BÁO CÁO ĐỒ ÁN AN TOÀN THÔNG TIN ĐỀ TÀI TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (8.52 MB, 153 trang )
<span class="text_page_counter">Trang 1</span><div class="page_container" data-page="1">
<b>TRƯỜNG ĐẠI HỌC TÀI CHÍNH – MARKETING KHOA CÔNG NGHỆ THÔNG TIN </b>
------
<b>BÁO CÁO ĐỒ ÁN AN TỒN THƠNG TIN </b>
<b>ĐỀ TÀI: TÌM HIỂU VỀ AN TỒN VÀ BẢO MẬT THƠNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ </b>
<b>TP.Hồ Chí Minh,5 tháng 12 năm 2023</b>
</div><span class="text_page_counter">Trang 2</span><div class="page_container" data-page="2"><b>TRƯỜNG ĐẠI HỌC TÀI CHÍNH – MARKETING KHOA CƠNG NGHỆ THƠNG TIN </b>
------
<b>BÁO CÁO ĐỒ ÁN AN TỒN THƠNG TIN </b>
<b>ĐỀ TÀI: TÌM HIỂU VỀ AN TỒN VÀ BẢO MẬT THƠNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ </b>
<b>TP.Hồ Chí Minh,5 tháng 12 năm 2023</b>
</div><span class="text_page_counter">Trang 3</span><div class="page_container" data-page="3">i
<b>LỜI CẢM ƠN</b>
Lời đầu tiên, em xin gửi lời cảm chúc sức khỏe và trân trọng nhất đến cô Mai Thanh Tâm và toàn thể quý thầy cô khoa Công nghệ thông tin trường Đại học Tài Chính – Marketing. Đặc biệt hơn cả, em xin gửi lời cảm ơn đặc biệt đến cô, người luôn đồng hành, hướng dẫn nhiệt tình, hết lịng giúp đỡ để em có thể tìm hiểu, trau dồi kiến thức về ngành học và hồn thành được đồ án mơn học này.
Qua mơn họcAn tồn thơng tin, cơ đã tận tình giảng dạy và truyền đạt toàn bộ các kiến thức quý giá. Qua đó đã giúp em có thêm những kiến thức về các hệ thống thơng tin. Nó chính là nền tảng để bổ sung những kiến thức mà em cịn thiếu sót để sau này khắc phục nó. Qua đó rút ra được nhiều bài học, nhiều kinh nghiệm bổ ích.
Trong q trình thực hiện đề tài, chúng em đã cố gắng để nỗ lực. Tuy nhiên vì chưa có nhiều kinh nghiệm và khả năng am hiểu về An tồn thơng tin nên vẫn cịn nhiều hạn chế. Nên trong q trình thực hiện đề tài khó tránh khỏi những thiếu sót. Em rất mong nhận được những nhận xét, ý kiến đống góp của cơ để em có thể hồn thành đề tài một cách chỉnh chu nhất.
Chúng em xin trân trọng cảm ơn!
Cuối cùng, em kính chúc cô lời chúc sức khỏe, hạnh phúc và luôn thành công trên con đường sự nghiệp giảng dạy của mình.
Trân trọng!
TP Hồ Chí Minh, ngày 5 tháng 12 năm 2023 Sinh viên thực hiện
Võ Thị Thúy Quyên
</div><span class="text_page_counter">Trang 6</span><div class="page_container" data-page="6">iv
<b>DANH MỤC TỪ VIẾT TẮT </b>
1 ATTT An tồn thơng tin
</div><span class="text_page_counter">Trang 8</span><div class="page_container" data-page="8">vi
<b>DANH MỤC BẢNG BIỂU </b>
Bảng 3. 1 Bảng so sánh 03 phương pháp: STRIDE, PASTA và CVSS ... 20
Hình 3. 1 Mơ hình Microsoft Modeling Tool... 22
Bảng 3. 2 Bảng liệt kê Threat 1 ... 23
Bảng 3. 3 Bảng liệt kê threat 2 ... 23
Bảng 3. 4 Bảng liệt kê threat 3 ... 24
Bảng 3. 5 Bảng liệt kê threat 4 ... 25
Bảng 3. 6 Bảng liệt kê threat 5 ... 26
Bảng 3. 7 Bảng liệt kê threat 6 ... 26
Bảng 3. 8 Bảng liệt kê threat 7 ... 27
Bảng 3. 9 Bảng liệt kê threat 8 ... 28
Bảng 3. 10 Bảng liệt kê threat 9 ... 28
Bảng 3. 11 Bảng liệt kê threat 10 ... 29
Bảng 3. 12 Bảng liệt kê so sánh Net user /? và Net help user ... 62
</div><span class="text_page_counter">Trang 9</span><div class="page_container" data-page="9">iii
<b>DANH MỤC HÌNH ẢNH </b>
Hinh 2. 1 Quy trình an tồn bảo mật thơng tin ... 4
Hình 3. 1 Mơ hình Microsoft Modeling Tool... 22
Hình 3. 2 Hộp thoại login win 10 ... 30
Hình 3. 3 Hộp thoại User Accounts login win 10 ... 31
Hình 3. 4 Mở setting ... 32
Hình 3. 5 Chức năng Personnalization ... 32
Hình 3. 6 Chức năng Personnalization Lock screen... 33
Hình 3. 7 Hộp thoại Screen saver setting ... 34
Hình 3. 8 Update & Security ... 35
Hình 3. 9 Windows security ... 35
Hình 3. 10 Thành phần Windows security ... 36
Hình 3. 11 Chức năng Virus threat protectione ... 37
Hình 3. 12 Account protection ... 38
Hình 3. 13 Firewall and Network Protection... 39
Hình 3. 14 App and Browser Control ... 40
</div><span class="text_page_counter">Trang 10</span><div class="page_container" data-page="10">iv
Hình 3. 20 Kiểm tra Tamper Protection ... 46
Hình 3. 21 Kiểm tra Reputation-based protection ... 47
Hình 3. 22 Kiểm tra Remote desktop ... 48
Hình 3. 23 Remote Desktop ... 48
Hình 3. 24 Sử dụng Virus Total ... 49
Hình 3. 25 Kết quả Sử dụng Virus Total ... 50
Hình 3. 26 kết quả dựa trên báo cáo của VirusTotal ... 50
Hình 3. 27 Quick Scan: Để quét nhanh virus và các mối đe dọa ... 52
<b>Hình 3. 28 Kết quả Quick Scan: Để quét nhanh virus và các mối đe dọa ... 53</b>
Hình 3. 29 Hộp thoại tùy chọn Full scan ... 54
Hình 3. 30 Đang chạy Full scan ... 55
Hình 3. 31 Kết quả chạy Full scan ... 55
Hình 3. 32 Quét các file và thư mục nghi ngờ sử dụng R ... 56
Hình 3. 33 Chuyển về thư mục gốc đĩa C ... 57
Hình 3. 34 Tạo một thư mục có tên Btcommandline ... 57
Hình 3. 35 chuyển vào thư mục mới tạo ... 57
Hình 3. 36 Tạo thư mục "this directory has a space" ... 58
Hình 3. 37 Chuyển vào thư mục mới tạo bằng cách sử dụng dấu * ... 58
Hình 3. 38 Tạo thư mục ẩn có tên "mystuff"... 58
