TRƯỜNG ĐẠI HỌC THƯƠNG MẠI THUONGMAI UNIVERSITY Chủ biên: PGS.TS Đàm Gia Mạnh - TS Nguyễn Thị Hội AN TOÀN VÀ BẢO MẬT THÔNG TIN LỜI NÓI ĐẦU Từ xưa đến nay, thông tin loại tài sản quý giá có vai trò quan trọng cá nhân, tổ chức, quốc gia Trong lĩnh vực hoạt động nào của đời sống xã hội, việc nắm bắt thông tin cách nhanh chóng, kịp thời và chính xác giúp cho tổ chức, cá nhân có chiến lược hoạt động đắn, giúp họ đứng vững phát triển trước thay đổi thường xuyên của thị trường đời sống xã hội Với phát triển mạnh mẽ của công nghệ thông tin và đặc biệt là của mạng Internet, người đã có môi trường thuận lợi để có thể nắm bắt thông tin cách nhanh chóng tạo khả trao đổi thông tin dễ dàng Tuy nhiên, ngoài mang lại lợi ích to lớn, mạng Internet còn tiềm ẩn nó nhiều nguy mối hiểm họa Đó chính là công vào chính hệ thống thông tin qua mạng Internet với mục đích không tốt đẹp, gây an toàn thông tin, làm ảnh hưởng đến toàn hoạt động của tổ chức, cá nhân và có thể gây tổn hại đến lợi ích kinh tế uy tín của tổ chức, cá nhân Sự gia tăng không ngừng và ngày càng tinh vi của các hành động xâm phạm vào thông tin của các cá nhân, tổ chức gây an toàn của thông tin là vấn đề nóng, nan giải rình rập, đe dọa, đặt các chủ thể thông tin trước hội và thách thức, rủi ro Vì vậy, đảm bảo an tồn và bảo mật thơng tin có vai trò quan trọng chiến lược phát triển bền vững của quốc gia, tổ chức cá nhân Giáo trình “An toàn và bảo mật thông tin” này biên soạn theo chương trình học phần “An toàn và bảo mật thông tin doanh nghiệp” thuộc chương trình đào tạo ngành Hệ thống thông tin kinh tế Hiệu trưởng Trường Đại học Thương mại phê chuẩn ngày 22 tháng 12 năm 2017 Hiệu trưởng phê duyệt làm tài liệu thức dùng cho giảng dạy, học tập ở Trường Đại học Thương mại Đối tượng phục vụ của giáo trình là sinh viên đại học chính quy chuyên ngành Quản trị Hệ thống thông tin và chuyên ngành Quản trị Thương mại điện tử của Trường Đại học Thương mại Ngoài ra, giáo trình dùng cho sinh viên đại học chính quy thuộc các chuyên ngành khác của Trường Đại học Thương mại và có ích cho muốn tìm hiểu vận dụng kiến thức về đảm bảo an toàn và bảo mật thông tin đời sống, hoạt động sản xuất, kinh doanh Giáo trình gồm chương, trình bày về an toàn và bảo mật thông tin theo tiếp cận quản trị rủi ro cho thông tin hệ thống thông tin, bao gồm các nội dung: xác định và nhận dạng các rủi ro, các nguy gây an toàn và bảo mật thông tin; phân tích, đánh giá và đo lường các nguy (bao gồm các giải pháp khắc phục hậu rủi ro gây ra); giám sát rủi ro, lựa chọn giải pháp khắc phục hậu quả, thực đảm bảo an toàn và bảo mật thông tin Tuy nhiên, với đối tượng quản trị là thông tin - dạng “tài nguyên” mặc dù có thể đo lường và đánh giá lại là “phi vật chất”, nên quá trình trình bày, có nội dung của hoạt động quản trị rủi ro trình bày kết hợp đồng thời, chẳng hạn nhận dạng và đo lường, nhận dạng và đánh giá, giám sát, Với cách làm này, hy vọng sẽ giúp nâng cao khả vận dụng cho người đọc thực tiễn hoạt động đảm bảo an toàn và bảo mật thông tin của mình Để sử dụng giáo trình này, bạn đọc cần có kiến thức tối thiểu vể Tin học giảng dạy ở tất các trường đại học Giáo trình PGS, TS Đàm Gia Mạnh và TS Nguyễn Thị Hội làm chủ biên, phân công biên soạn sau: PGS, TS Đàm Gia Mạnh biên soạn các chương 1, 2, 3; TS Nguyễn Thị Hội biên soạn các chương 4, 5, 6, PGS, TS Đàm Gia Mạnh tổng hợp chỉnh sửa thảo Trong trình biên soạn, các