Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 86 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
86
Dung lượng
2,64 MB
Nội dung
BÀI GIẢNG CƠ SỞ HỆ THỐNG THÔNG TIN CHƯƠNG LÃNG PHÍ, SAI SÓT VÀ AN TOÀN THÔNG TIN PGS TS HÀ QUANG THỤY HÀ NỘI 01-2016 TRƯỜNG ĐẠI HỌC CÔNG NGHỆ ĐẠI HỌC QUỐC GIA HÀ NỘI Nội dung Lãng phí sai sót máy tính Chống lãng phí sai sót máy tính Tội phạm máy tính Máy tính công cụ tội phạm Máy tính đối tượng tội phạm Ngăn ngừa tội phạm máy tinh Vấn đề riêng tư ATTT HTTT An toàn thông tin Việt Nam Về chương trình đào tạo ATTT Khoa CNTT 11 Tóm tắt 10 Lãng phí sai sót máy tính Giới thiệu nguyên nhân vấn đề máy tính → chi phí không cần thiết cao làm lợi nhuận Lãng phí: dùng công nghệ & tài nguyên máy tính không phù hợp Sai sót: lỗi, sai lầm, vấn đề khác → cung cấp kết không xác/không hữu ích; sai sót xuất chủ yếu lỗi người Lãng phí Tình trạng Chính quyền: sử dụng lớn lãng phí Chính quyền công ty (tư nhân) Lãng phí tài nguyên Loại bỏ phần cứng, phần mềm giá trị Xây dựng-duy trì HT phức tạp không dùng tối đa Nghịch lý suất CNTT Robert Solow Lãng phí thời gian Trò chơi máy tính Gửi email không quan trọng; Truy cập web vô ích Thư rác (spam email) fax rác (spam-fax) Vào mạng xã hội: Các công ty Anh chi hang tỷ bảng chặn nhân viên vào mạng xã hội Sai sót máy tính Giới thiệu Sai sót phần cứng: Sai sót người: sai sót chương trình sai sót nhập liệu, thao tác Cần ngăn chặn kịp thời Một số ví dụ https://au.travel.yahoo.com/news/a/31000259/leap-year-leaves-passengers-without-bags-at -duesseldorf-airport/ : Hành lý sân bay Düsseldorf (Đức); http://www.phillyvoice.com/flights-grounded-atwashington-dc-area-airports/: Hủy bỏ 400 chuyến bay ngày 15/8/2015 vùng đông nước Mỹ http://www.baomoi.com/Land-Rover-thu-hoi-65000-xe-vi-loi-khoa-cua/76/17016902.epi: Land Rover thu hồi 65.000 xe; Toyota thu hồi 625.000 xe v.v Hệ thống radar máy bay hệ năm F-35 Mỹ không đáng tin cậy, liên tục bị tái khởi động http://www.ft.com/intl/cms/s/0/0c82561a-2697-11dd-9c95000077b07658.html#axzz44TRd3mxf : Cổ phiếu Moody ↓ 20% v.v Các sai sót máy tính phổ biến Các sai sót máy tính phổ biến Lỗi nhập liệu nắm bắt liệu Lỗi chương trình máy tính Lỗi xử lý tập tin, nhầm lẫn định dạng đĩa, tập tin cũ đè lên hơn, xóa nhầm tập tin v Xử lý sai kết đầu từ máy tính Lập kế hoạch kiểm soát trục trặc thiết bị không đủ Lập kế hoạch kiểm soát khó khăn môi trường không đủ Khởi động lực tính toán không đầy đủ mức độ hoạt động website tổ chức Lỗi cung cấp truy cập thông tin chưa bổ sung liên kết web xóa liên kết web cũ Người phân tích HT: Kỳ vọng hệ thống không rõ & thiếu thông tin phản hồi Người sử dụng chấp nhận HT không cần thiết/không mong muốn v.v Chống lãng phí sai sót máy tính Khái quát Chống lãng phí sai sót: mục tiêu tổ chức Nhân viên nhà quản lý Chính sách thủ tục: thiết lập, thi hành, giám sát, đánh giá, cải thiện Thiết lập sách Xây dựng-ban hành sách tiếp nhận-sử dụng máy tính cho mục đích chống lãng phí-sai sót Xây dựng-tổ chức đào tạo hướng dẫn-quy định sử dụng-bảo trì HT máy tính; xác nhận tính đích xác