Tải bản đầy đủ (.pdf) (175 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Hệ thống thông tin

Sử dụng giải thuật cây lỗi để đánh giá rủi ro trong hệ thống thông tin

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (17.13 MB, 175 trang )


Bộ Giáo Dục và Đào Tạo
Đại Học Mở Thành Phố Hồ Chí Minh
Khoa Công Nghệ Thông Tin
W  X



KHÓA LUẬN
TỐT NGHIỆP
Chuyên Ngành : Mạng Máy Tính



Đề Tài : Sử Dụng Giải Thuật Cây Lỗi Để Đánh Giá
Rủi Ro Trong Hệ Thống Thông Tin




Giảng viên hướng dẫn :
Thầy T.S Đào Thế Long
Sinh viên thực hiện:

Huỳnh Đăng Khoa MSSV: 10366066
Nguyễn Đăng Khoa MSSV: 10366261




Tp, Hồ Chí Minh, Tháng 12 Năm 2007


Lời Mở Đầu
W X


Ngày nay, sự phát triển không ngừng của công nghệ thông tin đã tạo một bước
tiến dài trong việc quản lý thông tin nội bộ của doanh nghiệp. Tuy nhiên, trong
quá trình phát triển đó luôn ẩn chứa những nguy cơ gây rủi ro lớn đến hệ thống
thông tin của trong nội bộ doanh nghiệp, gây tác hại trực tiếp đến công việc quản
lý thông tin và gián tiếp gây thiệt hại về kinh tế, mà những thiệt hại này đôi khi có
thể dẫn doanh nghiệp đến bờ vực phá sản.
Vấn đề đặt ra ở đây là cần có một công cụ để phân tích và đánh giá hiệu quả, bao
quát rủi ro trong toàn hệ thống, từ cơ sở đó sẽ xem xét khả năng và tăng cường
tính bảo mật cho chính chính bản thân hệ thống đó.
Để đánh giá được vấn đề trên cần xem xét trên hai khía cạnh cơ bản là Công
Nghệ và Chính Sách trong hệ thống thông tin.
Về mặt công nghệ, chúng ta sẽ xem xét đến cấu trúc vật lý và khả năng đáp ứng
nhu cầu của hệ thống, hay đơn giản hơn chính là cấu hình của thiết bị và hệ thống
phần mềm đang được sử dụng.
Về mặt chính sách, điều quan trọng cần khảo sát là hành vi sử dụng, các hành vi
này được hình thành dựa trên các nhóm quy tắc cụ thể tuỳ thuộc vào lĩnh vực mà
cơ quan, doanh nghiệp cần xử lý thông tin.
Một công cụ dùng đễ phân tích và đánh giá hiệu quả, chi tiết các rủi ro trên là “giải
thuật phân tích cây lỗi để đánh giá và phân tích hệ thống” và “phương pháp đánh
giá dựa trên chuẩn ISO 17799”. Với Công nghệ ta dùng định tính bằng phương
pháp cây lỗi đề xác định rủi ro (các lỗi) của hệ thống và Chính sách ta dùng định
lượng xác định thông qua sử dụng phương pháp phân tích theo ISO 17799. Đề tài
này xin giới thiệu công cụ phân tích này, qua đó giúp người phân tích hệ thống
hình dung một cách tổng thể về rủi ro của hệ thống trong doanh nghiệp mình.
Từ những vấn đề được đề cập trên, luận văn sẽ đi phân tích cụ thể từng vần đề
trong từng phần sau :

+ Phân tích rủi ro hạ tầng công nghệ :
Ờ phần công nghệ luận văn đề cập đến tất cả thiết bị trong hệ thống thông tin, mỗi
thiết bị sẽ được chia thành các nhóm lĩnh vực khác nhau đề người phân tích có thể
thấy rõ hệ thống của mình đang bị lỗi tại vị trí và nhóm lĩnh vực nào. Mỗi nhóm sẽ
đại diện cho mỗi lĩnh vực liên quan đến hệ thống thông tin. Trong phần này, sẽ
dùng phương pháp cây lỗi, nhằm đánh giá một cách toàn diện hệ thống, đi từ trên
xuống (chi tiết phân tích theo mô hình phân tích cây lỗi sẽ được rõ hơn ở phần
sau). Các thiết bị lỗi trong mỗi nhóm sẽ có một mối quan hệ logic với nhau, và
giữa các nhóm cũng sẽ có những mối quan hệ logic tượng tự. Vá từ những mối
quan hệ đó, ta xác định được xác suất lỗi gây ra cho hệ thống xét lĩnh vực hạ tầng
công nghệ.
+ Phân tích hành vi trong lĩnh vực chính sách
Luận văn này xin đề cập đến mô hình phân tích rủi ro an toàn thông tin theo chuẩn
ISO 17799 : Hệ thống chính sách an toàn được chia ra làm các nhóm lĩnh vực, từ
những lĩnh vực sẽ chia thành các nhóm lĩnh vực con nhỏ hơn, trong các lĩnh vực
con lại thiết lập các nhóm quy tắc mà các nhóm quy tắc này sẽ có các mối quan hệ
với nhau thông qua các hành vi trogn từng quy tắc.Phần chính sách ta sẽ dùng
phương pháp phân tích định lượng theo mô hình phân tích chuẩn ISO 17799.
Từ mục đích và cách thức thực hiện luận văn thông qua các phương pháp và công
cụ như đã nêu, luận văn được viết và chia ra làm các phần sau :

Phần I : Tổng quan về phân tích và đánh giá rủi ro
Phần này cho chúng ta biết một cách tổng thể về rủi ro là gì? Tại sao phải đánh
giá ? Cách đánh giá rủi ro và các phương pháp để đánh giá rủi ro hệ thống thông
tin

Phần II: Phân tích và đánh giá rủi ro
Phần này sẽ cho biết chi tiết từng chi tiết trong 2 công cụ phân tích, cách sử dụng
các công cụ này, cách thức thực hiện đánh giá dựa trên các công cụ đó.


Phần III : Phân tích rủi ro trong hệ thống thông tin
Phần này sẽ cho chúng ta thấy rõ từng bước phân tích các lỗi của thiết bị trong hạ
tầng công nghệ hay các mối quan hệ giữa các hành vi trong lĩnh vực chính sách.
Từ đó sẽ nêu lên được xác suất cũng như điểm số trong 2 phần chính sách và công
nghệ trong hệ thống thông tin

Phần IV : Hiện thực phần mềm đánh giá rủi ro hệ thống
Chương trình minh họa là phần thể hiện trực quan cho người dùng biết được xác
suất hay điểnm số bằng đồ thị minh họa. Phần này giới thiệu cách thức cũng như
minh họa cho người phân tích.

Phần V : Tổng kết về phân tích và đánh giá rủi ro
Đánh giá lại kết quả đã đạt được và chưa đạt được so với mục tiêu ban đầu đưa ra.
Và trình bày hướng phát triển của luận văn trong thời gian tới.



W  X
LỜI CẢM ƠN
W  X


Chúng em xin chân thành cảm ơn Khoa Công Nghệ Thông Tin (CNTT), Trường
Đại học Mở Thành phố Hồ Chí Minh đã tạo điều kiện cho chúng em hoàn thành
khoá luận tốt nghiệp này.
Xin chân thành cảm ơn thầy TS Đào Thế Long đã tận tình hướng dẫn, giúp đỡ và
chỉ dạy chúng em trong suốt quá trình thực hiện đề tài.
Chúng em cũng xin cảm ơn quý Thầy Cô trong Khoa CNTT đã tận tình giảng dạy,
trang bị cho chúng em một nền tảng vững chắc, những kiến thức cần thiết trong suốt
quá trình tham gia học tập tại trường.

Các anh chị sinh viên khoá trước và bạn bè đã nhiệt tình trao đổi, đóng góp ý kiến,
giúp đỡ để chúng em hoàn thành khoá luận này.
Cuối cùng, chúng con xin ghi tạc công ơn của Cha Mẹ Anh Chị đã nuôi dưỡng, dạy
dỗ để chúng con có được như ngày hôm nay.
Mặc dù đã cố gắng hoàn thành khoá luận với tất cả nỗ lực của bản thân, nhưng chắc
chắn không thể tránh được những thiếu sót nhất định, kính mong sự thông cảm và
tận tình chỉ bảo của quý Thầy Cô.
Một lần nữa chúng em xin chân thành cảm ơn, chúc quý thầy cô sức khỏe, thành
công và hạnh phúc.

Tp. Hồ Chí Minh ngày 18 tháng 12 năm 2007

Huỳnh Đăng Khoa
Nguyễn Đăng Khoa
Mục Lục

Lời mở đầu

Phần 1 : TỔNG QUAN VỀ PHÂN TÍCH VÀ ĐÁNH GIÁ RỦI RO
I. Xây dựng bài toán phân tích, đánh giá rủi ro 2
1. Khái niệm rủi ro 2
2. Tại sao? 2
II. Đánh giá rủi ro như thế nào 2
1. Tính toàn vẹn 3
2. Tính bảo mật 3
3. Khả năng truy cập 3
III. Phân loại hệ thống thông tin 3

Phần 2 : PHÂN TÍCH ĐÁNH GIÁ RỦI RO
A. Phân tích đánh giá rủi ro theo chính sách an toàn thông tin

I. Tổng quát 8
II. Phân tích rủi ro 8
III. Kết luận 9
IV. Mô hình phân tích 9
B. Phân tích rủi ro cơ sở hạ tầng theo cây lỗi
I. Tổng quan 10
1. Giới thiệu và lịch sử về FTA ( Fault tree analysis) 10
1.1 FTA là gì ? 10
1.2 Lịch sử FTA 10
2. Các bước tiến hành phân tích một hệ thống 10
3. Cấu trúc cây lỗi 11
II. Tìm hiểu giải thuật 12
1. Khái niệm cơ bản về giải thuật 12
1.2 Mô hình cây lỗi 12
2.2 Các thành phần cơ bản trong mô hình cây phân tích lỗi 12
2. Những nguyên tắc xây dựng cây lỗi 16
2.1 Khái niệm “nguyên nhân trực tiếp” 16
2.2 Định nghĩa các thành phần 16
III. Đại số Boolean và ứng dụng phân tích cây lỗi 17
1. Các nguyên tắc đại số Boolean 17
2. Các ứng dụng cho việc phân tích 17
IV. Hạn chế 18

Phần 3 : PHÂN TÍCH RỦI RO TRONG HỆ THỐNG THÔNG TIN
I. Phân tích rủi ro theo chính sách ATTT 20
1. An ninh tổ chức 20
1.1 Nhận thức rủi ro 21
1.2 Chính sách an toàn thông tin 23
1.3 Chiến lược về an toàn thông tin 26
1.4 Cơ sở hạ tầng an toàn thông tin 28

2. Xác định phân loại và quản lý tài nguyên 31
Xử lý và đánh nhãn tài nguyên 31
Phân loại thông tin 33
Chỉ định người quản lý hệ thống và dữ liệu 36
Trách nhiệm đối với những hoạt động và quy trình tối quan trọng 38
Tính toàn vẹn dữ liệu 39
3. An ninh nhân sự 40
3.1 Quy trình tuyển nhân viên 40
3.2 Xử lý kỷ luật và phản ứng sự cố 43
3.3 Huấn luyện và đào tạo 45
3.4 Chính sách sử dụng Internet 47
4. An ninh vật lý 50
4.1 Kiểm tra tổng quát 50
4.2 Bảo vệ hệ thống kỹ thuật 52
4.3 Khu vực an ninh 54
4.4 Quản lý khách viếng thăm 56
4.5 Thẻ kiểm soát ra vào 58
5. Vận hành hệ thống thông tin và quản lý mạng 60
5.1 Quản trị thường nhật 60
5.2 Xử lý phương tiện lưu trữ 62
5.3 Lập và phê duyệt kế hoạch hoạt động cho hệ thống 64
5.4 Quản lý hệ thống mạng 65
5.5 Giám sát truy cập và sử dụng hệ thống 69
6. Phát triển và bảo trì hệ thống 71
6.1 Các đặc điểm về an toàn thông tin 71
6.2 Tính toàn vẹn cho tập tin hệ thống và dữ liệu 73
7. Lên kế hoạch bảo đảm tính liên tục và phục hồi 74
7.1 Kế hoạch liên tục trong kinh doanh 74
7.2 Các kế hoạch sao lưu dữ liệu 75
7.3 Các kế hoạch xây dựng lại 77

II. Phân tích rủi ro trong hạ tầng công nghệ 79
A. Vật lý 79
1. Hành động phá hoại 79
1.1. Tài nguyên 79
1.1.1. Tài nguyên thông tin 79
a. Thiết bị xử lý thông tin 79
b. Lưu trữ 82
c. Hệ thống mạng 83
d. Thiết bị ngoại vi 84
1.1.2. Tài nguyên vật lý 85
1.1.3. Hệ thống nguồn 86
1.2. Kênh thông tin 87
2. Các hành động không mong muốn 89
2.1. Tài nguyên 89
2.1.1. Tài nguyên thông tin 89
a. Thiết bị xử lý thông tin 89
b. Lưu trữ 92
c. Hệ thống mạng 93
d. Thiết bị ngoại vi 93
2.1.2. Tài nguyên vật lý 95
2.1.3. Hệ thống nguồn 96
2.2. Kênh thông tin 97
3. Sự cố trong vận hành 99
3.1. Tài nguyên 99
3.1.1. Tài nguyên thông tin 99
a. Thiết bị xử lý thông tin 99
b. Lưu trữ 102
c. Hệ thống mạng 103
d. Thiết bị ngoại vi 103
3.1.2. Tài nguyên vật lý 105

3.1.3. Hệ thống nguồn 106
3.2. Kênh thông tin 107
B. Phần mềm 109
1. Phá hoại từ bên trong 109
2. Phá hoại từ bên ngoài 110

Phần 4: HIỆN THỰC PHẦN MÊM ĐÁNH GIÁ RỦI RO HỆ THỐNG
I. Tổng quan 113
II. Hình thái 113
1. Chính sách 113
2. Công Nghệ 113
III.Hướng dẫn 114
1. Chính sách 114
2. Công Nghệ 121
IV. Đánh giá tổn thất 126

Phần 5: TỔNG KẾT VỀ PHÂN TÍCH VÀ ĐÁNH GIÁ RỦI RO
I . Tổng kết 128
II. Hướng phát triển 128

Các tài liệu tham khảo 129
Các thuật ngữ được sử dụng 130

Phân Tích Và Quản Lý Rủi Ro Trong HTTT GVHD : TS Đào Thế Long
SVTH : Huỳnh Đăng Khoa, Nguyễn Đăng Khoa Trang 1








PHẦN 1
TỔNG QUAN VỀ
PHÂN TÍCH ĐÁNH GIÁ
RỦI RO








Phân Tích Và Quản Lý Rủi Ro Trong HTTT GVHD : TS Đào Thế Long
SVTH : Huỳnh Đăng Khoa, Nguyễn Đăng Khoa Trang 2
I. Xây dựng bài toán phân tích, đánh giá rủi ro
1. Khái niệm rủi ro
Rủi ro là những khả năng có thể xảy ra những hư hỏng, lỗi, những nguy cơ… mà
từ đó có thể gây ra cho hệ thống những tổn thất mà không thể lường trước được.
Những khả năng này có thể là do con người, do máy móc, do chính sách… hoặc có
thể định nghĩa rủi ro là khả năng gặp nguy hiểm có thể phát sinh từ một vài tiến
trình hay từ một vài sự kiện. Ví dụ: rủi ro phát sinh từ tiến trình không trang bị
thiết bị chống xâm nhập là có thể bị tấn công bởi hacker , …

