá i tạo, phâ n phố i và ch i a sẻ cá c dữ l iệ u, thô n g t i n và t r i thứ c nhằm
phụ c vụ cá c mụ c t iê u củ a tổ chứ c.
v
3
3
s
p
s
z
p
v
h
3
p
v
3
p
v
c
s
i
c
s
3
v
l
c
p
v
3
p
v
z
l
z
3
v
p
l
v
z
p
i
3
s
h
3
e
p
x
l
v
z
3
z
3
p
m
l
s
v
x
p
i
3
l
c
z
v
v
x
e
e
l
h
y
m
l
p
3
v
3
l
p
g
y
v
c
z
v
p
s
3
h
v
s
p
p
m
c
v
i
o
g
z
p
p
v
c
i
v
s
i
e
3
l
z
x
g
v
3
p
c
p
l
3
Cá c tổ chứ c có thể sử dụ n g cá c hệ thố n g thô n g t i n vớ i nh iề u mụ c đí ch khá c
nh a u. T ro n g v iệ c q uả n t rị nộ i bộ, hệ thố n g thô n g t i n sẽ g iú p đạ t đượ c sự thô n g h iể u
nộ i bộ, thố n g nhấ t hà nh độ n g, d u y t rì sứ c mạ nh củ a tổ chứ c, đạ t đượ c lợ i thế cạ nh
t r a nh. Vớ i bê n n goà i, hệ thố n g thô n g t i n g iú p nắm bắ t đượ c nh iề u thô n g t i n về
khá ch hà n g hơ n hoặ c cả i t iế n dị ch vụ, nâ n g c ao sứ c cạ nh t r a nh, tạo đà cho phá t
t r iể n.
3
p
x
p
z
v
e
x
h
e
@
p
v
z
z
c
z
3
3
v
h
p
@
p
3
i
p
3
e
3
c
p
o
v
v
p
v
v
p
p
c
l
e
p
p
c
p
z
p
p
z
p
g
3
z
3
c
g
z
v
v
p
v
3
@
v
3
c
h
m
c
v
e
v
p
g
p
v
p
c
v
p
p
c
p
v
p
l
z
i
c
v
3
c
3
c
l
p
p
p
s
c
p
z
s
v
e
l
z
3
o
v
3
p
y
h
p
p
l
p
p
x
3
3
v
3
p
h
p
p
p
3
z
v
3
v
3
p
p
3
@
l
i
z
v
l
x
z
c
x
p
3
v
l
3
z
p
z
c
z
p
v
c
z
v
v
h
3
c
p
3
v
z
p
p
3
i
s
v
p
1.1.2. Cá c thà nh phầ n củ a hệ thố n g thô n g t i n
3
v
p
s
p
3
x
v
p
c
v
p
c
v
z
p
Hệ thố n g thô n g t i n thô n g thườ n g đượ c cấ u thà nh bở i 5 thà nh phầ n chí nh là:
v
p
c
v
p
c
v
z
p
v
p
c
v
p
c
p
3
3
h
v
p
@
z
v
p
s
p
3
p
y
Cá c phầ n cứ n g
3
s
p
3
p
c
Phầ n mềm
p
l
l
Cá c hệ thố n g mạ n g
3
v
p
c
l
p
c
Dữ l iệ u
y
z
h
Co n n gườ i t ro n g hệ
thố n g thô n g t i n.
p
p
v
p
z
c
v
v
p
e
p
c
v
z
c
p
S a u kh i đã b iế t đượ c cá c thà nh phầ n t ro n g mộ t hệ thố n g thô n g t i n, thì v iệ c
đá nh g iá hệ thố n g thô n g t i n nà y sẽ g iú p chú n g t a q uả n t rị và k iểm soá t đượ c hệ
thố n g củ a mì nh thơ n g q u a v iệ c nắm bắ t cá c đ iểm yế u củ a hệ thố n g để từ đó khắ c
phụ c chú n g.
x
p
p
c
v
s
c
p
h
z
z
c
p
@
v
3
3
o
x
3
p
l
p
p
z
c
v
p
v
3
p
v
p
c
v
c
h
3
z
3
p
x
v
p
i
p
m
z
3
s
l
c
p
l
p
z
s
@
v
e
p
3
v
p
3
3
c
c
p
l
v
z
v
x
v
h
l
m
p
h
v
3
p
e
c
v
i
p
o
x
z
v
c
v
l
p
z
p
l
c
v
v
p
i
p
v
z
3
3
p
o
3
c
1.1.3. Cá c đ iểm yế u tro n g hệ thố n g thô n g t i n
3
p
z
l
m
h
v
e
p
c
v
p
c
v
p
c
v
z
p
1.1.3.1. Điểm yế u về cô n g nghệ
é
z
l
m
h
i
3
p
c
p
c
Đ iểm yế u về cô n g n ghệ b ao gồm cá c đ iểm yế u về: g i ao thứ c, hệ đ iề u hà nh,
t r a n g th iế t bị mạ n g và cấ u hì nh.
é
v
e
x
p
c
z
v
l
z
m
v
h
@
i
l
3
p
c
p
i
c
p
3
c
@
h
x
c
l
3
3
p
z
l
m
h
i
c
z
x
v
3
p
z
h
p
p
a. Đ iểm yế u t ro n g g i ao thứ c
é
z
l
m
h
v
e
p
c
c
z
x
v
3
Để kế t nố i cá c hệ thố n g có n g uồ n gố c khá c nh a u thì nhữ n g hệ thố n g nà y
phả i là hệ thố n g mở. Ví dụ như mộ t c l i e n t chạ y hệ đ iề u hà nh W i n dows m uố n kế t
nố i tớ i s e rv e r chạ y hệ đ iề u hà nh U n i x thì W i n dows và U n i x phả i có ch u n g mộ t
k iế n t rú c hoạ t độ n g. Đ iề u đó có n ghĩ a là cá c g i ao thứ c hoạ t độ n g củ a W i n dows –
U n i x phả i đượ c ch uẩ n hó a; mà ch uẩ n hó a đồ n g n ghĩ a vớ i v iệ c phả i cô n g bố
rộ n g rã i cá c đặ c tả kỹ
é
s
z
p
o
p
z
v
z
l
e
p
c
v
p
v
v
p
p
e
y
z
z
o
e
e
e
p
i
e
3
z
z
3
v
p
p
p
c
3
3
p
g
m
3
p
3
l
3
p
3
3
c
e
v
s
z
é
h
v
z
p
o
c
3
p
z
l
h
h
c
v
3
l
p
p
c
3
h
p
3
p
p
x
p
y
z
e
p
p
3
v
o
3
y
p
z
3
3
x
3
p
m
v
x
h
z
c
c
p
x
p
p
g
z
l
x
p
z
v
p
p
3
p
c
p
h
i
v
c
h
z
z
p
v
x
i
c
p
g
s
p
z
p
z
p
i
c
z
v
l
3
3
3
l
h
z
z
c
h
3
x
s
p
3
p
p
p
p
m
o
c
v
l
g
v
l
p
c
@
th uậ t. Mặ t t rá i củ a v iệ c cô n g bố và á p dụ n g rộ n g rã i cá c t iê u ch uẩ n đó là cá c
h a c k e r có thể n gh iê n cứ u và tìm r a cá c nhượ c đ iểm có t ro n g cá c g i ao thứ c từ đó
t r iệ t để kh a i thá c chú n g để phá hoạ i hệ thố n g.
v
h
v
x
v
3
e
z
k
o
e
v
p
v
e
v
3
e
z
3
v
o
p
x
z
x
c
v
i
z
3
z
3
p
3
3
3
p
p
h
c
c
@
i
v
p
i
l
e
s
x
s
3
g
3
z
p
c
e
p
3
v
p
p
p
c
z
e
z
l
3
3
3
v
v
e
p
z
h
c
3
3
h
3
c
p
z
p
x
y
v
3
3
3
v
p
c
T ro n g hệ thố n g cá c g i ao thứ c đượ c sử dụ n g thì g i ao thứ c TCP/IP là mộ t đ iểm
yế u đ iể n hì nh vì nó đượ c th iế t kế như mộ t ch uẩ n mở để g iú p cho v iệ c t r ao đổ i
thô n g t i n dễ dà n g hơ n. Đ iề u đó làm cho TCP/IP đượ c sử dụ n g rộ n g rã i như n g cũ n g
dễ t rở thà nh đí ch nhắm củ a cá c H a c k e r vì hầ u hế t mọ i n gườ i đề u thâ n th uộ c vớ i
cá ch thứ c làm v iệ c củ a TCP/IP. H a i g i ao thứ c mà C is co thí ch lự a chọ n t ro n g họ
g i ao thứ c TCP/IP như n g vố n cố hữ u khơ n g đượ c a n tồ n là S MTP (TCP) và SN MP
(UDP). Đ iể n hì nh củ a kỹ th uậ t tấ n cô n g vào h a i g i ao thứ c nà y là IP s poof i n g, m a ni n- th e-m i d d l e và s ess io n r e p l a y. N gồ i r a cị n nhữ n g g i ao thứ c khá c cũ n g tồ n tạ i
đ iểm yế u có thể bị lợ i dụ n g như: g i ao thứ c LDAP, g i ao thứ c DHCP, g i ao thứ c
T e l n e t, g i ao thứ c IC MP và đặ c b iệ t là g i ao thứ c DNS đã và đ a n g là đí ch nhắm tấ n
cô n g củ a rấ t nh iề u t i n tặ c, để lạ i nhữ n g hậ u q uả nặ n g nề cho hoạ t độ n g ch u n g củ a
I n t e r n e t.
e
m
h
p
v
p
g
v
3
z
z
v
z
e
p
y
v
p
z
e
y
3
p
e
p
p
z
e
z
g
g
z
e
e
i
e
l
l
v
p
h
v
v
v
x
z
p
e
z
e
s
g
p
p
x
3
o
3
c
3
p
v
h
c
p
v
c
z
x
e
x
x
3
p
z
z
l
p
c
p
v
c
x
z
l
p
c
3
h
l
h
p
p
c
x
z
h
3
v
p
v
p
v
s
o
3
3
p
3
p
x
e
c
c
y
3
p
v
3
p
p
x
x
v
z
v
3
l
3
p
p
p
c
k
v
z
z
l
c
c
i
p
c
c
p
p
3
p
z
3
l
z
l
p
h
p
z
x
c
v
3
l
3
i
e
p
p
x
y
v
p
z
v
i
v
p
e
y
m
x
z
p
3
p
z
c
l
k
3
c
i
p
z
y
v
3
e
c
p
x
s
c
v
c
v
c
p
y
z
p
3
3
x
c
z
v
p
3
g
z
3
v
l
l
p
i
y
p
c
x
p
3
v
3
z
l
h
x
z
v
z
z
c
z
y
c
3
i
p
c
@
v
e
o
l
3
p
e
z
p
p
v
p
m
c
i
z
y
v
p
p
h
v
g
3
3
h
l
l
l
3
p
3
p
y
3
p
o
p
i
k
z
3
x
y
3
h
o
@
v
z
x
c
x
e
v
x
p
l
v
x
x
p
y
x
v
3
3
3
z
z
l
3
p
3
c
3
e
p
h
v
c
v
z
m
é
p
i
c
3
p
3
l
3
p
p
l
l
3
c
3
e
c
p
p
p
3
v
p
g
p
v
p
i
g
é
z
v
p
v
x
c
p
c
3
c
p
h
v
p
c
p
3
x
v
b. Đ iểm yế u t ro n g hệ đ iề u hà nh
é
z
l
m
h
v
e
p
c
p
z
h
p
Hệ đ iề u hà nh là phầ n mềm cơ bả n củ a cá c má y tí nh, t u y nh iê n chú n g cò n tồ n
tạ i nhữ n g vấ n đề t iềm ẩ n mà thô n g q u a đó H a c k e r có thể lợ i dụ n g để kh a i thá c và
tấ n cô n g hệ thố n g. H iệ n n a y có khá nh iề u dạ n g hệ đ iề u hà nh như n g đ a số thị phầ n
chỉ th uộ c về mộ t và i hã n g nổ i t iế n g và t ro n g số đó nhữ n g hệ đ iề u hà nh (H ĐH) chạ y
t rê n má y chủ có ả nh hưở n g q u a n t rọ n g đế n a n n i nh mạ n g như: U n i x, L i n u x,
W i n dows. Hầ u hế t má y PC đề u cà i đặ t cá c ph iê n bả n W i n dows nê n nh iề u H a c k e r
sẽ hướ n g đí ch nhắm tấ n cô n g vào sả n phẩm nà y củ a hã n g M i c rosof t. Do đó, tá c hạ i
củ a cá c c uộ c tấ n cô n g vào H ĐH nà y có khả nă n g nhâ n rộ n g và nh a nh hơ n vào cá c
c uộ c tấ n cô n g vào cá c H ĐH khá c.