hệ thống/ứng dụng trước thi hành/sử dụng đảm bảo tương thích-hiệu chi phí tài liệu hướng dẫn-giới thiệu ứng dụng bao gồm công thức lõi phải nộp/ gửi tới văn phòng trung tâm Giám sát-đánh giá sách thủ tục Giám sát giám sát thường xuyên có hành động khắc phục cần thiết Kiểm toán nội sách-thủ tục Đánh giá Chính sách bao trùm đầy đủ thực tiễn hành hay chưa? Có phát vấn đề/cơ hội chưa bao trùm giám sát hay không? Tổ chức có lên kế hoạch hoạt động tương lai hay không? Nếu có, có nhu cầu sách thủ tục giải hay không, xử lý nhu cầu cần phải thực hiện? Đã bao trùm dự phòng thảm họa hay chưa? Tội phạm máy tính Giới thiệu chung Internet: Cơ hội nguy Dù sách HTTT tốt khó dự đoán/ngăn tội phạm MT Tội phạm máy tính có yếu tố nguy hiểm Năm 2011: Thiệt hai TPMT 20 nước >388 tỷ US$ Các khảo sát “State of Network Security 2013 Servey”: 80,6% phá vỡ dịch vụ doanh nghiệp (30,7% ứng dụng, 29,1% mạng, 20,7% giảm hiệu suất) 60% cho biết thủ công, quản lý thay đổi thiếu tầm nhìn; đe dọa nội 65,4% (40,8% tình cờ, 24,6% chủ ý) nhiều đe dọa bên 34,6% The Global State of Information Security® Survey ba năm 2013-2015 Kinh tế CNTT Kinh tế Internet 4140 tỷ US$ Đào tạo ATTT Trường ĐHCN Định hướng “chương trình, giáo trình đào tạo ATANTT tiên tiến nước ngoài” (Đề án 99/QĐ-TTg) Thủ tục: Quy chế Đào tạo Thạc sỹ Đại học Quốc gia Hà Nội ban hành kèm theo Quyết định số 4668/QĐ-ĐHQGHN ngày 10/12/2014 Giám đốc ĐHQGHN Giải pháp - Phát huy mạnh vốn có từ CTĐT đạt chuẩn kiểm định AUN Đảm bảo vùng kiến thức cốt lõi (ACM/IEEE-CS): Mật mã học (Cryptography), Đạo đức ATTT (Ethics), Chính sách ATTT (Policy), Pháp lý số (Digital Forensics), Điều khiển truy nhập (Access Control), Kiến trúc an ninh (Security Architecture), An ninh mạng (Network Security), Quản lý rủi ro (Risk Management), Tấn công/Phòng thủ (Attacks/Defenses), Các vấn đề điều hành (Operational Issues), Thiết kế kỹ nghệ phần mềm an toàn (Secure Software Design and Engineering) Phân tích, liên hệ, tham chiếu CTĐT: CTĐT Thạc sỹ (5 trường tốp 400 giới) CTĐT cử nhân (1 trường tốp 500) - Tham chiếu chương trình Tham chiếu chương trình nước (thuộc tốp 400 đại học hàng đầu giới: ARWU, QS WUR, SCImago) NUS-SoC: Master in Infocomm Security http://www.comp.nus.edu.sg/graduates/m_structure.html#structure http://www.comp.nus.edu.sg/undergraduates/Others/SoC-Module-desc.pdf Turku Univ (Phần Lan): Master in Cryptography & Data Security Master in Networked Systems Security http://www.infsec.utu.fi/education/index.html http://www.infsec.utu.fi/education/engineering.html SANS IT (Mỹ): Master in Information Security Engineering Master in Information Security Management http://www.sans.edu/academics/curricula/msise http://www.sans.edu/academics/curricula/msism Viện Viện KerckhoffsTU/e (Hà Lan): Master in Infor Security & Cryptography http://www.tue.nl/en/education/tue-graduate-school/masters-programs/information-securitytechnology/curriculum/ http://www.kerckhoffs-institute.org/programme/mandatory.html CMU-INI (Mỹ): Master in Information Security Technology and Management