2. Tại sao lại phân tích và đánh giá rủi ro?
Ngày nay, sự phát triển không ngừng của công nghệ thông tin đã tạo một bước tiến
dài trong việc quản lý thông tin nội bộ của doanh nghiệp. Tuy nhiên, trong quá
trình phát triển đó luôn ẩn chứa những nguy cơ gây rủi ro lớn đến hệ thống thông
tin của trong nội bộ doanh nghiệp, gây tác hại trực tiếp đến công việc quản lý thông

tin và gián tiếp gây thiệt hại về kinh tế, mà những thiệt hại này đôi khi có thể dẫn
doanh nghiệp đến bờ vực phá sản. Chính sách an toàn thông tin là nhân tố quyết
định đến tính bảo mật và tránh rủi ro của mỗi tổ chức. Một chính sách an toàn
không hợp lý có thể sẽ tạo nên những lỗ hỏng bảo mật cũng như cản trở các hoạt
động hợp lệ, có ích cho hệ thống. Do đó cùng với việc đầu tư thiết bị, việc xây
dựng các chính sách bảo mật, an toàn an ninh hệ thống đảm bảo đáp ứng các yêu
cầu cho phép thiết lập một môi trường thông tin an toàn là một nhu cầu cần thiết.
Từ đó chúng ta sẽ có một khái niệm để xây dựng chính sách đó là phải đánh giá
được rủi ro của hệ thống đó, vậy đánh giá là gì ? Đánh giá rủi ro là phương pháp
nhằm xác định độ ảnh hưởng của những rủi ro có thể xảy ra cho hệ thống thông tin
ở mức độ nào để từ đó có thể đưa ra những giải pháp thích hợp để phòng chống
hay khắc phục những rủi ro đó hoặc có thể hiểu đánh giá rủi ro là một bước trong
quá trình quản lý rủi ro. Đánh giá rủi ro được đo bằng hai đại lượng của rủi ro là
biên độ của thiệt hại tiềm tàng và xác suất về khả năng xảy ra thiệt hại. Đánh giá
rủi ro là một việc làm hết sức quan trọng thiết lập một chính sách cho hệ thống
thông tin vì nó bao quát tất cả và tìm ra được nguyên nhân và từ đó sẽ xây dựng
được một chính sách hoàn thiện.

II. Đánh giá rủi ro như thế nào ?
Điều quan tâm và quan trọng nhất là phải căn cứ theo sự phân tích các nhu cầu về
công việc hiện tại cũng như xu hướng phát triển của một hệ thống thông tin cụ thể
để định ra một chính sách an toàn mạng tổng thể, chính sách an toàn mạng tổng thể
này sẽ ảnh hưởng đến hiệu quả của giải pháp an ninh mạng cũng như hiệu quả của
việc đầu tư triển khai giải pháp đánh giá rủi ro cho mỗi đơn vị.
Từ chính sách an toàn mạng tổng thể sẽ đưa ra các chính sách an toàn mạng cụ thể
cho từng thiết bị, từng nhóm lĩnh vực sẽ được thiết lập trong hệ thống. Thiết lập
chính sách an toàn mạng cụ thể sẽ quyết định đến hiệu quả sử dụng đối với từng
thiết bị, nhóm lĩnh vực được thiết kế. Khi xây dựng chính sách an toàn mạng cụ thể
nếu không được thiết lập một cách phù hợp dẫn đến thiết bị, nhóm lĩnh vực bảo vệ
sẽ mang lại ít giá trị sử dụng.

Vấn đề đặt ra ở đây là cần có một công cụ để phân tích và đánh giá hiệu quả, bao
quát rủi ro trong toàn hệ thống, từ cơ sở đó sẽ xem xét khả năng và tăng cường tính
bảo mật cho chính chính bản thân hệ thống đó. Vậy đánh giá rủi ro như thế nào ?
Để đánh giá được một hệ thống thông tin, nhà phân tích thường dựa trên 3 tính chất
Phân Tích Và Quản Lý Rủi Ro Trong HTTT GVHD : TS Đào Thế Long
SVTH : Huỳnh Đăng Khoa, Nguyễn Đăng Khoa Trang 3
1. Tính toàn vẹn
Toàn vẹn hệ thống và dữ liệu là hệ thống và dữ liệu phải được bảo vệ không bị
thay đổi bất hợp pháp trong quá trình điều khiển, truyền đi.
Mối de dọa dựa trên tính chất toàn vẹn có thể như sau :
- Làm sai lệch thông tin
- Làm sai lệch trong quá trình điều khiển
- Phá hoại các vật mang tin

2. Tính bảo mật
Tính bảo mật của hệ thống và dữ liệu là sự bảo vệ thông tin khỏi những sự truy
cập bất hợp pháp.
Mối de dọa dựa trên tính chất bảo mật có thể như sau :
- Rò rỉ kênh thông tin
- Bị mất các thiết bị mang tin

3. Tính sẵn sàng của hệ thống
Hệ thống có tính sẵn sàng là hệ thống luôn luôn được có sẵn và dể dàng để mọi
người có quyền hợp pháp truy cập.
Mối de dọa dựa trên tính chất khả năng truy cập có thể như sau :
- Ngăn chặn việc truy cập đến các thiết bị mang tin
- Phá hủy các thiết bị mang tin

III. Phân loại hệ thống thông tin
Phân loại hệ thống thông tin có nhiều cách phân loại hệ thống, như phân loại theo

tính chất, kiểu tác động, nguồn gốc, đối tượng tác động. Ngoài ra việc phân loại có
thể dựa trên các tính chất toàn vẹn, bảo mật và khả năng truy cập, cùng với phân
loại theo từng nhóm lĩnh vực và trong từng lĩnh vực là các lĩnh vực con và tiếp
theo là các nhóm quy tắc dựa theo chuẩn ISO 17799. Tùy từng hệ thống và khả
năng phân tích cũng như thói quen của nhà phân tích sẽ áp dụng để phân loại hệ
thống thông tin, để từ đó sẽ cho ra một nền tảng cơ bản và chi tiết để xây dựng nên
chính sách an toàn hệ thống thông tin.
Hệ thống thông tin được phân loại theo hai mô hình :
+ Mô hình phân loại hệ thống thông tin theo mối đe dọa theo CIA (hình 1)
( Confidencial – Integreaty – Accessbility ) : mô hình này phân tích theo 3 khía
cạnh : Tính bảo mật, tính toàn vẹn và tính sẵn sàng của dữ liệu, nếu phân loại hệ
thống theo mô hình này chúng ta sẽ phân tích dựa trên các tính chất, các dạng đe
dọa, đối tượng tác động, hậu quả và các chỉ số đánh giá rủi ro. Nếu phân tích theo
mô hình này, chúng ta sẽ cho được mối quan hệ logic toàn diện, cụ thể và khái quát
được tất cả những tác động và các sự cố trong hệ thống. Tuy nhiên ở mức độ luận
văn , mô hình phân loại này chưa được đề cập do phức tạp, cần áp dụng tất cả giải
thuật về lý thuyết mờ, trí tuệ nhân tạo và hệ chuyên gia, … tuy nhiên đây cũng là
hướng phát triển tiếp tục trong luận văn nhằm đánh giá hết tất cả các mối quan hệ
trong hệ thống thông tin.

Phân Tích Và Quản Lý Rủi Ro Trong HTTT GVHD : TS Đào Thế Long
SVTH : Huỳnh Đăng Khoa, Nguyễn Đăng Khoa Trang 4
+ Mô hình phân tích theo phân loại tính chất tổ chức và công nghệ (hình 2) : mô
hình này dựa vào các tính chất, nguồn gốc, kiểu tác động và đối tượng tác động để
phân tích hệ thống. Đây là mô hình dể áp dụng cho các mô hình, cách thức tiếp cận
dể dàng nhưng hiệu quả phân tích khá cao, có nhiều cách tiếp cạnh thông qua các
chuẩn mực phân tích như : phân tích theo chuẩn ISO 17799 hay phân tích theo mô
hình cây lỗi (FTA ). Bằng cách dựa vào các chuẩn phân tích, người phân tích xác
định các mối quan hệ logic, từ đó sẽ tao ra mối quan hệ chặt chẽ giữa các lĩnh vực,
các khía cạnh của hệ thống cần phân tích. Tuy nhiên mô hình phân tích này chỉ dựa

vào kinh nghiệm và cách thức phân tích và đánh giá cho điểm của người phân tích.
Đo đó tùy theo kinh nghiệm và sự trải nghiệm đánh giá hệ thống cũng như kiến
thức phân tích logic của nhà phân tích. Do đó khi áp dụng mô hình này, người phân
tích có thể sẽ chưa phân tích hết, phân tích đủ và toàn diện hệ thống. Nhưng với
thời gian và giới hạn trong bài luận văn, chúng em sẽ đề cập mô hình này để phân
tích hệ thống.

