Sự phát triển ngày càng nhanh chóng của các thiết bị và ứng dụng di động ngày nay chính là những yếu tố để thúc đẩy sự phát triển của điện toán di động. Dịch vụ điện toán di động giúp cho mọi người có thể chia sẻ thông tin ở mọi nơi, trên mọi thiết bị. Nhờ vào tính tiện dụng và di động cả về thiết bị lẫn dữ liệu thông tin mà điện toán di động có thể đáp ứng nhu cầu của số lượng người dùng lớn như vậy. Tuy nhiên, sự phát triển luôn đi kèm những rủi ro. Sự phụ thuộc của người dùng vào điện toán di động ngày một tăng dẫn đến nguy cơ mất an toàn thông tin ngày càng lớn, vì một lý do nào đó, các thiết bị di động ngừng hoạt động cũng sẽ gây ảnh hưởng không nhỏ đến đời sống của con người cả về vật chất lẫn tinh thần. Để giảm thiểu rủi ro và tránh được các nguy cơ gây mất an toàn thông tin và một số nguy cơ tiềm ẩn khác, các nhà cung cấp cần áp dụng các tiêu chuẩn đảm bảo an toàn trên các thiết bị di động và trên các ứng dụng của điện toán di động. Ngày nay có rất nhiều tiêu chuẩn được đưa ra để đánh giá về vấn đề này, ISO là một bộ tiêu chuẩn như thế. Với mục tiêu của việc nghiên cứu, tìm hiểu và thực hiện đồ án với đề tài “Nghiên cứu, xây dựng khung phát triển Ứng dụng An toàn Điện toán di động theo tiêu chuẩn ISOIEC 27002” để tạo ra được một khung an toàn theo tiêu chuẩn ISOIEC 27002.
Học viện bưu viễn thơng Hà Nội ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỒ ÁN TỐT NGHIỆP NGHIÊN CỨU, XÂY DỰNG KHUNG PHÁT TRIỂN ỨNG DỤNG AN TỒN ĐIỆN TỐN DI ĐỘNG THEO TIÊU CHUẨN ISO/IEC 27002 Ngành: An tồn thơng tin Mã số: 7.48.02.02 Sinh viên thực hiện: Dương Khánh Uyên Người hướng dẫn: Ths Nguyễn Thị Thu Thủy Khoa An tồn thơng tin – Học viện Bưu viễn thơng Hà Nội, 2021 MỤC LỤC MỤC LỤC ii LỜI CẢM ƠN v LỜI CAM ĐOAN .vi DANH MỤC BẢNG BIỂU .vii DANH MỤC HÌNH VẼ viii DANH MỤC VIẾT TẮT ix LỜI NÓI ĐẦU .1 CHƯƠNG 1: ĐIỆN TOÁN DI ĐỘNG 1.1 Điện toán di động 1.1.1 Lịch sử đời phát triển Điện toán di động 1.1.2 Khái niệm 1.1.3 Đặc điểm Điện toán di động 1.1.4 Các thành phần Điện toán di động 1.1.5 Các ứng dụng Điện toán di động 12 1.1.6 Ưu điểm Điện toán di động 14 1.1.7 Nhược 1.2 điểm Điện toán di động 15 Vấn đề bảo mật Điện toán di động .16 1.2.1 Các vấn đề chung bảo mật 17 1.2.2 Các vấn đề bảo mật mạng không dây 17 1.2.3 Các vấn đề bảo mật thiết bị 19 1.2.4 Các vấn đề bảo mật phần mềm .21 1.2.5 Vấn đề bảo mật từ phía người dùng 22 1.2.6 Đề 1.3 xuất số cách giải 22 Kết luận chương 23 CHƯƠNG 2: TIÊU CHUẨN ISO/IEC 27002 24 2.1 ISO gì? .24 2.2 Tiêu chuẩn ISO 25 2.2.1 Khái niệm 25 2.2.2.Nhiệm vụ …………………………………………………………………25 2.2.3 Một số tiêu chuẩn ISO phổ biến .25 2.3 Bộ tiêu chuẩn ISO/IEC 27000 .30 2.4 Tiêu chuẩn ISO/IEC 27002 34 2.4.1 Mục tiêu………………………………………………………………… 36 2.4.2 Nội dung………………………………………………………………….37 2.4.3 Mối quan hệ tiê…u chuẩn ISO/ IEC 27002 tiêu chuẩn khác .38 2.4.4 Tình hình áp dụng tiêu chuẩn ISO/IEC 27002 39 2.5 Kết luận chương .42 CHƯƠNG 3: XÂY DỰNG KHUNG PHÁT TRIỂN ỨNG DỤNG AN TỒN ĐIỆN TỐN DI ĐỘNG THEO TIÊU CHUẨN ISO/IEC 27002 43 3.1 Xác định sách 43 3.2 Phạm vi áp dụng 43 3.3 Xác định quản lý rủi ro 43 3.3.1 Xác định rủi ro gặp phải 44 3.3.2 Bảo vệ chống lại rủi ro thiết bị di động 45 3.4 Kiểm soát .46 3.5 Xây dựng điều khoản cần áp dụng để phát triển