Hình 3. 39 Đổi tên "this directory has a space" thành "shortname" ... 59
Hình 3. 40 Mở chương trình máy tính (calc.exe) ... 59
Hình 3. 41 Ngưng Process của Calc ... 59
Hình 3. 42 Dùng ipconfig để lấy cấu hình ... 60
</div><span class="text_page_counter">Trang 11</span><div class="page_container" data-page="11">v
Hình 3. 43 Dùng netstat để lấy thơng tin kết nối ... 61
Hình 3. 44 Dùng tracert đến thanhnien.vn ... 61
Hình 3. 45 Tạo 3 User :QuanLy, u1, u2 với Password là "123" ... 63
Hình 3. 46 Cấu hình user QuanLy thành member của group Administrators ... 63
Hình 3. 47 Thiết lập UAC Notifications ở Level 1 ... 64
Hình 3. 48 Thiết lập UAC Notifications ở Level 2 ... 66
Hình 3. 49 Quan sát giao diện Windows Firewall ... 67
Hình 3. 50 Quan sát giao diện Windows Firewall nâng cao ... 68
Hình 3. 51 Mở command prompt ở quyền Admin, chạy các lệnh ... 68
Hình 3. 52 netsh advfirewall set allprofiles state on ... 69
Hình 3. 53 Block một địa chỉ IP ... 69
Hình 3. 54 Nhập đìa chị IP ... 70
Hình 3. 55 Đặt tên Rules IP ... 70
Hình 3. 56 Kết quả Block một địa chỉ IP ... 71
Hình 3. 57 Block một ứng dụng kết nối với Internet ... 71
Hình 3. 58 Block Internet đặt tên ... 72
Hình 3. 59 Kết quả Block một ứng dụng kết nối với Internet ... 72
Hình 3. 60 Mở Properties firewall ... 72
Hình 3. 61Ccá bước hồn tất tạo firewall ... 73
Hình 3. 62 Xem file Log của firewall ... 73
Hình 3. 63 Khảo sát Task Manager ... 75
Hình 3. 64 Cửa sổ System Configuration ... 76
Hình 3. 65 Hộp thoại cửa sổ lệnh Run ... 76
</div><span class="text_page_counter">Trang 12</span><div class="page_container" data-page="12">vi
Hình 3. 66 Cửa số Local Group Policy Editor ... 77
Hình 3. 67 Hộp thoại Audit account logon events properties ... 78
Hình 3. 68 Cửa sổ Windows Event Viewer ... 79
Hình 3. 76 Kết quả khi thực hiện lệnh: Reg query ... 84
Hình 3. 77 Sao lưu HKCU thành file ... 84
Hình 3. 78 phục hồi HKCU ... 84
Hình 3. 79 Liệt kê các services đang hoạt động ... 85
Hình 3. 80 Liệt kê các services khơng hoạt động ... 85
Hình 3. 81 services name của services “plug and play” (có thể dùng services.msc) ... 85
Hình 3. 82 Ngưng services “plug and play” ... 85
Hình 3. 83 Disable services ... 85
Hình 3. 84 Kết quả Disable services ... 86
</div><span class="text_page_counter">Trang 13</span><div class="page_container" data-page="13">vii
Hình 3. 85 Chạy lại services“plug and play” ... 86
Hình 3. 86 Thông báo sau khi chởi chạy lại services“plug and play”... 86
Hình 3. 87 Enable services “plug and play” ... 86
Hình 3. 88 Khởi chạy lại services “plug and play” ... 86
Hình 3. 89 khảo sát phần Privacy & Security của gg ... 87
Hình 3. 90 Khảo sát phần Privacy & Security Mozila Firefox ... 89
Hình 3. 91 Tính năng bảo mật trên facebook ... 90
Hình 3. 92 Các tùy chọn bảo mật trên facebook ... 91
Hình 3. 93 Thay đổi tên mạng (SSID) ... 92
Hình 3. 94 Thay đổi tên người dùng và mật khẩu ... 93
Hình 3. 95 Sử dụng mã hóa mạnh để bảo mật wifi (WPA2) ... 93
Hình 3. 96 Vơ hiệu hóa mạng khách (guest) ... 94
Hình 3. 97 Tắt WPS (Wi-Fi Protected Setup) ... 94
Hình 3. 98 Sử dụng Firewall của Router ... 95
Hình 3. 99 Quản lý firmware của bộ định tuyến ... 95
Hình 3. 100 Tắt quản lý từ xa/ dịch vụ khơng cần thiết ... 96
Hình 3. 101 ping tới địa chỉ IP của máy google.com. ... 96
Hình 3. 102 Các dịng thể hiện q trình ping ... 97
Hình 3. 103 Mở Wireshark ... 98
Hình 3. 104 Mở Mở Wireshark chọn wifi ... 98
Hình 3. 105 Chọn cổng mạng muốn nghe lén trên Wireshark ... 99
Hình 3. 106 Đăng nhập thành cơng Wireshark ... 100
Hình 3. 107 Bắt gói tin tại Wireshark ... 100
</div><span class="text_page_counter">Trang 14</span><div class="page_container" data-page="14">viii
Hình 3. 108 Lọc kết quả sử dụng giao thức HTTP. ... 101
Hình 3. 109 Cột thơng tin và tìm các điểm đầu vào có phương thức HTTP POST ... 102
Hình 3. 110 Mở SQL injection Injection ... 104
Hình 3. 111 Nhập mật khẩu và password trong SQL injection ... 104
Hình 3. 112 SQL injection thơng báo lỗi khơng tìm thấy tài khoản ... 105
Hình 3. 113 Hiển thị lỗi để để có thể tạo ra đoạn code giả để xâm nhập vào web ... 105
Hình 3. 114 Nhập password ký tự đặc biệt ... 106
Hình 3. 115 Đăng nhập thành cơng khi nhập kí tự đặc biệt ... 106
Hình 3. 116 Đặt mật khẩu bảo vệ File word ... 111
Hình 3. 117 Chữ ký số trong file word ... 112
Hình 3. 118 Chứng thực trong file word ... 113
Hình 3. 119 Kiểm Soát Quyền Truy Cập RMS trong file word ... 114
Hình 3. 120 Bảo vệ Ơ và Tế bào trong excel ... 115
Hình 3. 121 Kiểm sốt Dữ liệu Bảo mật trong excel ... 116
Hình 3. 122 Tính năng duyệt tài liệu trong excel ... 116
Hình 3. 123 Tạo chữ kỹ số trong file word ... 117
Hình 3. 124 Kết quả Tạo chữ kỹ số trong file word ... 118
Hình 3. 125 Mở ứng ứng Kleopatra ... 118
Hình 3. 126 Hộp thoại Create OpenPGP – Kleopatra ... 119
Hình 3. 127 Hộp thoại Advanced setting ... 119
Hình 3. 128 backup secret Keys ... 120
Hình 3. 129 Chọn thư mục lưu sử dụng Kleopatra ... 121
Hình 3. 130 Tạo mới file bất kì hoặc đã có vào cùng một thư mục ... 122
