Chương 7: Đạo đức và an ninh MIS

Các vấn đề về chuẩn mực hành vi Information Accuracy – các vấn đề liên quan đến tính xác thực về nguồn gốc và sự đúng đắn của thông tin cũng như việc xác định ai chịu trách nhiệm đối [r]

(1)

Video Case

1 Mikko Hypponen: How the NSA betrayed the world's trust — time to act

(19:18)

2. Mikko Hypponen: Fighting viruses, defending the net (17:31)

3 Jennifer Golbeck: The curly fry conundrum: Why social media “like s” say more than you might think

(2)

Chapter

Đạo đức An ninh trong

(3)

Đề cương chi tiết môn học

Nội dung

Hình thức tổ chức dạy học

Tổng cộng Số tiết lớp

Tự học, tự NC Lý

thuyết

Thực hành

Tổng Bài tập T luận Khác

Phần I Cơ sở phương pháp luận MIS

C1: Đại cương MIS 12

Phần II Hạ tầng công nghệ thông tin MIS

C2: Mạng, Internet TMDT 6 12

C3: Quản trị liệu tri thức 3 10 18

Phần III Các MIS thực tiễn

C4: Các MIS tổ chức 3 9 18

Phần IV Quản trị MIS

C5: MIS lợi cạnh tranh 1 3

C6: Phát triển MIS 3 9 18

C7: Đạo đức An ninh MIS 1 1 2 4 6

(4)

Learning Objectives

1 Mô tả ảnh hưởng kỷ nguyên TT đến vấn đề đạo đức IS Thảo luận vấn đề mơ

hình PAPA Mason

3 Giải thích trình bày ngun tắc chuẩn mực đạo đức IS

4 Giải thích rủi ro IS Mơ tả yêu cầu, nội dung

quản trị an ninh IS

(5)

Outline

I Đạo đức Hệ thống thông tin 1.1 Khái niệm

1.2 Các vấn đề đạo đức kỷ nguyên thông tin 1.2.1 Quyền riêng tư (Information Privacy)

1.2.2 Tính xác (Information Accuracy)

1.2.3 Quyền sở hữu thơng tin (Information Property)

1.2.4 Quyền tiếp cận thông tin (Information Accessibility) 1.3 Các quy định chuẩn mực hành vi

1.3.1 Khung pháp lý CNTT Việt Nam 1.3.2 Chuẩn mực đạo đức máy tính

II An ninh hệ thống thông tin 2.1 Rủi ro HTTT

(6)

I Đạo đức Hệ thống thông tin

Ethics – “Principles of right and wrong that individuals, acting as free moral agents, use to make choices to guide their

behaviors” (Laudon, Management Information Systems 10e, p 128) Computer Ethics – “Issues and standards of conduct pertaining to the use of information systems” (Jessup, IS Today 3e)

Cộng đồng, Xã hội

Hoạt động Nghề nghiệp

(7)

I Đạo đức IS – 1.1 Vấn đề đạo đức kỹ nguyên TT

• Trách nhiệm (Responsibility) – nhân tố hành vi

đạo đức Đó việc chấp nhận chi phí, nhiệm vụ nghĩa vụ định

• Trách nhiệm giải trình (Acountability) – chế để xác định

các bên chịu trách nhiệm (ai có thẩm quyền thực thi nhiệm vụ người phải chịu trách nhiệm trước cá nhân hay nhóm người nào)

• Trách nhiệm pháp lý (Liability) – cho phép cá nhân (và tổ

chức) khắc phục thiệt hại người khác gây cho họ

• Q trình/ thủ tục pháp lý (Due process)

(8)

Đạo đức hệ thống thông tin

• Quyền nghĩa vụ thơng tin

• Quyền nghĩa vụ tài sản thơng tin

• Trách nhiệm giải trình kiểm sốt

• Chất lượng liệu hệ thống

• Chất lượng sống

(9)

(Pre 1890 ’s) (1890’s to

1960’s) (1960’s to

now)

