Bảy vùng trong hạ tầng CNTT và các mối đe dọa an toàn hệ thống thông tin
MỤC LỤC
Khái quát về an toàn hệ thống thông tin
Hệ thống thông tin (Information system), theo cuốn sách Fundamentals of Information Systems Security [2] là một hệ thống tích hợp các thành phần nhằm phục vụ việc thu thập, lưu trữ, xử lý thông tin và chuyển giao thông tin, tri thức và các sản phẩm số. Hệ thống thông tin dựa trên máy tính thường gồm các thành phần: phần cứng (Hardware) để thu thập, lưu trữ, xử lý và biểu diễn dữ liệu; phần mềm (Software) chạy trên phần cứng để xử lý dữ liệu; cơ sở dữ liệu (Databases) để lưu trữ dữ liệu; mạng (Networks) là hệ thống truyền dẫn thông tin/dữ liệu; và các thủ tục (Procedures) là tập hợp các lệnh kết hợp các bộ phận nêu trên để xử lý dữ liệu, đưa ra kết quả mong muốn.
Bảy vùng trong hạ tầng CNTT và các mối đe dọa 1. Bảy vùng trong cơ sở hạ thầng CNTT
Các nguy cơ có thể có đối với vùng mạng LAN bao gồm: truy nhập trái phép vào mạng LAN vật lý, truy nhập trái phép vào hệ thống, ứng dụng và dữ liệu; các lỗ hổng an ninh trong hệ điều hành và các phần mềm ứng dụng máy chủ; nguy cơ từ người dùng giả mạo trong mạng WLAN; tính bí mật dữ liệu trong mạng WLAN có thể bị đe dọa do sóng mang thông tin của WLAN truyền trong không gian có thể bị nghe trộm. Trong vùng hệ thống và ứng dụng, các nguy cơ có thể bao gồm: truy nhập trái phép đến trung tâm dữ liệu, phòng máy hoặc tủ cáp; các khó khăn trong quản lý các máy chủ với yêu cầu tính sẵn dùng cao; các lỗ hổng trong quản lý các phần mềm ứng dụng của hệ điều hành máy chủ; các vấn đề an ninh trong các môi trường ảo của điện toán đám mây; và vấn đề hỏng hóc hoặc mất dữ liệu.
Mô hình tổng quát đảm bảo an toàn hệ thống thông tin 1. Giới thiệu mô hình Phòng về theo chiều sâu
Theo đó, NHNN yêu c ầu các NHNN chi nhánh tỉnh, thành phố: Tăng cường cụng tỏc quản lý, theo dừi, giỏm sỏt, thanh tra, kiểm tra để phát hiện, xử lý theo thẩm quyền các vi phạm pháp luật trong hoạt động ngân hàng điện tử và công tác đảm bảo an ninh, an toàn tài sản, bảo mật thông tin khách hàng; yêu c ầu các TCTD, tổ chức cung ứng dịch vụ trung gian thanh toán: Thực hiện nghiêm túc công tác báo cáo về các sự cố an toàn thông tin theo quy định tại Thông tư số 09/2020/TT-NHNN ngày 21/10/2020 của Thống đốc NHNN quy định về an toàn hệ thống thông tin trong hoạt động ngân hàng; tăng cường chia sẻ thông tin về các mối đe dọa an ninh mạng giữa các thành viên Mạng lưới ứng cứu sự cố an ninh CNTT ngành Ngân hàng. Trong đó bao gồm các điều kiện cần thiết về trang thiết bị sử dụng; cách thức truy cập dịch vụ; hạn mức giao dịch và các biện pháp xác thực giao dịch; các rủi ro liên quan đến sử dụng dịch vụ; hướng dẫn khách hàng sử dụng dịch vụ an toàn, bảo mật; cung cấp cho khách hàng thông tin về đầu mối tiếp nhận thông tin, số điện thoại đường dây nóng và chỉ dẫn cho khách hàng quy trình, cách thức phối hợp xử lý các lỗi và sự cố trong quá trình sử dụng dịch vụ. Về phía các NHTM, để đảm bảo an toàn, bảo mật cho giao dịch ngân hàng và thông tin, tài khoản khách hàng trước nguy cơ tấn công mạng, các NHTM đã tăng cường phối hợp với NHNN để thực hiện các chính sách đã ban hành về CNTT trong lĩnh vực ngân hàng; chủ động trong việc giám sát hoạt động hệ thống CNTT và xử lý các sự cố phát sinh (nếu có); tăng cường cỏc biện phỏp giỏm sỏt, theo dừi hoạt động và nhật ký của cỏc hệ thống thụng tin quan trọng, các cổng, trang tin điện tử, hệ thống Internet Banking để kịp thời phát hiện và xử lý sự việc nghi ngờ là hành động tấn công (nếu có); thực hiện sao lưu và lưu trữ đầy đủ dữ liệu cũng như sẵn sàng kịch bản và phương án đảm bảo hoạt động liên tục cho các hệ thống thông tin quan trọng, các cổng, trang tin điện tử, hệ thống Internet Banking.