ứng dụng an tồn Điện tốn di động………………………………………………………………………… 57 3.6 Kết luận chương .65 KẾT LUẬN…………………………………………………………………… 66 TÀI LIỆU THAM KHẢO 67 LỜI CẢM ƠN Kết thúc năm học Học viện bưu viễn thơng, thời gian làm học tập rèn luyện giúp đỡ em việc hoàn thành đồ án tốt nghiệp, em xin gửi lời cảm ơn tới: Ban lãnh đạo Học viện bưu viễn thơng, thầy giảng viên nhà trường bảo nhiệt tình, quan tâm tạo điều kiện tốt để em học tập rèn luyện suốt năm qua Gia đình, bè ln bên động viên giúp đỡ suốt thời gian học tập, làm việc làm đồ án Đặc biệt em xin gửi lời cảm ơn đến Ths Nguyễn Thị Thu Thủy nhiệt tình hướng dẫn cho em suốt trình làm đồ án Tuy nhiên kiến thức hạn chế nên q trình làm đồ án khơng thể tránh khỏi thiếu sót, kính mong thầy đóng góp ý kiến để đồ án bổ sung hoàn thiện Em xin chân thành cảm ơn! Hà Nội, ngày 05, tháng 07, năm 2021 Sinh viên thực Dương Khánh Uyên LỜI CAM ĐOAN Tôi xin cam đoan đồ án tự nghiên cứu thực hướng dẫn giáo Ths Nguyễn Thị Thu Thủy Để hồn thành đồ án này, sử dụng tài liệu ghi mục tài liệu tham khảo, không sử dụng tài liệu khác Nếu sai, tơi xin chịu hình thức kỷ luật theo quy định Học viện Hà Nội, ngày 05 tháng 07 năm 2021 Học viên thực Dương Khánh Uyên DANH MỤC BẢNG BIỂU Bảng 3.1: Các kiểm soát ……………………………………………………….48 Bảng 3.2: Mục tiêu xây dựng ứng dụng an tồn điện tốn di động 59 DANH MỤC HÌNH VẼ Hình 2.1: Quan hệ chuẩn tiêu chuẩn ISO/IEC 27000 .35 Hình 2.2: Cấu trúc nội dung tiêu chuẩn ISO/IEC 27002 .39 Hình 2.5: Số lượng chứng ISO 27001 Việt Nam qua năm 43 DANH MỤC VIẾT TẮT Viết tắt ATTT Tiếng Anh Tiếng Việt An tồn thơng tin BYOD DoS IEC ISO ISMS MDM GPS PDA Bring your own device Denial of Sevice International Electrotechnical Commission International Organization for Standardization Information Security Management System Mobile Device Management Global Positioning System Personal Digital Assistant Mang theo thiết bị bạn Tấn công từ chối dịch vụ Ủy ban Kỹ thuật Điện Quốc tế Tổ chức Tiêu chuẩn hóa Quốc tế Hệ thống quản lý An ninh thông tin Quản lý thiết bị di động Hệ thống định vị toàn cầu Trợ lý kỹ thuật số cá nhân LỜI NÓI ĐẦU Di động trở nên phổ biến nhanh chóng lĩnh vực điện tốn ngày Tốc độ tăng trưởng đáng kinh ngạc xuất thiết bị di động là: điện thoại thông minh, PDA (Trợ lý kỹ thuật số cá nhân), dẫn đường GPS (Hệ thống định vị toàn cầu) máy tính xách tay với nhiều ứng dụng thông minh đáp ứng nhu cầu người sử dụng kết hợp với điện toán di động , mạng an ninh cơng nghệ, an tồn thơng tin Ngồi với phát triển công nghệ vô tuyến WiMax, AdHoc Wifi, người dùng sử dụng Internet cách dễ dàng không bị giới hạn dây cáp trước Do đó, thiết bị di động với ứng dụng đáp ứng nhu cầu đời sống người ngày chấp nhận sử dụng rộng rãi Với nhiều người lựa chọn họ cho cơng việc, cho giải trí cho sống ngày Sự phát triển ngày nhanh chóng thiết bị ứng dụng di động ngày yếu tố để thúc đẩy phát triển điện toán di động Dịch vụ điện toán di động giúp cho người chia sẻ thông tin nơi, thiết bị Nhờ vào tính tiện dụng di động thiết bị lẫn liệu thơng tin mà điện tốn di động đáp ứng nhu cầu số lượng người dùng lớn Tuy nhiên, phát triển kèm rủi ro Sự phụ thuộc người dùng vào điện toán di động ngày tăng dẫn đến nguy an tồn thơng tin ngày lớn, lý đó, thiết