Đề tài tìm hiểu về công nghệ lậptrình trên đám mây

Điều này gây ảnh hưởngđến tính sẵn sàng sử dụng của trang web cho người dùng. Xóa dữ liệu quan trọng: Một nhân viên gian lận trong tổ chức xóa dữ liệuquan trọng trên máy chủ của công ty

BỘ TÀI CHÍNH TRƯỜNG ĐẠI HỌC TÀI CHÍNH – MARKETING KHOA CÔNG NGHỆ THÔNG TIN



TIỂU LUẬN MÔN HỌC

AN TOÀN THÔNG TIN

Đề tài:

TÌM HIỂU VỀ CÔNG NGHỆ LẬP TRÌNH TRÊN ĐÁM MÂY

Giảng viên hướng dẫn: TS Trương Thành Công Sinh viên thực hiện: Nguyễn Khánh Vân

Mã lớp học phần: 2331112002708

TP Hồ Chí Minh, tháng 11 năm 2023

BỘ TÀI CHÍNH TRƯỜNG ĐẠI HỌC TÀI CHÍNH – MARKETING KHOA CÔNG NGHỆ THÔNG TIN

Giảng viên hướng dẫn: TS Tôn Thất Hòa An Sinh viên thực hiện: Nguyễn Khánh Vân - 2121012043

Mã lớp học phần: 2331112003006

TP Hồ Chí Minh, tháng 11 năm

LỜI CẢM ƠN

Để hoàn thành bài tiểu luận này, em xin gửi lời chân thành cảm ơn đến giảng viên

bộ môn An toàn thông tin – thầy Trương Thành Công đã giảng dạy tận tình, chi tiết đểchúng em có đủ kiến thức và vận dụng chúng vào bài đồ án này

Do chưa có nhiều kinh nghiệm làm bài cũng như những hạn chế về kiến thức, trongbài tiểu luận chắc chắn sẽ không tránh khỏi những thiếu sót Rất mong được sự nhậnxét, ý kiến đóng góp, phê bình từ phía thầy để bài đồ án của chúng em được hoàn thiệnhơn

Lời cuối cùng chúng em xin chúc thầy nhiều sức khỏe, thành công và hạnh phúc

ĐÁNH GIÁ NHẬN XÉT CỦA GIẢNG VIÊN (1)

 Điểm số:

 Điểm chữ:

TP Hồ Chí Minh, tháng 11 năm 2023

ĐÁNH GIÁ NHẬN XÉT CỦA GIẢNG VIÊN (1)

 Điểm số:

 Điểm chữ:

TP Hồ Chí Minh, tháng 11 năm 2023

DANH MỤC TỪ VIẾT TẮT

Led hiển thị 100% (2)

10

DANH MỤC THUẬT NGỮ ANH VIỆT

20 ĐỀ THI THỬ TỐT NGHIỆP THPT NĂM…

an ninhmạng 100% (2)

160

DANH MỤC BẢNG BIỂU

DANH MỤC HÌNH ẢNH

MỤC LỤC

CHƯƠNG 1: CĂN BẢN VỀ AN TOÀN VÀ BẢO MẬT

THÔNG TIN

1.1 Bài tập chương một buổi 1

1.1.1 Câu 1: Tại sao cần phải có an toàn thông tin

Trong thời đại công nghệ kỹ thuật số phát triển cực nhanh, dữ liệu và thông tin trởthành tài sản quý báu và người dùng cần đảm bảo rằng nó được bảo vệ một cách hiệuquả trước các mối đe dọa ngày càng phức tạp

Cần thiết phải có An toàn thông tin để bảo vệ những thông tin dữ liệu ấy:

- Về góc độ cá nhân:

Bảo vệ thông tin cá nhân khỏi xâm nhập và lạm dụng, đảm bảo tính an toàn chothông tin, và ngăn chặn các cuộc tấn công mạng An toàn thông tin giúp bảo vệ thôngtin cá nhân và nhạy cảm của cá nhân và tổ chức khỏi sự truy cập trái phép Điều nàybao gồm thông tin về tài khoản ngân hàng, thông tin y tế, số điện thoại, địa chỉ, vànhiều dạng dữ liệu cá nhân khác

- Ngăn Chặn Tấn Công Trực Tuyến: An toàn thông tin giúp ngăn chặn các hìnhthức tấn công trực tuyến như hack mật khẩu, mã độc, và lừa đảo trực tuyến Nó đảmbảo rằng dữ liệu và thông tin không bị thất thoát hoặc bị biến đổi bởi các kẻ tấn công.

