Trong tiểu luận này, chúng tôi tập trung vào cáckhía cạnh quan trọng như bảo vệ thông tin cá nhân, đảm bảo tính xác thực, ngăn chặnxâm nhập và tấn công mạng, và xây dựng lòng tin đối với
Trang 1BỘ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP TP HỒ CHÍ MINH
KHOA CÔNG NGHỆ THÔNG TIN
TIỂU LUẬN MÔN AN TOÀN THÔNG TIN
Đề tài:
SỰ ĐẢM BẢO AN TOÀN THÔNG TIN CỦA HỆ THỐNG THÔNG TIN ĐẦU TƯ CHỨNG KHOÁN VÀ QUẢN LÝ TÀI CHÍNH
SMARTONE
GVHD: Ngô Hữu Dũng
Mã lớp học phần: DHLH17E - 420300365910
Người thực hiện: Nhóm 02
Thành phố Hồ Chí Minh, ngày 21 tháng 11 năm 2023
ỤC
Trang 2A BẢNG PHÂN CÔNG NHIỆM VỤ CỦA CÁC THÀNH VIÊN 3
B NỘI DUNG 4
I Giới thiệu về tiểu luận 4
1 Tổng quan về an toàn thông tin 4
1.1 Khái niệm 4
1.2 Thực trạng 4
* Trên thế giới 4
* Tại Việt Nam 5
2 Tầm quan trọng của việc nâng cao tính xác thực 7
2.1 Vai trò của an toàn thông tin 7
2.2 Nguy cơ an toàn thông tin 8
*Nguy cơ đối với cá nhân: 8
*Nguy cơ đối với tổ chức: 8
*Nguy cơ đối với xã hội: 9
2.3 Sự nguy hiểm của mã độc 9
2.4 Tầm quan trọng của việc nâng cao tính xác thực 10
II Ứng dụng SmartOne 11
1 Chức năng: 11
2 Thông tin: 12
3 Quy trình thủ tục: 12
4 Sự đảm bảo về an toàn thông tin của ứng dụng VPS SmartOne: 13
III Các mối đe dọa có thể ảnh hưởng đến an toàn thông tin của SmartOne 13
1 Tin tặc và truy cập trái phép: 14
2 Mã độc và phần mềm độc hại: 14
3 Quản lý thiết bị yếu: 15
IV Hậu quả nếu xảy ra các rủi ro từ các mối đe dọa trên 15
1 Tin tặc xâm nhập vào SmartOne: 15
2 Mã độc qua email hoặc tin nhắn: 16
3 Sử dụng mật khẩu yếu: 16
V Giải pháp nâng cao tính xác thực cho Nền tảng quản lý tài chính VPS SmartOne 17
C KẾT LUẬN 18
TÀI LIỆU THAM KHẢO 19
Trang 3A BẢNG PHÂN CÔNG NHIỆM VỤ CỦA CÁC THÀNH VIÊN
giá
21114241 Nguyễn Thị Ngọc Huyền Tìm và soạn nội dung, tổng hợp và
chỉnh sửa word
100%
21121401 Nguyễn Thanh Lam Tìm và soạn nội dung 100%
21089701 Phan Thị Bích Tuyền Tìm và soạn nội dung 100%
Trang 4B NỘI DUNG
I Giới thiệu về tiểu luận
Tiểu luận tập trung vào đảm bảo an toàn thông tin của hệ thống thông tin đầu tư chứng khoán và quản lý tài chính SmartOne Trong tiểu luận này, chúng tôi tập trung vào các khía cạnh quan trọng như bảo vệ thông tin cá nhân, đảm bảo tính xác thực, ngăn chặn xâm nhập và tấn công mạng, và xây dựng lòng tin đối với người dùng của hệ thống SmartOne Chúng tôi nghiên cứu các biện pháp bảo mật, đồng thời đề xuất các giải pháp nhằm nâng cao an toàn thông tin của hệ thống SmartOne
Kết quả của tiểu luận này sẽ cung cấp một cơ sở hiểu biết sâu rộng về các biện pháp đảm bảo an toàn thông tin trong hệ thống thông tin đầu tư chứng khoán và quản lý tài chính SmartOne Nó sẽ đóng góp vào việc xây dựng một môi trường an toàn và tin cậy cho người dùng, đồng thời cung cấp các hướng dẫn và khuyến nghị để nâng cao an toàn thông tin trong lĩnh vực này
1 Tổng quan về an toàn thông tin
1.1 Khái niệm
