Bài giảng An tồn và bảo mật thơng tin
doanh nghiệp



Mục đích của mơn học
 Cung cấp những kiến thức cơ bản về an tồn và

bảo mật thơng tin cho HTTT doanh nghiệp
 Cung cấp thông tin về các nguy cơ tấn cơng và

phương pháp đảm bảo an tồn cho hệ thống
thông tin doanh nghiệp
 Giới thiệu một số ứng dụng của cơng nghệ trong
đảm an tồn và bảo mật thơng tin doanh nghiệp

Bộ môn CNTT
Khoa Hệ thống thông tin Kinh tế

9/10/2014



Bộ môn CNTT

1

Yêu cầu cần đạt được

9/10/2014



 Nắm vững các kiến thức cơ bản về an toàn và

bảo mật thông tin doanh nghiệp

Bộ môn CNTT

Nguyễn Thị Hội - Bộ môn CNTT

luận
 Email:
 Bài giảng:

3

 Chương 1:
▪ Tổng quan về an tồn và bảo mật thơng tin doanh nghiệp
 Chương 2:
▪ Các hình thức tấn cơng vào thơng tin doanh nghiệp
 Chương 3:
▪ Các phương pháp phịng tránh và khắc phục
 Chương 4:
▪ Các hệ mã hóa
 Chương 5:
▪ Ứng dụng cơng nghệ trong an tồn và bảo mật thơng tin

9/10/2014

Mơn học gồm 2 tín chỉ (45 tiết) phân phối như

sau:
 Thời gian: 11 tuần lý thuyết, 1 kiểm tra và 3 thảo

phương pháp đảm bảo an tồn cho hệ thống
thơng tin doanh nghiệp
 Sử dụng được một số ứng dụng đã có trong việc
đảm bảo an tồn thơng tin doanh nghiệp

Bộ mơn CNTT

2

 Nội dung lý thuyết và thảo luận 30 tiết (15 buổi)

 Có kiến thức về các nguy cơ tấn công và và các

9/10/2014

Bộ mơn CNTT

5

9/10/2014








Bộ mơn CNTT

4

[1] Giáo trình An tồn dữ liệu, Bộ mơn CNTT, Đại
học Thương Mại, 2007.
[2] Phan Đình Diệu, Lý thuyết mật mã và an tồn
thơng tin, Đại học Quốc gia Hà Nội, 1999.
[3] William
Willi
St lli
Stallings,
C t
Cryptography
h and
dN
Network
t
k
Security Principles and Practices, Fourth Edition,
Prentice Hall, 2005
[4] Man Young Rhee. Internet Security:
Cryptographic principles, algorithms and protocols.
John Wiley & Sons, 2003.
9/10/2014

Bộ môn CNTT

6


1


Bài giảng An tồn và bảo mật thơng tin
doanh nghiệp

 1.
▪
▪
▪
▪
▪
▪
▪

Khái niệm

 2.
▪
▪
▪

Mục tiêu và yêu cầu của ATBMTTDN

An toàn và bảo mật thơng tin
Vai trị ATBM trong DN
Các nguy cơ
Phân loại các nguy cơ
Các nguy cơ thực tế của doanh nghiệp
Phịng tránh

Khắc phục
Mục tiêu
u cầu
Quy trình

 3. Mơ hình và định hướng ATBMTTDN
▪ Mơ hình
▪ Định hướng

9/10/2014





Bộ mơn CNTT

7

Bộ mơn CNTT

9

Bảo mật thơng tin là duy trì tính bí mật, tính trọn vẹn
và tính sẵn sàng của thơng tin.



Bộ môn CNTT


8

9/10/2014

Bộ môn CNTT

10

chống virus, giải pháp mật mã, sản phẩm mạng,
hệ
ệ điều hành…
 Những ứng dụng như: trình duyệt Internet và
phần mềm nhận Email từ máy trạm…

những người được cấp quyền tương ứng.