Các xu hướng phát triển công nghệ  vấn đề đạo đức

• Năng lực xử lý “tăng gấp đôi”  tổ chức ngày lệ thuộc vào IS để xử lý cơng việc

• Giảm chi phí lưu trữ liệu  khả lưu trữ liệu cá

(10)

I Đạo đức IS – 1.1 Vấn đề đạo đức kỹ ngun TT

• Tiến cơng nghệ mạng Internet  chép truy xuất thơng tin từ xa dễ dàng

• Tiến kỹ thuật phân tích số liệu

– Profiling – kết hợp liệu từ nhiều nguồn để tạo hồ sơ thông tin chi tiết cá nhân

– Nonobvious relationship awareness (NORA) • Tăng trưởng thiết bị di động

– Theo dõi cell phones cá nhân

(11)

Phần mềm NORA (Nonobvious relationship awareness) của SRD cho sòng bạc Las Vegas để phát gian lận

Nó thu thập thông tin cá nhân từ nhiều nguồn khác hành vi người để phát mối quan hệ mờ ám, không rõ ràng

NORA technology

(12)

Richard O Mason (1986)

trong báo “Four Ethical

Issues of the Information

Age.” đưa vấn đề liên

quan đạo đức kỷ ngun thơng tin:

• Quyền riêng tư • Tính xác

• Quyền sở hữu thơng tin • Quyền tiếp cận thông tin

(13)

I Đạo đức IS – 1.2 Các vấn đề chuẩn mực hành vi

Mơ hình PAPA – Richard O Mason (1986)

Privacy Accuracy Property Accessibility

P ro b le m s Is su es

Mối đe dọa

• Sự phát triển IT, với khả ngày nâng cao để giám sát, truyền thơng, tính tốn, lưu trữ, phục hồi

• Thơng tin ngày có giá trị cao việc định

• WHAT thông tin cá nhân hiệp hội cá nhân mà

người tiết lộ cho người khác; điều kiện biện pháp để bảo vệ

• WHAT người ta giữ riêng cho thân mà khơng bị bắt

buộc phải tiết lộ cho người khác?

Nguyên tắc đạo đức: Chúng ta phải bảo đảm

(14)

Quyền riêng tư – Quyền mình, tự khơng bị

theo dõi can thiệp cá nhân, tổ chức, nhà nước; Quyền kiểm sốt thơng tin thân

Quyền riêng tư – Quyền mình, tự không bị

theo dõi can thiệp cá nhân, tổ chức, nhà nước; Quyền kiểm sốt thơng tin thân Các vấn đề

• “Privacy” vs “Freedom of Speech”

• Kỷ nguyên thông tin tác động đến “Privacy” ? • Mối quan hệ hỗ tương lợi ích người thu thập

thông tin cá nhân với cá nhân

 Cá nhân tiết lộ giữ bí mật thơng tin?

 Tổ chức quyền thu thập thơng tin gì; làm với thơng tin thu thập được?

 Mơ hình “Opt-out” vs “Opt-in”

(15)

Federal Trade Commission (FTC) đưa nguyên tắc “Fair Information Practices (FIP)”

• Thơng báo / nhận thức (ngun tắc cốt lõi)  Website phải

báo cho cá nhân biết trước thu thập liệu

• Lựa chọn / đồng ý (nguyên tắc cốt lõi)  Người tiêu dùng phải

có khả lựa chọn việc thông tin họ sử dụng cho mục tiêu thứ cấp

• Truy cập / tham gia  Người tiêu dùng phải có khả xem

xét tranh luận xác liệu cá nhân

• An ninh  Người thu thập liệu phải thực bước

nhằm đảm bảo tính xác, bảo mật liệu cá nhân

• Thực thi  Phải có chế để đảm bảo việc tuân thủ

nguyên tắc FIP

(16)

• Cookies  nhận dạng trình duyệt theo dõi việc ghé thăm

trang web  Super cookie (Flash cookies)

• Web beacons (Web bugs): hình ảnh đồ họa nhỏ nhúng

e-mail trang Web để giám sát người đọc tin nhắn e-mail truy cập vào trang web

• Spyware: ứng dụng “gián điệp” cài máy trạm nhằm

lút thu thập thơng tin cá nhân

• Identify Theft  mạo danh

• Dịch vụ Google “behavioral targeting”