p
v
z
v
p
p
p
3
3
v
e
3
3
p
l
v
i
3
3
c
p
p
x
c
m
l
p
3
p
i
3
c
3
v
z
p
h
l
é
o
p
p
e
p
p
p
m
o
h
p
z
@
3
p
z
p
z
l
z
p
p
p
o
c
p
e
i
z
p
v
i
s
p
3
p
z
z
h
x
p
m
p
h
3
v
p
p
3
p
x
v
v
v
p
p
é
p
l
z
l
p
p
3
x
x
p
3
c
p
l
c
p
p
h
c
z
3
c
p
g
k
e
p
z
p
p
c
p
p
p
p
z
g
p
p
p
m
c
x
c
h
y
p
p
z
v
v
p
x
s
p
3
p
p
l
e
v
p
l
3
3
o
m
c
p
3
l
3
p
c
c
s
m
3
g
e
v
p
p
h
e
p
3
x
z
v
z
x
p
v
p
3
é
x
i
x
i
i
3
c
h
c
h
3
p
p
c
p
c
o
p
p
@
p
z
m
v
3
3
p
l
p
l
v
p
v
p
l
l
p
z
p
h
p
z
v
3
p
l
3
p
p
z
s
c
h
3
v
v
3
c
3
y
p
l
p
h
p
i
g
x
p
v
m
l
3
i
3
l
p
h
c
h
p
z
3
c
p
v
z
p
o
e
e
3
z
i
3
3
3
c. Đ iểm yế u t ro n g cá c t r a n g thiế t bị hạ tầ n g mạ n g
é
z
l
m
h
v
e
p
c
3
3
v
e
x
p
c
v
z
v
@
v
p
c
l
p
c
Hầ u hế t cá c th iế t bị mạ n g như s e rv e r, c l i e n t, sw i t ch, ro u t e r, … đề u có đ iểm
yế u t ro n g a n toà n. H a c k e r có thể lợ i dụ n g nhữ n g đ iểm yế u nà y để thự c h iệ n tấ n
cô n g vào hệ thố n g như tấ n cô n g ARP, tấ n cô n g th eo k iể u m a n- i n- th e-m i d d l e, …
Nế u có mộ t chí nh sá ch tố t cho v iệ c cấ u hì nh và lắ p đặ t cho cá c th iế t bị mạ n g sẽ làm
g iảm đ i rấ t nh iề u sự ả nh hưở n g củ a đ iểm yế u nà y. Ví dụ như vớ i C is co – mộ t hã n g
c u n g cấ p th iế t bị mạ n g hà n g đầ u thế g iớ i. T ro n g c uộ c k iểm t r a nộ i bộ, C is co đã
phá t h iệ n đượ c nhữ n g th iế t bị đị nh t u yế n củ a họ chạ y H ĐH l iê n mạ n g IOS
(I n t e r n e t O p e r a t i n g S ys t em) có thể bị tấ n cơ n g k iể u từ chố i dị ch vụ. Bằ n g v iệ c
kh a i thá c kẽ hở t rê n, h a c k e r có thể gử i nhữ n g gó i t i n t rự c t iếp tớ i mộ t th iế t bị củ a
C is co và đá nh lừ a bộ đị nh t u yế n, kh iế n cho th iế t bị nà y n gừ n g k iểm soá t cá c kê nh
dữ l iệ u và b uộ c phả i khở i độ n g lạ i.
h
m
h
3
p
z
l
c
s
o
z
3
e
g
e
z
l
e
s
p
e
z
e
x
v
z
p
i
@
y
h
e
p
e
p
3
v
p
c
e
m
p
l
x
@
s
v
e
3
p
z
v
p
o
e
v
z
h
p
p
z
p
c
o
y
h
z
z
3
e
p
p
3
o
p
v
3
o
z
h
z
v
z
@
v
p
v
3
m
p
p
v
e
x
v
z
c
g
s
p
c
g
p
g
z
l
v
l
v
z
l
v
p
e
y
l
v
z
p
l
v
l
@
l
z
y
c
i
z
o
z
z
p
l
z
3
v
l
3
p
p
z
l
l
y
z
e
@
z
3
3
v
z
h
v
é
3
e
p
z
l
v
p
v
m
h
p
z
i
z
e
p
3
p
o
e
m
x
3
3
v
p
l
3
h
z
h
h
3
c
v
e
m
x
z
3
l
e
c
c
v
g
p
c
v
z
m
p
p
z
p
s
3
3
l
v
p
e
p
v
c
y
h
m
p
c
i
p
p
z
p
z
v
c
p
p
z
v
y
p
m
@
v
3
c
l
c
v
m
p
p
e
p
v
@
3
e
p
h
x
h
3
e
i
g
3
3
v
l
o
3
p
z
z
e
v
z
c
c
e
c
i
p
c
l
y
p
3
c
p
p
v
p
p
c
3
p
x
3
o
v
p
v
p
h
e
3
l
3
3
l
v
l
@
@
p
l
o
i
y
v
s
3
c
h
p
v
v
x
p
z
z
p
z
v
v
p
p
p
v
3
3
v
3
v
z
x
p
v
z
v
v
x
3
v
p
p
p
c
3
l
h
p
i
h
c
e
c
l
3
v
v
l
c
p
c
p
i
@
3
c
3
p
v
p
z
3
3
3
x
o
p
z
d. Đ iểm yế u khi cấ u hì nh
é
z
l
m
h
o
z
3
h
p
Đâ y là lỗ i do nhà q uả n t rị tạo r a. Cá c lỗ i nà y do sự th iế u só t t ro n g v iệ c cấ u
hì nh: khơ n g a n toà n tà i khoả n khá ch hà n g, hệ thố n g tà i khoả n vớ i p asswo r d dễ dà n g
đoá n
é
p
p
o
p
m
p
y
c
y
x
p
z
v
g
p
p
v
h
z
o
p
p
v
o
e
v
3
e
x
3
p
c
y
z
v
p
p
m
c
g
v
l
z
o
v
z
p
h
i
l
z
v
s
x
v
l
l
e
p
c
e
i
g
z
g
3
3
g
h
p
c
b iế t, khơ n g a n tồ n cá c cấ u hì nh mặ c đị nh t rê n th iế t bị h a y lỗ i t ro n g v iệ c cấ u hì nh
th iế t bị.
@
z
v
v
o
z
v
p
c
x
p
v
p
3
3
3
h
p
l
3
p
p
v
e
p
v
z
v
@
x
m
y
z
v
e
p
c
i
z
3
3
h
p
@
Tà i khoả n n gườ i dù n g khô n g a n toà n
z
o
p
p
c
z
g
p
c
o
p
c
x
p
v
p
Mỗ i us e r a c co u n t cầ n có us e r n am e và p asswo r d cho mụ c đí ch a n tồ n. Cá c
us e r n am e và p asswo r d nà y thườ n g đượ c t r u yề n đ i ở dạ n g c l e a r t e x t t rê n mạ n g. Do
đó, cầ n có chí nh sá ch a n toà n us e r a c co u n t như mã hó a, xá c thự c …
k
h
l
e
e
p
p
x
z
l
3
h
e
p
l
e
i
e
s
3
x
x
3
l
3
3
h
l
p
p
e
l
v
g
3
3
p
p
x
3
m
p
h
v
v
l
p
p
h
l
e
e
c
e
p
x
l
p
e
x
e
3
3
3
i
v
h
e
p
s
h
v
x
m
l
p
l
e
p
p
z
g
3
g
l
p
l
c
x
3
p
y
3
3
e
x
p
e
v
v
3
e
p
x
v
v
p
e
v
p
p
l
3
p
c
3
Tà i khoả n hệ thố n g đặ t mậ t khẩ u dễ đoá n
z
o
p
v
p
c
p
v
l
v
o
h
g
p
p
Mộ t đ iểm yế u t ro n g lỗ i cấ u hì nh khá c là a n tồ n a c co u n t vớ i p asswo r d dễ
dà n g bị đá nh cắ p. Để n gă n chặ n tì nh t rạ n g đó, n gườ i q uả n t rị cầ n có chí nh sá ch để
khơ n g cho phé p mộ t p asswo r d có h iệ u lự c mã i mã i mà p asswo r d nà y phả i có mộ t
thờ i hạ n kế t thú c.
k
g
p
c
o
@
p
v
v
p
p
c
l
p
m
3
3
z
z
s
s
p
o
e
p
p
l
v
v
é
s
v
h
v
c
c
s
y
p
x
l
z
3
3
h
p
l
e
p
v
g
p
o
v
3
e
z
3
p
h
c
y
x
p
y
p
3
l
p
v
c
z
p
z
l
x
h
z
3
3
p
l
v
s
x
h
e
l
p
v
3
i
p
l
e
z
s
3
g
x
l
3
p
l
e
p
m
l
s
g
g
3
z
p
3
l
v
3
Dị ch vụ I n t e r n e t bị lỗ i cấ u hì nh
3
i
p
v
e
e
p
e
v
@
y
z
3
h
p
Mộ t và i cô n g t y đã sử dụ n g đị a chỉ thậ t t rê n mạ n g I n t e r n e t để đá nh đị a chỉ
cho hos t và s e rv e r. Đ iề u nà y tạo nê n đ iểm yế u mà cá c h a c k e r sẽ dễ dà n g kh a i thá c
thô n g t i n.
k
3
v
l
v
p
c
v
v
z
i
z
i
l
3
e
e
p
i
e
c
v
e
m
é
p
z
l
h
g
p
m
p
c
v
p
p
x
p
3
p
v
z
l
v
m
v
h
e
p
l
l
p
3
c
3
p
x
3
o
v
e
e
e
e
p
e
l
v
p
p
g
g
p
p
p
c
o
x
x
3
z
v
3
p
Sử dụ n g g i ao thứ c NAT hoặ c PAT có thể g iả i q u yế t cá c vấ n đề t rê n. Sử dụ n g
đị a chỉ r iê n g cho phé p đá nh đị a chỉ hos t và s e rv e r mà khô n g cầ n dù n g đị a chỉ thậ t
t rê n mạ n g, t ro n g kh i đị a chỉ thậ t thì đượ c bo r d e r Ro u t e r đị nh t u yế n r a mạ n g
I n t e r n e t. Thế như n g đâ y chư a phả i là b iệ n phá p tố i ư u. Po r t t rê n i n t e rf a c e kế t nố i
r a I n t e r n e t phả i ở t rạ n g thá i mở cho phé p us e r vào mạ n g i n t e r n e t và n gượ c lạ i. Đó
là lỗ hổ n g t rê n F i r ew a l l mà h a c k e r có thể tấ n cô n g vào.