</div><span class="text_page_counter">Trang 16</span><div class="page_container" data-page="16">x
<b>MỤC LỤC </b>
LỜI CẢM ƠN ... i
NHẬN XÉT VÀ ĐÁNH GIÁ CỦA GIẢNG VIÊN 1 ... ii
NHẬN XÉT VÀ ĐÁNH GIÁ CỦA GIẢNG VIÊN 2 ... iii
1.4. Đối tượng nghiên cứu: ... 1
1.5. Phương pháp nghiên cứu: ... 2
CHƯƠNG 2: CƠ SỞ LÝ THUYẾT ... 3
2.1. Căn bản về an toàn và bảo mật thông tin ... 3
2.1.1. Những khái niệm cơ bản ... 3
2.1.2. Quy trình ATBM thơng tin ... 4
</div><span class="text_page_counter">Trang 17</span><div class="page_container" data-page="17">xi
2.1.3. Phát triển hệ thống ATBM TT ... 5
2.1.4. Cơng cụ mơ hình hóa mối đe dọa ... 6
2.2. An tồn và bảo mật thơng tin trên máy tính cá nhân ... 7
2.2.1. Giới thiệu tổng quan hệ điều hành ... 7
2.2.2. Kiểm soát truy cập ... 7
2.2.3. Các biện pháp ATBM trên hệ điều hành ... 8
2.3. An tồn và bảo mật thơng tin trên mạng máy tính ... 8
2.3.1. Khái niệm về mạng ... 8
2.3.2. Mơ hình OSI ... 8
2.3.3. Các điểm yếu mạng máy tính ... 8
2.3.4. ATBM trong mạng nội bộ Intranet ... 8
2.3.5. ATBM trên mạng Internet ... 9
2.3.6. ATBM Wifi ... 10
2.3.7. ATBM dựa trên IP ... 10
2.4. Công nghệ bảo mật và an toàn cơ sở dữ liệu ... 11
2.4.1. Lí do cần bảo mật CSDL ... 11
2.4.2. Các cơ chế an toàn trong hệ quản trị cơ sở dữ liệu ... 11
2.4.3. SQL Injection ... 11
2.5. An toàn và bảo mật thông tin qua chữ ký số ... 11
2.5.1. ATBM thông tin trên tài liệu, chứng từ điện tử ... 11
2.5.2. ATBM thơng tin dựa trên mã hóa ... 12
2.5.3. Chữ ký số và chứng thực số ... 13
2.5.4. ATBM thanh toán điện tử ... 13
</div><span class="text_page_counter">Trang 18</span><div class="page_container" data-page="18">xii
CHƯƠNG 3: KẾT QUẢ NGHIÊN CỨU ... 15
3.1. Căn bản về an tồn và bảo mật thơng tin ... 15
3.1.1. Tóm tắt lại lịch sử ATTT ... 15
3.1.2. Tìm hiểu các thuật ngữ ... 16
3.1.3. Cho biết từng điều nào sau đây là vi phạm tính bảo mật, tồn vẹn, sẵn có, hoặc một số kết hợp của chúng ... 17
3.1.4. Tìm và tóm tăt 3 Luật và 3 văn bản dươi luật liên quan đến ATTT ... 18
3.1.5. Tóm tắt các nội dung của quy trình xây dựng hệ thống ATTT Software Development Life Cycle ... 19
3.1.6. Lập bảng so sánh 03 phương pháp: STRIDE, PASTA và CVSS ... 20
3.1.7. Vẽ mơ hình sau bằng Microsoft Threat Modeling Tool ... 22
3.2. An toàn và bảo mật thơng tin trên máy tính cá nhân ... 29
3.2.1. Login Win 10 ... 29
3.2.2. Screen saver ... 31
3.2.3. Kiểm tra các thành phần an toàn bảo mật trên Win 10 ... 35
3.2.4. Kiểm tra chức năng Ransomware Protection ... 45
3.2.5. Kiểm tra Tamper Protection ... 46
3.2.6. Kiểm tra Reputation-based protection ... 47
3.2.7. Kiểm tra Remote desktop ... 48
3.2.8. Sử dụng Virus Total ... 49
3.2.9. Sử dụng Microsoft Defender ... 52
3.2.10. Windows command line ... 56
</div><span class="text_page_counter">Trang 19</span><div class="page_container" data-page="19">3.2.15. Khảo sát Task Manager, Khảo sát MS config ... 74
3.2.16. Làm việc với GPO ... 76
3.2.17. Làm việc với Registry Regedit (GUI) ... 82
3.2.18. Làm việc với Services ... 84
3.3. An tồn và bảo mật thơng tin trên mạng máy tính ... 87
3.3.1. An tồn bảo mật trên Web browser Internet explorer ... 87
3.3.2. Thiết lập cơ chế an toàn BM trên mạng xã hội(ví dụ : Fackebook) ... 90
3.3.3. Lab thiết lập các tùy chọn bảo mật cho Wifi Router ... 92
3.3.4. Làm quen với Wireshark ... 96
3.3.5. Nghe lén sử dụng Wireshark ... 97
3.4. Công nghệ bảo mật và đảm bảo an toàn cơ sở dữ liệu ... 103
3.4.1. Tìm hiểu về SQL Injection ... 103
3.4.2. Tìm hiểu các cơ chế bảo mật của Microsoft SQL Server ... 107
3.4.3. Tìm hiểu các cơ chế bảo mật của Oracle ... 108
3.4.4. Tìm hiểu các cơ chế bảo mật của MySQL ... 109
3.5. An tồn và bảo mật thơng tin qua chữ ký số ... 110
3.5.1. Thực hiện khảo sát các tính năng bảo vệ tài liệu điện tử trong Word, Excel, PowerPoint. Tạo chữ ký số trong file tài liệu điện tử. ... 110
</div><span class="text_page_counter">Trang 20</span><div class="page_container" data-page="20">xiv
3.5.2. Cho một tập tin bất kỳ, hãy tạo một chữ ký số sử dụng phần mềm tạo chữ
ký số miễn phí như Gpg4win hoặc Kleopatra. ... 118
3.5.3. Thực hiện một mã hóa đơn giản bằng cách sử dụng cơng cụ mã hóa trực tuyến như CyberChef hoặc Cryptii. ... 126
3.5.4. Tìm hiểu về các hình thức thanh tốn trực tuyến như thẻ tín dụng, ví điện tử và chuyển khoản ngân hàng. ... 129
3.5.5. Tìm hiểu về các cơng nghệ bảo mật thanh tốn như SSL/TLS, mã hóa dữ
</div><span class="text_page_counter">Trang 21</span><div class="page_container" data-page="21">1
<b>CHƯƠNG 1: TỔNG QUAN ĐỀ TÀI </b>
<b>1.1. Lý do chọn đề tài </b>
Trong bối cảnh mạng lưới thông tin ngày càng phát triển, nhu cầu đảm bảo an toàn và bảo mật thông tin trở nên ngày càng quan trọng. Sự bùng nổ của công nghệ số mang lại nhiều cơ hội và tiện ích, nhưng cũng đi kèm với nguy cơ lớn về an ninh thông tin. Điều này tạo ra một thách thức đối với cộng đồng chuyên gia và nhà nghiên cứu để tìm hiểu và áp dụng các biện pháp hiệu quả để bảo vệ thông tin quan trọng khỏi các mối đe dọa ngày càng phức tạp.
