Nối tiếp phần 1, Giáo trình Cơ sở an toàn thông tin: Phần 2 tiếp tục trình bày những nội dung về đảm bảo an toàn thông tin dựa trên mã hóa; các phương pháp mã hóa và giải thuật mã hóa; các kỹ thuật và công nghệ đảm bảo an toàn thông tin; điều khiển truy nhập; các hệ thống phát hiện và ngăn chặn xâm nhập; quản lý, chính sách và pháp luật an toàn thông tin;... Mời các bạn cùng tham khảo!
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG HỒNG XN DẬU GIÁO TRÌNH CƠ SỞ AN TỒN THƠNG TIN HÀ NỘI 2018 Giáo trình Cơ sở an tồn thơng tin Chương Đảm bảo ATTT dựa mã hóa CHƯƠNG ĐẢM BẢO AN TỒN THƠNG TIN DỰA TRÊN MÃ HĨA Chương giới thiệu khái niệm mật mã, hệ mã hóa, phương pháp mã hóa Phần chương trình bày số giải thuật mã hóa khóa đối xứng (DES, 3-DES AES), mã hóa khóa bất đối xứng (RSA) hàm băm (MD5 SHA1) 4.1 KHÁI QUÁT VỀ MÃ HĨA THƠNG TIN VÀ ỨNG DỤNG 4.1.1 Các khái niệm Mật mã Theo từ điển Webster's Revised Unabridged Dictionary16: “cryptography is the act or art of writing secret characters”, hay mật mã (cryptography) hành động nghệ thuật viết ký tự bí mật Cịn theo từ điển Free Online Dictionary of Computing17: “cryptography is encoding data so that it can only be decoded by specific individuals”, có nghĩa mật mã việc mã hóa liệu mà giải mã số người định Bản rõ, Bản mã, Mã hóa Giải mã Bản rõ (Plaintext), hay thơng tin chưa mã hóa (Unencrypted information) thơng tin dạng hiểu Bản mã (Ciphertext), hay thơng tin mã hóa (Encrypted information) thơng tin dạng bị xáo trộn Mã hóa (Encryption) hành động xáo trộn (scrambling) rõ để chuyển thành mã Giải mã (Decryption) hành động giải xáo trộn (unscrambling) mã để chuyển thành rõ Hình 4.1 Các khâu Mã hóa (Encryption) Giải mã (Decryption) hệ mã hóa Hình 4.1 minh họa khâu hệ mã hóa, khâu mã hóa thực phía người gửi: chuyển rõ (plaintext) thành mã (ciphertext) sử dụng khoá mã hoá K1 16 17 Tham khảo tại: http://www.dict.org/bin/Dict?Form=Dict3&Database=web1913 Tham khảo tại: http://foldoc.org/cryptography - 79 - Giáo trình Cơ sở an tồn thơng tin Chương Đảm bảo ATTT dựa mã hóa khâu giải mã thực phía người nhận: chuyển mã thành rõ sử dụng khoá giải mã K2 Khoá mã hoá K1 khoá giải mã K2 có quan hệ mặt tốn học với Giải thuật mã hóa & giải mã, Bộ mã hóa, Khóa/Chìa, Khơng gian khóa Giải thuật mã hóa (Encryption algorithm) giải thuật dùng để mã hóa thơng tin giải thuật giải mã (Decryption algorithm) dùng để giải mã thơng tin Một mã hóa (Cipher) gồm giải thuật để mã hóa giải thuật để giải mã thơng tin Khóa, hay Chìa (Key) chuỗi liệu sử dụng giải thuật mã hóa giải mã Khơng gian khóa (Keyspace) tổng số khóa có hệ mã hóa Ví dụ, sử dụng khóa kích thước 64 bit khơng gian khóa 264 Mã hóa khóa đối xứng, Mã hóa khóa bất đối xứng, Hàm băm, Thám mã Mã hóa khóa đối xứng (Symmetric key cryptography) dạng mã hóa khóa sử dụng cho giải thuật mã hóa giải mã Do khóa sử dụng chung cần phải giữ bí mật nên mã hóa khóa đối xứng cịn gọi mã hóa khóa bí mật (Secret key cryptography) Hình 4.2 minh họa hoạt động hệ mã hóa khóa đối xứng, khóa bí mật nhất, hay khoá chia sẻ (Shared Secret Key) sử dụng cho hai khâu mã hóa (Encrypt) bên người gửi (Sender) giải mã (Decrypt) thông điệp bên người nhận (Recipient/ Receiver) Hình 4.2 Mã hóa khóa đối xứng sử dụng khóa bí mật chia sẻ để mã hố giải mã Mã hóa khóa bất đối xứng (Asymmetric key cryptography) dạng mã hóa cặp khóa sử dụng: khóa cơng khai (public key) dùng để mã hóa, khóa riêng (private key) dùng để giải mã Chỉ có khóa riêng cần phải giữ bí mật, cịn khóa cơng khai phổ biến rộng rãi Do khóa để mã hóa cơng khai nên đơi mã hóa khóa bất đối xứng cịn gọi mã hóa khóa cơng khai (Public key cryptography) Hình 4.3 minh họa hoạt động hệ mã hóa khóa bất đối xứng, người gửi (Sender) sử dụng khóa cơng khai - 80 - Giáo trình Cơ sở an tồn thơng tin Chương Đảm bảo ATTT dựa mã hóa người nhận (Recipient’s public key) để mã hóa (Encrypt) thơng điệp người nhận (Recipient) sử dụng khóa riêng (Recipient’s private key) để giải mã thơng điệp Hình 4.3 Mã hóa khóa bất đối xứng sử dụng cặp khóa để mã hố giải mã Hàm băm (Hash function) ánh xạ chuyển liệu có kích thước thay đổi liệu có kích thước cố định Hình 4.4 minh họa đầu vào (Input) đầu (Digest) hàm băm Trong loại hàm băm, hàm băm chiều (One-way hash function) hàm băm, việc thực mã hóa tương đối đơn giản, cịn việc giải mã thường có độ phức tạp lớn, không khả thi mặt tính tốn Hình 4.4 Minh họa đầu vào (Input) đầu (Digest) hàm băm Thám mã hay phá mã (Cryptanalysis) q trình giải mã thơng điệp bị mã hóa mà khơng cần có trước thơng tin giải thuật mã hóa khóa mã - 81 - Giáo trình Cơ sở an tồn thơng tin Chương Đảm bảo ATTT dựa mã hóa 4.1.2 Các thành phần hệ mã hóa Hình 4.5 Các thành phần hệ mã hóa đơn giản Một hệ mã hóa hay hệ mật mã (Cryptosystem) cài đặt kỹ thuật mật mã thành phần có liên quan để cung cấp dịch vụ bảo mật thơng tin Hình 4.5 mơ tả thành phần hệ mã hóa đơn giản dùng để đảm bảo tính bí mật thơng tin từ người gửi (Sender) truyền đến người nhận (Receiver) mà không bị bên thứ ba (Interceptor) nghe Các thành phần hệ mã hóa đơn giản gồm rõ (plaintext), giải thuật mã hóa (Encryption Algorithm), mã (ciphertext), giải thuật giải mã (Decryption Algorithm), khóa mã hóa (encryption key) khóa giải mã (decryption key) Một thành phần quan trọng khác hệ mã hóa khơng gian khóa (Keyspace) Khơng gian khố tập hợp tất khóa