CHƯƠNG 1 TỔNG QUAN VỀ ĐẢM BẢO AN TOÀN HỆ THỐNG THÔNG TIN DOANH NGHIỆP 1. Những khái niệm cơ bản 1. Một số khái niệm cơ bản về an toàn và bảo mật thông tin * Khái niệm thông tin: Khi nhu cầu trao đổi thông tin dữ liệu ngày càng lớn và đa dạng, các tiến bộ về điện tử - viễn thông và công nghệ thông tin không ngừng được phát triển ứng dụng để nâng cao chất lượng và lưu lượng truyền tin thì các quan niệm ý tưởng và biện pháp bảo vệ thông tin dữ liệu cũng được đổi mới. Bảo vệ an toàn thông tin dữ liệu là một chủ đề rộng, có liên quan đến nhiều lĩnh vực và trong thực tế có thể có rất nhiều phương pháp được thực hiện để bảo vệ an toàn thông tin dữ liệu.
Để đưa ra được khái niệm về thông tin, trước hết ta cần hiểu thế nào là dữ liệu? Dữ liệu là những con số, kí tự hay hình ảnh phản ánh về sự vật, hiện tượng trong thế giới khách quan. Dữ liệu là các giá trị thô, chưa có ý nghĩa với người sử dụng. “Thông tin” là ý nghĩa được rút ra từ dữ liệu thông qua quá trình xử lý (phân tích, tổng hợp,…), phù hợp với mục đích của người sử dụng. Nói cách khác, thông tin là những dữ liệu đã được xử lý sao cho nó thực sự có ý nghĩa với người sử dụng” [Bài giảng Hệ thống thông tin quản lý, Bộ môn CNTT, Đại học Thương mại].
Theo Russell Ackoff: “Thông tin là dữ liệu đã được ý nghĩa bằng cách kết nối quan hệ, là dữ liệu đã được xử lý để trở nên hữu ích.” Cookie Monster định nghĩa: “Thông tin là kiến thức truyền đạt hoặc nhận được liên quan đến một sự kiện, hiện tượng thực tế trong hoàn cảnh cụ thể.” liên quan đến một sự kiện, hiện tượng thực tế trong hoàn cảnh cụ thể.” * Khái niệm về hệ thống thông tin: Hệ thống thông tin là một hệ thống bao gồm các yếu tố có quan hệ với nhau cùng làm nhiệm vụ thu thập, xử lý, lưu trữ và phân phối thông tin và dữ liệu và cung cấp một cơ chế phản hồi để đạt được một mục tiêu định trước. Các tổ chức có thể sử dụng các hệ thống thông tin với nhiều mục đích khác nhau. Trong việc quản trị nội bộ, hệ thống thông tin sẽ giúp đạt được sự thông hiểu LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 6 nội bộ, thống nhất hành động, duy trì sức mạnh của tổ chức, đạt được lợi thế cạnh tranh. Với bên ngoài, hệ thống thông tin giúp nắm bắt được nhiều thông tin về khách hàng hơn hoặc cải tiến dịch vụ, nâng cao sức cạnh tranh, tạo đà cho sự phát triển.
Khái niệm về an toàn và bảo mật hệ thống thông tin An toàn thông tin Một hệ thống thông tin được coi là an toàn khi thông tin không bị làm hỏng hóc, không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không được phép. [Bài giảng CSDL, Bộ môn CNTT, Đại học Thương Mại] Một hệ thống thông tin an toàn thì các sự cố có thể xảy ra không thể làm cho hoạt động chủ yếu của nó ngừng hẳn và chúng sẽ được khắc phục kịp thời mà không gây thiệt hại đến mức độ nguy hiểm cho chủ sở hữu. Như vậy, an toàn thông tin là việc bảo vệ chống truy nhập, sử dụng, tiết lộ, chỉnh sửa và phá hủy thông tin trái phép Bảo mật thông tin Là duy trì tính bí mật, tính toàn vẹn và tính sẵn sàng của thông tin. Tính sẵn sàng Tính toàn vẹn Tính bảo mật Hình 1.1: Ba mục tiêu bảo mật thông tin (Nguồn:Bài giảng CSDL, Bộ môn CNTT, Đại học Thương Mại) - Tính bảo mật (Confidentially): Đảm bảo chỉ có những cá nhân được cấp quyền mới được phép truy cập vào hệ thống.
