Bài giảng Hệ thống thông tin quản lý - Chương 6: Vấn đề bảo mật trong hệ thống thông tin quản lý - Nguyễn Hoàng Ân

annh@buh.edu.vn
ThS. Nguyễn Hoàng Ân
Hệ thống thông tin 
quản lý
Chương 6. Vấn đề bảo mật trong hệ thống 
thông tin quản lý
1
Nội dung
1. Rủi ro và thách thức trong quản trị hệ thống thông 
tin
2. Các giải pháp phòng ngừa rủi ro
2Thương mại điện 
tử
1. Rủi ro và thách thức trong 
quản trị hệ thống thông tin
3Thương mại điện 
tử
Môi trường bảo mật
4
Nội dung bảo mật
❖Toàn vẹn thông tin (Integrity): khả năng đảm 
bảo an toàn thông tin trong quá trình truyền-
nhận.
❖Chống thoái thác (Nonrepudiation): khả năng 
đảm bảo một thỏa thuận, một hành động trên 
Internet không bị các bên tham gia từ chối.
❖Xác thực người dùng (Authenticity): chứng 
thực rằng một người hay một hành động là 
đáng tin cậy.
5
Nội dung bảo mật (tt)
❖Tính bí mật (Confidentiality): đảm bảo dữ liệu 
chỉ hiển thị với người được phép xem
❖Tính riêng tư (Privacy): khả năng kiểm soát 
thông tin mà khách hàng đã cung cấp (vd: e-
mail, address, credit card)
❖Tính sẵn sàng (Availability): đảm bảo khả 
năng hoạt động của web site
6Thương mại điện 
tử
Những mối đe dọa (Threats)
❖Mã độc hại (malicious code) hoặc malware
❖Lừa đảo (Phishing)
❖Hacking và cybervandalism
❖Gian lận thẻ tín dụng (Credit card fraud/theft)
❖Đánh lừa (Spoofing, pharming)
❖Tấn công từ chối dịch vụ (Denial of service attacks)
❖Nghe lén (Sniffing)
❖Hành động của người nội bộ (Insider jobs)
❖Các phần mềm ở server và client
▪ Phần mềm quảng cáo (Adware)
▪ Phần mềm gián điệp (Spyware)
7Thương mại điện 
tử
Các vấn đề xã hội
❖Lãng phí máy tính: là việc sử dụng không phù 
hợp các nguồn lực và công nghệ máy tính
❖Sai lầm có liên hệ máy tính: bao gồm các lỗi, thất 
bại và các vấn đề khác liên quan đến máy tính dẫn 
đến đầu ra của hệ thống máy tính không chính xác 
hoặc không còn hữu ích.
❖Tội phạm máy tính: là tội phạm “sạch” và bất bạo 
động, thường bất chấp khi bị phát hiện. Có 2 
dạng:
▪ Tội phạm máy tính xem máy tính là công cụ ký thác
▪ Tội phạm máy tính xem máy tính là đối tượng của tội 
phạm
8Thương mại điện 
tử
Nguyên nhân gây Lãng phí
máy tính
❖Cách thức và năng lực quản lý của DN 
không phù hợp HTTT và các nguồn lực
hiện có.
❖DN vứt bỏ HTTT cũ khi chúng vẫn còn giá
trị.
❖DN đầu tư HTTT phức tạp hơn nhu cầu
thực, và không khai thác hết.
9Thương mại điện 
tử
Nguyên nhân gây Sai lầm liên
quan máy tính
❖Người dùng không làm đúng quy trình, chỉ
dẫn, thủ tục, 
❖Nhà quản lý kỳ vọng HTTT không rõ ràng, 
thiếu phản hồi từ HTTT sau khi đưa vào sử
dụng.
❖Các HTTT phát triển mới không thông qua 
quá trình kiểm thử nên tiềm ẩn nhiều lỗi.
❖Người dùng thao tác không chính xác.
