Bài giảng Cơ sở an toàn thông tin
Với phạm vi là một trong môn học cơ sở nhất về an toàn thông tin, nhóm tác giả cố gắng
trình bày những vấn đề cơ sở nhất phục vụ mục tiêu môn học. Nội dung của tài liệu bài giảng
đƣợc biên soạn thành 6 chƣơng với tóm tắt nội dung nhƣ sau:
Chương 1- Tổng quan về an toàn thông tin giới thiệu các khái niệm về an toàn thông tin,
an toàn hệ thống thông tin và các yêu cầu đảm bảo an toàn thông tin, an toàn hệ thống thông
tin. Chƣơng cũng đề cập các nguy cơ, rủi ro trong các vùng của hạ tầng công nghệ thông tin
theo mức kết nối mạng. Phần cuối của chƣơng giới thiệu mô hình tổng quát đảm bảo an toàn
thông tin, an toàn hệ thống thông tin.
Bạn đang xem 20 trang mẫu của tài liệu "Bài giảng Cơ sở an toàn thông tin", để tải tài liệu gốc về máy hãy click vào nút Download ở trên
Tóm tắt nội dung tài liệu: Bài giảng Cơ sở an toàn thông tin
HỌC VIỆN CÔNG NGHỆ BƢU CHÍNH VIỄN THÔNG ----------------------------------- HOÀNG XUÂN DẬU NGUYỄN THỊ THANH THỦY BÀI GIẢNG CƠ SỞ AN TOÀN THÔNG TIN HÀ NỘI 2016 PT IT Bài giảng Cơ sở an toàn thông tin Các bảng danh mục - 1 - MỤC LỤC MỤC LỤC .................................................................................................................................. 1 DANH MỤC CÁC HÌNH .......................................................................................................... 5 DANH MỤC CÁC THUẬT NGỮ TIẾNG ANH VÀ VIẾT TẮT ............................................ 8 MỞ ĐẦU .................................................................................................................................... 9 CHƢƠNG 1. TỔNG QUAN VỀ AN TOÀN THÔNG TIN .................................................... 11 1.1. KHÁI QUÁT VỀ AN TOÀN THÔNG TIN ................................................................. 11 1.1.1. Một số khái niệm trong an toàn thông tin ............................................................... 11 1.1.2. Sự cần thiết của an toàn thông tin........................................................................... 13 1.2. CÁC YÊU CẦU ĐẢM BẢO ATTT VÀ HTTT ........................................................... 15 1.2.1. Bí mật ..................................................................................................................... 15 1.2.2. Toàn vẹn ................................................................................................................. 16 1.2.3. Sẵn dùng ................................................................................................................. 16 1.3. CÁC THÀNH PHẦN CỦA AN TOÀN THÔNG TIN ................................................. 17 1.3.2. An toàn máy tính và dữ liệu ................................................................................... 17 1.3.3. An ninh mạng ......................................................................................................... 18 1.3.4. Quản lý an toàn thông tin ....................................................................................... 18 1.3.5. Chính sách an toàn thông tin .................................................................................. 19 1.4. CÁC MỐI ĐE DỌA VÀ NGUY CƠ TRONG CÁC VÙNG HẠ TẦNG CNTT ......... 19 1.4.1. Bảy vùng trong cơ sở hạ tầng CNTT ...................................................................... 19 1.4.2. Các mối đe dọa và nguy cơ trong các vùng hạ tầng CNTT .................................... 20 1.5. MÔ HÌNH TỔNG QUÁT ĐẢM BẢO ATTT VÀ HỆ THỐNG THÔNG TIN ............ 21 1.5.1. Nguyên tắc đảm bảo an toàn thông tin, hệ thống và mạng ..................................... 21 1.5.2. Mô hình tổng quát đảm bảo an toàn thông tin và hệ thống thông tin ..................... 22 1.6. CÂU HỎI ÔN TẬP ....................................................................................................... 