Chương 11: Vấn đề bảo mật và kiểm soát các hệ thống thông tin. Những nội dung chính được trình bày trong chương này gồm có: Giới thiệu chung, quyền riêng tư (Privacy), bảo mật (Security), đạo đức (Ethic). Mời các bạn cùng tham khảo.
Chương 11: Vấn đề bảo mật kiểm soát hệ thống thông tin Nội dung Giới thiệu Quyền riêng tư (Privacy) Bảo mật (Security) Đạo đức (Ethic) 3/30/201 Trang Tính dể bị tổn thương HTTT Thông tin liệu tồn nhiều dạng khác nhau: In viết giấy Trong thiết bị lưu trữ Truyền Trên phát qua đường thư tín internet Tại HTTT lại dễ bị tổn thương Con người thành phần quan trọng HTTT Con người dùng hệ thống với mục đích khác Những câu hỏi cho vấn đề bảo mật Liệu cơng nghệ có làm cho việc xâm nhập riêng tư người khác trở nên dễ dàng? Khi thực giao dịch vay tiền, đăng ký lái xe, hay tốn tiền siêu thị, liệu thơng tin cá nhân có bị phát tán sử dụng mà khơng có cho phép chúng ta? Và sử dụng Internet, liệu thơng tin có bị thu thập chia sẻ với người khác? Những vấn đề cần quan tâm Quyền riêng tư (Privacy): Những mối đe dọa đến riêng tư cá nhân làm bảo vệ mình? Bảo mật (Security): Làm để việc truy cập vào thông tin nhạy cảm kiểm sốt làm đảm bảo an toàn cho phần cứng phần mềm? Đạo đức (Ethic): Những hành động người dùng cá nhân tổ chức ảnh hưởng đến xã hội? Nội dung Giới thiệu Quyền riêng tư (Privacy) Bảo mật (Security) Đạo đức (Ethic) 3/30/201 Trang Quyền riêng tư (Privacy) Liên quan đến việc thu thập sử dụng liệu cá nhân Có ba vấn đề quyền riêng tư chính: Độ xác (Accuracy) liên quan đến trách nhiệm người thu thập liệu để đảm bảo liệu xác Quyền sở hữu (Property) liên quan đến người sở hữu liệu quyền phần mềm Truy cập (Access) liên quan đến trách nhiệm người kiểm soát liệu, đảm bảo liệu truy cập xác Thơng tin thu thập nơi Những công ty viễn thông tổng hợp danh sách gọi khách hàng, thời gian gọi, vị trí từ GPS… Những ngân hàng lưu trữ thông tin khách hàng giao dịch trực tiếp hay thông qua ATM, mua bán thẻ… Các siêu thị lưu trữ sản phẩm khách hàng mua, mua, số lượng giá Các cơng cụ tìm kiếm (search engine) lưu trữ lịch sử tìm kiếm trang người dùng viếng thăm Kỷ nguyên Big Data Dung lượng (Volume): Theo tài liệu Intel vào tháng 9/2013, 11 giây, PB liệu tạo toàn giới, tương đương với đoạn video HD dài 13 năm Facebook phải xử lý khoảng 500 TB liệu ngày Tốc độ (velocity): Tổ chức McKinsey Global ước tính lượng liệu tăng trưởng với tốc độ 40%/năm, tăng 44 lần từ năm 2009 đến 2020 Tính đa dạng (variety): Các kiểu liệu có cấu trúc, bán cấu trúc khơng có cấu trúc tồn nhiều hình thức bao gồm hình ảnh, âm thanh, video, văn bản, v.v… Lừa đảo qua mạng Lừa đảo mạng Wi-Fi Hotspots Bắt Sau chước mạng miễn phí kết nối, mạng lưới lừa đảo lấy cắp thông tin gửi người dùng truy cập trang web tên người dùng mật Các biện pháp để bảo vệ an ninh máy tính Các bước ngăn cản chương trình độc hại Kích hoạt ln