Các phương thức tấn công thông qua mạng ngày cảng tỉnh vi, phức tạp có thê dẫn đến mắt mát thông tin, thậm chí có thể làm sụp đồ hoàn toàn hệ thống thông tin của tô chức.. Vì vậy, việc b
Trang 1HỌC VIỆN NGÂN HÀNG
HỆ CHÍNH QUY
BÀI TẬP LỚN MON NANG LUC SO UNG DUNG
DE TAI: AN TOAN THONG TIN TRONG LINH VUC
NGAN HANG
Giáo viên hướng dẫn: Nguyễn Thi Yén
Danh sách nhóm:
Mã sinh viên 25A4011763 Họ và tên: Vũ Thành Công
Mã sinh viên 25A4012391 Họ và tên: Đỗ Thị Thùy Hiên
Mã sinh viên 25A4012413 Họ và tên: Nguyễn Thị Thanh Hợp Mã sinh viên 25A4012393 Họ và tên: Đỗ Thị Ngọc Hiền
Mã sinh viên 25A4013369 Ho va tên: Đào Xuân Thắng
Trang 2MỤC LỤC LOI NOI DAU © / ; -
CHUONG 1: TONG QUAN VE AN TOAN THONG TIN
1.1 Khai niém
1.2 Sự cần thiết của an toàn thông tin
1.3 Mục tiêu của an toàn thông tin
CHƯƠNG 2: CÁC NGUY CƠ MÁT AN TOÀN THÔNG TIN
2.1 Nguy cơ mắt an toàn thông tin về khía cạnh vật ly
2.2 Nguy cơ bị mất, hỏng, sửa đôi nội dung thông tin
2.3 Nguy cơ bị tấn công bởi các phần mềm độc hại
2.4 Nguy cơ xâm nhập từ lỗ hồng bảo mật
2.5 Nguy cơ xâm nhập do bị tấn công bằng cách phá mật khâu
2.6 Nguy cơ mắt an toàn thông tin do sử dụng Email
2.7 Nguy cơ mắt an toàn thông tin trong quá trình truyền tin
CHƯƠNG 3: THỰC TRẠNG VỀ AN TOÀN THÔNG TIN TRONG LĨNH VỰC NGAN HANG
3.1 Trén thé gidi
3.2 Tại Việt Nam
CHƯƠNG 4: CÁC GIẢI PHÁP BẢO VỆ AN TOÀN THÔNG TIN
4.1 Bảo vệ thông tin về mặt vật lý
4.2 Bảo vệ trước nguy cơ mất thông tin
4.3 Bảo vệ trước nguy cơ bị tấn công bởi phần mềm độc hại
4.4 Bảo vệ trong trường hợp tấn công lỗ hỗng bảo mật
4.5 Bảo vệ thông tin trước nguy cơ tấn công bằng cách phá mật khẩu
4.6 Bảo vệ thông tin trước nguy cơ tấn công qua Email
4.7 Bảo vệ hệ thông bằng tường lửa
CHUONG 5: MOT SO CHINH SACH CUA VIET NAM VE AN TOAN THONG TIN
TRONG LINH VUC NGAN HANG
Trang 35.1.Nghiên cứu và ban hành khung pháp lí về an toàn thông tin
5.2.Tô chức thanh tra, kiểm tra tuân thủ về an toàn thông tin
5.3 Xây dựng và tô chức hiệu quả hoạt động của Mạng lưới ứng cứu sự cô an toàn thông tin ngành Ngân hàng:
5.4 Phối hợp với các cơ quan chức năng trong công tác an toàn thông tin:
5.5 Triển khai các chương trình truyền thông, giáo dục tài chính:
LỜI KÉT
TÀI LIỆU THAM KHẢO
Trang 4LỜI MỞ ĐẦU
Ngày nay với sự phát triển bùng nỗ của công nghệ thông tin, hầu hết các thông tin của các tô chức, cá nhân đều được lưu trữ trên hệ thống máy tính Cùng với sự phát triển của tô chức là những đòi hỏi ngày càng cao của môi trường hoạt động cần phải chia sẻ thông tin của mình cho nhiều đối tượng khác nhau qua mạng Việc mất mát, rò rỉ thông tin có thê ảnh hưởng nghiêm trọng đến tài nguyên thông tin, tài chính, danh tiếng của tô chức, cá nhân Các phương thức tấn công thông qua mạng ngày cảng tỉnh vi, phức tạp có thê dẫn đến mắt mát thông tin, thậm chí có thể làm sụp đồ hoàn toàn hệ thống thông tin của tô chức Vì vậy an toàn thông tin là nhiệm vụ quan trọng, nặng nề và khó đoán trước đổi với các hệ thống thông tin
