1. Trang chủ
  2. » Giáo Dục - Đào Tạo

tổng quan về an toàn thông tin (overview of information security)

34 22 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Tổng Quan Về An Toàn Thông Tin (Overview Of Information Security)
Định dạng
Số trang 34
Dung lượng 276,97 KB

Cấu trúc

  • 1. Khái niệm cơ bản (2)
  • 2. Mục tiêu của an toàn thông tin (2)
  • 3. An toàn thông tin đối với một tổ chức (3)
  • 4. Giải pháp để ATTT (4)
  • Chương 2: CÁC MỐI ĐE DỌA ĐẾN AN TOÀN THÔNG TIN (THREATS TO INFORMATION SECURITY) (2)
    • 3. Các cách tấn công và cách phòng chống (6)
      • 3.1 Mã độc (Malware) (6)
      • 3.2 Tấn công Password (7)
      • 3.3 Tấn công bằng Backdoor (9)
      • 3.4 Tấn công từ chối dịch vụ (9)
      • 3.5 Mail Bombs (10)
      • 3.6 Tấn công Man-in-the-middle (10)
      • 3.7 Tấn công Sniffing (12)
      • 3.8 Tấn công Social Engineering (12)
  • Chương 3:.............................................................................................................................................................15 (17)
    • 3. Luật Giao dịch Điện tử (24)
    • 4. Luật sở hữu trí tuệ Việt Nam (30)
    • 5. Luật An ninh mạng (32)
      • 5.1. Luật an toàn thông tin mạng 2018 (32)

Nội dung

Khái niệm cơ bản

Dữ liệu và Thông tin

Dữ liệu (Data) là gì?

Dữ liệu được định nghĩa là tập hợp các sự kiện, thông tin và con số, bao gồm họ tên, ngày sinh, trọng lượng, giá cả, chi phí, số lượng, tên sản phẩm và mã số thuế.

 Dữ liệu là không có ý nghĩa cho đến khi nó được đưa vào một mối liên quan nào đó

 Dữ liệu có thể được thu thập, xử lý, lưu trữ trong máy tính

 Dữ liệu mà chưa xử lý được gọi là dữ liệu thô (Raw data),

Dữ liệu có thể được trình bày dưới nhiều hình thức khác nhau, bao gồm các con số, từ ngữ, hình ảnh, âm thanh, video và dữ liệu động Ví dụ về dữ liệu bao gồm bảng số liệu thống kê, bài viết văn bản, hình ảnh minh họa, đoạn âm thanh ghi âm, video hướng dẫn và các biểu đồ tương tác Những dạng dữ liệu này giúp người dùng dễ dàng tiếp cận và hiểu thông tin một cách hiệu quả hơn.

Thông tin (Information) là gì?

 Là dữ liệu đã được xử lý, tổ chức, cấu trúc hoặc trình bày trong một ngữ cảnh nhất định để làm cho chúng hữu ích

 Là dữ liệu đã được xử lý theo cách có ý ghĩa đối với người được nhận nó.

Cho ví dụ vài thông tin

Hệ thống thông tin là tập hợp các quy trình và công cụ được phát triển nhằm bảo vệ thông tin nhạy cảm của doanh nghiệp khỏi sự truy cập, chỉnh sửa và phá hủy trái phép.

An toàn thông tin mạng (information security), an toàn máy tính (computer security), đảm bảo thông tin (information assurance) được sử dụng hoán đổi cho nhau

Tại sao cần an toàn thông tin?

Thông tin là tài sản quý giá của doanh nghiệp, tương tự như các tài sản quan trọng khác, và cần được bảo vệ một cách thích hợp để đảm bảo giá trị cho tổ chức, theo tiêu chuẩn BS ISO 27002:2005.

Nếu thông tin của tổ chức bị rơi vào tay những cá nhân không có thẩm quyền hoặc không hợp pháp, điều này có thể dẫn đến những hậu quả nghiêm trọng.

Bảo vệ thông tin là yêu cầu thiết yếu trong mọi hoạt động, đặc biệt là trong lĩnh vực điện tử An toàn thông tin trong thời đại số hiện nay ngày càng trở nên quan trọng hơn bao giờ hết.

Mục tiêu của an toàn thông tin

Ba khái niệm ATTT cần đảm bảo:

 Tính toàn vẹn (Integrity) và

 Tính sẳn dùng (Availability) hình thành một Tam giác bảo mật CIA (CIA triad).

 Là nguyên tắc đảm bảo kiểm soát truy cập thông tin.

 Thông tin chỉ được phép truy cập bởi những đối tượng (người, chương trình máy tính…) được cấp phép.

Trong hệ thống ngân hàng, khách hàng có quyền truy cập thông tin số dư tài khoản cá nhân, nhưng không được phép xem thông tin tài khoản của khách hàng khác.

 Là sự đảm bảo dữ liệu là đáng tin cậy và chính xác.

Thông tin chỉ được phép xóa hoặc sửa bởi những người có thẩm quyền, và cần đảm bảo rằng thông tin vẫn chính xác khi được lưu trữ hoặc truyền đi.