tác giả đã tham khảo nhiều tài liệu của các nhà khoa học trong, ngoài nước và đã nhận ý kiến đóng góp quí báu của tập thể giảng viên Bộ môn Công nghệ thông tin, của Hội đồng khoa học Khoa Hệ thống thông tin kinh tế và Thương mại điện tử của Trường Đại học Thương mại và số nhà khoa học và ngoài Trường Tập thể tác giả xin chân thành cảm ơn tất người đã nêu Mặc dù các tác giả đã cố gắng, giáo trình khó tránh khỏi hạn chế thiếu sót nội dung diễn giải Vì vậy, tác giả mong nhận ý kiến nhận xét của bạn đọc để tiếp tục hoàn thiện nội dung giáo trình lần xuất sau Ý kiến đóng góp xin gửi theo địa chỉ: Bộ môn Công nghệ thông tin, Trường Đại học Thương mại, email: bmcntt@tmu.edu.vn TẬP THỂ TÁC GIẢ MỤC LỤC Lời nói đầu Danh mục từ viết tắt 13 Danh mục bảng biểu 15 Danh mục hình vẽ 17 Chương 1: TỔNG QUAN VỀ AN TỒN VÀ BẢO MẬT THƠNG TIN 19 1.1 GIỚI THIỆU CHUNG VỀ AN TOÀN VÀ BẢO MẬT THƠNG TIN 19 1.1.1 Khái niệm an tồn bảo mật thông tin 19 1.1.2 Lịch sử phát triển của an tồn bảo mật thơng tin 23 1.1.3 Vai trị của an tồn bảo mật thơng tin 24 1.2 MỤC TIÊU VÀ YÊU CẦU CỦA AN TOÀN VÀ BẢO MẬT THÔNG TIN 27 1.2.1 Mục tiêu của an tồn và bảo mật thơng tin 27 1.2.2 u cầu cho an toàn và bảo mật thông tin 28 1.2.3 Các nguyên tắc an toàn và bảo mật thông tin 30 1.2.4 Các mơ hình đảm bảo an tồn bảo mật thông tin 31 1.3 AN TOÀN VÀ BẢO MẬT THÔNG TIN THEO TIẾP CẬN QUẢN TRỊ RỦI RO 39 1.3.1 Tổng quan về rủi ro và quản trị rủi ro 39 1.3.2 Tổng quan về rủi ro cho thông tin và quản trị rủi ro hệ thống thông tin 42 1.3.3 Mối quan hệ giữa quản trị rủi ro cho thông tin và an toàn và bảo mật thơng tin 47 1.4 CHÍNH SÁCH, PHÁP ḶT VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN 48 1.4.1 Các sách an toàn và bảo mật thơng tin Việt Nam 48 1.4.2 Các sách an toàn và bảo mật thông tin giới 53 1.5 TỔNG KẾT CHƯƠNG 64 Câu hỏi ôn tập thảo luận chương 65 Chương 2: QUY TRÌNH ĐẢM BẢO AN TOÀN VÀ BẢO MẬT THÔNG TIN 69 2.1 QUY TRÌNH CHUNG 70 2.1.1 Xác định, nhận dạng các nguy gây mất an toàn và bảo mật thông tin 70 2.1.2 Phân tích, đánh giá các nguy gây mất an toàn và bảo mật thông tin 71 2.1.3 Lựa chọn giải pháp đảm bảo an toàn và bảo mật thông tin 72 2.1.4 Giám sát an toàn và bảo mật thông tin 72 2.2 NHẬN DẠNG CÁC NGUY CƠ GÂY MẤT AN TOÀN VÀ BẢO MẬT THÔNG TIN 73 2.2.1 Khái niệm và tầm quan trọng của nhận dạng các nguy 73 2.2.2 Phân loại các nguy gây mất an toàn và bảo mật thông tin 74 2.2.3 Phương pháp nhận dạng các nguy gây mất an toàn và bảo mật thông tin 76 2.3 PHÂN TÍCH, ĐÁNH GIÁ CÁC NGUY CƠ GÂY MẤT AN TOÀN VÀ BẢO MẬT THÔNG TIN 86 2.3.1 Giới thiệu 86 2.3.2 Những vấn đề phân tích, đánh giá các nguy gây mất an toàn và bảo mật thông tin 87 2.4 KIỂM SOÁT AN TOÀN VÀ BẢO MẬT THƠNG TIN 91 2.4.1 Quy trình kiểm soát 91 2.4.2 Chiến lược kiểm soát 92 2.5 TỔNG KẾT CHƯƠNG 94 Câu hỏi ôn tập bài tập chương 95 Chương 3: CÁC KIỂU TẤN CÔNG VÀ CÁC MỐI ĐE DỌA ĐỐI VỚI AN TOÀN VÀ BẢO MẬT THÔNG TIN 97 3.1 CÁC MỐI ĐE DỌA AN TOÀN VÀ BẢO MẬT THƠNG TIN 97 3.1.1 Mới đe dọa từ các thiết bị phần cứng 99 3.1.2 Mối đe dọa từ phần mềm 100 3.1.3 Mối đe dọa từ người 103 3.2 CÁC KIỂU TẤN CÔNG GÂY MẤT AN TOÀN VÀ BẢO MẬT THÔNG TIN 104 3.2.1 Kịch của tấn công 104 3.2.2 Tấn công thụ động 107 3.2.3 Tấn công chủ động 111 3.2.4 Tấn công từ chối dịch vụ 114 3.2.5 Một số kiểu tấn công khác 119 3.3 XU HƯỚNG TẤN CƠNG MỚI GÂY MẤT AN TỒN VÀ BẢO MẬT THƠNG TIN 125 3.3.1 Thay đởi xu hướng tấn công mạng 125 3.3.2 Tấn công