Là một học phần đại cương, bắt buộc với tất cả các sinh viên của Học viện Ngân Hàng, môn năng lực sô ứng dụng giúp cho sinh viên có đủ kiến thức và kĩ năng cơ bản để có thê học nâng cao kiến thức, kỹ năng về năng lực số, nhìn nhận vấn đề đa chiều và đề xuất những
ý tưởng, cách tiếp cận mới ở mức độ cao hơn Tuy nhiên, môn học cũng gây khó khăn cho
sinh viên năm nhất nhưu chúng em vì có nhiều khái niệm mới, thuật ngữ mới và khối kiến
thức lớn Khi học môn học này, với sự giảng dạy của cô Nguyễn Thị Yến, em đã hiểu được phần nào về môn học Với đề bài tập lớn được giao, nhóm chúng em xin được trình bảy về
đề tài :” An toàn thông tin trong lĩnh vực ngân hàng” Do hạn chế về kiến thức cũng như thời gian nên phần bài làm của nhóm còn nhiều thiếu sót, kính mong cô sẽ quan tâm, giúp đỡ để bài làm của nhóm hoàn chính hơn Chúng em xin chân thành cảm ơn cô
Trang 5CHUGONG 1: TONG QUAN VE AN TOAN THONG TIN
1.1 Khai niém
An toàn thông tin là các hoạt động bảo vệ tài sản thông tin và là một lĩnh vực rộng lớn
Nó bao gồm cả những sản phâm và những quy trình nhằm ngăn chặn truy cập trái phép, hiệu chỉnh, xóa thông tin,
An toàn thông tin liên quan đến hai khía cạnh đó là an toàn về mặt vật lý và an toàn về mặt kỹ thuật
- Mục tiêu cơ bản của an toàn thông tin
+ Dam bao tinh bao mat
+ Dam bao tinh toan ven
+ Đảm bảo tính xác thực
+ Đảm bỏa tính san sang
1.2 Sự cần thiết của an toàn thông tin
Hệ thống thông tin 1a thành phần thiết yếu trong mọi cơ quan, tổ chức và đem lại khả năng xử lý thông tin, là tài sản quan trọng nhưng hệ thống thông tin cũng chứa rất nhiều
điểm yêu và rủi ro Do máy tính được phát triển với tốc độ rất nhanh để đáp ứng nhiều yêu
cầu của người dung, các phiên bản được phát hành liên tục với các tính năng mới được them vào ngày càng nhiều, điều này làm cho các phần mềm không được kiêm tra kỹ trước khi phát hành và bên trong chứa rất nhiều những lỗ hồng có thể dễ dàng lợi dụng Thêm vào đó
là việc phát triển của hệ thống mạng, cũng như sự phân tán của hệ thống thông tin, làm cho người dung truy cập thông tin dé dàng hơn và tin tặc cũng có nhiều mục tiêu tấn công dễ đàng hơn
1.3 Mục tiêu của an toàn thông tin
Như chúng ta đều biết, đối với nhiều tô chức, doanh nghiệp, cá nhân thì thông tin và dữ
liệu đóng một vai trò hết sức quan trọng trong đời sống và có khi ảnh hướng tới sự tồn vong
của họ Vì vậy, việc bảo mật những thông tin và dữ liệu đó là điều vô cùng cần thiết, nhất là
trong bối cảnh hiện nay các hệ thông thông tin ngày càng được mở rộng và trở nên phức tạp dẫn đến tiềm ân nhiều nguy cơ không lường trước được
Mặt khác, tính chất, mức độ, và phạm vi của các cuộc tấn công vào hệ thống máy tính
và mạng ngày càng gia tăng bởi chưa bao giờ việc tiếp cận với các kỹ thuật và sử dụng các công cụ tấn công lại trở nên dễ dàng và đơn giản hơn thế Và cuỗi cùng, xuất phát từ động cơ
Trang 6kiểm lợi hoặc chính trị mà các tô chức tài chính và cơ quan chính phủ đang đang trở thành mục tiêu chính của các hacker
