CHƯƠNG ĐẠO ĐỨC & AN NINH MÁY TÍNH 01/31/20 Mục tiêu học tập Mô tả xuất kỹ nguyên thông tin cách thức đạo đức máy tính ảnh hưởng việc sử dụng hệ thống thông tin Thảo luận quan tâm đạo đức với “sự riêng tư”, xác, đặc trưng, truy xuất thông tin Định nghĩa tội phạm máy tính, loại tội phạm máy tính Phân biệt thuật ngữ “computer virus,” “worm,” Trojan Horse Giải thích ý nghĩa khái niệm “an ninh hệ thống thơng tin” mô tả cách giải 01/31/20 Nội dung I Đạo đức Tin học II Hành vi phạm tội máy tính III An ninh Hệ thống thông tin 01/31/20 I Đạo đức tin học Tính riêng tư Tính xác Tài sản thông tin Quyền truy xuất thông tin Hành vi đạo đức 01/31/20 I Đạo đức tin học Đạo Đạođức đứcmáy máytính tính Các Cácvấn vấn đề đềvà vàcác cácchuẩn chuẩn mực mựcvề vềhành hànhvivitrong trongviệc việcsử sử dụng dụnghệ hệthống thốngthông thôngtin tin bao baogồm gồmsự sựriêng riêngtư, tư,tính tính chính xác, xác,tài tài sản sảnthông thôngtin tin vàquyền quyền truy truyxuất xuất 01/31/20 1.Tính riêng tư – Information Privacy Sự riêng tư thông tin vấn đề phát sinh Tính Tính riêng riêng tư tư (Information (Information Privacy) Privacy) Những Những thông thông tin tin mà mà cá cá nhân nhân phải phải tiết tiết lộ lộ cho cho người người khác khác trong quá trình trình xin xin việc việc hay hay mua mua hàng hàng trực trực tuyến tuyến Ăn Ăntrộm trộm thông thôngtin tin“mật” “mật” Việc Việc đánh đánhcắp cắp cácthông thôngtin tin riêng riêngcủa củacá cánhân nhân(số (sốtài tàikhoản, khoản, PIN PIN…) …) để đểmua muachịu, chịu,vay vay tiền, tiền,mua muahàng hànghóa, hóa, hoặc vay vay mượn, mượn,hay haynói nóicách cách khác kháclà nhữngkhoản khoản nợ nợkhông khôngbao baogiờ trả trả.Đây Đâylà vấn vấn đề đềđặc đặcbiệt biệtvì: vì: ••Vơ Vơhình hình với vớinạn nạnnhân, nhân,họ họkhơng khơngbiết biết điều điều gì đãxảy xảy ra ••Rất Rấtkhó khósửa sửachữa chữa… …bao baogồm gồmcác hậu hậu quảcó cóthể thể ••Có Cókhả khảnăng năngtổn tổn thất thất không khôngthể thể bù bù đắp đắp 01/31/20 1.Tính riêng tư – Information Privacy Quản trị “tính riêng tư” Chọn Chọncác cácWeb Websites sitesđược đượccác cáctổ tổ chức chứcđộc độclập lậpgiám giámsát sát Sử Sửdụng dụngcác cácsites sitesđánh đánhgiá giáđể đểchọn chọncác cácsites sites“an “an toàn” toàn”(e.g (e.g epubliceye.com) epubliceye.com) Tránh Tránhviệc việclưu lưucác cácCookies Cookiestrên trênmáy máy Cài Càiđặt đặttrình trình duyệt duyệtđể để“chặn” “chặn”việc việcký kýgửi gửicookies cookies lên lênmáy máy tính tính khiduyệt duyệtWeb Web Cẩn Cẩnthận thậnkhi khinhận nhậncác cácthư thưyêu yêucầu cầu Hãy Hãydùng dùngtài tàikhoản khoảnemail emailkhác khácvới vớitài tàikhoản khoảnbình bình thường thường để đểbảo bảovề vềcác cácthơng thôngtin tinriêng, riêng,tránh tránhbị bịxâm xâmphạm phạmbởi bởicác người ngườidùng dùngbất bấtkỳ kỳtrên máy máy tính tính củabạn bạn 01/31/20 2.Tính xác – Information Accuracy Tính Tínhchính chínhxác xác(Information (InformationAccuracy) Accuracy) Các Cácvấn vấnđề đềđảm đảmbảo bảoxác xácthực thực xuất xuấtxứ xứvà vàtính tính trung trungthực thực (authenticity (authenticityand andfidelity) fidelity) củathông thôngtin, tin,và vàxác xácđịnh định cáctrách trách nhiệm nhiệmvề vềcác cáclỗi lỗitrong trongthông thôngtin tin làm làm nguy nguy hại hại người người khác khác Nguồn lỗi Các lỗi