g
p
v
x
3
e
p
p
e
e
v
e
x
p
p
p
p
y
z
l
e
e
v
p
c
c
c
e
y
x
c
v
e
p
v
e
p
v
s
c
o
p
s
c
v
p
z
e
e
y
l
v
z
v
s
3
o
i
y
@
e
e
e
3
p
h
v
e
e
e
p
m
v
h
z
c
3
3
p
e
v
e
c
z
v
v
e
p
p
p
v
p
p
3
e
e
p
i
c
h
l
p
v
o
e
i
3
h
l
g
s
e
z
e
@
l
v
z
i
s
s
3
c
l
z
s
e
v
p
3
x
v
v
z
l
l
3
3
x
v
y
x
3
3
c
x
p
x
m
p
3
p
p
p
e
l
p
z
c
z
e
3
s
p
p
v
3
v
e
z
v
g
p
p
e
e
v
p
p
z
e
v
p
c
h
p
e
p
x
m
v
e
e
x
p
p
3
p
e
i
g
3
v
x
v
l
e
c
c
p
o
3
v
y
c
p
z
z
é
i
Th iế t lậ p cấ u hì nh mặ c đị nh t ro n g cá c sả n phẩ m
z
y
s
3
h
p
l
3
p
p
v
e
p
c
3
3
l
p
s
l
Nh iề u sả n phẩm phầ n cứ n g đượ c c u n g cấ p mà khô n g có p asswo r d hoặ c là
p asswo r d sẵ n có g iú p cho nhà q uả n t rị dễ dà n g cấ u hì nh th iế t bị, ví dụ như mộ t số
th iế t bị chỉ cầ n cắm vào là hoạ t độ n g. Đ iề u nà y sẽ g iú p cho cá c h a c k e r dễ dà n g tấ n
cơ n g. Do đó, t a cầ n phả i th iế t lậ p mộ t chí nh sá ch cấ u hì nh a n tồ n t rê n mỗ i th iế t bị
t rướ c kh i th iế t bị đượ c lắ p đặ t vào hệ thố n g mạ n g.
l
s
v
x
v
l
l
e
z
3
v
p
v
z
@
h
g
l
3
3
o
z
p
z
l
c
z
3
v
v
s
3
p
3
p
p
c
e
l
p
@
p
3
3
p
p
i
3
v
s
l
x
s
v
z
p
3
v
y
z
s
p
h
y
s
c
v
p
p
p
v
p
y
v
3
s
e
3
g
c
z
v
i
p
c
g
é
l
h
p
h
3
p
l
3
m
z
3
p
p
p
c
3
l
o
h
l
l
c
s
c
p
p
v
3
c
v
s
z
v
3
h
3
x
x
@
3
p
s
l
i
3
p
l
g
x
v
e
3
p
o
v
g
3
p
e
e
e
l
g
p
v
g
l
p
z
y
l
c
v
v
z
p
v
@
c
Cấ u hì nh t r a n g th iế t bị mạ n g bị lỗ i
h
v
e
x
p
c
v
z
v
@
l
p
c
@
y
z
Lỗ i cấ u hì nh th iế t bị là mộ t lỗ hổ n g có thể kh a i thá c để tấ n cô n g mạ n g như:
p asswo r d yế u, khô n g có chí nh sá ch a n tồ n hoặ c khơ n g a n tồ n us e r a c co u n t, …
đề u là lỗ i cấ u hì nh th iế t bị.
z
s
p
x
p
l
l
e
h
y
3
g
y
h
m
z
p
h
3
v
o
z
p
h
p
v
c
@
3
v
z
y
3
v
l
v
p
l
y
p
3
x
p
c
3
v
v
o
p
x
3
z
v
o
3
p
c
p
x
v
p
p
v
3
p
h
p
l
e
c
l
e
x
p
3
c
3
p
h
p
v
@
Phầ n cứ n g và nhữ n g g i ao thứ c chạ y t rê n th iế t bị cũ n g tạo r a lỗ hổ n g a n toà n
t ro n g mạ n g. Nế u t a khô n g có chí nh sá ch a n tồ n cho phầ n cứ n g và nhữ n g g i ao thứ c
nà y thì h a c k e r sẽ lợ i dụ n g để tấ n cô n g mạ n g.
p
v
p
e
p
c
m
l
p
v
p
c
x
3
c
l
o
i
h
e
e
v
l
p
x
p
o
y
c
p
z
g
c
c
p
z
3
c
p
x
v
3
p
v
p
3
3
l
3
m
3
p
c
v
x
p
l
e
p
v
v
p
z
p
v
@
3
3
p
s
p
c
v
3
e
p
c
x
y
i
p
p
p
c
c
x
c
z
p
v
x
p
v
3
c
Hơ n nữ a, nế u sử dụ n g SN MP đượ c mặ c đị nh th iế t lậ p thì thơ n g t i n có thể bị
đá nh cắp mộ t cá ch dễ dà n g và nh a nh chó n g. Do đó, để tă n g tí nh a n tồ n, t a cầ n
phả i làm mấ t h iệ u lự c củ a SN MP hoặ c là th a y đổ i mặ c đị nh th iế t lậ p SN MP có sẵ n.
p
p
s
3
p
3
z
y
s
l
p
x
l
l
v
v
p
3
z
h
3
h
l
g
g
y
p
g
3
3
p
x
c
c
l
i
l
k
p
k
p
x
3
p
l
3
3
y
3
p
v
p
p
v
c
x
m
z
p
p
z
l
v
y
p
3
p
s
v
p
v
p
v
v
c
v
z
p
p
v
x
y
s
c
v
p
z
v
l
p
3
v
p
k
v
3
@
x
3
l
p
p
1.1.3.2. Chí nh sá ch yế u
p
l
3
m
h
Kh i th iế t kế mộ t hệ thố n g mạ n g nào, bướ c đầ u t iê n cầ n n ghĩ đế n đó là chí nh
sá ch đảm bảo a n toà n cho hệ thố n g mạ n g đó. Chí nh sá ch nà y khô n g chỉ cho cá c
t r a n g th iế t bị mà cò n là chí nh sá ch á p dụ n g đố i vớ i toà n bộ nhữ n g n gườ i sử dụ n g
t ro n g hệ thố n g mạ n g. Nế u như chí nh sá ch a n toà n yế u kém thì rấ t có cơ hộ i cho
h a c k e r tấ n cô n g kh a i thá c hệ thố n g mạ n g.
z
l
3
v
e
v
e
p
x
x
p
c
p
c
3
l
z
v
z
e
e
v
v
o
x
@
p
p
l
p
p
c
o
c
3
p
h
v
p
p
l
z
l
v
y
c
x
p
3
p
l
p
v
p
3
c
3
v
v
l
v
o
v
@
l
p
s
c
c
g
p
p
@
l
3
v
p
c
3
p
3
c
l
h
v
z
p
c
p
3
p
p
p
p
l
3
x
z
p
l
i
z
v
p
p
3
v
p
3
p
p
m
p
p
m
@
h
c
o
p
p
o
p
l
p
c
c
v
y
p
3
c
v
3
3
p
e
p
z
3
3
l
3
g
3
p
z
c
3
c
Đ iểm yế u t ro n g chí nh sá ch b ao gồm: Th iế u kh i th iế t đặ t chí nh sá ch a n toà n,
sự cạ nh t r a nh t ro n g tổ chứ c, sự lỏ n g lẻo củ a n gườ i q uả n t rị a n tồ n thơ n g t i n,
khơ n g có kế hoạ ch kh i m uố n th iế t lậ p và á p dụ n g chí nh sá ch cũ n g như kế hoạ ch
phụ c hổ i s a u thảm họ a, …
é
l
v
3
z
l
p
o
p
s
3
v
c
m
e
x
3
h
p
v
v
e
l
p
p
o
z
e
h
v
3
c
p
v
3
x
c
3
o
z
l
l
3
3
l
@
l
h
p
x
c
y
v
z
p
v
l
c
z
y
y
s
3
h
x
i
s
o
p
z
c
g
v
z
z
p
c
v
h
3
p
v
p
p
v
l
3
p
e
x
3
l
p
3
v
3
p
x
p
c
p
v
v
p
p
p
c
v
z
p
o
3
x
1.1.3.3. Điểm yế u từ người sử dụ ng
é
z
l
m
h
v
p
c
z
l
g
p
c
N gườ i sử dụ n g, dù vơ tì nh h a y cố ý cũ n g có thể gâ y r a sự cố cụ c bộ hoặ c
toà n d iệ n t ro n g mạ n g vớ i hậ u q uả là xâm hạ i đế n dữ l iệ u củ a mì nh hoặ c củ a n gườ i
khá c. S a u đâ y là mộ t số nhữ n g kẽ hở lớ n nhấ t do n gườ i sử dụ n g tạo nê n mà mộ t
n gườ i đá nh g iá a n toà n cầ n b iế t đế n để có thể có cá c b iệ n phá p đá nh g iá và hạ n chế
tươ n g ứ n g.
l
v
p
g
o
c
z
p
3
p
v
x
c
z
v
z
p
e
h
c
c
p
l
m
p
p
g
p
p
p
c
l
c
p
y
c
x
x
h
p
p
p
h
l
v
v
z
v
p
i
i
l
z
g
p
3
p
@
m
y
c
3
p
l
o
z
v
3
z
y
p
p
p
p
p
p
3
p
p
3
c
g
v
v
v
y
g
p
3
c
3
z
h
z
l
l
l
p
x
x
z
@
e
3
c
3
m
3
3
p
g
3
p
s
3
s
c
v
p
@
3
x
p
p
c
p
z
3
p
c
z
l
l
i
v
p
3
c
a. Thư đ iệ n tử khô n g rõ n g uồ n gố c
p
z
p
v
o
p
c
e
p
c
h
p
c
3
N g a y kh i n gườ i sử dụ n g bấ t cẩ n mở mộ t thư đ iệ n tử khô n g rõ n g uồ n gố c,
hoặ c cá c f i l e đí nh kèm ( kể cá c f i l e ả nh, âm nhạ c và f i l e né n), hoặ c cá c đườ n g l iê n
kế t đị a chỉ t rê n mạ n g I n t e r n e t có t ro n g thư đ iệ n tử thì n g u y cơ t a i họ a đã nhâ n lê n
gấ p bộ i. Đó là vì cá c h a c k e r có thể gà i sẵ n cá c chươ n g t rì nh tấ n cơ n g hoặ c đá nh lừ a
n g a y t ro n g nhữ n g bộ phậ n nó i t rê n.