http://www.ini.cmu.edu/degrees/pgh_msistm/curriculum.html http://www.ini.cmu.edu/degrees/pgh_msistm/courses.html Aalto University (Phần Lan): Master in mobile computing and network security http://nordsecmob.aalto.fi/en/programme/ (Phạm Vân Anh cung cấp) Khung chương trình nước Môn học chuyên sâu đào tạo ThS ATTT HV KT M/Mã Mật mã ATTT Mã số: ATMA 503 An toàn máy tính Mã số: ATAH 504 An toàn CSDL nâng cao Mã số: ATCN 505 An toàn mạng máy tính Mã số: ATPA 506 Quản lý ATTT Mã số: ATQA 507 Lý thuyết thực hành kiểm thử/định ATTT Mã số: ATKT 508 Quản lý dự án CNTT Mã số: ATQC 509 Chuẩn tiêu chí đánh giá ATTT Mã số: ATTK 510 Công nghệ ATTT Mã số: ATCA 511 Cơ sở hạ tầng khóa công khai Mã số: ATHK 512 Tội phạm máy tính Mã số: ATPR 513 Mật mã học nâng cao Mã số: ATMB 514 Pháp lý ATTT Mã số: ATPL 515 Quản lý cố ATTT Mã số: ATSC 516 An toàn phần mềm Mã số: ATPM 517 Phân tích mã độc hại Mã số: ATPM 518 Điều tra số Mã số: ATKQ 519 Phân tích, phát xâp nhập trái phép Mã số: ATPT 520 Khai phá liệu ATTT Mã số: ATKP 521 Xác thực sinh trắc học Mã số: ATNS 522 An toàn cho Smart Card Token Mã số: ATST 523 Chủ đề đặc thù Trường ĐHCN Lựa chọn chủ đề đặc thù đào tạo ATTT Các thuật toán Mật mã học tiên tiến (đặc trưng tảng kiến thức khoa học Trường ĐHCN) ATTT đảm bảo riêng tư phương tiện xã hội Yếu tố quản lý người ATTT (đặc trưng đa lĩnh vực ĐHQGHN hệ tiến hóa ATTT) An ninh công nghệ cao nghiên cứu an ninh đại CT đào tạo ThS ATTT: Môn cốt lõi – Chương trình Thạc sỹ • • • • • Nguyên lý an toàn thông tin (Principles of information security) An ninh hệ thống mạng (Network Systems Security) An toàn hệ thống máy tính (Computer System Security) Chủ đề đại ATTT (Advanced topics on Information Systems) Chọn môn môn: An toàn sở liệu (Databases Security), An toàn phần mềm (Software Security), Quản lý an toàn thông tin (Management of Information Security), An toàn thông tin thương mại điện tử (Information Security in E-commerce), Yếu tố người ATTT (Human element in information security ), Ẩn thông tin (: Digital Watermarking and Steganography), Pháp lý không gian mạng (Cyber Forensics), An ninh đại (Contemporary Security), Truy hồi thông tin (Information Retrieval), Kinh doanh liên tục khôi phục sau thảm hoạ (Business Continuity and Disaster Recovery) Các hệ thống nhúng (Embeded Systems) Information Hiding Kết nối CT đào tạo cử nhân ATTT – Chương trình Cử nhân • • • • • • • • • • • • • • Cơ sở an toàn thông tin (Foundations of Information Security): tín chỉ, Tấn công phòng thủ (Attacks and Defenses) : tín chỉ, Phân tích rủi ro (Risk Management) : tín chỉ, Chính sách an ninh (Security Policy) : tín chỉ, An ninh Hệ điều hành : tín chỉ, Lập trình an toàn (Secure Coding) : tín chỉ, Mật mã học ứng dụng (Applied Cryptography) : tín chỉ, Phát triển ứng dụng Web (Development of Web Applications) : tín chỉ, An toàn an ninh mạng (Network Security) : tín chỉ, Thực hành an ninh mạng (Network Security Lab) : tín chỉ, Pháp luật đạo đức ATTT (Legal and Ethnic Issues) : tín chỉ, Nhập môn điều tra số (Introduction to digital forensics) : tín