23 CHƢƠNG 2. LỖ HỔNG BẢO MẬT VÀ ĐIỂM YẾU HỆ THỐNG ...................................... 24 2.1. TỔNG QUAN VỀ LỖ HỔNG BẢO MẬT VÀ CÁC ĐIỂM YẾU HỆ THỐNG ......... 24 2.1.1. Khái quát về điểm yếu hệ thống và lỗ hổng bảo mật ............................................. 24 2.1.2. Một số thống kê về lỗ hổng bảo mật ...................................................................... 26 2.2. CÁC DẠNG LỖ HỔNG TRONG HỆ ĐIỀU HÀNH VÀ PHẦN MỀM ỨNG DỤNG 28 2.2.1. Lỗi tràn bộ đệm ...................................................................................................... 28 2.2.2. Lỗi không kiểm tra đầu vào .................................................................................... 34 P I Bài giảng Cơ sở an toàn thông tin Các bảng danh mục - 2 - 2.2.3. Các vấn đề với điều khiển truy nhập ...................................................................... 36 2.2.4. Các điểm yếu trong xác thực, trao quyền ............................................................... 37 2.2.5. Các điểm yếu trong các hệ mật mã ......................................................................... 37 2.2.6. Các lỗ hổng bảo mật khác....................................................................................... 37 2.3. QUẢN LÝ, KHẮC PHỤC CÁC LỖ HỔNG BẢO MẬT VÀ TĂNG CƢỜNG KHẢ NĂNG ĐỀ KHÁNG CHO HỆ THỐNG .............................................................................. 38 2.3.1. Nguyên tắc chung ................................................................................................... 38 2.3.2. Các biện pháp cụ thể ............................................................................................... 38 2.4. GIỚI THIỆU MỘT SỐ CÔNG CỤ RÀ QUÉT ĐIỂM YẾU VÀ LỖ HỔNG BẢO MẬT ..................................................................................................................................... 39 2.4.1. Công cụ rà quét lỗ hổng bảo mật hệ thống ............................................................. 39 2.4.2. Công cụ rà quét lỗ hổng ứng dụng web .................................................................. 40 2.5. CÂU HỎI ÔN TẬP ....................................................................................................... 41 CHƢƠNG 3. CÁC DẠNG TẤN CÔNG VÀ CÁC PHẦN MỀM ĐỘC HẠI ........................ 42 3.1. KHÁI QUÁT VỀ MỐI ĐE DỌA VÀ TẤN CÔNG ...................................................... 42 3.1.1. Mối đe dọa .............................................................................................................. 42 3.1.2. Tấn công ................................................................................................................. 42 3.2. CÁC CÔNG CỤ HỖ TRỢ TẤN CÔNG ....................................................................... 43 3.2.1. Công cụ quét cổng dịch vụ ..................................................................................... 43 3.2.2. Công cụ nghe lén .................................................................................................... 44 3.2.3. Công cụ ghi phím gõ .............................................................................................. 45 3.3. CÁC DẠNG TẤN CÔNG THƢỜNG GẶP .................................................................. 46 3.3.1. Tấn công vào mật khẩu ........................................................................................... 46 3.3.2. Tấn công bằng mã độc ............................................................................................ 47 3.3.3. Tấn công từ chối dịch vụ ........................................................................................ 52 3.3.4. Tấn công giả mạo địa chỉ ........................................................................................ 