- Bảo Vệ Quyền Riêng Tư: An toàn thông tin đóng vai trò quan trọng trong việcbảo vệ quyền riêng tư của mọi người trực tuyến Đảm bảo rằng thông tin cá nhânkhông bị thu thập hoặc sử dụng một cách trái phép

Tóm lại, an toàn thông tin đóng vai trò quan trọng trong bảo vệ cá nhân, tổ chức, và

xã hội khỏi các mối đe dọa trực tuyến Nó đảm bảo tính toàn vẹn của dữ liệu, quyềnriêng tư, và an ninh thông tin

1.1.2 Câu 2: Tóm tắ t lắch sắ cắ a an toàn thông tin

- Nưm 1970 – 1980:

Mệt sệ ệệo luệt ra ệệi, ệệnh nghệa an toàn máy tính và các trách nhiệm cệ thệ Phệm vi an toàn máy tính ệệệc mệ rệng, bao gệm: Bệo mệt dệ liệu; Hện chệ truy cệp ngệu nhiên và trái phép vào dệ liệu ARPANET trệ nên phệ biện hện, vện ệệ an toàn mệng trệ nên cệp bách do xuệt hiện các vi phệm vệ an toàn máy tính 1970: Sệ ra ệệi cệa PC và hệ ệiệu hành UNIX Nệm 1986: Virut ệệu tiên ra ệệi ệệu nệm 1980: sệ ra ệệi cệa giao thệc TPC và IP Ra ệệi CERT: trung tâm ệng cệu sệ cệ máy tính khện cệp

- Nưm 1990:

Vào cuệi nhệng nệm 1990, sệ quan tâm ệện an ninh thông tin ệã trệ nên quan trệng,dện ệện sệ phát triện cệa các sện phệm chệng virus và bệo mệt thông tin Internet trệ nênphệ biện ệã ệánh mệt sệ bệo mệt vệt lý cệa máy tính, làm tệng nguy cệ mệi ệe dệa bệo mệtthông tin Sệ thệệng mệi hóa cệa mệng máy tính và sệ ra ệệi cệa sệ kiện DEFCON vào nệm

1993 ệã tệo ệiệu kiện cho sệ gia tệng vệ quan tâm ệện an ninh mệng

1.1.3 Câu 3: Tìm hiểu về các thuật ngữ

1 Access (Truy cưp): thệệng ệệệc sệ dệng ệệ chệ quyện hoệc khệ nệng truy cệp vào hệ thệng, dệch vệ, dệ liệu hoệc tài nguyên cệa mệt hệ thệng thông tin Access là mệt khía cệnh quan trệng cệa an toàn thông tin, và quện lý truy cệp ệệệc sệ dệng ệệ ệệm bệo rệng chệ nhệng ngệệi có quyện ệệệc phép truy cệp thông tin hoệc tài nguyên cệ thệ

VD: Tesla là mệt công ty nệi tiệng trong lệnh vệc ô tô ệiện và công nghệ liên quan Hệ

sệ hệu dệ liệu quan trệng vệ thiệt kệ sện phệm, dệ án nghiên cệu và phát triện, và thông tin vệkhách hàng và hệ thệng cệa hệ Vì vệy hệ thệc hiện Kiệm soát quyện truy cệp cệa nhân viênbệng cách Tệt cệ nhân viên Tesla có tài khoện ệệng nhệp riêng vệi các quyện truy cệp ệệệccệp dệa trên vai trò cệa hệ Dệ liệu nhệy cệm chệ ệệệc truy cệp bệi nhệng ngệệi có quyện vànhiệm vệ cệ thệ

2 Asset (Tài sưn): thệệng ệệệc sệ dệng ệệ chệ mệt tài sện hoệc nguện tài nguyên có giátrệ mà mệt tệ chệc hoệc cá nhân cện bệo vệ và quện lý Các tài sện này có thệ là vệt

lý hoệc phi vệt lý và gệm nhiệu loệi khác nhau, bao gệm dệ liệu, thiệt bệ, phện mệm,nhân lệc, và nhiệu thệ khác VD nhệ: Trang web, dệ liệu khách hàng, máy chệ trungtâm dệ liệu.