l
3
o
v
c
s
p
3
o
y
v
p
v
c
c
z
o
p
y
p
p
p
e
é
e
z
e
3
z
m
m
z
x
@
x
x
3
p
c
c
p
3
p
p
p
o
c
p
3
c
g
l
l
i
l
x
@
3
v
3
c
e
e
o
s
3
p
e
e
e
p
@
v
z
v
y
e
3
3
z
v
v
p
l
e
l
p
c
c
e
l
p
v
p
3
p
v
z
v
3
p
l
p
v
z
3
i
p
3
p
z
z
v
y
e
v
3
p
c
v
o
p
p
p
v
c
p
c
h
e
p
e
3
m
3
p
v
v
p
x
p
3
3
z
3
h
p
p
x
p
c
c
p
p
c
y
p
c
3
3
z
p
p
p
y
p
p
y
x
p
N gà y n a y, thư đ iệ n tử là phươ n g t iệ n t i n họ c đượ c sử dụ n g nh iề u nhấ t bở i
nhữ n g n gườ i khô n g ch u yê n làm t i n họ c, do vậ y cũ n g là cá ch đơ n g iả n để phá t tá n,
lâ y nh iễm v i r us và khủ n g bố bằ n g cá c phầ n mềm. Th eo báo chí, chỉ r iê n g t ro n g
khoả n g năm 2007 – 2008 nhữ n g vụ tấ n cô n g nổ i t iế n g như sâ u Co nf i c k e r, So b i g,
S ass e r, B l as t, N e tS k y, … đã làm th iệ t hạ i hà n g chụ c tỷ đơ l a Mỹ. Có thể kể r a hà n g
t răm t rườ n g hợ p dẫ n đế n nhữ n g mố i đ e dọ a như vậ y, t ro n g đó, đặ c b iệ t là hà n g tỷ
thư rá c t u n g r a mỗ i n gà y t rê n I n t e r n e t.
l
p
p
y
m
c
p
p
p
v
l
e
l
v
p
e
e
v
v
z
p
p
e
h
l
c
z
3
i
p
h
v
m
o
x
h
y
p
p
y
c
l
v
l
e
c
p
v
s
c
e
x
o
@
l
z
p
p
p
c
m
v
p
e
p
3
z
p
v
p
e
p
p
e
v
3
e
z
p
i
p
l
c
p
p
g
3
m
p
z
z
e
p
s
v
l
z
g
3
v
v
c
v
3
i
l
c
p
c
c
y
p
z
p
p
p
p
p
v
@
m
g
s
l
p
p
3
m
l
y
v
x
o
i
e
l
p
z
l
c
e
m
c
z
o
x
c
3
p
3
c
y
v
z
3
p
3
c
v
y
p
p
c
x
z
z
3
l
e
c
p
@
p
m
p
p
p
v
i
g
3
e
z
p
l
3
l
c
x
p
p
h
z
z
3
e
3
c
z
v
v
p
e
p
@
e
z
v
e
o
@
@
v
p
o
v
p
v
s
e
p
p
p
p
3
k
c
h
c
z
x
c
p
y
p
c
c
v
v
b. Thô n g t i n cá nhâ n bị lộ
p
c
v
z
p
3
p
p
@
y
V iệ c đá nh mấ t hoặ c để lộ mậ t khẩ u, tê n đă n g nhậ p hệ thố n g, số đ iệ n thoạ i,
đị a chỉ mạ n g củ a mì nh hoặ c n gườ i khá c ( đố i tá c, bạ n bè, …) đề u tạo nê n nhữ n g kẽ
hở rấ t dễ bị kẻ xấ u lợ i dụ n g. Nhữ n g thô n g t i n như thế thườ n g nằm n g a y t ro n g má y
tí nh, thư đ iệ n tử, f i l e vă n bả n, sổ đị a chỉ, sơ đồ mạ n g, … thậm chí t ro n g c uố n lị ch
để bà n hoặ c sổ t a y, ví t iề n, tú i sá ch củ a nh iề u n gườ i sử dụ n g vơ ý.
z
p
x
3
e
v
l
v
p
@
p
p
g
p
x
v
l
p
p
3
l
3
o
z
p
p
c
@
v
p
3
h
x
z
y
e
m
y
3
y
z
v
p
p
v
l
3
g
p
i
i
c
p
v
z
p
c
l
z
h
3
c
p
x
3
v
p
v
p
l
o
o
p
p
v
v
z
l
@
p
l
z
c
v
3
3
p
z
p
v
z
p
3
p
l
x
p
p
@
s
p
p
l
p
p
c
z
g
h
c
p
v
l
p
p
v
p
c
v
@
v
p
h
c
c
l
v
p
p
l
l
p
c
p
3
c
v
z
p
x
m
e
v
p
v
p
p
p
e
c
p
3
z
c
c
o
l
h
p
m
y
3
i
Nế u má y tí nh củ a n gườ i sử dụ n g có nố i mạ n g thì h a c k e r cũ n g có thể tự tìm
r a nh iề u thô n g t i n cá nhâ n chứ khô n g chờ đợ i sự vô ý củ a họ. H a c k e r thườ n g sử
dụ n g cá c
l
e
g
x
p
p
z
c
h
h
3
v
3
l
m
p
c
v
v
p
z
p
3
3
x
p
p
c
p
z
3
l
g
o
p
p
c
c
3
3
p
z
p
l
z
p
l
c
i
v
x
3
3
x
o
e
e
3
p
x
c
3
3
o
e
v
e
v
v
v
p
c
l
l
cô n g cụ phầ n mềm ch u yê n dụ n g như bộ q ué t ( s c a n n e r), bộ dò (s n iff e r) và bộ phâ n
tí ch ( a n a l yz e r), … để làm v iệ c đó. Nhữ n g phầ n mềm nà y có rấ t nh iề u t rê n mạ n g
I n t e r n e t và phầ n lớ n là m iễ n phí, cho nê n h a c k e r có thể dễ dà n g tả i nạ p về dù n g.
3
p
v
c
3
3
s
x
p
v
e
e
p
p
x
e
p
y
v
m
l
e
i
l
3
e
h
m
p
s
p
y
p
y
p
g
l
y
p
i
l
z
z
c
p
3
p
@
p
h
l
s
p
3
p
v
c
l
3
s
p
x
x
p
p
3
o
e
p
e
l
e
e
@
l
3
g
p
v
m
l
3
g
p
e
g
p
z
e
v
c
p
v
e
i
z
z
@
h
p
v
s
s
e
p
i
p
l
g
p
p
c
c
c. Kế t nố i mạ n g s a i q u y cá ch
v
z
l
p
c
l
x
z
h
m
3
3
Đô i kh i n gườ i sử dụ n g do sơ ý hoặ c khô n g nắm vữ n g q u y t rì nh th ao tá c t rê n
mạ n g, nê n đã kế t nố i đế n nhữ n g đị a chỉ có vẻ bì nh thườ n g như n g thự c chấ t là cá c
bẫ y n g u y h iểm gà i sẵ n t rê n I n t e r n e t, như vậ y khơ n g khá c gì tự dẫ n thâ n nộ p mạ n g
cho h a c k e r. Mộ t t ro n g nhữ n g thủ đoạ n q u e n th uộ c củ a họ là sử dụ n g cá c v i r us,
t roj a n xâm nhậ p q u a cá c t rì nh gử i thư đ iệ n tử (Ví dụ: O u t loo k E x p r ess) hoặ c cá c
t rì nh d u yệ t W e b để rì nh thờ i cơ tấ n cô n g, …
é
l
p
p
@
z
c
m
p
p
c
3
v
e
v
e
x
p
h
x
o
g
e
c
v
l
e
v
v
e
v
p
p
g
p
p
v
p
e
x
p
v
z
3
v
p
m
p
h
3
p
e
z
p
@
i
p
c
i
p
v
p
o
3
p
c
z
3
e
v
p
v
p
e
c
e
3
c
v
p
3
l
p
p
3
e
c
p
e
c
x
p
p
p
h
@
p
l
e
s
v
g
z
z
k
l
p
c
p
m
z
o
l
h
p
p
z
p
p
z
m
3
p
o
p
p
p
v
i
p
v
o
p
l
p
c
o
h
3
h
c
v
p
c
x
g
m
p
3
3
v
c
h
v
v
g
y
l
y
e
p
c
v
v
3
p
s
e
p
c
e
3
v
p
p
p
v
3
v
g
o
x
e
y
p
3
s
3
l
v
3
l
3
p
i
z
l
e
c
h
3
l
3
3
c
1.2. Cá c vấ n đề ch u n g a n tồ n thơ n g ti n
3
i
p
p
3
h
p
c
x
p
v
p
v
p
c
v
z
p
1.2.1. A n tồ n thơ n g t i n là gì?
p
v
p
v
p
c
v
z
p
y
c
A n tồ n n ghĩ a là thô n g t i n đượ c bảo vệ, cá c hệ thố n g và nhữ n g dị ch vụ có
khả nă n g chố n g lạ i nhữ n g t a i hoạ, lỗ i và sự tá c độ n g khô n g mo n g đợ i, cá c th a y đổ i
tá c độ n g đế n độ a n toà n củ a hệ thố n g là nhỏ nhấ t. Hệ thố n g có mộ t t ro n g cá c đặ c
đ iểm s a u là khô n g a n tồ n: Cá c thơ n g t i n dữ l iệ u t ro n g hệ thố n g bị n gườ i khô n g
đượ c q u yề n t r u y nhậ p tìm cá ch lấ y và sử dụ n g ( thô n g t i n bị rị rỉ). Cá c thơ n g t i n
t ro n g hệ thố n g bị th a y thế hoặ c sử a đổ i làm s a i lệ ch nộ i d u n g ( thô n g t i n bị xáo
t rộ n)...
p
o
p
v
3
p
p
p
z
c
p
l
x
3
v
e
p
v
e
p
p
3
c
l
p
v
p
p
y
z
x
o
m
x
p
y
p
c
c
c
p
h
h
p
v
e
h
p
c
p
v
c
m
v
p
p
p
v
y
c
v
p
x
p
v
x
v
z
p
3
y
x
z
v
3
v
3
v
i
l
z
p
p
z
y
p
y
v
p
c
z
p
l
v
e
l
x
p
z
y
i
p
c
v
z
p
z
z
c
h
g
v
e
v
p
p
v
p
m
3
c
p
3
p
p
z
z
o
v
v
p
3
z
c
3
x
c
3
c
i
3
e
p
3
3
@
e
g
c
v
p
@
p
p
l
v
c
p
c
3
c
3
p
l
p
p
v
c
c
v
h
c
p
o
v
g
g
p
3
p
l
x
3
p
c
m
3
v
y
p
y
i
l
c
v
3
@
i
p
3
l
m
p
z
p
s
v
c
x
3
v
p
@
p
p
c
c
v
@
z
p
p
Thơ n g t i n chỉ có g iá t rị c ao kh i đảm bảo tí nh chí nh xá c và kị p thờ i, hệ thố n g
chỉ có thể c u n g cấp cá c thơ n g t i n có g iá t rị thự c sự kh i cá c chứ c nă n g củ a hệ thố n g
đảm bảo hoạ t độ n g đú n g đắ n. Mụ c t iê u củ a a n tồ n t ro n g cơ n g n ghệ thô n g t i n là
đư a r a mộ t số t iê u ch uẩ n a n toà n. Ứ n g dụ n g cá c t iê u ch uẩ n a n toà n nà y vào đâ u để
loạ i t rừ hoặ c g iảm bớ t cá c n g u y h iểm. Do kỹ th uậ t t r u yề n nhậ n và xử lý thô n g t i n
n gà y cà n g phá t t r iể n đá p ứ n g cá c yê u cầ u n gà y cà n g c ao nê n hệ thố n g chỉ có thể
đạ t tớ i độ a n tồ n nào đó. Q uả n lý a n toà n và sự rủ i ro đượ c gắ n chặ t vớ i q uả n lý
chấ t lượ n g. Kh i đá nh g iá độ a n tồ n thơ n g t i n cầ n phả i dự a t rê n phâ n tí ch cá c rủ i
ro, tă n g sự a n toà n bằ n g cá ch g iảm tố i th iể u rủ i ro. Cá c đá nh g iá cầ n hà i hồ vớ i
đặ c tí nh, cấ u t rú c hệ thố n g và q uá t rì nh k iểm t r a chấ t lượ n g.