57 3.3.5. Tấn công nghe lén................................................................................................... 58 3.3.6. Tấn công kiểu ngƣời đứng giữa .............................................................................. 59 3.3.7. Tấn công bằng bom thƣ và thƣ rác ......................................................................... 60 3.3.8. Tấn công sử dụng các kỹ thuật xã hội .................................................................... 60 3.3.9. Tấn công pharming ................................................................................................. 62 3.4. CÁC DẠNG PHẦN MỀM ĐỘC HẠI .......................................................................... 64 3.4.1. Giới thiệu ................................................................................................................ 64 3.4.2. Logic bombs ........................................................................................................... 64 3.4.3. Trojan Horses ......................................................................................................... 65 PT IT Bài giảng Cơ sở an toàn thông tin Các bảng danh mục - 3 - 3.4.4. Back doors .............................................................................................................. 65 3.4.5. Viruses .................................................................................................................... 65 3.4.6. Worms .................................................................................................................... 67 3.4.7. Zombies .................................................................................................................. 68 3.4.8. Rootkits ................................................................................................................... 68 3.4.9. Adware và Spyware ................................................................................................ 69 3.5. CÂU HỎI ÔN TẬP ....................................................................................................... 69 CHƢƠNG 4. ĐẢM BẢO AN TOÀN THÔNG TIN DỰA TRÊN MÃ HÓA ........................ 70 4.1. KHÁI QUÁT VỀ MÃ HÓA THÔNG TIN VÀ ỨNG DỤNG ...................................... 70 4.1.1. Các khái niệm cơ bản ............................................................................................. 70 4.1.2. Các thành phần của một hệ mã hóa ........................................................................ 72 4.1.3. Mã hóa dòng và mã hóa khối ................................................................................. 73 4.1.4. Sơ lƣợc lịch sử mật mã ........................................................................................... 74 4.1.5. Ứng dụng của mã hóa ............................................................................................. 74 4.2. CÁC PHƢƠNG PHÁP MÃ HÓA ................................................................................. 75 4.2.1. Phƣơng pháp thay thế ............................................................................................. 75 4.2.2. Phƣơng pháp hoán vị .............................................................................................. 76 4.2.3. Phƣơng pháp XOR ................................................................................................. 76 4.2.4. Phƣơng pháp Vernam ............................................................................................. 77 4.2.5. Phƣơng pháp sách hoặc khóa chạy ......................................................................... 77 4.2.6. Phƣơng pháp hàm băm ........................................................................................... 77 4.3. CÁC GIẢI THUẬT MÃ HÓA ...................................................................................... 