 Ví dụ: Trong hệ thống ngân hàng, không cho phép khách hàng tự thay đối thông tin số dư của tài khoản của mình.

Đảm bảo tính liên tục và khả năng đáp ứng kịp thời của hệ thống là rất quan trọng khi người dùng yêu cầu truy cập dữ liệu hoặc thực hiện thao tác.

 Đảm bảo thông tin/dịch vụ luôn sẵn sàng khi những người dùng hoặc ứng dụng được ủy quyền yêu cầu

Trong hệ thống quản lý thông tin ngân hàng, việc đảm bảo quyền truy cập và giao dịch thông tin tài khoản của chủ tài khoản mọi lúc là rất quan trọng.

 Một server chỉ bị ngưng hoạt động hay ngừng cung cấp dịch vụ trong vòng 5 phút trên một năm thì độ sẵn sàng của nó là 99,999%.

Mối tương quan giữa Confidentiality - Integrity –Availability

Bộ ba C, I, A là những tiêu chí quan trọng trong việc phân tích và dự trù kinh phí cũng như thời gian xây dựng hệ thống đảm bảo an toàn thông tin, với mối tương quan chặt chẽ giữa chúng.

X$ là ngân sách dành cho việc xây dựng và phát triển hệ thống cà C, trong khi I và A là các thuộc tính của tam giác Theo quy luật toán học, khi X$ không thay đổi, việc tăng chỉ số C sẽ dẫn đến sự giảm sút của I và A, và điều này cũng đúng theo chiều ngược lại.

Bên cạnh bộ ba CIA, trong lĩnh vực an toàn còn khái niệm quan trọng cần có:

Tính xác thực là quá trình xác minh nguồn gốc thông tin trong hệ thống, nhằm đảm bảo rằng thông tin được cung cấp đến từ một nguồn đáng tin cậy và thuộc sở hữu của đối tượng cụ thể.

Tính chống thoái thác (Non-repudiation) là khả năng ngăn chặn việc một bên từ chối hành vi mà họ đã thực hiện Điều này đảm bảo rằng các bên giao dịch không thể phủ nhận việc họ đã thực hiện giao dịch với những bên khác, tạo ra sự minh bạch và tin cậy trong các giao dịch.

Trong hệ thống ngân hàng, có thể cung cấp chứng cứ xác thực về hành vi của khách hàng, từ đó xác định tính hợp pháp của các giao dịch như thanh toán và chuyển khoản.

An toàn thông tin đối với một tổ chức

ATTT thực hiện 4 chức năng quan trọng cho một tổ chức

 Bảo vệ được các chức năng nhiệm vụ của một tổ chức

- Hoạt động của tổ chức không gián đoạn

- Không mất chi phí để phục hồi hoạt động của tổ chức

 Có được các hoạt động an toàn trên các ứng dụng của tổ chức

- Hoạt động của tổ chức hiện đại cần có và vận hành các ứng dụng tích hợp

 Bảo vệ được dữ liệu mà tổ chức đã thu thập và sử dụng

- Không có dữ liệu, tổ chưc sẽ mất các hồ sơ giao dịch hoặc khả năng cung cấp dịch vụ cho khách hàng

 Bảo vệ được tài sản công nghệ của tổ chưc

Để đạt hiệu quả trong hoạt động, các tổ chức cần áp dụng các dịch vụ cơ sở hạ tầng an toàn phù hợp với quy mô và phạm vi của mình Khi tổ chức phát triển, việc mở rộng các dịch vụ bảo mật bổ sung là điều cần thiết để đảm bảo an toàn thông tin.

An toàn thông tin của của một tổ chức bị mất thì điều gì xảy ra?

CÁC MỐI ĐE DỌA ĐẾN AN TOÀN THÔNG TIN (THREATS TO INFORMATION SECURITY)

Các cách tấn công và cách phòng chống

3.1 Mã độc (Malware) Đó là bất cứ phần mềm độc hại được thiết kế để làm nguy hại đến một máy tính mà không có sự đồng thuận của người dùng

Các loại mã độc: Viruses, Worms, Trojan, Spyware, Rainsomware, Adware, Rootkits, Spam.

Trojan là một loại phần mềm độc hại có khả năng phá hoại máy tính bằng cách thực hiện các hành vi như xóa file, làm hỏng các chương trình thông thường và ngăn chặn người dùng kết nối internet.

 Worm: Giống trojan về hành vi phá hoại, tuy nhiên nó có thể tự nhân bản để thực hiện lây nhiễm qua nhiều máy tính.

Spyware là phần mềm được cài đặt trên máy tính của người dùng để thu thập thông tin cá nhân một cách bí mật, mà không có sự đồng ý của người dùng.

Adware là phần mềm quảng cáo tự động tải và hiển thị hình ảnh cùng thông tin quảng cáo, nhằm ép buộc người dùng tương tác với chúng Mặc dù adware không gây hại cho thiết bị, nhưng nó có thể làm giảm hiệu suất và gây khó chịu cho người sử dụng.