An toàn thông tin được hiểu là một hành động nhằm phòng ngừa, ngăn chặn hoặc ngăn cản sự truy cập, sử dụng, chia sẻ thông tin, tiết lộ, phát tán, phá hủy hoặc ghi lại những thông tin khi chưa được sự cho phép của chủ sở hữu An toàn thông tin ngày nay được coi là vấn đề đáng lưu tâm hàng đầu của xã hội Nó là một vấn đề ảnh hưởng đến các ngành kinh tế, khoa học – kỹ thuật và xã hội
Đảm bảo an toàn thông tin là đảm bảo an toàn kỹ thuật cho hoạt động của các cơ sở
hạ tầng thông tin, trong đó bao gồm đảm bảo an toàn cho cả phần cứng và phần mềm hoạt động theo các tiêu chuẩn kỹ thuật do nhà nước ban hành; ngăn ngừa khả năng lợi dụng mạng và các cơ sở hạ tầng thông tin để thực hiện các hành vi trái phép gây hại cho cộng đồng, phạm pháp hay khủng bố; đảm bảo các tính chất bí mật, toàn vẹn, chính xác, sẵn sàng phục vụ của thông tin trong lưu trữ, xử lý và truyền tải trên mạng
1.2 Thực trạng
* Trên thế giới
Too long to read on your phone? Save
to read later on your computer
Save to a Studylist
Trang 5Trong cuộc Cách mạng Công nghệ 4.0, thông tin là một dạng tài nguyên Chính vì thế, đảm bảo an ninh, an toàn thông tin là nhiệm vụ quan trọng và cấp thiết Tuy nhiên, hiện nay, các mối đe dọa từ không gian mạng không ngừng tăng lên và thay đổi nhanh chóng
Tình hình an toàn thông tin mạng diễn biến phức tạp, liên tục xảy ra các vụ tấn công, xâm nhập, đánh cắp dữ liệu trên hệ thống mạng của các cơ quan chính phủ, các cơ sở
an ninh quốc phòng, tập đoàn kinh tế, cơ quan truyền thông của nhiều quốc gia Ví dụ như các vụ tấn công vào hệ thống thư điện tử của Bộ Ngoại giao Mỹ, hệ thống máy tính của Nhà trắng, Hạ viện Đức, Bộ Ngoại giao Australia,…
Tài chính là mục tiêu lớn nhất thúc đẩy tin tặc hành động, với 73% số lượng các cuộc tấn công mạng; chính trị, tình báo là mục tiêu lớn thứ hai, với 21% các cuộc tấn công
* Tại Việt Nam
Năm 2011, có trên 1.500 cổng thông tin Việt Nam bị tin tặc sử dụng mã độc gián điệp dưới hình thức tập tin hình ảnh xâm nhập, kiểm soát, cài mã độc thay đổi giao diện trang chủ
Trong năm 2012 - 2013, Bộ Công an đã phát hiện gần 6.000 lượt cổng thông tin, trang tin điện tử của Việt Nam (trong đó có hơn 300 trang của cơ quan nhà nước) bị tấn công, chỉnh sửa nội dung và cài mã độc
Năm 2014, sau sự kiện giàn khoan HD 981 hạ đặt trái phép trong vùng đặc quyền kinh
tế Việt Nam, tin tặc nước ngoài đã tấn công hơn 700 trang mạng Việt Nam và hơn 400 trang trong dịp Quốc khánh (2/9) để chèn các nội dung xuyên tạc chủ quyền của Việt Nam với quần đảo Hoàng Sa
Vào cuối năm 2014, tin tặc cũng đã mở đợt tấn công vào trung tâm dữ liệu của VCCorp khiến nhiều tờ báo mà công ty này đang vận hành kỹ thuật như Soha, Kenh14… bị tê liệt
Năm 2015, có trên 2.460 website của các cơ quan, doanh nghiệp bị xâm nhập Nguy
cơ từ mã độc và Internet of Things (IoT) bùng nổ tạo “thị trường” lớn cho hacker là những nguy cơ an ninh mạng mà người dùng phải đối mặt