(17)

3 Tài sản thông tin – Information Property

Cookies – tập tin “văn bản” WebSite viết lưu trú đĩa cứng máy trạm nhằm lưu thông tin người dùng họ duyệt WebSite

(18)

3 Tài sản thông tin – Information Property

Spyware – ứng dụng “gián điệp” cài lên máy trạm nhằm thu thập thông tin cá nhân cách bất hợp pháp

Spyware – ứng dụng “gián điệp” cài lên máy trạm nhằm thu thập thông tin cá nhân cách bất hợp pháp

Thông tin thu thập dùng để: • Lừa đảo (Identify Theft ) • Bán cho cơng ty

quảng cáo, spammers • Sửa đổi hoạt động trình

duyệt quảng cáo, thêm ad banners, pop-ups, … (Adware)

• …

Thơng tin thu thập dùng để: • Lừa đảo (Identify Theft ) • Bán cho cơng ty

quảng cáo, spammers • Sửa đổi hoạt động trình

duyệt quảng cáo, thêm ad banners, pop-ups, … (Adware)

• …

(19)

Identify Theft – việc đánh cắp thông tin cá nhân (SSN, tài khoản, số thẻ tín dụng, …) để hưởng lợi bất rút tiền, mua hàng, vay nợ …

1.2.1 Quyền riêng tư (Information Privacy) – Mạo danh (Identify Theft)

Các vấn đề

• “Vơ hình” nạn nhân

• Khó phát sửa đổi

(20)

1.2.1 Quyền riêng tư (Information Privacy) – Mạo danh (Identify Theft)

Phishing – Hình thức lường gạt để lấy tài

khoản, số thẻ tín dụng

• Giả mạo

WebSite hợp pháp

• Ngụy tạo thơng điệp gạt người sử dụng

(21)

• Điều lệ thành viên (Privacy Policy ) Tìm hiểu trước đăng

ký thành viên

• Mật (Password ) Mật “tốt”, mật “nhân trắc

học” (Biometrics)

• Email – Sử dụng nhiều tài khoản với phạm vi sử dụng

khác

• Cơng cụ Anti-Spyware

• Cơng cụ sẵn có trình duyệt - Chế độ duyệt vơ danh “Private” - Tùy chọn “Do not track”

• Xác thực người máy CAPCHA

• Truy cập Wifi – SSID, PIN / MAC Address • …

(22)

1.2.1 Quyền riêng tư – HOW – Điều lệ Privacy Statement

Privacy Statements được tổ chức thu thập thông tin nêu cách thức họ dự định sử dụng chúng gồm loại

• Internal Use – dùng phạm vi tổ chức • External Use – bán bên ngồi

Vấn đề: Người dùng có thật xem hiểu

(23)

1.2.1 Quyền riêng tư (Information Privacy) – Top-10 Passcode (Daniel Amitay)

(24)

(25)

Thông tin sai lạc  định sai lầm, đặc biệt chúng nằm tay người có lợi quyền lực

• WHO chịu trách nhiệm khả xác thực, tính trung thực

và xác thơng tin?

• WHO có trách nhiệm giải trình sai sót thơng tin

phải hành xử bị tổn thương?

công nghệ thông tin, thông tin xử lý, sử dụng để nâng cao phẩm cách nhân loại

(26)

I Đạo đức IS – 1.2 Các vấn đề chuẩn mực hành vi Information Accuracy – vấn đề liên quan đến tính xác thực nguồn gốc đắn thông tin việc xác định chịu trách nhiệm thông tin sai lệch gây nguy hại đến người khác

Information Accuracy – vấn đề liên quan đến tính xác thực nguồn gốc đắn thông tin việc xác định chịu trách nhiệm thông tin sai lệch gây nguy hại đến người khác

Các yếu tố gây lỗi

• Lỗi kỹ thuật – lỗi giải thuật, truyền thơng và/hay q trình

xử lý nhận, xử lý, lưu trữ, trình bày thơng tin Lỗi xảy q trình phân tích, thiết kế, xây dựng IS

• Lỗi người sử dụng – trình nhập liệu, khai

thác quản lý hệ thống

• Do tội phạm

(27)

• Các vấn đề đa dạng tập trung vào lãnh vực tài sản trí tuệ 

quyền chiếm hữu, định đoạt sử dụng

• WHO sở hữu thơng tin?

