Chương 7 - Lãng phí, sai sót máy tính và an toàn thông tin. Trong chương này, người học có thể hiểu được một số kiến thức cơ bản về: Lãng phí và sai sót máy tính, chống lãng phí và sai sót máy tính, tội phạm máy tính, máy tính là công cụ của tội phạm, máy tính là đối tượng của tội phạm, ngăn ngừa tội phạm máy tinh, vấn đề riêng tư, an toàn thông tin trong hệ thống thông tin, an toàn thông tin tại Việt Nam, về chương trình đào tạo ATTT tại Khoa CNTT.
BÀI GIẢNG CƠ SỞ HỆ THỐNG THÔNG TIN CHƯƠNG LÃNG PHÍ, SAI SĨT MÁY TÍNH VÀ AN TỒN THƠNG TIN PGS TS HÀ QUANG THỤY HÀ NỘI 01-2021 TRƯỜNG ĐẠI HỌC CÔNG NGHỆ ĐẠI HỌC QUỐC GIA HÀ NỘI Nội dung 10 11 Lãng phí sai sót máy tính Chống lãng phí sai sót máy tính Tội phạm máy tính Máy tính cơng cụ tội phạm Máy tính đối tượng tội phạm Ngăn ngừa tội phạm máy tinh Vấn đề riêng tư ATTT HTTT An tồn thơng tin Việt Nam Về chương trình đào tạo ATTT Khoa CNTT Tóm tắt Lãng phí sai sót máy tính l Giới thiệu § Hai vấn đề ngun nhân vấn đề máy tính chi phí khơng cần thiết cao làm lợi nhuận § Lãng phí: dùng cơng nghệ & tài ngun máy tính khơng phù hợp § Sai sót: lỗi, sai lầm, vấn đề khác cung cấp kết khơng xác/khơng hữu ích; sai sót xuất chủ yếu lỗi người Lãng phí l Tình trạng § Chính quyền: người sử dụng lớn - lãng phí § Chính quyền cơng ty (tư nhân) l Lãng phí tài ngun § Loại bỏ phần cứng, phần mềm giá trị § Xây dựng-duy trì HT phức tạp khơng dùng tối đa § Nghịch lý suất CNTT Robert Solow l Lãng phí thời gian § § § § Trị chơi máy tính Gửi email khơng quan trọng; Truy cập web vơ ích Thư rác (spam email) fax rác (spam-fax) Vào mạng xã hội: Các công ty Anh chi tỷ £ chặn nhân viên Sai sót máy tính l Giới thiệu § Sai sót phần cứng: § Sai sót người: sai sót lỗi chương trình sai sót nhập liệu, thao tác Cần ngăn chặn kịp thời l Một số ví dụ § https://au.travel.yahoo.com/news/a/31000259/leap-year-leaves-passeng : Hành lý sân bay Düsseldorf (Đức); http://www.phillyvoice.com/flights-grounded-at-washington-dcarea-airports/: Hủy bỏ 400 chuyến bay ngày 15/8/2015 vùng đơng nước Mỹ § http://www.baomoi.com/Land-Rover-thu-hoi-65000-xe-vi-loi-khoa-cua/76 : Land Rover thu hồi 65.000 xe; Toyota thu hồi 625.000 xe v.v § Hệ thống radar máy bay hệ năm F-35 Mỹ không đáng tin cậy, liên tục bị tái khởi động § http://www.ft.com/intl/cms/s/0/0c82561a-2697-11dd-9c95-000077b07658 : Cổ phiếu Moody 20% Các sai sót máy tính phổ biến l Các sai sót máy tính phổ biến § Lỗi nhập liệu nắm bắt liệu § Lỗi chương trình máy tính § Lỗi xử lý tập tin, nhầm lẫn định dạng đĩa, tập tin cũ § § § § § § § đè lên hơn, xóa nhầm tập tin v Xử lý sai kết đầu từ máy tính Lập kế hoạch kiểm sốt trục trặc thiết bị khơng đủ Lập kế hoạch kiểm sốt khó khăn mơi trường khơng đủ Khởi động lực tính tốn khơng đầy đủ mức độ hoạt động website tổ chức Lỗi cung cấp truy cập thông tin chưa bổ sung liên kết web xóa liên kết web cũ Người phân tích HT: Kỳ vọng hệ thống không rõ & thiếu thông tin phản hồi Người sử dụng chấp nhận HT không cần thiết/không mong muốn v.v Chống lãng phí sai sót máy tính l Khái qt § Chống lãng phí sai sót: mục tiêu tổ chức § Nhân viên