AN TOAN VA BAO MAT THONG TIN TRONG THUONG MAI DIEN TU’ GV: ThS D6 Thi Diu BM: Thương mại điện tử MUC DICH VA YEU CÂU Mục đích của học phần - Cung cấp những kiến thức cơ bản về an toàn và bảo mật thông tin trong HTTT doanh nghiệp tại thời điểm hiện nay - Giới thiệu các nguy cơ, các hình thức tấn công và các phương pháp đảm bảo an toàn thông tin cho HTTT doanh nghiệp đảm an toàn - Giới thiệu một số công nghệ ứng dụng trong và bảo mật thông tin trong HT TT doanh nghiệp MUC DICH VA YEU CAU Yéu cau dat duoc - Nắm vững các kiến thức cơ bản về an toàn và bảo mật thông tin trong HT TT doanh nghiệp - Có kiến thức về các nguy cơ, các hình thức tấn công và các phương pháp đảm bảo an toàn thông tin cho HTTT doanh nghiệp dụng được một số công cụ, ứng dụng, công nghệ - Biết và sử việc đảm bảo an toàn thông tin cho HTTT DN đã có trong TÀI LIỆU THAM KHẢO 1)Bộ môn TMĐT, Bài giảng An toàn và bảo mật thông tin trong TMĐT 2)William Stallings, Cryptography and Network Security Principles and Practices, Fourth Edition, Prentice Hall, 2008 3)Man Young Rhee /nternet Security: Cryptographic principles, algorithms and protocols John Wiley & Sons, 2003 NOI DUNG HOC PHAN Chương 1 Tổng quan về an toàn và bảo mật thông tin - Chương 2: Quy trình đảm bảo an toàn và bảo mật thông tin Chương 3: Các kiểu tan công và các mối đe dọa đối với an toàn và bảo mật thông tin - Chương 4: Mã hóa thông tin Chương 5: Sao lưu dữ liệu và phục hồi thông tin - Chương 6: An toàn dữ liệu trong thương mại điện tử CHƯƠNG 1: TÔNG QUAN VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN GV: ThS Đỗ Thị Dịu BM: Thương mại điện tử CHU’ONG 1: TONG QUAN VE ATBM TT 1.1 Giới thiệu chung về an toàn và bảo mật thông tin 1.2 Mục tiêu và yêu cầu của an toàn và bảo mật thông tin 1.3 An toàn và bảo mật thông tin theo quản trị rủi ro 1.4 Chính sách, pháp luật về an toàn và bảo mật thông tin 1.1 Giới thiệu chung về ATBM TT 1.1.1 Khái niệm an toàn và bảo mật thông tin 1.1.2 Lịch sử phát triển của an toàn và bảo mật thông tin 1.1.3 Vai trò của an toàn và bảo mật thông tin 1.1.1 Khái niệm ATBM TT - Khái niệm ATBM TT -ATTT là gì? - Bảo mật TT là gì? 1.1.1 Khái niệm ATBM TT - An toàn thông tin (Information Security) cé thé hiéu la cé day đủ các điều kiện và các biện pháp cần thiết để đảm bảo cho thông tin tránh khỏi những nguy cơ bị truy cập trái phép, bị sử dụng, làm rò rỉ, làm hỏng, bị chỉnh sửa, bị sao chép, bị xóa bỏ bởi những người không được phép Các nguy cơ này có thể là ngẫu nhiên (do tai nạn, thiên tai, ) hoặc có chủ định (bị phá hoại từ bên ngoài, hoặc chủ định của con người, ) 1.1.1 Khái niệm ATBM TT - Bảo mật thông tin có thể được hiểu là duy trì tính bí mật, tính toàn vẹn, toàn diện và tính sẵn sàng cho toàn bộ thông tin - Theo Bách khoa toàn thư mở bảo mật thông tin là sự hạn chế khả năng lạm dụng tài nguyên thông tin và tài sản liên quan đến thông tin như các máy tính, thiết bị mạng, thiết bị ngoại vi, các phần mềm của cơ quan hoặc người sở hữu hệ thống 1.1.1 Khái niệm ATBM TT Các yếu tố không thể tách rời trong an toàn và bảo mật thông tin là: - Tính bí mật - Tính toàn vẹn - Tính chính xác - Tính sẵn sàng 1.1.2 Lịch sử phát triển của ATBM TT CYBERSECURITY THE BRIEF AND INCOMPLETE HISTORY OF 1990 1996 ’ The Computer Misuse Act Hackers alter