Ransomware là loại phần mềm độc hại có khả năng xâm nhập vào máy tính, kiểm soát hệ thống và yêu cầu nạn nhân trả tiền để khôi phục quyền điều khiển.

Virus là phần mềm có khả năng lây nhiễm trong một hệ thống máy tính hoặc giữa các máy tính khác nhau thông qua nhiều hình thức Quá trình lây lan thường diễn ra qua việc chia sẻ file Bên cạnh đó, virus còn có thể gây ra các hành vi phá hoại và đánh cắp thông tin.

Rootkit là một kỹ thuật cho phép phần mềm ẩn danh tính của chính nó trong hệ thống, từ đó làm cho các phần mềm antivirus khó phát hiện Kỹ thuật này có thể hỗ trợ các module khác trong việc tấn công và khai thác hệ thống.

Bảo vệ chống lại mã độc

 Đảm bảo rằng bạn đã cập nhật hệ điều hành và các phần mềm chóng mã độc

 Không sử dụng phần mềm không có bản quyền hoặc tải các tập tin từ những nguồn không đáng tin cậy.

 Thực hiện quết (scans) ổ đĩa cứng thường xuyên

 Sử dụng phần mềm có bản quyền

Có 3 dạng tấn công Password phổ biến:

- Brute Force Attack (tấn công dò mật khẩu)

- Dictionary Attack (tấn công từ điển)

- Key Logger Attack (tấn công Key Logger)

 Brute Force Attack (tấn công dò mật khẩu)

Kẻ tấn công sử dụng một công cụ mạnh mẽ để thử nghiệm hàng loạt tên đăng nhập và mật khẩu, từ những lựa chọn đơn giản đến phức tạp, cho đến khi tìm ra thông tin đăng nhập chính xác.

VD: đặt mật khẩu đơn giản như 123456, password123, daylamatkhau,… rất dễ bị tấn công brute force.

 Dictionary Attack (tấn công từ điển)

- Là một biến thể của Brute Force Attack

- Tuy nhiên kẻ tấn công nhắm vào các từ có nghĩa thay vì thử tất cả mọi khả năng.

- Nhiều người dùng có xu hướng đặt mật khẩu là những từ đơn giản và có ngữ nghĩa.

- VD: motconvit, iloveyou,… Đây là lý do khiến Dictionary Attack có tỉ lệ thành công cao hơn.

 Key Logger Attack (tấn công Key Logger)

- Kẻ tấn công lưu lại lịch sử các phím mà nạn nhân gõ, bao gồm cả ID, password hay nhiều nội dung khác

Kẻ tấn công sử dụng phần mềm độc hại, được gọi là Key Logger, để ghi lại tất cả các ký tự mà nạn nhân nhập trên máy tính hoặc điện thoại Phần mềm này được cài đặt trên thiết bị của nạn nhân và gửi thông tin về cho kẻ tấn công.

- Nguy hiểm hơn 2 cách tấn công trên, do việc đặt mật khẩu phức tạp không giúp ích gì trong trường hợp này.

 3 tấn công trên chỉ là các dạng tấn công mật khẩu trực tiếp.

 Ngoài ra, kẻ tấn công có thể tấn công gián tiếp thông qua việc:

- Lừa đảo người dùng tự cung cấp mật khẩu (Tấn công giả mạo Phishing);

- Tấn công vào cơ sở dữ liệu – kho lưu trữ mật khẩu người dùng của các dịch vụ…

 Đặt mật khẩu phức tạp

- Tuy đơn giản nhưng biện pháp này giúp người dùng phòng tránh được hầu hết các cuộc tấn công dò mật khẩu thông thường.

- Một mật khẩu mạnh thường bao gồm: chữ IN HOA, chữ thường, số, ký tự đặc biệt (ví dụ @$*%&#)

Hầu hết các dịch vụ hiện nay đều cung cấp tính năng xác thực 2 bước, giúp người dùng bảo vệ tài khoản khi đăng nhập trên thiết bị mới Tính năng này đảm bảo rằng ngay cả khi hacker có được mật khẩu, họ cũng không thể truy cập vào tài khoản.

- Hiện tại Facebook, Gmail, các ngân hàng, ví điện tử… đều có tính năng này

 Quản lý mật khẩu tập trung:

- Việc lưu tất cả mật khẩu trên một thiết bị là con dao hai lưỡi Người dùng cân nhắc khi thực hiện.

 Thay đổi mật khẩu định kì:

- Gây khó khăn cho quá trình hack mật khẩu của tin tặc.

 Thận trọng khi duyệt web:

Tin tặc có thể đánh cắp mật khẩu của bạn thông qua việc tạo ra các đường link giả mạo, thường có hình thức tương tự như trang web chính Do đó, bạn cần phải luôn cẩn trọng với các đường link trước khi cung cấp thông tin cá nhân.

 Cẩn trọng khi mở email, tải file:

- Tuyệt đối không mở file lạ, và luôn kiểm tra địa chỉ email người gửi xem có chính xác không.

VD: tên người gửi là Ngọc Luân JSC nhưng địa chỉ email là ngoclunajsc thì chắc chắn có dấu hiệu lừa đảo.

