Báo cáo tiểu luận An tồn thơng tin Nội dung L01: TH6: Giải thích ảnh hưởng ATTT đến cá nhân, tổ chức xã hội L02: TH4: Nhận diện mối đe doạ L03: TH4: Pháp luật L04: TH4: Giải thích giải pháp đảm bảo ATTT Công ty cổ phần đầu tư Du Lịch Viễn Đông hoạt động từ 11/2007, doanh nghiệp chuyên tổ chức tour lữ hành Du Lịch Trong & Ngồi Nước Ngồi cơng ty mở rộng hoạt động theo phát triển chung thị trường đầu tư dự án BĐS, cho thuê nhà xưởng KCN (Bình Dương) kinh doanh Xăng Dầu Các dịch vụ cơng ty: LO1: TH6: Giải thích ảnh hưởng ATTT đến cá nhân, tổ chức xã hội A Du lịch nước B Bất động sản Tổ chức tour du lịch Tham gia đầu tư dự án BĐS Cho thuê xe du lịch Cho thuê nhà xưởng KCN Đặt phịng khách sạn Mơi giới bất động sản Cung cấp sản phẩm du lịch theo nhu cầu khách hàng C Kinh doanh xăng dầu Mua bán xăng dầu Câu hỏi: 1) Hãy nêu giải thích tính cần thiết an tồn HTTT cơng ty/doanh nghiệp mô tả 2) Tại doanh nghiệp cần phải có biện pháp khác để đảm bảo tính an tồn thơng tin doanh nghiệp? Trả lời: 1) Hãy nêu giải thích tính cần thiết an tồn HTTT công ty/doanh nghiệp mô tả tính cần thiết an tồn HTTT: Tính bí mật Tính sẵn sàng Tính tồn vẹn Tính khơng thể chối cãi Tính bí mật • Là bảo vệ liệu không bị lộ ngồi cách trái phép • Doanh nghiệp đảm bảo an toàn, xác định quyền truy cập thơng tin tìm kiếm • Với tính bảo mật cao, hệ thống thống kê, kiểm soát lượng truy cập, thơng tin truy cập, chức kiểm sốt truy cập ln có hiệu lực, bảo mật tuyệt đối thơng tin • Trên hệ thống cơng ty cổ phần đầu tư Du lịch Viễn Đông, khách hàng bảo mật thông tin riêng tư cách tuyệt đối, khách xem thơng tin hợp đồng, tour du lịch hay liệu kí kết bất động sản mình, người khác truy cập, xem hay xâm nhập trái phép vào liệu khách hàng c e S ! y c e r Tính tồn vẹn • Đảm bảo nguyên thông tin, không xảy chỉnh sửa, chép liệu trái phép • Ngăn cản làm biến dạng nội dung thông tin người sử dụng không phép; trì nguyên liệu hệ thống, hạn chế tự chỉnh sửa thiếu chủ tâm người sở hữu thơng tin • Ở tình trên, tính tồn vẹn trì, khách hàng n tâm tour du lịch khơng có tự ý chỉnh sửa, thay đổi yếu tố nào, thứ đảm bảo nguyên bản, toàn vẹn e t In ! y t i gr Tính sẵn sàng • Đảm bảo liệu trạng thái sẵn sàng người dùng yêu cầu • Đảm bảo cho người sử dụng hợp pháp hệ thống có khả truy cập khơng bị ngắt quãng, tránh rủi ro phần cứng lẫn phần mềm • Đảm bảo độ ổn định đáng tin cậy thông tin, khách hàng nâng cao trải nghiệm dịch vụ ln truy cập vào hệ thống lúc, nơi • Trên HTTT mà cty Viễn Đông cung cấp cho khách hàng, đảm bảo khách hàng xem lại thông tin tour du lịch, liệu hợp đồng 24/7, miễn khách hàng có kết nối mạng truy cập được, khơng có tượng ngắt quãng, gián đoạn ! y d a Re Tính khơng thể chối cãi • Khả ngăn chặn việc từ chối hành vi thực • Mọi thao tác, giao dịch, hành vi thực khách hàng qua hệ thống ghi nhận, lưu trữ quản lý minh bạch, đảm bảo quyền lợi trách nhiệm bên • Trên HTTT Cty, cung cấp chứng chứng minh hành vi, giao dịch thực khách hàng nhằm đảm bảo quyền lợi khách hàng bên khác từ chối chu cấp dịch vụ với khách, đồng thời khách hàng phải có trách nhiệm với hành vi thực s i d n I b a t u p ! y t i l i Trả lời: 2) Tại doanh nghiệp