có Ví dụ, chọn kích thước khóa 64 bit khơng gian khóa 264 Nhìn chung, hệ mã hóa có độ an tồn cao khơng gian khóa lựa chọn lớn 4.1.3 Mã hóa dịng mã hóa khối 4.1.3.1 Mã hóa dịng Hình 4.6 Mã hóa dịng (Stream cipher) Mã hóa dịng (Stream cipher) kiểu mã hóa mà bit, ký tự rõ kết hợp với bit, ký tự tương ứng khóa để tạo thành mã Hình 4.6 biểu diễn q trình mã hóa (Encrypt) giải mã (Decrypt) mã hóa dịng Theo đó, bên gửi bit Pi - 82 - Giáo trình Cơ sở an tồn thơng tin Chương Đảm bảo ATTT dựa mã hóa rõ (plaintext) liên tục đưa vào kết hợp với bit tương ứng Ki khóa để tạo thành bit mã Ci; Ở bên nhận, bit mã Ci kết hợp với bit khóa Ci để khơi phục bit rõ Pi Một sinh dịng khóa (Keystream Generator) sử dụng để liên tục sinh bit khóa Ki từ khóa gốc K Các giải thuật mã hóa dịng tiêu biểu A5, RC4 sử dụng rộng rãi viễn thông 4.1.3.2 Mã hóa khối Hình 4.7 Mã hóa khối (Block cipher) Mã hóa khối (Block cipher) kiểu mã hóa mà liệu chia thành khối có kích thước cố định để mã hóa giải mã Hình 4.7 biểu diễn q trình mã hóa giải mã mã hóa khối Theo đó, bên gửi rõ (Plaintext) chia thành khối (block) có kích thước cố định, sau khối mã hóa để chuyển thành khối mã Các khối mã ghép lại thành mã (Ciphertext) Ở bên nhận, mã lại chia thành khối lại giải mã để chuyển thành khối rõ Cuối ghép khối rõ để có rõ hồn chỉnh Các giải thuật mã hóa khối tiêu biểu DES, 3-DES, IDEA, AES sử dụng rộng rãi mã hóa liệu với kích thước khối 64, 128 bit 4.1.4 Sơ lược lịch sử mật mã Có thể nói mật mã đẻ toán học nên phát triển mật mã liền với phát triển toán học Tuy nhiên, nhiều giải thuật mật mã địi hỏi khối lượng tính tốn lớn nên mật mã thực phát triển mạnh với đời phát triển máy tính điện tử Sau số mốc phát triển mật mã ứng dụng mật mã: - Các kỹ thuật mã hố thơ sơ người cổ Ai cập sử dụng cách 4000 năm - Người cổ Hy lạp, Ấn độ sử dụng mã hoá cách hàng ngàn năm - Các kỹ thuật mã hoá thực phát triển mạnh từ kỷ 1800 nhờ cơng cụ tốn học, phát triển vượt bậc kỷ 20 nhờ phát triển máy tính ngành cơng nghệ thơng tin - Trong chiến tranh giới thứ I II, kỹ thuật mã hóa sử dụng rộng rãi liên lạc qn sử dụng sóng vơ tuyến Quân đội nước sử dụng công cụ phá mã, thám mã để giải mã thông điệp quân địch - Năm 1976 chuẩn mã hóa DES (Data Encryption Standard) Cơ quan mật vụ Hoa Kỳ (NSA – National Security Agency) thừa nhận sử dụng rộng rãi - 83 - Giáo trình Cơ sở an tồn thơng tin Chương Đảm bảo ATTT dựa mã hóa - Năm 1976, hai nhà khoa học Whitman Diffie Martin Hellman đưa khái niệm mã hóa khóa bất đối xứng (Asymmetric key cryptography), hay mã hóa khóa cơng khai (Public key cryptography) Điều đem đến thay đổi lớn kỹ thuật mật mã Theo đó, hệ mã hóa khóa cơng khai bắt đầu sử dụng rộng rãi nhờ khả hỗ trợ trao đổi khóa dễ dàng hệ mã hóa khóa bí mật gặp khó khăn quản lý trao đổi khóa, đặc biệt số lượng người dùng lớn - Năm 1977, ba nhà khoa học Ronald Rivest, Adi Shamir, Leonard Adleman giới thiệu giải thuật mã hóa khóa cơng khai RSA Từ đó, RSA trở thành giải thuật mã hóa khóa cơng khai sử dụng rộng rãi RSA vừa sử dụng để mã hóa thơng tin sử dụng chữ ký số - Năm 1991, phiên chuẩn PGP (Pretty Good Privacy) đời - Năm 2001, chuẩn mã hóa AES (Advanced Encryption Standard) thừa nhận ứng dụng rộng rãi 4.1.5 Ứng dụng mã hóa Mã hố thơng tin sử dụng để đảm bảo an tồn thơng tin với thuộc tính: bí mật (confidentiality), tồn vẹn (integrity), xác thực (authentication), chối bỏ (nonrepudiation) Cụ thể, kỹ thuật mã hóa ứng dụng rộng rãi hệ thống, công cụ dịch vụ bảo mật như: - Dịch vụ xác thực (Kerberos, SSO, RADIUS,…) - Điều khiển truy nhập - Các công cụ cho đảm bảo an tồn cho truyền thơng khơng dây - Các tảng bảo mật PKI, PGP - Các giao thức bảo mật SSL/TLS, SSH, SET, IPSec - Các hệ thống bảo mật kênh truyền, VPN 4.2 CÁC PHƯƠNG PHÁP MÃ HÓA 4.2.1 Phương pháp thay Phương pháp thay (Substitution) phương pháp thay giá trị giá trị khác, thay ký tự ký tự khác, thay bit bit khác Hình 4.8 biểu diễn chữ gốc, chữ mã ví dụ mã hóa sử dụng hệ mã hóa tiếng thời La Mã Caesar cipher Nguyên tắc Caesar cipher dịch chữ ký tự tiếng Anh sang bên phải (AD, BE, CF,….) Bản rõ “LOVE” mã hóa thành “ORYH” Hình 4.8 Mã hóa hệ mã hóa Caesar cipher - 84 - Giáo trình Cơ sở an tồn thơng tin Chương Đảm bảo ATTT dựa mã hóa Hình 4.9 Phương pháp thay với chữ mã Để tăng độ an toàn phương pháp thay với chữ mã, người ta sử dụng nhiều chữ mã, minh họa Hình 4.9 với chữ mã (Substitution cipher), với nguyên tắc thay thế: ký tự số rõ thay sử dụng chữ mã số 1, ký tự số sử dụng chữ mã số 2,…, ký tự số sử dụng chữ mã số 1, ký tự số sử dụng chữ mã số 2,… Nếu chữ mã đặt ngẫu nhiên ký tự xuất vị trí khác rõ chuyển đổi thành ký tự khác mã Điều giúp tăng độ an tồn làm tăng độ khó việc phân tích đốn rõ từ mã 4.2.2 Phương pháp hốn vị Hình 4.10 Phương pháp hốn vị thực đổi chỗ bit Hình 4.11 Phương pháp hoán vị thực đổi chỗ ký tự Phương pháp hoán vị, đổi chỗ (Permutation) thực xếp lại giá trị khối rõ để tạo mã Thao tác hốn vị thực với bit byte (ký tự) Hình 4.10 minh họa ví dụ mã hóa phương pháp hoán vị thực đổi chỗ bit, việc đổi chỗ thực theo khóa (Key) khối bit, tính từ bên phải Hình 4.11 minh họa ví dụ mã hóa phương pháp hoán vị thực đổi chỗ ký tự, - 85 - Giáo trình Cơ sở an tồn thơng tin Chương Đảm bảo ATTT dựa mã hóa việc đổi chỗ thực theo khóa khối ký tự, tính từ bên phải Với rõ “SACKGAULSPARENOONE” ta có khối, khối đầu đủ ký tự, cịn khối cuối có ký tự “NE” nên phải chèn thêm dấu trắng cho đủ khối ký tự 4.2.3 Phương pháp XOR Phương pháp mã hóa XOR sử dụng phép tốn logic XOR (eXclusive OR – loại trừ) để tạo mã, bit rõ XOR với bit tương ứng khóa Để giải mã, ta thực XOR bit mã với bit tương ứng khóa Hình 4.12 minh họa q trình mã hóa rõ “CAT” với khóa “VVV” Theo đó, ký tự rõ khóa trước hết chuyển thành mã ASCII biểu diễn dạng nhị phân Sau đó, thực phép tốn XOR bit tương ứng rõ khóa để tạo mã (Cipher) Hình 4.12 Mã hóa phương pháp XOR 4.2.4 Phương pháp Vernam Phương pháp Vernam sử dụng tập ký tự để nối vào ký tự rõ để tạo mã Tập ký tự gọi one-time pad ký tự tập dùng lần tiến trình mã hóa Với chữ tiếng Anh có 26 chữ cái, q trình mã hóa phương pháp Vernam thực sau: - Các ký tự rõ ký tự tập nối thêm (one-time pad) chuyển thành số khoảng 1-26; - Cộng giá trị ký tự rõ với giá trị tương ứng tập nối thêm; - Nếu giá trị cộng lớn 26 đem trừ cho 26 (đây phép modulo – chia lấy phần dư) - Chuyển giá trị số thành ký tự mã Hình 4.13 minh họa mã hóa rõ “SACKGAULSPARENOONE” phương pháp Vernam với tập nối thêm “FPQRNSBIEHTZLACDGJ” Hình 4.13 Mã hóa phương pháp Vernam - 86 - Giáo trình Cơ sở an tồn thơng tin Chương Đảm bảo ATTT dựa mã hóa 4.2.5 Phương pháp sách khóa chạy Phương pháp sách, khóa chạy thực việc mã hóa giải mã sử dụng khóa mã chứa sách Hiện phương pháp thường dùng phim trinh thám tính chất kỳ bí Ví dụ như, với mã “259,19,8; 22,3,8; 375,7,4; 394,17,2” sách dùng chứa khóa “A Fire Up on the Deep”, ta giải mã sau: - Trang 259, dòng 19, từ thứ sack - Trang 22, dòng 3, từ thứ island - Trang 375, dòng 7, từ thứ sharp - Trang 394, dòng 17, từ thứ path Bản rõ tương ứng mã “259,19,8;22,3,8;375,7,4;394,17,2” “sack island sharp path” 4.2.6 Phương pháp hàm băm Các hàm băm (Hash function) giải thuật để tạo tóm tắt (digest) thông điệp, thường sử dụng để nhận dạng đảm bảo tính tồn vẹn thơng điệp Độ dài thông điệp đầu vào bất kỳ, đầu hàm băm thường có độ dài cố định Chi tiết hàm băm mục 4.4 Các hàm băm thông dụng gồm: - Các hàm băm MD2, MD4, MD5 với độ dài chuỗi đầu 128 bit; - Hàm băm MD6 cho chuỗi đầu có độ dài khoảng đến 512 bit; - Các hàm băm SHA0, SHA1 với độ dài chuỗi đầu 160 bit; - Các hàm băm SHA2, gồm SHA256, SHA384, SHA512 cho phép số lựa chọn chuỗi đầu tương ứng 256, 384 512 bit; - Hàm băm SHA3 cho chuỗi đầu có độ dài khoảng đến 512 bit; - Hàm băm CRC32 với chuỗi đầu 32 bit sử dụng kiểm tra dư thừa mạch vòng 4.3 CÁC GIẢI THUẬT MÃ HĨA 4.3.1 Các giải thuật mã hóa khóa đối xứng 4.3.1.1 Khái quát mã hóa khóa đối xứng Mã hóa khóa đối xứng (Symmetric key encryption) hay cịn gọi mã hóa khóa bí mật (Secret key encryption) sử dụng khóa bí mật (Secret key) cho q trình mã hóa giải mã Khóa bí mật sử dụng q trình mã hóa giải mã cịn gọi khóa chia sẻ (Shared key) bên gửi (Sender)và bên nhận (Receiver) cần chia sẻ khóa bí mật cách an tồn trước thực việc mã hóa giải mã Hình 4.14 minh họa q trình mã hóa giải mã sử dụng chung khóa bí mật chia sẻ Các hệ mã hóa khóa đối xứng thường sử dụng khóa với kích thước tương đối ngắn Một số kích thước khóa sử dụng phổ biến 64, 128, 192 256 bit Do phát triển nhanh tốc độ tính tốn máy tính, nên khóa có kích thước nhỏ 128 bit xem khơng an tồn hầu hết hệ mã hóa khóa đối xứng đảm bảo an tồn sử dụng khóa có kích thước từ 128 bit trở lên Ưu điểm bật hệ mã hóa khóa đối xứng có độ an - 87 - Giáo trình Cơ sở an tồn thơng tin Chương Quản lý, sách & pháp luật ATTT - Lựa chọn biện pháp xử lý rủi ro dựa kết đánh giá rủi ro giai đoạn nêu Ưu điểm phương pháp cho phép xem xét chi tiết rủi ro hệ thống công nghệ thông tin tổ chức, lý giải rõ ràng chi phí cho biện pháp kiểm sốt rủi đề xuất Đồng thời, cung cấp thông tin tốt cho việc tiếp tục quản lý vấn đề an ninh hệ thống công nghệ thông tin chúng nâng cấp, sửa đổi Tuy nhiên, phương pháp có nhược điểm: - Chi phí lớn thời gian, nguồn lực u cầu kiến thức chun gia có trình độ cao, - Có thể dẫn đến chậm trễ việc đưa biện pháp xử lý, kiểm soát rủi ro phù hợp Phương pháp phân tích chi tiết rủi ro phù hợp với tổ chức phủ cung cấp dịch vụ thiết yếu cho người dân doanh nghiệp, tổ chức có hệ thống công nghệ thông tin quy mô lớn, tổ chức cung cấp tảng hạ tầng truyền thông cho quốc gia Phương pháp kết hợp phương pháp tiếp cận đánh giá rủi ro cuối Phương pháp kết hợp thành phần phương pháp đường sở, khơng thức phân tích chi tiết, với mục tiêu cung cấp mức bảo vệ hợp lý nhanh tốt sau kiểm tra điều chỉnh biện pháp bảo vệ hệ thống theo thời gian Phương pháp kết hợp thực theo bước: - Thực phương pháp đường sở với tất thành phần hệ thống công nghệ thông tin tổ chức; - Tiếp theo, thành phần có mức rủi ro cao, trọng yếu xem xét đánh giá theo phương pháp khơng thức; - Cuối hệ thống xem xét đánh giá toàn diện rủi ro mức chi tiết Các ưu điểm phương pháp kết hợp việc bắt đầu việc đánh giá rủi ro mức cao dễ nhận ủng hộ cấp quản lý, thuận lợi cho việc lập kế hoạch quản lý an tồn thơng tin, đồng thời giúp sớm triển khai biện pháp xử lý kiểm soát rủi ro từ giai đoạn đầu, giúp giảm chi phí với đa số tổ chức Tuy nhiên, phương pháp kết hợp có nhược điểm đánh giá mức cao giai đoạn đầu khơng xác dẫn đến áp dụng biện pháp kiểm sốt khơng phù hợp, hệ thống gặp rủi ro thời gian chờ đánh giá chi tiết Nói chung, phương pháp kết hợp phù hợp quan, tổ chức với hệ thống công nghệ thông tin quy mô vừa lớn 