 Tính trọn vẹn là bảo vệ sự chính xác, hồn chỉnh của

thơng tin và thơng tin chỉ được thay đổi bởi những người
được cấp quyền.
 Tính sẵn sàng của thông tin là những người được quyền
sử dụng có thể truy xuất thơng tin khi họ cần”



Hệ thống được coi là bảo mật (confident) nếu tính
riêng tư của nội dung thông tin được đảm bảo theo
đúng các tiêu chí trong một thời gian xác định.
9/10/2014


Bộ mơn CNTT

Nguyễn Thị Hội - Bộ môn CNTT

Yếu tố công nghệ:
 Những sản phẩm như Firewall, phần mềm phịng

 Bí mật nghĩa là đảm bảo thông tin chỉ được tiếp cận bởi



9/10/2014

Một hệ thống thơng tin được coi là an tồn khi thơng
tin khơng bị làm hỏng hóc, khơng bị sửa đổi, thay
đổi, sao chép hoặc xóa bỏ bởi người khơng được
phép
Một hệ thống
thố thơng
thơ tin
ti an tồn
t à thì các
á sự cố
ố có
ó thể
xảy ra khơng thể làm cho hoạt động chủ yếu của nó
ngừng hẳn và chúng sẽ được khắc phục kịp thời
mà không gây thiệt hại đến mức độ nguy hiểm cho
chủ sở hữu.


9/10/2014



=> Thông tin không bị hỏng hóc, khơng bị sửa đổi và
khơng bị mất mát

11

Yếu tố con người:
 Là những người sử dụng máy tính, những người

làm việc với thơng tin và sử dụng máy tính trong
cơng việc của mình
9/10/2014

Bộ mơn CNTT

12

2


Bài giảng An tồn và bảo mật thơng tin
doanh nghiệp

So sánh 1 số nước: HQ: 62%, Singapore: 68%,
…
9/10/2014




Bộ môn CNTT

13

9/10/2014

Bộ môn CNTT

14

9/10/2014

Bộ môn CNTT

16

Về trang thiết bị:
 Gần 70% số CQNN đã sử dụng firewall cứng

hoặc mềm
 Hầu hết chưa trang bị thiết bị phát hiện và phòng

chống thâm nhập IDS, IPS
 Hầu hết các CQNN và DNNN đều sử dụng phần

mềm diệt virus, nhưng đa số là phần mềm khơng
có bản quyền


9/10/2014

Bộ mơn CNTT

15



Vai trị:
- ATBM có vai trị quan trọng đối với sự phát triển bền vững
của các doanh nghiệp
-

Thông tin là tài sản vô giá của các doanh nghiệp.

Rủi ro về
ề thông tin của mỗi
ỗ doanh nghiệp có thể
ể gây thất
ấ thốt tiền
ề bạc,
tài sản, con người và gây thiệt hại đến hoạt động kinh doanh sản xuất
của doanh nghiệp

-

Rủi ro thông tin doanh nghiệp ảnh hưởng uy tín & sự phát triển của
doanh nghiệp nhưng lại là vấn đề rất khó tránh khỏi

-


=> ATBM khơng phải là công việc của riêng người làm
CNTT mà là của mọi cá nhân và đơn vị trong tổ chức doanh
nghiệp
9/10/2014

Bộ môn CNTT

Nguyễn Thị Hội - Bộ môn CNTT

17

9/10/2014

Bộ môn CNTT

18

3


Bài giảng An tồn và bảo mật thơng tin
doanh nghiệp

 Ngẫu nhiên (nguyên nhân khách quan)
▪ Thiên tai, hỏng vật lý, mất điện, …
 Có chủ định (nguyên nhân chủ quan)
▪ Tin tặc, cá nhân bên ngoài, phá hỏng vật lý, can thiệp
có chủ ý, …


9/10/2014

Bộ mơn CNTT

19

9/10/2014

Bộ mơn CNTT

20

21

9/10/2014

Bộ môn CNTT

22

Từ con người:
Tin tặc, phishing, pharming, …
9/10/2014

Bộ môn CNTT

Người đảm bảo an
tồn thơng tin phải
ln ln cập nhật
các kiến thức bảo

mật
ật mới
ới hạn
h chế
hế
được các nguy cơ
tấn công ngày càng
gia tăng như ngày
nay!