Để có một cái nhìn tổng quan về chuẩn ISO 17799 luận văn xin đề cập những nội
dung khái quát của chuẩn ISO 17799 này như sau:

Giới thiệu
- ISO 17799 nguyên là một chuẩn về an ninh thông tin do Viện Tiêu chuẩn
Anh quốc (British Standard Institute) phát hành lần đầu tiên năm 1995 dưới tên
gọi BS 7799 (www.bsi-global.com).BS 7799 gồm hai phần: BS 7799 Part One -
Code of Practice for Information Management và BS7799 Part Two -
Specifications for Information Security Management System.

Nội dung chính của chuẩn ISO 17799
- Nội dung chuẩn ISO 17799 được chia thành 12 phần, 2 phần đầu giới thiệu các
khái niệm nền tảng, 10 phần tiếp theo giới thiệu cách thực hiện an ninh thông tin
trong 10 lĩnh vực (domain) cụ thể của mỗi tổ chức. Dưới đây, xin giới thiệu tóm
tắt nội dung từng phần
1. Phạm vi
- Nhấn mạnh chuẩn ISO 17799 chỉ là tài liệu khung về an ninh thông tin cho
một tổchức, các khuyến cáo trong tài liệu này nên được lựa chọn và sử
dụng phù hợp với luật pháp nước sở tại và theo thông lệ.
2. Khái niệm và định nghĩa
- Giới thiệu các khái niệm và định nghĩa về an ninh thông tin, gồm:
• Định nghĩa an ninh thông tin là gì?
• Đánh giá rủiro và quản lý rủi ro là gì?

3. Chính sách an ninh thông tin
- Giới thiệu về chính sách an ninh thông tin – cơsởcủa các giải pháp quản lý
Phân Tích Và Quản Lý Rủi Ro Trong HTTT GVHD : TS Đào Thế Long
SVTH : Huỳnh Đăng Khoa, Nguyễn Đăng Khoa Trang 5
an ninh thông tin của một tổchức, các nộidung cơbản mà mộtchính sách an
ninh phải có.
4. An ninh tổchức
- Mô tả các vấn đề liên quan đến an ninh thông tin nhìn từ bên trong tổchức.
Các kênh thông tin với lãnh đạo được thiết lập để phê chuẩn chính sách an
ninh thông tin, để bổ nhiệm các vai trò an ninh và cùng điều phối thực thi
các biện pháp an ninh trong tổ chức. Nếu cần thiết, một bộ phận tư vấn về
an ninh thông tin được thiết lập và luôn sẵn sàng trong tổ chức, phối hợp
với các chuyên gia an ninh bên ngoài để kịp thời nắm bắt các khuynh
hướng công nghiệp, giám sát các tiêu chuẩn và đánh giá các phương pháp,
liên lạc các bên phối hợp khi giải quyết các sự cố an ninh. Một cách tiếp
cận đa chiều đối với an ninh thông tin được khuyến khích nhằm giải quyết
vấn đề này từ nhiều góc độ.
5. Kiểm soát và phân loại tài sản
- Phần này mô tả các phương pháp bảo vệ thích hợp đối với tài sản của tổ
chức dưới khía cạnh an ninh thông tin. Tất cả các tài sản thông tin đều
phải giải trình lý do tồn tại và được chỉ định một chủ sử dụng. Trách
nhiệm giải trình này nhằm tạo điều kiện bảo vệ và bảo trì tài sản một cách
thích hợp. Chủ sử dụng được xác định và chịu trách nhiệm hoàn toàn trong
việc bảo trì và kiểm soát đối với tài sản. Trách nhiệm giải trình được chỉ
định cho chủ sử dụng tài sản
6. An ninh cá nhân
- Mô tả các kiểm soát để giảm bớt rủi ro do sai lỗi của con người. Trách
nhiệm an ninh phải được xác định rõ ngay khi tuyển nhân viên mới, trách
nhiệm được ghi trong hợp đồng, được giám sát trong công việc của mỗi
người. Tất cả các nhân viên của tổ chức và các đối tác phải ký cam kết

đảm bảo an ninh thông tin.
7. An ninh môi trường và an ninh vật lý
- Mô tả các kiểm đối với các truy nhập không được cấp phép, các phá hoại
vô ý hoặc cố ý đế hệ thống. Các thiết bị xử lý thông tin nhạy cảm hoặc
quan trọng cần phải được cất trong nhà, trong các vùng an ninh (security
areas), được bảo vệ bởi một vành đai an ninh (security perimeter) có sự
kiểm tra vào ra, được bảo vệ tránh các truy nhập không được phép. Sự bảo
vệ phải tương ứng với các rủi ro đã được đánh giá.
8. Quản lý giao tiếp và quản lý vận hành
Phân Tích Và Quản Lý Rủi Ro Trong HTTT GVHD : TS Đào Thế Long
SVTH : Huỳnh Đăng Khoa, Nguyễn Đăng Khoa Trang 6
- Mô tả các kiểm soát đảm bảo vận hành đúng và an toàn các thiết bị xử lý
thông tin. Mô tả trách nhiệm, thủ tục quản lý vận hành các thiết bị xử lý
thông tin. Mô tả sự phân chia trách nhiệm giữa đơn vị phát triển hệ thống
và đơn vị vận hành hệ thống. Mô tả các kiểm soát tránh ảnh hưởng đến an
ninh thông tin của hệ thống khi tổ chức giao tiếp với các tổchức khác.
9. Kiểm soát truy nhập
- Mô tả các kiểm soát đối với việc truy nhập thông tin của tổ chức sao cho
các hoạt động nghiệp vụ của tổ chức được tiến hành bình thường nhưng an
ninh thông tin không bị tổn hại.
10. Phát triển và bảo trì hệ thống
- Mô tả các kiểm soát an ninh thông tin trong quá trình phát triển và bảo trì
hệ thống. Nhấn mạnh chi phí cho các kiểm soát an ninh được đưa và hệ
thống ngay trong quá trình phát triển sẽ rẻ hơn rất nhiều khi đưa vào trong
quá trình bảo trì.
11. Quản lý liên tục nghiệp vụ
- Mô tả việc xây dựng một quy trình quản lý liên tục nghiệp vụ nhằm giảm
bớt các sai sót gây ra bởi tai nạn hoặc các lỗi an ninh (có thể là kết quả của
các tai hoạ thiên nhiên, tai nạn, lỗi thiết bị, …) thông qua sự kết hợp các
kiểm soát phòng ngừa và khôi phục. Hậu quả của tai nạn, lỗi an ninh và

mất dịch vụ cần được phân tích. Lập các kế hoạch ứng phó sự cố, sẵn sàng
thực hiện nhằm khôi phục hệ thống trong một thời gian nhất định, đảm bảo
sự liên tục của nghiệp vụ khi sự cố xảy ra.
12. Sự tuân thủ
- Tổ chức phải tuân thủ các yêu cầu của luật pháp liên quan đến các khía
cạnh đa dạng của an ninh thông tin như luật sở hữu trí tuệ, luật bảo vệ sự
riêng tư của thông tin cá nhân, luật hợp đồng,…Nhấn mạnh sự khác
nhau về luật khi thông tin lưu chuyển giữa các nước khác nhau.


Trên đây là những nhóm lĩnh vực, trong các lĩnh vực này sẽ có những lĩnh vực con,
trong các lĩnh vực con sẽ có những nhóm quy tắc, từ những nhóm quy tắc này sẽ có
những hành vi mà khi thực hiện theo những hành vi này sẽ làm tăng tính an toàn
cho hệ thống thông tin. Những hành vi này có các mối quan hệ logic với những
hành vi khác, các nhóm quy tắc này có mối quan hệ logic phụ thuộc hoặc loại trừ
với các nhóm quy tắc hoặc các lĩnh vực khác. Tuỳ đặc thù của từng cơ quan, doanh
nghiệp sẽ có những chọn lựa và đánh giá khác nhau dựa trên chuẩn ISO 17799 này.