• WHAT giá hợp lý cơng trao đổi thơng tin?

• WHO sở hữu kênh truyền, đặc biệt kênh truyền thơng? • HOW phép truy cập vào nguồn tài nguyên khan

hiếm đó?

(28)

Quyền sở hữu thông tin – vấn đề liên quan đến người sở hữu thông tin cách thức thông tin mua bán hay trao đổi

1.2.3 Quyền sở hữu thông tin (Information Property)

Tài sản trí tuệ: (Intellectual property)  tài sản vơ hình, thành

quả “tư trí tuệ” cá nhân hay tổ chức

Ví dụ: phát minh; tác phẩm nghệ thuật văn học;

các biểu tượng, hình ảnh, tên, thiết kế dùng thương mại: thông tin

Tài sản trí tuệ: (Intellectual property)  tài sản vơ hình, thành “tư trí tuệ” cá nhân hay tổ chức

Ví dụ: phát minh; tác phẩm nghệ thuật văn học;

các biểu tượng, hình ảnh, tên, thiết kế dùng thương mại: thông tin

Quyền sở hữu

(29)

• Bí mật thương mại (Trade secret) sản phẩm hay cơng việc “trí

tuệ” thuộc sở hữu tổ chức không công bố i.e công thức sản xuất Coca-Cola

• Tác quyền (Copyright): bảo hộ tài sản trí tuệ gồm quyền tái

bản, in ấn trình diễn hay trưng bày tác phẩm trước cơng chúng 50 năm kể từ tác giả qua đời (cơng ước Berne, 1886)

• Bằng sáng chế (Patents): nhà phát minh toàn quyền

ngăn chặn người khác không áp dụng, sử dụng bán phát minh cấp sáng chế 20 năm sau công bố để đổi lại việc công bố chi tiết phát minh cho công chúng

(30)

(31)

(32)

• Chuẩn cấp phép chia sẻ sử dụng tài sản trí tuệ

• Cơng cụ tn thủ, bảo vệ quyền; giúp cho phép tác giả thay đổi điều khoản quyền qua yếu tố tùy chọn cho phù hợp

1.2.3 Quyền sở hữu thông tin – Creative Common licenses

BY – Attribution Ghi công - bắt buộc

NC – NonCommercial Phi thương mại

ND – NoDerivs Không có tác phẩm phái sinh

(33)

Ăn cắp quyền phần mềm (Software Piracy) – hành vi chép, phân phối bất hợp pháp phần mềm có quyền (copyrighted software)

Nguyên nhân

• Lý kinh tế

• Sự khác biệt nhận thức quốc gia “sở

hữu trí tuệ (intellectual property)”

• Thiếu hiểu biết

(34)

Mua bán tên miền (Cybersquatting) – Việc đăng ký tên miền bán lại để hưởng lợi

Mua bán tên miền (Cybersquatting) – Việc đăng ký tên miền bán lại để hưởng lợi

Tên miền tổ chức cá nhân đăng ký sử dụng nhằm mục đích thơng qua góp phần quảng bá tổ chức, sản phẩm, dịch vụ, tiến hành hoạt động

thương mại phi thương mại môi trường Internet toàn cầu

Giải tranh chấp đăng ký, sử dụng tên miền quốc gia Việt Nam “.vn” (Luật CNTT số: 67/2006/QH11)

• Thơng qua thương lượng, hịa giải

• Thơng qua Trọng tài

Tên miền tổ chức cá nhân đăng ký sử dụng nhằm mục đích thơng qua góp phần quảng bá tổ chức, sản phẩm, dịch vụ, tiến hành hoạt động

thương mại phi thương mại mơi trường Internet tồn cầu

Giải tranh chấp đăng ký, sử dụng tên miền quốc gia Việt Nam “.vn” (Luật CNTT số: 67/2006/QH11)

• Thơng qua thương lượng, hịa giải

• Thơng qua Trọng tài

• Khởi kiện Tịa án

(35)

Trình độ Tin học – Computer Literacy

• 3 Rs: Read, wRite, aRithmetic + computeR Khoảng cách số – Digital Divide

• “ Knowledge is Power” Francis Bacon, 1597

• WHAT thơng tin cá nhân tổ chức có quyền/ đặc ân

để có được, điều kiện và với biện pháp bảo vệ gì?