p
3
3
p
v
l
p
e
z
p
p
p
z
y
p
v
p
v
p
v
c
z
z
p
c
p
3
h
p
e
p
3
p
c
h
v
p
x
p
3
p
v
l
e
3
z
i
c
v
v
p
o
z
z
v
z
h
p
l
z
p
h
l
v
e
z
x
c
x
s
z
e
x
3
3
v
y
p
p
p
i
c
v
e
c
z
3
p
3
z
v
y
p
c
v
p
3
p
z
p
v
h
3
c
p
3
i
p
z
h
v
c
v
s
v
p
y
c
p
c
i
p
p
v
p
m
3
p
p
x
p
p
v
v
v
3
g
3
c
p
p
z
c
p
p
p
e
p
v
p
v
p
c
p
s
p
p
x
p
3
o
3
3
p
m
i
3
h
h
z
p
e
p
c
e
3
e
3
3
e
3
v
3
3
v
v
m
p
z
p
h
c
p
o
v
v
p
3
l
p
3
p
p
v
v
x
c
h
v
p
3
o
p
h
g
v
v
3
h
v
i
e
h
c
x
z
v
z
m
y
c
@
l
3
3
c
v
z
p
l
z
p
p
p
c
3
3
x
3
3
m
c
p
c
p
z
p
h
p
3
z
o
k
p
z
@
v
v
s
c
x
p
p
p
v
v
3
3
c
p
x
p
e
p
c
v
p
p
v
p
p
p
p
p
h
z
z
v
p
3
e
v
x
3
@
v
z
l
c
l
c
c
3
h
v
x
3
s
p
s
p
3
3
l
c
p
c
3
3
v
3
v
e
v
3
p
l
m
v
e
h
z
v
x
v
c
p
3
v
@
x
y
c
y
3
e
z
z
i
z
c
1.2.2. Cá c yê u cầ u a n tồ n thơ n g t i n
3
m
h
3
h
x
p
v
p
v
p
c
v
z
p
H iệ n n a y cá c b iệ n phá p tấ n cô n g cà n g n gà y cà n g t i nh v i, sự đ e doạ tớ i độ a n
toà n thơ n g t i n có thể đế n từ nh iề u nơ i th eo nh iề u cá ch chú n g t a nê n đư a r a cá c
chí nh sá ch và phươ n g phá p đề phò n g cầ n th iế t. Mụ c đí ch c uố i cù n g củ a a n toà n là
bảo vệ cá c thô n g t i n và tà i n g u yê n th eo cá c yê u cầ u s a u:
z
v
p
3
p
v
p
l
@
p
c
v
3
i
-
p
3
x
z
m
p
3
3
i
3
3
@
p
p
v
p
c
v
z
s
p
s
v
z
c
p
p
s
v
v
v
s
i
s
z
p
c
3
z
p
p
p
h
p
m
c
3
p
s
h
p
p
z
c
p
e
p
e
c
v
3
v
p
m
p
v
3
c
z
3
m
3
z
v
p
h
3
k
h
h
v
3
3
3
c
p
l
z
p
3
3
x
i
z
p
3
l
p
c
h
v
z
3
x
e
g
p
p
v
p
c
p
3
z
x
x
x
p
e
p
v
x
x
3
p
h
Đảm bảo tí nh t i n cậ y (Co nf i d e n t i a l i t y): Thô n g t i n khô n g thể bị t r u y nhậ p
t rá i phé p bở i nhữ n g n gườ i khô n g có thẩm q u yề n.
é
v
l
e
z
@
s
v
s
@
p
v
z
p
z
p
3
p
m
c
p
p
c
z
z
o
g
e
p
p
v
c
z
x
3
y
z
v
v
m
p
l
h
m
c
v
p
z
p
o
p
c
v
@
v
e
h
m
p
p
s
3
y
-
Đảm bảo tí nh n g u yê n vẹ n(I n t e g r i t y): Thô n g t i n khô n g thể bị sử a đổ i, bị
làm g iả bở i nhữ n g n gườ i khơ n g có thẩm q u yề n.
é
l
y
-
@
l
c
v
z
p
@
p
z
c
p
h
p
m
p
c
p
i
p
c
z
p
v
o
e
p
c
e
c
z
v
m
3
p
v
l
c
h
v
m
z
p
o
p
c
v
@
l
x
p
z
@
p
Đảm bảo tí nh sẵ n sà n g(Av a i l a b i l i t y): Thô n g t i n l uô n sẵ n sà n g để đá p ứ n g
é
l
-
l
@
v
p
l
p
l
p
c
i
x
z
y
x
@
z
y
z
v
m
p
c
v
z
p
y
h
p
l
p
l
p
c
p
p
s
p
c
sử dụ n g cho n gườ i có thẩm q u yề n.
g
p
c
3
p
c
z
3
v
l
h
m
p
Đảm bảo tí nh khơ n g thể từ chố i (No n- r e p u d i a t io n): Thô n g t i n đượ c c am
kế t về mặ t phá p l uậ t củ a n gườ i c u n g cấ p.
é
l
o
@
v
v
i
l
p
v
o
s
p
s
y
c
h
v
v
v
3
x
3
p
z
c
z
l
3
h
p
p
c
e
3
e
s
h
g
z
x
v
z
p
p
c
v
z
p
p
3
3
x
l
s
1.2.3. Cá c phươ n g phá p bảo vệ a n toà n thô n g ti n
3
s
p
c
s
s
@
i
x
p
v
p
v
p
c
v
z
p
Đượ c q u y tụ vào 3 nhóm:
é
3
h
m
v
i
p
l
-
Bảo vệ a n tồ n thơ n g t i n bằ n g cá c b iệ n phá p hà nh chí nh.
-
Bảo vệ a n tồ n thơ n g t i n bằ n g cá c b iệ n phá p kỹ th uậ t (phầ n cứ n g).
-
Bảo vệ a n tồ n thơ n g t i n bằ n g cá c b iệ n phá p th uậ t tố n (phầ n mềm).
i
x
i
p
x
i
v
p
x
p
v
p
v
p
v
p
v
p
c
p
v
v
c
p
z
v
c
p
z
v
@
p
z
p
@
p
c
p
@
3
c
p
3
3
c
@
3
3
z
@
3
p
z
@
s
p
z
s
s
p
p
s
s
3
o
s
v
v
p
h
h
v
v
s
v
p
p
3
s
p
p
c
l
l
B a nhóm t rê n có thể đượ c ứ n g dụ n g r iê n g rẽ hoặ c phố i kế t hợ p. Nộ i d u n g
chí nh cầ n n gh iê n cứ u sẽ là:
x
3
p
3
p
p
l
p
v
c
z
e
p
p
3
3
v
h
p
l
3
p
c
g
p
c
e
z
p
c
e
3
s
z
A n toà n Dữ l iệ u (D a t a S e c u r i t y).
-
A n toà n Cơ sở dữ l iệ u (CSDL) (D a t a b as e S e c u r i t y).
-
A n toà n Hệ đ iề u hà nh (O p e r a t io n s ys t em S e c u r i t y).
-
A n toà n mạ n g má y tí nh (N e two r k S e c u r i t y).
v
p
p
v
p
p
v
p
y
h
l
p
v
z
p
l
x
g
p
z
p
y
v
z
x
e
3
e
z
v
s
l
z
g
h
p
c
m
x
p
l
h
h
h
c
v
y
-
p
o
m
s
v
p
e
e
l
e
x
v
z
v
p
v
e
x
l
@
m
x
l
o
v
e
l
e
3
e
e
l
h
3
e
e
z
v
h
3
e
h
z
e
z
v
m
v
m
m
1.2.4. Mộ t số giải phá p khắ c phụ c đ iểm yế u
k
v
l
c
z
z
s
s
o
3
s
3
p
z
l
m
h
1.2.4.1. Đảm bảo a n ni nh cơ sở hạ tầ ng mạ n g
é
l
@
x
p
z
p
3
l
v
p
c
l
p
c
Cơ sở hạ tầ n g mạ n g là rấ t q u a n t rọ n g và khô n g thể th iế u t ro n g bấ t kỳ hệ
thố n g nào h iệ n n a y. Cá c thà nh phầ n củ a cơ sở hạ tầ n g mạ n g b ao gồm nh iề u thà nh
phầ n như: Ro u t e r, Sw i t ch, F i r ew a l l, … Do đó, v iệ c cấ u hì nh cá c thà nh phầ n và th iế t
bị nà y rấ t dễ gâ y r a lỗ hổ n g để cá c h a c k e r tấ n cô n g.
l
v
s
p
@
p
c
p
p
p
v
z
p
p
p
h
m
e
v
g
v
c
p
x
e
c
l
m
z
e
c
3
e
m
p
x
v
y
v
e
p
3
p
c
h
s
z
y
v
e
p
e
x
p
x
y
3
p
v
3
e
x
p
c
3
i
l
y
x
3
o
e
e
i
v
p
v
p
3
o
p
z
p
3
3
p
c
c
3
v
v
l
p
h
c
p
z
@
3
h
x
3
l
@
x
p
p
z
p
x
p
v
p
l
p
c
l
@
x
Bộ đị nh t u yế n Ro u t e r
p
p
v
h
m
p
h
v
e
e
-
K iểm t r a cá c dị ch vụ t rê n Ro u t e r
-
K iểm t r a cấ u hì nh t rê n Ro u t e r
z
l
z
v
l
e
v
x
e
3
x
3
3
g
3
h
i
p
v
v
e
e
p
p
h
h
v
v
e
e
e
e
Bộ ch u yể n mạ ch Sw i t ch
3
-
h
m
p
l
3
z
v
3
K iểm t r a cấ u hì nh cơ bả n t rê n Sw i t ch
z
l
v
e
x
3
h
p
3
@
p
v
e
p
z
v
3
Mộ t số cấ u hì nh nâ n g c ao t rê n Sw i t ch
k
v
l
3
h
p
p
p
c
3
x
v
e
Thiế t bị IDS/IPS
z
v
@
-
K iểm t r a sơ đồ kế t nố i
-
G iớ i hạ n t r u y cậ p bằ n g ACL
z
z
l
v
z
e
x
p
l
v
p
e
h
m
o
3
v
s
p
@
z
p
c
p
z
v
3
c
l
v
c
3
3
c
z
z
s
s
e
c
Đảm bảo a n n i nh, a n toà n mạ n g sẽ b ao gồm cá c g iả i phá p:
é
v
p
c
l
p
@
p
s
v
z
h
p
i
o
v
p
v
z
v
-
K iểm t r a g i ao thứ c t r u y cập để đảm bảo a n n i nh
-
Cấ u hì nh chế độ hoạ t độ n g
-
K iểm t r a ph iê n bả n H ĐH, s i g n a t u r e, v i r us
-
Bậ t chứ c nă n g phá t h iệ n/ chố n g tấ n cơ n g thăm dị
-
Bậ t chứ c nă n g phá t h iệ n/ chố n g tấ n cô n g Dos
z
l
v
e
h
x
c
p
z
l
e
x
3
v
x
v
3
v
v
z
3
z
p
3
v
e
p
s
3
3
p
@
c
p
m
v
p
p
h
p
p
s
p
v
s
l
z
v
p
p
z
p
l
@
x
p
p
z
p
c
é
s
c
3
z
c
3
p
p
p
3
x
v
c
p
h
e
v
c
e
i
p
v
z
3
p
e
p
3
h
l
c
p
v
l
c
g
l
Thiế t bị tườ n g lử a (F i r ew a l l)
z
v
@
v
p
c
y
x
z
-
Q uả n lý cấ u hì nh.
