CHƯƠNG 1: CƠ SỞ LÝ LUẬN VỀ AN TOÀN, BẢO MẬT THÔNG TIN 1. Một số khái niệm cơ bản 1. Khái niệm dữ liệu, thông tin, HTTT, HTTT quản lý trong doanh nghiệp Theo [1] Dữ liệu: là những ký tự, số liệu, các tập tin rời rạc hoặc các dữ liệu chung chung…dữ liệu chưa mang cho con người sự hiểu biết mà phải thông qua quá trình xử lý dữ liệu thành thông tin thì con người mới có thể hiểu được về đối tượng mà dữ liệu đang biểu hiện. Theo [2] Thông tin: Theo nghĩa thông thường, thông tin là điều hiểu biết về một sự kiện, một hiện tượng nào đó, thu nhận được qua khảo sát, đo lường, trao đổi, nghiên cứu….
Thông tin là những dữ liệu đã được xử lý sao cho nó thực sự có ý nghĩa đối với người sử dụng. Thông tin được coi như là một sản phẩm hoàn chỉnh thu được sau quá trình xử lý dữ liệu. Theo [2] Hệ thống thông tin: là một tập hợp và kết hợp của các phần cứng, phần mềm và các hệ mạng truyền thông được xây dựng và sử dụng để thu thập, tạo, tái tạo, phân phối và chia sẻ các dữ liệu, thông tin và tri thức nhằm phục vụ các mục tiêu của tổ chức. Các tổ chức có thể sử dụng các hệ thống thông tin với nhiều mục đích khác nhau.
Trong việc quản trị nội bộ, hệ thống thông tin sẽ giúp đạt được sự thông hiểu nội bộ, thống nhất hành động, duy trì sức mạnh của tổ chức, đạt được lợi thế cạnh tranh. Với bên ngoài, hệ thống thông tin giúp nắm bắt được nhiều thông tin về khách hàng hơn hoặc cải tiến dịch vụ, nâng cao sức cạnh tranh, tạo đà cho phát triển. Theo [2] Hệ thống thông tin quản lý (MIS): Hệ thống thông tin quản lý được hiểu như là một hệ thống dùng để tiến hành quản lý cùng với những thông tin được cung cấp thường xuyên. Ngày nay, do công nghệ máy tính đã tham gia vào tất cả các hoạt động quản lý nên nói đến MIS là nói đến hệ thống thông tin quản lý được trợ giúp của máy tính.
Theo quan điểm của các nhà công nghệ thông tin, MIS là một mạng lưới máy tính có tổ chức nhằm phối hợp việc thu thập, xử lý và truyền thông tin. MIS là tập hợp các phương tiện, các phương pháp và các bộ phận có liên hệ chặt chẽ với nhau, nhằm đảm bảo cho việc thu thập, lưu trữ, tìm kiếm xử lý và cung cấp những thông tin cần thiết cho quản lý. Khái niệm về an toàn, bảo mật HTTT quản lý Theo từ điển Tiếng Việt, an toàn có nghĩa là được bảo vệ, không xâm phạm. 5 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Theo [4] An toàn thông tin: một hệ thống thông tin được coi là an toàn (security) khi thông tin không bị làm hỏng hóc, không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không được phép.
Một hệ thống thông tin an toàn thì các sự cố có thể xảy ra không thể làm cho hoạt động chủ yếu của nó ngừng hẳn và chúng sẽ được khắc phục kịp thời mà không gây thiệt hại đến mức độ nguy hiểm cho chủ sở hữu. Theo [4] Bảo mật là sự hạn chế khả năng lạm dụng tài nguyên và tài sản. Bảo mật trở nên đặc biệt phức tạp trong quản lý, vận hành những hệ thống thông tin có sử dụng các công cụ tin học, nơi có thể xảy ra và lan tràn nhanh chóng việc lạm dụng tài nguyên (các thông tin di chuyển vô hình trên mạng hoặc lưu trữ hữu hình trong các vật liệu) và lạm dụng tài sản (các máy tính, thiết bị mạng, thiết bị ngoại vi, các phần mềm của cơ quan hoặc người sở hữu hệ thống). Theo [4] Bảo mật thông tin là duy trì tính bí mật, tính toàn vẹn và tính sẵn sàng của thông tin.