Bị hack mật khẩu phải làm sao?

 Ngay lập tức khóa dịch vụ đang sử dụng:

- Liên hệ trực tiếp với các nhà cung cấp dịch vụ (ngân hàng, facebook, gmail…) để yêu cầu tạm ngưng dịch vụ cho tài khoản của bạn.

 Ngắt kết nối với các dịch vụ khác (nếu có):

- Nếu bạn bị mất tài khoản Gmail, cần ngắt kết nối với tài khoản facebook, tài khoản ngân hàng bằng cách thông báo cho nhân viên hỗ trợ.

 Xác nhận danh tính để lấy lại mật khẩu:

Để khôi phục mật khẩu, bạn chỉ cần chọn “Quên mật khẩu” và nhập thông tin cần thiết Mỗi dịch vụ có yêu cầu xác minh thông tin khác nhau, thường là thông tin mà bạn đã sử dụng để đăng ký tài khoản.

 Backdoor trong phần mềm hay hệ thống máy tính thường là một cổng không được thông báo rộng rãi.

 Cho phép người quản trị xâm nhập hệ thống để tìm nguyên nhân gây lỗi hoặc bảo dưỡng (do nhà phát triển tạo ra).

 Hacker và gián điệp dùng backdoor để truy cập bất hợp pháp vào hệ thống (cài đặt thông qua một số mã độc)

Cách phát hiện tấn công Backdoor

 Rất khó phát hiện, tùy thuộc vào hệ hiều hành

 Dụng phần mềm antimalware quét và kiểm tra backdoor

Trong một số trường hợp, việc phát hiện backdoor trong gói mạng yêu cầu sử dụng các công cụ chuyên dụng hoặc công cụ giám sát giao thức.

 Tuân thủ đúng các phương pháp bảo mật

Chỉ nên cài đặt phần mềm từ các nguồn tin cậy và luôn bật tường lửa trên thiết bị của bạn Tường lửa giúp ngăn chặn các cuộc tấn công backdoor và kiểm soát lưu lượng truy cập qua các cổng mở, bảo vệ an toàn cho hệ thống.

 Theo dõi lưu lượng mạng để phát hiện và kiểm tra xem có sự hiện diện của backdoor hay không

3.4 Tấn công từ chối dịch vụ

Tấn công từ chối dịch vụ (DoS) là một phương thức tấn công phổ biến hiện nay, gây ra tình trạng quá tải cho máy tính mục tiêu, khiến nó không thể xử lý kịp thời các tác vụ cần thiết.

Luật Giao dịch Điện tử

 Quốc hội thông qua 29/11/2005 , có hiệu lực 01/03/2006

Luật này quy định về giao dịch điện tử trong các hoạt động của cơ quan nhà nước, cũng như trong lĩnh vực dân sự, kinh doanh, thương mại và các lĩnh vực khác theo quy định của pháp luật.

 Luật này áp dụng đối với cơ quan, tổ chức, cá nhân lựa chọn giao dịch bằng phương tiện điện tử.

 Luật này bao gồm nhiều các quy định về:

- Thông điệp dữ liệu, chữ ký điện tử và chứng thực chữ ký điện tử

- Giao kết và thực hiện hợp đồng điện tử

- An ninh, an toàn, bảo vệ, bảo mật trong giao dịch điện tử

- Giải quyết tranh chấp và xử lý vi phạm trong giao dịch điện tử

 http://www.moj.gov.vn/vbpq/lists/vn%20bn%20php%20lut/view_detail.aspx?itemid085

Giải thích từ ngữ (Điều 4)

1 Chứng thư điện tử là thông điệp dữ liệu do tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử phát hành nhằm xác nhận cơ quan, tổ chức, cá nhân được chứng thực là người ký chữ ký điện tử.

2 Chứng thực chữ ký điện tử là việc xác nhận cơ quan, tổ chức, cá nhân được chứng thực là người ký chữ ký điện tử.

3 Chương trình ký điện tử là chương trình máy tính được thiết lập để hoạt động độc lập hoặc thông qua thiết bị, hệ thống thông tin, chương trình máy tính khác nhằm tạo ra một chữ ký điện tử đặc trưng cho người ký thông điệp dữ liệu.

4 Cơ sở dữ liệu là tập hợp các dữ liệu được sắp xếp, tổ chức để truy cập, khai thác, quản lý và cập nhật thông qua phương tiện điện tử.

5.Dữ liệu là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự.

6 Giao dịch điện tử là giao dịch được thực hiện bằng phương tiện điện tử.

12 Thông điệp dữ liệu là thông tin được tạo ra, được gửi đi, được nhận và được lưu trữ bằng phương tiện điện tử.

13 Tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử là tổ chức thực hiện hoạt động chứng thực chữ ký điện tử theo quy định của pháp luật.