Tất cả những điều này cho thấy vai trò cốt yếu của các chuyên gia an toàn thông tin trong cuộc chiến bảo mật đầy khốc liệt và không có hồi kết này Nhưng các bạn khoan vội nghĩ ngay tới các công nghệ hay cách thức để đám bảo an toàn cho hệ thống thông tin Trước hết, bạn phải hiểu được những mục tiêu nào cần đạt được khi làm công tác bảo mật và đó là
3 mục tiêu sau:
Confidentiality:
Dam bao tinh bí mật của thông tin, tức là thông tin chỉ được phép truy cập (đọc) bởi
những đối tượng (người, chương trình máy tính ) được cấp phép
Tính bí mật của thông tin có thê đạt được bằng cách giới hạn truy cập về cả mặt vật lý,
ví dụ như tiếp cận trực tiếp tới thiết bị lưu trữ thông tin đó hoặc logic, ví dụ như truy cập thông tin đó từ xa qua môi trường mạng Sau đây là một số cách thức như vậy:
L] Khóa kín và niêm phong thiết bị
L] Yêu cầu đối tượng cung cấp credential, ví dụ, cặp username + password hay đặc điểm
về sinh trắc để xác thực
L] Sử dụng ñrewall hoặc ACL trên router để ngăn chặn truy cập trải phép
LI Mã hóa thông tin sử dụng các giao thức và thuật toán mạnh như SSL/TLS, AES, v.v Integrity
Đảm bảo tính toàn vẹn của thông tin, tức là thông tin chỉ được phép xóa hoặc sửa bởi những đối tượng được phép và phải đảm bảo rằng thông tin vẫn còn chính xác khi được lưu trữ hay truyền đi Về điểm này, nhiều người thường hay nghĩ tính “integrity” đơn giản chỉ là
đảm bảo thông tin không bị thay đôi (modify) là chưa đây đủ
Ngoài ra, một giải pháp “data integrity” có thể bao gồm thêm việc xác thực nguồn gốc của thông tin này (thuộc sở hữu của đối tượng nào) đề đảm bảo thông tin đến từ một nguồn dang tin cậy và ta gọi đó là tính “authenticity” cua thông tin
Sau đây là một số trường hợp tính “integrity” của thông tin bị phá vỡ:
LI Thay đổi giao diện trang chủ của một website
_J Chặn đứng và thay đối gói tin được gửi qua mạng
LI Chỉnh sửa trái phép các file được lưu trữ trên máy tính
[1 Do có sự cố trên đường truyền mà tín hiệu bị nhiễu hoặc suy hao dẫn đến thông tin bị sai lệch
Trang 7Availability
Đảm bảo độ sẵn sàng của thông tin, tức là thông tin có thể được truy xuất bởi những người được phép vào bắt cứ khi nào họ muốn Ví dụ, nếu một server chỉ bị ngưng hoạt động hay ngừng cung cấp dịch vụ trong vòng 5 phút trên một năm thì độ sẵn sàng của nó là
99 999%,
Ví dụ sau cho thấy hacker có thể cản trở tính sẵn sàng của hệ thống như thế nào: Máy của hacker sẽ gửi hàng loạt các gói tin có các MAC nguồn giả tạo đến switch làm bộ nhớ lưu trữ MAC address table của switch nhanh chóng bị đầy khiến switch không thể hoạt động bình thường được nữa Đây cũng thuộc hình thức tân công từ chối dịch vụ (DoS)
Để tăng khả năng chống trợi với các cuộc tấn công cũng như duy trì độ sẵn sàng của hệ thống ta có thể áp dụng một số kỹ thuật như: Load Balancing, Clustering, Redudancy, Failover
Như vậy, vẫn đề bảo mật thông tin không chỉ đơn thuần là việc chống lại các cuộc tấn công từ hacker, ngăn chặn malware đề đảm bảo thông tin không bị phá hủy hoặc bị tiết lộ ra ngoài Hiểu rõ 3 mục tiêu của bảo mật ở trên là bước căn bản đầu tiên trong quá trình xây dựng một hệ thống thông tin an toàn nhất có thể Ba mục tiêu này còn được gọi là tam giác bảo mật C-I-A