bị di động ngừng hoạt động gây ảnh hưởng không nhỏ đến đời sống người vật chất lẫn tinh thần Để giảm thiểu rủi ro tránh nguy gây an tồn thơng tin số nguy tiềm ẩn khác, nhà cung cấp cần áp dụng tiêu chuẩn đảm bảo an toàn thiết bị di động ứng dụng điện toán di động Ngày có nhiều tiêu chuẩn đưa để đánh giá vấn đề này, ISO tiêu chuẩn Với mục tiêu việc nghiên cứu, tìm hiểu thực đồ án với đề tài “Nghiên cứu, xây dựng khung phát triển Ứng dụng An tồn Điện tốn di động theo tiêu chuẩn ISO/IEC 27002” để tạo khung an toàn theo tiêu chuẩn ISO/IEC 27002 CHƯƠNG 1: ĐIỆN TỐN DI ĐỘNG 1.1 Điện tốn di động Điện tốn di động đề cập đến công nghệ cho phép truyền liệu, âm video qua máy tính thiết bị hỗ trợ không dây khác, khơng có kết nối với liên kết vật lý cố định Nó tạo điều kiện cho người dùng trao đổi giao tiếp từ vị trí địa lý đến vị trí khác cách dễ dàng nhanh chóng 1.1.1 Lịch sử đời phát triển Điện tốn di động Ý tưởng Điện toán di động phát triển từ năm 1990 Nó phát triển từ radio hai chiều thành thiết bị liên lạc đại ngày Các thiết bị sử dụng Điện toán di động - Máy tính xách tay: Máy tính xách tay máy tính thiết kế theo cách di chuyển từ nơi sang nơi khác, bao gồm hình bàn phím - Personal Digital Assistant/Enterprise Digital Assistant (PDA or EDA) (Trợ lý kỹ thuật số cá nhân / Trợ lý kỹ thuật số doanh nghiệp): Trợ lý kỹ thuật số cá nhân (PDA) thiết bị di động sử dụng để hoạt động thiết bị quản lý thông tin cá nhân trợ lý liệu cá nhân Hiện nay, PDA ngừng hoạt động - Laptop: Máy tính xách tay máy tính cá nhân nhỏ, di động (PC) tích hợp thiết bị gập lại Máy tính xách tay thường có hình máy tính LCD LED mỏng gắn bên nắp bàn phím chữ số bên nắp Máy tính xách tay dễ mang theo để di chuyển lý chúng phù hợp để sử dụng thiết bị di động - Smartphone: Điện thoại thông minh thiết bị di động kết hợp chức điện toán di động di động thành thiết bị Điện thoại thông minh phát minh để cung cấp khả tính tốn kết nối tiên tiến so với điện thoại phổ thông Điện thoại thông minh khác với điện thoại phổ thông khả phần cứng mạnh mẽ có hệ điều hành, tạo điều kiện cho phần mềm toàn diện hơn, bao gồm internet, duyệt web qua băng thông rộng di động chức đa phương tiện âm nhạc, video, máy ảnh chơi game, v.v với chức điện thoại cốt lõi gọi thoại nhắn tin văn Những điện thoại thông minh ban đầu phát minh bán thị trường nhằm cố gắng kết nối chức thiết bị trợ lý kỹ thuật số cá nhân (PDA) độc lập với hỗ trợ điện thoại di động bị hạn chế hình thức cồng kềnh, thời lượng pin ngắn, mạng di động tương tự, chậm non nớt liệu không dây dịch vụ Nhưng bây giờ, điện thoại thơng minh có tính máy tính, nhiều máy ảnh, hệ điều hành tiên tiến, RAM ROM lớn Giờ đây, chúng tích hợp số tính trí tuệ nhân tạo mở khóa nhận dạng khn mặt máy quét vân tay, chống nước nhiều tính vơ tận khác - Tablet computer: có kiểm soát đến truy cập trái phép 8.3 thuật thực thi giải pháp MDM rò rỉ liệu người chịu trách nhiệm bảo mật ý muốn cấp cho người dùng Các biện pháp bảo mật kỹ 8.4 cung cấp định kỳ Tổ chức thiết lập thủ tục để phá hủy, thay tái sử dụng cách an toàn thiết bị di động chứa liệu tổ chức, đảm bảo liệu 8.5 tổ chức không bị tiết lộ Giải pháp MDM sử dụng phép tổ chức xóa từ xa liệu thiết bị lưu trữ bị Các biện pháp Mã hóa 