Nguyên tắc chung tiến hành giao dịch điện tử (Điều 5)

1 Tự nguyện lựa chọn sử dụng phương tiện điện tử để thực hiện giao dịch.

2 Tự thỏa thuận về việc lựa chọn loại công nghệ để thực hiện giao dịch điện tử.

5 Bảo vệ quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân, lợi ích của Nhà nước, lợi ích công cộng.

6 Giao dịch điện tử của cơ quan nhà nước phải tuân thủ các nguyên tắc quy định tại Điều 40 của Luật này. Điều 9 Các hành vi bị nghiêm cấm trong giao dịch điện tử

1 Cản trở việc lựa chọn sử dụng giao dịch điện tử.

2 Cản trở hoặc ngăn chặn trái phép quá trình truyền, gửi, nhận thông điệp dữ liệu.

3 Thay đổi, xoá, huỷ, giả mạo, sao chép, tiết lộ, hiển thị, di chuyển trái phép một phần hoặc toàn bộ thông điệp dữ liệu.

4 Tạo ra hoặc phát tán chương trình phần mềm làm rối loạn, thay đổi, phá hoại hệ thống điều hành hoặc có hành vi khác nhằm phá hoại hạ tầng công nghệ về giao dịch điện tử.

5 Tạo ra thông điệp dữ liệu nhằm thực hiện hành vi trái pháp luật.

6 Gian lận, mạo nhận, chiếm đoạt hoặc sử dụng trái phép chữ ký điện tử của người khác. Điều 22 Điều kiện để bảo đảm an toàn cho chữ ký điện tử

1 Chữ ký điện tử được xem là bảo đảm an toàn nếu được kiểm chứng bằng một quy trình kiểm tra an toàn do các bên giao dịch thỏa thuận và đáp ứng được các điều kiện sau đây: a) Dữ liệu tạo chữ ký điện tử chỉ gắn duy nhất với người ký trong bối cảnh dữ liệu đó được sử dụng; b) Dữ liệu tạo chữ ký điện tử chỉ thuộc sự kiểm soát của người ký tại thời điểm ký; c) Mọi thay đổi đối với chữ ký điện tử sau thời điểm ký đều có thể bị phát hiện; d) Mọi thay đổi đối với nội dung của thông điệp dữ liệu sau thời điểm ký đều có thể bị phát hiện. Điều 45 Bảo vệ thông điệp dữ liệu

Cơ quan, tổ chức và cá nhân không được phép thực hiện hành vi nào làm tổn hại đến tính toàn vẹn của thông điệp dữ liệu của các cơ quan, tổ chức hoặc cá nhân khác.

Một số nghị định đính kèm Luật giao dịch điện tử

 Số: 26/2007/NĐ-CP, thông qua ngày 15/2/2007

Nghị định quy định chi tiết thi hành Luật Giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số

 Số: 35/2007/NĐ-CP, thông qua ngày 08/03/2007

Nghị định quy định chi tiết thi hành Luật Giao dịch điện tử về giao dịch điện tử trong hoạt động ngân hàng

 Số: 52/2013/NĐ-CP, thông qua ngày 16/05/2013

Nghị định quy định chi tiết thi hành Luật Giao dịch điện tử về thương mại điện tử

3.1 Nghị Định về chữ ký số và chứng thư số

 Số: 26/2007/NĐ-CP, Thông qua ngày 16/5/2013

Nghị định này quy định chi tiết về chữ ký số và chứng thư số, đồng thời quy định việc quản lý, cung cấp và sử dụng dịch vụ chứng thực chữ ký số.

 http://vanban.chinhphu.vn/portal/page/portal/chinh phu/hethongvanban?class_id=1&_page=1&mode=d etail&document_id 537 Điều 3 Giải thích từ ngữ

1 "Chứng thư số" là một dạng chứng thư điện tử do tổ chức cung cấp dịch vụ chứng thực chữ ký số cấp.

2 "Chứng thư số nước ngoài" là chứng thư số do tổ chức cung cấp dịch vụ chứng thực chữ ký số nước ngoài cấp.

3 “Chứng thư số có hiệu lực” là chứng thư số chưa hết hạn, không bị tạm dừng hoặc bị thu hồi.

Chữ ký số là một loại chữ ký điện tử được tạo ra thông qua việc mã hóa một thông điệp dữ liệu bằng hệ thống mật mã không đối xứng Quá trình này yêu cầu người nhận có được thông điệp dữ liệu gốc cùng với khóa công khai của người ký.

5 “Chữ ký số nước ngoài” là chữ ký số do thuê bao sử dụng chứng thư số nước ngoài tạo ra.

Dịch vụ chứng thực chữ ký số là dịch vụ chứng thực chữ ký điện tử do tổ chức cung cấp dịch vụ chứng thực chữ ký số thực hiện Dịch vụ này bao gồm việc tạo cặp khóa công khai và khóa bí mật cho thuê bao, cấp, gia hạn, tạm dừng, phục hồi và thu hồi chứng thư số, duy trì cơ sở dữ liệu trực tuyến về chứng thư số, cùng với các dịch vụ liên quan khác theo quy định.

8 “Khoá” là một chuỗi các số nhị phân (0 và 1) dùng trong các hệ thống mật mã.