phá mã mật 127 3.3.3 Tấn công Social Engineering 128 3.4 TỔNG KẾT CHƯƠNG 131 Câu hỏi ôn tập bài tập chương 132 Chương 4: MÃ HĨA THƠNG TIN 135 4.1 TỔNG QUAN VỀ MÃ HÓA 135 4.1.1 Khái niệm hệ mã hóa 135 4.1.2 Vài nét về lịch sử mã hóa 138 4.1.3 Vai trị của mã hóa quy trình mã hóa 140 4.1.4 Các u cầu của hệ mã hóa 140 4.1.5 Các kỹ thuật phá mã phở biến 142 4.2 HỆ MÃ HĨA ĐỐI XỨNG 144 4.2.1 Khái niệm về hệ mã hóa đối xứng 144 4.2.2 Ưu điểm và nhược điểm của hệ mã hóa đối xứng 145 4.2.3 Các hệ mã hóa đối xứng cổ điển 146 4.2.4 Hệ mã hóa đối xứng đại 154 4.3 HỆ MÃ HĨA KHƠNG ĐỐI XỨNG 159 4.3.1 Khái niệm về hệ mã hóa không đối xứng 159 4.3.2 Ưu điểm và nhược điểm của hệ mã hóa khơng đới xứng 162 4.3.3 Hệ mã hóa RSA 164 4.3.4 Một số hệ mã hóa không đối xứng khác khác 167 4.4 HÀM BĂM 169 4.4.1 Khái niệm về hàm băm 169 4.4.2 Các phương pháp tạo hàm băm 170 4.4.3 Một số hàm băm thông dụng 171 dùng, hoặc cho phép chiếm quyền truy cập liệu gồm thông tin định vị, và các thông tin cá nhân khác có liên quan đến tài khoản người dùng Thứ ba các nguy bị nhiễm mã độc nhiều ứng dụng lại lợi dụng việc người dùng đã nhiễm virus để tiếp tục lây nhiễm thêm loại virus vào máy tính hoặc chúng giả dạng làm ứng dụng chống virus để thực chất làm máy tính của người dùng nhiễm mã độc Cuối nguy an toàn qua mạng, hoặc tin nhắn nhanh/ hòm thư điện tử bị kẻ xấu lợi dụng các phương tiện truyền thông xã hội để lừa đảo qua mạng (social engineering) hoặc qua email Nguy an toàn qua các trò chơi xã hội rò rỉ thông tin cá nhân hoặc người dùng sử dụng số phần mềm miễn phí qua các phương tiện truyền thông xã hội Bị lộ thơng tin vị trí/ bị theo dõi theo địa IP hoặc bị đánh cắp thông tin 7.5.3 An tồn thơng tin các phương tiện trùn thơng xã hội Trong thơng cáo báo chí phát ra, Facebook cho biết đợt kiểm tra an ninh thường lệ vào tháng 1/2019, công ty đã phát nhiều mật khẩu của người dùng lưu trữ dạng rõ hệ thống lưu trữ liệu nội Trong đó, các hệ thống truy cập của Facebook thiết kế bảo mật mật khẩu công nghệ mã hóa chống truy cập, đọc 600 triệu người dùng chiếm tỷ lệ lớn tổng số 2,7 tỷ người dùng Facebook Vì vậy, cơng ty cho biết sẽ sớm thông báo tới người dùng có mật khẩu khơng mã hóa để thay đổi mật khẩu tài khoản Theo thông tin từ The Digital kẻ công (tháng 4/2020), 267 triệu liệu người dùng Facebook rao bán trang web đen với giá 600 USD Bên cạnh đó, 500 nghìn tài khoản Zoom rao bán các trang web đen Những thông tin cá nhân của người dùng bị rò rỉ họ đã bị tin tặc công tài khoản Facebook lấy số thông tin cá nhân Những liệu chủ yếu đến từ tài khoản Facebook Mỹ 307 Các liệu người dùng bị đánh cắp khơng chứa mật khẩu tài khoản, nhiên, bao gồm số thông tin khác họ tên đầy đủ, địa email, ngày sinh, số điện thoại số thông tin định danh khác Mặc dù thơng tin tạo giao dịch thu về số tiền lớn cho tin tặc Đặc biệt là cá nhân mua thông tin với mục đích lừa đảo Từ liệu này, tin tặc dễ dàng thu thập thêm thông tin của người dùng cách đóng giả thành công ty tuyển dụng hay ngân hàng Trong năm 2019, hệ thống CyStack Attack Map ghi nhận 563.000 công vào website tồn cầu Trong đó, 236.000 cơng nhắm vào website có máy chủ đặt Mỹ, chiếm tỉ trọng tới 41,9% toàn giới Với 9.300 vụ xâm phạm vào website của tổ chức, Việt Nam xếp thứ 11 giới xếp thứ Đông Nam Á, sau Indonesia Singapore Một tin tặc đã tung thông tin của 15 triệu người dùng đăng ký Tokopedia, sàn thương mại điện tử lớn