kết xuất máy tính bắt nguồn từ nguồn là: • Lỗi kỹ thuật – lỗi giải thuật, truyền thơng và/hay q trình xử lý nhận, xử lý, lưu trữ, trình bày thơng tin • Lỗi người – người nhập liệu vào hệ thống thông tin gây 01/31/20 3.Tài sản thông tin- Information Property Tài Tài sản sản thông thông tin tin (Information (Information property) property) Tài Tài sản sảnthông thôngtin tin liên liênquan quan đến đến việc việcai aisở sởhữu hữuthơng thơngtin tin vàthơng thơngtin tin có cóthể thểđược bán bán vàtrao traođổi đổinhư nhưthế thếnào? nào? Ví Ví dụ dụ Ai Ailà làngười ngườisở sởhữu hữu thông thôngtin tin đượclưu lưu trữ trữtrong tronghàng hàngngàn ngàn cơsở sởdữ dữliệu liệu bởingười ngườibán bánlẻ, lẻ,công côngty ty nghiên nghiên cứu cứu tiếp tiếpthị? thị? Các Cáccông côngty tylưu lưutrữ trữ cơ sở sởdữ liệu liệu vềkhách khách hàng hàngvà nhữngngười ngườiđăng đăngký kýlà làngười ngườisở sởhữu hữu thông thôngtin, tin,họ họ được tự tựdo dobuôn buônbán bán 01/31/20 3.Tài sản thông tin- Information Property Quyền Quyền sở sở hữu hữu thông thông tin tin (Information (Information Ownership) Ownership) Thuộc Thuộcvề vềcác cáctổ tổchức chứclưu lưu trữ trữthơng thơngtin tin nếunó nóđược đượcchuyển chuyển giao giao… …ngay ngaycả cảkhi khi“không “khôngnhận nhậnthức” thức”do sử sử dụng dụngcác cácsites sites đó(e.g (e.g.khảo khảosát sáttrực trựctuyến) tuyến) Điều Điều lệ lệ riêng riêng tư tư (Privacy (Privacy Statements Statements )) Được Được cáctổ tổchức chứcthu thu thập thập thông thôngtin tin nêu nêu ravà vàcách cách thức thức sử sửdụng dụngchúng chúng.Về Vềpháp pháplýlýcó có22loại loại ••Internal InternalUse Use ––chỉ chỉdùng dùngtrong trongphạm phạmvivitổ tổchức chức ••External ExternalUse Use –– có cóthể thểbán bán rabên bên ngồi ngồi 01/31/20 10 Các hình thức tội phạm Có nhiều hình thức tội phạm:    Sử dụng máy tính để đánh cắp tiền, tài sản lừa gạt tiền người khác Ví dụ: quảng cáo hàng giảm giá trang Web đấu giá, nhận đơn hàng tốn sau gửi hàng chất lượng Đánh cắp thay đổi thông tin Đánh cắp thông tin phá hư hệ thống máy tính sau tống tiền nạn nhân 01/31/20 19 Các hình thức tội phạm Có nhiều hình thức tội phạm:    Những tên khủng bố công nghệ (Technoterrorists) cài đặt chương trình phá hủy vào hệ thống máy tính sau đe dọa tống tiền nạn nhân Hình thức tội phạm phát tán virus làm phá hoại hệ thống máy tính ngăn chặn dịch vụ trang web Việc sử dụng Internet làm phát sinh nhiều hình thức tội phạm xuất trang web có nội dung khơng lành mạnh (phản động, đồi trụy,…) 01/31/20 20 Bản quyền phần mềm    Những người phát triển sản xuất phần mềm muốn bán nhiều sản phẩm họ tốt Người bán không muốn mua phần mềm sau nhân thành nhiều bán lại cho người khác Nhà cung cấp bi quan khả công ty mua phần mềm ứng dụng sau tạo nhiều phân phối cho nhân viên 01/31/20 21 Bản quyền phần mềm Tình hình vi phạm quyền (2008) 01/31/20 22 Virus máy tính Viruses Viruses Các Cácchương chươngtrình trình phá phá hoại hoạihoạt hoạtđộng độngbình bình thường thườngcủa hệ hệ thống thốngmáy máy tính tính bằngcác cáchành hành viviác ácýýgây gâynguy nguyhại hạihoặc phá pháhủy hủycác cáctập tậptin tintrên máy máybị bịnhiễm nhiễm.Các Cácloại loạivirus: virus: ••Boot BootSector Sector –– nhiễm nhiễmvào vàophần phầnđĩa đĩadùng dùngđể đểkhởi khởiđộng động ••File File