websites of the United States Department of passes in the UK, effectively Justice, the CIA, and the U.S Air Force, Ệ criminalizing any unauthorized access to computer systems 2000 ỏ Software The ILOVEYOU worm infects millions of computers mainstream worldwide within a few hours of 1971 1999 its release and is regarded as security goes one of the most damaging In the wake of worms ever 1 Bob Thomas created a program Microsoft's Windows 98 release 2003 I1 widely accepted as the first The Hacktivist group Anonymous is created I computer worm, that bounced 1989 ® between computers Though not malicious, it would display the 2002 Robert Morriscreateda The Bush administration files a l message "I'm the creeper: catch bill to create the Department of computer worm, which slowed the early internet ÏÍ me if you can" Homeland Security down significantly 2010 Itis documented as the 6 1989 The first Malware Conference, first denial-of-service (DoS) attack I Joseph Popp created the first MALCON takes place in India | Ransomware attack, called I ! AIDS TROJAN https://www.uscybersecurity.net/ Wikileaks published the documents from the 2016 Democratic National Committee email leak 13 1.1.3 Vai trò của ATBM TT œBảo vệ chức năng hoạt động của tổ chức, doanh nghiệp œ®ÏIạo môi trường thuận lợi cho các ứng dụng trong tổ chức thực thi an toàn œBảo vệ dữ liệu mà tổ chức thu thập, lưu trữ và sử dụng œBảo vệ các tài sản mang tính công nghệ trong các tổ chức 1.1.3 Vai tro cua ATBM TT ©“2D Lĩnh ®vực quan >trọng Lĩnh vực tài nguyên @ -#£ ưu tiên bảo đảm GS ATTT @ & môi trường Lĩnh vực thông tin Lĩnh vực y tế tĩnh vực tài chính Linh vyc giao théng Lĩnh vực năng lượng Ñ ae — @ SN: as4 Lĩnh vực ngân hàng Lĩnh vực quốc phòng tỨnh vực an ninh tĩnh vực đỏ thị Lĩnh vực chỉ đạo, điều hành của Chính phủ ®© 2017 - Cục An toàn thông tin 1 1.33 VaViai trotrò ccủua ATBM TT Các vùng cần đảm bảo ATTT LAN Domain LAN-to-WAN Domain a WAN —_ 5 Domain_» =we Roubar Firewall User Workstation ee: Domain Domain 3 — a2a\| Computer — š Hub = - Remote Access Domain Maintrame ^ a ro Broadband _ _® Remote Qj Internet — System/Applications User Computer Domain 1.2 MUC TIEU VA YEU CAU CUA ATBM TT 1.2.1 Mục tiêu của an toàn và bao mật thông tin 1.2.2 Yêu cầu cho an toàn và bảo mật thông tin 1.2.3 Các nguyên tắc an toàn và bảo mật thông tin 1.2.4 Các mô hình đảm bảo an toàn và bảo mật thông tin 17 1.2.1 Mục tiêu của ATBM TT (1) Phát hiện các lỗ hồng của hệ thống thông tin cũng như dự đoán trước những nguy cơ tấn công vào hệ thống thông tin của tổ chức (2) Ngăn chặn những hành động gây mất an toàn thông tin và bảo mật thông tin từ bên trong cũng như từ bên ngoài của tổ chức (3) Phục hồi các tổn thất trong trường hợp hệ thống thông tin bị tấn công gây mất an toàn và bảo mật thông tin, nhằm đưa hệ thống thông tin trơ lại hoạt động bình thường trong thời gian sớm nhất 1.2.1 Mục tiêu của ATBM TT Nguyên tắc để đánh giá HTTT an toàn ? - Có tìm và phát hiện được tất cả các khả năng mà đối tượng phá hoại có thể thâm nhập vào hệ thống thông tin? - Có đảm bảo tất cả các tài sản của tổ chức phải được bảo vệ đến khi hết giá trị sử dụng? 1.2.2 Yêu cầu cho ATBM TT - Yêu cầu cho ATBM TT (CIAA) - Có tính bí mật ‹ Có tính toàn vẹn - Có tính sẵn sàng ‹ Có tính xác thực 10