10Thương mại điện 
tử
Cách thức ngăn chặn Lãng phí, 
sai lầm liên quan đến máy tính
❖Thiết lập các chính sách, thủ tục
❖Thực hiện các chính sách, thủ tục
❖Giám sát các chính sách, thủ tục
❖Đánh giá các chính sách, thủ tục
11Thương mại điện 
tử
Tội phạm máy tính
❖Xem máy tính như công cụ ký thác:
▪Giả mạo gian lận ngân hàng
▪Khủng bố điện tử
▪Đánh cắp dữ kiện cá nhân
▪Kỹ thuật thu thập thông tin trong thùng rác
❖Xem máy tính là đối tượng của tội phạm:
▪ Truy cập và sử dụng bất hợp pháp
▪ Thay đổi và phá hủy dữ liệu
▪ Trộm cắp thông tin và thiết bị
▪Vi phạm bản quyền phần mềm và Internet
▪ Lừa đảo liên quan đến máy tính
▪ Tội phạm máy tính quốc tế
12Thương mại điện 
tử
Ngặn chặn tội phạm liên quan
đến máy tính
❖Hạ tầng kỹ thuật khóa công khai
❖Sinh trắc học
❖Sử dụng phần mềm phát hiện xâm nhập
❖Sử dụng các nhà cung cấp dịch vụ quản lý an ninh
❖Lọc và phân loại nội dung trên Internet
❖Quan tâm đến vấn đề “bôi nhọ” qua Internet
❖Phát triển, sử dụng chính sách bảo mật Internet hiệu quả
❖Sử dụng tường lửa chuyên biệt
❖Triển khai các hệ thống phát hiện xâm nhập
❖Giám sát các nhà quản lý và nhân viên sử dụng Internet.
❖Sử dụng các chuyên gia bảo mật Internet
13Thương mại điện 
tử
Các vấn đề bảo mật
❖Với hệ thống thông tin, việc bảo mật đối phó với 
việc thu thập và sử dụng hoặc lạm dụng dữ liệu
❖Ngày càng có nhiều thông tin về tất cả chúng ta 
được thu thập, lưu trữ, sử dụng và chia sẻ giữa 
các tổ chức.
❖Nhu cầu bảo mật:
▪Bảo mật tại nơi làm việc
▪Bảo mật và Internet
▪Xây dựng các chính sách bảo mật của doanh nghiệp
▪Những hoạt động cá nhân để bảo vệ sự riêng tư
14Thương mại điện 
tử
Các vấn đề đạo đức
❖Sử dụng HTTT trong kinh doanh có tác động lớn 
đến xã hội nhưng cũng làm tăng thêm sự trầm 
trọng của những vấn đề về xã hội như: vi phạm 
sự riêng tư, tội phạm, điều kiện việc làm, nhân 
cách, 
❖Luật không cung cấp một hướng dẫn đầu đủ về 
hành vi đạo đức
❖Nhiều tổ chức liên quan đến HTTT có các quy 
tắc đạo đức cho các thành viên.
❖
15Thương mại điện 
tử
Các vấn đề đạo đức
❖Quy tắc đạo đức và ứng xử chuyên nghiệp của 
American Computing Machinery (ACM): tổ chức xã hội 
về máy tính lâu đời nhất được thành lập vào năm 
1947. 
▪ 1. Đóng góp cho xã hội và đời sống con người.
▪ 2. Tránh tác hại cho người khác.
▪ 3. Hãy trung thực và đáng tin cậy.
▪ 4. Hãy công bằng và có hành động không phân biệt đối xử.
▪ 5. Tôn trọng quyền sở hữu bao gồm bản quyền và bằng sáng 
chế.
▪ 6. Cung cấp các mức độ phù hợp trong quyền sở hữu trí tuệ.
▪ 7. Tôn trọng sự riêng tư của người khác.
▪ 8. Vinh dự khi được giao giữ bí mật.
16Thương mại điện 
tử
Các vấn đề môi trường làm
việc
❖Những quan ngại về sức khỏe:
▪ Căng thẳng về nghề nghiệp.
