BÀI GIẢNG CƠ SỞ HỆ THỐNG THÔNG TIN CHƯƠNG LÃNG PHÍ, SAI SĨT MÁY TÍNH VÀ AN TỒN THƠNG TIN PGS TS HÀ QUANG THỤY HÀ NỘI 01-2021 TRƯỜNG ĐẠI HỌC CÔNG NGHỆ ĐẠI HỌC QUỐC GIA HÀ NỘI Nội dung Lãng phí sai sót máy tính Chống lãng phí sai sót máy tính Tội phạm máy tính Máy tính cơng cụ tội phạm Máy tính đối tượng tội phạm Ngăn ngừa tội phạm máy tinh Vấn đề riêng tư ATTT HTTT An tồn thơng tin Việt Nam 10 Về chương trình đào tạo ATTT Khoa CNTT 11 Tóm tắt Lãng phí sai sót máy tính  Giới thiệu  Hai vấn đề nguyên nhân vấn đề máy tính → chi phí khơng cần thiết cao làm lợi nhuận   Lãng phí: dùng cơng nghệ & tài ngun máy tính khơng phù hợp Sai sót: lỗi, sai lầm, vấn đề khác → cung cấp kết khơng xác/khơng hữu ích; sai sót xuất chủ yếu lỗi người Lãng phí  Tình trạng   Chính quyền: người sử dụng lớn - lãng phí Chính quyền cơng ty (tư nhân)  Lãng phí tài nguyên    Loại bỏ phần cứng, phần mềm cịn giá trị Xây dựng-duy trì HT phức tạp không dùng tối đa Nghịch lý suất CNTT Robert Solow  Lãng phí thời gian     Trị chơi máy tính Gửi email khơng quan trọng; Truy cập web vơ ích Thư rác (spam email) fax rác (spam-fax) Vào mạng xã hội: Các công ty Anh chi tỷ £ chặn nhân viên Sai sót máy tính  Giới thiệu   Sai sót phần cứng: Sai sót người: sai sót lỗi chương trình sai sót nhập liệu, thao tác Cần ngăn chặn kịp thời  Một số ví dụ  https://au.travel.yahoo.com/news/a/31000259/leap-year-leaves-passengers-without-bags-at-duesseldorf-airport/ : Hành lý sân bay Düsseldorf (Đức); http://www.phillyvoice.com/flights-grounded-at-washington-dc-areaairports/: Hủy bỏ 400 chuyến bay ngày 15/8/2015 vùng đông nước Mỹ  http://www.baomoi.com/Land-Rover-thu-hoi-65000-xe-vi-loi-khoa-cua/76/17016902.epi: Land Rover thu hồi 65.000 xe; Toyota thu hồi 625.000 xe v.v   Hệ thống radar máy bay hệ năm F-35 Mỹ không đáng tin cậy, liên tục bị tái khởi động http://www.ft.com/intl/cms/s/0/0c82561a-2697-11dd-9c95-000077b07658.html#axzz44TRd3mxf : Cổ phiếu Moody ↓ 20%  v.v Các sai sót máy tính phổ biến  Các sai sót máy tính phổ biến         Lỗi nhập liệu nắm bắt liệu Lỗi chương trình máy tính Lỗi xử lý tập tin, nhầm lẫn định dạng đĩa, tập tin cũ đè lên hơn, xóa nhầm tập tin v Xử lý sai kết đầu từ máy tính Lập kế hoạch kiểm sốt trục trặc thiết bị khơng đủ Lập kế hoạch kiểm sốt khó khăn mơi trường khơng đủ Khởi động lực tính tốn khơng đầy đủ mức độ hoạt động website tổ chức Lỗi cung cấp truy cập thông tin chưa bổ sung liên kết web xóa liên kết web cũ  Người phân tích HT: Kỳ vọng hệ thống không rõ & thiếu thông tin phản hồi Người sử dụng chấp nhận HT không cần thiết/không mong muốn  v.v Chống lãng phí sai sót máy tính  Khái qt    Chống lãng phí sai sót: mục tiêu tổ chức Nhân viên nhà quản lý Chính sách thủ tục: thiết lập, thi hành, giám sát, đánh giá, cải thiện  Thiết lập sách    Xây dựng-ban hành sách tiếp nhận-sử dụng máy tính cho mục đích chống lãng phí-sai sót Xây dựng-tổ chức đào tạo hướng dẫn-quy định sử dụng-bảo trì HT máy tính; Xác