Phân Tích Và Quản Lý Rủi Ro Trong HTTT GVHD : TS Đào Thế Long
SVTH : Huỳnh Đăng Khoa, Nguyễn Đăng Khoa Trang 7






















PHẦN 2
PHÂN TÍCH ĐÁNH GIÁ
RỦI RO







Phân Tích Và Quản Lý Rủi Ro Trong HTTT GVHD : TS Đào Thế Long
SVTH : Huỳnh Đăng Khoa, Nguyễn Đăng Khoa Trang 8
A. PHÂN TÍCH ĐÁNH GIÁ RỦI RO THEO CHÍNH SÁCH AN TOÀN
THÔNG TIN
I. Tổng quát

Phân tích rủi ro (PTRR) theo chính sách an toàn thông tin dựa trên chuẩn ISO

17799, là cách phân tích định lượng nhằm nâng cao khả năng an toàn, tránh rủi ro
cho hệ thống. Nếu thực hiện theo đúng hành vi trong các quy tắc của các lĩnh vực
thì hệ thống sẽ nâng cao khả năng an toàn, tránh rủi ro. Dựa vào các mức an toàn,
sẽ đánh giá được hệ thống như thế nào? Trạng thái an toàn ở mức nào?,…. Dưới
đây sẽ làm rõ thêm quan điểm phân tích chính sách an toàn theo ISO 17799.

Quá trình PTRR theo định lượng bao gồm:
a. Đánh giá tổn thất có thể xảy ra trong quá trình sử dụng hoặc phụ thuộc vào
HTTT
b. Phân tích các mối đe dọa tiềm năng và các điểm yếu có thể gây tổn thất cho
HTTT
c. Lựa chọn các giải pháp và các phương tiện tối ưu nhằm giảm thiểu rủi ro
đến mức độ cho phép.
Các đối tượng cần PTRR:
a. Các đối tượng trong HTTT
b. Các bộ xử lý
c. Các quy trình và chương trình xử lý thông tin
d. Đối với kênh thông tin
e. Phát xạ điện từ trường ngoại vi
f. Các cơ chế quản lý điều khiển hệ thống
Các căn cứ :
a. Cơ sở luật pháp và các chỉ dẫn về ATTT
b. Các giải pháp (Các chính sách)
c. Cơ sở hạ tầng – Cấu trúc hệ thống
d. Các phương tiện bảo vệ trong HTTT

II. Phân Tích Rủi Ro
Các bước nghiên cứu và hệ thống hóa các hiểm họa
a. Lựa chọn các đối tượng và tài nguyên cần phân tích
b. Khởi thảo phương pháp đánh giá rủi ro

c. Phân tích các hiểm họa và các nơi xung yếu trong hệ thống
d. Nhận diện các hiểm họa và lập danh sách các hiểm họa
e. Phân tích chi tiết các hiểm họa và xây dựng ma trận “hiểm họa / thành phần
HTTT”
Khởi thảo phương pháp đánh giá rủi ro nhằm đánh giá một cách chính xác nhất
xác xuất tác động của các hiểm họa lên các điểm yếu trong HTTT trong một
khoảng thời gian nào đó.
Đánh giá tổn thất gây ra do các hiểm họa : Trên cơ sở tác động đến 3 tính chất
của thông tin : C-I-A.Việc đánh giá liên quan đến chi phí và khả năng chấp nhận
rủi ro còn lại.(rủi ro dư thừa ).
Phân tích chi phí / hiệu quả : Phân tích mối quan hệ chi phí bỏ ra / hiệu quả trước
và sau khi thực hiện các giải pháp ATTT.
Các tài liệu tổng hợp :
Phân Tích Và Quản Lý Rủi Ro Trong HTTT GVHD : TS Đào Thế Long
SVTH : Huỳnh Đăng Khoa, Nguyễn Đăng Khoa Trang 9
- Danh mục các hiểm họa , đánh giá rủi ro và khuyên cáo các giải pháp nhằm
giải thiểu rủi ro.
- Các biệm pháp bảo vệ để triệt tiêu rủi ro
- Phân tích mối quan hệ chi phí / hiệu quả , đưa ra kết luận về mức rủi ro cho
phép đối với hệ thống cũng như biện pháp bảo vệ đối với từng trường hợp
cụ thể
Đánh giá rủi ro theo nhóm :
• Nhóm quản trị HTTT
• Nhóm lãnh đạo của tổ chức
• Nhóm nhân viên có trách nhiệm về ATTT
• Người chủ sở hữu thông tin
• Nhóm người dùng thông tin
Mục đích cuối cùng của ATTT sẽ không bao giờ đạt được nếu không có một
người thủ lĩnh có năng lực thực sự .


III. Kết Luận
- Đánh giá rủi ro được thực hiện bằng nhiều phương tiện trong số đó có các
phương pháp mô hình hóa hệ thống bảo vệ thông tin.
- Kết quả quá trình đánh giá RR là phát hiện những hiểm họa có tác động tiềm
ẩn dẫn đến những rủi ro lớn nhất.
- Mục đích đánh giá rủi ro : Xác định các rủi ro cho HTTT . Nhiệm vụ này thực
hiện theo hai bước : Bước 1 – xác định giới hạn phân tích : mức độ phức tạp
của hệ thống và phương pháp sử dụng .Bước 2- Tiến hành phân tích rủi ro
gồm : Xác định giá trị thông tin cần bảo vệ, xác định danh mục hiểm họa và các
điểm xung yếu trong hệ thống; Tính xác xuất xảy ra hiểm họa tại các điểm xung
yếu và tính độ rủi ro.
- Mục đích giảm thiểu rủi ro : Sử dụng các giải pháp hiệu quả nhằm đảm bảo độ
rủi ro dư thừa (sau khi áp dụng các giải pháp chống trả ) ở mức chấp nhận được.
Quá trình này bao gồm ba phần : 1- xác định những lĩnh vực không cho phép
rủi ro quá cao.2- lựa chọn các giải pháp bảo vệ hiệu quả ; 3- Đánh giá tính hiệu
quả của các giải pháp , thỏa mãn hay không các chỉ tiêu về rủi ro dư thừa.

IV. Mô hình phân tích
Luận văn này xin đề cập đến mô hình phân tích rủi ro an toàn thông tin theo chuẩn
ISO 17799 : Hệ thống chính sách an toàn được chia ra làm các nhóm lĩnh vực, từ
những lĩnh vực sẽ chia thành các nhóm lĩnh vực con nhỏ hơn, trong các lĩnh vực con
lại thiết lập các nhóm quy tắc mà các nhóm quy tắc này sẽ có các mối quan hệ với
nhau thông qua các hành vi trogn từng quy tắc.
Sẽ chia thành bốn mức cơ bản để đánh giá theo nguyên tắc định lượng :
1. Thang điểm từ 0 – 40 : mức an toàn thấp
2. Thang điểm từ 41 – 69 : mức an toàn trung bình
3. Thang điểm từ 70 – 89 : mức an toàn cao
4. Thang điểm từ 90 – 100 : mức rất cao
Từng hành vi trong nhóm quy tắc được đánh giá theo thang điểm hành vi đó khi hành
động hay khi được thực thi sẽ tác động tích cực đến hệ thống như thế nào ? Mỗi hành

vi sẽ có quan hệ bắt buộc, hoặc loại trừ hoặc kết hợp với các thành viên khác, người
phân tích cần có kinh nghiệm và xử lý các mối quan hệ một cách rõ ràng và chính xác.
Nhưng cũng tùy theo trải nghiệm người phân tích, vì vậy sẽ có các mối quan hệ khác
Phân Tích Và Quản Lý Rủi Ro Trong HTTT GVHD : TS Đào Thế Long
SVTH : Huỳnh Đăng Khoa, Nguyễn Đăng Khoa Trang 10
nhau giữa các hành vi, nhưng sẽ đảm bảo rằng hệ thống sau khi được đánh giá phải
xây dụng nên một chính sách hoàn chỉnh và áp dụng tốt cho nhu cầu bảo mật thông tin.