Indonesia, lên mạng Tin tặc khẳng định liệu lấy vụ xâm nhập diễn tháng 3/2020 phần nhỏ toàn sở liệu bị lấy cắp vụ cơng Kẻ rị rỉ chia sẻ thơng tin của 15 triệu người dùng với hi vọng đó giúp bẻ khóa mật khẩu của nạn nhân truy cập vào tài khoản của họ Tập tin công bố là sở liệu PostgreSQL, chứa thông tin họ tên, email, số điện thoại, mật khẩu mã hóa, sinh nhật chi tiết liên quan tới hồ sơ Tokopedia (ngày khởi tạo tài khoản, lần đăng nhập cuối, mã kích hoạt email, mã làm mật khẩu, chi tiết vị trí, ID chat, sở thích, học vấn Theo Cnet, Google thu thập lượng liệu đáng kinh ngạc về thông tin cá nhân người dùng, thậm chí người dùng tưởng tượng: Mọi từ khóa tìm kiếm, video YouTube đã xem, dù sử dụng Android hay iOS, Google Map lưu giữ thông tin nơi người dùng di chuyển, lộ trình đến thời gian ở lại, người dùng không hề mở ứng dụng Hàng loạt vụ rò rỉ liệu xâm phạm quyền riêng tư 308 làm giảm niềm tin của người dùng vào các đế chế công nghệ Google họ đáp lại cách tạo trung tâm bảo mật cho phép người dùng truy cập, xóa hạn chế liệu công ty nắm giữ từ khách hàng Tuy nhiên, không dễ để điều chỉnh tất thiết lập khác hay lúc người dùng cho phép Google làm rõ ràng Bất người dùng thực thay đổi nhằm hạn chế thời gian và lượng thông tin Google theo dõi, công ty sẽ đưa cảnh báo dịch vụ hoạt động khơng hiệu khơng có qùn truy cập vào liệu Bất chấp nỗ lực tăng tính minh bạch của Google, tiết lộ gần cho thấy gã khổng lồ bí mật chia sẻ thông tin cá nhân người dùng với nhà quảng cáo bên thứ ba Tóm lại, các phương tiện truyền thơng xã hội có nhiệu lợi ích đem lại khơng vấn đề cho người dùng Từ thực trạng thấy việc đảm bảo an toàn thông tin các phương tiện truyền thông xã hội tốn khơng dễ dàng cho nhà bảo mật thông tin 7.5.4 Biện pháp đảm bảo an tồn thơng tin các phương tiện trùn thơng xã hội Xuất phát từ thực trạng thủ đoạn của các đối tượng, nhằm đảm bảo an toàn thông tin cá nhân, người dùng không gian mạng, cần tập trung thực số biện pháp sau: - Đối với ban ngành chức năng, quan, tổ chức, doanh nghiệp: Các bộ, ban, ngành và địa phương cần tăng cường công tác tuyên truyền, giáo dục, phổ biến hệ thống pháp luật về phương thức, thủ đoạn của tội phạm sử dụng công nghệ cao nhằm nâng cao ý thức, trách nhiệm của toàn thể người dân loại tội phạm Tuyên truyền, hướng dẫn tổ chức, cá nhân sử dụng giải pháp kỹ thuật công nghệ để tự bảo vệ trước công của tội phạm sử dụng công nghệ cao Đưa cảnh báo về việc phải bảo mật tuyệt đối thông tin cá nhân số điện thoại, số chứng minh thư, tài khoản ngân hàng khuyến cáo người dân cần nâng cao cảnh giác, không chuyển tiền, cung cấp thông tin cá nhân đặc biệt mã OTP của ngân hàng cho người lạ qua 309 điện thoại dù tình nào Đặc biệt, cần khuyến cáo người dân nên sử dụng phần mềm có qùn; sử dụng mật khẩu có tính bảo mật cao và thường xuyên thay đổi mật khẩu; cài đặt sử dụng phần mềm bảo vệ (diệt vi rút) hoặc thiết lập tường lửa (firewall) Ngoài ra, cần nâng cao ý thức cảnh giác của người dân và doanh nghiệp hoạt động quản lý, sử dụng cơng nghệ cao; đồng thời cảnh báo, phịng ngừa việc lạm dụng, thiếu hiểu biết về pháp luật dẫn đến vi phạm pháp luật sử dụng công nghệ cao, là nhóm đối tượng học sinh, sinh viên Tiếp tục hoàn thiện hệ thống pháp luật, quán triệt triển khai thực nghiêm túc văn quy định về cơng tác bảo đảm an ninh, an tồn thông tin Thường xuyên kiểm tra xây dựng các văn sách bảo mật đặc thù quan, đơn vị Các quy