9/10/2014

Bộ môn CNTT

Nguyễn Thị Hội - Bộ môn CNTT



a) Nguy cơ từ bên trong
 Nguy cơ do yếu tố kỹ thuật (thiết bị mạng, máy chủ, hệ
thống thông tin.., )
 Nguy cơ do lập kế hoạch, triển khai, thực thi, vận
hành(vịng đời)
 Nguy cơ trong quy trình, chính sách an ninh bảo mật…
 Nguy cơ do yếu tố người: vận hành, đạo đức nghề
nghiệp

23

9/10/2014


Bộ môn CNTT

24

4


Bài giảng An tồn và bảo mật thơng tin
doanh nghiệp







Hơn 71% các tổ chức cho phép nhân viên dùng
thiết bị di động trong khi làm việc
Trên thế giới có hơn 2 tỷ chiếc smartphone đang
hoạt động
Trong
đó có
T
ó 68,8%
68 8% dùng
dù Android,
A d id 18.8%
18 8% dùng
dù

Apple, 4,5% dùng RIM và 5,8% dùng OS khác trong
khi đó Malware tấn cơng vào OS thì có đến 79% tấn
cơng vào Android, 19% vào Symbian và 2% vào các
OS khác
Hơn 350.000 mã độc tấn công vào OS trong 12
phút, 1.000.000 mã độc tấn công OS trong 13’
9/10/2014

Bộ môn CNTT

25

9/10/2014

Bộ môn CNTT

26

9/10/2014

Bộ môn CNTT

27

9/10/2014

Bộ môn CNTT

28


9/10/2014

Bộ môn CNTT

29

9/10/2014

Bộ môn CNTT

30

Nguyễn Thị Hội - Bộ môn CNTT

5


Bài giảng An tồn và bảo mật thơng tin
doanh nghiệp



B) Nguy cơ từ mơi trường bên ngồi



Mơi trường: hạ tầng năng lượng, truyền thông, thảm
hoạ từ thiên nhiên hoặc con người
g p càng
g lớn càng

g là mục tiêu của
- Các doanh nghiệp
nhiều đối tượng tấn công từ trong nước và quốc tế.
-



Phòng tránh là cách thức sử dụng các
phương pháp, phương tiện, kỹ thuật nhằm
ngăn ngừa và giảm bớt các rủi ro mà hệ
thống gặp phải
Phân loại:
 Phòng tránh từ bên trong
▪ Yếu tố con người, hệ mã hóa, phần cứng, phần mềm, …
 Phịng tránh từ bên ngồi
▪ Yếu tố con người, mã độc, Internet, …

9/10/2014





Bộ môn CNTT

31

Khắc phục hậu quả là sử dụng các phương
pháp, phương tiện và kỹ thuật nhằm phục hồi
lại tài nguyên hệ thống và các hoạt động chủ

yếu của nó
Phân loại:
 Phục hồi dữ liệu:
▪ Backup, Recovery data, …
 Phục hồi ứng dụng:
▪ Backup, phần cứng, phần mềm chuyên dụng, …
9/10/2014



Bộ môn CNTT

33

9/10/2014



Bộ môn CNTT

32

3 Mục tiêu cơ bản
 Phát hiện các lỗ hổng của hệ thống thơng

tin, dự đốn trước những nguy cơ tấn cơng
 Ngăn chặn những hành động gây mất
ấ an

tồn thơng tin từ bên trong cũng như bên

ngồi
 Phục hồi tổn thất khi hệ thống thông tin bị
tấn công
9/10/2014

Bộ môn CNTT

34

4 Yêu cầu
 Tính bí mật (Secrecy)
▪ Đảm bảo dữ liệu của người sử dụng luôn được bảo vệ, không bị
xâm phạm bởi những người khơng được phép

 Tính tồn vẹn (Integrity):

Tính tin cẩn

Bảo mật

▪ Dữ liệu khơng bị tạo ra, sửa đổi hay xóa bởi những người khơng sở
hữu.

 Tính sẵn sàng (Availability):

Tính tồn vẹn

Tính sẵn sàng

▪ Dữ liệu phải ln trong trạng thái sẵn sàng.


 Tính tin cậy (Confidentiality)
▪ Thông tin người dùng nhận được là đúng

9/10/2014

Bộ môn CNTT

Nguyễn Thị Hội - Bộ môn CNTT

35

9/10/2014

Bộ môn CNTT

36

6


Bài giảng An tồn và bảo mật thơng tin
doanh nghiệp

Doanh nghiệp phải đảm bảo 
đầy đủ các yếu tố của mơ 
hình C‐I‐A: Confidentiality, 
Integrity, Availability.
‐ Xây dựng trung tâm dự 
phịng thơng tin trong tổng 

