Bài giảng Quản trị Hệ thống thông tin - Chương 7: Đạo đức & an ninh máy tính

Quản trị Hệ thống thông tin 
1 
ĐẠO ĐỨC & AN NINH MÁY TÍNH 
1 
CHƯƠNG 7 
Mục tiêu học tập 
1. Mô tả sự xuất hiện của kỹ nguyên thông tin và cách thức 
đạo đức máy tính ảnh hưởng việc sử dụng hệ thống thông 
tin 
2. Thảo luận những quan tâm đạo đức với “sự riêng tư”, chính 
xác, đặc trưng, và truy xuất thông tin 
3. Định nghĩa tội phạm máy tính, và các loại tội phạm máy tính 
4. Phân biệt các thuật ngữ “computer virus,” “worm,” Trojan 
Horse 
5. Giải thích ý nghĩa khái niệm “an ninh hệ thống thông tin” và 
mô tả được các cách giải quyết hiện nay 
2 
Nội dung 
I. Đạo đức Tin học 
II. Hành vi phạm tội trên máy tính 
III. An ninh Hệ thống thông tin 
3 
I. Đạo đức tin học 
1. Tính riêng tư 
2. Tính chính xác 
3. Tài sản thông tin 
4. Quyền truy xuất thông tin 
5. Hành vi đạo đức 
4 
I. Đạo đức tin học 
5 
Đạo đức máy tính 
Các vấn đề và các chuẩn mực về hành vi trong việc sử 
dụng hệ thống thông tin bao gồm sự riêng tư, tính chính 
xác, tài sản thông tin và quyền truy xuất. 
1.Tính riêng tư – Information Privacy 
6 
Tính riêng tư (Information Privacy) 
Những thông tin mà cá nhân phải tiết lộ cho người khác 
trong quá trình xin việc hay mua hàng trực tuyến 
Sự riêng tư của thông tin và vấn đề phát sinh 
Ăn trộm thông tin “mật” 
Việc đánh cắp các thông tin riêng của cá nhân (số tài khoản, 
PIN T) để mua chịu, vay tiền, mua hàng hóa, hoặc vay 
mượn, hay nói cách khác là những khoản nợ không bao giờ 
trả. Đây là vấn đề đặc biệt vì: 
• Vô hình với nạn nhân, họ không biết điều gì đã xảy ra 
• Rất khó sửa chữa T bao gồm các hậu quả có thể 
• Có khả năng tổn thất không thể bù đắp 
Quản trị Hệ thống thông tin 
2 
1.Tính riêng tư – Information Privacy 
7 
Chọn các Web sites được các tổ chức độc lập giám sát 
Sử dụng các sites đánh giá để chọn các sites “an toàn” (e.g 
epubliceye.com) 
Quản trị “tính riêng tư” 
Tránh việc lưu các Cookies trên máy 
Cài đặt trình duyệt để “chặn” việc ký gửi cookies lên máy 
tính khi duyệt Web 
Cẩn thận khi nhận các thư yêu cầu 
Hãy dùng tài khoản email khác với tài khoản bình thường 
để bảo về các thông tin riêng, tránh bị xâm phạm bởi các 
người dùng bất kỳ trên máy tính của bạn 
2.Tính chính xác – Information Accuracy 
8 
Tính chính xác (Information Accuracy) 
Các vấn đề đảm bảo xác thực xuất xứ và tính trung thực 
(authenticity and fidelity) của thông tin, và xác định các trách 
nhiệm về các lỗi trong thông tin làm nguy hại người khác 
Nguồn lỗi 
Các lỗi trong kết xuất của máy tính có thể bắt nguồn từ 2 
nguồn là: 
• Lỗi kỹ thuật – lỗi giải thuật, truyền thông và/hay quá 
 trình xử lý khi nhận, xử lý, lưu trữ, và trình bày thông tin 
• Lỗi do con người – do người nhập dữ liệu vào hệ thống 
 thông tin gây ra 
3.Tài sản thông tin- Information Property 
9 
Tài sản thông tin (Information property) 
Tài sản thông tin liên quan đến việc ai sở hữu thông tin 
và thông tin có thể được bán và trao đổi như thế nào? 
Ví dụ 
Ai là người sở hữu thông tin được lưu trữ trong hàng ngàn 
cơ sở dữ liệu bởi người bán lẻ, công ty nghiên cứu tiếp thị?