B. PHÂN TÍCH RỦI RO CƠ SỞ HẠ TẦNG THEO CÂY LỖI
I. Tổng quan

1. Giới thiệu và lịch sử về FTA ( Fault Tree Analysis )
1.1 FTA là gì ?
FTA là phương pháp phân tích lỗi bằng cách suy diễn theo chiều từ trên xuống.
Bắt đầu với một sự kiện không mong đợi (mang nghĩa không tốt) đã xảy ra
hoặc có nguy cơ xảy ra – được gọi là “TOP event”. Tiếp theo, công việc của
nhà phân tích là xác định tất cả các nguyên nhân có thể gây nên TOP event. Các
nguyên nhân này có thể là một lỗi, một sự kiện riêng lẻ hoặc nhiều lỗi, nhiều sự
kiện kết hợp với nhau bằng các cổng logic
Kỹ thuật này được sử dụng cho hầu hết các loại ước lượng rủi ro, nhưng hiệu
quả nhất là tập trung vào nguyên nhân cơ bản của các loại rủi ro đặc trưng bị tác
động bởi mối quan hệ phức tạp của các sự kiện.

1.2 Lịch sử FTA
FTA được khai sinh bởi H.A.Watson – thuộc Bell Telephone Laboratories –
vào năm 1962, khi ông làm việc trong dự án Minuteman Lauch Control System
của Không quân Mỹ. Sau đó, Dave Haasl – thuộc Boeing Company – nhận thấy
giá trị của phương pháp này và lãnh đạo một nhóm ứng dụng FTA vào toàn bộ
Miniteman Missile System. Một nhánh khác của Boeing nhận thấy kết quả từ

chương trình Minuteman và bắt đầu dùng FTA trong quá trình thiết kế máy bay
thương mại. Năm 1965, Boeing và University of Washington tài trợ cho Hội
thảo An toàn hệ thống (System Safety Conference) đầu tiên và tại đây đã có vài
bài giới thiệu về FTA. Sự kiện này đánh dấu sự phát triển rộng khắp của FTA
trên toàn cầu.
2. Các bước tiến hành phân tích một hệ thống

2.1 Các bước chính trong phân tích cây lỗi
Để phân tích cây lỗi một cách chính xác và rõ ràng nhằm đi đến một kết quả
hoàn hảo về việc đánh giá rủi ro trong một hệ thống, người phân tích cần tiến
hành theo các bước chính sau :
1. Vạch rõ hệ thống cần tập trung : Xác định rõ ràng, cụ thể các ranh giới
và điều kiện ban đầu của hệ thống cần thông tin lỗi.
2. Vạch rõ sự kiện chính (TOP) của quá trình phân tích : Chỉ định rõ vấn
đề người phân tích sẽ chú trọng. Đó có thể là vấn đề chất lượng cụ thể,
ngừng trệ hay phân phối an toàn…
3. Vạch rõ cấu trúc cây : Xác định các sự kiện và điều kiện (sự kiện trung
gian) trực tiếp nhất dẫn đến sự kiện chính cần phân tích (TOP event).
4. Khảo sát các nhánh khác nhau trong các mức kế tiếp của chi tiết : Xác
định các sự kiện và các điều kiện trực tiếp nhất dẫn đến các sự kiện trung
gian. Lặp lại quá trình trên ở mỗi mức kế tiếp của cây cho đến khi mô hình
cây lỗi được hoàn thành.
Phân Tích Và Quản Lý Rủi Ro Trong HTTT GVHD : TS Đào Thế Long
SVTH : Huỳnh Đăng Khoa, Nguyễn Đăng Khoa Trang 11
5. Làm sáng tỏ cây lỗi trong việc liên kết các sự kiện góp phần vào sự
kiện chính : Khảo sát cây lỗi để nhận dạng tất cả sự kết hợp có khả năng
xảy ra của các sự kiện và điều kiện có thể gây nên vấn đề chính. Một kết
hợp các sự kiện và điều kiện cần và đủ để gây nên sự kiện chính gọi là một
minimal cut set (tạm dịch là tập hợp cắt tối thiểu).
6. Nhận dạng các nguy cơ về lỗi phụ thuộc quan trọng và điều chỉnh mô

hình cho hợp lý (có thể hiểu là quá trình xác định việc sử dụng các cổng
luận lý (AND, OR…) nào để kết hợp các sự kiện và điều kiện mức dưới
dẫn tới việc xuất hiện các sự kiện và điều kiện cấp trên) : Xem xét cẩn
thận mô hình cây lỗi và danh sách các minimal cut set để nhận dạng các
phụ thuộc quan trọng tiềm ẩn giữa các sự kiện. Các phụ thuộc xảy ra đơn
lẻ mà có thể gây nên nhiều sự kiện và điều kiện xuất hiện trong cùng một
thời điểm. Bước này thường gây nên những phân tích sai lầm.
7. Thực thi phân tích định lượng (nếu cần) : Dùng các mô tả thống kê liên
quan đến lỗi, quá trình sửa chữa các sự kiện và điều kiện đặc trưng trong
mô hình cây lỗi để tiên liệu việc vận hành của hệ thống trong tương lai.
8. Sử dụng các kết quả trong việc ra quyết định : Sử dụng các kết quả có
được trong quá trình phân tích để nhận dạng những điểm yếu đáng kể nhất
trong hệ thống và đưa ra những đề nghị hiệu quả để giảm thiểu các rủi ro
liên quan đến điểm yếu đó.
3. Cấu trúc cây lỗi (Fault Tree Construction)
1. Định nghĩa TOP event trọn vẹn ( toàn bộ/đầy đủ) và không mập mờ (rõ ràng
– unambiguous)
Nên luôn luôn trả lời :
What : vd : “Server ”
Where : vd : “hệ thống xữ lý thông tin”
When : vd : “trong thời gian/trong lúc hoạt động bình thường” (during
normal operation)
2. Các sự kiện trực tiếp (immediate), cần thiết (necessary) và có khả năng
(sufficient) và các điều kiện gây ra TOP event là cái gì ?
3. Kết nối thông qua các cổng AND hoặc OR
4. Xuất phát bằng cách này để có một cấp độ thích hợp ( = các sự kiện cơ bản -
an appropriate level).
5. Cấp độ thích hợp ( appropriate level):
a. Các sự kiện cơ bản độc lập ( independent basic events)
b. Các sự kiện với mục đích các sự kiện có lỗi dữ liệu

Các loại sự kiện ( Types of events) : có 5 loại sự kiện cũ thông thường
1. Nhóm không thể sửa chữa (non-repairable unit)
2. Nhóm có thể sửa chữa (repairable unit) : được sửa chữa khi lỗi xảy ra
3. Nhóm được kiểm tra một cách định kỳ (periodically tested unit) : các lỗi
ẩn (hidden failures)
4. Các sự kiện thường xuyên xảy ra (frequency of events)
5. Theo yêu cầu có khả năng xảy ra (on demand probability)



Phân Tích Và Quản Lý Rủi Ro Trong HTTT GVHD : TS Đào Thế Long
SVTH : Huỳnh Đăng Khoa, Nguyễn Đăng Khoa Trang 12
II. Tìm Hiểu Giải Thuật
1. Khái Niệm Cơ Bản Về Giải Thuật
1.1 Mô hình cây lỗi
Phân tích cây lỗi có thể được miêu tả một cách đơn giản như là một kỹ thuật
phân tích, nhờ đó một trạng thái không mong đợi của hệ thống được chỉ rõ
(thường là trạng thái quan trọng then chốt từ một điểm an toàn). Và hệ thống
sau khi được phân tích trong ngữ cảnh môi trường và cách thức hoạt động để
tìm ra tất cả các dạng sự kiện không mong muốn xảy ra.Chính cây lỗi nó là một
mô hình đồ họa của các lỗi và các kết hợp liên tiếp, điều này có thể sẽ có một
kết quả trong sự cố của những sự kiện không mong muốn được xác định trước.
Các lỗi có thể là những sự kiện mà những sự kiện này được kết hợp với thành
phần thiết bị phần cứng trong tình trạng không hoạt động. lỗi do con người,
hoặc bất cứ những sự kiện thích hợp khác mà những sự kiện này dẫn đến lỗi
không mong muốn. Một cây lỗi mô tả mối quan hệ logic cũa những sự kiện cơ
bản, mà những sự kiện này dấn đến sự kiện không mong đợi mà sự kiện này là
TOP event.
Cây lỗi không phải là mô hình cho tất cả những lỗi hệ thống có thể xảy ra. Hoặc
tất cả những nguyên nhân có thể xảy ra cho lỗi hệ thống. Một cây lỗi được biến