▪ Tổn thương do căng thẳng lặp đi lặp lại (RSI –
Repetitive stress injury)
▪ Hội chứng CTS – Carpal tunnel syndrome
▪ Phát thải từ các thiết bị được duy trì và sử dụng 
không đúng cách.
▪ Gia tăng trong tai nạn giao thông do các lái xe sử 
dụng điện thoại di động, máy tính xách tay hoặc các 
thiết bị khác trong khi lái xe
17
2. Các giải pháp phòng ngừa 
rủi ro
18
Những giải pháp kỹ thuật
❖Bảo vệ việc truyền thông trên Internet: mã 
hóa thông tin.
❖Bảo mật các kênh truyền dữ liệu: SSL, S-
HTTP, VPN.
❖Bảo vệ mạng nội bộ: firewall, proxy
❖Bảo vệ server & client: Hệ thống dò tìm xâm 
nhập (IDS), Anti-virues
19
Các công cụ
20
Một số khái niệm trong 
Cryptography
❖Plaintext (original data), ciphertext (encrypted 
data)
❖Cryptosystems = encryption + decryption 
algorithms
❖Encryption, decryption process needs keys
❖Symmetric (shared-/secret-key) cryptosystem: 
the same key for (en/de)cryption algorithms
❖Asymmetric (public-key) cryptosystem: public & 
private keys
21
Mã hóa (Encryption)
❖Mã hóa: quá trình chuyển đổi dữ liệu dạng văn 
bản (plain-text) thành dữ liệu mã hóa (cipher text).
❖Mục đích: bảo đảm an toàn thông tin trong lưu 
trữ và truyền tải.
❖Cung cấp 4 trong 6 yếu tố bảo mật của TMĐT:
▪ Toàn vẹn (Message integrity).
▪Chống thoái thác (Nonrepudiation).
▪Xác thực (Authentication).
▪ Tính bí mật (Confidentiality).
22
Mã hóa khoá đối xứng
❖Cả người gửi và người nhận dùng chung 1 khóa 
để mã hóa và giải mã thông điệp.
❖Đòi hỏi phải có một bộ khóa riêng cho mỗi giao 
dịch. 
▪Ví dụ: nhóm 4 người cần 6 khóa.
❖Hạn chế: khóa phải được bảo mật trong khi phân 
phối và trong khi dùng.
❖Data Encryption Standard (DES): thuật toán mã 
hóa đối xứng được sử dụng phổ biến nhất hiện 
nay. Sử dụng khóa có chiều dài 56 bits. Các thuật 
toán khác (3-DES, AES) sử dụng khóa dài 128 
đến 2048 bits.
23
Mã hóa khóa công khai
❖Giải quyết được vấn đề phân phối khóa bí mật 
của mã hóa đối xứng.
❖Sử dụng 2 khóa có liên quan tới nhau: 
▪Khóa công khai (public key) : được phân phối rộng rãi.
▪Khóa riêng (private key): được giữ bí mật.
❖Một khóa có thể giải mã thông điệp được mã hóa 
bởi khóa kia.
❖Trong thực tế, thường dùng public key để mã 
hóa, private key để giải mã.
24
Mã hóa khóa công khai
25
Mã hóa khóa công khai: Chữ ký số 
và Chuỗi băm (Hash digests)
❖Áp dụng thuật toán băm trong mã hóa sẽ tạo 
thành chuỗi băm mà người nhận có thể dùng 
để kiểm tra tính toàn vẹn của dữ liệu.
❖Mã hóa lần hai với khóa riêng của người gửi 
tạo thành chữ ký bảo đảm tính xác thực và 
tính chống thoái thác.