ln trì tường lửa Lưu dự phòng thường xuyên liệu, chuẩn bị trường hợp máy tính gặp cố Đừng kích vào link hay tệp đính kèm email chắn nội dung chúng Tải cài đặt phần mềm từ website tin cậy Cập nhật vá phần mềm diệt virus thường xuyên Các biện pháp để bảo vệ an ninh máy tính Cách phòng tránh lừa đảo qua mạng Không gửi tên tài khoản, mật khẩu, số thẻ tín dụng, số tài khoản ngân hàng thông tin cá nhân qua email, Skype, Facebook Messenger, tin nhắn hay dịch vụ chat trường hợp Lưu ý tới địa web, email thức số điện thoại xác thực ngân hàng, dịch vụ mà bạn sử dụng Trước cung cấp thông tin cá nhân, trước nhắn tin sử dụng số thẻ nạp mạng, thử suy nghĩ cách tỉnh táo Nếu Garena thực muốn tặng quà cho bạn, họ khơng cơng bố trang chủ mà lại dùng tới trang web xa lạ? Nếu Viettel muốn khuyến mại cho người dùng, họ không thông báo qua đường SMS mà lại cung cấp cổng nạp thẻ không thuộc tên miền thức Viettel? Tạo mơi trường kiểm sốt hệ thống thơng tin Để tối thiểu hố sai sót, thảm họa, gián đoạn dịch vụ, tội phạm máy tính & vi phạm bảo mật, sách & qui trình đặc biệt cần phải kết hợp việc thiết kế & triển khai thực HTTT Kết hợp đo lường thủ công & tự động để bảo vệ HTTT & bảo đảm HTTT hoạt động theo chuẩn quản lý gọi kiểm soát Kiểm soát: gồm phương pháp, sách & qui trình tổ chức để đảm bảo an toàn cho tài sản tổ chức, độ xác & tin cậy mẩu tin, & tuân thủ hoạt động điều hành theo chuẩn quản trị Tạo mơi trường kiểm sốt hệ thống thơng tin Kiểm sốt tổng qt Là quản lý việc thiết kế, bảo mật, sử dụng chương trình máy tính, & việc bảo mật tập tin DL cách tổng quát xuyên suốt sở hạ tầng công nghệ thông tin tổ chức Bao gồm kiểm soát phần mềm, kiểm soát phần cứng vật lý, kiểm sốt hoạt động máy tính, kiểm sốt bảo mật DL, kiểm sốt qui trình thực HT & kiểm sốt quản trị Tạo mơi trường kiểm sốt hệ thống thơng tin Kiểm sốt tổng qt Tạo mơi trường kiểm sốt hệ thống thơng tin Mã hóa public-key Hệ thống phát xâm nhập Xác thực sinh trắc học qua hệ thống quét tròng mắt Firewall Lớp socket an ninh (SSL) Common Criteria - Bộ tiêu chí chung bảo mật Nội dung Giới thiệu Quyền riêng tư (Privacy) Bảo mật (Security) Đạo đức (Ethic) 3/30/201 Trang 43 Đạo đức Tình trạng vi phạm quyền phần mềm Rất phổ biến không riêng nước phát triển Ngay Mỹ có đến 1/3 số người dùng phần mềm khơng có quyền Riêng năm 2013, mức thiệt hại vi phạm quyền phần mềm gây 21 tỉ USD Việt Nam ln nằm số nước có tỉ lệ vi phạm quyền phần mềm cao khu vực giới Trước hệ thống pháp luật nước sở hữu trí tuệ chưa hồn thiện tỉ lệ ln ln 90% Sau Luật Sở hữu trí tuệ ban hành có hiệu lực từ năm 2006, liên tiếp năm, từ 2007 đến 2009, tỉ lệ Việt Nam giảm xuống mức 85% Đến năm 2014, tỉ lệ tiếp tục giảm xuống 81% Đạo đức Một số tình đạo đức thực tế Điều xảy bạn nghiên cứu tài liệu phát bí mật thương mại cơng ty? Sẽ sau bạn nghỉ việc chuyển sang làm việc cho công ty đối thủ cạnh