Đây là yêu cầu quan trọng của bảo mật thông tin bởi vì đối với các tổ chức doanh nghiệp thì thông tin là tài sản có giá trị hàng đầu, việc các cá nhân không được cấp quyền truy nhập trái phép vào hệ thống sẽ làm cho thông tin bị thất thoát đồng nghĩa với việc tài sản của công ty bị xâm hại, có thể dẫn đến phá sản. LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 7 - Tính toàn vẹn (Integrity): Đảm bảo rằng thông tin luôn ở trạng thái đúng, chính xác, người sử dụng luôn được làm việc với các thông tin tin cậy chân thực. Chỉ các cá nhân được cấp quyền mới được phép chỉnh sửa thông tin. Kẻ tấn công không chỉ có ý định đánh cắp thông tin mà còn mong muốn làm cho thông tin bị mất giá trị sử dụng bằng cách tạo ra các thông tin sai lệch gây thiệt hại cho công ty.
- Tính sẵn sàng (Availabillity): Đảm bảo cho thông tin luôn ở trạng thái sẵn sàng phục vụ, bất cứ lúc nào người sử dụng hợp pháp có nhu cầu đều có thể truy nhập được vào hệ thống. Có thể nói rằng đây yêu cầu quan trọng nhất, vì thông tin chỉ hữu ích khi người sử dụng cần là có thể dùng được, nếu 2 yêu cầu trên được đảm bảo nhưng yêu cầu cuối cùng không được đảm bảo thì thông tin cũng trở nên mất giá trị. Từ các phân tích trên ta có thể nhận định: Một HTTT được coi là an toàn và bảo mật khi tính riêng tư của nội dung thông tin được đảm bảo theo đúng các tiêu chí trong một thời gian xác định. Một số cơ sở lý luận về an toàn bảo mật thông tin trong doanh nghiệp 1.
Vai trò của an toàn bảo mật thông tin trong doanh nghiệp Hệ thống thông tin là thành phần thiết yếu trong mọi cơ quan, tổ chức, đem lại khả năng xử lý thông tin, nhưng hệ thống thông tin cũng chứa rất nhiều điểm yếu. Do máy tính được phát triển với tốc độ rất nhanh để đáp ứng nhiều yêu cầu của người dùng, các phiên bản được phát hành liên tục với các tính năng mới được thêm vào ngày càng nhiều, điều này làm cho các phần mềm không được kiểm tra kỹ trước khi phát hành và bên trong chúng chứa rất nhiều lỗ hổng có thể dễ dàng bị lợi dụng. Thêm vào đó là việc phát triển của hệ thống mạng, cũng như sự phân tán của hệ thống thông tin, làm cho người dùng truy cập thông tin dễ dàng hơn và tin tặc cũng có nhiều mục tiêu tấn công dễ dàng hơn. Song song với việc xây dựng hệ thống thông tin hiện đại, đáp ứng nhu cầu của các cơ quan, tổ chức cần phải bảo vệ hệ thống thông tin, đảm bảo cho hệ thống đó hoạt động ổn định và tin cậy.
An toàn và bảo mật trong hệ thống thông tin có vai trò quan trọng đối với sự phát triển bền vững của các doanh nghiệp. Đối với mỗi doanh nghiệp, thông tin có thể coi là tài sản vô giá. Xây dựng một HTTT an toàn giúp cho việc quản lý hệ thống trở nên rõ ràng, minh bạch hơn. Một môi trường thông tin an toàn, trong sạch sẽ có tác động không nhỏ đến việc giảm thiểu chi phí quản lý và hoạt động của LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 8 doanh nghiệp, nâng cao uy tín của doanh nghiệp, tạo điều kiện thuận lợi cho sự hội nhập một môi trường thông tin lành mạnh.