thể an ninh hệ thống phần 
nào đảm bảo tính liên tục 
(Availability) 
‐



Xác định
Đánh giá
Lựa chọn
giải pháp
Giám sát
rủi ro

9/10/2014

Bộ mơn CNTT

38

9/10/2014

Bộ mơn CNTT

42

Xác định
 Bảo vệ cho ai? Bảo vệ cái gì? Bảo vệ như thế nào? =>

Rất quan trọng



Đánh giá
 Đưa
Đ ra các
á biện
biệ pháp?
há ? Đánh
Đá h giá
iá hiệu
hiệ năng,
ă
chi
hi phí,
hí độ an

tồn, …


Lựa chọn giải pháp



Giám sát rủi ro

 Từ bước đánh giá lựa chọn giải pháp tối ưu có thể
 Ln ln giám sát hoạt động => Xác định nguy cơ =>

…=> …=>
9/10/2014


Bộ môn CNTT

39

9/10/2014

Bộ môn CNTT

41

Nguyễn Thị Hội - Bộ môn CNTT

7


Bài giảng An tồn và bảo mật thơng tin
doanh nghiệp



A. Mơ hình đảm bảo an tồn trên máy đầu cuối




MỨC MẠNG

MỨC VẬT LÝ




TÀI NGUYÊN

MỨC DỮ LiỆU
9/10/2014






MỨC HỆ ĐiỀU HÀNH
Bộ môn CNTT

43

Tạo và phân quyền người dùng
Kiểm sốt các chương trình đang được thực
thi trong máy
Các file log dùng để theo dõi hoạt động của
hệ thống
Các chức năng bảo mật được tích hợp sẵn
(trình diệt Virus, tường lửa)

9/10/2014

Chống nguy cơ mất mát dữ liệu qua đường vật lý
Đánh giá độ chịu đựng của hệ thống dữ liệu
trước những sự cố bất ngờ.

Quản lý các truy nhập mức vật lý vào phần cứng
lưu trữ
Quản lý hoạt động của các thiết bị cần bảo vệ và
thiết bị bảovệ để đảm bảo sự hoạt động của dữ
liệu một cách ổn đinh.

Bộ mơn CNTT



Mã hóa dữ liệu:



Phân quyền người dùng:

45

9/10/2014







Bộ môn CNTT

44


Sử dụng các thiết bị phần cứng chuyên dụng
để ngăn chặn sự xâm nhập trái phép từ
Internet
Dùng các cơ chế quản lý và phân quyền
người sử dụng
Sử dụng các giao thức bảo mật trên mạng
Các phần mềm chống xâm nhập trái phép
cũng như dò tìm Virus

9/10/2014

Bộ mơn CNTT

46

Bên thứ ba đáng tin

 Dữ liệu được lưu trữ dưới dạng bản mã.

Sử dụng các chương trình bảo mật thư
mụcvà file

 Thiết lập cơ chế backup, lưu trên nhiều Server

Thơng tin
bí mật

 Dùng NTFS, hệ điều hành LINUX, ..
9/10/2014


Bộ môn CNTT

Nguyễn Thị Hội - Bộ môn CNTT

Chuyển
y đổi
liên quan
đến an tồn

Thơng báo



Kênh
thơng tin

Thơng báo an tồn
n

Thiết lập các cơ chế sao lưu dữ liệu

Thông báo

 Phân ra nhiều mức người sử dụng khác nhau.
nhau



Thông báo an tồn
n


Bên nhận
Chuyển
y đổi
liên quan
đến an tồn

Thơng tin
bí mật

Đối thủ

47

9/10/2014

Bộ mơn CNTT

48

8


Bài giảng An tồn và bảo mật thơng tin
doanh nghiệp

1. Nâng cao nhận thức về ATBM TT cho
doanh nghiệp
2.


Ban hành các chính sách ATBM

3.