<b>1.2. Mục tiêu nghiên cứu: 1.2.1. Mục tiêu tổng quát </b>
Mục tiêu chung của đề tài là hiểu rõ hơn về thách thức và cơ hội liên quan đến an toàn và bảo mật thông tin trong bối cảnh ngày càng số hóa nhanh chóng.
<b>1.2.2. Mục tiêu cụ thể </b>
Nghiên cứu sẽ tập trung vào việc phân tích các xu hướng mới và mơ hình hiện đại trong lĩnh vực an tồn thơng tin. Ngồi ra, mục tiêu cụ thể là đề xuất các giải pháp và chiến lược nhằm ngăn chặn và giảm thiểu rủi ro an ninh mạng.
<b>1.3. Phạm vi của đề tài: </b>
Phạm vi của đề tài sẽ hướng tới nghiên cứu chi tiết về các khía cạnh quan trọng trong lĩnh vực an tồn và bảo mật thơng tin. Các khía cạnh này bao gồm mạng, hệ thống, chính sách, và vai trò của con người trong quá trình đảm bảo an tồn thơng tin.
<b>1.4. Đối tượng nghiên cứu: </b>
Các đối tượng nghiên cứu của chúng tôi bao gồm tất cả các tổ chức và cá nhân sử dụng công nghệ số, đặc biệt là trong lĩnh vực doanh nghiệp và chính phủ. Sự hiểu biết sâu rộng về an tồn thơng tin sẽ làm nền tảng cho sự phát triển bền vững trong mơi trường số hóa.
</div><span class="text_page_counter">Trang 22</span><div class="page_container" data-page="22">2
<b>1.5. Phương pháp nghiên cứu: </b>
Chúng tôi sẽ sử dụng phương pháp nghiên cứu tổng hợp thông tin từ nhiều nguồn đáng tin cậy nhất. Phân tích chi tiết về các vấn đề và giải pháp trong lĩnh vực an tồn và bảo mật thơng tin sẽ được thực hiện để đảm bảo sự hiệu quả và tính tồn diện của nghiên cứu.
</div><span class="text_page_counter">Trang 23</span><div class="page_container" data-page="23">3
<b>CHƯƠNG 2: CƠ SỞ LÝ THUYẾT </b>
<b>2.1. Căn bản về an tồn và bảo mật thơng tin 2.1.1. Những khái niệm cơ bản </b>
<b>An tồn và bảo mật thơng tin (ATBM TT) là quá trình đảm bảo sự an tồn của thơng tin </b>
và các yếu tố liên quan, bao gồm hệ thống, phần cứng, và dữ liệu trong quá trình sử dụng, lưu trữ, và truyền tải thơng tin. Để hiệu quả, cần sử dụng chính sách, nhận thức, đào tạo, giáo dục, và công nghệ.
<b>Các thuật ngữ quan trọng bao gồm mối đe dọa, lỗ hổng, cuộc tấn công, rủi ro, và các cơ </b>
chế an toàn bảo mật như mật mã, xác định, xác thực, và kiểm tốn.
<b>Chính sách bảo mật định nghĩa cách tổ chức bảo vệ thông tin và đặt ra quy định về mức </b>
độ an toàn, đào tạo nhân viên, và sử dụng công cụ bảo mật như mật mã, tường lửa, và phần mềm diệt virus.
<b>Mơ hình CIA (Confidentiality, Integrity, Availability) là cơ sở cho an tồn bảo mật </b>
thơng tin, đảm bảo tính bảo mật, tồn vẹn, và sẵn sàng của thơng tin.
<b>Các cấp độ an tồn và bảo mật thơng tin có thể áp dụng cho chương trình, hệ điều hành, </b>
mạng, và hệ thống thông tin.
</div><span class="text_page_counter">Trang 24</span><div class="page_container" data-page="24">4
<b>2.1.2. Quy trình ATBM thơng tin </b>
<i><small>Hinh 2. 1 Quy trình an tồn bảo mật thơng tin </small></i>
<b>Xác định mối đe dọa: Các mối đe dọa an toàn bảo mật (security threats) là những sự </b>
kiện có ảnh hưởng đến an tồn của hệ thống thơng tin.
<b>Phân loại mối đe dọa bao gồm xem thông tin bất hợp pháp, chỉnh sửa thông tin bất hợp </b>
pháp, và từ chối dịch vụ.
<b>Một số mối đe dọa phổ biến: </b>
❖ Gian lận và đánh cắp: Có thể do nhân viên nội bộ hoặc bên ngoài.