Infector Infector –– nhiễm nhiễmvào vàofiles filesnhư như.doc, doc,.exe, exe, … … ••Combination Combination –– có cókhả khảnăng nănghoán hoán đổi đổigiữa giữaboot bootvà vàfile file để đểđánh đánhlừa lừacác cáctrình trìnhdiệt diệt virus virus ••Attachment Attachment––lây lây theo theo e-mail e-mailkhi khimở mởfile fileđính đính kèm kèm (attachment) (attachment) Có Có khả khả năngtự tự gửi gửitheo theo địa địachỉ Worms Worms Đoạn Đoạn mã mãphá pháhoại hoạicó có khả khảnăng năngnhân nhân bản và lan lan rộng rộngtrên mạng mạngmáy máy tính tính.Nó Nó gây gây nguy nguyhại hạibằng bằngcách cách nhiễm nhiễmvào vàobộ nhớ nhớlàm làmhệ hệthống thốnghoạt hoạt động độngchậm chậmthay thayvì phá phá hủy hủy tập tậptin tin 01/31/20 23 Virus máy tính Trojan TrojanHorses Horses Các Cácchương chươngtrình trình nàykhơng khơngcó cókhả khả năngnhân nhân bản nhưngcó thểgây gâynguy nguyhại hạibằng bằngcách cách chạy chạyẩn ẩn các chương chươngtrình trình trên máy máy bị bịnhiễm nhiễm(i.e (i.emột mộtsố sốgame gametự tựtạo tạoaccount accounttrên máy máyđể đểtruy truycập cập trái tráiphép) phép) Logic Logicor orTime Time Bombs Bombs Biến Biến thể thểTrojan TrojanHorse Horse(không (khôngnhân nhânbản bảnvà vàẩn ẩnmình) mình) đượcthiết thiếtkế kếđể đểchờ chờsự kiện kiệnkích kích hoạt hoạt.(i.e (i.e.nhân nhân viên viênlập lậptrình trìnhsẽ sẽphá pháhoại hoạikhi khihọ họnghỉ nghỉviệc) việc) ••Time Time Bombs Bombs –– kích kích hoạt hoạt bởithời thờigian gian (e.g (e.g.sinh sinh nhật) nhật) ••Logic LogicBombs Bombs ––kích kích hoạt hoạtbởi bởitác tác vụ vụ nàođó đó(e.g (e.g nhập nhập mật mật khẩu nào đó) đó) 01/31/20 24 Virus máy tính Virus phát tán theo cách: Hacker tạo virus đính kèm vào chương trình tập tin Website Người dùng tải nghĩ tập tin chương trình bình thường Khi tải xong, nhiễm vào tập tin chương trình khác máy tính Người dùng gửi mail, chia sẻ tập tin chứa virus cho nhiều bạn bè, đồng nghiệp Virus phán tán cách nhanh chóng thơng qua Internet 01/31/20 25 III An ninh hệ thống thông tin Các biện pháp quản trị an toàn Các hiểm họa an ninh kỹ thuật phòng chống 01/31/20 26 Các biện pháp quản trị an toàn An Anninh ninhtrong tronghệ hệ thống thốngthông thông tin tin Các Cácbiện biện pháp phápphòng phòngngừa ngừagiữ giữ cho cho tất tấtcả cáclĩnh lĩnh vực vựchoạt hoạt động độnghệ hệthống thốngthơng thơngtin tin đượcan an tồn tồn khỏi khỏicác cáchành hànhvivitruy truy cập cậptrái tráiphép phép Kiểm soát truy xuất Quản trị rủi ro Các biện pháp Sao lưu phục hồi 01/31/20 Chính sách thủ tục an ninh 27 Các biện pháp quản trị an tồn Quản Quảntrị trịrủi rủiro ro ••Kiểm Kiểmtốn tốnmức mứcđộ độan anninh ninhnhận nhậndạng dạngmọi mọilĩnh lĩnhvực vựchệ hệ thống thốngthơng thơngtin tinvà vàcác cácq qtrình trìnhkinh kinhdoanh doanh ••Phân Phântích tíchrủi rủiro roxác xácđịnh địnhgiá giátrị trịtài tàisản sảnđang đangđược đượcbảo bảovệ vệ ••Các Cácphương phươngán ándựa dựatrên trênphân phântích tíchrủi rủiro ro Giảm Giảmthiểu thiểurủi rủiro ro––hiện hiệnthực thựccác cácphương phươngán ántích tíchcực cựcđể để bảo bảovệ vệhệ hệthống thống(e.g (e.g.firewalls) firewalls) Chấp Chấpnhận nhậnrủi rủiro ro––khơng khơngcần cầnbiện biệnpháp phápphòng phòngchống chống Chuyển Chuyểnđổi đổirủi rủiro ro––(e.g (e.g.mua muabảo bảohiểm) hiểm) Kiểm Kiểmsoát