9.1 bị đánh cắp Các thủ tục hệ thống kiểm soát mức sử quản lý khóa an tồn (Key độ đảm bảo hợp dụng để management lý liệu đảm bảo KMS) phải lập thành người dùng liệu tổ văn bản, bao gồm tạo, phân mã hóa an tồn chức phối, lưu trữ hủy khóa mã hóa, Vai trị người giám sát, khơng bị người điều hành, chủ sở phá vỡ hữu người dùng 50 system - xác định 9.2 sách Các thủ tục KMS tổ chức chạy định kỳ để đảm 9.3 bảo hoạt động hiệu Các khóa mật mã lưu vị trí khơng dễ tiếp Các 10 Các biện pháp Kết nối 9.4 cận dược mã hóa Sử dụng giao thức mã hóa 10 mạnh Quyền truy cập di động vào kết kiểm soát mức thiết bị tệp chia sẻ ổ đĩa nối độ đảm bảo hợp di động mạng chứa liệu lý kết nối mạng tổ chức cung cấp thiết bị khơng đủ cho người dùng theo di sách phân loại liệu động vào an toàn dẫn mạng bảo đến truy thực cách an mật thích hợp cập trái tồn theo yêu cầu kỹ phép thuật tổ chức CNTT xác 10 định Người dùng thiết bị di động kết nối với mạng doanh nghiệp thông qua kết nối an tồn mã hóa, sử dụng VPN, bảo mật IP (IPsec), bảo mật lớp truyền tải (TLS 2) 51 giao thức bảo mật tương đương phải tuân thủ tiêu chuẩn thực hành 11 Các biện pháp Người dùng 11.1 Chính sách Bảo mật CNTT kiểm sốt mức khơng biết tồn bao gồm độ đảm bảo hợp hướng hướng dẫn thủ tục liên lý thiết dẫn/ thủ quan đến việc bảo mật bị di động tục liên mạng tổ chức liên quan đến sử dụng cách quan đến an kết nối với thiết bị di phải thích hợp ninh mạng động ban quản lý thực tổ thi 11.2 Chính sách bảo mật CNTT chức tổ chức CNTT / nhân viên bảo mật xem xét định Ngườ i dùng 12 Các biện pháp Người dùng 12 kiểm sốt mức khơng độ đảm bảo hợp dụng sử kỳ cập nhật cho phù hợp Có sách sử dụng chấp nhận cho thiết bị thiết di động bao gồm quy lý thiết bị di động tắc xử lý vật lý logic bị di động cách thích hợp, giải việc sử dụng cách thích hợp sử dụng thiết bị di động thích hợp an tồn định loại thơng tin dịch vụ truy cập 12 thơng qua thiết bị Người dùng yêu cầu ký tuyên bố họ đọc, hiểu tuân thủ 52 sách Sử dụng chấp nhận cho thiết bị di động bao gồm quy tắc xử lý vật lý logic thích 12 hợp Tạo chương trình nâng cao nhận thức thực nhằm giải tầm quan trọng việc bảo mật mặt vật lý logic cho thiết bị di động Khóa đào tạo bao gồm loại thơng tin khơng thể lưu trữ thiết bị di 12 động Người dùng đào tạo thường xuyên để nhận thức rủi ro bảo mật di động tiềm ẩn nhằm giúp họ nhận biết ứng phó đắn với rủi ro theo sách bảo mật 13 Các biện pháp Thiết bị có 13 CNTT Tất người dùng kiểm sốt mức thể bị đánh thơng báo cách báo cáo độ đảm bảo hợp cắp dẫn đến thiết bị bị 53 lý thiết liệu lưu bị đánh cắp thông qua mô bị di động trữ tả quy trình mà người cố bảo mật thiết bị có tổ chức phải quản thể bị tiết lộ truy cập (ví dụ: qua lý phù hợp 13 Intranet) Các cố thiết bị di động (bảo mật) xử lý thông qua quy trình quản lý cố thường xuyên thiết lập tổ chức giám sát thường 13 xun Có quy trình quản lý tài sản để đăng ký thiết bị di động bao gồm thuộc tính cần nắm bắt (ví dụ: khía cạnh phần mềm bản, ứng dụng tổ chức cài đặt, quyền truy cập liệu tổ chức) phù hợp với sách 13 phân loại thông tin Cơ sở liệu quản lý cấu hình (Configuration management database CMDB) sử dụng 54 tổ chức để đăng ký thiết bị di động cập nhật định kỳ CMDB phần quy trình quản lý tài sản chủ sở hữu CMDB định để quản lý tất tài sản 3.5 Xây dựng điều khoản cần áp dụng để phát triển ứng dụng an toàn Điện toán di động Bảng 3.2: Mục tiêu xây dựng ứng dụng an tồn điện tốn di động An tồn vật lý Mục tiêu: Ngăn chặn truy cập trái phép, làm hư hại can thiệp vào hệ thống thông tin phương tiện xử lý thông tin tổ chức, người dùng Sử dụng mật Sử dụng tối thiểu ký tự, tối đa 15 ký tự mạnh Bao gồm số, chữ thường, chữ in hoa ký tự đặc biệt cho thiết Duy nhất, không dùng chung cho tài khoản khác bị Không mang ý nghĩa kèm(số điện thoại, ngày sinh, tên địa danh ) Không sử dụng tên riêng Không sử dụng số quen thuộc, vd: 113, 115, 12345678 Không sử dụng thông tin mật cho câu hỏi bí mật (câu hỏi bí mật phương pháp giúp người dùng đặt lại mật quên) 55 Sử dụng sinh Thay dựa vào phương pháp bảo mật truy cập di động trắc học truyền thống, chẳng hạn mật khẩu, số tổ chức tìm kiếm sinh trắc học giải pháp thay an toàn Xác thực sinh trắc học máy tính sử dụng đặc điểm sinh học đo lường được, chẳng hạn nhận dạng khuôn mặt, vân tay, giọng nói mống mắt để nhận dạng truy cập Nhiều phương pháp xác thực sinh trắc học có sẵn điện thoại thơng minh công nhân dễ dàng thiết lập sử dụng Hạn chế sử Thiết bị di động an tồn mạng mà truyền liệu dụng mạng mạng an toàn Các tổ chức cần giáo dục nhân viên nguy công cộng hiểm việc sử dụng mạng Wifi công cộng, vốn dễ bị cơng từ tin tặc, người dễ dàng xâm nhập thiết bị, truy cập mạng đánh cắp liệu Cách bảo vệ tốt khuyến khích hành vi người dùng thông minh cấm sử dụng mạng Wifi mở, tiện lợi Cẩn thận với Ứng dụng độc hại số mối đe dọa phát triển nhanh đối ứng với thiết bị di động Khi người dùng vơ tình tải xuống dụng độc hại ứng dụng, lý cơng việc cá nhân, điều cung cấp quyền truy cập trái phép vào mạng liệu tổ chức Để chống lại mối đe dọa gia tăng này, tổ chức có hai lựa chọn: hướng dẫn nhân viên nguy hiểm việc tải xuống ứng dụng chưa phê duyệt cấm nhân viên tải hoàn toàn số ứng dụng định điện thoại họ Mã hóa thiết Dữ liệu phải chuyển đổi thành mã mà người dùng bị di động ủy quyền truy cập Điều quan trọng trường hợp trộm cắp ngăn chặn truy cập trái phép 56 Sao lưu liệu Sử dụng thiết bị lưu trữ tháo rời: CD, DVD, USB, Sử dụng ổ cứng (Lưu trữ liệu lớn) : ổ cứng kết nối với máy tính máy tính xách tay bên ngồi thơng qua dây cáp khơng dây Ví dụ: USB flash, ổ cứng SSD Giống phương tiện di động, ổ cứng ngồi có tính di động dễ sử dụng, chúng có khả lưu trữ tệp lớn Chúng tương thích với máy tính máy tính xách tay Sao lưu đám mây (Lưu trữ linh hoạt): cho phép người dùng lưu liệu họ vào phần cứng vị trí từ xa Người dùng truy cập quản lý liệu lúc thiết bị thông qua internet Hầu hết dịch vụ lưu trữ đám mây cung cấp lượng lớn không gian lưu trữ mã hóa nội dung để bảo mật liệu Một số giải pháp lưu trữ đám mây phổ biến mà bạn sử dụng bao gồm iCloud, Google Drive, tất tương thích với điện thoại di động, máy tính bảng, máy tính để bàn máy tính xách tay Sử dụng dịch vụ lưu: Phương pháp lưu liệu tương tự phương pháp quản trị viên lưu doanh nghiệp, có nghĩa giao cho người dịch vụ chịu trách nhiệm lưu liệu họ có quyền truy cập vào phần mềm lưu mạnh mẽ, thiết bị phần cứng chí giải pháp lưu liệu kết hợp Về bản, người dùng phải trả tiền cho dịch vụ để quản lý giúp