Điều này sẽ tác động mạnh đến ưu thế cạnh tranh của tổ chức. Rủi ro về thông tin có thể gây thất thoát tiền bạc, tài sản, con người và gây thiệt hại đến hoạt động kinh doanh sản xuất của doanh nghiệp. Do vậy, đảm bảo ATBM thông tin doanh nghiệp cũng có thể coi là một hoạt động quan trọng trong sự nghiệp phát triển của doanh nghiệp. Đây không phải vấn đề riêng của người làm CNTT mà là của mọi cá nhân và đơn vị trong tổ chức doanh nghiệp.
Các nguy cơ và hình thức tấn công gây mất an toàn hệ thống thông tin 1. Các nguy cơ mất an toàn thông tin trong hệ thống thông tin Nguy cơ ngẫu nhiên: Nguy cơ mất ATTT ngẫu nhiên có thể xuất phát từ các hiện tượng khách quan như thiên tai (lũ lụt, sóng thần, động đất…), hỏng vật lý, mất điện…Đây là những nguy cơ xảy ra bất ngờ, khách quan, khó dự đoán trước, khó tránh được nhưng đó lại không phải là nguy cơ chính của việc mất ATTT. Nguy cơ có chủ định (nguyên nhân chủ quan): Tin tặc, cá nhân bên ngoài, phá hỏng vật lý, can thiệp có chủ ý. Nguy cơ bị lộ thông tin của cá nhân, tổ chức và các giao dịch liên quan cho bên thứ ba.
Nguy cơ bị kẻ xấu làm sai lệch thông tin bằng một trong ba cách: “Bắt” thông tin ở giữa đường di chuyển từ “nguồn” tới “đích”, sửa đổi hay chèn, xoá thông tin và gửi đi tiếp; tạo một nguồn thông tin giả mạo để đưa các thông tin đánh lừa “đích”; tạo “đích” giả để lừa thông tin đến từ nguồn đích thật. Nguy cơ bị tắc nghẽn, ngưng trệ thông tin: Tắc nghẽn và ngưng trệ thông tin có thể di bị tấn công, hoặc có thể do bị mất điện, hoặc rất ngẫu nhiên là số lượng người truy cập vào hệ thống trong cùng một lúc là rất lớn mà dung lượng đường truyền lại quá nhỏ gây ra tắc nghẽn. Nguy cơ từ bên trong: Đây là nguy cơ xuất phát từ chính bên trong tổ chức doanh nghiệp. Nguy cơ có thể xuất phát do yếu tố kỹ thuật (thiết bị mạng, máy chủ, HTTT,…); do lập kế hoạch, triển khai, thực thi, vận hành (vòng đời); có các quy trình, chính sách an ninh bảo mật của công ty hay do yếu tố con người.
Nguy cơ từ môi trường bên ngoài: các nguy cơ từ môi trường như hạ tầng năng lượng, truyền thông, thảm họa thiên nhiên hay từ con người. Doanh nghiệp càng lớn càng là mục tiêu của nhiều đối tượng tấn công trong nước và quốc tế. LUAN VAN CHAT LUONG download : add luanvanchat@agmail. Hình thức tấn công hệ thống thông tin Các hình thức tấn công có thể kể đến là hình thức tấn công thụ động và tấn công chủ động.
Có thể hiểu đó là hình thức lấy cắp hoặc thay đổi, phá hoại dữ liệu trái phép. Vi phạm tính toàn vẹn, sẵn sàng dữ liệu. Hình thức tấn công thụ động là việc kẻ tấn công lấy được thông tin trên đường truyền mà không gây ảnh hưởng gì đến thông tin được truyền từ nguồn đến đích. Tấn công thụ động rất khó phát hiện và khó phòng tránh nên rất nguy hiểm.
Hiện nay tấn công thụ động đang ngày càng phát triển do đó cần có các biện pháp phòng tránh trước khi tấn công xảy ra. Tấn công thụ động là loại tấn công mà thông tin tài khoản bị đánh cắp được lưu lại để sử dụng sau.