❖ Nội gián: Nhân viên mối đe dọa nội bộ đối với tổ chức vì họ quen thuộc với hệ
</div><span class="text_page_counter">Trang 25</span><div class="page_container" data-page="25">5
<b>Xây dựng chính sách an tồn bảo mật thơng tin: tổng hợp các chỉ thị, quy định, quy </b>
tắc và thông lệ quy định cách một tổ chức quản lý, bảo vệ và phân phối thơng tin. Cần có những chính sách bảo mật riêng cho những yêu cầu bảo mật khác nhau. Ví dụ: chính
• Compliance/ Enforcement : Sự tn thủ • Review and revision (Đánh giá và sửa đổi)
<b>2.1.3. Phát triển hệ thống ATBM TT Quy trình phát triển </b>
Các giai đoạn:
• Điều tra khảo sát (investigation) • Phân tích u cầu (Analysis) • Thiết kế (Design)
• Cài đặt (Implementation)
• Bảo trì (Maintenance and Change)
->Các giai đoạn được thực hiện tuần tự, có sự phản hồi của giai đoạn sau tới giai đoạn trước
<b>Một số nguyên tắc(8 nguyên tăc) </b>
• Economy of mechanism
</div><span class="text_page_counter">Trang 26</span><div class="page_container" data-page="26"><b>2.1.4. Công cụ mơ hình hóa mối đe dọa Mơ hình hóa mối đe dọa là gì ? </b>
Mơ hình hóa mối đe dọa là một phương pháp đánh giá an toàn bằng cách xác định các lỗ hổng, mục tiêu và phát triển các biện pháp đối phó để ngăn chặn hoặc giảm thiểu tác động của các cuộc tấn cơng. Q trình này bắt đầu với bước thu thập yêu cầu, trong đó các bên liên quan xác định và đồng ý về những gì hệ thống cần làm và đưa ra yêu cầu bảo mật.
<b>Các phương pháp mơ hình hóa phổ biến </b>
<b>- STRIDE và các biến thể: Được Microsoft phát triển, dễ áo dụng nhưng tốn nhiều </b>
thời gian.
<b>- PASTA (Process for Attack Simulation and Threat Analysis): Là một khung mơ hình hóa mối đe dọa tập trung vào rủi ro được phát triển vào năm 2012 bởi Tony </b>
<b>Uceda Vélez: Nó bao gồm bảy giai đoạn, mỗi giai đoạn có nhiều hoạt động khác </b>
nhau
<b>- CVSS (Common Vulnerability Scoring System): Giúp nắm bắt các đặc điểm </b>
chính của lỗ hổng và tạo ra điểm số để đánh giá mức độ nghiêm trọng, thường được kết hợp với các phương pháp mơ hình hóa khác.
<b>- Attack trees - Security Cards </b>
<b>Các bước lập mơ hình mối đe dọa </b>
</div><span class="text_page_counter">Trang 27</span><div class="page_container" data-page="27">7 B.1. Xây dựng cái gì ?
B.2. Có các mối đe dọa nào ?
B.3. Nên làm gì với những mơi đe dọa đó ? B.4. Kiểm tra bước 1-3
<b>2.2. An tồn và bảo mật thơng tin trên máy tính cá nhân 2.2.1. Giới thiệu tổng quan hệ điều hành </b>
Hệ điều hành (Operating System - OS) là một phần mềm hệ thống chịu trách nhiệm điều hành và quản lý toàn bộ hệ thống máy tính, kết nối và quản lý cả phần cứng và phần mềm. Vai trị chính của HĐH là làm trung gian giữa người sử dụng và các thành phần của thiết bị điện tử.
Mục tiêu chính của ATBM HĐH là đảm bảo:
❖ Tính Bảo Mật: Hạn chế việc truy cập các đối tượng, giới hạn quyền của các chủ thể. ❖ Tính Tồn Vẹn: Hạn chế việc sửa đổi, xóa dữ liệu trên các đối tượng.
❖ Tính Khả Dụng: Hạn chế sử dụng tài nguyên của hệ thống.
<b>2.2.2. Kiểm soát truy cập </b>
Kiểm soát truy cập là q trình mà trong đó người dùng được nhận dạng và trao quyền truy cập đến các thông tin, các hệ thống và tài ngun
Có 4 phương pháp/mơ hình chính:
- Discretionary Access Control (DAC): Kiểm sốt truy - cập tuỳ chọn
- Mandatory Access Control (MAC): Kiểm soát truy cập bắt buộc - Role Based Access Control: Kiểm soát truy cập dựa trên
- vai trò
- Rule-Based Access Control: Kiểm soát truy cập dựa trên - luật
</div><span class="text_page_counter">Trang 28</span><div class="page_container" data-page="28">8
<b>2.2.3. Các biện pháp ATBM trên hệ điều hành 2.3. An toàn và bảo mật thơng tin trên mạng máy tính </b>
<b>2.3.1. Khái niệm về mạng </b>
<b>- Mạng (Network): Hai hay nhiều máy tính hoặc thiết bị kết nối với nhau để chia sẻ </b>
tài nguyên.
<b>- Mạng Internet (Internet network): Mạng Internet là một hệ thống mạng dựa trên </b>
giao thức (protocol) TCP/IP giữa các máy tính với nhau với quy mơ tồn cầu. TCP/IP có nhiệm vụ cấp địa chỉ IP cho thiết bị tham gia vào mạng.
<b>2.3.2. Mơ hình OSI </b>
- OSI viết tắt của Open Systems Interconnection (Kết nối hệ thống mở).
- Mơ hình OSI chia các khía cạnh/chức năng của networking thành 7 lớp riêng biệt, Mỗi một lớp sẽ có một chức năng nhất định, kèm theo quy định những phần cứng, giao thức dùng ở mỗi lớp.
<b>2.3.3. Các điểm yếu mạng máy tính </b>
- Lỗi thiết kế (design flaws)
- Quản lý bảo mật kém (Poor Security Management)
- Triển khai hệ thống khơng chính xác (Incorrect Implementation) - Lỗ hổng của công nghệ Internet (Internet TechnologyVulnerability) - Việc thay đổi các công nghệ và hoạt động của tin tặc
- Khó khăn trong việc khắc phục các hệ thống dễ bị tổn thương - Hiệu quả của các giải pháp phản ứng bị giới hạn
- Lừa đảo thông qua Social Engineering
<b>2.3.4. ATBM trong mạng nội bộ Intranet </b>
Mạng nội bộ hiện đại là các trung tâm dữ liệu tập trung chứa thông tin và tài sản thuộc về công ty. Là mục tiêu của các cuộc tấn công mạng. Tuy nhiên các cuộc tấn công mạng không phải là mối đe dọa lớn nhất đối với intranet.
</div><span class="text_page_counter">Trang 29</span><div class="page_container" data-page="29">9
<b>Các mối đe dọa với Intranet : </b>
Tác nhân bên trong : Lỗi hoặc sơ suất của nhân viên, vơ tình lộ thơng tin mạng nội bộ, nội gián.
Tác nhân bên ngoài : Trộm cắp vật lý, chặn dữ liệu trong quá trình truyền, lấy cắp dữ liệu.