3 Attack (Tưn công): ệệệc sệ dệng ệệ chệ mệt hành ệệng hoệc sệ kiện nhệm vào mệt hệthệng, mệng, ệng dệng hoệc tài sện có giá trệ ệệ gây hệi hoệc tệo ra sệ nguy hiệm Tệncông có thệ thệc hiện bệi ngệệi dùng hoệc tệ chệc xệu dệệi nhiệu hình thệc khác nhau

và vệi nhiệu mệc tiêu khác nhau Các cuệc tện công có thệ chệ ệệng hoệc thệ ệệng, cệ

ý hoệc vô ý, trệc tiệp hoệc gián tiệp

VD: Mệt Hacker cệ gệng ệệt nhệp vào hệ thệng là mệt cuệc tện công có chệ ý

4 Control, safeguard, or countermeasure: ệệ cệp ệện các biện pháp, quy trình, hoệccông cệ ệệệc áp dệng ệệ bệo vệ và ệệi phó vệi các mệi ệe dệa và rệi ro an ninh thôngtin

- Control (Kiưm soát): Control là mệt tài liệu hoệc hệệng dện quy ệệnh các biện pháp

và quy trình cệ thệ ệệ bệo vệ thông tin và hệ thệng Control thệệng ệệệc phát triện dệatrên các tiêu chuện và khung làm việc an ninh thông tin nhệ ISO 27001 và NIST SP 800-53 Control ệệnh rõ nhệng gì cện thệc hiện ệệ ệệm bệo tính bệo mệt và tuân thệ.VD: Chính sách Mệt khệu: Tệ chệc xây dệng và thệc thi mệt chính sách mệt khệu mệnh, yêu cệu ngệệi dùng thay ệệi mệt khệu ệệnh kệ và không chia sệ mệt khệu vệi ngệệi khác

- Safeguard (Biưn pháp bưo vư): Safeguard là mệt biện pháp hoệc công cệ ệệệc áp dệng ệệ bệo vệ thông tin và hệ thệng khệi các mệi ệe dệa và rệi ro an ninh Safeguard

có thệ bao gệm cệ các công nghệ bệo mệt nhệ firewall, mã hóa dệ liệu, cệng nhệ các biện pháp an ninh vệt lý nhệ kiệm soát truy cệp và hệ thệng camera giám sát.VD: Firewall: Tệ chệc triện khai mệt tệệng lệa ệệ ngện chện các tện công mệng tệ bên ngoài và kiệm soát lệu lệệng truy cệp vào mệng

- Countermeasure (Biưn pháp ưưi phó): Countermeasure là mệt biện pháp hoệc hànhệệng ệệệc thệc hiện sau khi ệã xệy ra mệt sệ cệ hoệc tện công ệệ giệm thiệu thiệt hệihoệc khệc phệc tình huệng Các biện pháp ệệi phó có thệ bao gệm việc phệc hệi dệliệu, triện khai các biện pháp an ninh bệ sung, và ệiệu tra sệ cệ.

VD: Phệc hệi Dệ liệu tệ Sao Lệu (Backup): Sau mệt sệ cệ mệt dệ liệu, tệ chệc sệ dệngbện sao lệu dệ liệu ệệ phệc hệi thông tin mệt mát

5 Exploit: thệệng ệệệc sệ dệng ệệ chệ mệt chệệng trình hoệc mã ệệc hệi ệệệc tệo ra ệệ tệndệng mệt lệ hệng bệo mệt trong mệt hệ thệng hoệc phện mệm cệ thệ Mệc tiêu cệaviệc tện dệng (exploit) là thệc hiện mệt hành ệệng không ệệệc ệy quyện hoệc gây ra sệ

cệ trong hệ thệng hoệc ệng dệng ệó

VD: WannaCry, mệt loệi ransomware xuệt hiện vào nệm 2017 WannaCry sệ dệngmệt lệ hệng bệo mệt trong Windows ệệệc gệi là "EternalBlue" ệệ lây lan và mã hóa dệ liệutrên máy tính cệa nện nhân Cuệc tện công này ệnh hệệng ệện hàng trệm nghìn máy tínhtrên khệp thệ giệi, gây ra thiệt hệi nghiêm trệng Nện nhân bệ ệe dệa phệi trệ tiện chuệc ệệgiệi mã dệ liệu cệa hệ WannaCry ệã ệệy Microsoft và cệng ệệng an ninh mệng vào việc cệpnhệt hệ thệng và ệng dệng ệệ ngện chện các tện công tệệng tệ trong tệệng lai

6 Exposure: thệệng ệệệc sệ dệng ệệ chệ việc thông tin, hệ thệng hoệc tệ chệc có thệ bệtiệp cện hoệc bệ tiệt lệ ệện các mệi ệe dệa hoệc rệi ro bệo mệt Exposure có thệ xệy rakhi có sệ yệu ệiệm trong hệ thệng hoệc quy trình bệo mệt