-
Tắ t bỏ dị ch vụ thừ a.
h
p
v
-
y
3
@
h
g
e
e
x
y
y
p
3
i
v
x
Đảm bảo t r u y cập.
é
l
@
v
e
h
m
3
s
-
Q uả n lý t r u y cậ p và n gă n chặ n tấ n cô n g.
-
Gh i nhậ n lạ i cá c lo g để k iểm t r a.
h
p
z
y
v
p
e
h
p
m
y
3
z
s
3
i
3
p
y
c
c
p
p
3
o
p
z
l
v
v
e
p
3
p
c
x
1.2.4.2. A n ni nh mật khẩ u
p
p
z
p
l
v
o
h
Mậ t khẩ u thườ n g là mộ t xâ u, ch uỗ i hoặ c mộ t loạ t cá c ký tự mà dị ch vụ
I n t e r n e t, phầ n mềm, hệ thố n g má y tí nh yê u cầ u n gườ i sử dụ n g nhậ p vào t rướ c kh i
có thể t iế p tụ c t r u y cậ p vào hệ thố n g hoặ c t rướ c kh i có thể t iế p tụ c sử dụ n g mộ t số
tí nh nă n g nhấ t đị nh. Do vậ y, mậ t khẩ u có mặ t ở khắ p cá c lĩ nh vự c và ứ n g dụ n g, nê n
vấ n đề a n n i nh mậ t khẩ u là mộ t yế u tố rấ t q u a n t rọ n g, nế u bị lộ mậ t khẩ u thì kẻ xấ u
có thể lợ i dụ n g và thự c th i ý đồ xấ u.
k
p
v
e
e
3
v
p
e
v
v
v
p
p
i
p
3
v
z
p
s
x
3
v
y
p
z
z
e
h
p
y
c
l
v
m
3
s
p
v
i
o
c
3
p
l
h
m
m
y
v
l
v
p
l
v
z
z
m
3
h
3
v
3
v
3
h
c
h
p
h
p
o
m
p
3
v
v
h
v
v
i
i
l
p
c
p
p
g
p
l
v
p
p
v
l
v
c
p
h
s
p
v
o
p
e
3
l
e
h
h
v
c
z
o
x
p
e
3
p
v
3
c
3
g
v
3
p
v
l
3
s
v
y
z
o
v
v
l
y
p
c
z
3
3
y
l
s
v
i
@
v
p
s
p
h
o
i
v
l
g
i
v
c
o
3
3
c
o
l
g
h
i
e
p
p
l
g
v
p
c
v
z
l
p
o
p
p
h
h
Đảm bảo a n n i nh mậ t khẩ u b ao gồm cá c g iả i phá p s a u:
é
l
@
x
p
p
z
p
l
v
o
h
@
x
c
l
3
3
c
z
z
s
s
l
x
h
-
K iểm t r a cá ch đặ t mậ t khẩ u củ a n gườ i dù n g (P asswo r d G u ess i n g).
-
Cá ch q uả n lý mậ t khẩ u t rê n H ĐH, phươ n g phá p h ash mậ t khẩ u (P asswo r d
C r a c k i n g).
z
l
v
e
3
e
-
x
3
h
x
3
o
z
3
p
p
p
y
v
l
l
v
v
o
o
h
h
v
3
e
x
p
p
c
z
é
g
p
c
s
p
x
c
l
l
s
e
s
x
g
h
l
e
l
l
l
z
v
p
c
o
h
x
l
l
e
g
c
K iểm soá t cá c phươ n g phá p c r a c k mậ t khẩ u để từ đó có cá ch đề phò n g hữ u
h iệ u.
z
l
z
l
v
3
3
s
p
c
s
s
3
e
x
3
o
l
v
o
h
p
v
p
3
3
3
p
s
p
c
h
h
1.2.4.3. A n ni nh cho cá c má y chủ
p
p
z
p
3
3
3
l
m
3
Tù y th uộ c vào mô i t rườ n g và tí nh chấ t làm v iệ c mà mỗ i mộ t hệ thố n g có thể
b ao gồm mộ t h a y nh iề u má y chủ vớ i cá c chứ c nă n g r iê n g b iệ t: má y chủ q uả n lý
m iề n (Dom a i n Co n t ro l l e r), má y chủ DNS, má y chủ M a i l, W e b, má y chủ lư u t rữ
CSDL, … Do vậ y, mỗ i má y chủ đề u đó n g mộ t v a i t rò nhấ t đị nh t ro n g toà n bộ hệ
thố n g. V iệ c đá nh g iá a n n i nh má y chủ có ý n ghĩ a rấ t q u a n t rọ n g t ro n g v iệ c gó p
phầ n đảm bảo a n n i nh tổ n g thể cho toà n hệ thố n g.
m
@
l
x
c
z
v
l
h
l
p
3
v
l
x
i
x
z
m
s
p
c
p
z
p
3
l
p
p
p
x
v
m
e
y
p
p
z
z
y
p
e
m
e
p
v
p
i
c
3
3
v
3
h
m
p
p
c
i
p
p
l
c
e
l
z
p
k
x
z
c
p
3
3
v
v
z
p
m
l
p
i
3
3
v
l
l
3
3
y
3
l
l
v
3
z
p
p
p
i
3
z
v
3
m
m
p
c
l
l
x
p
e
l
z
c
v
h
l
p
@
z
z
p
i
v
l
v
x
x
e
e
z
c
z
@
h
v
e
v
x
v
z
y
p
v
l
l
l
p
p
v
p
e
c
p
v
e
c
3
3
m
v
e
p
m
@
p
v
h
3
v
c
i
l
@
x
p
p
z
p
3
l
m
3
@
p
c
3
3
z
z
s
s
l
x
z
h
-
K iểm t r a cậ p nhậ t bả n vá lỗ hổ n g cho hệ đ iề u hà nh và cá c ứ n g dụ n g.
-
Cấ u hì nh phâ n q u yề n cá c tà i khoả n và thư mụ c ứ n g dụ n g t rê n má y chủ.
z
l
h
v
e
p
x
3
s
s
p
p
v
h
@
m
p
p
i
3
y
3
v
p
z
o
c
3
p
p
i
v
z
h
l
p
3
i
p
c
3
g
p
3
c
p
v
e
c
p
g
l
p
m
c
3
v
e
@
c
c
y
h
p
Đảm bảo a n n i nh cho má y chủ bằ n g cá c g iả i phá p s a u:
é
p
y
c
p
v
3
c
s
-
A n n i nh vậ t lý cho cá c má y chủ.
p
p
z
p
i
v
y
3
3
3
l
m
3
1.2.4.4. A n ni nh ứ ng dụ n g W e b
p
p
z
p
c
g
p
c
e
@
Thự c tế n gà y n a y, cá c hoạ t độ n g g i ao dị ch t rự c t u yế n, thươ n g mạ i đ iệ n tử,
n gâ n hà n g đ iệ n tử, tà i chí nh n gâ n hà n g, thị t rườ n g chứ n g khoá n, … là rấ t phổ b iế n
và là mộ t t ro n g cá c ch iế n lượ c phá t t r iể n củ a cá c cơ q u a n, do a nh n gh iệ p. Do đó,
cá c vấ n đề xo a y q u a nh hệ thố n g W e bs i t e là rấ t q u a n t rọ n g. V iệ c đảm bảo a n n i nh
cho cá c ứ n g dụ n g W e b là yế u tố mà rấ t nh iề u do a nh n gh iệp q u a n tâm kh i mà có rấ t
nh iề u lỗ hổ n g và n g u y cơ tấ n cô n g l iê n q u a n đế n W e bs i t e.
3
p
i
p
c
p
p
y
3
3
p
3
z
p
v
i
p
c
l
3
v
p
z
3
p
c
x
3
c
3
h
v
p
z
p
p
c
y
@
y
m
3
h
v
e
@
l
c
y
l
p
z
v
v
z
x
g
v
z
e
p
z
v
v
e
c
c
v
c
3
c
p
v
p
p
s
p
m
p
p
3
v
e
p
3
p
c
i
m
3
h
p
x
z
3
m
g
y
p
v
c
x
c
m
v
p
p
p
c
p
e
p
3
h
v
x
h
v
x
m
p
v
p
e
p
c
@
l
p
p
p
v
c
x
p
z
s
h
l
y
g
c
z
p
p
x
e
z
v
o
h
x
p
h
c
3
h
p
3
p
3
g
p
e
3
v
h
x
c
3
e
z
v
p
y
p
p
e
3
e
3
x
e
p
3
p
v
@
z
s
x
o
z
p
p
@
l
z
s
z
l
v
p
v
c
p
p
z
p
p
l
z
p
3
e
v
e
Cá c b iệ n phá p đảm bảo a n toà n cho W e bs i t e như s a u:
3
-
@
z
p
s
s
p
l
@
x
p
v
p
3
e
@
l
z
v
e
p
l
x
h
K iểm t r a, đá nh g iá độ bảo mậ t a n tồ n thơ n g t i n t rướ c n g u y cơ tấ n cô n g
dạ n g C ross S i t e S c r i p t i n g,
z
g
-
l
p
v
e
x
c
p
e
l
p
c
l
z
v
z
p
e
3
@
e
z
s
v
l
z
p
v
x
p
v
p
v
p
c
v
z
p
v
e
3
p
c
h
m
3
v
p
3
p
c
c
K iểm t r a, đá nh g iá độ bảo mậ t a n toà n thô n g t i n t rướ c n g u y cơ tấ n cô n g
dạ n g XP a th I nj e c t io n, SQL- i nj e c t io n, PHP- i nj e c t io n, HT ML co d e i nj e c t io n
z
g
-
l
p
v
e
x
p
c
x
p
c
v
p
z
e
p
3
v
@
z
l
v
p
z
x
p
p
e
v
3
v
p
z
v
p
c
p
v
z
z
p
p
v
e
3
e
v
3
z
p
c
h
p
m
3
v
k
3
p
g
3
e
z
p
p
c
e
3
v
z
p
K iểm t r a, đá nh g iá độ bảo mậ t a n tồ n thơ n g t i n t rướ c n g u y cơ tấ n cô n g
dạ n g HTTP R espo ns e S p l i t t i n g, F i l e I n c l us io n, B a c k doo rs /D e b u g O p t io ns.
z
g
-
l
p
v
e
x
p
p
c
c
e
z
l
p
s
@
p
l
l
e
s
y
z
v
v
v
z
x
p
p
v
c
p
z
y
v
e
p
p
3
y
c
h
l
v
z
z
p
v
e
p
3
x
3
o
p
c
h
g
m
e
3
v
l
e
p
@
3
h
p
c
c
s
v
z
p
l
K iểm t r a, đá nh g iá độ bảo mậ t a n tồ n thơ n g t i n t rướ c n g u y cơ tấ n cô n g
dạ n g Coo k i e Po iso n i n g, D i r e c to r y T r av e rs a l.
z
g
l
p
v
e
x
p
c
p
o
z
c
z
e
z
p
l
@
p
z
p
l
c
v
z
e
e
x
3
p
v
v
e
p
m
v
e
x
p
i
e
e
c
l
v
x
z
p
v
e
3
p
c
h
m
3
v
p
3
p
c
y
1.3. Giớ i th iệ u về cá c tiê u ch uẩ n đá nh giá hệ thố n g a n tồ n thơ n g ti n
z
z
v
z
h
i
3
3
v
z
h
3
h
p
p
p
c
z
v
p
c
x
p
v
p
v
p
c
v
z
p
1.3.1. Ch uẩ n a n tồ n thơ n g t i n
h
p
x
p
v
p
v
p
c
v
z
p
V iệ n t iê u ch uẩ n củ a A nh đã cô n g bố mộ t d a nh sá ch gồm 10 đ iề u k iệ n cầ n để
k iểm t r a v iệ c t r iể n kh a i cá c b iệ n phá p a n n i nh cơ bả n củ a mộ t hệ thố n g như s a u:
z
o
z
l
v
e
x
p
i
v
z
z
h
3
v
3
e
h
z
p
p
3
o
x
x
z
p
3
3
@
p
z
3
p
p
s
c
s
@
x
l
p
p
z
v
p
g
x
3
p
l
@
p
3
3
c
x
l
l
p
v
z
v
h
p
o
c
z
p
3
p
l
p
x
p
h
1. Chí nh sá ch a n n i nh (S e c u r i t y Po l i c y): C u n g cấp cá c n g u yê n tắ c, chỉ
dẫ n kh u yế n n ghị để cả i th iệ n a n n i nh thô n g t i n.
p
g
p
o
h
m
p
l
p
c
3
x
p
p
3
z
p
v
z
z
p
e
p
x
p
p
z
3
h
e
p
z
v
m
v
y
p
c
v
z
z
3
m
h
p
c
3
s
3
3
p
c
h
m
p
v
3
3
p
2. Tổ chứ c a n n i nh (S e c u r i t y O r g a n iz a t io n): Đề cập đế n cơ cấ u tổ chứ c
q uả n lý a n n i nh thô n g t i n.