Các công ty lưu trữ cơ sở dữ liệu về khách hàng và 
những người đăng ký là người sở hữu thông tin, họ được 
tự do buôn bán 
3.Tài sản thông tin- Information Property 
10 
Quyền sở hữu thông tin (Information Ownership) 
Thuộc về các tổ chức lưu trữ thông tin nếu nó được chuyển 
giao T ngay cả khi “không nhận thức” do sử dụng các sites 
đó (e.g. khảo sát trực tuyến) 
Điều lệ riêng tư (Privacy Statements ) 
Được các tổ chức thu thập thông tin nêu ra và cách thức 
sử dụng chúng. Về pháp lý có 2 loại 
• Internal Use – chỉ dùng trong phạm vi tổ chức 
• External Use – có thể bán ra bên ngoài 
4. Quyền truy xuất thông tin 
11 
Quyền truy xuất thông tin (Information Accessibility) 
Các vấn đề liên quan đến việc cá nhân/ tổ chức có quyền 
thu thập những thông tin gì của người khác và cách thức 
sử dụng chúng 
Ai có quyền? 
• Bản thân cá nhân/ tổ chức 
• Chính phủ – sử dụng các phần mềm tiên tiến (e.g 
 Carnivore), kiểm soát tức thời hoặc sau đó các lưu 
 lượng email, và tất cả các hoạt động lên mạng 
• Người thuê – có quyền (trong phạm vi giới hạn) giám 
 sát, hoặc truy xuất các hoạt động trên các máy tính hay 
 mạng của công ty khi họ đã công bố chính sách đó với 
 nhân viên 
5. Hành vi đạo đức 
• Trong thời đại Internet, ngoài pháp chế đối 
với tội phạm máy tính, tính riêng tư và bảo mật 
còn có các chuẩn mực về đạo đức. 
• Nhiều doanh nghiệp đặt ra qui tắc cho việc sử 
dụng công nghệ thông tin và các hệ thống máy 
tính một cách có đạo đức. 
• Nhiều tập đoàn máy tính chuyên nghiệp cũng 
đặt ra những qui tắc đạo đức cho các doanh 
nghiệp thành viên. 
12 
Quản trị Hệ thống thông tin 
3 
5. Hành vi đạo đức 
• Hầu hết trường đại học và nhiều hệ thống 
trường học cộng đồng đã đề ra những qui tắc cho 
sinh viên, các khoa, các phòng ban và nhân viên 
về đạo đức sử dụng máy tính. 
• Hầu hết tổ chức và trường học động viên tất cả 
người dùng hệ thống hành động có trách nhiệm, 
đạo đức, và hợp pháp. 
13 
5. Hành vi đạo đức 
• Những hành vi cần ngăn chặn: 
 Sử dụng máy tính để hại người khác 
 Gây cản trở công việc trên máy tính của người 
khác 
 Tò mò các tập tin (files) của người khác 
 Sao chép và sử dụng phần mềm không có bản 
quyền 
 Sử dụng tài nguyên máy tính của người khác mà 
chưa được cấp quyền 
14 
5. Hành vi đạo đức 
• Những hành vi được khuyến khích: 
 Nên suy nghĩ về ảnh hưởng xã hội của những 
chương trình mà đang viết và các hệ thống 
đang thiết kế. 
 Sử dụng máy tính theo cách có cân nhắc và tôn 
trọng người khác. 
15 
II. Hành vi phạm tội trên máy tính 
1. Các hành vi truy xuất bất hợp pháp 
2. Hacking và Craking 
3. Các hình thức tội phạm 
4. Bản quyền phần mềm 
5. Virus máy tính 
16 
1. Hành vi truy xuất bất hợp pháp 
17 
Sử dụng máy tính để thực hiện các hành vi không hợp 
pháp như: 
• Thực hiện hành vi phạm tội trên máy tính (e.g đăng 
 nhập vào hệ thống máy tính nhằm xâm hại đến máy 
 tính hoặc dữ liệu lưu trữ trong máy đó) 
• Dùng máy tính để phạm tội 
 (e.g. lấy cắp số thẻ tín dụng trong CSDL của tổ chức) 
• Sử dụng máy tính để hỗ trợ các hành vi phạm tội 
 (e.g. lưu thông tin về các giao dịch bất hợp pháp) 
2. Hacking và Cracking 
18 
Hackers 
Thuật ngữ dùng mô tả người truy cập trái phép vào máy 
tính để tìm hiểu về các máy tính đó. 
• Ra đời để mô tả các sinh viên của MIT tìm cách truy 
 cập mainframes trong những năm 1960s 
• Hiện nay được dùng phổ biến để chỉ việc giành quyền 
 truy cập trái phép với mọi lý do 
Crackers 
Thuật ngữ mô tả những người đột nhập hệ thống máy 
tính với ý đồ xâm hại hoặc thực hiện hành vi phạm tội. 