9 “Khóa bí mật” là một khóa trong cặp khóa thuộc hệ thống mật mã không đối xứng, được dùng để tạo chữ ký số.

Khóa công khai là một phần trong cặp khóa của hệ thống mật mã không đối xứng, có chức năng kiểm tra chữ ký số được tạo ra bởi khóa bí mật tương ứng trong cặp khóa.

Bài tập: Tìm hiểu một số điều khoản luật

Bài 1: Tìm hiểu điều 9 Điều 9 Điều kiện đảm bảo an toàn cho chữ ký số

Chữ ký số được xem là chữ ký điện tử an toàn khi đáp ứng các điều kiện sau:

2 Chữ ký số được tạo ra bằng việc sử dụng khoá bí mật tương ứng với khoá công khai ghi trên chứng thư số do tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng, tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng được cấp giấy chứng nhận đủ điều kiện đảm bảo an toàn cho chữ ký số hoặc tổ chức cung cấp dịch vụ chứng thực chữ ký số nước ngoài được công nhận tại Việt Nam cấp.

3 Khóa bí mật chỉ thuộc sự kiểm soát của người ký tại thời điểm ký.

4 Khóa bí mật và nội dung thông điệp dữ liệu chỉ gắn duy nhất với người ký khi người đó ký số thông điệp dữ liệu

Bài 2: Tìm hiểu điều 10 Điều 10 Nội dung của chứng thư số bao gồm các nội dung sau:

1 Tên của tổ chức cung cấp dịch vụ chứng thực chữ ký số.

3 Số hiệu của chứng thư số.

4 Thời hạn có hiệu lực của chứng thư số.

5 Khoá công khai của thuê bao.

6 Chữ ký số của tổ chức cung cấp dịch vụ chứng thực chữ ký số.

7 Các hạn chế về mục đích, phạm vi sử dụng của chứng thư số.

8 Các hạn chế về trách nhiệm pháp lý của tổ chức cung cấp dịch vụ chứng thực chữ ký số.

9 Các nội dung cần thiết khác theo quy định của Bộ Bưu chính, Viễn thông a NĐ về giao dịch điện tử trong ngân hàng

 Số: 35/2007/NĐ-CP, thông qua ngày 08/03/2007

Nghị định quy định chi tiết thi hành Luật Giao dịch điện tử về giao dịch điện tử trong hoạt động ngân hàng

 http://vanban.chinhphu.vn/portal/page/portal/chinhphu/hethongvanban? class_id=1&modeail&docume nt_id!000

Luật sở hữu trí tuệ Việt Nam

 Luật sở hữu trí tuệ Việt Nam

 Được Quốc hội Việt Nam thông qua ngày 29/11/2005 và có hiệu lực vào ngày 1/7/ 2006

Luật này quy định về quyền tác giả, quyền liên quan đến quyền tác giả, quyền sở hữu công nghiệp, quyền đối với giống cây trồng, cùng với việc bảo hộ các quyền này.

Luật này áp dụng cho tổ chức và cá nhân Việt Nam, cũng như tổ chức và cá nhân nước ngoài, miễn là họ đáp ứng các điều kiện được quy định trong luật và các điều ước quốc tế mà Cộng hòa xã hội chủ nghĩa Việt Nam là thành viên.

 http://moj.gov.vn/vbpq/lists/vn%20bn%20php%20lut/view_detail.aspx?itemid766 Đối tượng quyền sở hữu trí tuệ (Điều 3)

1 Đối tượng quyền tác giả bao gồm tác phẩm văn học, nghệ thuật, khoa học; đối tượng quyền liên quan đến quyền tác giả bao gồm cuộc biểu diễn, bản ghi âm, ghi hình, chương trình phát sóng, tín hiệu vệ tinh mang chương trình được mã hoá.

2 Đối tượng quyền sở hữu công nghiệp bao gồm sáng chế, kiểu dáng công nghiệp, thiết kế bố trí mạch tích hợp bán dẫn, bí mật kinh doanh, nhãn hiệu, tên thương mại và chỉ dẫn địa lý.

3 Đối tượng quyền đối với giống cây trồng là giống cây trồng và vật liệu nhân giống.

Các loại hình tác phẩm được bảo hộ quyền tác giả (Điều 14)

1 Tác phẩm văn học, nghệ thuật và khoa học được bảo hộ bao gồm: a) Tác phẩm văn học, khoa học, sách giáo khoa, giáo trình và tác phẩm khác được thể hiện dưới dạng chữ viết hoặc ký tự khác; b) Bài giảng, bài phát biểu và bài nói khác; c) Tác phẩm báo chí; d) Tác phẩm âm nhạc; đ) Tác phẩm sân khấu; e) Tác phẩm điện ảnh và tác phẩm được tạo ra theo phương pháp tương tự (sau đây gọi chung là tác phẩm điện ảnh); g) Tác phẩm tạo hình, mỹ thuật ứng dụng; h) Tác phẩm nhiếp ảnh; i) Tác phẩm kiến trúc; k) Bản họa đồ, sơ đồ, bản đồ, bản vẽ liên quan đến địa hình, công trình khoa học; l) Tác phẩm văn học, nghệ thuật dân gian;

Tìm hiểu một số điều khoản luật

Ví dụ 1: Tìm hiểu điều 22, khoản 1 Điều 22: Quyền tác giả đối với chương trình máy tính, sưu tập dữ liệu

1 Chương trình máy tính là tập hợp các chỉ dẫn được thể hiện dưới dạng các lệnh, các mã, lược đồ hoặc bất kỳ dạng nào khác, khi gắn vào một phương tiện mà máy tính đọc được, có khả năng làm cho máy tính thực hiện được một công việc hoặc đạt được một kết quả cụ thể.