78 4.3.1. Các giải thuật mã hóa khóa đối xứng ..................................................................... 78 4.3.2. Các giải thuật mã hóa khóa bất đối xứng ............................................................... 87 4.4. Các hàm băm ................................................................................................................. 89 4.4.1. Khái quát về hàm băm ............................................................................................ 89 4.4.2. Một số hàm băm thông dụng .................................................................................. 92 4.5. CÂU HỎI ÔN TẬP ....................................................................................................... 95 CHƢƠNG 5. CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN THÔNG TIN . 96 5.1. ĐIỀU KHIỂN TRUY NHẬP ........................................................................................ 96 5.1.1. Khái niệm điều khiển truy nhập ............................................................................. 96 5.1.2. Các biện pháp điều khiển truy nhập ....................................................................... 96 5.1.3. Một số công nghệ điều khiển truy nhập ............................................................... 101 5.2. TƢỜNG LỬA.............................................................................................................. 106 PT IT Bài giảng Cơ sở an toàn thông tin Các bảng danh mục - 4 - 5.2.1. Giới thiệu tƣờng lửa ............................................................................................. 106 5.2.2. Các loại tƣờng lửa ................................................................................................ 108 5.2.3. Các kỹ thuật kiểm soát truy nhập ......................................................................... 110 5.2.4. Các hạn chế của tƣờng lửa .................................................................................... 110 5.3. CÁC HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP ............................ 111 5.3.1. Giới thiệu .............................................................................................................. 111 5.3.2. Phân loại ............................................................................................................... 112 5.3.3. Các kỹ thuật phát hiện xâm nhập ......................................................................... 113 5.4. CÁC CÔNG CỤ RÀ QUÉT PHẦN MỀM ĐỘC HẠI ................................................ 114 5.5. CÂU HỎI ÔN TẬP ..................................................................................................... 116 CHƢƠNG 6. QUẢN LÝ, CHÍNH SÁCH VÀ PHÁP LUẬT AN TOÀN THÔNG TIN ..... 117 6.1 QUẢN LÝ AN TOÀN THÔNG TIN ........................................................................... 117 6.1.1. Khái quát về quản lý an toàn thông tin ................................................................. 117 6.1.2. Đánh giá rủi ro an toàn thông tin .......................................................................... 118 6.1.3. Phân tích chi tiết rủi ro an toàn thông tin ............................................................. 120 6.1.4. Thực thi quản lý an toàn thông tin ........................................................................ 122 6.2. CÁC CHUẨN QUẢN LÝ AN TOÀN THÔNG TIN ................................................. 125 6.2.1. Giới thiệu .............................................................................................................. 125 6.2.2. Chu trình Plan-Do-Check-Act .............................................................................. 126 6.3. PHÁP LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN ...................................... 