<b>Các biện pháp đảm bảo ATBM Intranet : </b>
- Thiết lập chính sách Bảo mật toàn diện - Tăng cường bảo mật các giao thức đăng nhập - Bật kiểm soát truy cập
- Đáp ứng các tiêu chuẩn bảo mật tồn cầu - Ln ln cập nhật
- Chọn một nền tảng mạng nội bộ hiện đại
<b>2.3.5. ATBM trên mạng Internet </b>
<i><b>Cookie </b></i>
Cookie là các file tạm được tự động tạo ra trong máy tính mỗi khi truy cập một trang Web nào đó, nó sẽ lưu những thơng tin cá nhân của người dùng như thiết bị đang sử dụng, tài khoản cá nhân, v.v… và lấy lại nó để sử dụng cho những lần sau. Nó giúp việc truy cập Website của người dùng nhanh hơn, tiện lợi hơn, giúp doanh nghiệp theo dõi được hành vi người dùng. Là mục tiêu của tội phạm khi máy tính xâm nhập.
<i><b>Các thiết lập ATBM trên Web broswer </b></i>
Các kẻ tấn công thường tập trung vào khai thác các lỗ hổng trong hệ thống phía máy khách, nhất là trong trình duyệt web, để cài đặt phần mềm độc hại hoặc lấy cắp thông tin của người dùng. Đây là một phương pháp hiệu quả và chi phí thấp cho các kẻ tấn cơng.
</div><span class="text_page_counter">Trang 30</span><div class="page_container" data-page="30">10
- Bảo vệ dữ liệu website và thông tin khách hàng - Sao lưu website định kỳ
- Cập nhật bản vá bảo mật cho website - Kiểm tra đánh giá an ninh website - Đào tạo kiến thức và quản lý nhân viên - Những thói quen tốt giúp bảo mật website
<b>2.3.6. ATBM Wifi </b>
<b>Wifi (Wireless Fidelity) là công cụ kết nối không thể thiếu trên điện thoại, laptop, máy </b>
tính bảng và một số thiết bị thông minh khác như smartwatch.
<b>Một số biện pháp tăng cường bảo mật Wifi </b>
- Thay đổi tên mạng (SSID)
- Thay đổi tên người dùng và mật khẩu (Chọn mật khẩu mạnh) - Sử dụng mã hóa mạnh để bảo mật wifi (WPA2)
- Thay đổi mật khẩu thường xuyên - Vơ hiệu hóa mạng khách (guest) - Tắt WPS (Wi-Fi Protected Setup) - Sử dụng Firewall của Router
- Quản lý firmware của bộ định tuyến - Tắt quản lý từ xa/ dịch vụ không cần thiết
<b>2.3.7. ATBM dựa trên IP </b>
<b>IP (Internet Protocol Security) là một bộ giao thức mật mã bảo vệ lưu lượng dữ liệu qua </b>
mạng Internet Protocol (IP).
<b>Mạng IP – bao gồm cả World Wide Web – thiếu khả năng mã hoá và bảo vệ quyền riêng </b>
tư. VPN IPSec giải quyết điểm yếu này, bằng cách cung cấp một framework cho việc giao tiếp được mã hóa và riêng tư trên web.
<b>Cách thức hoạt động của IP: </b>
- Trao đổi key
</div><span class="text_page_counter">Trang 31</span><div class="page_container" data-page="31">Cơ sở dữ liệu ngày nay đã trở thành một khía cạnh quan trọng trong cuộc sống hàng ngày của chúng ta, nhưng cũng khiến chúng ta dễ bị tấn công. Điều này khiến an toàn bảo mật cơ sở dữ liệu trở thành một vấn đề toàn cầu cần giải quyết để giảm thiểu rủi ro và đối phó với các mối đe dọa tiềm năng.
Bảo mật cơ sở dữ liệu là tập hợp các quy trình, tiêu chuẩn, chính sách và cơng cụ được áp dụng để bảo vệ dữ liệu tránh khỏi các hành vi đánh cắp, sử dụng sai mục đích và các cuộc xâm nhập, hoạt động, tấn công không mong muốn.
<b>2.4.2. Các cơ chế an toàn trong hệ quản trị cơ sở dữ liệu </b>
- Xác thực (Authentication) - Ủy quyền (Authorization) - Kiểm toán (Auditing)
<b>2.4.3. SQL Injection </b>
SQL Injection là lỗ hổng bảo mật cho phép hackers toàn quyền truy cập và thay đổi cơ sở dữ liệu của hệ thống nạn nhân thông qua việc thay đổi câu lệnh SQL đang được hệ thống sử dụng.
<b>2.5. An tồn và bảo mật thơng tin qua chữ ký số </b>
<b>2.5.1. ATBM thông tin trên tài liệu, chứng từ điện tử Bảo vệ thông tin trên tài liệu điện tử </b>
- Sử dụng phần mềm bảo mật
</div><span class="text_page_counter">Trang 32</span><div class="page_container" data-page="32">12
- Sử dụng mật khẩu (Mức khẩu phức tạp, đổi khẩu thường xuyên) - Mã hóa dữ liệu
- Kiểm tra xác thực
- Cập nhật phần mềm, sao lưu thường xuyên - Tăng cường giao dục an tồn thơng tin - Giới hạn quyền truy cập
<b>Công cụ và dịch vụ bảo mật trên chứng từ điện tử </b>
<b>- Chứng chỉ số (Digital Certificates): Chứng chỉ số được cấp phát bởi các cơ quan </b>
uy tín và được sử dụng để xác định danh tính của người gửi và người nhận chứng từ.
<b>- Chữ ký số (Digital Signatures) : Giúp đảm bảo rằng tài liệu không bị sửa đổi sau </b>
khi đã ký và được đính kèm trực tiếp vào tài liệu điện tử.
<b>- Mã hóa Dữ liệu (Encryption): Bảo vệ chứng từ điện tử bằng cách biến đổi thông </b>
tin thành dạng không đọc được.
<b>- Quản Lý Quyền Truy Cập: Hạn chế quyền truy cập để chỉ những người được </b>
phép truy cập tài liệu điện tử.
<b>- Xác Thực Đa Yếu Tố (MFA): Sử dụng nhiều yếu tố xác thực để tăng cường bảo </b>
mật thông tin.
<b>- Dịch Vụ Lưu Trữ Đám Mây: Lưu trữ tài liệu điện tử an tồn trên máy chủ đám </b>
mây, hỗ trợ mã hóa và sao lưu định kỳ.
<b>2.5.2. ATBM thông tin dựa trên mã hóa </b>
<b>Một hệ mã hóa gồm 2 khẩu: Mã hóa (encryption) và giải mã (decryption) Ứng dụng của mã hóa: </b>
- Dịch vụ xác thực (Kerberos, RADIUS,…) - Điều khiển truy nhập
- Các cơng cụ đánh giá và phân tích logs - Các sản phẩm quản lý ATTT
- Các cơng cụ cho đảm bảo an tồn cho truyền thông không dây
</div><span class="text_page_counter">Trang 33</span><div class="page_container" data-page="33">13 - Các nền tảng bảo mật như PKI, PGP
- Các giao thức bảo mật như SSL/TLS, SSH, SET, IPSec - Các hệ thống như VPN
<b>2.5.3. Chữ ký số và chứng thực số </b>
<b>- Chữ ký số (digital signature) là dữ liệu đính kèm với văn bản để xác minh tác giả </b>
và kiểm tra toàn vẹn nội dung.