Tăng cường công tác truyền thông về những sản phẩm, dịch vụ đổi mới, an toàn, tiện ích; nâng cao nhận thức khách hàng trước rủi ro an ninh mạng, hoạt động gian lận, lừa đảo trên không gian mạng; hướng dẫn khách hàng về các kiến thức, kỹ năng sử dụng dịch vụ ngân hàng an toàn, hợp lý và giải đáp kịp thời các thắc mắc, khiếu nại của khách hàng; chủ động áp dụng các hình thức khuyến nghị, cảnh báo kịp thời, hiệu quả tới khách hàng về các phương thức, thủ đoạn gian lận, lừa đảo của tội phạm công nghệ cao. - Phạt tiền từ 50.000.000 đồng đến 100.000.000 đồng đối với một trong các hành vi vi phạm sau đây: (i) Mở tài khoản thanh toán cho khách hàng, cho phép khách hàng sử dụng tài khoản thanh toán không đúng quy định của pháp luật trong quá trình cung ứng dịch vụ thanh toán; (ii) Thuê, cho thuê, mượn, cho mượn tài khoản thanh toán, mua, bán thông tin tài khoản thanh toán với số lượng từ 10 tài khoản thanh toán trở lên mà chưa đến mức bị truy cứu trách nhiệm hình sự; (iii) Làm giả phương tiện thanh toán, lưu giữ, lưu hành, chuyển nhượng, sử dụng phương tiện thanh toán giả mà chưa đến mức bị truy cứu trách nhiệm hình sự; (iv) Phát hành, cung ứng, sử dụng các phương tiện thanh toán không hợp pháp mà chưa đến mức bị truy cứu trách nhiệm hình sự;. - Phạt tiền từ 100.000.000 đồng đến 150.000.000 đồng đối với một trong các hành vi vi phạm sau đây: (i) Xâm nhập hoặc tìm cách xâm nhập, đánh cắp dữ liệu, phá hoại, làm thay đổi trái phép chương trình phần mềm, dữ liệu điện tử sử dụng trong thanh toán; lợi dụng lỗi hệ thống mạng máy tính để trục lợi mà chưa đến mức bị truy cứu trách nhiệm hình sự; (ii) Mở hoặc duy trì tài khoản thanh toán nặc danh, mạo danh; (iii) Thực hiện, tổ chức thực hiện hoặc tạo điều kiện thực hiện các hành vi: Sử dụng, lợi dụng tài khoản thanh toán, phương tiện thanh toán, dịch vụ thanh toán để đánh bạc, tổ chức đánh bạc,.
Theo đó, nhận biết khách hàng bằng phương thức điện tử (electronic KYC -eKYC) là quá trình nhận diện và định danh khách hàng từ xa bằng phương thức điện tử không đòi hỏi gặp mặt trực tiếp, dựa trên các công nghệ như nhận dạng ký tự quang học cho trích xuất văn bản (OCR), so khớp khuôn mặt (face matching), nhận diện thực thể sống (liveness detection), phát hiện gian lận (fraud detection), công nghệ dữ liệu (như phân tích dữ liệu lớn, trí tuệ nhân tạo/học máy.
Signature: Chữ ký điện tử là một cách hợp pháp để có được sự đồng ý hoặc phê duyệt trên các tài liệu hoặc biểu mẫu điện tử. Nó có thể thay thế
- Giới thiệu về hệ mật mã RSA 1. Lịch sử
- Phân biệt hệ mã hóa bí mật và hệ mã hóa công khai 1. Mã hóa công khai
- Thuật toán RSA
Tuy thay thế được cho các phương pháp bảo mật truyền thống như trả lời câu hỏi “bí mật”, nhập mã PIN, nhưng sinh trắc học khuôn mặt chưa đủ để kiểm tra đó có phải là khuôn mặt của thực thể sống không, hay chỉ là ảnh in chất lượng cao, video được quay lại. Để bổ trợ, làm tăng hiệu quả của sinh trắc học khuôn mặt, Liveness Detection(Xác định thực thể sống) ra đời giúp đo lường, phân tích các đặc điểm và phản ứng vật lý nhằm xác định xem mẫu sinh trắc học có được chụp từ đối tượng sống có mặt tại điểm chụp hay không. Nói đơn giản hơn, đây là phương thức xác minh người thật, giúp ngăn chặn các hình thức giả mạo khuôn mặt bằng ảnh in, ảnh trên video,mặt nạ 3D… đảm bảo tính chính xác xuyên suốt trong quá trình định danh khách hàng điện tử (eKYC).
- Mục Đích Chọn Thuật RSA Trong Bảo Mật Thông Tin trong môi trường ngày nay, khi việc truyền tải thông tin qua mạng internet trở nên phổ biến và quan trọng hơn bao giờ hết, việc bảo vệ tính bí mật và toàn vẹn của dữ liệu đã trở thành một trong những ưu tiên hàng đầu của các tổ chức và cá nhân. - Trong bối cảnh này, việc chọn thuật toán RSA không chỉ đơn giản là một sự lựa chọn, mà còn là một quyết định chiến lược để đảm bảo rằng thông tin của mỗi cá nhân và tổ chức đều được bảo vệ một cách an toàn và hiệu quả. Vì vậy muốn xây dựng hệ RSA an toàn thì n=p*q phải là một số đủ lớn, để không có khả năng phân tích nó về mặt tính toán.Vì vậy hiện nay người ta khuyến cáo sử dụng khóa có độ dài tối thiểu 2048 bít.
Năm 2003, Dan Boneh và David Brumley chứng minh một dạng tấn công: phân tích thừa số RSA dùng mạng máy tính (Máy chủ web dùng SSL, khai thác thông tin rò rỉ của việc tối ưu hóa định lý số dư Trung quốc Để chống lại tấn công các ứng dụng RSA sử dụng kỹ thuật che mắt dựa trên tính nhân của RSA.