127 6.3.1. Giới thiệu về pháp luật và chính sách an toàn thông tin ....................................... 127 6.3.2. Luật quốc tế về an toàn thông tin ......................................................................... 128 6.3.3. Luật Việt Nam về an toàn thông tin ..................................................................... 129 6.4. VẤN ĐỀ ĐẠO ĐỨC AN TOÀN THÔNG TIN ......................................................... 130 6.4.1. Sự cần thiết của đạo đức an toàn thông tin ........................................................... ... h, nội quy) là các quy định về các hành vi chấp nhận đƣợc của các nhân viên trong tổ chức tại nơi làm việc. Chính sách là các "luật" của tổ chức có giá trị thực thi trong nội bộ, gồm một tập các quy định và các chế tài xử phạt bắt buộc phải thực hiện. Các chính sách, hoặc nội quy cần đƣợc nghiên cứu, soạn thảo kỹ lƣỡng. Đồng thời, chính sách cần đầy đủ, đúng đắn và áp dụng công bằng với mọi nhân viên. Điểm khác biệt giữa luật và chính sách là Luật luôn bắt buộc, còn với Chính sách, việc thiếu hiểu biết chính sách là 1 cách bào chữa chấp nhận đƣợc. PT IT Bài giảng Cơ sở an toàn thông tin Chương 5. Quản lý, chính sách & pháp luật ATTT - 128 - Hình 6.4. Vấn đề tuân thủ (Compliance) pháp luật, chính sách và các nội quy, quy định Cần có phân biệt rõ ràng giữa luật (Law) và đạo đức (Ethic). Luật gồm những điều khoản bắt buộc hoặc cấm những hành vi cụ thể. Các điều luật thƣờng đƣợc xây dựng từ các vấn đề đạo đức. Trong khi đó, đạo đức định nghĩa những hành vi xã hội chấp nhận đƣợc. Đạo đức thƣờng dựa trên các đặc điểm văn hóa. Do đó, hành vi đạo đức giữa các dân tộc, các nhóm ngƣời khác nhau là khác nhau. Một số hành vi vi phạm đạo đức đƣợc luật hóa trên toàn thế giới, nhƣ trộm, cƣớp, cƣỡng dâm, bạo hành trẻ em,... Khác biệt giữa luật và đạo đức thể hiện ở chỗ luật đƣợc thực thi bởi các cơ quan chính quyền, còn đạo đức không đƣợc thực thi bởi các cơ quan chính quyền. Để các chính sách có thể đƣợc áp dụng hiệu quả, chúng phải đạt đƣợc các yêu cầu sau: - Có khả năng phổ biến rộng rãi, bằng tài liệu giấy hoặc điện tử; - Nhân viên có thể xem, hiểu đƣợc – cần thực hiện trên nhiều ngôn ngữ, ví dụ bằng tiếng Anh và tiếng địa phƣơng; - Chính sách cần rõ ràng dễ hiểu – tổ chức cần có các điều tra/khảo sát về mức độ hiểu biết/nắm bắt các chính sách của nhân viên; - Cần có biện pháp để nhân viên cam kết thực hiện – thông qua ký văn bản cam kết hoặc tick vào ô xác nhận tuân thủ; - Chính sách cần đƣợc thực hiện đồng đều, bình đẳng, nhất quán, không có ƣu tiên với bất kỳ nhân viên nào, kể cả ngƣời quản lý. 6.3.2. Luật quốc tế về an toàn thông tin Mục này đề cập đến một số luật và văn bản có liên quan đến an toàn thông tin của Mỹ và Châu Âu – là những nƣớc và khu vực đã phát triển và có hệ thống luật pháp về an toàn thông tin tƣơng đối hoàn thiện. Có thể nói hệ thống luật pháp về an toàn thông tin của nƣớc Mỹ khá đầy đủ và đƣợc chia thành các nhóm: các luật tội phạm máy tính, các luật về sự riêng tƣ, luật xuất khẩu và chống gián điệp, luật bản quyền và luật tự do thông tin. Các luật về tội phạm máy tính gồm: - Computer Fraud and Abuse Act of 1986 (CFA Act): quy định về các tội phạm lừa đảo và lạm dụng máy tính; - Computer Security Act, 1987: đề ra các nguyên tắc đảm bảo an toàn cho hệ thống máy tính; - National Information Infrastructure Protection Act of 1996: là bản sửa đổi của CFA Act, tăng khung hình phạt một số tội phạm máy tính đến 20 năm tù; - USA PATRIOT Act, 2001: cho phép các cơ quan nhà nƣớc một số quyền theo dõi, giám sát các hoạt động trên mạng nhằm phòng chống khủng bố hiệu quả hơn; - USA PATRIOT Improvement and Reauthorization Act: Mở rộng của USA PATRIOT Act, 2001, cấp cho các cơ quan nhà nƣớc nhiều quyền hạn hơn cho nhiệm vụ phòng chống khủng bố. Các luật về sự riêng tƣ nhằm bảo vệ quyền riêng tƣ của ngƣời dùng, bảo