bảo mật liệu - hầu hết dịch vụ 57 lưu cung cấp mã hóa Giống đám mây, người dùng xem xét tùy chọn lưu trữ không giới hạn Bảo vệ Giữ thiết bị di động an toàn trình vận chuyển Chú ý đến mơi trường xung quanh giữ thiết bị chắn chống lại túi Đừng để bàn nhà hàng xe yếu tố Khi kẻ trộm có quyền truy cập vật lý vào thiết bị , chúng thường tìm cách để truy cập vào ổ cứng khách quan Thêm ứng dụng vào máy tính bảng điện thoại thơng minh từ mơi theo dõi thiết bị bị bị đánh cắp Nếu thiết bị bị đánh cắp bị mất, thông báo cho trường phận CNTT Họ thường thực bước để bảo mật thiết bị từ xa Họ xóa liệu máy tính bảng điện thoại thơng minh sau xác định liệu ổn Nếu thiết bị bị đánh cắp, báo cho quan chức thích hợp Họ khơi phục thiết bị An toàn phần mềm Mục tiêu: đảm bảo an toàn liệu ứng dụng, phần mềm Sử dụng tài Các thiết bị bên sở hữu phải thiết lập tài khoản bên quản lý kiểm sốt; ví dụ: Google Suites cho tổ chức phi khoản đăng lợi nhuận Apple iCloud tương đương Quyền truy cập nhập người dùng tài khoản phải người giám sát giám sát kiểm sốt Ln cập Các cập nhật cho hệ điều hành thiết bị, phần mềm ứng nhật phần dụng đảm bảo thiết bị chạy phiên phần mềm mềm ứng Các cập nhật thường bao gồm sửa lỗi cho dụng vấn đề bảo mật Sử dụng mật Hầu hết thiết bị có khóa bảo mật chữ số Để bảo mã để khóa mật mạnh mẽ hơn, số thiết bị thiết lập mã ứng dụng bảo mật phức tạp mật mã sử dụng kết hợp dài số, chữ ký hiệu; mơ hình; tính 58 Xem lại cài đặt bảo mật Cài đặt phần mềm ứng dụng bảo mật sinh trắc học (như dấu vân tay nhận dạng khuôn mặt) Các cài đặt bảo mật cụ thể tùy thuộc vào loại thiết bị di động, nên hạn chế kết nối tự động với thiết bị khác qua WiFi, Bluetooth kết nối khác Một số cài đặt bảo mật giúp xác định vị trí xóa từ xa thiết bị thiết bị bị bị đánh cắp Phần mềm ứng dụng có sẵn cho tất loại thiết bị di động Một số phần mềm bảo mật, cài đặt, cho phép người dùng theo dõi thiết bị thiết bị bị đánh cắp xóa thiết bị từ xa Phần mềm chống phần mềm độc hại ngăn phần mềm độc hại cài đặt vào thiết bị để tăng tính riêng tư bảo mật thiết bị chống phần mềm độc hại bổ sung An tồn truyền thơng Mục tiêu: Nhằm đảm bảo việc bảo vệ thông tin mạng phương tiện xử lý thông tin Sử dụng Tạo mạng riêng ảo (VPN) (mạng riêng ảo mạng dành mạng riêng riêng để kết nối máy tính lại với thơng qua mạng ảo Internet cơng cộng Những máy tính tham gia mạng riêng ảo nhận mạng nội - LAN Đây cách tốt để giữ cho phiên duyệt web ln an tồn) Khi sử dụng VPN để truy cập internet, tự động thiết lập kết nối mạng dựa tảng mạng khơng dây mã hóa gói tin truyền nhận về, đồng thời chuyển hướng truy cập giúp người dùng ẩn danh dễ dàng mạng internet Tuy nhiên, yếu tố bảo mật cao mà VPN 59 làm suy giảm phần tốc độ mạng đổi Các wifi thường đặt mật quản trị mặc định Để đảm Thay mật bảo an toàn, cần thay đổi mật mặc định, nên để mật từ quản trị ký tự trở nên có ký tự phức tạp #, $, & , hạn chế sử dụng chuỗi dễ đoán ngày sinh, số chứng minh nhân dân, số điện thoại… An tồn Khóa account để chống virus: virus xâm nhập vào máy tính bạn thơng qua lỗ hổng Hacker thường lợi chia sẻ dụng lỗ hổng để công tạo mã độc Để ngăn chặn liệu vấn đề này, bạn thực khóa account khiến cho q trình chia sẻ liệu phân quyền hạn chế tình trạng virus xâm