6.1.3 Phân tích chi tiết rủi ro an tồn thơng tin 6.1.3.1 Giới thiệu Phân tích chi tiết rủi ro an tồn thơng tin phương pháp xem xét, phân tích tồn diện rủi ro thành phần hệ thống công nghệ thông tin quan, tổ chức Phân tích chi tiết rủi ro an tồn thơng tin gồm nhiều hoạt động chia thành bước: Mô tả đặc điểm hệ thống Nhận dạng mối đe dọa - 128 - Giáo trình Cơ sở an tồn thơng tin Chương Quản lý, sách & pháp luật ATTT Nhận dạng lỗ hổng bảo mật Phân tích kiểm soát Xác định xác suất rủi ro Phân tích ảnh hưởng Xác định rủi ro Đề xuất kiểm soát Viết tài liệu kết phân tích Nội dung cụ thể bước phân tích chi tiết rủi ro an tồn thơng tin trình bày mục sau 6.1.3.2 Các bước phân tích chi tiết rủi ro Bước 1: Mơ tả đặc điểm hệ thống - Đầu vào: Các thành phần hệ thống: + Phần cứng, phần mềm, giao diện + Dữ liệu thông tin + Con người + Sứ mệnh hệ thống - Đầu ra: + Ranh giới chức hệ thống; + Tính trọng yếu liệu hệ thống; + Tính nhạy cảm Bước 2: Nhận dạng mối đe dọa - Đầu vào: + Lịch sử công vào hệ thống + Dữ liệu từ tổ chức chuyên an tồn thơng tin + Dữ liệu từ phương tiện thông tin đại chúng - Đầu ra: + Báo cáo mối đe dọa hệ thống Bước 3: Nhận dạng lỗ hổng bảo mật - Đầu vào: + Các báo cáo đánh giá rủi ro có + Các nhận xét kiểm tốn hệ thống + Các yêu cầu an ninh, an toàn + Các kết kiểm tra an ninh, an toàn - Đầu ra: + Danh sách lỗ hổng bảo mật tiềm tàng - 129 - Giáo trình Cơ sở an tồn thơng tin Chương Quản lý, sách & pháp luật ATTT Bước 4: Phân tích kiểm sốt (control) - Đầu vào: + Các kiểm sốt có + Các kiểm soát lập kế hoạch - Đầu ra: + Danh sách kiểm sốt có lập kế hoạch Bước 5: Xác định xác suất rủi ro - Đầu vào: + Động nguồn đe dọa + Khả đe dọa + Bản chất lỗ hổng bảo mật + Các kiểm soát có - Đầu ra: + Đánh giá xác suất rủi ro Bước 6: Phân tích ảnh hưởng (liên quan vi phạm tính tồn vẹn, sẵn dùng bí mật tài sản hệ thống) - Đầu vào: + Phân tích ảnh hưởng sứ mệnh + Đánh giá tầm quan trọng tài sản + Tầm quan trọng liệu + Tính nhạy cảm liệu - Đầu ra: + Đánh giá ảnh hưởng Bước 7: Xác định rủi ro - Đầu vào: + Khả bị mối đe dọa khai thác + Tầm quan trọng ảnh hưởng + Sự phù hợp kiểm sốt theo kế hoạch, có - Đầu ra: + Các rủi ro mức rủi ro có liên quan Bước 8: Đề xuất kiểm sốt - Đầu vào: Khơng - Đầu ra: Đề xuất biện pháp xử lý, kiểm soát rủi ro Bước 9: Viết tài liệu kết phân tích - Đầu vào: Không - Đầu ra: Báo cáo đánh giá rủi ro - 130 - Giáo trình Cơ sở an tồn thơng tin Chương Quản lý, sách & pháp luật ATTT 6.1.4 Thực thi quản lý an tồn thơng tin 6.1.4.1 Giới thiệu Thực thi quản lý an toàn thông tin bước khâu đánh giá rủi ro, nhằm triển khai, thực thi kiểm soát (control) nhằm đảm bảo an tồn cho hệ thống cơng nghệ thơng tin tổ chức Các nội dung thực thi quản lý an tồn thơng tin gồm: - Thực thi (Implementation): Thực thi kiểm soát, đào tạo nâng cao ý thức người dùng đào tạo chun mơn an tồn thơng tin - Thực thi tiếp tục (Implementation follow-up): Bảo trì, kiểm tra hợp chuẩn, quản lý thay đổi xử lý cố Kiểm sốt (control), đảm bảo an tồn (safeguard), biện pháp đối phó (countermeasure) thuật ngữ sử dụng tương đương, tráo đổi cho quản lý an tồn thơng tin Kiểm sốt phương tiện để quản lý rủi ro, bao gồm sách, thủ tục, hướng dẫn, thực tế, cấu trúc tổ chức Kiểm sốt vấn đề quản lý hành kỹ thuật, có chất luật pháp Các kiểm soát thực thi quản lý an tồn thơng tin gồm loại: - Kiểm soát quản lý (Management control) - Kiểm soát vận hành (Operational control) - Kiểm soát kỹ thuật (Technical control) - Kiểm soát hỗ trợ (Supportive control) - Kiểm soát ngăn ngừa (Preventive control) - Kiểm soát phát phục hồi (Detection and recovery control) 6.1.4.2 Các loại kiểm soát Kiểm soát quản lý bao gồm nội dung: - Tập trung vào sách, lập kế hoạch, hướng dẫn chuẩn an tồn thơng tin; - Các kiểm sốt có ảnh hưởng đến việc lựa chọn kiểm soát vận hành kiểm soát kỹ thuật nhằm giảm tổn thất rủi ro bảo vệ sứ mệnh tổ chức; - Các kiểm soát tham chiếu đến vấn đề giải thơng qua lĩnh vực quản lý Kiểm sốt vận hành bao gồm nội dung: - Giải vấn đề thực thi xác sử dụng sách chuẩn an tồn thơng tin, đảm bảo tính qn vận hành an tồn thơng tin khắc phục khiếm khuyết vận hành nhận dạng; - Các kiểm soát liên quan đến chế thủ tục thực thi chủ yếu người, hệ thống; - Được sử dụng để tăng cường an ninh cho hệ thống nhóm hệ thống Kiểm sốt kỹ thuật bao gồm nội dung: - Các kiểm soát kỹ thuật thường liên quan đến việc sử dụng đắn biện pháp đảm bảo an ninh phần cứng phần mềm hệ thống; - 131 - Giáo trình Cơ sở an tồn thơng tin Chương Quản lý, sách & pháp luật ATTT - Bao gồm biện pháp từ đơn giản đến phức tạp để đảm bảo an tồn cho thơng tin nhạy cảm chức trọng yếu hệ thống; - Một số kiểm soát kỹ thuật: xác thực, trao quyền thực thi kiểm soát truy nhập, Kiểm soát hỗ trợ kiểm soát chung lớp dưới, có quan hệ sử dụng nhiều kiểm soát khác Kiểm soát ngăn ngừa kiểm soát tập trung vào việc ngăn ngừa việc xảy vi phạm an ninh, cách khắc chế nỗ lực vi phạm sách an ninh, khai thác lỗ hổng bảo mật Kiểm soát phát phục hồi kiểm soát tập trung vào việc đáp trả vi phạm an ninh cách đưa cảnh báo vi phạm, nỗ lực vi phạm sách an ninh, khai thác lỗ hổng bảo mật, đồng thời cung cấp biện pháp phục hồi tài ngun tính tốn bị ảnh hưởng vi phạm an ninh 6.1.4.3 Xây dựng kế hoạch đảm bảo an toàn Kế hoạch đảm bảo an toàn (Security plan) tài liệu rõ phần việc thực hiện, tài nguyên cần sử dụng người, nhân