VD: Cuệc tện công vào Yahoo vào nệm 2013 và 2014 Trong cuệc tện công này, kệtện công ệã sệ dệng mệt lệ hệng bệo mệt trong hệ thệng Yahoo ệệ truy cệp và ệánh cệp thôngtin cá nhân cệa hàng tệ tài khoện ngệệi dùng Thông tin bệ tiệt lệ bao gệm tên, ệệa chệ email,mệt khệu ệã mã hóa, và nhiệu thông tin cá nhân khác Cuệc tện công này ệã gây ra mệt dệliệu quan trệng và ệnh hệệng ệện uy tín cệa Yahoo

7 Loss: thệệng ệệ cệp ệện việc mệt mát dệ liệu quan trệng, thông tin cá nhân, hoệc khệnệng sệ dệng hệ thệng hoệc tài sện cệa tệ chệc

- Loệi Loss: Loss có thệ bao gệm các khía cệnh khác nhau, nhệ:

o Data Loss: Mệt mát hoệc bệ ệánh cệp dệ liệu quan trệng hoệc nhệy cệm

o Financial Loss: Mệt tiện hoệc tện thệt tài chính do cuệc tện công hoệc sệ kiệmsoát không ệệ

o Reputation Loss: Thiệt hệi cho uy tín hoệc hình ệnh cệa tệ chệc do sệ kiệmsoát không ệệ hoệc cuệc tện công thành công

VD: Cuệc tện công ransomware vào Colonial Pipeline vào nệm 2021 ColonialPipeline, mệt hệ thệng ệệệng ệng dện dệu quan trệng tệi Hoa Kệ, ệã trệi qua mệt sệ kiện ệáng

lo ngệi khi bệ kệ tện công mã hóa dệ liệu và ệòi tiện chuệc lện ệệ giệi mã Cuệc tện công này

ệã gây ra mệt mát nghiêm trệng ệệi vệi Colonial Pipeline Hệ thệng ệệệng ệng dện dệu ệã phệitệm ngệng hoệt ệệng, gây ra thiệu hệt nhiên liệu và tệo áp lệc lên giá cệ và cung cệp nệnglệệng Hệ cệng ệã phệi trệ mệt khoện tiện chuệc lện cho kệ tện công ệệ giệi mã dệ liệu và ệệimệt vệi hệu quệ vệ uy tín và danh tiệng

8 Protection Profile (Hư sư bưo vư): Protection profile là mệt tài liệu hoệc tệp hệp cáchệệng dện mô tệ các yêu cệu bệo mệt cệ thệ cho mệt hệ thệng, sện phệm, hoệc ệngdệng Nó có thệ ệệệc sệ dệng ệệ ệệnh rõ các tính nệng bệo mệt mà sện phệm hoệc hệthệng cện tuân theo và cung cệp mệt cệ sệ ệệ ệánh giá tính bệo mệt cệa chúng.Protection profile thệệng ệệệc sệ dệng trong việc xác ệệnh tiêu chuện bệo mệt chosện phệm hoệc hệ thệng cệ thệ

VD: Mệt công ty sện xuệt các thiệt bệ ệệnh vệ GPS ệệ ệệm bệo tính bệo mệt cệa cácthiệt bệ này, công ty có thệ tệo mệt protection profile ệệ xác ệệnh các yêu cệu bệo mệt cệnthiệt, chệng hện nhệ mã hóa dệ liệu ệệnh vệ, bệo vệ khệi tện công mệng, và xác thệc ngệệidùng

9 Security Posture (Tư duy bưo mưt hoưc Trưng thái bưo mưt): Security posture ệệ cệpệện trệng thái hoệc tình hình bệo mệt tệng thệ cệa mệt tệ chệc hoệc hệ thệng Nó baogệm các biện pháp bệo mệt, quy trình, và tệ duy cệa tệ chệc ệệ ệệm bệo tính bệo mệt

cệa thông tin và tài sện quan trệng ệiệu này có thệ bao gệm các biện pháp nhệ cệpnhệt hệ thệng, giám sát mệng, ệào tệo nhân viên vệ an toàn thông tin, và thệc hiệncác biện pháp bệo vệ dệ liệu.