đổi để nó trở thành top event mà nó tương tự một vài lỗi hệ thống riêng biệt. và
cây lỗi bao gồm duy nhất những lỗi góp phần vào TOP event. Hơn nữa cây lỗi
không bao trùm mọi khía cạnh, chúng chỉ duy nhất phần lớn các lỗi mà đang
tìm hiểu, ước lượng


1.2 Các thành phần cơ bản trong mô hình cây phân tích lỗi
Cây lỗi điển hình thì bao gồm số biểu tượng mà các biểu tượng này được miêu
tả chi tiết

Các sự kiện chính (Primary events)
Các lỗi chính của một cây lỗi là các lỗi mà các lỗi này là lý do hoặc cái khác,
không phát triển tiếp trong tương lai. Các các sự kiện có khả năng xảy ra sẽ
được cung cấp nếu cây lỗi được sử dụng cho việc tính toán khả năng xảy ra của
TOP event, có bốn loai sự kiện chính :

- Sự kiện cơ bản ( the basic event)
Vòng tròn miêu tả một sự kiện cơ bản được yêu cầu và không phát
triển tiếp

- Sự kiện không được phát triển ( the undeveloped event )
Biểu tượng hình thoi mô tả sự kiện lỗi được chỉ ra không phát triển
tiếp, bởi vì sự kiện thì không đủ hệ quả để tác động hoặc thông tin
liên quan của sự kiện không đáng tin cậy

- Sự kiện điều kiện (Conditioning event)
Hình ellip được sử dụng để ghi lại bất cứ điều kiện hoặc giới hạn
để tác động đến bất cứ cổng logic. Nó được sử dụng chính với
cổng INHIBIT và PRIORITY AND


Phân Tích Và Quản Lý Rủi Ro Trong HTTT GVHD : TS Đào Thế Long
SVTH : Huỳnh Đăng Khoa, Nguyễn Đăng Khoa Trang 13

- Sự kiện bên ngoài ( the external event)
Biểu tượng này được sử dụng để hiển thị một sự kiện mà nó thường
mong muốn xảy ra : một sự thay đổi trong một hệ thống động

- Các sự kiện trung gian ( intermediate events)
Một sự kiện trung gian là một sự kiện lỗi mà sự kiện lỗi này xảy ra bởi vì một
hoặc nhiều nguyên nhân khác tác động thông qua cổng logic, tất cả các sự kiện
trung gian có biểu tượng hình chữ nhật



- Cổng (Gate)
Có 2 loại cổng cơ bản của các cổng trong cây lỗi : cổng OR và cổng AND. Tất
cả các cổng thật ra chỉ trường hợp của 2 loại sự kiện cơ bản. Với ngoại lệ, các
cổng là biểu tượng bởi che chắn với một cờ hoặc đáy cong

- Cổng OR
Cổng OR được sử dụng khi sự kiện đầu ra xảy ra nếu một hoặc tất cả sự kiện
đầu vào xảy ra. Có thể có nhiều sự kiện đầu vào ở cổng OR
Vd : xét hình dưới đây :
Ta thấy cổng OR có 2 sự kiện ngõ vào A và B và 1 sự kiện ngõ ra Q, sự kiện Q
xảy ra nếu A xảy ra hoặc B xảy ra, hoặc cả hai A và B xảy ra


Một điểm rất quan trọng là nguyên nhân lỗi không và chưa bao giờ thông qua
cổng OR, ví dụ cho một cổng OR, các sự kiện đầu vào không bao giờ là các
nguyên nhân xảy ra của lỗi đầu ra. Các đầu vào cổng OR đồng nhất với đầu ra

nhưng được định nghĩa rõ ràng như là nguyên nhân gây ra.
Công thức tính xác suất khi có mối quan hệ :
Nếu a và b có mối quan hệ OR. Gọi ot là đầu ra của mối quan hệ a và b
ot = a + b
Gọi P là xác suất cần tính , ta có
P(ot) = P(a) + P(b) – P(a).P(b) (1)
Nếu ta có 3 mối quan hệ : a or b or c
Ta sẽ có :
P(ot) = P(a) + P(b) + P(c) - P(a). P(b) - P(b). P(c)
- P(a) .P(c) + P(a) .P(b). P(c) (2)
Phân Tích Và Quản Lý Rủi Ro Trong HTTT GVHD : TS Đào Thế Long
SVTH : Huỳnh Đăng Khoa, Nguyễn Đăng Khoa Trang 14
- Cổng AND
Cổng AND được sử dụng để trình diễn đầu ra duy nhất xảy ra khi tất cả đầu vào
các lỗi xảy ra.Có thể có nhiều đầu vào. Ví dụ sau về 1 loại có 2 đầu vào cổng
AND với các sự kiện A và B, và đầu ra Q, Sự kiện Q duy nhất xảy ra nếu sự
kiện A và B đều xảy ra.




Mối tương phản cổng OR và AND chỉ ra mối quan hệ nguyên nhân giữa đầu ra
và đầu vào. Các lỗi đầu vào chung miêu tả nguyên nhân lỗi đầu ra. Cổng AND
đưa đến mọi thứ về nguồn gốc của các loại đầu vào. Ví dụ một cổng AND : một
tình trạng không hoạt động của cả 2 bộ nguồn cung cấp cho server và UPS dự
phòng sẽ là kết quả không hoạt động của máy Server


Nếu a và b có mối quan hệ AND. Gọi ot là đầu ra của mối quan hệ a va b
ot = a . b

Gọi P là xác suất cần tính , ta có
P(ot) = P(a) x P(b) (3)

- Cổng INHIBIT
Là trường hợp đặt biệt của cổng AND. Đầu ra là kết quả gây ra bởi một đầu vào,
nhưng một điều kiện phải thỏa mãn trước khi đầu vào có thể gây ra đầu ra. Điều
Server không hoạt
động
Nguồn thứ 1 không
hoạt động
Nguồn thứ 2 không
hoạt động
UPS không hoạt
động
Phân Tích Và Quản Lý Rủi Ro Trong HTTT GVHD : TS Đào Thế Long
SVTH : Huỳnh Đăng Khoa, Nguyễn Đăng Khoa Trang 15
kiện mà điều kiện này phải tồn tại là điều kiện ngỏ vào. Việc miêu tả điều kiện
ngõ vào này được thể hiện hình ellip bên phải cổng.



- Cổng EXCLUSIVE OR
Cổng này là trường hợp đặc biệt của cổng OR, sự kiện ngõ ra duy nhất xảy ra
nếu chính xác một trong các sự kiện ngõ vào xảy ra. Hình bên dưới chỉ ra 2
cách thức miêu tả loại EXCLUSIVE OR với 2 đầu vào.


Nếu a và b có mối quan hệ XOR. Gọi ot là đầu ra của mối quan hệ a va b
ot = a + b
Gọi P là xác suất cần tính , ta có

P(ot) = P(a) + x P(b) (4)
Cổng loại trừ OR không giống như thông thường hoặc bao gồm cả OR trong
trạng thái mà ở đó cả 2 đầu vào xảy ra được ngăn ngừa. cổng ra Q xảy ra nếu A
xảy ra hoặc B xảy ra, nhưng cả hai A và B không được xảy ra.