nhập Mã hóa liệu: số cách hiệu để chia sẻ liệu an toàn Ưu điểm việc mã hóa liệu phương pháp có cách sử dụng đơn giản, cần bạn nhớ user đăng nhập đọc liệu mà khơng cần nhớ nhiều điều hay sử dụng chương trình thứ khác Sao lưu dự phòng: để phòng trừ trường hợp bị liệu chia sẻ, bạn hồn tồn chủ động lưu dự phịng liệu quan trọng Bạn backup liệu dự phịng để đảm bảo an tồn việc cất giữ liệu Cập nhật Các nhà sản xuất thường công bố vá, bổ sung cho phần phần mềm, mềm wifi Người sử dụng nên thường xuyên kiểm tra vá, vá lỗi bổ sung website nhà sản xuất Đảm bảo an toàn trang thiết bị Mục tiêu: Ngăn ngừa mát, hư hại, đánh cắp lợi dụng tài sản gián đoạn hoạt động tổ chức Giữ thiết Chú ý đến môi trường xung quanh giữ thiết bị chắn bị di động an túi Đừng để bàn nhà hàng xe Khi kẻ trộm tồn có quyền truy cập vật lý vào thiết bị , chúng thường tìm 60 trình cách để truy cập vào ổ cứng vận chuyển Sao lưu Sao lưu tất thông tin thiết bị để chúng bị liệu bị đánh cắp, thông tin khơng bị Cài đặt ứng Thêm ứng dụng vào máy tính bảng điện thoại thơng minh có dụng theo thể theo dõi thiết bị bị bị đánh cắp dõi Cập nhật Cập nhật phần mềm thiết bị để tận dụng tính bảo phần mềm mật Sử dụng mật Mật mạnh với tính sinh trắc học, chẳng hạn mạnh / trình xác thực dấu vân tay, khiến việc truy cập trái phép gần sinh trắc Mật bạn phải dài từ tám ký tự trở lên học: chứa ký tự chữ số Nên sử dụng xác thực hai yếu tố thiết bị di động có tính Và thay đổi mật thường xuyên Hạn chế sử Ngắt kết nối không dây không sử dụng Điều không dụng Wifi giúp tránh kết nối tự động với mạng không mã hóa cơng cộng mà cịn giúp tiết kiệm pin thiết bị An toàn nguồn nhân lực Mục tiêu: Đảm bảo nhân viên, người dùng tổ chức hiểu rõ trách nhiệm phù hợp với vai trị giao phó Trách nhiệm Mọi người tổ chức phải hiểu trách nhiệm biết cách cư xử để giảm nguy trộm cắp, gian lận sử dụng sai thiết bị di động người tổ chức Xác thực Sử dụng số điện thoại người dùng để xác thực danh tính đăng ký tài khoản tải xuống ứng dụng dành cho thiết bị di người dùng động cuối Sử dụng xác Sử dụng lớp bảo mật bổ sung mật người dùng 61 thực đa yếu cách cung cấp xác thực hai yếu tố thông qua số điện thoại họ Mã xác minh lần gửi qua SMS tin nhắn tố thoại thông qua ứng dụng dành cho thiết bị di động bạn xác thực người dùng biết xác minh giao dịch Kiểm soát truy cập Mục tiêu: Giới hạn việc truy cập thông tin phương tiện xử lý thông tin Kiểm sốt Xác định vai trị người dùng / nhân viên tổ chức dựa việc phân tích mục tiêu cấu truy cập dựa trúc tổ chức thường liên kết với sách vai trị bảo mật Mỗi thành viên yêu cầu cấp độ truy cập khác để thực chức họ Nên cung cấp cho quản trị viên bảo mật ứng dụng khả xác định thực hành động nào, nào, từ đâu, theo thứ tự trường hợp Các vai trò chuyển giao ủy quyền cách sử dụng thủ tục đăng ký nghiêm ngặt Khi người dùng thay đổi vai trò họ sang vai trò khác, quản trị viên phải đảm bảo quyền truy cập trước thu hồi Kiểm soát Phân loại người dùng dựa theo mức độ tin cậy lĩnh vực hoạt động người dùng truy cập bắt Phân loại liệu theo độ nhạy cảm lĩnh vực liệu buộc Kiểm soát Quyết định truy cập thực cách kiểm tra xem người dùng có quyền liên kết với hành động ứng truy cập dựa dụng yêu cầu hay không quyền 3.6 Kết luận chương