26
Hàm băm (Hash function)
❖Compression
❖Efficiency
❖One-way
❖Weak collision resistance
❖Strong collision resistance
❖Ví dụ: MD5, SHA-1 cho x=ecommerce
❖md5(x)->db96ff26706a1a3d595ecb67266c2d94
❖Sha1(x)-> 
444c1efe975e9babde869520762c42efcacf1deb
27Thương mại điện 
tử
Mã hóa khóa công khai: Chữ ký số 
và Chuỗi băm (Hash digests)
28
Phong bì số (Digital 
envelopes)
❖Mã hóa đối xứng: xử lý nhanh.
❖Mã hóa khóa công khai: an toàn hơn nhưng 
khối lượng tính toán nhiều, mất nhiều thời gian 
xử lý.
❖Phong bì số: 
▪Bước 1: Sử dụng mã hóa khóa công khai để mã hóa 
và trao đổi khóa bí mật (symmetric key).
▪Bước 2: Dùng mã hóa đối xứng với khóa đã thống 
nhất để mã hóa tài liệu.
29
Phong bì số (Digital 
envelopes)
30Thương mại điện 
tử
Chữ ký điện tử (electronic 
signature)
❖“Electronic signature” means data in 
electronic form in, affixed to or logically 
associated with, a data message, which may 
be used to identify the signatory in relation to 
the data message and to indicate the sinatory’s
approval of the information contained in the 
data message;
❖(UNCITRAL Model Law on Electronic 
Signatures with Guide to Enactment 2001)
31
Chữ ký điện tử (tt)
❖The term ‘‘electronic signature’’ means an 
electronic sound, symbol, or process, attached 
to or logically associated with a contract or 
other record and executed or adopted by a 
person with the intent to sign the record.
❖(Electronic Signatures in Global and National 
Commerce Act - 15 U.S.C. 7001)
32
Chữ ký điện tử (tt)
33
Chữ ký số (Digital Signature)
❖Chữ ký số (digital signature) là một dạng chữ 
ký điện tử. 
34
Chữ ký số
❖ "Chữ ký số" là một dạng chữ ký điện tử được tạo ra 
bằng sự biến đổi một thông điệp dữ liệu sử dụng hệ 
thống mật mã không đối xứng theo đó người có được 
thông điệp dữ liệu ban đầu và khoá công khai của 
người ký có thể xác định được chính xác:
▪ a) Việc biến đổi nêu trên được tạo ra bằng đúng khoá bí 
mật tương ứng với khoá công khai trong cùng một cặp khóa;
▪ b) Sự toàn vẹn nội dung của thông điệp dữ liệu kể từ khi 
thực hiện việc biến đổi nêu trên.
❖ (26/2007/NĐ-CP - Quy định chi tiết thi hành Luật 
Giao dịch điện tử về chữ ký số và dịch vụ chứng thực 
chữ ký số )
35
Chứng thư số (Digital 
Certificate)
❖Chứng thư số là một tài liệu số (digital document) 
được cấp phát một cơ quan thứ ba tin cậy được 
biết đến như là CA (certification authority)
❖Bao gồm:
▪ Tên chủ thể hay tên công ty.
▪Khóa công khai của chủ thể hay công ty.
▪Số serial của chứng thư số.
▪Ngày cấp, ngày hết hạn.
▪Chữ ký số của CA
▪Những thông tin nhận dạng khác.
❖Có thể được sử dụng để kiểm tra một khóa công 
khai nào đó thuộc về ai
36
Quản lí chứng thư số trên trình duyệt
37
CA
❖CA là tổ chức phát hành các chứng thứ số
❖Ví dụ: VeriSign, VNPT, BKIS, Viettel, 
Nacencom, FPT-FIS 
38
39
40
Thương mại điện 
tử
41
42
Hạ tầng khóa công khai 
(PKI – Public Key Infrastructure)
❖Tập hợp tất cả các tác nhân (phần cứng, 
phần mềm, con người, chính sách, thủ tục) 
cần thiết cho việc tạo, quản lý, lưu trữ, phân 
phối, thu hồi các chứng thư khóa công khai 
dựa trên mã hóa khóa công khai. 