viên chịu trách nhiệm thực Mục đích kế hoạch đảm bảo an tồn cung cấp chi tiết hành động cần thiết để cải thiện vấn đề nhận dạng hồ sơ đánh giá rủi ro cách nhanh chóng Kế hoạch đảm bảo an tồn nên gồm thông tin chi tiết sau (theo chuẩn hướng dẫn quản lý rủi ro năm 2002 NIST): - Các rủi ro (sự kế hợp tài sản/mối đe dọa/lỗ hổng) - Các kiểm soát khuyến nghị (từ đánh giá rủi ro) - Các hành động ưu tiên cho rủi ro - Các kiểm soát chọn (dựa phân tích lợi ích – chi phí) - Các tài ngun cần có cho thực thi kiểm sốt chọn - Nhân chịu trách nhiệm - Ngày bắt đầu kết thúc việc thực thi - Các yêu cầu bảo trì nhận xét khác 6.1.4.4 Nội dung thực thi quản lý an tồn thơng tin Như đề cập mục 6.1.4.1, việc thực thi quản lý an tồn thơng tin gồm khâu (1) thực thi (Implementation) (2) thực thi tiếp tục (Implementation follow-up) Khâu thực thi gồm phần việc thực thi kiểm soát, đào tạo nâng cao ý thức người dùng đào tạo chuyên sâu an tồn thơng tin Thực thi kiểm sốt phần việc cần thực kế hoạch đảm bảo an tồn tiến trình quản lý an tồn thơng tin Thực thi kiểm sốt có liên hệ mật thiết với việc đào tạo nâng cao ý thức an tồn thơng tin cho nhân viên nói chung đào tạo chun sâu an tồn thơng tin cho nhân viên an tồn thơng tin, cơng nghệ thơng tin tổ chức Khâu thực thi tiếp tục việc cần lặp lại chu trình quản lý an tồn thông tin để đáp ứng thay đổi môi trường công nghệ thông tin môi trường rủi ro Trong đó, kiểm sốt thực thi cần giám sát để đảm bảo tính hiệu quả, thay - 132 - Giáo trình Cơ sở an tồn thơng tin Chương Quản lý, sách & pháp luật ATTT đổi hệ thống cần xem xét vấn đề an ninh hồ sơ rủi ro hệ thống bị ảnh hưởng Giai đoạn thực thi tiếp tục bao gồm khía cạnh: bảo trì kiểm sốt an ninh, kiểm tra hợp chuẩn an ninh, quản lý thay đổi cấu hình xử lý cố Bảo trì kiểm soát an ninh gồm phần việc phải đảm bảo yêu cầu sau: - Các kiểm soát xem xét định kỳ để đảm bảo chúng hoạt động mong muốn; - Các kiểm soát cần nâng cấp yêu cầu phát hiện; - Các thay đổi với hệ thống khơng có ảnh hưởng tiêu cực đến kiểm soát; - Các mối đe dọa lỗ hổng không trở thành biết đến Kiểm tra hợp chuẩn an ninh q trình kiểm tốn việc quản lý an tồn thơng tin tổ chức nhằm đảm bảo tính phù hợp với kế hoạch đảm bảo an ninh Việc kiểm tốn thực nhân bên bên tổ chức Cần sử dụng danh sách kiểm tra (checklist) vấn đề: sách kế hoạch an ninh tạo ra, kiểm soát phù hợp lựa chọn kiểm soát sử dụng bảo trì phù hợp Quản lý thay đổi cấu hình tiến trình sử dụng để xem xét thay đổi đề xuất cho hệ thống trình sử dụng Các thay đổi với hệ thống có cần thiết nhiều lý do, hệ thống có trục trặc, xuất mối đe dọa lỗ hổng mới, xuất yêu cầu mới, nhiệm vụ mới,… Các thay đổi cần xem xét kỹ lưỡng vấn đề vận hành, tính vấn đề an tồn,… Quản lý cấu hình liên quan đến việc lưu vết cấu hình hệ thống chúng nâng cấp, thay đổi Việc bao gồm danh sách phiên phần cứng, phần mềm cài đặt hệ thống, thông tin quản lý cấu hình hữu ích để khơi phục hệ thống việc thay đổi nâng cấp thất bại Xử lý cố bao gồm thủ tục sử dụng để phản ứng lại cố an ninh Xử lý cố có liên quan đến vấn đề đào tạo nâng cao ý thức an tồn thơng tin cho người dùng đào tạo chun sâu cho chun viên an tồn thơng tin 6.2 CÁC CHUẨN QUẢN LÝ AN TỒN THƠNG TIN 6.2.1 Giới thiệu Trong chuẩn quản lý an tồn thơng tin, chuẩn NIST SP 800 Viện tiêu chuẩn công nghệ Hoa Kỳ chuẩn quốc tế ISO/IEC 27000 tham chiếu sử dụng rộng rãi Nhiều quốc gia, có Việt Nam dịch chấp thuận nguyên vẹn số chuẩn chuẩn quốc tế ISO/IEC 27000 làm chuẩn quản lý an toàn thông tin quốc gia Trong phạm vi môn học, mục giới thiệu khái quát chuẩn quản lý an tồn thơng tin ISO/IEC 27000 Chi tiết chuẩn ISO/IEC 27000 chuẩn quản lý an tồn thơng tin khác đề cập mơn học Quản lý an tồn thơng tin Chuẩn ISO/IEC 27000: 2009 giới thiệu khái quát chuẩn ISO/IEC 27000 định nghĩa thuật ngữ từ vựng sử dụng cho toàn chuẩn chuẩn ISO/IEC 27000 Chuẩn ISO/IEC 17799 soạn thảo năm 2000 tổ chức ISO (International Organization for Standardization) IEC (International Electrotechnical Commission) tiền thân chuẩn ISO 27000 Năm 2005, ISO 17799 chỉnh sửa trở thành ISO - 133 - Giáo trình Cơ sở an tồn thơng tin Chương Quản lý, sách & pháp luật ATTT 17799:2005 Năm 2007, ISO 17799:2005 đổi tên thành ISO 27002, song hành với ISO 27001 Chuẩn ISO/IEC 27001:2005 chuyên hệ thống quản lý an tồn thơng tin (Information Security Management System - ISMS) Chuẩn cung cấp thông tin để thực thi yêu cầu ISO/IEC 27002 vấn đề cài đặt hệ thống quản lý an tồn thơng tin Trong việc xây dựng hệ thống ISMS, chuẩn cung cấp chi tiết cho thực chu kỳ Plan-DoCheck-Act (Lập kế hoạch – Thực – Giám sát – Hành động) Một điểm cần lưu ý ISO/IEC 27001 tập trung vào phần việc phải thực mà không dẫn cách thức thực Chuẩn ISO/IEC 27002 gồm 127 điều, cung cấp nhìn tổng quan nhiều lĩnh vực an tồn thơng tin Nó đề khuyến nghị quản lý an tồn thơng tin cho người thực việc khởi tạo, thực trì an ninh an tồn tổ chức họ Chuẩn thiết kế để cung cấp tảng sở giúp đề chuẩn an tồn thơng tin cho tổ chức thực tế quản lý an tồn thơng tin cách hiệu Chuẩn ISO/IEC 27005: 2009 chuyên quản lý rủi ro cho hệ thống quản lý an tồn thơng tin Chuẩn hỗ trợ ISO/IEC 27001, khơng đề cập đến phương pháp kiểm soát rủi ro cụ thể 6.2.2 Chu trình Plan-Do-Check-Act Hình 6.3 Chu trình Plan-Do-Check-Act ISO/IEC 27001:2005 Chuẩn ISO/IEC 27001:2005 chuyên hệ thống quản lý an tồn thơng tin cung