nhà quản lý § Chính sách thủ tục: thiết lập, thi hành, giám sát, đánh giá, cải thiện l Thiết lập sách § Xây dựng-ban hành sách tiếp nhận-sử dụng máy tính cho mục đích chống lãng phí-sai sót § Xây dựng-tổ chức đào tạo hướng dẫn-quy định sử dụng-bảo trì HT máy tính; § Xác nhận tính đích xác hệ thống/ứng dụng trước thi hành/sử dụng đảm bảo tương thích-hiệu chi phí § Lập tài liệu hướng dẫn-giới thiệu ứng dụng bao gồm công thức lõi phải nộp/ gửi tới văn phịng trung tâm Giám sát-đánh giá sách thủ tục l Giám sát § giám sát thường xuyên § có hành động khắc phục cần thiết § Kiểm tốn nội sách-thủ tục l Đánh giá § Chính sách bao trùm đầy đủ thực tiễn hành hay chưa? Có phát vấn đề/cơ hội chưa bao trùm giám sát hay khơng? § Tổ chức có lên kế hoạch hoạt động tương lai hay khơng? Nếu có, có nhu cầu sách thủ tục giải hay không, xử lý nhu cầu cần phải thực hiện? § Đã bao trùm dự phòng thảm họa hay chưa? Tội phạm máy tính l Giới thiệu chung § § § § l Internet: Cơ hội nguy Dù sách HTTT tốt khó dự đốn/ngăn tội phạm MT Tội phạm máy tính có yếu tố nguy hiểm Năm 2011: Thiệt hai TPMT 20 nước >388 tỷ US$ Các khảo sát § “State of Network Security 2013 Servey”: 80,6% phá vỡ dịch vụ doanh nghiệp (30,7% ứng dụng, 29,1% mạng, 20,7% giảm hiệu suất) 60% cho biết thủ công, quản lý thay đổi thiếu tầm nhìn; đe dọa nội 65,4% (40,8% tình cờ, 24,6% chủ ý) nhiều đe dọa bên ngồi 34,6% § The Global State of Information Security® Survey ba năm 2013-2015 Kinh tế CNTT Kinh tế Internet 4140 tỷ US$ ATTT tổ chức: số nguyên tắc l Một số nguyên tắc § ATTT phục vụ nhiệm vụ tổ chức § ATTT cần thành phần tích hợp vào quản lý § § § § § § đắn ATTT nên tiến hành với chi phí hiệu Chủ sở hữu hệ thống có trách nhiệm bảo mật bên ngồi tổ chức Trách nhiệm trách nhiệm giải trình ATTT cần làm tường minh ATTT đòi hỏi cách tiếp cận tồn diện tích hợp ATTT nên định kỳ đánh giá lại ATTT bị ràng buộc theo yếu tố xã hội 80 Nhận diện phạm tội Phương pháp phạm tội l Kxóa, thay đổi đầu vào cho Thêm, hệ thống máy tính Biến đổi phát triển chương trình máy tính để tiến hành tội phạm Ví dụ Xóa ghi nhận buổi học vắng mặt hồ sơ sinh viên Biến đổi chương trình tính lãi suất ngân hàng để tạo tiền gửi vào tài khoản tội lV phạm Thay đổi biến đổi tập tin liệu Thay đổi điểm học sinh viên từ “C” lên § hện.thống máy tính sử dụng “A” Vận hành hệ thống máy tính theo cách cam kết tội phạm máy tính Chuyển hướng sử dụng sai sản lượng hợp lệ từ hệ thống máy tính Ăn cắp tài nguyên máy tính, bao gồm phần cứng, phần mềm thời gian làm việc thiết bị máy tính Bán sản phẩm vô giá trị qua Internet Truy cập vào hệ thống máy tính bị hạn chế truy cập quyền Ăn cắp in loại bỏ hồ sơ khách hàng từ thùng rác công ty chép bất hợp pháp phần mềm để trả tiền sử dụng gửi e-mail địi tiền cho thuộc làm tóc mọc nhanh vô giá trị Tống tiền giám đốc điều hành đe dọa Nghe mạng không dây tổ chức phát hành thơng tin có hại để thu thập liệu cạnh tranh thông tin tai tiếng Tống tiền công ty để tránh mát Tạo bom logic gửi thư đe dọa đặt để 81 thơng tin máy tính nhận số tiền lớn Một số thực thi cụ thể l Một số hướng dẫn § Cài đặt xác thực sử dụng mã hóa lực mạnh § § § § § § § § § tường lửa Cài đặt vá lỗi bảo mật Vơ hiệu hóa tài khoản khách/người sử dụng vô giá trị Không cung cấp thủ tục đăng nhập thân thiện cho người sử dụng từ xa Hạn chế truy cập vật lý máy chủ, cấu hình lập máy chủ để xâm nhập máy chủ không ảnh hưởng mạng Cung cấp máy chủ chuyên dụng dành riêng cho ứng dụng Cài đặt tường lửa doanh nghiệp mạng công ty Internet Cài đặt phần mềm chống phần mềm độc hại máy tính Tiến hành thường xuyên kiểm toán an ninh HTTT Kiểm tra thực lưu liệu thường xuyên liệu quan trọng 82 Lọc nội dung quản lý danh tiếng l Lọc nội dung § Mức quốc gia, mức tổ chức, mức gia đình § Mức quốc gia: an ninh quốc gia, đạo đức-truyền thống dân tộc, bảo vệ quyền sở hửu trí tuệ, an tồn trẻ em § Mức tổ chức: ngăn nhân viên không tiếp xúc trang web khơng liên quan § Mức gia đình: an tồn internet l Quản lý danh tiếng § ước lượng chung người phương diện đặc tính phẩm chất; gần yêu quý hay tin tưởng vào người hay tổ chức 83 ATTT quyền l Nội dung chiến lược ATTT quốc gia § § § § § § § § § l Tầm quan trọng-ý nghĩa “ATTTQG” với quốc gia đe dọa nhận thức chiến lược ATTTQG Phạm vi chiến lược ATTTQG quan hệ CL ATTTQG với CLQG khác mục tiêu CL ATTTQG nguyên tắc hướng dẫn CL quốc gia Các bên liên quan đề cập CL ATTT QG giải pháp bên liên quan Các dịng hành động quan trọng hành động lập kế hoạch CL ATTT QG mối đe dọa bao gói CL ATTTQG Cách thức thể chế nhiệm vụ QG CL ATTT QG Một số nhận định qua khảo sat § "Tơi đồng tình với quan điểm để ATTT giống cơm bình dân, quan tâm được, làm được, kinh doanh được", Thứ trưởng (Nguyễn Thành Hưng) 84nhấn mạnh ? Phân loại hệ thống IPS [Rajaallah19] E M Rajaallah, S A Chamkar, S Ain El Hayat Intrusion Detection Systems: To an Optimal Hybrid Intrusion Detection System Xenopus, 284–296, 2019 Phát dấu sai Phát dựa bất thường [Ghorbani10] Ali A Ghorbani, Wei Lu Mahbod Tavallaee Network Intrusion Detection and 85 Prevention - Concepts and Techniques Springer, 2010 Phân loại, kiến trúc NetIPS dựa học sâu kiến trúc NetIPS [Aldweesh20] A Aldweesh, A Derhab, A Z Emam Deep learning approaches for anomaly-based intrusion detection systems: A survey, taxonomy, and open issues Knowledge-Based 86 Systems, Volume 189, 15 February 2020, 105-124, 2020 Mạng dựa phần mềm phát DDoS Kiến trúc SDN Luồng lưu lượng Một hệ thống phát DDoS SDN SDN [Niyaz17] Quamar Niyaz, Weiqing Sun, Ahmad Y Javaid A Deep Learning Based DDoS Detection System in Software-Defined Networking (SDN) EAI Endorsed Trans Security Safety 4(12): 87 e2, 2017 Hệ thống NetIPS theo dấu: thành phần [Sheikh20] A F Sheikh CompTIA Security+ Certification Study Guide Network Security Essentials 88 Apress, 2020 SCADA NetIPS dựa học máy Kiến trúc chức IPS Sơ đồ chung hệ thống SCADA (Secure modern supervisory Control And Data Acquisition) Các nhóm kỹ thuật [Rakas20] Slavica V Boštjančič Rakas, Mirjana D Stojanović, and Jasna D Marković-Petrović A Review of Research Work on Network-Based SCADA Intrusion 89 Detection Systems IEEE Access, 2020 Vấn đề riêng tư l Giới thiệu § Từ văn pháp