Trang 8CHƯƠNG 2: CÁC NGUY CƠ MÁT AN TOAN THONG TIN
2.1 Nguy cơ mắt an toàn thông tin về khía cạnh vật ly
Nguy cơ mất an toàn thông tin về khía cạnh vật lý là nguy cơ do mất điện, nhiệt độ, độ
am không đảm bảo, hỏa hoạn, thiên tai, thiết bị phân cứng bị hư hỏng, các phần tử phá hoại như nhân viên xâu bên trong và kẻ trộm bên ngoài
2.2 Nguy cơ bị mất, hỏng, sửa đôi nội dung thông tin
Người dung có thê vô tình đề lộ mật khẩu hoặc không thao tác đúng quy trình tạo cơ hội cho kẻ xâu lợi dụng đề lây cặp hoặc làm hỏng thông tin
Kẻ xấu có thê sử dụng công cụ hoặc kỹ thuật của mình đề thay đôi nội dung thông tin (các file) nhăm sai lệch thông tin của chủ sở hữu hợp pháp
2.3 Nguy cơ bị tấn công bởi các phần mềm độc hại
Nguy cơ đến từ các phần mềm độc hại (Malware) Các phần mềm độc hại lây lan, phát tán mã độc trên hệ thống máy tính, hệ thống mạng Khi hệ thống thiết bị, Internet bị tan công tiềm ấn nhiều nguy cơ khó lường
Có một số phần mềm độc hại phô biến mà tổ chức cần quan tâm theo dõi dưới đây: + Virus: Có thê thực hiện các hành vi phá hoại, lẫy cắp thông tin
+ Sâu máy tính: Thực hiện các hành vi : xóa File, ngăn chặn người dùng kết nối Internet, làm đô vỡ các chương trình thông thường
+ Phần mềm gián điệp Spyware: Nhằm thu thập thông tin một cách bí mật, không được
sự cho phép
2.4 Nguy cơ xâm nhập từ lỗ hồng bảo mật
Nguy cơ đến từ lỗ hồng bảo mật trong hệ điều hành, các chương trình phần mềm Chúng trở thành điểm yếu đề tin tặc khai thác tân công, gây mắt an ninh thông tin Hơn nữa, thực tế đã cho thấy, nguy cơ bị tấn công từ lỗ hồng bảo mật ngày càng lớn Theo trung tâm An toàn thông tin mạng của Ban Cơ yếu Chính phủ Con số vụ tấn công bang phương thức khai thác lỗ hông chiếm hơn 87%
2.5 Nguy cơ xâm nhập do bị tắn công bằng cách phá mật khâu
Quá trình truy cập vào một hệ điều hành có thể được bảo vệ bằng một khoản mục người dùng và một mật khẩu Đôi khi người dùng khoản mục lại làm mất đi mục đích bảo vệ
Trang 9của nó bằng cách chia sẻ mật khâu với những người khác, ghi mật khâu ra và để nó công khai hoặc để ở một nơi nào đó cho dễ tìm trong khu vực làm việc của mình
Những kẻ tân công có rất nhiều cách khác phức tạp hơn đề tìm mật khâu truy nhập Những kẻ tấn công có trình độ đều biết rằng luôn có những khoản mục người dùng quản trị chính
Kẻ tấn công sử dụng một phần mềm dò thử các mật khâu khác nhau có thê Phần mềm này sẽ tạo ra các mật khâu bằng cách kết hợp các tên, các từ trong từ điển và các số Ta có thê dễ đàng tìm kiếm một số ví dụ về các chương trình đoán mật khẩu trên mạng Internet như: Xavior, Authforce và Hypnopaedia Các chương trình dạng này làm việc tương đối nhanh và luôn có trong tay những kẻ tân công
2.6 Nguy cơ mắt an toàn thông tin do sử dụng Email