cấp chi tiết cho thực chu kỳ Plan-Do-Check-Act gồm pha: Plan - Lập kế hoạch, Do – Thực kế hoạch, Check – Giám sát việc thực Act – Thực cải tiến, hiệu chỉnh Phần trình bày nội dung chi tiết pha Pha Plan gồm nội dung: - Đề phạm vi ISMS; - Đề sách ISMS; - Đề hướng tiếp cận đánh giá rủi ro; - Nhận dạng rủi ro; - Đánh giá rủi ro; - Nhận dạng đánh giá lựa chọn phương pháp xử lý rủi ro; - Lựa chọn mục tiêu kiểm soát biện pháp kiểm soát; - Chuẩn bị tuyến bố, báo cáo áp dụng - 134 - Giáo trình Cơ sở an tồn thơng tin Chương Quản lý, sách & pháp luật ATTT Pha Do gồm nội dung: - Xây dựng kế hoạch xử lý rủi ro; - Thực thi kế hoạch xử lý rủi ro; - Thực thi kiểm soát; - Thực thi chương trình đào tạo chun mơn giáo dục ý thức; - Quản lý hoạt động; - Quản lý tài nguyên; - Thực thi thủ tục phát phản ứng lại cố an ninh Pha Check gồm nội dung: - Thực thi thủ tục giám sát; - Thực thi việc đánh giá thường xuyên tính hiệu ISMS; - Thực việc kiểm toán (audits) nội với ISMS; - Thực thi việc đánh giá thường xuyên với ISMS phận quản lý; - Ghi lại hành động kiện ảnh hưởng đến ISMS Pha Act gồm nội dung: - Thực cải tiến nhận dạng; - Thực hành động sửa chữa ngăn chặn; - Áp dụng học; - Thảo luận kết với bên quan tâm; - Đảm bảo cải tiến đạt mục tiêu 6.3 PHÁP LUẬT VÀ CHÍNH SÁCH AN TỒN THƠNG TIN 6.3.1 Giới thiệu pháp luật sách an tồn thơng tin Các sách pháp luật an tồn thơng tin có vai trị quan trọng việc đảm bảo an tồn cho thơng tin, hệ thống mạng Trong đó, vai trị nhân viên đảm bảo an tồn thơng tin quan trọng việc giảm thiểu rủi ro, đảm bảo an tồn cho thơng tin, hệ thống mạng giảm thiệt hại xảy cố Các nhân viên đảm bảo an tồn thơng tin phải hiểu rõ khía cạnh pháp lý đạo đức an tồn thơng tin Theo đó, họ phải ln nắm vững môi trường pháp lý (gồm luật quy định luật pháp lĩnh vực an tồn thơng tin cơng nghệ thơng tin) ln thực công việc nằm khuôn khổ cho phép luật pháp Ngoài ra, cần thực việc giáo dục ý thức luật pháp đạo đức an tồn thơng tin cho cán quản lý nhân viên tổ chức, đảm bảo sử dụng mục đích cơng nghệ đảm bảo an tồn thơng tin Chính sách (Policy - cịn gọi quy định, nội quy) quy định hành vi chấp nhận nhân viên tổ chức nơi làm việc Chính sách "luật" tổ chức có giá trị thực thi nội bộ, gồm tập quy định chế tài xử phạt bắt buộc phải thực Các sách, nội quy cần nghiên cứu, soạn thảo kỹ lưỡng Đồng thời, sách cần đầy đủ, đắn áp dụng công với nhân viên Điểm khác - 135 - Giáo trình Cơ sở an tồn thơng tin Chương Quản lý, sách & pháp luật ATTT biệt luật sách Luật ln bắt buộc, cịn với Chính sách, việc thiếu hiểu biết sách cách bào chữa chấp nhận Hình 6.4 Vấn đề tn thủ (Compliance) pháp luật, sách nội quy, quy định Cần có phân biệt rõ ràng luật (Law) đạo đức (Ethic) Luật gồm điều khoản bắt buộc cấm hành vi cụ thể Các điều luật thường xây dựng từ vấn đề đạo đức Trong đó, đạo đức định nghĩa hành vi xã hội chấp nhận Đạo đức thường dựa đặc điểm văn hóa Do đó, hành vi đạo đức dân tộc, nhóm người khác khác Một số hành vi vi phạm đạo đức luật hóa tồn giới, trộm, cướp, cưỡng dâm, bạo hành trẻ em, Khác biệt luật đạo đức thể chỗ luật thực thi quan quyền, cịn đạo đức khơng thực thi quan quyền Để sách áp dụng hiệu quả, chúng phải đạt yêu cầu sau: - Có khả phổ biến rộng rãi, tài liệu giấy điện tử; - Nhân viên xem, hiểu – cần thực nhiều ngôn ngữ, ví dụ tiếng Anh tiếng địa phương; - Chính sách cần rõ ràng dễ hiểu – tổ chức cần có điều tra/khảo sát mức độ hiểu biết/nắm bắt sách nhân viên; - Cần có biện pháp để nhân viên cam kết thực – thông qua ký văn cam kết tick vào xác nhận tn thủ; - Chính sách cần thực đồng đều, bình đẳng, qn, khơng có ưu tiên với nhân viên nào, kể người quản lý 6.3.2 Luật quốc tế an tồn thơng tin Mục đề cập đến số luật văn có liên quan đến an tồn thông tin Hoa Kỳ Châu Âu – nước khu vực phát triển có hệ thống luật pháp an tồn thơng tin tương đối hồn thiện - 136 - Giáo trình Cơ sở an tồn thơng tin Chương Quản lý, sách & pháp luật ATTT Có thể nói hệ thống luật pháp an tồn thơng tin Hoa Kỳ đầy đủ chia thành nhóm: luật tội phạm máy tính, luật riêng tư, luật xuất chống gián điệp, luật quyền luật tự thông tin Các luật tội phạm máy tính gồm: - Computer Fraud and Abuse Act of 1986 (CFA Act): quy định tội phạm lừa đảo lạm dụng máy tính; - Computer Security Act, 1987: đề nguyên tắc đảm bảo an tồn cho hệ thống máy tính; - National Information Infrastructure Protection Act of 1996: sửa đổi CFA Act, tăng khung hình phạt số tội phạm máy tính đến 20 năm tù; - USA PATRIOT Act, 2001: cho phép quan nhà nước số quyền theo dõi, giám sát hoạt động mạng nhằm phòng chống khủng bố hiệu hơn; - USA PATRIOT Improvement and Reauthorization Act: Mở rộng USA PATRIOT Act, 2001, cấp cho quan nhà nước nhiều quyền hạn cho nhiệm vụ phòng chống khủng bố Các luật riêng tư nhằm bảo vệ quyền riêng tư người dùng, bảo vệ thông tin cá nhân người dùng, gồm: - Federal Privacy Act, 1974: luật Liên bang Hoa Kỳ bảo vệ quyền riêng tư người dùng; - Electronic Communications Privacy Act , 1986: luật bảo vệ quyền riêng tư giao tiếp điện tử; - Health Insurance Portability and Accountability Act, 1996 (HIPAA): luật bảo vệ tính bí mật an tồn liệu y tế người bệnh Tổ chức, cá nhân vi phạm bị phạt đến 250.000 USD 10 năm tù; - Financial Services Modernization Act or Gramm-Leach-Bliley Act, 1999: luật điều chỉnh hoạt động liên quan đến nhà nước ngân hàng, bảo hiểm hãng an ninh