3
h
p
y
x
p
p
3
z
p
x
p
v
p
p
c
z
v
z
p
e
3
h
e
z
v
m
e
c
x
p
z
x
v
z
p
é
3
s
p
p
3
3
h
v
3
3
p
3. Phâ n loạ i và k iểm t r a tà i sả n (Ass e t C l ass if i c a t io n a n d Co n t ro l): Thự c
h iệ n v iệ c k iểm kê tà i sả n thô n g t i n, đá nh g iá rủ i ro để bảo vệ thô n g t i n mộ t cá ch có
h iệ u q uả.
p
z
p
z
h
i
z
3
o
z
l
z
o
i
v
o
z
l
z
l
p
v
v
p
e
x
c
v
v
z
z
l
p
p
p
l
p
c
l
e
z
v
y
e
z
x
l
e
l
z
z
p
3
x
v
z
@
p
x
i
p
g
v
p
p
c
v
z
p
v
e
y
l
v
3
3
3
3
h
4. A n n i nh về nhâ n sự (P e rso n n e l S e c u r i t y): Mô tả t rá ch nh iệm củ a nhâ n
v iê n, v a i t rò củ a cá c cá nhâ n t ro n g a n n i nh thô n g t i n, nhằm g iảm th iể u cá c s a i só t
do lỗ i củ a co n n gườ i, do ă n cắ p hoặ c lạm dụ n g tà i sả n cô n g.
p
i
y
z
p
g
y
i
x
z
3
z
v
p
e
x
z
p
3
3
i
x
p
p
3
p
3
p
3
c
l
p
z
e
p
g
v
p
3
e
e
p
l
p
c
x
s
p
p
3
e
p
y
z
y
e
p
l
3
h
v
g
p
e
p
c
z
v
m
c
v
v
z
k
z
l
p
v
p
p
v
l
3
p
e
c
3
z
p
l
z
v
l
z
3
h
3
x
3
p
l
x
p
z
l
v
c
5. A n n i nh về mô i t rườ n g và mứ c vậ t lý (Ph ys i c a l a n d E nv i ro nm e n t a l
S e c u r i t y): Đị nh n ghĩ a, xá c đị nh mứ c độ a n tồ n về mơ i t rườ n g, vị t rí lắ p đặ t hệ
thố n g g iám sá t, phò n g chố n g chá y nổ, g iảm th iể u th iê n t a i cho cá c th iế t bị và tà i
sả n thô n g t i n.
p
e
3
v
l
h
e
p
p
c
v
z
v
m
c
é
z
p
p
l
v
z
p
i
p
l
c
z
p
p
v
s
l
c
z
x
p
c
p
3
v
e
p
3
p
p
c
c
i
p
3
l
l
m
3
p
3
p
i
x
c
z
v
p
l
y
v
v
m
p
z
i
h
l
l
v
z
z
3
x
z
p
y
v
v
x
x
e
z
p
p
3
g
p
c
i
i
3
v
3
v
z
e
e
p
y
z
l
s
v
@
e
p
p
v
x
y
v
i
v
z
6. Q uả n lý tá c n gh iệ p và thô n g t i n l iê n lạ c (Comm u n i c a t io ns a n d
O p e r a t io ns M a n a g em e n t): Xá c đị nh và q uả n t rị cá c q t rì nh thơ n g t i n, tạo đ iề u
k iệ n cho hệ thố n g q uả n lý a n n i nh thô n g t i n hoạ t độ n g có h iệ u q uả.
h
s
o
e
z
e
x
p
v
z
p
p
l
y
k
3
v
x
p
p
c
v
x
c
3
e
p
l
e
h
p
c
p
z
s
i
v
y
v
3
x
p
p
z
p
p
p
p
c
v
i
v
p
z
h
c
v
z
p
y
p
v
p
z
p
e
v
y
3
3
3
p
p
l
h
c
v
3
e
l
p
z
h
p
v
h
z
p
3
x
c
v
v
z
z
p
p
l
x
v
p
p
g
z
h
h
7. Đ iề u kh iể n t r u y nhậ p (A c c ess Co n t ro l): Cá c kh u yế n n ghị nhằm đảm
bảo t r u y nhậ p thô n g t i n có k iểm số t, gh i nhậ n ( lo g g i n g) q uá t rì nh t r u y nhậ p vào hệ
thố n g.
é
@
v
v
p
e
h
m
z
h
p
o
s
z
v
p
p
v
c
v
z
e
h
p
m
p
3
s
o
z
3
l
l
3
v
e
l
c
l
p
z
p
v
e
p
y
y
3
c
c
z
p
o
c
h
h
m
v
p
e
p
p
v
c
e
p
h
m
l
p
p
s
l
i
c
8. Phá t t r iể n hệ thố n g và bảo dưỡ n g (S ys t ems D ev e lo pm e n t a n d
M a i n t e n a n c e): Đảm bảo cá c dự á n, chươ n g t rì nh CNTT đượ c xâ y dự n g, th iế t lậ p,
t r iể n kh a i mộ t cá ch a n tồ n thơ n g q u a q uá t rì nh k iểm t r a mã n g uồ n, k iểm soá t dữ
l iệ u chươ n g t rì nh và sử dụ n g cá c g iả i th uậ t mã hó a.
v
k
x
v
e
y
z
z
z
p
v
p
e
p
o
h
x
x
p
z
3
e
p
v
c
v
e
z
p
é
l
3
v
l
3
e
v
@
3
x
p
i
p
3
p
v
l
3
p
c
@
p
v
p
i
g
p
g
c
3
3
c
3
p
h
c
g
z
x
z
c
v
h
v
p
v
h
v
e
e
c
m
p
l
v
e
l
p
o
l
z
l
l
e
p
l
v
e
3
x
i
p
l
e
y
m
p
c
s
g
h
l
p
p
e
c
o
p
v
v
z
x
z
l
p
v
g
y
l
s
v
g
x
9. Q uả n t rị tí nh l iê n tụ c t ro n g k i nh do a nh (B us i n ess Co n t i n u i t y
M a n a g em e n t): Cá c kh u yế n n ghị cho vấ n đề phá t t r iể n và d u y t rì họ a t độ n g k i nh
do a nh q u a cá c kế hoạ ch s ao lư u dự phò n g và khô i phụ c dữ l iệ u ( b a c k u p a n d
d is as t e r r e cov e r y p l a n)
h
k
x
g
p
x
g
z
l
x
c
e
l
p
e
h
x
l
v
e
e
p
x
e
p
e
v
v
3
3
e
v
3
3
i
p
o
h
o
e
e
y
m
s
y
x
p
p
3
m
z
v
p
l
3
c
v
e
3
x
y
p
i
h
c
o
p
g
z
p
s
p
g
s
p
c
v
i
x
v
e
p
z
h
p
o
i
z
g
s
l
h
3
z
m
p
v
e
l
l
p
e
g
x
y
z
v
h
v
p
@
z
p
x
3
p
h
c
o
z
o
h
v
z
s
m
p
x
p
g
p
10. Đ iề u k iệ n t uâ n thủ (Comp l i a n c e): Cá c vấ n đề l iê n q u a n đế n phá p lý,
cá c c am kế t t uâ n thủ cá c q u y đị nh củ a chí nh phủ, nhà nướ c..
é
3
3
3
x
l
z
o
h
v
v
o
h
z
p
p
v
v
h
p
3
v
3
h
l
m
p
p
s
3
y
x
z
x
p
3
3
e
3
p
s
i
p
p
p
y
p
z
p
h
x
p
p
p
s
s
y
3
1.3.2. Cá c t iê u ch uẩ n đá nh g iá a n tồ n thơ n g t i n
3
v
z
h
3
h
p
p
p
c
z
x
p
v
p
v
p
c
v
z
p
T rướ c t iê n chú n g t a tìm h iể u q u a mộ t số cá c t iê u ch uẩ n đá nh g iá a n tồ n
thơ n g t i n thô n g dụ n g đ a n g đượ c á p dụ n g rộ n g rã i h iệ n n a y.
e
v
p
c
v
z
3
p
v
v
z
p
p
c
3
g
p
p
c
c
p
v
x
p
x
v
c
l
z
p
3
h
h
s
g
x
p
l
c
v
e
p
l
c
3
e
3
z
v
z
z
p
h
p
x
3
h
p
p
p
c
z
x
p
v
p
m
1.3.2.1. Q uả n lý a n ni nh thô ng t i n (I nfo rm a t io n S e c ur i t y M a n a gem e nt)
h
p
y
x
p
p
z
p
v
p
c
v
z
p
p
e
l
x
v
z
p
e
3
h
e
z
v
m
k
x
p
x
c
e
l
e
p
v
th eo t iê u ch uẩ n ISO 27001.
v
e
v
z
h
3
h
p
Th eo đị nh n ghĩ a, a n n i nh thô n g t i n (I nfo rm a t io n S e c u r i t y) nhằm đảm bảo b a
th uộ c tí nh ( t r i a d) đượ c v iế t tắ t từ 3 chữ CIA đó là: Tí nh bí mậ t (Co nf i d e n t i a l i t y),
Tí nh tồ n vẹ n (I n t e g r i t y) và Tí nh sẵ n sà n g (Av a i l a b i l i t y).