vệ các thông tin cá nhân của ngƣời dùng, gồm: PT IT Bài giảng Cơ sở an toàn thông tin Chương 5. Quản lý, chính sách & pháp luật ATTT - 129 - - Federal Privacy Act, 1974: luật Liên bang Mỹ bảo vệ quyền riêng tƣ của ngƣời dùng; - Electronic Communications Privacy Act , 1986: luật bảo vệ quyền riêng tƣ trong các giao tiếp điện tử; - Health Insurance Portability and Accountability Act, 1996 (HIPAA): bảo vệ tính bí mật và an toàn của các dữ liệu y tế của ngƣời bệnh. Tổ chức, hoặc cá nhân vi phạm có thể bị phạt đến 250.000 USD hoặc 10 năm tù; - Financial Services Modernization Act or Gramm-Leach-Bliley Act, 1999: điều chỉnh các hoạt động liên quan đến nhà nƣớc của các ngân hàng, bảo hiểm và các hãng an ninh. Luật xuất khẩu và chống gián điệp hạn chế việc xuất khẩu các công nghệ và hệ thống xử lý thông tin và phòng chống gián điệp kinh tế, gồm: - Economic Espionage Act, 1996: phòng chống việc thực hiện giao dịch có liên quan đến bí mật kinh tế và công nghệ; - Security and Freedom through Encryption Act, 1999: quy định về các vấn đề có liên quan đến sử dụng mã hóa trong đảm bảo an toàn và tự do thông tin. U.S. Copyright Law là Luật bản quyền của Mỹ, điều chỉnh các vấn đề có liên quan đến xuất bản, quyền tác giả của các tài liệu, phần mềm, bao gồm cả các tài liệu số. Freedom of Information Act, 1966 (FOIA) là Luật tự do thông tin nêu rõ các cá nhân đƣợc truy nhập các thông tin không gây tổn hại đến an ninh quốc gia. Các tổ chức và luật quốc tế có liên quan đến an toàn thông tin, gồm: - Hội đồng Châu Âu về chống tội phạm mạng (Council of Europe Convention on Cybercrime); - Hiệp ƣớc về chống tội phạm mạng đƣợc Hội đồng châu Âu phê chuẩn vào năm 2001; - Hiệp ƣớc bảo vệ quyền sở hữu trí tuệ (Agreement on Trade-Related Aspects of Intellectual Property Rights (TRIPS)): do Tổ chức Thƣơng mại thế giới WTO chủ trì đàm phán trong giai đoạn 1986–1994; - Digital Millennium Copyright Act (DMCA): Luật bản quyền số Thiên niên kỷ. 6.3.3. Luật Việt Nam về an toàn thông tin Luật an toàn thông tin mạng đƣợc Quốc hội thông qua vào tháng 11 năm 2015 và chính thức có hiệu lực từ ngày 1/7/2016. Đây là cơ sở pháp lý quan trọng cho việc quản lý các hoạt động liên quan đến an toàn thông tin ở Việt Nam. Ngoài Luật an toàn thông tin mạng, đã có nhiều văn bản có liên quan đến công nghệ thông tin và an toàn thông tin đƣợc Quốc Hội, Chính Phủ và các cơ quan nhà nƣớc ban hành nhƣ: - Luật công nghệ thông tin số 67/2006/QH11 của Quốc hội, ngày 12/07/2006. - Nghị định số 90/2008/NÐ-CP của Chính Phủ "Về chống thƣ rác", ngày 13/08/2008. - Quyết định số 59/2008/QÐ-BTTTT của Bộ Thông tin và Truyền thông "Ban hành Danh mục tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số", ngày 31/12/2008. PT IT Bài giảng Cơ sở an toàn thông tin Chương 5. Quản lý, chính sách & pháp luật ATTT - 130 - - Quyết định 63/QÐ-TTg của Thủ tƣớng CP "Phê duyệt Quy hoạch phát triển an toàn thông tin số quốc gia đến năm 2020", ngày 13/01/2010. - Chỉ thị số 897/CT-TTg của Thủ tƣớng CP "V/v tăng cƣờng triển khai các hoạt động đảm bảo an toàn thông tin số", 10/06/2011. - Thông tƣ số 23/2011/TT-BTTTT của Bộ TT&TT "Quy định về việc quản lý, vận hành, sử dụng và bảo đảm an toàn thông tin trên Mạng truyền số liệu chuyên dùng của các cơ quan Đảng, Nhà nƣớc", ngày 11/08/2011. - Nghị định số 77/2012/NĐ-CP của Chính Phủ "Sửa đổi, bổ sung một số điều của Nghị định số 90/2008/NĐ-CP ngày 13 tháng 8 năm 2008 của Chính phủ về chống thƣ rác", ngày 05/10/2012. - Nghị định 72/2013/NĐ-CP của Chính Phủ về Quản lý, cung cấp, sử dụng dịch vụ internet và thông tin trên mạng; quy định về việc chia sẻ thông tin trên các trang mạng xã hội. 6.4. VẤN ĐỀ ĐẠO ĐỨC AN TOÀN THÔNG TIN 6.4.1. Sự cần thiết của đạo đức an toàn thông tin Vấn đề đạo đức nghề nghiệp (Professional ethics) hay quy tắc ứng xử (Code of conduct) đƣợc đề cập trong