Luật xuất chống gián điệp hạn chế việc xuất công nghệ hệ thống xử lý thông tin phòng chống gián điệp kinh tế, gồm: - Economic Espionage Act, 1996: phòng chống việc thực giao dịch có liên quan đến bí mật kinh tế cơng nghệ; - Security and Freedom through Encryption Act, 1999: quy định vấn đề có liên quan đến sử dụng mã hóa đảm bảo an tồn tự thông tin U.S Copyright Law Luật quyền Hoa Kỳ, điều chỉnh vấn đề có liên quan đến xuất bản, quyền tác giả tài liệu, phần mềm, bao gồm tài liệu số Freedom of Information Act, 1966 (FOIA) Luật tự thông tin nêu rõ cá nhân truy nhập thông tin không gây tổn hại đến an ninh quốc gia Các tổ chức luật quốc tế có liên quan đến an tồn thơng tin, gồm: - Hội đồng Châu Âu chống tội phạm mạng (Council of Europe Convention on Cybercrime); - 137 - Giáo trình Cơ sở an tồn thơng tin Chương Quản lý, sách & pháp luật ATTT - Hiệp ước chống tội phạm mạng Hội đồng châu Âu phê chuẩn vào năm 2001; - Hiệp ước bảo vệ quyền sở hữu trí tuệ (Agreement on Trade-Related Aspects of Intellectual Property Rights (TRIPS)): hiệp ước Tổ chức Thương mại giới WTO chủ trì đàm phán giai đoạn 1986–1994; - Digital Millennium Copyright Act (DMCA): Luật quyền số Thiên niên kỷ 6.3.3 Luật Việt Nam an tồn thơng tin Luật An tồn thơng tin mạng Quốc hội thông qua vào tháng 11 năm 2015 thức có hiệu lực từ ngày 01/7/2016 Luật an ninh mạng mạng Quốc hội thông qua vào tháng năm 2018 thức có hiệu lực từ ngày 01/01/2019 Đây sở pháp lý quan trọng cho việc quản lý hoạt động liên quan đến an tồn, an ninh thơng tin Việt Nam Ngồi Luật an tồn thơng tin mạng Luật an ninh mạng, có nhiều văn có liên quan đến cơng nghệ thơng tin an tồn thơng tin Quốc hội, Chính phủ quan nhà nước ban hành như: - Luật công nghệ thông tin số 67/2006/QH11 Quốc hội, ngày 12/07/2006 - Nghị định số 90/2008/NÐ-CP Chính phủ "Về chống thư rác", ngày 13/08/2008 - Quyết định số 59/2008/QÐ-BTTTT Bộ Thông tin Truyền thông "Ban hành Danh mục tiêu chuẩn bắt buộc áp dụng chữ ký số dịch vụ chứng thực chữ ký số", ngày 31/12/2008 - Quyết định 63/QÐ-TTg Thủ tướng Chính phủ "Phê duyệt Quy hoạch phát triển an tồn thơng tin số quốc gia đến năm 2020", ngày 13/01/2010 - Chỉ thị số 897/CT-TTg Thủ tướng Chính phủ "V/v tăng cường triển khai hoạt động đảm bảo an tồn thơng tin số", 10/06/2011 - Thông tư số 23/2011/TT-BTTTT Bộ TT&TT "Quy định việc quản lý, vận hành, sử dụng bảo đảm an tồn thơng tin Mạng truyền số liệu chuyên dùng quan Đảng, Nhà nước", ngày 11/08/2011 - Nghị định số 77/2012/NĐ-CP Chính phủ "Sửa đổi, bổ sung số điều Nghị định số 90/2008/NĐ-CP ngày 13 tháng năm 2008 Chính phủ chống thư rác", ngày 05/10/2012 - Nghị định 72/2013/NĐ-CP Chính phủ Quản lý, cung cấp, sử dụng dịch vụ internet thông tin mạng; quy định việc chia sẻ thông tin trang mạng xã hội - Luật An tồn thơng tin mạng số 86/2015/QH13 Quốc hội khố 13 thơng qua 19 tháng 11 năm 2015 có hiệu lực từ ngày 01 tháng năm 2016 - Luật An ninh mạng số 24/2018/QH14 Quốc hội khố 14 thơng qua ngày 12 tháng năm 2018 có hiệu lực từ ngày 01 tháng 01 năm 2019 6.4 VẤN ĐỀ ĐẠO ĐỨC AN TỒN THƠNG TIN 6.4.1 Sự cần thiết đạo đức an tồn thơng tin Vấn đề đạo đức nghề nghiệp (Professional ethic) hay quy tắc ứng xử (Code of conduct) đề cập ngành công nghệ thơng tin nói chung an tồn thơng tin nói riêng - 138 - Giáo trình Cơ sở an tồn thơng tin Chương Quản lý, sách & pháp luật ATTT công việc lĩnh vực an tồn thơng tin liên quan đến thơng tin nhạy cảm, thơng tin, hệ thống bí mật quốc gia, thơng tin bí mật quan, tổ chức, bí mật cơng nghệ, bí mật kinh doanh công ty Nếu thông tin nhạy cảm bị rò rỉ, bị đánh cắp lạm dụng, ảnh hưởng nghiêm trọng đến an ninh quốc gia, ảnh hưởng xấu đến quan, tổ chức người dùng Do vậy, người làm lĩnh vực an tồn thơng tin cần có hiểu biết sách, pháp luật có thái độ hành động đắn thực thi nhiệm vụ 6.4.2 Một số quy tắc ứng xử CNTT ATTT Nhiều tổ chức xã hội nghề nghiệp ban hành quy tắc ứng xử bắt buộc nơi làm việc, với luật sư, bác sỹ vận động viên thể thao Nếu vi phạm nghiêm trọng quy tắc ứng xử nơi làm việc bị cấm hành nghề có thời hạn, vĩnh viễn Trong lĩnh vực công nghệ thông tin an tồn thơng tin, khơng có quy tắc ứng xử bắt buộc Một số tổ chức xã hội nghề nghiệp ACM (Association for Computing Machinery) ISSA (Information Systems Security Association) hợp tác để đề quy tắc ứng xử an tồn thơng tin Tuy nhiên, quy tắc ứng xử an tồn thơng tin có tính khuyến nghị tổ chức khơng có thẩm quyền bắt buộc phải thực Hiệp hội an tồn thơng tin Việt Nam cơng bố Bộ Qui tắc ứng xử an tồn thơng tin vào đầu năm 2015, đưa số quy tắc khuyến nghị việc không làm cho thành viên nhân viên tổ chức hoạt động lĩnh vực an tồn thơng tin Viện đạo đức máy tính (Hoa Kỳ) đưa Bộ Quy tắc ứng xử 10 điểm (Ten Commandments of Computer Ethics) sau: Không sử dụng máy tính để gây hại cho người khác; Khơng can thiệp vào công việc người khác máy tính; Khơng trộm cắp file máy tính người khác; Khơng sử dụng máy tính để trộm cắp; Khơng sử dụng máy tính để tạo chứng giả; Không chép sử dụng phần mềm khơng có quyền; Khơng sử dụng tài nguyên máy tính người khác khơng phép khơng có bồi thường thỏa đáng; Khơng chiếm đoạn tài sản trí tuệ người khác; Nên suy nghĩ hậu xã hội chương trình xây dựng hệ thống thiết kế; 10 Nên sử dụng máy tính cách có trách nhiệm, đảm bảo quan tâm tơn trọng đến đồng bào 6.4.3 Một số vấn đề khác Liên quan đến vấn đề đạo