(36)

• Information Accessibility –ai có quyền thu thập, thơng tin riêng cá nhân/ tổ chức khác cách thức sử dụng chúng

• Information Accessibility –ai có quyền thu thập, thơng tin

riêng cá nhân/ tổ chức khác cách thức sử dụng chúng

WHO

• Chánh phủ – sử dụng phần mềm tiên tiến (e.g

Carnivore), kiểm sốt tức thời sau lưu lượng email, tất hoạt động lên mạng

• Người sử dụng lao động – có quyền (trong phạm vi giới

hạn) giám sát, truy xuất hoạt động

máy tính hay mạng công ty họ công bố sách với nhân viên

• Cơng chúng

(37)

1.3 Chuẩn mực hành vi đạo đức

Chuẩn mực hành vi – xuất phát từ nhiều nguồn khác

1 Luật pháp  Hành vi cấm hay KHƠNG cấm ngồi xã hội

Hệ thống luật pháp: CNTT, TMĐT

2 Quy định quan, quy ước cộng đồng xã hội  Hành vi

cấm hay KHƠNG cấm nhóm xã hội Nội quy tổ chức an tồn thơng tin

3 Đạo đức  Hành vi “KHÔNG” vi phạm luật pháp

1 Nguyên tắc đạo đức

2 “De facto”  The Ten Commandments of Computer Ethics”

Chuẩn mực hành vi – xuất phát từ nhiều nguồn khác 1 Luật pháp  Hành vi cấm hay KHƠNG cấm ngồi xã hội

Hệ thống luật pháp: CNTT, TMĐT

2 Quy định quan, quy ước cộng đồng xã hội  Hành vi cấm hay KHƠNG cấm nhóm xã hội

Nội quy tổ chức an tồn thơng tin

3 Đạo đức  Hành vi “KHÔNG” vi phạm luật pháp Nguyên tắc đạo đức

(38)

Quan hệ dân (nghĩa vụ dân hợp đồng dân sự) Hoạt động kinh doanh

Giao dịch TMĐT

I Đạo đức IS – 1.3 Chuẩn mực hành vi đạo đức

1.3.1 Khung pháp lý CNTT Việt Nam – Đối tượng điều chỉnh

Hệ thống

Luật CNTT Luật TMDTHệ thống Luật doanh nghiệp Luật thương mại Bộ luật dân sự Các cơ chế giải quyết tranh chấp

dân sự Hình thứcgiao dịch

Trách nhiệm và nghĩa vụ

(39)

1.3.1 Khung pháp lý CNTT Việt Nam – Luật NĐ hướng dẫn

Luật Giao dịch điện tử

51/2005/QH11 Luật Công nghệ thông tin67/2006/QH11

Nghị định chống thư rác

Nghị định chữ ký số dịch vụ chứng thực

chữ ký số Nghị định TMĐT

Nghị định GDĐT hoạt động tài

Nghị định GDĐT hoạt động ngân hàng

Nghị định dịch vụ Internet cung cấp thông tin Internet Nghị định ứng dụng CNTT quan NN

Nghị định cung cấp thông tin dịch vụ công

(40)

Ngày Xử lý vi phạm hành chính VB cứ

10/04/2007 Nghị định số 63/2007/NĐ-CP quy định xử phạt vi phạm hành lĩnh vực cơng nghệ thơng tin

Luật quảng cáo

20/09/2011 Nghị định số 83/2011/NĐ-CP quy định xử phạt vi phạm hành lĩnh vực viễn thông