soáttruy truyxuất xuất Đảm Đảmbảo bảoan antoàn toànbằng bằngcách cáchchỉ chỉcho chophép phéptruy truyxuất xuấtnhững nhữnggì cần cầnđể đểlàm làmviệc việc(tối (tốithiểu) thiểu) ••Xác Xácthực thực(Authentication) (Authentication)––xác xácthực thựcnhân nhânthân thântrước trướckhi truy truyxuất xuất ••Kiểm Kiểmsốt sốttruy truyxuất xuất(Access (AccessControl)– Control)–Cấp Cấpquyền quyềnchỉ chỉnhững 01/31/20 lĩnh vực lĩnh vựcmà màngười ngườidùng dùngcó cóquyền quyền(e.g (e.g.accout) accout) 28 Các biện pháp quản trị an toàn Các Cácthủ thủtục tụcvà vàchính chínhsách sách Tài Tàiliệu liệu chínhthức thức vềcách cách thức thứcsử sửdụng, dụng,mục mụctiêu tiêuvà vàcác cácxử xử lýlý khikhông khôngphù phùhợp hợp Sao Sao lưu lưu vàphục phụchồi hồi ••Sao Saolưu lưu ––định định kỳ kỳsao saochép chépdự dựphòng phòngcác cácdữ liệu liệu hệ hệthống thống thiết thiếtyếu yếuvà vàlưu lưu vào vàonơi nơian antồn tồn (e.g (e.g.backup backuptape) tape) ••Hoạch Hoạchđịnh địnhphục phụchồi hồisự sựcố cố ––các thủ thủ tục tụcchi chitiết tiếtđược dùng dùngđể đểkhôi khôiphục phụckhả khảnăng năngtruy truyxuất xuấtđến đến cáchệ hệthống thống chủ chủ yếu yếu (e.g (e.g viruses viruseshay hayhỏa hỏahoạn) hoạn) ••Phục Phụchồi hồisự sựcố cố ––thực thựchiện cácthủ thủ tục tụcphục phụchồi hồibằng cách cách dùng dùngcông côngcụ cụbackup backupđể đểphục phụchồi hồihệ hệthống thốngvề vềtrạng trạng thái tháigần gầnnhất nhấttrước trướckhi khinó bị bịtổn tổnthất thất 01/31/20 29 2.Hiểm họa an ninh & kỹ thuật phòng chống Hiểm họa an ninh • Mạo danh (Identity Theft) • Từ chối phục vụ (Denial of Service) – công websites qua máy “zombie” làm tràn site  shuts down khơng hoạt động • Khác: Spyware, Spam, Wireless Access, Viruses Kỹ thuật phòng chống Phổ biến gồm: • Bức tường lửa – Firewalls • Sinh trắc học (Biometrics) • Mạng riêng ảo mã hóa 01/31/20 30 2.Hiểm họa an ninh & kỹ thuật phòng chống a Firewalls Một hệ thống phần mềm, cứng hai thiết kế để phát xâm nhập ngăn chận truy xuất trái phép đến hệ thống mạng riêng Kỹ thuật dùng • Lọc gói tin (Packet Filter) – kiểm tra gói tin vào mạng xử lý nhận từ chối theo luật xác định • Kiểm sốt mức ứng dụng – Thực biện pháp an ninh theo ứng dụng cụ thể (e.g file transfer) • Proxy Server – hoạt động máy chủ đại diện cho phép giấu địa mạng thực 01/31/20 31 2.Hiểm họa an ninh & kỹ thuật phòng chống b Sinh trắc học – Biometrics • Kỹ thuật nhận dạng phức tạp dùng để hạn chế truy xuất hệ thống, liệu, phương tiện • Sử dụng đặc tính sinh học khó làm giả để nhận dạng cá nhân vân tay, võng mạc, … • Có khả an ninh cao c Mã hóa – Encryption • Q trình mã hóa liệu trước truyền lên mạng giải mã bên nhận • Public Key – biết trước, dùng để gửi thông điệp • Private Key – khơng biết, dùng để mở thơng điệp • Certificate Authority – tổ chức trung gian phát hành khóa 01/31/20 32 CHƯƠNG ĐẠO ĐỨC & AN NINH MÁY TÍNH Hết chương 01/31/20 33 ... (e.g (e.g.lưu lưu thông thôngtin tin vềcác giao giaodịch dịch bất bấthợp hợppháp) pháp) 01/31/20 17 Hacking Cracking Hackers Hackers Thuật Thuậtngữ ngữdùng dùngmô môtả tả người ngườitruy truycập... soát truy xuất Quản trị rủi ro Các biện pháp Sao lưu phục hồi 01/31/20 Chính sách thủ tục an ninh 27 Các biện pháp quản trị an tồn Quản Quảntrị trịrủi rủiro ro ••Kiểm Kiểmtốn toánmức mứcđộ độan anninh