đức an tồn thơng tin, có số vấn đề khác cần lưu ý gồm: (1) khác biệt vấn đề đạo đức văn hóa, (2) vấn đề vi phạm quyền phần mềm (3) vấn đề lạm dụng tài nguyên quan, tổ chức - 139 - Giáo trình Cơ sở an tồn thơng tin Chương Quản lý, sách & pháp luật ATTT Trên thực tế, có khác biệt lớn vấn đề đạo đức văn hóa Trong đó, nhận thức vấn đề đạo đức sử dụng tài nguyên quan, tổ chức khác biệt quốc gia có văn hóa khác Trong nhiều hợp, hành vi phép số cá nhân quốc gia lại vi phạm quy tắc đạo đức quốc gia khác Chẳng hạn, hành vi tiết lộ thông tin cá nhân đặc biệt mức thu nhập người khác coi bình thường Việt Nam, hành vi vi phạm quyền riêng tư nước phát triển Hoa Kỳ Châu Âu Vấn đề vi phạm quyền phần mềm nghiêm trọng, đặc biệt nước phát triển châu Á châu Phi Đa số người dùng có hiểu biết vấn đề quyền phần mềm, coi việc sử dụng phần mềm bất hợp pháp bình thường nhiều nước chưa có quy định, khơng xử lý nghiêm vi phạm Tỷ lệ vi phạm quyền phần mềm Việt Nam cao, đến khoảng 90% chế tài xử lý vi phạm chưa đầy đủ, chế tài xử lý chưa thực nghiêm minh chưa đủ sức răn đe Vấn đề lạm dụng tài nguyên công ty, tổ chức xảy tương đối phổ biến cần có quy định chế tài để kiểm soát Một số quan, tổ chức chưa có quy định cấm nhân viên sử dụng tài nguyên quan, tổ chức vào việc riêng Một số đơn vị khác có quy định chưa thực thi chặt chẽ chưa có chế tài xử phạt nghiêm minh Các hành vi lạm dụng thường gặp gồm: - In ấn tài liệu riêng; - Sử dụng email cá nhân cho việc riêng; - Tải tài liệu, file không phép; - Cài đặt chạy chương trình, phần mềm khơng phép; - Sử dụng máy tính công ty làm việc riêng; - Sử dụng phương tiện làm việc khác điện thoại công ty mức vào việc riêng 6.5 CÂU HỎI ÔN TẬP 1) Nêu khái niệm tài sản an tồn thơng tin, khái niệm quản lý an tồn thơng tin Nêu vai trị khâu cần thực quản lý an tồn thơng tin 2) Đánh giá rủi ro an tồn thơng tin gì? Mơ tả phương pháp tiếp cận đánh giá rủi ro an tồn thơng tin 3) Rủi ro an tồn thơng tin có liên quan đến những yếu tố nào? Giải thích 4) Mơ tả bước phân tích chi tiết rủi ro an tồn thơng tin 5) Mơ tả loại kiểm sốt thực thi quản lý an tồn thơng tin 6) Mơ tả nội dung thực thi quản lý an tồn thông tin 7) Mô tả vắn tắt chuẩn ISO/IEC 27000, ISO/IEC 27001, ISO/IEC 27002 ISO/IEC 27005 8) Mô tả chu trình Plan-Do-Check-Act chuẩn ISO/IEC 27001 9) Phân biệt pháp luật sách Nêu yêu cầu sách để áp dụng hiệu - 140 - Giáo trình Cơ sở an tồn thơng tin Chương Quản lý, sách & pháp luật ATTT 10) Mô tả vắn tắt văn luật có liên quan đến an tồn thơng tin Việt Nam 11) Tìm hiểu nêu nội dung Luật an tồn thơng tin mạng số 86/2015/QH13 12) Tìm hiểu nêu nội dung Luật an ninh mạng số 24/2018/QH14 13) Nêu cần thiết vấn đề đạo đức an toàn thông tin Nêu qui tắc ứng xử Viện đạo đức máy tính Hoa Kỳ - 141 - Bài giảng Cơ sở an tồn thơng tin Tài liệu tham khảo TÀI LIỆU THAM KHẢO [1] Michael E Whitman, Herbert J Mattord, Principles of information security, 4th edition, Course Technology, Cengage Learning, 2012 [2] David Kim, Michael G Solomon, Fundamentals of Information Systems Security, Jones & Bartlettlearning, 2012 [3] Forbes.com, Internet Of Things On Pace To Replace Mobile Phones As Most Connected Device In 2018, http://www.forbes.com/sites/louiscolumbus/2016/07/09/internet-ofthings-on-pace-to-replace-mobile-phones-as-most-connected-device-in-2018/, accessed Sep 2018 [4] US Government Accountability Office, Cyber Threats and Data Breaches Illustrate Need for Stronger Controls across Federal Agencies, Available online at http://www.gao.gov/assets/680/671253.pdf, accessed Sep 2018 [5] Tập đoàn Bkav, Tổng kết an ninh mạng 2017 dự báo xu hướng 2018, https://www.bkav.com.vn/trong-ngoi-nha-bkav/-/chi_tiet/511114/tong-ket-an-ninhmang-nam-2017-va-du-bao-xu-huong-2018, truy nhập tháng 8.2018 [6] US National Vulnerability Database, https://nvd.nist.gov, accessed Sep 2018 [7] Boni, W C., & Kovacich, G L (1999) I-way robbery: crime on the Internet, Boston MA: Butterworth [8] Butler, J G (1998) Contingency planning and disaster recovery: protecting your organisation's resources New York: Computer Tech Research [9] Denning D E (1999) Information warfare and security, New York Addison-Wesley [10] Erbschloe, M & Vacca, J R (2001) Information warfare New York: McGraw-Hill [11] Ghosh, A (1998) E-Commerce security – weak links, best defenses New york: Wiley Computer Publishing [12] Hutchinson, W & Warren, M (2001) Information warfare: corporate attack and defence in the digital age Oxford: Butterworth-Heinneman [13] Alfred J Menezes, Paul C van Oorschot and Scott A Vanstone, Handbook of Applied Cryptography, CRC Press, Fifth Printing, August 2001 [14] Bruce Schneier, Applied Cryptography, 2nd edition, John Wiley & Sons, 1996 [15] Schneier, B (2000) Secrets and lies: digital security in a networked world New York: John Wiley and Sons - 142 - ... như, với mã ? ?25 9,19,8; 22 ,3,8; 375,7,4; 394,17 ,2? ?? sách dùng chứa khóa “A Fire Up on the Deep”, ta giải mã sau: - Trang 25 9, dòng 19, từ thứ sack - Trang 22 , dòng 3, từ thứ island - Trang 375, dòng... ro tài sản an tồn thơng tin - 125 - Giáo trình Cơ sở an tồn thơng tin Chương Quản lý, sách & pháp luật ATTT Hình 6.1 Mơ hình hệ thống quản lý an tồn thông tin theo chuẩn ISO 27 001 6.1 .2 Đánh giá... từ 32 bit state, Wt: khối 32 bit thông điệp đầu vào, Kt 32 bit khác cho vòng,