Luật Viễn thông

12/11/2013 Nghị định số 158/2013/NĐ-CP quy định xử phạt vi phạm hành lĩnh vực văn hố, thể thao du lịch quảng cáo

Luật CNTT

13/11/2013 Nghị định số 174/2013/NĐ-CP quy định xử phạt vi phạm hành lĩnh vực bưu chính, viễn thơng, cơng nghệ thông tin tần số vô tuyến điện

15/11/2013 Nghị định số 185/NĐ-CP quy định xử phạt vi phạm hành hoạt động thương mại, sản xuất, bn bán hàng giả, hàng cấm bảo vệ quyền lợi người tiêu dùng

(41)

Nguyên tắc đạo đức

• Golden Rule: “Do unto others as you would have them

unto you.”

• Categorical Imperative (Immanuel Kant): “If an action is not

right for everyone to take, it is not right for anyone.”

• Rule of Change (Descartes): “If an action cannot be taken

repeatedly, it is not right to take at all.”

• Utilitarian Principle: “Take the action that achieves the

higher or greater value.”

• Risk Aversion Principle: “Take the action that produces the

least harm or potential cost.”

• Ethical “No Free Lunch” Rule: “Assume that virtually all

tangible and intangible objects are owned by someone

(42)

Chuẩn mực hành vi nghề nghiệp – cam kết nghề nghiệp để điều chỉnh cá nhân hướng tới lợi ích chung xã hội

Do hiệp hội nghề nghiệp ban hành, i.e Ngành Y, Ngân hàng, Luật, Máy tính,

Các tình “tiến thoái lưỡng nan”  Xung đột lợi ích nhóm

Ví dụ: Tự động hóa q trình kinh doanh  Tăng suất giảm lao động

(43)

Thou shalt NOT

1.3.2 Chuẩn mực đạo đức – The Ten Commandments of Computer Ethics

1 Use a computer to harm other people.

2 Interfere with other people's computer work. 3 Snoop around in other people's computer files. 4 Use a computer to steal.

5 Use a computer to bear false witness.

6 Copy or use proprietary software for which you have not paid.

7 Use other people's computer resources without authorization or proper compensation.

(44)

Thou shalt

1.3.2 Chuẩn mực đạo đức – The Ten Commandments of Computer Ethics

9 think about the social consequences of the program you are writing or the system you are designing.

(45)

II An ninh Hệ thống thông tin

2.1 System Vulnerability and Abuse – Khả dễ bị tổn thương lạm dụng IS

2.2 Business Value of Security and Control

2.2 Biện pháp quản trị an ninh Establishing a Framework for Security and Control

2.3 Phòng chống hiểm họa an ninh Technologies and Video Case – Google_data_center_security_YouTube (7-00)

Yêu cầu: Ghi nhận phân loại những biện pháp an ninh

(46)

II An ninh hệ thống thông tin

(47)

II An ninh hệ thống thông tin – 2.1 Rủi ro IS

• An ninh:

Chính sách, thủ tục biện pháp kỹ thuật sử dụng để ngăn chặn truy cập trái phép, thay đổi, trộm cắp, thiệt hại vật chất cho hệ thống thơng tin

• Kiểm sốt:

Phương pháp, sách, thủ tục để đảm bảo an tồn cho tài sản tổ chức; độ xác tin cậy hồ sơ kế toán; việc tuân thủ tiêu chuẩn quản lý hoạt động tác nghiệp

(48)

• Rủi ro khách quan, thiên tai – Mất điện, hỏa hạn

– Chuột bọ …

• Rủi ro hệ thống hạ tầng (thiết bị, phần mềm

đường truyền)  cắp, hư hỏng, Wifi …

• Rủi ro người: tổ chức

(49)

Chưa có phân biệt rõ ràng đối tượng xâm hại IS

• Bốn loại chính

– Nhân viên làm việc tổ chức

• 85-95% việc xâm hại đến hoạt động kinh doanh từ nguồn bên

– Các cá nhân có chun mơn kỹ thuật thực mưu lợi riêng

– Tội phạm chuyên nghiệp sử dụng máy tính để hỗ trợ thực hành vi tội phạm

– Crackers bên ngồi tìm kiếm thơng tin có giá trị

• Khoảng 12% cơng crackers gây nguy hại

(50)