Chương vận dụng sở lý thuyết Điện toán di động ứng dụng với sử dụng tiêu chuẩn ISO/IEC 27002 để tạo nên khung chuẩn để xây dựng cách an toàn ứng dụng Điện toán đám mây 62 KẾT LUẬN Với việc sử dụng tiêu chuẩn ISO/IEC 27002 để xây dựng khung chuẩn phát triển ứng dụng an tồn Điện tốn di động giúp người sử dụng ứng dụng Điện tốn đám mây có nhìn tổng quan an toàn ứng dụng mà thân sử dụng tự bảo vệ trước nguy an tồn sử dụng chúng Sau thời gian thực đồ án, với hướng dẫn tận tình Giảng viên Thạc sỹ Nguyễn Thị Thu Thủy cố gắng thân, đến đồ án đạt mục tiêu định: - Nghiên cứu Điện toán di động ứng dụng Điện toán di động - Nghiên cứu tổng quan Tiêu chuẩn ISO nói chung ISO/IEC 27002 nói riêng - Phân tích xây dựng khung phát triển ứng dụng an tồn Điện tốn di động Tuy nhiên, với quỹ thời gian có hạn hạn chế kinh nghiệm lực thân, đồ án chưa đáp ứng số nội dung sau đây: - Khung chuẩn xây dựng cịn có nhiều thiếu sót việc rà soát rủi ro xác định điều khoản cần có Hướng phát triển đồ án Với nhiều ứng dụng đời sống, giải nhu cầu thiết yếu mang tính tiện dụng cao ứng dụng Điện toán di động Đề tài có số hướng phát triển để tạo thành khung chuẩn hoàn thiện tương lai: - Bổ sung thêm số điều khoản tổ chức đảm bảo an tồn thơng tin đề cập đến tổ chức nội trách nhiệm tổ chức người tổ chức bổ sung thêm sách thiết bị di động làm việc từ xa 63 Trong trình thực đồ án cịn xuất nhiều thiếu sót, em mong nhận góp ý thầy cơ, bạn bè,… để đề tài hồn thiện Cuối cùng, em xin gửi lời cảm ơn đến thầy giáo, gia đình, bạn bè bên giúp đỡ em thời gian qua Em xin chân thành cảm ơn! TÀI LIỆU THAM KHẢO [1] Mobile Computing Policy, https://www.bath.ac.uk/corporate-information/mobile-computing-policy/ [2] Mobile Computing https://www.tutorialspoint.com/mobile_computing/ [3] Security Issues in a Mobile Computing Paradigm https://link.springer.com/content/pdf/10.1007%2F978-0-387-35256-5_5.pdf [4] Risk/control framework related to the security of mobile business applications https://www.compact.nl/en/articles/risk-control-framework-related-to-the-securityof-mobile-business-applications/ [5] Security Guidance for Critical Areas of Mobile Computing https://downloads.cloudsecurityalliance.org/initiatives/mobile/Mobile_Guidance_v 1.pdf [6] Cyber Security: Physical Device Protection https://www.thesilverlining.com/safety-tips/cyber-security-physical-deviceprotection [7] Mobile Computing https://www.tutorialspoint.com/mobile_computing/mobile_computing_quick_guide htm [8] Tiêu chuẩn Việt Nam TCVN ISO/IEC 27002:2020 https://vanbanphapluat.co/tcvn-iso-iec-27002-2020-iso-iec-27002-2013-cong-nghethong-tin#van-ban-goc 64 ... ? ?Nghiên cứu, xây dựng khung phát triển Ứng dụng An tồn Điện tốn di động theo tiêu chuẩn ISO/ IEC 27002? ?? để tạo khung an toàn theo tiêu chuẩn ISO/ IEC 27002 CHƯƠNG 1: ĐIỆN TOÁN DI ĐỘNG 1.1 Điện toán. .. để xây dựng khung phát triển ứng dụng an tồn Điện tốn di động 40 CHƯƠNG 3: XÂY DỰNG KHUNG PHÁT TRIỂN ỨNG DỤNG AN TỒN ĐIỆN TỐN DI ĐỘNG THEO TIÊU CHUẨN ISO/ IEC 27002 3.1 Xác định sách Ngày nay, ứng. .. ràng việc phát triển ứng dụng điện toán di động cách an toàn hiệu ISO/ IEC 27002 tiêu chuẩn sử dụng để tạo khung chuẩn đáp ứng phát triển ứng dụng Điện tốn di động cách an tồn theo quy chuẩn 3.2