VD: Mệt công ty ngân hàng, chệng hện, có thệ có mệt security posture mệnh mệ baogệm các biện pháp nhệ:

- Cài ệệt tệệng lệa mệng ệệ ngện chện truy cệp trái phép vào hệ thệng

- Hệ thệng giám sát liên tệc ệệ theo dõi hoệt ệệng mệng và phát hiện các dệu hiệu cệacuệc tện công

10 Risk: ệệ cệp ệện khệ nệng xệy ra mệt sệ kiện không mong muện hoệc hệu quệ tiêu cệc

và mệc ệệ cệa tác ệệng cệa nó Risk thệệng ệệệc ệo lệệng dệa trên xác suệt xệy ra cệa

sệ kiện và mệc ệệ tện thệt mà nó có thệ gây ra

VD: Vào nệm 2017, Equifax, mệt trong nhệng công ty tiện tệ trong lệnh vệc dệch vệtín dệng, ệã trệi qua mệt cuệc vi phệm dệ liệu lện Rệi ro chính ệ ệây bao gệm:

- Rệi ro Bệo Mệt Thông Tin Cá Nhân: Dệ liệu cá nhân cệa hàng triệu ngệệi ệã bệ rò rệ,ệệc biệt là thông tin nhệy cệm nhệ sệ CMND và sệ An toàn Xã hệi ệiệu này có thệ dệnệện việc sệ dệng sai mệc ệích, gian lện tài chính và ệnh hệệng ệện danh tiệng cệangệệi bệ ệnh hệệng

- Rệi ro Pháp Lý: Equifax ệã phệi ệệi mệt vệi hàng loệt vệ kiện và yêu cệu bệi thệệng tệngệệi bệ ệnh hệệng và các cệ quan quện lý Hệ ệã phệi trệ hàng tệ ệô la ệệ ệện bù chonhệng ngệệi bệ ệnh hệệng và ệệi phó vệi việc ệiệu tra và phệt do các cệ quan chínhphệ

- Rệi ro Tài Chính: Việc giệm giá trệ cệ phiệu cệa Equifax và mệt uy tín ệã ệnh hệệngệện tài chính cệa công ty Hệ ệã phệi chi trệ các chi phí liên quan ệện việc xệ lý việc viphệm dệ liệu và cệi thiện bệo mệt thông tin

11 Subjects: là các thệc thệ hoệt ệệng hoệc nhệng ngệệi thệc hiện và tiện hành cuệc tệncông Các ệệi tệệng này có thệ là cá nhân, nhóm hoệc các chệệng trình tệ ệệng (nhệ

phện mệm ệệc hệi) vệi ý ệệ ệệc hệi ệệi tệệng chệu trách nhiệm thệc hiện cuệc tện công

và cệ gệng vi phệm an ninh cệa mệc tiêu

VD: Nhệng hacker, tệi phệm mệng, nhệng ngệệi bên trong vệi ý ệệ ệệc hệi và botệệệc thiệt kệ ệệ khai thác lệ hệng

12 Objects of attack: là các thệc thệ bệ ệe dệa hoệc bệ tện công ệây là tài sện, hệ thệnghoệc nguện tài nguyên mà các Subjects cệ gệng vi phệm, kiệm soát hoệc gây hệitrong cuệc tện công Mệc tiêu cệa cuệc tện công là nhệng thệ mà các Subjects cệgệng truy cệp hoệc kiệm soát mà không ệệệc phép

VD: hệ thệng máy tính, mệng, dệ liệu và các tài nguyên thông tin khác

13 Threat: chệ ệện bệt kệ nguy cệ tiệm ện, rệi ro hoệc sệ kiện có hệi nào có thệ ệe dệa tính bệo mệt, tính toàn vện hoệc tính sện có cệa dệ liệu, hệ thệng hoệc tài nguyên Mệi ệe dệa có thệ ệện tệ nhiệu nguện và có thệ có nhiệu hình thệc khác nhau.VD: Cuệc tện công mệng Target (2013) cuệc tện công này ệã lệi dệng nguy cệ vệ

lệ hệng bệo mệt trong hệ thệng hoá ệện ệiện tệ cệa Target ệệ xêm nhệp và lệp cệp dệ liệu

14 Threat agent: thệệng ệệệc ệệnh nghệa nhệ mệt thệc thệ hoệc nguện gây ra mệi ệe dệa hoệc nguy cệ cho hệ thệng máy tính, dệ liệu, hoệc tệ chệc Threat agent có thệ là mệt

cá nhân, mệt nhóm ngệệi, mệt tệ chệc, hoệc thệm chí có thệ là các phện mệm ệệc hệi hoệc botnets (mệng bot)

VD: Phện mệm ệệc hệi (Malware), Tệ chệc tệi phệm (Criminal Organizations),

15 Vulnerability (Lư hưng): Là mệt lệi hoệc ệiệm yệu trong hệ thệng, bao gệm 2 loệi:

a CVE: Nhệng lệ hệng thông thệệng và ệã ệệệc công khai

b Zero_day: Là nhệng lệ hệng chệa ệệệc phát hiện và chệa ệệệc khệc phệc, thệệng bệ các thành phện tệi phệm lệi dệng và tện công

VD: "CVE-2019-11931," mệt lệ hệng bệo mệt trên WhatsApp (mệt phện cệaFacebook) vào nệm 2019 Lệ hệng này cho phép tện công viên gệi mệt thông ệiệp có

chệa phện mệm ệệc hệi tệi ngệệi dùng WhatsApp mà không cện hệ bệm vào thôngệiệp.