tranh với công ty cũ? Liệu có sai trái khơng, bạn sử dụng kiến thức thu trước cho cơng việc mới? Và liệu có “sai hơn” hay khơng, bạn in tài liệu mang theo mình, thay ghi nhớ chúng đầu? Đạo đức Một số tình đạo đức thực tế Điều xảy tài liệu mà bạn đọc cho thấy công ty bạn vi phạm luật pháp quy định khác quyền? Bạn nghĩa vụ mà tố cáo hay tình nghĩa mà giữ bí mật cho sếp? lựa chọn có khác khơng, trước thực công việc, bạn ký với công ty thỏa thuận không tiết lộ thông tin (nondisclosure agreement)? Và Đạo đức Một số tình đạo đức thực tế Liệu có sai trái khơng, bạn u cầu từ cơng ty q nhiều tiền cho tư vấn, hay bạn coi trường hợp “ra thị trường chấp nhận trả”? Liệu có sai trái khơng bạn kê khai giá thiết bị, phần mềm cao so với thực tế để kiếm lời? Còn việc nhận “lại quả” từ nhà sản xuất thiết bị sao? Liệu có sai trái bạn nhận “phần trăm” từ nhà sản xuất để thuyết phục khách hàng lựa chọn sản phẩm họ? Có sai trái thúc đẩy người dùng sử dụng sản phẩm hãng mà bạn có cổ phần? Đạo đức Một số tình đạo đức thực tế Nếu bạn thuyết phục khách hàng rằng, để giải vấn đề an tồn họ cần phải đổi tồn firewall sang dùng firewall hãng khác, đổi hệ điều hành sang hệ điều hành mã nguồn mở thay đổi khiến thời gian làm việc bạn tăng lên bạn thu nhiều tiền hơn? Sẽ khách hàng yêu cầu tiết kiệm chi phí cách cắt giảm số biện pháp bảo vệ mà bạn khuyến cáo, kết khảo sát bạn nhu cầu an toàn khách hàng rằng, việc cắt giảm khiến cho liệu nhạy cảm khách hàng không bảo vệ mức cần thiết? Bạn cố gắng giải thích điều với khách hàng khơng thành cơng Liệu bạn có tiếp tục cơng việc bỏ qua phần bị cắt giảm? Liệu bạn có thiết lập không công cho khách hàng biện pháp bảo vệ bổ sung để nâng cao tính an tồn? Hay bạn từ chối, khơng nhận thực cơng việc nữa? Đạo đức Cơ sở pháp lý Việt Nam Quốc hội ban hành số điều luật chống tội phạm tin học luật hình (13/1/2000): Điều 224: Tội tạo lan truyền, phát tán chương trình virus tin học Điều 225: Tội vi phạm quy định vận hành, khai thác sử dụng mạng máy tính điện tử Điều 226: Tội sử dụng trái phép thơng tin mạng máy tính Luật cơng nghệ thông tin nghị định xử phạt hành lĩnh vực cơng nghệ thơng tin: Luật giao dịch điện tử Nghị định số 55/2001/NĐ-CP ngày 23/8/2001 Chính Phủ quản lý, cung cấp sử dụng Internet 3/30/201 50 ... tồn Thơng tin phía Nam Ngày An tồn thơng tin Việt Nam lần thứ ngày 19 /11/ 2015 cho thấy: Có 6,6% doanh nghiệp có hệ thống phòng chống cơng DoS/DdoS Có 10% doanh nghiệp có hệ thống phát... thập liệu xuất gọi đại lý thông tin (information resellers) môi giới thông tin (information brokers) chuyên thu thập bán liệu cá nhân cho tổ chức khác Đại lý thông tin sử dụng sở liệu công khai... Chương trình độc hại hay gọi malware, chương trình (program) chèn cách bí mật vào hệ thống với mục đích làm tổn hại đến tính bí mật, tính tồn vẹn tính sẵn sàng hệ thống Định nghĩa bao hàm nhiều thể