cần phải có biện pháp khác để đảm bảo tính an tồn thơng tin doanh nghiệp? Các biện pháp đảm bảo an tồn thơng tin: • Cải tiến, nâng cao Cơng nghệ: thiết lập hệ thống phịng thủ website chống công; sử dụng tảng bảo vệ liệu cao cấp; sử dụng chế tự động lưu liệu • Đưa sách tổ chức: Nhất quán toàn nhân doanh nghiệp quy trình nghiệp vụ chuẩn hóa đồng nhất; Dữ liệu thông tin phải truyền hệ thống an tồn thơng suốt, quy trình, kỹ thuật • Đào tạo, tập huấn nâng cao nhận thức: Thường xuyên tổ chức buổi tập huấn an tồn thơng tin, thử đối mặt với tình giả định • Hợp tác với bên chun mơn an tồn thơng tin, cải tiến quy trình chuẩn hóa quốc tế: đặt mối quan hệ hợp tác, phối hợp với quan an tồn thơng tin, tự chuẩn hóa theo đuổi hệ thống an tồn thơng tin để kịp thời đối phó với cố Website BẢO HIỂM MANULIFE Manulife Financial cung cấp dịch vụ xem danh mục sản phẩm đa dạng từ sản phẩm bảo hiểm truyền thống đến sản phẩm bảo hiểm sức khoẻ, giáo dục, liên kết đầu tư, hưu trí… cho 700.000 khách hàng thông qua đội ngũ đại lý hùng hậu chuyên nghiệp 55 văn phòng 40 tỉnh thành nước Khách hàng chọn lựa, đặt câu hỏi, cần tư vấn hay mua gói bảo hiểm trực tuyến Website Xem thông tin quyền lợi bảo hiểm, xem hợp đồng bảo hiểm mua Ngoài Website cịn giúp cho cơng ty quản lý tồn hoạt động cơng ty quản lý khách hàng, nhân viên, hợp đồng bảo hiểm,… LO2: TH4: NHẬN DIỆN CÁC MỐI ĐE DỌA Câu hỏi: Chỉ mối đe doạ mà bạn gặp TH trên; Nếu lý có mối đe doạ đó; Phân tích hậu mối đe doạ thực xảy ra; Biện pháp phòng ngừa Ảnh hưởng tới Manulife • Sự cố từ tự nhiên (thiên tai, bão lũ,…) nguy hại tới hệ thống • Bảo hiểm Manulife có nhiều đại lý (>40 tỉnh) -> số nơi lỗi Lý tồn Hệ thống Manulife trải dài nhiều tỉnh; thiên tai năm xảy -> Một vài văn phòng bị ảnh hưởng khó tránh khỏi liệu, gián đoạn kết nối Mối đe doạ từ tự nhiên Hậu Tài sản HTTT bị phá hủy phần liệu -> Gián đoạn cung ứng dịch vụ, giảm doanh thu ,gây phiền tới khách hàng Biện pháp • Theo dõi thời tiết, dự báo, chủ động tự bảo vệ, ngăn chặn thiên tai ảnh hưởng tới sở, văn phịng • Thiết lập tự động lưu, tải liệu lên hệ thống tổng thường nhật, chống liệu đột ngột Ảnh hưởng tới Manulife • Sự cố, lỗi phát sinh trình làm việc,… -> rủi ro rò rỉ, tác động xấu tới hệ thống tổ chức • Website có 700000 khách hàng, nhân viên đông, khối lượng công việc Lý tồn Khối lượng công việc nhiều, lực lượng nhân viên vận hành hệ thống lớn, nên việc xảy sai sót q trình làm việc lớn, tiếp nối -> truy cập sai thông tin, lỗi thao tác, báo cáo,… Mối đe doạ không chủ ý Hậu Lỗi lưu trữ thông tin lên hệ thống, khách hàng bị cung cấp sai, thiếu thông tin dịch vụ, giảm tín nhiệm, ảnh hưởng tới doanh thu, uy tín Biện pháp Đào tạo huấn nghiệp nhân viên thường xuyên, nhắc nhở nhân viên cẩn trọng thao tác, cảnh giác với email lạ, link lạ, không cấp quyền truy cập cho người ẩn danh Ảnh hưởng tới Manulife • Tin tặc đối thủ kẻ phá hoại sử dụng phần mềm độc hại, công lừa đảo,… nhằm xâm nhập, phá hoại hệ thống doanh nghiệp • Với Bảo hiểm Manulife, tin tặc sử dụng kỹ thuật công, đánh cắp danh sách khách hàng, hay tạo web giả mạo để lừa đảo Hậu Mối đe doạ có chủ ý • Mất danh sách KH, rò rỉ lược kinh doanh • HTTT bị liệu, đảm bảo tính tồn vẹn, bí mật • Dính virus, mã độc tê liệt hệ thống, tính sẵn sàng, chặn dịch vụ -> Cty bị giảm doanh thu,mất uy tín; Khách hàng bị lộ thông tin Lý tồn Các tin tặc (có thể từ đối thủ) muốn xâm nhập đánh cắp danh sách khách hàng, phá hoại hệ thống, gián đoạn q trình làm việc giảm uy tín Manulife Biện pháp • Nâng cao mạng lưới an tồn, cố định thơng tin đăng nhập • Giám sát website, đặt cảnh báo với thời điểm lưu lượng tăng bất thường • Thường xuyên kiểm tra lại hệ thống an tồn thơng tin, đầu tư cải tiến thường q Một sinh viên ngành CNTT đam mê công việc bác sĩ máy tính chuyên cứu hộ máy tính bị cơng mã độc, phân tích mối đe dọa HTTT để từ cài đặt chế phù hợp để giảm thiểu rũi ro cho HTTT Vì vậy, sinh viên thường xuyên vào diễn dàn để tìm hiểu, học hỏi Sau thực thử nghiệm hết tất kỹ thuật học hỏi vào hệ thống thơng tin mà thích Kết đến thử nghiệm thành công nhiều công cụ, website nạn nhận lao đao thử nghiệm Ngồi lần cơng thử nghiệm, người chép nhiều thơng tin bảo mật hệ thống Sau người đem thông tin đăng tải lên diễn đàn cơng cộng chiến tích cá nhân Câu hỏi: LO3: TH4: Pháp luật Dựa vào Bộ luật an ninh mạng, bạn sinh viên tình vi phạm khoản luật? Trình bày nội dung điều khoản luật Bạn phân tích chi tiết nội dung điều khoản luật Giả sử bạn nhân viên làm việc ngành CNTT, bạn đưa giải thích lý bạn cần nắm rõ số điều khoản luật luật an ninh mạng Dựa vào Bộ luật an ninh mạng, bạn sinh viên tình vi phạm khoản luật? Trình bày nội dung điều khoản luật Bạn phân tích chi tiết nội dung điều khoản luật Dựa vào luật an ninh mạng (2018) cho thấy TH vi phạm khoản điều 8: Khoản 3: Sản xuất, đưa vào sử dụng cơng cụ, phương tiện, phần mềm có hành vi cản trở, gây rối loạn hoạt động mạng viễn thơng, mạng Internet, mạng máy tính, hệ thống thơng tin, hệ thống xử lý điều khiển thông tin, phương tiện điện tử; phát tán chương trình tin học gây hại cho hoạt động mạng viễn thông, mạng Internet, mạng máy tính, hệ thống thơng tin, hệ thống xử lý điều khiển thông tin, phương tiện điện tử; xâm nhập trái phép vào mạng viễn thông, mạng máy tính, hệ thống thơng tin, hệ thống xử lý điều khiển thông tin, sở liệu, phương tiện điện tử người khác Phân tích Luật an ninh khoản cấm cá nhân, tổ chức tự ý xâm nhập trái phép vào hệ thống mạng như: mạng viễn thơng, mạng máy tính, hệ thống thông tin, hệ thống xử lý điều khiển thông tin, sở liệu, phương tiện điện tử; Và cấm người khác tự ý sản xuất, đưa công cụ, phương tiện, phền mềm hay hoạt động cản trở, ảnh hưởng tới vấn đề mạng không thuộc quyền sở hữu Cụ thể trường hợp bạn sinh viên lúc tìm hiểu, nghiên cứu, bạn tự ý xâm nhập vào hệ thống không thuộc vào quyền sở hữu minh chép thông tin bảo mật hệ thống Dựa vào luật an ninh mạng (2018) cho thấy TH vi phạm khoản điều 8: Khoản 5: Lợi dụng lạm dụng hoạt động bảo vệ an ninh mạng để xâm phạm chủ quyền, lợi ích, an ninh quốc gia, trật tự, an tồn xã hội, quyền lợi ích hợp pháp quan, tổ chức, cá nhân để trục lợi Phân tích Luật an ninh mạng khoản cấm cá nhân, tổ chức kinh doanh, thực hành động sửa chữa, bảo vệ an ninh mạng khơng lợi dụng hay lạm dụng việc để tự ý xâm phạm, tự ý can thiệp vào thông