Chương trình máy tính được bảo hộ như tác phẩm văn học, dù được thể hiện dưới dạng mã nguồn hay mã máy

Bài tập 1: Tìm hiểu điều 22, khoản 2 Điều 22: Quyền tác giả đối với chương trình máy tính, sưu tập dữ liệu

1 Sưu tập dữ liệu là tập hợp có tính sáng tạo thể hiện ở sự tuyển chọn, sắp xếp các tư liệu dưới dạng điện tử hoặc dạng khác.

Bảo hộ quyền tác giả cho sưu tập dữ liệu không bao gồm việc bảo vệ chính các tư liệu trong sưu tập, và điều này không ảnh hưởng đến quyền tác giả của các tư liệu đó.

Bài tập 2: Tìm hiểu điều 28, khoản 2 Điều 28 Hành vi xâm phạm quyền tác giả

3 Công bố, phân phối tác phẩm mà không được phép của tác giả

Tình hình vi phạm SHTT ở VN

 Hiện nay, tình trạng vi phạm SHTT ở nước ta vẫn đang ở mức báo động.

Với sự tiến bộ của công nghệ thông tin, việc sao chép và quảng bá nội dung dưới các hình thức như văn bản, hình ảnh và âm thanh trở nên dễ dàng hơn bao giờ hết Tuy nhiên, điều này cũng dẫn đến nhiều vi phạm nghiêm trọng trong lĩnh vực phần mềm và bản quyền trong nghệ thuật và văn học.

 Tỷ lệ vi phạm bản quyền PM máy tính

- VN năm 2015 là 78%, trong khi tỷ lệ này của toàn thế giới chỉ là 39% VN năm 2017, giảm 4% so với 2015.

 “Chơi với lửa” khi sử dụng phần mềm không bản quyền.

Các cuộc tấn công mạng thường gắn liền với việc sử dụng phần mềm không bản quyền Phần mềm crack không chỉ vi phạm bản quyền mà còn tiềm ẩn nhiều rủi ro, bao gồm mã độc có thể phá hỏng hệ thống máy tính và đe dọa an toàn dữ liệu lưu trữ trên ổ cứng.

Để giảm thiểu nguy cơ an ninh mạng từ phần mềm không bản quyền, DN nên đảm bảo mua phần mềm từ các nguồn hợp pháp và thiết lập chương trình quản lý tài sản phần mềm nội bộ hiệu quả.

Luật An ninh mạng

 Luật an ninh mạng, số 24/2018/QH14, Quốc hội thông qua 12/06/2018, có hiệu lực 01/01/2019

Luật này quy định về việc bảo vệ an ninh quốc gia và đảm bảo trật tự, an toàn xã hội trên không gian mạng, đồng thời xác định trách nhiệm của các cơ quan, tổ chức và cá nhân liên quan.

 https://thuvienphapluat.vn/tintuc/vn/thoi-su-phapluat/chinh-sach-moi/20609/toan-van-luat-an-ninh-mang-2018

5.1 Luật an toàn thông tin mạng 2018

 Để bảo vệ sự an toàn thông tin trên 03 phương diện: tính nguyên vẹn của thông tin, tính bảo mật thông tin và tính khả dụng của thông tin;

Luật An ninh mạng 2018 nhằm mục tiêu ngăn chặn thông tin độc hại, bảo vệ an ninh quốc gia, duy trì trật tự an toàn xã hội, và bảo vệ quyền lợi hợp pháp của cá nhân, tổ chức và cơ quan trong không gian mạng.

Các hành vi bị nghiêm cấm

Việc đăng tải và phát tán thông tin trên không gian mạng với nội dung tuyên truyền chống lại Nhà nước CHXHCNVN, kích động bạo loạn, gây rối an ninh và trật tự công cộng, làm nhục, vu khống, xâm phạm trật tự quản lý kinh tế, và thông tin sai sự thật gây hoang mang trong nhân dân là hành vi vi phạm pháp luật Những hành động này không chỉ gây thiệt hại cho các hoạt động kinh tế - xã hội mà còn gây khó khăn cho cơ quan nhà nước và người thi hành công vụ Ngoài ra, việc xâm phạm quyền lợi hợp pháp của tổ chức, cá nhân khác và các hành vi gián điệp mạng, xâm phạm bí mật nhà nước, bí mật công tác, và thông tin cá nhân cũng được quy định rõ ràng trong Luật An ninh mạng.