1.2 Bài tập chương 1 buổi 2

1.2.1 Câu 1: Trình bày về mô hình C.I.A và mở rộng của mô hình này? Tại sao nói C.I.A không còn đủ cho ATTT?

Năm 2002, Donn Parker đã đề xuất một mô hình tương đương với tam giác CIA,được gọi là 6 nhân tố cơ bản của thông tin Các nhân tố đó là: bí mật (confidentiality),

sở hữu (possession), toàn vẹn (integrity), xác thực (authenticity), sẵn sàng(availability) và tiện ích (utility)

Mô hình C.I.A là một trong những mô hình cơ bản trong lĩnh vực An toàn thông tin

và đề cập đến ba yếu tố chính cần phải được bảo vệ trong hệ thống thông tin C.I.A làviết tắt của ba khái niệm quan trọng sau:

 Confidentiality (tính Bảo mật): Mục tiêu của bảo mật thông tin là đảm bảo

rằng thông tin chỉ có thể được truy cập và hiển thị cho những người hoặc thựcthể được ủy quyền Điều này đảm bảo rằng thông tin không rơi vào tay ngườikhông có quyền truy cập và ngăn chặn sự rò rỉ thông tin

 Integrity (Tính toàn vẹn): Tính toàn vẹn thông tin đảm bảo rằng thông tin

không bị thay đổi trái ý hoặc bị hỏng trong quá trình truyền tải hoặc lưu trữ.Khi thông tin bị thay đổi mà không được kiểm soát, có thể gây ra sự nhầm lẫnhoặc thiệt hại nghiêm trọng

 Availability (Tính khả dụng): Khả năng sẵn sàng của thông tin đảm bảo rằng

thông tin có thể truy cập và sử dụng khi cần thiết Điều này đề phòng khỏi sự

cố, tấn công hoặc ngừng hoạt động gây mất thông tin quan trọng

Mở rộng của mô hình C.I.A thường bao gồm thêm một số yếu tố để tăng cường khảnăng bảo vệ thông tin và ứng phó với các mối đe dọa phức tạp hơn Dưới đây là một

số mở rộng phổ biến của mô hình C.I.A:

 Authentication (Xác thực): Yếu tố này đảm bảo rằng người dùng hoặc thiết

bị nào đó là ai họ tuyên bố là, thông qua quy trình xác thực như mật khẩu, thẻthông tin, hoặc biometrics

 Authorization (Ủy quyền): Xác định quyền truy cập của người dùng hoặc

thiết bị sau khi họ đã xác thực thành công Điều này quyết định được họ đượcphép truy cập thông tin nào và thực hiện các hoạt động nào

 Accountability (Trách nhiệm): Theo dõi và ghi lại các hoạt động trong hệ

thống Điều này giúp xác định người đã thực hiện hành động gì, và có thểđược sử dụng cho mục đích kiểm tra và phân tích sau khi xảy ra sự cố

 Non-Repudiation (chống thoái thác): Đảm bảo rằng người dùng hoặc thực

thể không thể phủ nhận sự tham gia hoặc hành động mà họ đã thực hiện Điềunày thường đạt được thông qua việc sử dụng chữ ký số hoặc hồ sơ ghi chú.Thông tin có những thuộc tính quan trọng như:

 Tính sở hữu hay xác định được ai là người sở hữu

Tuy nhiên mô hình CIA chỉ mới đảm bảo được 3 thuộc tính quan trọng của thôngtin đó là bảo mật, toàn vẹn và khả dụng vì vậy nên mô hình CIA sẽ chưa thể đảm bảođược những trường hợp như:

 Rủi ro đa dạng hóa: Các mối đe dọa và cuộc tấn công mạng ngày càng đa dạng

và phức tạp hơn Không chỉ có việc truy cập trái phép thông tin (vi phạm tính

bí mật), mà còn có sự thay đổi thông tin trái phép (vi phạm tính toàn vẹn), và

sự tấn công nhằm vào sẵn sàng của hệ thống (vi phạm tính sẵn sàng)