nhận tính đích xác hệ thống/ứng dụng trước thi hành/sử dụng đảm bảo tương thích-hiệu chi phí  Lập tài liệu hướng dẫn-giới thiệu ứng dụng bao gồm công thức lõi phải nộp/ gửi tới văn phòng trung tâm Giám sát-đánh giá sách thủ tục  Giám sát    giám sát thường xuyên có hành động khắc phục cần thiết Kiểm tốn nội sách-thủ tục  Đánh giá  Chính sách bao trùm đầy đủ thực tiễn hành hay chưa? Có phát vấn đề/cơ hội chưa bao trùm giám sát hay khơng?  Tổ chức có lên kế hoạch hoạt động tương lai hay khơng? Nếu có, có nhu cầu sách thủ tục giải hay không, xử lý nhu cầu cần phải thực hiện?  Đã bao trùm dự phòng thảm họa hay chưa? Tội phạm máy tính  Giới thiệu chung     Internet: Cơ hội nguy Dù sách HTTT tốt khó dự đốn/ngăn tội phạm MT Tội phạm máy tính có yếu tố nguy hiểm Năm 2011: Thiệt hai TPMT 20 nước >388 tỷ US$  Các khảo sát  “State of Network Security 2013 Servey”: 80,6% phá vỡ dịch vụ doanh nghiệp (30,7% ứng dụng, 29,1% mạng, 20,7% giảm hiệu suất) 60% cho biết thủ công, quản lý thay đổi thiếu tầm nhìn; đe dọa nội 65,4% (40,8% tình cờ, 24,6% chủ ý) nhiều đe dọa bên 34,6%  The Global State of Information Security® Survey ba năm 2013-2015 Kinh tế CNTT Kinh tế Internet 4140 tỷ US$ ATTT tổ chức: số nguyên tắc  Một số nguyên tắc         ATTT phục vụ nhiệm vụ tổ chức ATTT cần thành phần tích hợp vào quản lý đắn ATTT nên tiến hành với chi phí hiệu Chủ sở hữu hệ thống có trách nhiệm bảo mật bên tổ chức Trách nhiệm trách nhiệm giải trình ATTT cần làm tường minh ATTT địi hỏi cách tiếp cận tồn diện tích hợp ATTT nên định kỳ đánh giá lại ATTT bị ràng buộc theo yếu tố xã hội 80 Nhận diện phạm tội Phương pháp phạm tội  K thay đổi đầu vào cho hệ thống máy tính Thêm, xóa, Ví dụ Xóa ghi nhận buổi học vắng mặt hồ sơ sinh viên Biến đổi phát triển chương trình máy tính để tiến hành tội Biến đổi chương trình tính lãi suất ngân hàng để tạo tiền gửi vào tài khoản phạm tội phạm V Thay đổi biến đổi tập tin liệu hệ thống máy tính sử Thay đổi điểm học sinh viên từ “C” lên “A” dụng  n Vận hành hệ thống máy tính theo cách cam kết tội phạm máy Truy cập vào hệ thống máy tính bị hạn chế truy cập quyền tính Chuyển hướng sử dụng sai sản lượng hợp lệ từ hệ thống Ăn cắp in loại bỏ hồ sơ khách hàng từ thùng rác công ty máy tính Ăn cắp tài nguyên máy tính, bao gồm phần cứng, phần mềm chép bất hợp pháp phần mềm để trả tiền sử dụng thời gian làm việc thiết bị máy tính Bán sản phẩm vơ giá trị qua Internet gửi e-mail địi tiền cho thuộc làm tóc mọc nhanh vơ giá trị Tống tiền giám đốc điều hành đe dọa phát hành thơng tin có hại Nghe mạng không dây tổ chức để thu thập liệu cạnh tranh thông tin tai tiếng Tống tiền công ty để tránh mát thơng tin máy tính Tạo bom logic gửi thư đe dọa đặt để nhận số tiền lớn 81 Một số thực thi cụ thể  Một số hướng dẫn      Cài đặt xác thực sử dụng mã hóa lực mạnh tường lửa Cài đặt vá lỗi bảo mật Vơ hiệu hóa tài khoản khách/người sử dụng vô giá trị Không cung cấp thủ tục đăng nhập thân thiện cho