ngành công nghệ thông tin nói chung và an toàn thông tin nói riêng do các công việc liên quan đến an toàn thông tin có thể liên quan đến các thông tin nhạy cảm, nhƣ thông tin, hệ thống bí mật quốc gia, thông tin bí mật của các cơ quan, tổ chức, hoặc bí mật công nghệ, bí mật kinh doanh của các công ty. Nếu các thông tin nhạy cảm bị rò rỉ, hoặc bị đánh cắp và lạm dụng có thể ảnh hƣởng nghiêm trọng đến an ninh quốc gia, hoặc ảnh hƣởng xấu đến các cơ quan, tổ chức và ngƣời dùng. Do vậy, ngƣời làm trong lĩnh vực an toàn thông tin cần có hiểu biết về chính sách, pháp luật và có thái độ và hành động đúng đắn trong khi thực thi nhiệm vụ. 6.4.2. Một số bộ quy tắc ứng xử trong CNTT và ATTT Nhiều tổ chức xã hội nghề nghiệp đã ban hành các quy tắc ứng xử bắt buộc tại nơi làm việc, nhƣ với luật sƣ, bác sỹ. Nếu vi phạm nghiêm trọng các quy tắc ứng xử tại nơi làm việc có thể bị cấm hành nghề có thời hạn, hoặc vĩnh viễn. Trong lĩnh vực công nghệ thông tin và an toàn thông tin, hiện không có bộ quy tắc ứng xử bắt buộc. Một số tổ chức xã hội nghề nghiệp nhƣ ACM (Association for Computing Machinery) và ISSA (Information Systems Security Association) hợp tác để đề ra các quy tắc ứng xử trong an toàn thông tin. Tuy nhiên, các quy tắc ứng xử trong an toàn thông tin chỉ có tính khuyến nghị do các tổ chức trên không có thẩm quyền buộc phải thực hiện. Hiệp hội an toàn thông tin Việt Nam đã công bố Bộ Qui tắc ứng xử an toàn thông tin vào đầu năm 2015, đƣa ra một số quy tắc và khuyến nghị về những việc không đƣợc làm cho các thành viên và các nhân viên của các tổ chức hoạt động trong lĩnh vực an toàn thông tin. Viện đạo đức máy tính (Mỹ) đƣa ra Bộ Quy tắc ứng xử 10 điểm (Ten Commandments of Computer Ethics) nhƣ sau: 1. Không đƣợc sử dụng máy tính để gây hại cho ngƣời khác; PT IT Bài giảng Cơ sở an toàn thông tin Chương 5. Quản lý, chính sách & pháp luật ATTT - 131 - 2. Không đƣợc can thiệp vào công việc của ngƣời khác trên máy tính; 3. Không trộm cắp các file trên máy tính của ngƣời khác; 4. Không đƣợc sử dụng máy tính để trộm cắp; 5. Không đƣợc sử dụng máy tính để tạo bằng chứng giả; 6. Không sao chép hoặc sử dụng phần mềm không có bản quyền; 7. Không sử dụng các tài nguyên máy tính của ngƣời khác khi không đƣợc phép hoặc không có bồi thƣờng thỏa đáng; 8. Không chiếm đoạn tài sản trí tuệ của ngƣời khác; 9. Nên suy nghĩ về các hậu quả xã hội của chƣơng trình mình đang xây dựng hoặc hệ thống đang thiết kế; 10. Nên sử dụng máy tính một cách có trách nhiệm, đảm bảo sự quan tâm và tôn trọng đến đồng bào của mình. 6.4.3. Một số vấn đề khác Liên quan đến vấn đề đạo đức trong an toàn thông tin, có một số vấn đề khác cần lƣu ý là (1) sự khác biệt về vấn đề đạo đức giữa các nền văn hóa, (2) vấn đề vi phạm bản quyền phần mềm và (3) vấn đề lạm dụng các tài nguyên của cơ quan, tổ chức. Trên thực tế, có sự khác biệt khá lớn về vấn đề đạo đức giữa các nền văn hóa. Trong đó, nhận thức về vấn đề đạo đức trong sử dụng các tài nguyên của cơ quan, tổ chức là rất khác biệt giữa các quốc gia có nền văn hóa khác nhau. Trong nhiều trong hợp, một hành vi đƣợc phép của một số cá nhân trong một quốc gia lại vi phạm quy tắc đạo đức của quốc gia khác. Chẳng hạn, hành vi tiết lộ thông tin cá nhân và đặc biệt là mức thu nhập của ngƣời khác đƣợc coi là bình thƣờng ở Việt Nam, nhƣng đây là hành vi vi phạm quyền riêng tƣ ở các nƣớc phát triển nhƣ Mỹ và châu Âu. Vấn đề vi phạm bản quyền phần mềm là rất nghiêm trọng, đặc biệt là ở các nƣớc đang phát triển ở châu Á và châu Phi. Đa số ngƣời dùng có hiểu biết về vấn đề bản quyền phần mềm, nhƣng coi việc sử dụng phần mềm bất hợp pháp là bình thƣờng vì nhiều nƣớc chƣa có quy định hoặc không xử lý nghiêm vi phạm. Tỷ lệ vi phạm bản quyền phần mềm ở Việt Nam hiện rất cao, đến khoảng 90% do thiếu các chế tài xử lý vi phạm. Vấn đề lạm dụng các tài nguyên