định phải tuyệt đối tuân thủ quán triệt trực tiếp tới người sử dụng (có quy chế, chế tài cụ thể vi phạm) Nâng cao hiệu quản lý về bảo đảm an ninh an tồn thơng tin, thường xuyên tổ chức phối hợp các quan chức kiểm tra thực tế việc chấp hành các quy định bảo đảm an ninh an tồn thơng tin mạng Cần phải tiến hành kiểm tra rà soát tất hệ thống mạng, hệ thống thông tin của các quan, đơn vị thuộc phạm vi quản lý để phát các nguy an ninh an toàn Tiến hành kiểm tra quét vi rút, làm máy vá lỗ hổng hệ thống Các máy tính cần cài đặt phần mềm diệt vi rút thường xuyên cập nhật Việc cài đặt phần mềm cần đảm bảo an ninh, an toàn Đối với máy tính có chứa liệu quan trọng nên có biện pháp mã hóa liệu ổ cứng Các quan, đơn vị, doanh nghiệp cần nghiêm túc đầu tư thiết lập hạ tầng, xây dựng đội ngũ chuyên trách về bảo đảm an ninh mạng Khi mua trang thiết bị phải kiểm tra an ninh, an toàn thông tin trước đưa vào sử dụng Hạn chế sử dụng thiết bị không rõ xuất xứ nguồn gốc - Đối với cá nhân người dùng: Hạn chế chia sẻ thông tin cá nhân mạng Internet Đây là phương án đơn giản lại cách bảo mật hiệu Khi người dùng chia sẻ nhiều thơng tin cá nhân, sẽ có nhiều hội cho các đối tượng thực hành vi phạm tội Cách tốt để bảo mật thông tin cá nhân mạng xã hội chia sẻ với giới 310 thơng tin tốt, tránh việc truy cập vào các đường link lạ, đặc biệt tránh cung cấp thông tin chi tiết ngày sinh, số điện thoại, địa email, mối quan hệ gia đình, nơi làm việc, địa riêng, loại giấy tờ tùy thân Trong trường hợp cần phải chia sẻ các thông tin đó, thân người dùng nên có hình thức bảo mật khác hoặc thay đổi thông tin tài khoản cung cấp xong Sử dụng mật khẩu đủ mạnh Mật khẩu là phương pháp xác thực phổ biến giúp người dùng dễ dàng đăng nhập vào tài khoản, dịch vụ trực tuyến Mật khẩu ngắn độ an tồn thấp và ngược lại, nhiên quy chuẩn để tạo mật khẩu đủ mạnh khơng hồn tồn phụ thuộc vào độ dài, ngắn Để đảm bảo tính bảo mật người dùng nên đặt mật khẩu có tối thiểu ký tự (số, ký hiệu, dấu câu), ký tự phải nhất, chọn lọc ngẫu nhiên và đặc biệt không tuân theo trật tự, ý nghĩa nào (tên lồi hoa, ngày sinh, số điện thoại ) Cũng khơng nên sử dụng mật khẩu cho hoặc nhiều tài khoản Ngoài ra, để tăng tính bảo mật cho tài khoản quan trọng, người dùng nên kích hoạt tính xác thực hai bước để cao tính bảo mật liệu Tránh việc kết nối vào mạng wifi cơng cộng các điểm nóng Hầu hết các điểm truy cập wifi khơng mã hóa thông tin người dùng gửi qua Internet và đó khơng an tồn Trên thực tế, mạng khơng yêu cầu mật khẩu WPA hoặc WPA2, khơng an tồn Đây sẽ là trường hợp hầu hết các điểm nóng cơng cộng Khơng có cách nào để đảm bảo chủ sở hữu doanh nghiệp hoặc nhân viên thiết lập mạng đã có biện pháp để đảm bảo bảo vệ liệu Điều phổ biến nhân viên thiết lập đơn giản là để mặc định lưu thông tin người dùng mật khẩu định tuyến wifi, làm cho thông tin dễ dàng truy cập về sau Nếu phải sử dụng Wifi công cộng, hãy đảm bảo sử dụng ứng dụng mã hóa liệu hoặc sử dụng VPN Tuyệt đối tránh trao đổi công việc riêng tư hay thực giao dịch tài chính sử dụng wifi công cộng Thường xuyên cập nhập hệ thống Các phầm mềm độc hại ngày xuất biến thể hàng giờ, hàng phút Khi máy tính đưa sử dụng sẽ không tránh khỏi vấn đề về virus, bảo mật Do vậy, không thường xuyên cập nhập phần mềm hệ thống để vá lỗi sẽ dẫn tới việc phần mềm bảo mật hoạt động không hiệu quả, không 311 bảo vệ người dùng trước nguy an toàn thông tin Thường xuyên