 Phạm vi mở rộng: Sự phát triển của công nghệ và mạng Internet đã mở rộngphạm vi của bảo mật thông tin Các hệ thống ngày càng kết nối và truy cậpthông tin từ nhiều nguồn khác nhau, làm cho việc đảm bảo tính bí mật, toànvẹn và sẵn sàng trở nên phức tạp hơn

 Sự đổi mới công nghệ: Các cuộc tấn công mạng ngày càng sử dụng công nghệcao cấp như trí tuệ nhân tạo (AI), máy học, và blockchain để thực hiện cáccuộc

 tấn công phức tạp Điều này đòi hỏi các biện pháp bảo mật cũng phải sử dụngcông nghệ tiên tiến để đối phó

 Quản lý danh tính: Sự phát triển của quản lý danh tính (identity management)

là một yếu tố quan trọng Các hệ thống phải xác định, xác thực và theo dõingười dùng và thiết bị một cách chính xác để đảm bảo bảo mật thông tin

 Tuân thủ và quy định: Các quy định và yêu cầu về bảo mật thông tin ngàycàng nghiêm ngặt Việc duy trì tuân thủ với các tiêu chuẩn và quy định bảomật cũng trở thành một phần quan trọng của an toàn thông tin

 Không có tính chất linh hoạt

 Chưa dự trù được những mối đe dọa về AI => Đây sẽ là mối đe doạ Định hìnhlại những tiêu chuẩn mới về ATTT

 không có khả năng mở rộng

=> Do những thách thức này, nhiều tổ chức và chuyên gia bảo mật thông tin đã bổsung thêm các nguyên tắc khác vào mô hình CIA hoặc sử dụng các mô hình bảo mậtthông tin phức tạp hơn như mô hình AAA (Authentication, Authorization,Accounting) hoặc Zero Trust để đảm bảo bảo mật thông tin hiệu quả hơn trong môitrường ngày nay

1.2.2 Câu 2: Cho ví dụ về các vi phạm đối với mô hình C.I.A mở rộng (2 ví

 VD2: Một người dùng nhận một email từ một địa chỉ email giả mạo giốnghệt với địa chỉ email của ngân hàng của họ Email này yêu cầu họ cung cấpthông tin tài khoản cá nhân Người dùng, không nhận ra sự giả mạo, cungcấp thông tin cá nhân của mình cho kẻ tấn công.

- Tính cấp quyền:

 VD1: Nhân viên phòng tài chính chỉ có thể truy cập vào dữ liệu của phòngtài chính nhưng khi chuyển phòng ban thì quản trị viên chưa cập nhật lạiquyền nên người đó vẫn có thể truy cập vô dữ liệu

 VD2: Không cấp quyền cho cá nhân để thực hiện chức năng

- Tính chống thoái thác:

 VD1: Nếu không có nhật ký thì khi xóa dữ liệu trên csdl không được ghi lại

 VD2: Tổ chức không có kế hoạch đầy đủ để ứng phó với sự cố lớn như cuộctấn công mạng nghiêm trọng Điều này làm cho họ mất tính chống thoái thác

và không có khả năng phục hồi dữ liệu và dịch vụ sau khi xảy ra sự cố

- Vi phạm Bí mật (Confidentiality):

 VD1: Xâm nhập dữ liệu: Một tấn công hacker xâm nhập vào hệ thống củamột tập đoàn và truy cập thông tin cá nhân của khách hàng, bao gồm tên, địachỉ, số điện thoại, và thông tin tài khoản ngân hàng Việc này vi phạm tính bímật của dữ liệu cá nhân của khách hàng

 VD2: Rò rỉ thông tin qua email: Một nhân viên bất cẩn gửi một email chứatài liệu quan trọng và nhạy cảm đến địa chỉ sai hoặc không bị mã hóa Nhưvậy, thông tin bí mật có thể bị tiết lộ cho người không có quyền

- Vi phạm Tính nguyên vẹn (Integrity):

 VD1: Tấn công sửa đổi dữ liệu: Một hacker tấn công vào cơ sở dữ liệu củamột trang web thương mại điện tử và sửa đổi giá sản phẩm Khi người muatruy cập, họ thấy giá bị biến đổi, dẫn đến việc mua hàng không đáng tin cậy

 VD2: Virus ghi đè tệp: Một máy tính bị nhiễm virus ghi đè các tệp quantrọng bằng các tệp giả mạo, khiến dữ liệu trở nên không đáng tin cậy hoặckhông thể truy cập

- Vi phạm Sẵn sàng sử dụng (Availability):

 Tấn công từ chối dịch vụ (DDoS): Một nhóm hacker triển khai cuộc tấn côngDDoS vào một trang web thương mại điện tử vào mùa mua sắm trực tuyến,làm cho trang web này không thể truy cập được Điều này gây ảnh hưởngđến tính sẵn sàng sử dụng của trang web cho người dùng