của công ty, tổ chức xảy ra tƣơng đối phổ biến và cần có các quy định và chế tài để kiểm soát. Một số cơ quan, tổ chức chƣa có các quy định cấm nhân viên sử dụng các tài nguyên của cơ quan, tổ chức vào việc riêng. Một số đơn vị khác có quy định nhƣng chƣa đƣợc thực thi chặt chẽ và chƣa có chế tài xử phạt nghiêm minh. Các hành vi lạm dụng thƣờng gặp, gồm: - In ấn tài liệu riêng; - Sử dụng email cá nhân cho việc riêng; - Tải các tài liệu, file không đƣợc phép; - Cài đặt và chạy các chƣơng trình, phần mềm không đƣợc phép; - Sử dụng máy tính công ty làm việc riêng; PT IT Bài giảng Cơ sở an toàn thông tin Chương 5. Quản lý, chính sách & pháp luật ATTT - 132 - - Sử dụng các phƣơng tiện làm việc khác nhƣ điện thoại công ty quá mức vào việc riêng. 6.5. CÂU HỎI ÔN TẬP 1) Nêu khái niệm tài sản an toàn thông tin, khái niệm quản lý an toàn thông tin. Nêu vai trò và các khâu cần thực hiện của quản lý an toàn thông tin. 2) Đánh giá rủi ro an toàn thông tin là gì? Mô tả vắn tắt các phƣơng pháp tiếp cận đánh giá rủi ro an toàn thông tin. 3) Mô tả vắn tắt các bƣớc của phân tích chi tiết rủi ro an toàn thông tin. 4) Mô tả các loại kiểm soát trong thực thi quản lý an toàn thông tin. 5) Mô tả nội dung thực thi quản lý an toàn thông tin. 6) Mô tả vắn tắt các chuẩn ISO/IEC 27000, ISO/IEC 27001, ISO/IEC 27002 và ISO/IEC 27005. 7) Mô tả chu trình Plan-Do-Check-Act của chuẩn ISO/IEC 27001. 8) Phân biệt pháp luật và chính sách. Nêu các yêu cầu của chính sách có thể đƣợc áp dụng hiệu quả. 9) Mô tả vắn tắt các văn bản luật có liên quan đến an toàn thông tin của Việt Nam. 10) Nêu sự cần thiết của vấn đề đạo đức an toàn thông tin. Nêu bộ qui tắc ứng xử của Viện đạo đức máy tính (Mỹ). PT IT Bài giảng Cơ sở an toàn thông tin Tài liệu tham khảo - 133 - TÀI LIỆU THAM KHẢO [1] Michael E. Whitman, Herbert J. Mattord, Principles of information security, 4th edition, Course Technology, Cengage Learning, 2012. [2] David Kim, Michael G. Solomon, Fundamentals of Information Systems Security, Jones & Bartlettlearning, 2012. [3] Forbes.com, Internet Of Things On Pace To Replace Mobile Phones As Most Connected Device In 2018, things-on-pace-to-replace-mobile-phones-as-most-connected-device-in-2018/, accessed Sep 2016. [4] US Government Accountability Office, Cyber Threats and Data Breaches Illustrate Need for Stronger Controls across Federal Agencies, Available online at accessed Sep 2016. [5] Tập đoàn Bkav, Tổng kết an ninh mạng 2015 và dự báo xu hƣớng 2016, nam-2015-va-du-bao-xu-huong-2016, truy nhập tháng 9.2016. [6] US National Vulnerability Database, https://nvd.nist.gov, accessed Sep 2016. [7] Boni, W. C., & Kovacich, G. L. (1999). I-way robbery: crime on the Internet, Boston MA: Butterworth. [8] Butler, J. G. (1998). Contingency planning and disaster recovery: protecting your organisation's resources. New York: Computer Tech Research. [9] Denning D. E. (1999). Information warfare and security, New York. Addison-Wesley. [10] Erbschloe, M. & Vacca, J. R. (2001). Information warfare. New York: McGraw-Hill. [11] Ghosh, A. (1998). E-Commerce security – weak links, best defenses. New york: Wiley Computer Publishing. [12] Hutchinson, W. & Warren, M. (2001). Information warfare: corporate attack and defence in the digital age. Oxford: Butterworth-Heinneman. [13] Alfred J. Menezes, Paul C. van Oorschot and Scott A. Vanstone, Handbook of Applied Cryptography, CRC Press, Fifth Printing, August 2001. [14] Bruce Schneier, Applied Cryptography, 2nd edition, John Wiley & Sons, 1996. [15] Schneier, B. (2000). Secrets and lies: digital security in a networked world. New York: John Wiley and Sons. [16] Webster's Online Dictionary, truy nhập tháng 9.2016. [17] The Free Online Dictionary of Computing, truy nhập tháng 9.2016. PT IT
File đính kèm:
- bai_giang_co_so_an_toan_thong_tin.pdf