Tổ chức thực hiện & kiểm tra, kiểm sốt

9/10/2014

Bộ mơn CNTT

49

9/10/2014

Bộ mơn CNTT

50

51

9/10/2014

Bộ mơn CNTT

52



1.ATTTs là một trụ cột để phát triển CNTT, CPĐT…
 Một trong 5 trụ cột (hạ tầng, công nghiệp, ứng dụng, nguồn nhân lực,





ATTTs)
Điều kiện tiên quyết để PT ƯD CNTT

2.ATTTs là một bộ phận của QPANQG


Địa bàn hoạt động do thám, tội phạm, khủng bố, chiến tranh

 Tác hại lớn đến cộng đồng,
đồng ảnh hưởng đến KT,
KT ANQG,
ANQG TTATXH


Bảo đảm an toàn thơng tin liên lạc, giữ gìn bí mật quốc gia

 Giữ gìn bí mật kinh tế, đảm báo phát triển bền vững



Bảo vệ chủ quyền QG trọng không gian số

3.ATTTs là một ngành kinh tế công nghiệp, dịch vụ công nghệ cao
 Giá trị kinh tế cao, tăng trưởng nhanh (28%)
 Đầu tư đắt tiền, địi hỏi tính hiệu quả cao
 Địi hỏi trình độ cao về phát triển KHCN và nhân lực


9/10/2014

Bộ môn CNTT

Nguyễn Thị Hội - Bộ môn CNTT

53

9/10/2014

Bộ môn CNTT

54

9


Bài giảng An tồn và bảo mật thơng tin
doanh nghiệp



4.ATTTs là một lĩnh vực đặc thù ưu tiên sản phẩm, tổ chức nội địa
 Kế thừa tri thức tinh hoa quốc tế, phát huy nội lực

5.ATTTs là một lĩnh vực nóng trong đối ngoại


Xu hướng đồng thuận, hợp tác >< đấu tranh, do thám mạng


 Công ước Châu Âu về chống tội phạm mạng
 Chiến lược quốc tế về không gian mạng của Mỹ, Anh,…
 Hội thảo quốc tế về khơng gian mạng: Đa số các nước có quan điểm đối thoại,



ATBM có vai trị đối với phát triển bền vững của
doanh nghiệp
- ATBM không phải là công việc của riêng người làm
CNTT trong doanh nghiệp mà là của tất cả mọi thành
viên trong tổ chức
- Doanh nghiệp cần có chính sách đầu tư thích đáng
cho ATBM TTDN
-

 Dịch vụ, hệ thống, cơng cụ, con người địi hổi độ tin cậy cao


xây dựng các quy tắc ứng xử, đồng thuận
Quan điểm “tự do internet” nhưng phải đảm bảo an ninh quốc gia và an toàn
cho người dân

6. ATTTs là sự nghiệp của toàn xã hội


CQ QLNN, thực thi & BV PL là nòng cốt + LL KHCN + cộng đồng + Xã hội
hóa + nâng cao thường xuyên nhận thức

9/10/2014


Bộ mơn CNTT

55

Rà sốt, chỉnh sửa và hồn thiện các quy định
nghiệp vụ theo hướng ứng dụng cơng nghệ cao

•

Tiếp tục hoàn thiện các quy định về an ninh, bảo
mật hệ thống thơng tin trong các đơn vị sản xuất kinh
doanh
•

Từng bước xây dựng các các tiêu chuẩn chung đối
với một hệ thống thông tin trong các đơn vị sản xuất
kinh doanh

•

•

56

•

Thực hiện lộ trình áp dụng các tiêu chuẩn ATBM

Từng đơn vị cụ thể hố thành chính sách ATBM

riêng & tổ chức thực hiện

•

Các đơn vị thường xuyên tổ chức kiểm tra,đánh giá
về mức độ ATBM của doanh nghiệp mình nhằm phát
hiện kịp thời và tăng cường mức độ đảm bảo ATTT
cho doanh nghiệp
•

Xây dựng quy chế xử lý rủi ro ứng dụng CNTT.

57

9/10/2014

Bộ môn CNTT

Nguyễn Thị Hội - Bộ môn CNTT

59

58

9/10/2014

Bộ môn CNTT

60


10


Bài giảng An tồn và bảo mật thơng tin
doanh nghiệp

9/10/2014

Bộ môn CNTT

61

9/10/2014








9/10/2014

Bộ môn CNTT

Nguyễn Thị Hội - Bộ môn CNTT

63

Bộ mơn CNTT


62

Trình bày các khái niệm về an tồn thơng tin
và bảo mật thơng tin
Vai trị của ATBM TT trong DN
Các nguy cơ tấn công vào HTTT của DN
Các yêu cầu cũng như mục tiêu của việc đảm
bảo an toàn và bảo mật thơng tin
Quy trình và mơ hình đảm bảo ATBM TT
Định hướng để tăng cường ATBMTT trong
DN
9/10/2014

Bộ môn CNTT

64

11