 Xóa dữ liệu quan trọng: Một nhân viên gian lận trong tổ chức xóa dữ liệuquan trọng trên máy chủ của công ty, gây ra sự mất mát dữ liệu và làm giảmtính sẵn sàng sử dụng của hệ thống

Việc đảm bảo mô hình CIA mở rộng được duy trì và bảo vệ là quan trọng để bảo vệthông tin và hệ thống quan trọng của tổ chức khỏi các mối đe dọa và vi phạm bảo mật

1.2.3 Câu 3: Tóm tắt 3 văn bản Luật và 03 văn bản dưới luật liên quan đến

An ninh, an toàn thông tin.

Các văn bản pháp luật về an toàn thông tin

o Luật An ninh mạng (Năm ra đời: 2015):

 Ban hành bởi: Quốc hội Việt Nam

 Mục tiêu: Đề xuất các biện pháp để bảo vệ an ninh và an toàn thông tin trênmạng internet, đảm bảo sự ổn định và an toàn của hệ thống thông tin quốcgia Luật này quy định về quản lý, bảo vệ thông tin quan trọng, cơ cấu vàquản lý mạng, và các trách nhiệm của cơ quan, tổ chức, cá nhân liên quan

o Luật Bảo vệ Bí mật Nhà nước (Năm ra đời: 1988, sửa đổi 2007):

 Ban hành bởi: Quốc hội Việt Nam

 Mục tiêu: Đảm bảo bí mật thông tin quan trọng về quốc gia, đề xuất cácbiện pháp để ngăn chặn sự tiết lộ thông tin bí mật và bảo vệ lợi ích quốcgia Luật này quy định về việc xác định, bảo vệ và quản lý thông tin bí mật,cũng như các hình phạt đối với vi phạm

o Luật Quốc gia về An ninh thông tin (Năm ra đời: 2018):

 Ban hành bởi: Quốc hội Việt Nam

 Mục tiêu: Bảo vệ thông tin quan trọng của quốc gia khỏi các nguy cơ vàmối đe dọa, đảm bảo an toàn thông tin trong quản lý và sử dụng thông tin

quan trọng Luật này đề cập đến việc phân loại thông tin, quản lý thông tintrong các cơ quan, tổ chức và doanh nghiệp có liên quan đến an ninh thôngtin.

Văn bản dưới luật liên quan đến an ninh và an toàn thông tin:

Quyết định số 05/2007/QĐ-BBCVT về việc ban hành Quy chế bảo mật thông

tin trong hệ thống thông tin và mạng máy tính (Năm ra đời: 2007):

 Ban hành bởi: Bộ Bưu chính và Viễn thông Việt Nam

 Mục tiêu: Đề xuất hướng dẫn cụ thể về việc bảo mật thông tin trong hệ thốngthông tin và mạng máy tính, đảm bảo an toàn thông tin và dữ liệu trong các

cơ quan và tổ chức

 Phạm vi áp dụng: Nghị định này áp dụng cho các cơ quan, tổ chức, và cánhân có liên quan đến thông tin quốc gia, và các tổ chức và cá nhân có tráchnhiệm bảo mật thông tin quốc gia mà họ được ủy quyền quản lý hoặc sửdụng

Chỉ thị số 05/CT-TTg về việc tăng cường bảo mật thông tin (Năm ra đời:

2019):

 Ban hành bởi: Thủ tướng Chính phủ Việt Nam

 Mục tiêu: Tăng cường nhận thức về bảo mật thông tin và đề xuất các biệnpháp cụ thể để bảo vệ thông tin trong quản lý, sử dụng và truyền tải thông tinquan trọng của quốc gia Chỉ thị này đưa ra các hướng dẫn về việc bảo mậtthông tin tại các cơ quan và tổ chức

Nghị định 108/2016/NĐ-CP, ngày 01/7/2016 quy định chi tiết điều kiện kinh

doanh sản phẩm, dịch vụ an toàn thông tin mạng

 Năm ra đời: Nghị định 108/2016/NĐ-CP ra đời vào ngày 01/7/2016

 Ban hành bởi: Nghị định này được ban hành bởi Chính phủ của Cộng hòa Xãhội chủ nghĩa Việt Nam, đại diện bởi Thủ tướng Chính phủ

 Mục tiêu: Nghị định 108/2016/NĐ-CP liên quan đến quản lý và bảo vệ antoàn thông tin trong lĩnh vực chứng thực điện tử Mục tiêu chính của nghị