chỉ, Các chủ đề đại ATTT (Advanced Topics in Information Security): TC, Hai môn chuyên ngành lựa chọn định hướng tới ATTT: tín Đối sánh CTĐT NUS-SoC ≈ CTĐT ĐHCN NUS = môn học + Luận văn Đối sánh CTĐT NUS-SoC ≈ CTĐT ĐHCN Học phần cốt lõi – Mật mã An toàn liệu nâng cao - PGS TS Trịnh Nhật Tiến, TS Lê Phê Đô, TS Hồ Văn Canh – (1) Phan Đình Diệu (1999) Lý thuyết mật mã an toàn thông tin NXB ĐHQGHN; (2) William Stallings (2014) Cryptography and Network Security: Principles and Practice (6th Edition) Pearson; (3) Azad, Saiful (2014) Practical Cryptography: Algorithms and Implementations using C++ CRC Press; (4) Jeffrey Hoffstein, Jill Pipher, Joseph H Silverman (2014) An Introduction to Mathematical Cryptography Springer New York – Nguyên lý An toàn thông tin – PGS TS Trịnh Nhật Tiến, TS Lê Phê Đô – (1) M E Whitman, H J Mattord (2012) Principles of Information Security (4th Edition) Course Technology Cengage Learning; (2) Mark Stamp (2011) Information security: principles and practice (2nd edition) John Wiley & Sons; (3) Peter Stavroulakis, Mark Stamp (2010) Handbook of Information and Communication Security Springer Học phần cốt lõi – An toàn hệ thống mạng - TS Nguyễn Đại Thọ, TS Lê Đình Thanh – (1) William Stallings (2014) Network Security Essentials: Applications and Standards (6th edition) Prentice Hall (2) André Perez (2014) Network Security Wiley; (3) Michael Collins (2014) Network Security Through Data Analysis Building Situational Awareness O’Reilly – An toàn hệ thống máy tính - TS Phạm Hồng Thái, PGS TS Trịnh Nhật Tiến, TS Hồ Văn Hương - (1) William Stallings and Lawrie Brown (2012) Computer Security: Principles and Practice (2nd edition) Prentice Hall; (2) Christian Krieg, Adrian Dabrowski, Heidelinde Hobel, Katharina Krombholz, Edgar Weippl (2013) Hardware Malware Morgan & Claypool; (3) Trent Jaeger (2008) Operating System Security Morgan & Claypool Học phần cốt lõi – An toàn sở liệu – PGS TS Trịnh Nhật Tiến, PGS TS Nguyễn Hải Châu – (1) Alfred Basta, Melissa Zgola, Dana Bullaboy, Thomas L Whitlock Sr (2012) Database Security Course Technology Cengage Learning; (2) Osama S Faragallah, El-Sayad M El-Rabaie, Fathi E Abd El-Samie, Ahmed I Sallam, Hala S El-Sayed (2014) Multilevel Security for Relational Databases CRC Press; (3) Michael Gertz, Sushil Jajodia (editors, 2008) Handbook of Database Security: Applications and Trends Springer – An toàn phần mềm - TS Nguyễn Đại Thọ, PGS TS Trương Ninh Thuận – (1) James Ransome, Anmol Misra (2013) Core Software Security: Security at the Source CRC Press; (2) Mark S Merkow, Lakshmikanth Raghavan (2011) Secure, Resilient Software: Requirements, Test Cases, and Testing Methods Auerbach; (3) Mano Paul (2012) The qualities of highly secure software CRC Press Học phần cốt lõi – Quản lý an toàn thông tin - TS Nguyễn Ngọc Hóa, PGS TS Trịnh Nhật Tiến - (1) John R Vacca (2013) Managing Information Security (2nd Edition) Syngress; (2) James A Scholz (2013) Enterprise Architecture and Information Assurance: Developing a Secure Foundation CRC Press;.