Trang 6Nổi bật trong năm 2016 là cuộc tấn công mạng vào một số màn hình hiển thị thông tin chuyến bay tại khu vực làm thủ tục chuyến bay của các sân bay quốc tế Tân Sơn Nhất, sân bay quốc tế Nội Bài, sân bay quốc tế Đà Nẵng, sân bay Phú Quốc Các màn hình của sân bay đã bị chèn những hình ảnh và nội dung xuyên tạc về biển Đông
Năm 2017, mã độc tống tiền (ransomware) có tên là Wanna Cry trở thành mối nguy hiểm Tại Việt Nam, ghi nhận hơn 100 máy tính bị nhiễm độc Wanna Cry là một loại
mã nhiễm độc tấn công vào máy nạn nhân qua tệp tin đính kèm email hoặc đường link độc hại
Năm 2018, thiệt hại do virus máy tính gây ra đối với người dùng Việt Nam đã lên mức
kỷ lục 14.900 tỷ đồng, tương đương 642 triệu USD, nhiều hơn 21% so với mức thiệt hại của năm 2017
Theo số liệu của Bộ Thông tin và Truyền thông, trong tổng số 3.159 cuộc tấn công mạng vào các hệ thống thông tin tại Việt Nam trong 6 tháng đầu năm 2019, có 968 cuộc tấn công thay đổi giao diện, 635 cuộc tấn công cài mã độc (Malware) và 1.556 cuộc tấn công lừa đảo
Trong 4 tháng đầu năm 2020, tổng cộng 1.056 cuộc tấn công mạng vào các hệ thống thông tin tại Việt Nam dẫn đến sự cố (553 Phishing, 280 Deface, 223 Malware) Hơn 73.000 camera IP trên thế giới, trong đó có gần 1.000 camera tại Việt Nam đang bị theo dõi Nguyên nhân là do người dùng chưa có thói quen quan tâm đến an ninh của những thiết bị này, không thay đổi mật khẩu mặc định của hệ thống trước khi kết nối Internet Bảo mật các thiết bị IoT là rất quan trọng, đặc biệt khi người dùng chưa có thói quen quan tâm đến an ninh cho các thiết bị này
Trong năm 2019, số cuộc tấn công mạng vào các hệ thống thông tin Việt Nam có chiều hướng giảm (khoảng 45,9%) so với cùng kỳ năm 2018
Trong 4 tháng đầu năm 2020, số cuộc tấn công mạng vào các hệ thống thông tin tại Việt Nam đã giảm (khoảng 51,4%) so với cùng kỳ năm 2019
Đạt được những kết quả trên cho thấy việc nâng cao nhận thức, kỹ năng về đảm bảo an toàn, an ninh mạng cho các cơ quan, tổ chức và người dùng, thông qua các hội nghị, hội thảo cũng như các chương trình tập huấn, diễn tập Bên cạnh đó, các quy định, chế
Trang 7tài pháp luật đã đầy đủ và có tính răn đe hơn như sự ra đời của Luật An ninh mạng có hiệu lực từ ngày 01/01/2019 Sự phối hợp và tuân thủ của các tổ chức Internet lớn trên thế giới với luật pháp Việt Nam cũng tốt hơn Đặc biệt, nhận thức về an toàn thông tin của tổ chức, cá nhân đã được nâng cao, các biện pháp phòng vệ chủ động đã tốt hơn, công tác đánh giá an toàn thông tin được thực hiện nhiều hơn
Trong Chỉ thị 01/CT-BTTTT ngày 03/01/2020 về định hướng phát triển ngành Thông tin và Truyền thông năm 2020, Bộ trưởng Bộ Thông tin và Truyền thông đã nhấn mạnh: “An toàn, an ninh mạng là điều kiện tiên quyết để phát triển Chính phủ điện tử
và chuyển đổi số, do đó phải đi trước một bước.”