cập nhật quét virus phiên của phần mềm diệt virus sẽ giúp hạn chế tối đa nguy lây nhiễm virus vào máy tính, tăng cường khả phòng, chống virus cho máy tính Để đảm bảo an toàn cho máy tính, người dùng nên chọn phần mềm quyền để cài đặt sử dụng lâu dài TỔNG KẾT CHƯƠNG Chương đã trình bày vấn đề về an toàn liệu thương mại điện tử bao gồm hai công cụ chữ ký số chứng thực số nhằm đảm bảo an toàn cho giao dịch thương mại điện tử Đưa các vấn đề liên quan đến toán điện tử giải pháp đảm bảo an toàn cho liệu quá trình toán điện tử Vấn đề bảo mật website bảo đảm an toàn cho người dùng các phương tiện truyền thông xã hội trình bày phần cuối của chương CÂU HỎI ƠN TẬP VÀ BÀI TẬP CHƯƠNG I CÂU HỎI ÔN TẬP Trình bày khái niệm về chữ ký số? Nguyên tắc xây dựng chữ ký số quy trình hoạt động của chữ ký số? Có loại chữ ký số ứng dụng của chúng hoạt động của doanh nghiệp thương mại điện tử? Chứng thực số gì? Trình bày thành phần chứng thực số? Trình bày giống khác chữ ký số chứng thực số? Có cách phân loại chứng thực số nào? Thanh toán điện tử gì? Các thành phần tham gia giao dịch điện tử có tốn? Hãy lấy ví dụ minh họa Các nguy của giao dịch điện tử có tốn? Lấy ví dụ minh họa Hãy trình bày số giải pháp nhằm đảm bảo an toàn cho giao dịch điện tử giao dịch điện tử có tốn? 312 Bảo mật website là gì? Hãy trình bày các nguy website thông thường và website thương mại điện tử? Hãy trình bày số giải pháp đảm bảo an toàn cho website thương mại điện tử? Lấy ví dụ minh họa Phương tiện trùn thơng xã hội gì? Vai trị của các phương tiện trùn thơng xã hội hoạt động của doanh nghiệp thương mại điện tử? Trình bày các nguy người dùng tổ chức, doanh nghiệp sử dụng các phương tiện truyền thông xã hội hoạt động kinh doanh? Hãy đề xuất số giải pháp đảm bảo an toàn cho người dùng tổ chức doanh nghiệp sử dụng các phương tiện truyền thông xã hội hoạt động kinh doanh? II BÀI TẬP TÌNH HUỐNG Bài tập 1: Cho tình sau đây: Năm 2018 lên hiện tượng lấy cắp tài khoản Facebook thơng qua comment dạo (bình ḷn Facebook) Hơn 83% người sử dụng mạng xã hội Facebook gặp bình luận kiểu này Đây là năm mà thế giới chứng kiến nhiều vụ việc rò rỉ thông tin cá nhân người dùng nhiều từ trước đến có thể kể tới như: Facebook liên tiếp gây rị rỉ thơng tin người dùng; Google+ bị khai tử tồn lỗ hổng bảo mật gây rò rỉ liệu người dùng; tin tặc đánh cắp 90 GB liệu Apple Tại Việt Nam xảy nhiều vụ việc liên quan đến liệu cá nhân nghiêm trọng như: Rò rỉ thông tin liệu 5,4 triệu khách hàng Thế Giới Di Động; lộ liệu thông tin khách hàng FPT Shop; 275 nghìn liệu Ngân hàng Hợp tác xã Việt Nam bị tin tặc khai thác (Theo https://vnisa.org.vn/) 313 Hãy trả lời câu hỏi sau đây: Trong tình liệt kê rủi ro mà người dùng gặp phải giải thích? Xác định mối đe dọa lỗ hổng mà tổ chức, doanh nghiệp cần kiểm soát? Hãy đề xuất số giải pháp để kiểm soát mối đe dọa lỗ hổng đó? Bài tập 2: Cho tình sau đây: Theo báo cáo công ty Check Point (Israel) phát hành ngày 18/3, tin tặc lợi dụng dịch Covid-19 để đăng ký các tên miền liên quan đến virus SARS-CoV-2 bán phần mềm độc hại trang web đen Check Point cho biết, tin tặc đưa các ưu đãi đặc biệt nhằm quảng bá hàng hóa (thường phần mềm độc hại hoặc công cụ khai thác) các web đen và sử dụng mã giảm giá là “COVID19” hoặc “Coronavirus” Có thể kể đến: Một số cơng cụ có sẵn với giá ưu đãi WinDefender bypass Build to bypass email and chrome security Hay nhóm tin tặc với biệt danh