• Phá hoại dữ liệu 
• Đánh cắp thông tin 
Quản trị Hệ thống thông tin 
4 
3. Các hình thức tội phạm 
Có nhiều hình thức tội phạm: 
– Sử dụng máy tính để đánh cắp tiền, tài sản hoặc 
lừa gạt tiền của người khác. Ví dụ: quảng cáo 
hàng giảm giá trên trang Web đấu giá, nhận đơn 
hàng và thanh toán sau đó gửi hàng kém chất 
lượng. 
– Đánh cắp và thay đổi thông tin. 
– Đánh cắp thông tin hoặc phá hư hệ thống máy tính 
sau đó tống tiền nạn nhân. 
19 
3. Các hình thức tội phạm 
Có nhiều hình thức tội phạm: 
– Những tên khủng bố công nghệ (Techno-terrorists) cài 
đặt các chương trình phá hủy vào hệ thống máy tính 
sau đó đe dọa và tống tiền nạn nhân. 
– Hình thức tội phạm phát tán virus làm phá hoại hệ 
thống máy tính hoặc ngăn chặn dịch vụ trên trang web. 
– Việc sử dụng Internet làm phát sinh nhiều hình thức tội 
phạm như xuất hiện các trang web có nội dung không 
lành mạnh (phản động, đồi trụy,T) 
20 
4. Bản quyền phần mềm 
• Những người phát triển và sản xuất phần mềm 
muốn bán được càng nhiều bản sản phẩm của họ 
càng tốt. 
• Người bán không muốn bất cứ ai đó mua 1 bản 
phần mềm sau đó nhân ra thành nhiều bản và bán 
lại cho người khác. 
• Nhà cung cấp cũng bi quan về khả năng các công 
ty mua 1 bản phần mềm ứng dụng sau đó tạo ra 
nhiều bản và phân phối cho nhân viên. 
21 
4. Bản quyền phần mềm 
Tình hình vi phạm bản quyền (2008) 
22 
5. Virus máy tính 
23 
Viruses 
Các chương trình phá hoại hoạt động bình thường của hệ 
thống máy tính bằng các hành vi ác ý gây nguy hại hoặc 
phá hủy các tập tin trên máy bị nhiễm. Các loại virus: 
• Boot Sector – nhiễm vào phần đĩa dùng để khởi động. 
• File Infector – nhiễm vào files như .doc, .exe, T 
• Combination – có khả năng hoán đổi giữa boot và file 
 để đánh lừa các trình diệt virus 
• Attachment – lây theo e-mail khi mở file đính kèm 
(attachment). Có khả năng tự gửi theo địa chỉ 
Worms 
Đoạn mã phá hoại có khả năng nhân bản và lan rộng trên 
mạng máy tính. Nó gây nguy hại bằng cách nhiễm vào bộ 
nhớ làm hệ thống hoạt động chậm thay vì phá hủy tập tin 
5. Virus máy tính 
24 
Trojan Horses 
Các chương trình này không có khả năng nhân bản nhưng có 
thể gây nguy hại bằng cách chạy ẩn các chương trình trên máy 
bị nhiễm (i.e một số game tự tạo account trên máy để truy cập 
trái phép) 
Logic or Time Bombs 
Biến thể Trojan Horse (không nhân bản và ẩn mình) 
được thiết kế để chờ sự kiện kích hoạt. (i.e. nhân 
viên lập trình sẽ phá hoại khi họ nghỉ việc) 
• Time Bombs – kích hoạt bởi thời gian (e.g. sinh nhật) 
• Logic Bombs – kích hoạt bởi tác vụ nào đó (e.g. nhập 
mật khẩu nào đó) 
Quản trị Hệ thống thông tin 
5 
5. Virus máy tính 
Virus phát tán theo cách: 
1. Hacker tạo virus và đính kèm nó vào chương trình hoặc 
tập tin trên Website. 
2. Người dùng tải về nghĩ rằng đó là tập tin hoặc chương 
trình bình thường. Khi tải xong, nó nhiễm vào các tập 
tin và chương trình khác trên máy tính. 
3. Người dùng gửi mail, chia sẻ tập tin chứa virus cho 
nhiều bạn bè, đồng nghiệp. 
4. Virus phán tán một cách nhanh chóng thông qua 
Internet. 