+ Bí mật (Confidentially) là đảm bảo thông tin chỉ được tiếp cận bởi những người được cấp quyền tương ứng. + Tính toàn vẹn (Integrity) đảm bảo thông tin luôn ở trạng thái đúng, chính xác, người sử dụng luôn được làm việc với các thông tin tin cậy, chân thực. Chỉ các cá nhân được cấp quyền mới được phép sửa thông tin. + Tính sẵn sàng (Availabillity) đảm bảo cho thông tin luôn ở trạng thái sẵn sàng phục vụ, bất cứ lúc nào người sử dụng hợp pháp có nhu cầu đều có thể truy nhập được vào hệ thống.
Hệ thống được coi là bảo mật nếu tính riêng tư của nội dung thông tin được đảm bảo theo đúng các tiêu chí trong một thời gian xác định. Hai yếu tố an toàn và bảo mật đều rất quan trọng và gắn bó với nhau: hệ thống mất an toàn thì không bảo mật được và ngược lại hệ thống không bảo mật được thì mất an toàn Theo [1] Dữ liệu là các giá trị phản ánh về sự vật, hiện tượng trong thế giới khách quan. Nhưng là những giá trị thô, chưa có ý nghĩa với người sử dụng. Dữ liệu có thể là một tập hợp các giá trị mà không biết được sự liên hệ giữa chúng.
Dữ liệu qua quá trình xử lý, phân tích và đánh giá trở thành thông tin phục vụ cho các mục đích khác nhau của con người. Dữ liệu có thể biểu diễn dưới nhiều dạng khác nhau như âm thanh, văn bản, hình ảnh. Theo [1] Cơ sở dữ liệu (CSDL): tập hợp dữ liệu tương quan có tổ chức được lưu trữ trên các phương tiện lưu trữ như đĩa từ, băng từ,… nhằm thỏa mãn các yêu cầu khai thác thông tin (đồng thời) của nhiều người sử dụng và của nhiều chương trình ứng dụng. 6 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Theo [1] Bảo mật CSDL chính là việc bảo vệ được thông tin trong CSDL tránh được những truy cập trái phép đến CSDL, từ đó có thể thay đổi hay suy diễn nội dung thông tin CSDL.
An toàn bảo mật thông tin có vai trò quan trọng đối với sự phát triển bền vững của các doanh nghiệp. Đối với mỗi doanh nghiệp, thông tin có thể coi là tài sản vô giá. Rủi ro về thông tin có thể gây thất thoát tiền bạc, tài sản, con người và gây thiệt hại đến hoạt động kinh doanh sản xuất của doanh nghiệp. Do vậy, đảm bảo ATTT doanh nghiệp cũng có thể coi là một hoạt động quan trọng để doanh nghiệp phát triển.
Một số vấn đề về lý thuyết liên quan đến an toàn và bảo mật HTTT 1. Quy trình, nguyên tắc và yêu cầu ATBM thông tin Quy trình đảm bảo ATBM thông tin: Bước 1: Xác định Xác định vấn đề gây mất an toàn thông tin. Tìm kiếm lỗ hổng trong bảo mật an toàn thông tin. Bước 2: Đánh giá Đánh giá mức độ nguy hiểm của lỗ hổng bảo mật.
Tầm quan trọng của thông tin. Thông tin doanh nghiệp bị rò rỉ có mức độ nghiêm trọng như thế nào? Bước 3: Lựa chọn giải pháp Đưa ra giải pháp phù hợp với thực trạng doanh nghiệp hiện có, dựa trên mức độ nguy hiểm của lỗ hổng bảo mật và độ quan trọng của thông tin đang bị rò rỉ. Bước 4: Giám sát rủi ro Sau khi lựa chọn giải pháp và thực hiện khắc phục lỗ hổng, nhưng không có nghĩa là các biện pháp được sử dụng một cách triệt để và hiệu quả, chính vì vậy ta cần giám sát các rủi ro có thể xảy ra. _Nguyên tắc đảm bảo ATTT Theo [5] Đứng trước yêu cầu bảo mật thông tin, ngoài việc xây dựng các phương thức bảo mật thông tin thì người ta đã đưa ra các nguyên tắc về bảo vệ dữ liệu như sau: Nguyên tắc hợp pháp trong lúc thu thập và xử lý dữ liệu.