Minh họa

(51)

Hackers – cá nhân truy cập trái phép vào IS

• Xuất vào năm 1960s

• Ban đầu mục đích tìm hiểu khơng gây hại

Hackers – cá nhân truy cập trái phép vào IS • Xuất vào năm 1960s

• Ban đầu mục đích tìm hiểu khơng gây hại

Crackers – cá nhân đột nhập hệ thống máy tính với ý đồ xâm hại thực hành vi phạm tội

Crackers – cá nhân đột nhập hệ thống máy tính với ý đồ xâm hại thực hành vi phạm tội

Hacking and Cracking

Cyberterrorism – sử dụng máy tính mạng để gây nguy hại đến cá nhân hay tài sản nhằm hăm dọa bắt buộc phủ, dân chúng, phận xã hội mục tiêu trị, tơn giáo, lý thuyết

Cyberterrorism – sử dụng máy tính mạng để gây nguy

(52)

Tội phạm Mô tả Data

diddling Việc thay đổi liệu vào máy tính Ví dụ: nhân viên đột nhập vào hệ thống chấm công để thay đổi số làm việc, qua nâng thu nhập

Salami

slicing Hình thức data diddling với giá trị thay đổi đủ nhỏ để hệ thống khơng phát Ví dụ nhân viên ngân hàng rút vài trăm đồng từ hàng ngàn tài khoản để chuyển vào tài khoản đăng ký tên giả

Phreaking Tấn cơng máy tính cơng ty viễn thông nhằm thực gọi đường dài không tiền

Cloning Tấn công mạng di động qua đánh cắp mã số máy người khác để sử dụng dịch vụ cell phone “không tốn tiền”

Carding Thường việc lấy cắp số thẻ tín dụng mạng để bán lại mua hàng tài khoản người bị hại

(53)

Tội phạm Mô tả Piggybacking/

shoulder-surfing

Xem số PIN nạn nhân rút tiền thẻ ATM  làm giả thẻ để rút tiền nạn nhân

Social

Engineering Mạo danh nhà báo, nhân viên điện thoại, người thân để nạn nhân tiết lộ mật

thông tin khác Thơng tin dùng để đột nhập vào hệ thống máy tính để lấy cắp

Dumpster

diving Đơn giản moi rác văn phòng để lấy cắp chứng từ, tài liệu … Spoofing Lấy cắp tài khoản cách giả mạo hình

đăng nhập

(54)

II An ninh hệ thống thông tin

(55)

II An ninh Hệ thống Thông tin – 2.2 Quản trị an ninh HTTT

Quản trị an ninh hệ thống thông tin – Các biện pháp phòng chống giữ cho tất lãnh vực hoạt động hệ thống thơng tin an tồn khỏi hành vi truy cập trái phép

Các biện pháp quản trị an toàn

Quản trị rủi ro Kiểm sốt truy xuất

Chính sách thủ tục an ninh Sao lưu

phục hồi

(56)

• Kiểm tốn mức độ an ninh nhận dạng lãnh vực hệ thống

thơng tin q trình kinh doanh

• Phân tích rũi ro xác định giá trị tổn thất tài sản bảo vệ • Xây dựng phương án dựa phân tích rũi ro

– Giảm thiểu rũi ro – thực phương án tích cực để

bảo vệ hệ thống (e.g firewalls)

– Chấp nhận rũi ro – Xử lý rũi ro phát sinh – Chuyển đổi rũi ro – e.g mua bảo hiểm

(57)

Biện pháp đảm bảo an ninh cách chỉ cho phép truy xuất những cần để làm việc

• Xác thực (Authentication) – xác thực nhân thân trước truy

xuất (e.g passwords)

• Cấp quyền truy xuất (Access Control) – cấp quyền

những lãnh vực hệ thống mà người dùng quyền (e.g accouting)

(58)

(59)

Acceptable Use Policies – Tài liệu thức cách thức sử dụng, mục tiêu xử lý không phù hợp