25 
III. An ninh hệ thống thông tin 
1. Các biện pháp quản trị an toàn 
2. Các hiểm họa về an ninh và kỹ thuật phòng chống 
26 
1. Các biện pháp quản trị an toàn 
27 
An ninh trong hệ thống thông tin 
Các biện pháp phòng ngừa giữ cho tất cả các lĩnh vực hoạt 
động hệ thống thông tin được an toàn khỏi các hành vi truy 
cập trái phép 
Các biện pháp 
Kiểm soát 
truy xuất Quản trị rủi ro 
Chính sách và 
thủ tục an ninh 
Sao lưu và 
phục hồi 
1. Các biện pháp quản trị an toàn 
28 
Quản trị rủi ro 
• Kiểm toán mức độ an ninh nhận dạng mọi lĩnh vực hệ 
 thống thông tin và các quá trình kinh doanh 
• Phân tích rủi ro xác định giá trị tài sản đang được bảo vệ 
• Các phương án dựa trên phân tích rủi ro 
 - Giảm thiểu rủi ro – hiện thực các phương án tích cực để 
 bảo vệ hệ thống (e.g. firewalls) 
 - Chấp nhận rủi ro – không cần biện pháp phòng chống 
 - Chuyển đổi rủi ro – (e.g. mua bảo hiểm) 
Kiểm soát truy xuất 
Đảm bảo an toàn bằng cách chỉ cho phép truy xuất những gì 
cần để làm việc (tối thiểu) 
• Xác thực (Authentication) – xác thực nhân thân trước khi 
 truy xuất 
• Kiểm soát truy xuất (Access Control)– Cấp quyền chỉ những 
 lĩnh vực mà người dùng có quyền (e.g. accout) 
1. Các biện pháp quản trị an toàn 
29 
10/30/2011 
Các thủ tục và chính sách 
Tài liệu chính thức về cách thức sử dụng, mục tiêu và các xử 
lý khi không phù hợp 
Sao lưu và phục hồi 
• Sao lưu – định kỳ sao chép dự phòng các dữ liệu hệ thống 
 thiết yếu và lưu vào nơi an toàn (e.g. backup tape) 
• Hoạch định phục hồi sự cố – các thủ tục chi tiết được 
 dùng để khôi phục khả năng truy xuất đến các hệ thống 
 chủ yếu (e.g. viruses hay hỏa hoạn) 
• Phục hồi sự cố – thực hiện các thủ tục phục hồi bằng 
 cách dùng công cụ backup để phục hồi hệ thống về trạng 
 thái gần nhất trước khi nó bị tổn thất 
2.Hiểm họa an ninh & kỹ thuật phòng chống 
30 
10/30/2011 
Hiểm họa an ninh 
• Mạo danh (Identity Theft) 
• Từ chối phục vụ (Denial of Service) – tấn công các 
 websites qua các máy “zombie” làm tràn site 
 shuts 
 down không hoạt động 
• Khác: Spyware, Spam, Wireless Access, Viruses 
Kỹ thuật phòng chống 
Phổ biến gồm: 
• Bức tường lửa – Firewalls 
• Sinh trắc học (Biometrics) 
• Mạng riêng ảo và mã hóa 
Quản trị Hệ thống thông tin 
6 
2.Hiểm họa an ninh & kỹ thuật phòng chống 
31 
a. Firewalls 
Một hệ thống phần mềm, cứng hoặc cả hai được thiết kế để 
phát hiện các xâm nhập và ngăn chận các truy xuất trái 
phép đến một hệ thống mạng riêng 
Kỹ thuật được dùng 
• Lọc gói tin (Packet Filter) – kiểm tra từng gói tin vào và 
 ra mạng và xử lý nhận hoặc từ chối theo các luật đã xác 
 định 
• Kiểm soát mức ứng dụng – Thực hiện các biện pháp an 
 ninh theo ứng dụng cụ thể (e.g. file transfer) 
• Proxy Server – hoạt động như là máy chủ đại diện cho 
 phép giấu địa chỉ mạng thực sự 
2.Hiểm họa an ninh & kỹ thuật phòng chống 
32 
b. Sinh trắc học – Biometrics 
• Kỹ thuật nhận dạng phức tạp dùng để hạn chế truy xuất hệ 
 thống, dữ liệu, hoặc các phương tiện 
• Sử dụng các đặc tính sinh học khó làm giả để nhận dạng cá 
 nhân như vân tay, võng mạc, T 
• Có khả năng an ninh cao 
c. Mã hóa – Encryption 
• Quá trình mã hóa dữ liệu trước khi truyền lên mạng và giải 
 mã ở bên nhận 
• Public Key – biết trước, và dùng để gửi thông điệp 
• Private Key – không biết, và dùng để mở thông điệp 
• Certificate Authority – tổ chức trung gian phát hành khóa