Nguyên tắc đúng đắn. Nguyên tắc phù hợp với mục đích. Nguyên tắc cân xứng. Nguyên tắc minh bạch.
Nguyên tắc được cùng quyết định cho từng cá nhân và bảo đảm quyền truy cập cho người có liên quan. Nguyên tắc không phân biệt đối xử. Nguyên tắc an toàn. 7 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Nguyên tắc có trách niệm trước pháp luật.
Nguyên tắc giám sát độc lập và hình phạt theo pháp luật. Nguyên tắc mức bảo vệ tương ứng trong vận chuyển dữ liệu xuyên biên giới. _Yêu cầu đảm bảo ATTT Theo [3] Những yêu cầu bảo mật hệ thống thông tin bao gồm: Tính bí mật (Confidentiality): bảo vệ dữ liệu không bị lộ ra ngoài một cách trái phép. Ví dụ: Trong hệ thống ngân hàng, một khách hàng được phép xem thông tin số dư tài khoản của mình nhưng không được phép xem thông tin của khách hàng khác.
Tính toàn vẹn (Integrity): Chỉ những người dùng được ủy quyền mới được phép chỉnh sửa dữ liệu. Ví dụ: Trong hệ thống ngân hàng, không cho phép khách hàng tự thay đối thông tin số dư của tài khoản của mình. Tính sẵn sàng (Availability): Đảm bảo dữ liệu luôn sẵn sàng khi những người dùng hoặc ứng dụng được ủy quyền yêu cầu. Ví dụ: Trong hệ thống ngân hàng, cần đảm bảo rằng khách hàng có thể truy vấn thông tin số dư tài khoản bất kỳ lúc nào theo như quy định.
Tính chống thoái thác (Non-repudiation): Khả năng ngăn chặn việc từ chối một hành vi đã làm. Ví dụ: Trong hệ thống ngân hàng, có khả năng cung cấp bằng chứng để chứng minh một hành vi khách hàng đã làm, như rút tiền, chuyển tiền. Các nguy cơ mất ATTT Nguy cơ ngẫu nhiên: Nguy cơ mất ATTT ngẫu nhiên có thể xuất phát từ các hiện tượng khách quan như thiên tai (lũ lụt, sóng thần, động đất…), hỏng vật lý, mất điện…Đây là những nguy cơ xảy ra bất ngờ, khách quan, khó dự đoán trước, khó tránh được nhưng đó lại không phải là nguy cơ chính của việc mất ATTT Nguy cơ có chủ định (nguyên nhân chủ quan): Tin tặc, cá nhân bên ngoài, phá hỏng vật lý, can thiệp có chủ ý. Nguy cơ bị lộ thông tin của cá nhân, tổ chức và các giao dịch liên quan cho bên thứ ba.
Nguy cơ bị kẻ xấu làm sai lệch thông tin bằng một trong ba cách: Cách 1: “Bắt” thông tin ở giữa đường di chuyển từ “nguồn” tới “đích”, sửa đổi hay chèn, xoá thông tin và gửi đi tiếp. Cách 2: Tạo một nguồn thông tin giả mạo để đưa các thông tin đánh lừa “đích”. Cách 3: Tạo “đích” giả để lừa thông tin đến từ nguồn đích thật. Nguy cơ bị tắc nghẽn, ngưng trệ thông tin: Tắc nghẽn và ngưng trệ thông tin có thể di bị tấn công, hoặc có thể do bị mất điện, hoặc rất ngẫu nhiên là số lượng người truy cập vào hệ thống trong cùng một lúc là rất lớn mà dung lượng đường truyền lại quá nhỏ gây ra tắc nghẽn.
8 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.