<b>- Chứng thực số (digital certificate) là kỹ thuật xác minh danh tính trên mạng và </b>
đảm bảo an toàn trong truyền tải thơng tin.
<b>2.5.4. ATBM thanh tốn điện tử Góc độ người dùng: </b>
- Lựa chọn hình thức thanh toán
- Thường xuyên kiểm tra và theo dõi tình trạng tài khoản
- Kích hoạt xác thực 2 yếu tố cho tất cả các giao dịch trực tuyến - Không lưu trữ thông tin thẻ tín dụng trực tuyến
- Vơ hiệu hóa tính năng tự động điền thơng tin (Autofill) trên trình duyệt - Không thực hiện các giao dịch tài chính qua mạng wifi cơngcộng - Cảnh giác với các trang web lừa đảo
- Cảnh giác với những lời đề nghị khó tin - Sử dụng mật khẩu an tồn
<b>Góc độ doanh nghiệp: </b>
- Hợp tác với một đơn vị thanh toán online - Theo dõi các giao dịch đáng ngờ
- Xác thực địa chỉ đối với mọi giao dịch - Mã hóa để Bảo mật thanh toán
- Bảo mật thanh toán bằng Giao thức SSL - Sử dụng giao thức HTTPS
- Tiêu chuẩn Giao dịch Điện tử An toàn (SET)
</div><span class="text_page_counter">Trang 34</span><div class="page_container" data-page="34">14
- Tuân thủ Tiêu chuẩn An ninh Dữ liệu Thẻ (PCI DSS) - Màn hình đăng nhập an tồn
- Chữ ký điện tử
</div><span class="text_page_counter">Trang 35</span><div class="page_container" data-page="35">15
<b>CHƯƠNG 3: KẾT QUẢ NGHIÊN CỨU </b>
<b>3.1. Căn bản về an toàn và bảo mật thơng tin 3.1.1. Tóm tắt lại lịch sử ATTT </b>
*Giai đoạn Thế chiến II:
• An ninh thông tin bắt đầu với xuất hiện của máy tính mainframe để giải mã tin nhắn từ máy mã hóa đối phương.
• An ninh chủ yếu liên quan đến vật lý và phân loại tài liệu. • Mối đe dọa chính là mất trộm thiết bị, gián điệp và phá hoại.
• Xuất hiện các vấn đề an ninh mới, như lỗi phần mềm làm rò rỉ tệp mật khẩu.
*Giai đoạn1960 đến 1970: Trong thời Chiến tranh Lạnh, nhiều máy tính mainframe được kết nối trực tuyến để thực hiện các nhiệm vụ phức tạp hơn, và để giải quyết việc truyền thông dễ dàng hơn, ARPA đã phát triển ARPANET vào năm 1968.
*Những thập kỷ 1970 và 1980:
• Robert M. Metcalfe nhận thức vấn đề an ninh trên ARPANET. • Báo cáo RAND R-609 mở rộng nghiên cứu về an ninh máy tính.
• UNIX và MULTICS đóng vai trị quan trọng trong nghiên cứu an ninh máy tính. *Những năm 1990 đến năm 2000:
• Máy tính cá nhân (PC) và mạng máy tính phát triển.
• Sự xuất hiện của sản phẩm chống vi-rút và lĩnh vực an ninh thông tin độc lập. *Những năm 2000 đến nay:
• Internet đưa vào liên tục giao tiếp hàng triệu mạng máy tính.
• Tăng cường nhận thức về cần cải thiện an ninh thông tin, đặc biệt trong quốc phịng. • Mối đe dọa từ cuộc tấn công mạng và chiến tranh thông tin tăng lên.
• Luật Sarbanes-Oxley và các luật về quyền riêng tư ảnh hưởng đến an ninh máy tính.
</div><span class="text_page_counter">Trang 36</span><div class="page_container" data-page="36">16
• Thay đổi lập pháp liên quan đến an ninh máy tính sau vụ tấn công vào Trung tâm Thương mại Thế giới vào năm 2001.
<b>3.1.2. Tìm hiểu các thuật ngữ </b>
<b>• Attack: Một cuộc tấn cơng vào hệ thống là một số hành động liên quan đến việc khai </b>
thác một số lỗ hổng để biến mối đe dọa thành hiện thực.
<b>• Risk(Rủi ro): rủi ro, xác suất xảy ra sự cố không mong muốn, chẳng hạn như một sự </b>
kiện bất lợi hoặc tổn thất
<b>• Access (Truy cập): Quyền và khả năng truy cập vào thơng tin hoặc tài ngun nào đó </b>
trong hệ thống.
<b>• Asset (Tài sản): Bất cứ yếu tố nào có giá trị đối với tổ chức và cần được bảo vệ. • Exploit (Khai thác): Sử dụng một lỗ hổng hoặc yếu điểm trong hệ thống để tận dụng </b>
và tạo ra một tình huống khơng mong muốn.
<b>• Exposure (Tiếp xúc): Tình trạng khi một tài sản hoặc thơng tin quan trọng có thể bị </b>
tiếp xúc với nguy cơ hoặc mối đe dọa.
<b>• Loss (Mất mát): Tình trạng mất mát về thơng tin hoặc tài sản có giá trị. </b>
<b>• Protection Profile (Hồ sơ bảo vệ): Một tài liệu mô tả yêu cầu bảo mật cụ thể cho một </b>
hệ thống, sản phẩm hoặc dịch vụ.
<b>• Security Posture (Tư thế bảo mật): Tổng thể về mức độ đề phòng và khả năng chống </b>
lại các mối đe dọa bảo mật. Bao gồm cả các biện pháp bảo mật, chính sách, và các hoạt động quản lý rủi ro.
<b>• Threat Event (Sự kiện Đe dọa) ~ Attack (Tấn công): Sự kiện hoặc hành động gây </b>
nguy cơ đối với an tồn thơng tin. Một sự kiện đe dọa có thể dẫn đến một cuộc tấn cơng nếu khơng có biện pháp phịng ngừa.
<b>• Control, Safeguard, or Countermeasure (Kiểm soát, Biện pháp An toàn hoặc </b>
Phương tiện Ngăn chặn): Các biện pháp hoặc quy trình được thực hiện để giảm thiểu rủi ro và bảo vệ hệ thống hoặc thông tin khỏi các mối đe dọa và tấn cơng.