tin nơi mà cá nhân hay tổ chức bảo vệ an ninh mạng hay dùng thơng tin để trục lợi cho Cụ thể trường hợp trên, bạn sinh viên lúc tìm hiểu, học hỏi, cơng thử an ninh mạng thành cơng Sau bạn chép thơng tin bí mật hệ thống đăng tải lên mạng coi chiến tích to lớn Dựa vào luật công nghệ thông tin (2006) cho thấy tình vi phạm khoản điều 22: Khoản 2: Tổ chức, cá nhân không cung cấp thông tin cá nhân người khác cho bên thứ ba, trừ trường hợp pháp luật có quy định khác có đồng ý người Phân tích Khoản điều 22 luật CNTT cấm cá nhân tổ chức trình bảo vệ an ninh mạng hay trường hợp không cung cấp thông tin người khác cho người khác biết Trừ có đồng ý người sở hữu thơng tin hay quy định pháp luật Để phục vụ nhu cầu học tập nghiên cứu cán bộ, giảng viên sinh viên trường (gọi chung độc giả), nhà trường trang bị phòng đọc sách cho độc giả Phịng có trang bị máy lạnh, bàn ghế, wifi, 100 máy tính để bàn Sinh viên tự vào phòng đọc sách khoảng thời gian thư viên mở để ngồi đọc sách, học tập nghiên cứu dùng máy tính Các máy tính dùng để học tập/nghiên cứu không cho phép chơi game LO4: TH4: Giải thích giải pháp đảm bảo ATTT Câu hỏi: Đưa mơ tả giải pháp mà cài đặt để kiểm sốt vào phịng đọc sách độc giả cách tự động nêu lý sao? Đưa mô tả giải pháp mà kiểm sốt việc sử dụng wifi thiết bị máy móc phịng đọc sách nêu lý sao? 1) Đưa mơ tả giải pháp cài đặt để kiểm sốt vào phịng đọc sách cách tự động Mơ tả phương pháp dùng thẻ từ: • Bình thường hệ thống chốt cửa ngăn chặn việc tự qua cửa kiểm sốt • Mỗi đọc giả cần đăng kí vào hệ thống kiểm sốt vào ra, thẻ có in thơng tin tên tuổi, hình ảnh mã số tương ứng với sinh viên Qua người quản lý cấp quyền truy cập thẻ từ • Để vào phòng Đọc giả cần phải để thẻ trước đầu đọc thẻ Đầu đọc nhận dạng thẻ xem có hợp lệ không Nếu thẻ hợp lệ cửa tự động mở • Đầu đọc kiểm sốt vào kết nối với máy tính Qua thơng tin vào đọc giả vào khu vực quản lý chặt chẽ Hệ thống kiểm sốt cửa vào hồn tồn tự động hóa điều khiển theo dõi qua phần mềm trung tâm (thẻ từ) Lý chọn thẻ từ vì: • Hợp mơi trường có số người vào lớn, trường đơng sinh viên • Thời gian đọc thẻ diễn chưa đến 1s/ lượt quẹt thẻ • Chỉ cần dùng thẻ để quẹt đến nơi làm việc vào Những thẻ sử dụng hồn tồn khơng bị ảnh hưởng mơi trường hay thời tiết • Mỗi thẻ có ID riêng khơng trùng lặp Khi thẻ thẻ bị vô hiệu nên không cần lo lắng kẻ xấu nhặt 2) Đưa mơ tả giải pháp kiểm soát việc sử dụng Wifi thiết bị máy móc phịng đọc sách Mơ tả phương pháp: Xác minh danh tính người sử dụng thiết bị họ dùng • Khi người dùng sử dụng wifi cần phải đăng nhập để xác minh khoảng thời gian đăng nhập vào wifi họ tên xác nhận thông tin người sử dụng Đăng nhập ID pass cá nhân (MSSV mật cá nhân) • Thiết bị khác bàn ghế sử dụng giấy viết tay để vào bàn người quản lý phòng đọc sách hay điền vào form sử dụng thiết bị website phòng đọc sách • Các máy tính cần sử dụng phần mềm quản lý phòng máy riêng biệt chẳng hạn NetSupport School 14 để quản lí hành động người dùng Lý do: Kiểm soát người dùng truy cập vào trang web phòng đọc sách, xác minh danh tính người sử dụng thiết bị họ sử dụng, đồng thời ngăn chặn họ phát tán thông tin xấu không phù hợp Thank you! Nhóm