SSHacker cung cấp dịch vụ công vào tài khoản Facebook với mã COVID-19 giảm giá 15% Còn tin tặc với bí danh True Mac rao bán mẫu MacBook Air 2019 với giá 390 USD với lý ưu đãi đặc biệt mùa Corona Chỉ ba tuần kể từ nửa cuối tháng đến nay, số lượng tên miền trung bình tăng gấp gần 10 lần so với tuần trước đó Khoảng 0,8% số đó là độc hại (93 trang web) và 19% khác là web đáng ngờ (hơn 2.200 trang web) (Theo https://vnisa.org.vn/) Hãy trả lời câu hỏi sau đây: Trong tình liệt kê rủi ro mà người dùng gặp phải giải thích? 314 Xác định mối đe dọa lỗ hổng mà tổ chức, doanh nghiệp cần kiểm soát? Hãy đề xuất số giải pháp để kiểm soát mối đe dọa lỗ hổng đó? Hãy trình bày giải pháp nhằm hạn chế các nguy này? Bài tập 3: Cho tình sau đây: Theo Ngân hàng Nhà nước, tính đến số lượng giao dịch tài qua kênh Internet đạt 200 triệu giao dịch, giá trị 10 triệu tỷ đồng (tăng 51,8% so với kỳ năm 2018) Số lượng giá trị giao dịch toán nội địa thẻ ngân hàng tiếp tục tăng; nhiều tính năng, tiện ích tích hợp vào thẻ ngân hàng để sử dụng tốn hàng hóa, dịch vụ Chẳng hạn, gần đây, khá nhiều cửa hàng, siêu thị ưu đãi lớn cho khách hàng sử dụng QR Code (mã phản ứng nhanh) Với dịch vụ này, khách hàng cần quét mã QR camera điện thoại di động nhập số tiền toán giao dịch hoàn tất Hệ thống tự động trừ tiền tài khoản ngân hàng khách hàng Hiện có 78 tổ chức cung ứng dịch vụ toán qua Internet 45 tổ chức cung ứng dịch vụ toán di động (mobile payment), với số lượng giao dịch lên đến vài trăm triệu tỷ đồng tính riêng tháng năm 2019 Số liệu cho thấy, tốn khơng dùng tiền mặt phát triển mạnh ở nước ta Hiện có 26 tổ chức không phải là ngân hàng Ngân hàng Nhà nước cấp phép hoạt động cung ứng dịch vụ trung gian toán, đó có 23 tổ chức cung ứng dịch vụ ví điện tử, tập trung tính nạp tiền điện thoại, toán qua mã QR, toán hóa đơn dịch vụ cước điện thoại di động, hóa đơn điện, nước, Internet, khoản vay tài chính, vay trả góp, vay tiêu dùng, mua vé máy bay, vé xem phim, vé xe, bảo hiểm Trong số đó, ví điện tử thuộc công ty fintech MoMo, Payoo, Vimo, Moca có tốc độ phát triển nhanh (Theo http://tapchitaichinh.vn/) 315 Hãy trả lời câu hỏi sau đây: Trong tình liệt kê rủi ro mà người dùng gặp phải giải thích? Xác định mối đe dọa lỗ hổng mà tổ chức, doanh nghiệp cần kiểm soát? Hãy đề xuất số giải pháp để kiểm soát mối đe dọa lỗ hổng đó? Hãy trình bày giải pháp nhằm hạn chế nguy này? 316 TÀI LIỆU THAM KHẢO Tiêu chuẩn quốc gia - TCVN 7635: 2007, Kỹ thuật mã hóa chữ ký số, Cryptography technique - Digital signature Hiệp hội Thương mại điện tử Việt Nam, Báo cáo Chỉ số Thương mại điện tử Việt Nam 2019 Luật an ninh mạng, Luật số: 24/2018/QH14 ISO 27001:2013 Phan Đình Diệu (1999), Lý thút mật mã an tồn thơng tin, NXB Đại học Quốc gia Hà Nội Đàm Gia Mạnh (2009), Giáo trình An tồn bảo mật liệu thương mại điện tử, NXB Thống kê Trần Hùng (2017), Giáo trình Quản trị rủi ro, NXB Thống kê Thái Thanh Tùng (2011), Giáo trình Mật mã học Hệ thống thơng tin an tồn, NXB Thơng tin Truyền thông Brotby, Krag (2009), Information Security Management Metrics: A Definitive Guide to Effective Security Monitoring and Measurement Auerbach, 2009 10 ITIL IT Service Management-Publications www.itilofficialsite.com/Publications/Publications.aspx Jackson, Chris (2010), Network Security Auditing Cisco Press 11 Jaquith, Andrew (2007), Security Metrics: Replacing Fear, Uncertainty, and Doubt Addison-Wesley, 2007 12 