người sử dụng từ xa Hạn chế truy cập vật lý máy chủ, cấu hình lập máy chủ để xâm nhập máy chủ không ảnh hưởng mạng      Cung cấp máy chủ chuyên dụng dành riêng cho ứng dụng Cài đặt tường lửa doanh nghiệp mạng công ty Internet Cài đặt phần mềm chống phần mềm độc hại máy tính Tiến hành thường xun kiểm tốn an ninh HTTT Kiểm tra thực lưu liệu thường xuyên liệu quan trọng 82 Lọc nội dung quản lý danh tiếng  Lọc nội dung   Mức quốc gia, mức tổ chức, mức gia đình Mức quốc gia: an ninh quốc gia, đạo đức-truyền thống dân tộc, bảo vệ quyền sở hửu trí tuệ, an toàn trẻ em   Mức tổ chức: ngăn nhân viên không tiếp xúc trang web không liên quan Mức gia đình: an tồn internet  Quản lý danh tiếng  ước lượng chung người phương diện đặc tính phẩm chất; gần yêu quý hay tin tưởng vào người hay tổ chức 83 ATTT quyền  Nội dung chiến lược ATTT quốc gia          Tầm quan trọng-ý nghĩa “ATTTQG” với quốc gia đe dọa nhận thức chiến lược ATTTQG Phạm vi chiến lược ATTTQG quan hệ CL ATTTQG với CLQG khác mục tiêu CL ATTTQG nguyên tắc hướng dẫn CL quốc gia Các bên liên quan đề cập CL ATTT QG giải pháp bên liên quan Các dịng hành động quan trọng hành động lập kế hoạch CL ATTT QG mối đe dọa bao gói CL ATTTQG Cách thức thể chế nhiệm vụ QG CL ATTT QG  Một số nhận định qua khảo sat  "Tôi đồng tình với quan điểm để ATTT giống cơm bình dân, quan tâm được, làm được, kinh doanh được", Thứ trưởng (Nguyễn Thành Hưng) nhấn mạnh ? 84 Phân loại hệ thống IPS [Rajaallah19] E M Rajaallah, S A Chamkar, S Ain El Hayat Intrusion Detection Systems: To an Optimal Hybrid Intrusion Detection System Xenopus, 284–296, 2019 Phát dấu sai Phát dựa bất thường [Ghorbani10] Ali A Ghorbani, Wei Lu Mahbod Tavallaee Network Intrusion Detection and Prevention - Concepts and Techniques Springer, 2010 85 Phân loại, kiến trúc NetIPS dựa học sâu kiến trúc NetIPS [Aldweesh20] A Aldweesh, A Derhab, A Z Emam Deep learning approaches for anomaly-based intrusion detection systems: A survey, taxonomy, and open issues Knowledge-Based Systems, Volume 189, 15 February 2020, 105-124, 2020 86 Mạng dựa phần mềm phát DDoS Kiến trúc SDN Luồng lưu lượng Một hệ thống phát DDoS SDN SDN [Niyaz17] Quamar Niyaz, Weiqing Sun, Ahmad Y Javaid A Deep Learning Based DDoS Detection System in Software-Defined Networking (SDN) EAI Endorsed Trans Security Safety 4(12): e2, 2017 87 Hệ thống NetIPS theo dấu: thành phần [Sheikh20] A F Sheikh CompTIA Security+ Certification Study Guide Network Security Essentials Apress, 2020 88 SCADA NetIPS dựa học máy Kiến trúc chức IPS Sơ đồ chung hệ thống SCADA Các nhóm kỹ thuật (Secure modern supervisory Control And Data Acquisition) [Rakas20] Slavica V Boštjančič Rakas, Mirjana D Stojanović, and Jasna D Marković-Petrović A Review of Research Work on Network-Based SCADA Intrusion Detection Systems IEEE Access, 2020 89 Vấn đề riêng tư  Giới thiệu    Từ văn pháp quy/từ khung nhìn cơng chúng HTTT: thu thập, sử dụng/lạm dụng liệu Dữ liệu