Chỉ thị 01 nêu rõ các chỉ tiêu cần đạt được trong năm 2020 của lĩnh vực an toàn, an ninh mạng như: 100% cơ quan, tổ chức tại Việt Nam triển khai bảo vệ an toàn, an ninh mạng theo mô hình 4 lớp; 100% bộ, ngành, địa phương triển khai các giải pháp điều hành, giám sát an toàn, an ninh mạng, phòng chống mã độc tập trung, kết nối chia sẻ thông tin với Trung tâm giám sát an toàn không gian mạng quốc gia của Bộ Thông tin
và Truyền thông
2 Tầm quan trọng của việc nâng cao tính xác thực
2.1 Vai trò của an toàn thông tin
Phòng chống lấy cắp thông tin cá nhân
Phòng chống virus
Đảm bảo an toàn thông tin với tài liệu
Hạn chế việc người dùng bị tấn công mạng đánh cắp dữ liệu
Sử dụng web an toàn
Phòng chống chống tấn công tin tặc
Đảm bảo thông tin được lưu trữ truyền tải an toàn
Với ý nghĩa là một không gian sinh tồn mở rộng, một lãnh thổ mới với tầm quan trọng ngang bằng các vùng lãnh thổ khác như trên đất liền, trên biển nên việc có an toàn thông tin để bảo vệ an ninh mạng mang lại giá trị rất lớn cho cuộc sống
Trang 82.2 Nguy cơ an toàn thông tin
Nguy cơ an toàn thông tin là mối nguy hiểm có thể xảy ra khi thông tin quan trọng bị tiết lộ, sửa đổi trái phép, mất mát hoặc bị truy cập trái phép Điều này có thể ảnh hưởng đến cá nhân, tổ chức và toàn xã hội theo nhiều cách khác nhau
*Nguy cơ đối với cá nhân:
Mất quyền riêng tư: Thông tin cá nhân nhạy cảm như tên, địa chỉ, số điện thoại, thông tin tài chính có thể bị lộ ra ngoài và dẫn đến việc xâm phạm quyền riêng tư Lừa đảo và trộm danh: Kẻ xấu có thể sử dụng thông tin cá nhân để thực hiện các hành vi lừa đảo hoặc trộm danh, gây thiệt hại tài chính và danh dự của người bị hại
Rủi ro về an ninh: Thông tin cá nhân bị đánh cắp có thể được sử dụng để tiến hành các hoạt động trái pháp, như rình rập, theo dõi hoặc thậm chí tấn công vật lý
*Nguy cơ đối với tổ chức:
Mất thông tin quan trọng: Nếu thông tin quan trọng của tổ chức bị mất, sửa đổi hoặc tiết lộ, có thể gây thiệt hại đáng kể cho hoạt động kinh doanh và danh tiếng của tổ chức
Mất dữ liệu: Mất dữ liệu quan trọng có thể gây ra sự gián đoạn trong quá trình làm việc, làm mất công sức và tài nguyên để khôi phục dữ liệu đã mất
Xâm nhập hệ thống: Các kẻ tấn công có thể xâm nhập vào hệ thống mạng của
tổ chức và lấy cắp thông tin quan trọng hoặc gây hủy hoại hệ thống
Một số lĩnh vực điển hình:
Lĩnh vực hoạt động sản xuất: các nhà sản xuất trở thành mục tiêu của không chỉ các tác nhân độc hại truyền thống như hacker hoặc tội phạm mạng, mà còn bị đe dọa bởi những công ty, quốc gia cạnh tranh tham gia vào hoạt động theo dõi, gián điệp doanh nghiệp Động cơ đằng sau có thể kể đến như: tiền tài, của cải hoặc ăn miếng trả miếng, giành giật lợi thế cạnh tranh và gây gián đoạn chiến lược
Trang 9 Lĩnh vực truyền thông và viễn thông: Các công ty viễn thông luôn là một mục tiêu lớn vì họ xây dựng, kiểm soát và vận hành một trong những cơ sở hạ tầng quan trọng, được sử dụng rộng rãi để liên lạc và lưu trữ số lượng lớn dữ liệu riêng tư, nhạy cảm
*Nguy cơ đối với xã hội:
Tội phạm mạng: Các hành vi tội phạm mạng như tấn công mạng, lừa đảo trực tuyến và truy cập trái phép vào hệ thống có thể gây ra thiệt hại cho cả cá nhân và tổ chức, đồng thời gây ảnh hưởng xấu đến sự tin tưởng của người dùng internet Mất trật tự an ninh: Xâm nhập vào hệ thống quan trọng như cơ sở hạ tầng điện, hệ thống giao thông hoặc hệ thống y tế có thể gây ra hậu quả nghiêm trọng và đe dọa an ninh quốc gia