Kruse, Warren, and Jay Heiser (2001), Computer Forensics: Incident Response Essentials Addison-Wesley, 2001 13 Man Young Rhee (2003) Internet Security: Cryptographic principles, algorithms and protocols John Wiley & Sons, 2003 317 14 Manzuik, Steve, Andre Gold, and Chris Gatford (2006), Network Security Assessment: From Vulnerability to Patch Syngress, 2006 15 Maras, Marie-Helen (2011), Computer Forensics: Cybercriminals, Laws, and Evidence Jones & Bartlett Learning, 2011 16 Mark Rhodes - Ousley (2013), Second Edittion, The Complete References: Information Security, The McGraw-Hill Companies ISBN: 978-0-07-178436-8, MHID: 0-07-178436-5 17 Matt Bishop (2002), Computer Security: Art and Science, Addison, Wesley 18 McEntire, David Disaster Response and Recovery Wiley, 2006 Phillips, Brenda Disaster Recovery Auerbach, 2009 19 McNab, Chris (2007), Network Security Assessment: Know Your Network O’Reilly, 2007 20 Michael E Whitman, Herbert J Mattor (2011), Fourth Edittion, Principles of Information Security, Course Technology, 20 Channel Center Boston, MA 02210, USA, ISBN-13: 978-1-111-13821-9, ISBN10: 1-111-13821-4 21 Schultz, Eugene, and Russell Shumway (2001), Incident Response: A Strategic Guide to Handling System and Network Security Breaches Sams, 2001 22 Tony Campbell, (2016), Practical Information Security Management: A Complete Guide to Planning and Implementation, Burns Beach Australia ISBN-13 (pbk): 978-1-4842-1684-2 ISBN-13 (electronic): 978-1-4842-1685-9 DOI 10.1007/978-1-4842-1685-9 23 Wallace, Michael, and Lawrence Webber (2010), The Disaster Recovery Handbook: A Step-by-Step Plan to Ensure Business Continuity 2nd ed AMACOM, 2010 318 24 William Stallings (2005), Cryptography and Network Security Principles and Practices, Fourth Edition, Prentice Hall 25 http://m.antoanthongtin.vn/ 26 https://quantrimang.com/ 27 http://tapchitaichinh.vn/ 28 https://vnisa.org.vn/ 29 https://www.securitymagazine.com/ 30 https://www.cyberdefensemagazine.com/ 31 https://cybersecurityventures.com/ 32 http://www.hightseclabs.com/ 33 http://ssl.vn/ 34 http://www.cloudflare.com/ 35 http://internetpharming.yolasite.com/ 319 Chịu trách nhiệm xuất bản: Q Giám đốc NGUYỄN VIẾT QUÂN Chịu trách nhiệm nội dung: Tổng Biên tập NGUYỄN THỊ THÚY HẰNG Biên tập: LÊ TUYẾT MAI Trình bày: Bìa: DŨNG THẮNG Ruột: TRẦN KIÊN - In 500 cuốn, khổ 1624 cm tại NXB Thống kê - Công ty CP In và Thương mại Đông Bắc, Địa chỉ: Số 15, Ngõ 14, phố Pháo Đài Láng, phường Láng Thượng, quận Đống Đa, Hà Nội - Đăng ký xuất bản: 963-2021/CXBIPH/05-05/TK CXBIPH cấp ngày 23/3/2021 - QĐXB số 111/QĐ-NXBTK ngày 02/8/2021 của Quyền Giám đốc NXB Thống kê - In xong nộp lưu chiểu tháng năm 2021 - ISBN: 978-604-75-1912-5 320 ISBN-13: 978-604-75-1912-5 786047 519125 Giá: 161.000đ ... Cục An toàn thông tin, 12-2017) 1.2 MỤC TIÊU VÀ U CẦU CỦA AN TỒN VÀ BẢO MẬT THƠNG TIN 1.2.1 Mục tiêu an tồn và bảo mật thơng tin Đảm bảo an tồn bảo mật thơng tin cho hệ thống thông tin tổ... của an tồn và bảo mật thơng tin 27 1.2.2 Yêu cầu cho an toàn và bảo mật thông tin 28 1.2.3 Các nguyên tắc an toàn và bảo mật thơng tin 30 1.2.4 Các mơ hình đảm bảo an tồn bảo mật thơng tin. .. 13 Danh mục bảng biểu 15 Danh mục hình vẽ 17 Chương 1: TỔNG QUAN VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN 19 1.1 GIỚI THIỆU CHUNG VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN 19 1.1.1 Khái niệm an tồn bảo mật