43
Hạ tầng khóa công khai (tt)
❖CA (Certification Authority): nhà cung cấp chứng thư 
số chuyên cung cấp và xác minh Chứng thư số
❖RA (Registration Authority): nhà quản lý đăng ký đóng 
vai trò như người thẩm tra cho CA trước khi một 
chứng thư số được cấp phát tới người yêu cầu
❖CR (Certificate Repository): kho lưu trữ chứng thư số 
lưu trữ các chứng thư số phục vụ nhu cầu tra cứu, lấy 
khoá công khai của đối tác cần thực hiện giao dịch.
❖Con người: CAO (Certificate Authority Operator), 
RAO (Register Authority Operator), Manager, User
44
Sử dụng Chứng thư số
45
Giới hạn của mã hóa
❖PKI được áp dụng chủ yếu cho việc bảo vệ 
dữ liệu trong trao đổi.
❖PKI không có tác dụng với thành viên nội bộ.
❖Việc bảo vệ khóa riêng tư (private key) đối 
với cá nhân có thể không an toàn.
❖Không đảm bảo máy tính của bên bán 
(merchant) là an toàn
❖Tổ chức tự chọn lựa CA cho riêng mình
46
Bảo vệ kênh truyền thông
❖Secure Socket Layer (SSL): giao thức nhằm 
thiết lập các phiên làm việc an toàn cho việc 
trao đổi dữ liệu trong mạng Internet.
❖S-HTTP: cung cấp giao thức truyền nhận an 
toàn cho các tài liệu trong mạng Internet (thiết 
kế dùng chung với HTTP).
❖Mạng riêng ảo (Virtual Private Networks -
VPNs): cho phép một máy tính trong Internet 
có thể truy cập vào mạng nội bộ một cách an 
toàn.
47
S-HTTP
48
Bảo mật một phiên làm việc 
với SSL
49
Bảo vệ mạng nội bộ: Proxy và 
Firewall
❖Tường lửa (Firewall):
▪Phần cứng hay phần mềm.
▪Lọc những thông tin ra vào mạng dựa theo chính 
sách bảo mật (security policy).
▪Bao gồm:
oPacket filters.
oApplication gateways.
❖Proxy server: là một ứng dụng ở server quản 
lý việc truyền thông giữa các máy trong mạng 
với Internet.
50
Firewalls and Proxy Servers
❖Figure 5.13, Page 301
51
Bảo vệ Clients và Servers
❖Kiểm soát hoạt động của hệ thống: cơ chế 
xác thực và kiểm soát truy cập.
❖Phần mềm diệt virus: phương pháp đơn giản 
và tiết kiệm nhất để bảo vệ an toàn cho các 
máy tính trong mạng.
52
Chiến lược bảo mật: Chính 
sách quản lý
❖Các bước xây dựng một chiến lược bảo mật:
▪Đánh giá rủi ro: đánh giá những rủi ro tiềm ẩn, những 
điểm yếu hại của hệ thống.
▪Xây dựng chính sách bảo mật: liệt kê các rủi ro thông tin, 
mức rủi ro chấp nhận được; xác định cách thức để đạt 
mục tiêu.
▪Xây dựng kế hoạch triển khai: xác định các bước cần 
thiết để đạt được mục tiêu bảo mật.
▪ Triển khai kế hoạch (Tạo tổ chức bảo mật): tập huấn 
người dùng, chính sách xác thực và kiểm soát truy cập
▪Kiểm toán hiệu quả bảo mật: kiểm tra các thủ tục và các 
bước xây dựng.
53
Xây dựng chiến lược bảo mật
54
Luật pháp và chính sách của 
chính phủ
❖Quy định trách nhiệm, quyền lợi của doanh 
nghiệp và người tiêu dùng.
❖Cơ sở pháp lý để doanh nghiệp và người tiêu 
dùng giải quyết các vấn đề phát sinh.
❖Định nghĩa thế nào là hành vi trái pháp luật.
❖Đưa ra cơ sở pháp lý cho việc xác định, truy 
tìm và xử lý đối tượng phạm tội.
55