- Cổng PRIORITY AND
Cổng này là trường hợp đặc biệt của AND, ngõ ra duy nhất xảy ra nếu tất cả sự
kiện ngõ vào xảy ra trong trình tự sắp xếp chỉ ra trước, trình tự thường được
trình bày bên trong hình ellip, trong thực tế , cần thiết có thứ tự được chỉ ra thì
không thường bắt gặp.
Phân Tích Và Quản Lý Rủi Ro Trong HTTT GVHD : TS Đào Thế Long
SVTH : Huỳnh Đăng Khoa, Nguyễn Đăng Khoa Trang 16


Biểu tượng chuyển tiếp
Hình tam giác được nói đến như biểu tượng chuyển tiếp và được dùng như việc
tiện lợi để tránh kéo dài gấp đôi trong cây lổi. đường từ đỉnh chóp của tam giác
có nghĩa là “transfer in” và một đường từ bên cạnh là “ transfer out”. Một
“transfer in” được kèm theo cổng sẽ liên kết tương ứng với “transfer out”.
“transfer out” này có thể một trang khác, sẽ chứa vị trí tiếp theo của cây đang
miêu tả ngõ vào cổng

2. Những Nguyên Tắc Xây Dựng Cây Lỗi
2.1 Khái niệm “nguyên nhân trực tiếp”
Việc phân tích hệ thống, đầu tiên, như ta đã thấy định nghĩa hệ thống và
sau đó lựa chọn một kiểu sự cố hệ thống riêng biệt để phân tích sâu hơn. Cái tạo
thành sự kiện top của cây lỗi của hệ thống phân tích. Sau đó xác định những
nguyên nhân trực tiếp, cần thiết, và có khả năng gây ra sự xuất hiện của sự kiện
top. Có thể ghi nhớ rằng những cái này không phải là nguyên nhân cơ bản của
sự kiện nhưng là nguyên nhân trực tiếp hoặc cơ chế trực tiếp của sự kiện. Đây

là điểm cực kì quan trọng mà sẽ được làm rõ và chứng minh trong các ví dụ sau.
Vì vậy sự phân tích sự kiện top tạo ra một sự liên kết các sự kiện lỗi được kết
nối bằng các cổng logic “and” và “or”. Khung sườn ( hoặc kiểu hệ thống) mà sự
liên kết này dựa vào là cây lỗi.
2.2 Định nghĩa các thành phần :
a. Passive Component
Các thành phần của hệ thống ở trạng thái bị động. Có thể hiểu nôm na là
các thành phần truyền dẫn tín hiệu, vật chất
Vd : Dây dẫn, ống dẫn điện, …
b. Active Component
Các thành phần của hệ thống mà khi hoạt động sẽ gây nên tác động tới
hệ thống. Có thể hiểu nôm na là các thành phần có khả năng tạo ra và
hiệu chỉnh tín hiệu.
Vd : Máy chủ DNS, Firewall,…
c. Primary Component
Lỗi phát sinh trong nội tại của một thành phần nào đó thuộc hệ thống,
không thể chi tiết thêm nữa, là nguyên nhân cuối cùng trong phân tích hệ
Phân Tích Và Quản Lý Rủi Ro Trong HTTT GVHD : TS Đào Thế Long
SVTH : Huỳnh Đăng Khoa, Nguyễn Đăng Khoa Trang 17
thống hay Một thành phần không hoạt động không thể được định nghĩa
thêm nữa tại mức thấp hơn
Vd : Tụ điện trên bo mạch bị cháy, nguồn 5v hõng,…
d. Secondary Component
Lỗi phát sinh do tác động vượt quá khả năng đã được thiết kế của thành
phần nào đó thuộc hệ thống. Một thành phần không hoạt động có thể
được định nghĩa thêm tại mức thấp hơn, nhưng không được định nghĩa
chi tiết (ground rules)
Vd : máy tính hỏng (không quan tâm chi tiết tại sao)
e. Command Component
Lỗi phát sinh do thành phần thuộc hệ thống hoạt động đúng nhưng lại

không đúng nơi, đúng lúc. Một thành phần không hoạt động là nguyên
nhân tác động từ bên ngoài đến hệ thống, có thể được định nghĩa thêm.
Chúng cũng quan trọng khi biểu diễn của việc phân tích nguyên nhân
phổ biến
Vd : máy tính hỏng do nguồn
III Đại Số Boolen và Ứng Dụng Phân Tích Cây Lỗi
1. Các nguyên tắc đại số Boolean
Luật giao hoán (commutative)
• ab = ba
• a + b = b + a
Luật kết hợp (associative)
• (a + b) + c = a + (b + c) = a + b + c
• (ab)c = a(bc) = abc
Luật phân phối (distributive)
• a(b + c) = ab + ac
• a + 0 = a
• a + 1 = 1
• a . 0 = 0
• a . 1 = 1
Luật không bảo toàn giá trị
• a . a = a
• a + a = a
• a . a = 0
• a + a = 1
Luật absorption ( luật hút)
• a + ab = a
• a(a + b ) = a
• a + ab = a + b

2. Các ứng dụng cho việc phân tích

Chúng ta xem xét mối quan hệ giữa đại số Boolean đến cây lỗi. Một cây lỗi là một
mô hình logic , miêu tả tất yếu các sự kiện phải xảy ra theo thứ tự các sự kiện xảy
ra. Các sự kiện này được khái niệm “Lỗi – Faults”nếu chúng khởi đầu bởi các sự
kiện khác và khái niệm “tình trang không hoạt động – failures” nếu chúng là những
Phân Tích Và Quản Lý Rủi Ro Trong HTTT GVHD : TS Đào Thế Long
SVTH : Huỳnh Đăng Khoa, Nguyễn Đăng Khoa Trang 18
sự kiện khởi đầu cơ bản. Cây lỗi tương quan các sự kiện ( các lỗi dẫn đến các lỗi,
hoặc các lỗi dấn đến tình trạng không hoạt động” và biểu tượng thì được sử dụng
miêu tả mối quan hệ khác nhau. Biểu tượng cơ bản là các “Cổng- Gate” và mổi
cổng có các đầu vào và một đầu ra.
Cổng đầu ra là sự kiện lỗi cao hơn “higher” lý do bên dưới và cổng đầu ra là những
lỗi cơ bản (“lower”) hoặc (failure), chúng có quan hệ với đầu ra. Khi chúng ta vẽ
một cây lỗi, chúng ta đã xử lý từ các lỗi ở mức cao đến các lỗi cơ bản thấp hơn.

IV. Hạn chế
Tuy cây lỗi là một phương pháp hiệu quả để phân tích nguyên nhân gây ra rủi ro và
tìm ra lỗi trong mô hình hệ thống thông tin, nhưng FTA cũng có một số hạn chế nhất
định sau :
Tập trung hạn hẹp : Phương pháp phân tích cây lỗi chỉ khảo sát một tai nạn cụ thể
trong vấn đề quan tâm. Để phân tích những dạng tai nạn khác, các cây lỗi khác phải
được phát triển
Nghệ thuật cũng như khoa học : Ở mức chi tiết, các dạng của sự kiện được thêm vào
quá trình phân tích cây lỗi, và tổ chức cây có sự biến đổi đáng kể giữa nhà phân tích
này và nhà phân tích khác – nghĩa là với 2 nhà phân tích có kiến thức kĩ thuật như
nhau, có thể phân tích và cho ra 2 cây lỗi khác biệt đáng kể cho cùng một trường hợp.
Tuy nhiên, căn cứ vào cùng một phạm vi và giới hạn các giả định, những phân tích
khác nhau, nếu có khác biệt, nên được đưa ra để so sánh các kết quả.
Các xác định số lượng cần một sự thành thạo đáng kể : Sử dụng kết quả phân tích
cây lỗi để làm các dự đoán thống kê về hoạt động của hệ thống trong tương lai rất
phức tạp. Chỉ có những nhà phân tích có kỹ năng cao mới có thể thực hiện tốt những

các xác định đó.
Bên cạnh đó, các nhà phân tích thường quá chú trọng đến các thiết bị và hệ thống mà
quên mất việc chú tâm một cách xác đáng vào vấn đề con người và tổ chức trong các
mô hình của họ. Đây không phải là giới hạn vốn có của phương pháp phân tích cây lỗi
nhưng là một lưu ý có giá trị


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×