Chiếm đoạt tài sản, tổ chức và tham gia đánh bạc trực tuyến, trộm cắp cước viễn thông quốc tế qua internet, cùng với việc vi phạm bản quyền và sở hữu trí tuệ trên không gian mạng là những hành vi vi phạm pháp luật nghiêm trọng cần được ngăn chặn và xử lý kịp thời.

Giả mạo trang thông tin điện tử của cơ quan, tổ chức, cá nhân và thực hiện các hành vi như làm giả, lưu hành, trộm cắp, mua bán, thu thập, trao đổi trái phép thông tin thẻ tín dụng và tài khoản ngân hàng của người khác là hành vi vi phạm pháp luật nghiêm trọng Ngoài ra, việc phát hành, cung cấp và sử dụng các phương tiện thanh toán trái phép cũng là những hành động cần bị xử lý nghiêm minh để bảo vệ quyền lợi của người tiêu dùng và đảm bảo an toàn cho hệ thống tài chính.

 Tuyên truyền, quảng cáo, mua bán hàng hóa, dịch vụ thuộc danh mục cấm theo quy định của pháp luật;

 Hướng dẫn người khác thực hiện hành vi vi phạm pháp luật

Xuyên tạc lịch sử và phủ nhận những thành tựu cách mạng gây tổn hại đến khối đại đoàn kết toàn dân tộc Hành vi xúc phạm tôn giáo, phân biệt đối xử về giới và chủng tộc không chỉ làm suy yếu sự hòa hợp xã hội mà còn đe dọa đến sự phát triển bền vững của đất nước.

Thông tin sai lệch không chỉ gây hoang mang trong cộng đồng mà còn gây thiệt hại cho các hoạt động kinh tế - xã hội Những thông tin này làm khó khăn cho công tác của cơ quan nhà nước và người thi hành công vụ, đồng thời xâm phạm quyền lợi hợp pháp của tổ chức và cá nhân khác.

Hoạt động mại dâm và tệ nạn xã hội, cùng với việc mua bán người, đang gây ra nhiều vấn đề nghiêm trọng trong cộng đồng Việc đăng tải thông tin dâm ô, đồi trụy và tội ác không chỉ phá hoại thuần phong mỹ tục của dân tộc mà còn ảnh hưởng tiêu cực đến đạo đức xã hội và sức khỏe cộng đồng.

 Xúi giục, lôi kéo, kích động người khác phạm tội

Tình hình tấn công an ninh mạng

Theo Cục An toàn Thông tin (Bộ Thông tin & Truyền thông), Việt Nam đang đứng trước nguy cơ cao về mã độc, với khoảng 14.000 cuộc tấn công mạng vào năm 2017 Trong số đó, có gần 3.000 cuộc tấn công lừa đảo, 6.500 cuộc tấn công cài đặt phần mềm độc hại và 4.500 cuộc tấn công thay đổi giao diện.

Năm 2017, Việt Nam ghi nhận hơn 19.000 lượt địa chỉ máy chủ web bị tấn công và hơn 3 triệu địa chỉ IP thường xuyên nằm trong danh sách đen của các tổ chức quốc tế Bên cạnh đó, trong tổng số 307.201 camera IP, có hơn 100.000 camera đang được công khai trên Internet và tồn tại nhiều điểm yếu, lỗ hổng bảo mật có thể bị khai thác.

Theo Cục An toàn Thông tin (Bộ Thông tin và Truyền thông), Việt Nam là một trong những quốc gia có nguy cơ nhiễm mã độc cao trên toàn cầu Năm 2017, hơn 17 triệu lượt truy vấn từ các địa chỉ IP Việt Nam đã được ghi nhận, hướng tới các tên miền hoặc IP phát tán và điều khiển mã độc trên thế giới Những kết nối này chủ yếu liên quan đến các mạng botnet lớn như Conficker, Mirai, Ramnit, Sality, Cutwail và ZeroAccess.

Tình hình rò rỉ thông tin cá nhân

Theo báo cáo công bố vào tháng 4/2018, Việt Nam có 427.446 tài khoản Facebook cá nhân bị lộ thông tin, đứng thứ 9 trong danh sách 10 quốc gia có số lượng thông tin bị lộ nhiều nhất Người dùng cũng tham gia vào các trò chơi lan truyền trên mạng xã hội này.

Khách hàng thực hiện đặt hàng hoặc giao dịch qua các ứng dụng mua sắm, thanh toán và đặt vé trực tuyến cần cung cấp thông tin cá nhân và thông tin tín dụng để hoàn tất giao dịch Ví dụ về các ứng dụng này bao gồm ngân hàng, bảo hiểm, mua bán hàng hóa, đặt vé và dịch vụ mạng điện thoại.

Tìm hiểu một số điều khoản luật

Bài tập 1: Điều 8 Các hành vi bị nghiêm cấm về an ninh mạng

Ngày đăng: 04/05/2022, 18:32

TỪ KHÓA LIÊN QUAN

TRÍCH ĐOẠN

Luật sở hữu trí tuệ Việt Nam

Luật an toàn thông tin mạng 2018

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w