quy/từ khung nhìn cơng chúng § HTTT: thu thập, sử dụng/lạm dụng liệu § Dữ liệu phân phối mà chưa đồng ý: cá nhân kiểm sốt&có ảnh hưởng tới thơng tin liên quan đến họ phép thu thập&lưu trữ phép cung cấp thông tin nói cho § Đa dạng vấn đề khó § Luật pháp đảm bào song khơng hồn tồn l Tính đa dạng riêng tư § § § § § Riêng tư quyền Riêng tư nơi làm việc Riêng tư e-mail Riêng tư thông điệp Riêng tư Internet § v.v 90 Chính sách đảm bảo tính riêng tư l Công sử dụng thông tin cá nhân § Hiểu biết, Kiểm sốt, Thơng báo, Cho phép l Chính sách riêng tư cơng ty § Cơng ty nội địa § Cơng ty đa quốc gia l Nỗ lực cá nhân bào vệ riêng tư § § § § Tìm hiểu lưu trữ ta CSDL Hãy cẩn thận ta chia sẻ thông tin thân Chủ động bảo vệ riêng tư Khi mua điều từ trang web, chắn bảo vệ số thẻ tín dụng, mật thơng tin cá nhân 91 ATTT HTTT l Tám yếu tố tảng § ATTT phải hỗ trợ mục tiêu kinh doanh sứ mạng § § § § § § § doanh nghiệp ATTT yếu tố gắn kết trách nhiệm quản lý cao cấp ATTT phải đảm bảo chi phí hiệu Trách nhiệm ATTT trách nhiệm giải trình phải thực rõ ràng qua tuyên bố cam kết Chủ sở hữu HTTT có trách nhiệm ATTT bên ngồi tổ chức ATTT địi hỏi tiếp cận tồn diện tích hợp ATTT cần đánh giá lại theo định kỳ ATTT cần ràng buộc theo văn hóa tổ chức 92 ATTT Việt Nam: Hệ thống văn l Hệ thống văn pháp luật § Luật an ninh quốc gia số 32/2004/QH11 Quốc hội thông qua ngày 03/12/2004; Luật Giao dịch điện tử số 51/2005/QH11 Quốc hội thông qua ngày 29/11/2005; Luật Công nghệ thông tin số 67/2006/QH11 Quốc hội thông qua ngày 29/6/2006; Luật Cơ yếu số 05/2011/QH13 Quốc hội thông qua ngày 26/11/2011 Pháp lệnh số 13/2002/L/CTN ngày 07/6/2002 Chủ tịch nước Công bố Pháp lệnh Bưu chính, Viễn thơng § Nghị quyết, nghị định Chính phủ Quyết định Thủ tướng Thơng tư l Luật ATTT mạng § Qua phiên § 19/11/2015, Luật ATTT mạng số 86/2015/QH13 Quốc hội khóa XIII thông qua Kỳ hợp thứ 10 luật có hiệu lực vào ngày 01/07/2016 93 § Thuật ngữ liên quan Một số quan tổ chức ATTT l Bộ TTTT Cục ATTT § Bộ TTTT quan quản lý nhà nước ATTT § Cục ATTT: http://ais.gov.vn/chuc-nang-nhiem-vu.htm § tham mưu, giúp Bộ trưởng Bộ TTTT quản lý nhà nước tổ chức thực thi pháp luật ATTT l Hiệp hội ATTT § Vietnam Information Security Association: VNISA § http://vnisa.org.vn/ l Trung tâm ứng cứu khẩn cấp máy tính VN § Vietnam Computer Emergency Response Team: VNCERT http://www.vncert.gov.vn/ § điều phối hoạt động ứng cứu cố máy tính tồn quốc; cảnh báo kịp thời vấn đề an tồn mạng máy tính; v.v 94 ... http://www.baomoi.com/Land-Rover-thu-hoi-65000-xe-vi-loi-khoa-cua /76 : Land Rover thu hồi 65.000 xe; Toyota thu hồi 625.000 xe v.v § Hệ thống radar máy bay hệ năm F-35 Mỹ không đáng tin cậy,... có vị trí cơng tác ATTT); có tới 24% tổ chức phải thuê tổ chức chun nghiệp bên ngồi bảo vệ ATTT cho [1] http://m.ictnews.vn/cntt/nuoc-manh-cntt/qua-nua-co-quan-to-chuc-thieu-nguoi-gac-cu Phân... http://www.ft.com/intl/cms/s/0/0c82561a-26 9 7- 11dd-9c9 5-0 00 077 b 076 58 : Cổ phiếu Moody 20% Các sai sót máy tính phổ biến l Các sai sót máy tính phổ biến § Lỗi nhập liệu nắm bắt liệu § Lỗi chương trình máy tính