(3) Richard O'Hanley, James S Tiller (editor, 2013) Information security management handbook (vol 7) Auerbach – An toàn thông tin thương mại điện tử – TS Bùi Quang Hưng, PGS TS Nguyễn Hà Nam – (1) Hadi Nahari, Ronald L Krutz (2011) Web Commerce Security: Design and Development Wiley: (2) Gordon E Smith (2004) Control and Security of E-Commerce Wiley (3) Zheng Qin, Yang Chang, Shundong Li, Fengxiang Li (2014) ECommerce Strategy Springer Berlin Heidelberg Học phần cốt lõi – Yếu tố người an toàn thông tin - TS Hồ Văn Canh, PGS TS Hà Quang Thuy – (1) Christopher Hadnagy (2010) Social Engineering: The Art of Human Hacking Wiley (2) Christopher Hadnagy, Paul Ekman (2014) Unmasking the Social Engineer: The Human Element of Security Wiley; (3) Ian Mann (2008) Hacking the human: social engineering techniques and security countermeasures Gower – An toàn Internet - TS Đặng Thanh Hải, TS Nguyễn Viết Thế - (1) Ronald J Deibert, John G Palfrey, Rafal Rohozinski, Jonathan Zittrain (2008) Access Denied Practice and Policy of Global Internet Filtering MIT Press; (2) Eli Pariser (2011) The Filter Bubble: What the Internet Is Hiding from You Penguin Press; (3) John R Levine, Margaret Levine Young (2010) The Internet for Dummies (12th edition) Wiley Học phần cốt lõi – Giấu tin phát giấu tin – TS Phạm Hồng Thái, PGS TS Trịnh Nhật Tiến, TS Hồ Văn Canh – (1) Michael Raggo, Chet Hosmer (2012) Data hiding: Exposing concealed data in multimedia, operating systems, mobile devices and network protocols Syngress; (2) Ali Mohammad Al-Haj (2010) Advanced Techniques in Multimedia Watermarking: Image, Video and Audio Applications IGI Global; (3) Rainer Böhme (2010) Advanced Statistical Steganalysis Springer – Điều tra không gian mạng - TS Hồ Văn Canh, TS Bùi Quang Hưng, TS Nguyễn Đại Thọ – (1) Terrence V Lillard (2010) Digital Forensics for Network, Internet, and Cloud Computing: A Forensic Evidence Guide for Moving Targets and Data Syngress; (2) Sherri Davidoff, Jonathan Ham (2012) Network Forensics: Tracking Hackers through Cyberspace Prentice Hall; (3) Eamon P Doherty (2012) Digital Forensics for Handheld Devices CRC Press Học phần cốt lõi – An ninh riêng tư mạng xã hội - PGS TS Nguyễn Trí Thành, TS Hồ Văn Canh – (1) Deborah Gonzalez (2015) Managing Online Risk: Apps, Mobile, and Social Media Security Elsevier; (2) Yaniv Altshuler, Yuval Elovici, Armin B Cremers, Nadav Aharony, Alex Pentland (Editors, 2013) Security and privacy in social networks; Springer (3); Cornelis Reiman (2012) Public Interest and Private Rights in Social Media Chandos – Đảm bảo liên tục khôi phục hệ thống sau thảm hoạ - TS Nguyễn Ngọc Hóa, TS Nguyễn Đại Thọ - (1) Susan Snedaker (2014) Business Continuity and Disaster Recovery Planning for IT Professionals Syngress; (2) Jamie Watters (2014) Disaster Recovery, Crisis Response, and Business Continuity: A Management Desk Reference Apress; (3) Gerard Blokdijk (2008) Disaster Recovery 100 Success Secrets: IT Business Continuity, Disaster Recovery Planning and Services Emereo Publishing