– WHO  Phân loại đối tượng sử dụng hệ thống  người dùng tin cậy “cần chăm sóc”

– HOW  phương thức quản lý xử lý

(60)

• Sao lưu – định kỳ chép dự phòng liệu hệ thống

thiết yếu lưu vào nơi an tồn (e.g backup tape)

• Hoạch định phục hồi cố – thủ tục chi tiết dược dùng để

khôi phục khả truy xuất đến hệ thống chủ yếu (e.g viruses hay hỏa hoạn)

• Phục hồi cố – thực thủ tục phục hồi cách

dùng công cụ backup để phục hồi hệ thống trạng thái gần trước bị tổn thất

(61)

Thống kê kỹ thuật an toàn sử dụng (%đvị khảo sát)

(62)

Kế hoạch an ninh IS – văn tổng hợp tất biện pháp chuẩn bị sẵn để bảo vệ tài sãn thông tin tổ chức

Ba nội dung phải thực hiện

• Security Audit – Xác định tất tài sãn IS tổ chức

gồm phần cứng, phần mềm, tài liệu, quy trình thủ tục, người, liệu, phương tiện nguồn cung cấp

• Risk Analysis – Xác định tất rũi ro xãy gây

tổn thất đến tài sãn thông tin Xếp hạng theo tần suất xuất Ước lượng tổn thất rũi ro bao gồm tổn thất kinh doanh

• Alternatives – Đối với rũi ro, xác định phương án

xử lý gồm biện pháp phát hiện, ngăn ngừa khôi phục tồn thất

(63)

Trình tự xây dựng kế hoạch an ninh HTTT – bước Bước Phân tích rủi ro

• Xác định giá trị thơng tin số tổ chức

• Đánh giá mối đe dọa đến tính bảo mật, tính tồn vẹn tính sẵn sàng thơng tin

• Xác định hoạt động dễ gây tổn thương đến hệ thống • Đánh giá sách an ninh tại

• Đề nghị thay đổi phương thức có để cải thiện an ninh

(64)

Bước Các sách thủ tục – hành động thực có vi phạm an ninh

• Information Policy – xử lý thơng tin nhạy cảm

• Security Policy – kiểm soát kỹ thuật vấn đề an ninh IS

của tổ chức

• Use Policy – quy định việc sử dụng nội tổ chức • Backup Policy – sách lưu

• Account Management Policy – thủ tục thêm người dùng mới • Incident Handling Procedures – xử lý vi phạm an ninh

• Disaster Recovery Plan – phục hồi hoạt động máy tính

(65)

Bước Triển khai thực hiện

• Triển khai biện pháp an ninh phần cứng, phần mềm an ninh mạng

• Phổ biến ID smart cards.

• Phân cơng trách nhiệm phận IS Bước Đào tạo nhân viên tổ chức

Bước Kiểm toán

• Đánh giá việc tn thủ sách • Kiểm tra thâm nhập

(66)

Disaster Recovery Plan

• Xác định thời gian phục hồi có cố

 Thời gian phục hồi tối đa cho phép ??

• Xác định trạng thái khôi phục

 Phương án backup: định kỳ, thường xuyên

(67)

(68)

(69)

Hoạt động – A you a “Netizen” ??

Video Case:

(70)

Hoạt động – A you a “Netizen” ??

Chia sẻ theo nhóm:

Mỗi nhóm (cùng bàn) trao đổi nội dung đoạn phim (thời gian phút)

Yêu cầu:

1 Căn vào nội dung clip kinh nghiệm cá nhân  Liệt kê Top-6 nguy (phương tiện gây hại) thường gặp nhất? Sắp thứ tự từ cao xuống thấp

(71)

Hoạt động – Người tiêu dùng “sành điệu”

Đánh giá: tên + 10/ mục, vị trí +20 điểm/ mục

Trị chơi chung sức

4

Virus / sâu: 20%

Spyware / Malware: 14% Truy cập Wi-Fi: 9%

Phishing / Đánh cắp ID: 5% Remote access: 5%

1 2

3

5 6