Tài khoản Email cá nhân, doanh nghiệp cũng tiềm ân nguy cơ mắt an toàn thông tin Bởi tin tặc thường tấn công bằng cách sử dụng Email giả mạo chứa Virus, liên kết độc hại Người dùng bị tấn công bằng Email có thể bị đánh cắp mật khâu hoặc lây nhiễm Virus Lúc này, dù chỉ một nhân viên mở thư cũng có thể gây thiệt hại cho cả tổ chức
2.7 Nguy cơ mắt an toàn thông tin trong quá trình truyền tin
Quá trình truyền tin trên mạng Internet cũng tiềm ân nguy cơ mắt an toàn thông tin đến
từ việc kẻ xấu chặn đường truyền, thay đối hoặc phá hỏng nội dung thông tin rồi tiếp tục gửi đến người nhận
Trang 10CHUONG 3: THUC TRANG VE AN TOAN THONG TIN TRONG
LINH VUC NGAN HANG
3.1 Trén thé gidi
Ước tính, trên thế giới có hơn 900 cuộc tấn công mạng, 5 mã độc mới sinh ra trong mỗi
giây, phát hiện 40 điểm yếu, lỗ hồng mỗi ngày Năm 2021, nhiều vụ tấn công mạng trên thế
giới, gây hậu quả nghiêm trọng đã xảy ra Ví dụ như vụ tân công mã độc tống tiền ransomware nhằm vào Công ty công nghệ thông tin Kaseya (Mỹ), dùng mã độc tống tiền dé tấn công hàng loạt doanh nghiệp sử dụng dịch vụ của công ty này dẫn đến hậu quả là khoảng
800 - 1.500 doanh nghiệp khắp thể giới bị ảnh hưởng Đây được xem là một trong những đợt tấn công mã độc tống tiền có quy mô lớn ký lục trong lịch sử Hay vụ tấn công vào Sản giao dịch chứng khoán Công ty Dịch vụ tài chính Robinhood Markets Inc (Mỹ), nhằm lấy cắp các
dữ liệu cá nhân, gây ảnh hưởng đến hơn 22 triệu người dùng giao dịch cô phiếu, hối đoái và
tiền điện tử
Đầu năm 2010, truyền thông quốc tế đưa tin khoảng 5.000 máy ly tam cua Iran tại nha máy hạt nhân ở Natanz đã "hóa điên" trong cuộc tân công mạng khiến Tehran trở tay không kịp Thủ phạm được xác định là virus Stuxnet đã lợi dụng lỗ hồng an ninh chưa có bản vá - được gọi là lỗ hong Zero-day - trong Windows đề kiêm soát các máy tính điều khiển máy ly tâm phục vụ việc làm giàu Uranium
Đây cũng là một trong những vụ tân công Zero-day lớn nhất và gây thiệt hại nặng nề nhất
thế giới
Thuật ngữ Zero-day được sử dụng để mô tá các lỗ hồng bảo mật chưa được biết đến hoặc chưa được khắc phục trong phần mềm hoặc ứng dụng Lỗ hồng bảo mật hay điểm yếu là các khiếm khuyết mà tin tặc có thể sử dụng đề khai thác tân công vào các hệ thống, phần mềm nhằm thực hiện các hành động phi pháp, ảnh hưởng xấu đến cá nhân, doanh nghiệp
Các lỗ hồng bảo mật này không chỉ ảnh hưởng đến hàng tỉ người dùng cá nhân trong các
vụ lừa đảo tài chính, phát tán thông tim nhạy cảm, mà tin tặc còn có thê lợi dụng để nhắm đến các cơ quan, tô chức lớn Đặc biệt, các hacker sẽ lợi dụng lỗ hồng đề tấn công và nhúng mã độc Vào trong các phần mềm đề từ đó kiêm soát mọi hệ thong của toàn bộ các khách hàng Điển hình như vụ tấn công vào hãng phần mềm Solarwinds đề từ đó kiêm soát 18.000 khách hàng của công ty này, trong đó có ít nhất 100 công ty và 9 cơ quan liên bang của Mỹ là nạn nhân
Một thông kê mới đây cho biết, chỉ riêng trong tháng 8/2022, trên thế giới đã ghi nhận
112 vụ việc mắt an toàn thông tin mới được tiết lộ công khai với hơn 97,4 triệu hồ sơ bị vi
phạm, trong đó có không ít các vụ việc xảy ra trong lĩnh vực tài chính — ngân hàng Đó là vụ