Để giảm thiểu nguy cơ an toàn thông tin, cá nhân, tổ chức và xã hội cần chú trọng đến việc bảo vệ thông tin và thực hiện các biện pháp an ninh mạng như cung cấp đào tạo về an ninh thông tin, sử dụng phần mềm bảo mật, duy trì hệ thống cập nhật và sử dụng mật khẩu mạnh
2.3 Sự nguy hiểm của mã độc
Đã có nhiều cuộc tấn công mạng diễn ra trên phạm vi toàn thế giới gây những thiệt hại
to lớn về kinh tế - xã hội Đặc biệt khi dư luận xã hội quan tâm nhiều tới tình hình diễn biến của dịch bệnh Covid-19 và các thông báo, hướng dẫn về phòng dịch của cơ quan chức năng, các tổ chức y tế thì tin tặc đã gia tăng giả mạo các thông báo, hướng dẫn này để phát tán mã độc và thực hiện các cuộc tấn công lừa đảo Hơn nữa, khi các quốc gia trên thế giới triển khai các biện pháp cách ly, giảm giao tiếp xã hội để hạn chế lây lan dịch bệnh, nhiều cơ quan, tổ chức, doanh nghiệp chuyển sang làm việc trên môi trường mạng trong thời gian ngắn dẫn đến một số hạn chế, như:
Tin tặc can thiệp vào dữ liệu trực tuyến như thay đổi nội dung, chèn các nội dung không phù hợp;
Trang 10Nhà sản xuất ứng dụng thu thập trái phép dữ liệu cá nhân của người dùng và chia Dữ liệu bí mật nhà nước, bí mật kinh doanh, bí mật nội bộ của các cơ quan, tổ chức, doanh nghiệp bị lộ khi người dùng trao đổi qua các ứng dụng trực tuyến; Tin tặc thông qua tấn công các ứng dụng trực tuyến để kiểm soát camera, micro trên thiết bị của người dùng;
Lượng người dùng tăng đột biến nhưng nhà sản xuất không kịp thời nâng cấp phần mềm, hạ tầng kỹ thuật phù hợp dẫn đến chất lượng dịch vụ giảm
2.4 Tầm quan trọng của việc nâng cao tính xác thực
Bảo vệ thông tin cá nhân: Tính xác thực giúp đảm bảo rằng chỉ những người có quyền truy cập mới có thể tiếp cận thông tin cá nhân Điều này giúp ngăn chặn truy cập trái phép và lừa đảo, đảm bảo rằng thông tin nhạy cảm như tài khoản ngân hàng, mật khẩu và thông tin cá nhân không bị lộ ra ngoài
Bảo vệ dữ liệu và thông tin quan trọng của tổ chức: Tính xác thực là một yếu tố quan trọng trong việc bảo vệ dữ liệu và thông tin quan trọng của tổ chức Nếu một người không có quyền truy cập nhưng vẫn có thể xâm nhập vào hệ thống, nó có thể gây ra mất mát dữ liệu, tiết lộ thông tin quan trọng hoặc gian lận dữ liệu Bằng cách nâng cao tính xác thực, tổ chức có thể giới hạn quyền truy cập và đảm bảo rằng chỉ người được ủy quyền mới có thể truy cập vào dữ liệu và hệ thống quan trọng Ngăn chặn xâm nhập và tấn công mạng: Tính xác thực cũng đóng vai trò quan trọng trong việc ngăn chặn xâm nhập và tấn công mạng Khi có một hệ thống xác thực mạnh, các kẻ tấn công sẽ gặp khó khăn hơn trong việc giả mạo danh tính và truy cập trái phép vào hệ thống Điều này giúp bảo vệ hệ thống và dữ liệu khỏi các mối đe dọa bảo mật như tấn công từ chối dịch vụ (DDoS), tấn công từ chối thông tin (DoS), tấn công dò mật khẩu và tấn công đánh cắp thông tin
Xây dựng lòng tin và đáng tin cậy: Tính xác thực đóng vai trò quan trọng trong việc xây dựng lòng tin và đáng tin cậy đối với cá nhân, tổ chức và xã hội Khi người dùng có cảm giác an toàn và tin tưởng vào việc hệ thống và dữ liệu của họ được bảo vệ một cách đáng tin cậy, họ sẽ cảm thấy tự tin hơn trong việc chia sẻ thông tin và sử dụng các dịch vụ trực tuyến