e
v
h
3
v
p
p
p
v
p
v
p
e
i
z
p
x
c
g
x
x
p
p
p
v
3
e
c
e
z
p
i
v
p
z
m
z
v
p
v
v
v
i
p
c
v
v
z
p
p
e
3
p
l
l
x
p
p
l
p
c
i
v
z
p
e
y
x
z
y
3
p
x
@
z
y
z
v
h
e
z
@
v
m
p
l
l
v
p
p
z
l
g
@
e
p
v
z
@
x
y
z
v
x
m
m
Nh u cầ u th iế t lậ p mộ t chí nh sá ch a n n i nh thô n g t i n dự a t rê n nề n tả n g mộ t hệ
thố n g q uả n lý a n n i nh thô n g t i n IS MS (I nfo rm a t io n S e c u r i t y M a n a g em e n t S ys t em)
ch uẩ n hó a là vơ cù n g cầ n th iế t, t iê u ch uẩ n ISO 27001 đã đượ c ch uẩ n bị nhằm c u n g
cấp mộ t mơ hì nh để th iế t lậ p, thự c h iệ n, vậ n hà nh, th eo dõ i, x em xé t, d u y t rì và cả i
t iế n Hệ thố n g q uả n lý a n tồ n thơ n g t i n (IS MS). V iệ c chấ p nhậ n IS MS phả i là q u yế t
đị nh m a n g tí nh ch iế n lượ c củ a mộ t tổ chứ c. V iệ c th iế t kế và thự c h iệ n IS MS củ a tổ
chứ c chị u ả nh hưở n g bở i cá c cầ n th iế t và cá c mụ c t iê u, cá c yê u cầ u a n tồ n, cá c
q t rì nh
l
v
p
3
v
c
h
3
h
x
l
v
p
p
3
l
3
h
x
3
v
e
y
z
p
c
v
p
y
c
v
y
p
z
x
z
p
c
p
3
v
p
l
v
p
p
3
s
p
p
h
p
z
3
p
c
v
p
i
p
p
v
x
l
h
p
h
y
v
p
3
p
p
s
z
h
p
z
z
3
v
z
h
p
x
3
x
l
3
3
p
c
z
v
v
v
l
x
v
p
p
z
c
p
v
e
p
v
k
z
3
v
p
i
z
3
p
h
g
e
p
i
3
z
p
p
p
v
z
e
h
z
v
p
p
p
3
v
3
3
k
v
p
3
l
p
v
s
v
z
p
v
y
y
@
c
v
v
3
z
3
3
3
l
3
v
z
p
3
3
3
x
e
p
p
e
p
@
v
3
h
v
e
e
l
h
p
i
p
c
3
h
3
v
v
3
y
k
p
l
l
z
x
v
m
m
p
h
l
v
s
z
c
p
g
k
h
v
l
p
3
m
p
c
h
l
v
p
p
p
i
h
p
x
e
p
o
e
k
z
s
v
m
3
g
z
3
v
v
p
e
3
v
z
x
z
m
x
v
v
3
3
t u yể n dụ n g, q u i mô và cấ u t rú c củ a tổ chứ c. Cá c yế u tố nà y cù n g vớ i cá c hệ thố n g
hỗ t rợ củ a chú n g có thể xả y r a th a y đổ i th eo thờ i g i a n. Do đó v iệ c thự c h iệ n IS MS
sẽ đượ c t uỳ b iế n phù hợ p vớ i nh u cầ u củ a tổ chứ c. Ví dụ, mộ t tì nh h uố n g đơ n g iả n
yê u cầ u mộ t g iả i phá p IS MS đơ n g iả n.
v
h
m
p
v
l
g
p
e
3
p
m
3
v
h
h
@
l
c
z
v
i
3
p
c
3
h
v
p
s
z
z
v
3
m
s
s
e
e
i
s
x
x
v
z
k
3
x
p
m
h
p
v
3
p
z
3
p
c
h
z
3
v
3
e
3
m
v
x
v
h
z
c
3
z
v
x
p
m
3
p
p
p
3
g
c
i
l
i
z
v
z
3
v
3
v
3
v
3
p
z
h
p
p
p
c
c
k
p
p
c
z
p
p
T iê u ch uẩ n nà y sử dụ n g cá ch t iế p cậ n th eo q uá t rì nh để th iế t lậ p, thự c h iệ n,
vậ n hà nh, th eo dõ i, x em xé t, d u y t rì và cả i t iế n IS MS củ a mộ t tổ chứ c.
p
h
3
p
h
v
p
e
p
g
m
z
p
l
e
g
l
p
p
v
c
3
g
h
3
m
v
v
e
z
s
i
3
3
p
z
v
v
z
e
h
p
v
k
e
3
p
x
p
l
v
v
z
v
v
y
3
s
v
3
z
p
3
Tổ chứ c cầ n nhậ n b iế t và q uả n lý nh iề u hoạ t độ n g nhằm thự c h iệ n chứ c nă n g
mộ t cá ch h iệ u q uả. Bấ t kỳ hoạ t độ n g nào sử dụ n g cá c n g uồ n lự c và đượ c q uả n lý
nhằm b iế n cá c đầ u vào thà nh cá c đầ u r a đượ c co i như mộ t q t rì nh. Thơ n g thườ n g
cá c đầ u r a củ a mộ t q uá t rì nh hì nh thà nh đầ u vào t rự c t iếp cho q uá t rì nh t iếp th eo.
v
3
p
@
3
3
3
l
3
p
z
z
p
h
e
x
3
p
h
3
3
p
p
h
3
v
p
x
@
h
v
h
v
v
v
i
o
i
l
z
h
p
v
e
p
p
3
p
3
p
y
c
p
p
p
z
p
h
v
l
e
v
h
x
g
p
p
p
3
p
h
c
3
p
3
z
i
p
c
3
p
p
v
p
l
c
h
l
e
3
v
p
v
z
v
s
3
y
3
h
v
3
z
p
i
e
3
p
e
p
v
c
z
p
h
p
v
p
3
p
h
3
p
y
v
s
c
p
v
c
e
V iệ c á p dụ n g mộ t hệ thố n g cá c q uá t rì nh củ a mộ t tổ chứ c, đồ n g thờ i vớ i v iệ c
nhậ n b iế t và tươ n g tá c g iữ a cá c q t rì nh đó, và v iệ c q uả n lý chú n g đượ c x em như
mộ t cá ch t iế p cậ n th eo q uá t rì nh.
z
p
l
l
p
3
l
z
3
z
i
h
x
3
h
c
p
@
v
z
3
3
v
s
i
3
g
p
v
v
z
c
p
s
3
l
c
v
v
p
3
v
v
c
z
e
p
x
3
h
v
c
3
3
e
3
h
h
v
e
v
p
e
p
3
p
x
i
i
l
v
z
3
v
3
h
3
p
y
p
p
3
p
c
c
v
z
p
i
3
z
p
e
i
z
l
3
p
p
T iếp cậ n th eo q uá t rì nh củ a v iệ c q uả n lý a n toà n và a n tồ n thơ n g t i n thể
h iệ n t ro n g t iê u ch uẩ n nà y nhằm kh u yế n khí ch n gườ i sử dụ n g nhấ n mạ nh tầm q u a n
t rọ n g củ a v iệ c:
z
z
v
p
e
v
p
e
c
s
p
3
c
3
v
x
i
p
z
v
h
z
e
3
h
h
p
v
p
e
m
p
3
p
x
l
i
o
z
h
3
m
h
p
p
o
y
3
x
p
p
v
c
p
z
i
l
x
g
p
p
c
v
p
p
p
v
p
l
p
c
v
v
z
p
v
l
h
x
p
3
a) Thấ u h iể u đượ c nh u cầ u và cá c yê u cầ u về q uả n lý a n tồ n thơ n g t i n củ a tổ
chứ c và sự cầ n th iế t th iế t lậ p chí nh sá ch và cá c mụ c t iê u a n toà n thô n g t i n;
h
3
z
3
h
i
p
3
l
3
p
p
h
v
3
z
v
h
v
i
z
3
v
y
3
s
m
h
3
3
p
h
l
i
h
3
i
p
3
y
3
x
l
p
3
v
v
p
z
h
v
x
p
p
c
v
v
p
z
p
3
v
x
p
c
v
v
z
p
b) Cá c k iểm soá t thự c h iệ n và vậ n hà nh để q uả n lý cá c rủ i ro a n tồ n thơ n g t i n
củ a tổ chứ c t ro n g bố i cả nh toà n bộ cá c rủ i ro k i nh do a nh củ a tổ chứ c;
3
3
o
x
z
l
v
l
v
3
3
v
v
3
e
p
c
z
@
p
z
i
3
i
p
p
p
v
p
p
@
h
3
3
e
p
z
y
e
3
o
z
3
e
p
z
g
x
e
x
p
p
v
3
x
p
v
v
p
3
c
v
z
p
3
c) Th eo dõ i và x em xé t tí nh thự c h iệ n và h iệ u lự c củ a IS MS
e
g
z
i
p
e
l
p
v
v
p
v
3
z
p
i
z
h
y
3
3
x
k
d) Cả i t iế n l iê n tụ c t rê n cơ sở đo lườ n g mụ c t iê u.
z
v
z
p
y
z
p
v
3
v
e
p
3
l
p
y
p
c
l
3
v
z
h
T iê u ch uẩ n nà y t n th eo mơ hì nh "P l a n-Do-Ch e c k-A c t" (PDCA), mô hì nh
nà y đượ c áp dụ n g cho cấ u t rú c củ a mọ i q uá t rì nh IS MS. Hì nh 1.1 thể h iệ n cá ch t iế p
nhậ n yê u cầ u a n tồ n thơ n g t i n, và mo n g đợ i củ a cá c bê n l iê n q u a n và thô n g q u a
cá c hà nh độ n g, q uá t rì nh cầ n th iế t nhằm tạo r a cá c kế t q uả a n tồ n thơ n g t i n đá p
ứ n g cá c yê u cầ u và mo n g đợ i đó.
z
p
m
p
p
m
3
p
h
p
3
x
p
m
p
g
3
p
c
h
s
h
3
p
3
3
p
3
h
c
m
p
v
h
h
3
p
h
3
v
3
c
h
p
v
i
p
h
v
v
e
p
3
c
z
p
p
l
3
v
3
p
e
e
c
p
l
v
x
p
l
z
h
l
v
y
z
i
v
z
p
p
p
v
c
e
p
l
x
p
e
p
3
e
o
3
k
z
v
3
x
x
l
p
3
3
v
3
3
@
o
v
p
v
y
z
h
p
x
z
h
p
x
v
p
p
3
i
p
p
3
v
v
p
v
p
c
z
c
v
z
s
h
p
x
p
s
p
VÍ DỤ 1:
Mộ t u cầ u có thể là sự v i phạm a n toà n và a n tồ n thơ n g t i n sẽ khô n g là
n g u yê n nhâ n gâ y th iệ t hạ i n gh iêm t rọ n g về tà i chí nh và/hoặ c gâ y nê n tì nh t rạ n g rắ c
rố i củ a tổ chứ c.
k
p
e
c
h
z
m
v
p
3
m
p
x
h
p
v
3
c
3
h
m
3
v
z
v
y
v
z
l
p
i
c
z
z
l
s
v
l
e
p
x
c
p
v
i
v
p
z
i
3
x
p
p
v
p
i
v
3
c
p
m
c
p
v
z
p
p
l
v
o
p
v
p
e
p
c
y
c
e
3
3
VÍ DỤ 2:
T ro n g t rườ n g hợ p mộ t sự cố n gh iêm t rọ n g xả y r a - ví dụ như hoạ t độ n g phá
hoạ i t r a n g k i nh do a nh đ iệ n tử củ a tổ chứ c – cầ n có nhữ n g n gườ i đượ c đào tạo thoả
đá n g về cá c thủ tụ c thí ch hợ p nhằm g iảm th iể u tá c độ n g.
e
z
p
p
v
c
e
i
x
p
p
c
c
3
o
3
v
z
p
v
e
p
c
g
v
x
3
s
p
v
p
3
l
z
v
p
l
v
s
3
3
p
p
x
c
v
l
z
3
c
z
l
v
3
l
e
p
3
v
z
c
p
p
h
v
m
3
3
e
p
p
x
i
p
p
c
c
g
p
c
p
z
v
p
3
p
p
p
v
c
s
v