<b>• Subjects and Objects (Chủ thể và Đối tượng): </b>
</div><span class="text_page_counter">Trang 37</span><div class="page_container" data-page="37">17
- Chủ thể: Thực thể thực hiện các hành động trong hệ thống, thường là người dùng hoặc các thành phần của hệ thống.
- Đối tượng: Các yếu tố mà chủ thể tác động lên hoặc nhận tác động từ, chẳng hạn như dữ liệu, tài nguyên hệ thống, hoặc các thành phần khác.
<b>3.1.3. Cho biết từng điều nào sau đây là vi phạm tính bảo mật, tồn vẹn, sẵn có, hoặc một số kết hợp của chúng </b>
o <b>John chép bài tập về nhà của Mary: Điều này là vi phạm tính tồn vẹn và sẵn có </b>
của thơng tin. John trái với tính tồn vẹn của thơng tin bằng cách sao chép bài tập của Mary mà khơng có sự cho phép hoặc ủy quyền.
o <b>Paul đánh sập hệ thống của Linda: Điều này là vi phạm tính bảo mật và tính tồn </b>
vẹn của hệ thống. Paul tấn công hệ thống của Linda để gây hỏng hoặc làm hỏng nó và đe dọa tính bảo mật của hệ thống.
o <b>Carol thay đổi số tiền thanh toán của Angelo từ 100 đô la thành 1.000 đô la: </b>
Điều này là vi phạm tính tồn vẹn và tính bảo mật của dữ liệu tài chính. Carol thay đổi thơng tin thanh toán của Angelo một cách trái phép, gây ảnh hưởng đến tính tồn vẹn của thơng tin và an ninh tài chính.
o <b>Gina giả mạo chữ ký của Roger trên chứng thư: Điều này là vi phạm tính bảo </b>
mật và tính tồn vẹn của chứng thư hoặc giấy tờ quan trọng. Gina giả mạo chữ ký của Roger để làm cho tài liệu trở nên khơng đáng tin cậy và có thể gây hại cho tính tồn vẹn của dữ liệu.
<b>mua hoặc sử dụng tên miền đó: Điều này là vi phạm tính sẵn có của tên miền và </b>
có thể bao gồm cả vi phạm tính tồn vẹn (nếu Rhonda thực hiện gian lận để đăng ký tên miền này). Rhonda ngăn cản nhà xuất bản mua hoặc sử dụng tên miền "AddisonWesley.com."
</div><span class="text_page_counter">Trang 38</span><div class="page_container" data-page="38">18
<b>3.1.4. Tìm và tóm tăt 3 Luật và 3 văn bản dươi luật liên quan đến ATTT </b>
<b>➢ Luật An tồn thơng tin mạng: Luật này quy định các u cầu về an tồn thơng tin </b>
mạng và quản lý gửi thông tin trên mạng. Các điểm chính bao gồm: - u cầu khơng giả mạo nguồn gốc thông tin gửi trên mạng. - Nghiêm túc tuân thủ quy định pháp luật liên quan.
- Điều chỉnh việc gửi thông tin thương mại mà người tiếp nhận đã từ chối.
- Quy định trách nhiệm của các doanh nghiệp viễn thông và công nghệ thông tin về bảo vệ thông tin và an tồn mạng.
<b>➢ Luật Phịng ngừa, phát hiện, ngăn chặn và xử lý phần mềm độc hại: Luật này đề </b>
cập đến các biện pháp liên quan đến phần mềm độc hại, bao gồm:
- Trách nhiệm của cơ quan, tổ chức và cá nhân trong việc phòng ngừa và ngăn chặn phần mềm độc hại.
- Triển khai hệ thống kỹ thuật để phát hiện và xử lý phần mềm độc hại.
- Yêu cầu doanh nghiệp cung cấp dịch vụ truyền thơng và Internet có hệ thống lọc phần mềm độc hại.
- Phối hợp giữa các bộ ngành để xử lý phần mềm độc hại đe dọa quốc phòng và an ninh quốc gia.
<b>➢ Luật Bảo đảm an toàn tài nguyên viễn thông: Luật này tập trung vào bảo đảm an </b>
tồn tài ngun viễn thơng và bao gồm các quy định sau:
- Áp dụng biện pháp quản lý và kỹ thuật để ngăn chặn mất an tồn thơng tin mạng.
- Trách nhiệm của doanh nghiệp cung cấp dịch vụ Internet trong việc quản lý và phối hợp ngăn chặn mất an tồn thơng tin mạng.
- Bộ Thông tin và Truyền thông chịu trách nhiệm bảo đảm an tồn thơng tin mạng cho hệ thống máy chủ tên miền quốc gia Việt Nam.
</div><span class="text_page_counter">Trang 39</span><div class="page_container" data-page="39">19
<b>3.1.5. Tóm tắt các nội dung của quy trình xây dựng hệ thống ATTT Software Development Life Cycle </b>
• Các giai đoạn:
B1: Điều tra khảo sát (investigation):
▪ Xác định nhu cầu và mục tiêu của hệ thống. ▪ Thu thập thông tin từ các bên liên quan. ▪ Đánh giá khả năng và chi phí của dự án. B2: Phân tích yêu cầu (Analysis):
▪ Phân tích chi tiết yêu cầu của người dùng và hệ thống. ▪ Xác định chức năng và yêu cầu kỹ thuật.
▪ Lập bản đặc tả yêu cầu chi tiết. B3: Thiết kế (Design):
▪ Xây dựng kiến trúc hệ thống dựa trên yêu cầu.
▪ Tạo ra các thiết kế chi tiết về cơ sở dữ liệu, giao diện người dùng, và các thành phần phần mềm khác.
▪ Đảm bảo rằng thiết kế đáp ứng các yêu cầu và mục tiêu đã đặt ra. B4: Cài đặt (Implementation):
▪ Viết mã và triển khai hệ thống dựa trên thiết kế đã được xác nhận. ▪ Thực hiện kiểm thử đơn vị để đảm bảo tính đúng đắn của mã
nguồn.
▪ Kết hợp các thành phần và thực hiện kiểm thử tích hợp. B5: Bảo trì (Maintenance and Change):
▪ Quản lý và giám sát hoạt động của hệ thống.
▪ Tiếp tục hỗ trợ và bảo trì để đảm bảo tính ổn định và hiệu suất.
</div><span class="text_page_counter">Trang 40</span><div class="page_container" data-page="40"><b>3.1.6. Lập bảng so sánh 03 phương pháp: STRIDE, PASTA và CVSS </b>
<i><small>Bảng 3. 1 Bảng so sánh 03 phương pháp: STRIDE, PASTA và CVSS </small></i>
</div>