phân phối mà chưa đồng ý: cá nhân kiểm sốt&có ảnh hưởng tới thơng tin liên quan đến họ phép thu thập&lưu trữ phép cung cấp thơng tin nói cho   Đa dạng vấn đề khó Luật pháp đảm bào song khơng hồn tồn  Tính đa dạng riêng tư       Riêng tư quyền Riêng tư nơi làm việc Riêng tư e-mail Riêng tư thông điệp Riêng tư Internet v.v 90 Chính sách đảm bảo tính riêng tư  Công sử dụng thông tin cá nhân  Hiểu biết, Kiểm sốt, Thơng báo, Cho phép  Chính sách riêng tư cơng ty   Công ty nội địa Công ty đa quốc gia  Nỗ lực cá nhân bào vệ riêng tư     Tìm hiểu lưu trữ ta CSDL Hãy cẩn thận ta chia sẻ thông tin thân Chủ động bảo vệ riêng tư Khi mua điều từ trang web, chắn bảo vệ số thẻ tín dụng, mật thông tin cá nhân 91 ATTT HTTT  Tám yếu tố tảng     ATTT phải hỗ trợ mục tiêu kinh doanh sứ mạng doanh nghiệp ATTT yếu tố gắn kết trách nhiệm quản lý cao cấp ATTT phải đảm bảo chi phí hiệu Trách nhiệm ATTT trách nhiệm giải trình phải thực rõ ràng qua tuyên bố cam kết     Chủ sở hữu HTTT có trách nhiệm ATTT bên ngồi tổ chức ATTT địi hỏi tiếp cận tồn diện tích hợp ATTT cần đánh giá lại theo định kỳ ATTT cần ràng buộc theo văn hóa tổ chức 92 ATTT Việt Nam: Hệ thống văn  Hệ thống văn pháp luật  Luật an ninh quốc gia số 32/2004/QH11 Quốc hội thông qua ngày 03/12/2004; Luật Giao dịch điện tử số 51/2005/QH11 Quốc hội thông qua ngày 29/11/2005; Luật Công nghệ thông tin số 67/2006/QH11 Quốc hội thông qua ngày 29/6/2006; Luật Cơ yếu số 05/2011/QH13 Quốc hội thông qua ngày 26/11/2011 Pháp lệnh số 13/2002/L/CTN ngày 07/6/2002 Chủ tịch nước Công bố Pháp lệnh Bưu chính, Viễn thơng  Nghị quyết, nghị định Chính phủ Quyết định Thủ tướng Thơng tư  Luật ATTT mạng  Qua phiên  19/11/2015, Luật ATTT mạng số 86/2015/QH13 Quốc hội khóa XIII thông qua Kỳ hợp thứ 10 luật có hiệu lực vào ngày 01/07/2016  Thuật ngữ liên quan 93 Một số quan tổ chức ATTT  Bộ TTTT Cục ATTT  Bộ TTTT quan quản lý nhà nước ATTT  Cục ATTT: http://ais.gov.vn/chuc-nang-nhiem-vu.htm  tham mưu, giúp Bộ trưởng Bộ TTTT quản lý nhà nước tổ chức thực thi pháp luật ATTT  Hiệp hội ATTT   Vietnam Information Security Association: VNISA http://vnisa.org.vn/  Trung tâm ứng cứu khẩn cấp máy tính VN   Vietnam Computer Emergency Response Team: VNCERT http://www.vncert.gov.vn/ điều phối hoạt động ứng cứu cố máy tính tồn quốc; cảnh báo kịp thời vấn đề an tồn mạng máy tính; v.v 94 ... bảo: thông tin & nguồn thông tin xác minh đáng tin cậy: chuyển thơng điệp, thơng điệp, nguồn thơng điệp có giá trị tin tưởng Xác minh người dùng họ đăng nhập đầu vào hệ thống từ nguồn đáng tin. .. vẹn hệ thống (System integrity): hệ thống thi hành chức định sẵn cách không suy giảm, độc lập thao tác trái phép cố ý vơ ý 28 Tính tồn vẹn tính sẵn sàng  Tính sẵn sàng availability  hệ thống. .. cyberterrorism  hành vi liên quan cơng nghệ máy tính/ Internet (i) thúc đẩy ngun nhân trị, tơn giáo/ý thức hệ; (ii) đe dọa phận cơng chúng/buộc phủ làm/tránh làm hành động; (iii) đe dọa phận cơng chúng,