CHƯƠNG 1: CƠ SỞ LÝ LUẬN VỀ VẤN ĐỀ ĐẢM BẢO AN TOÀN HTTT 1.1 Những khái niệm cơ bản 1.1 Khái niệm chung Thông tin là ý nghĩa được rút ra từ dữ liệu thông qua quá trình xử lý (phân tích, tổng hợp…), phù hợp với mục đích của người sử dụng. Thông tin có thể gồm nhiều giá trị dữ liệu được tổ chức sao cho nó mang lại một ý nghĩa cho một đối tượng cụ thể, trong một ngữ cảnh cụ thể. Từ đó có thể thấy thông tin được coi như là một sản phẩm hoàn chỉnh thu được sau quá trình xử lý dữ liệu. Những thông tin có giá trị là những thông tin mang các đặc điểm sau: chính xác, xác thực; đầy đủ, chi tiết; rõ ràng (dễ hiểu); đúng lúc, thường xuyên; thứ tự, có liên quan;…( theo [2]) Hình 1.1: Thành phần của Hệ thống thông tin Hệ thống là một tập hợp có tổ chức gồm nhiều phần tử có các mối quan hệ ràng buộc lẫn nhau và cùng hoạt động hướng tới một mục tiêu chung.
Phần tử ở đây có thể là vật chất hoặc phi vật chất: con người, máy móc, thông tin, dữ liệu, phương pháp xử lý, quy tắc, quy trình xử lý. (theo [2]) - HTTT là một tập hợp và kết hợp của các phần cứng, phần mềm và các hệ mạng truyền thông được xây dựng và sử dụng để thu thập, tái tạo, phân phối và chia sẻ các dữ liệu, thông tin và tri thức nhằm phục vụ các mục tiêu của tổ chức. (theo [1]) Các tổ chức có thể sử dụng các HTTT với nhiều mục đích khác nhau. Trong việc quản trị nội bộ, HTTT sẽ giúp đạt được sự thông hiểu nội bộ, thống nhất hành động, duy trì sức mạnh của tổ chức, đạt được lợi thế cạnh tranh.
Với bên ngoài, hệ thống thông tin giúp nắm bắt được nhiều thông tin về khách hàng hơn hoặc cải tiển dịch vụ, nâng cao sức cạnh tranh, tạo đà cho phát triển (theo [1]) 4 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - Có thể hiểu HTTT là một hệ thống mà mối liên hệ giữa các thành phần của nó cũng như mối liên hệ giữa nó và các hệ thống khác là sự trao đổi thông tin. Các thành phần cơ bản của HTTT gồm: Phần cứng, phần mềm, mạng, dữ liệu và con người + Phần cứng: Là các bộ phận (vật lý) cụ thể của máy tính hoặc hệ thống máy tính, hệ thống mạng sử dụng làm thiết bị kỹ thuật hỗ trợ hoạt động trong hệ thống thống thông tin. Phần cứng là các thiết bị hữu hình,có thể nhìn thấy, cầm nắm được. + Phần mềm: Là một tập hợp những câu lệnh được việt bằng một hoặc nhiều ngôn ngữ lập trình theo thứ tự nào đó để thực hiện chức năng hoặc giải quyết một bài toán nào đó.
Phần mềm có thể là những ý tưởng trừu tượng, các thuật toán, các chỉ thị… + Mạng: mạng máy tính là tập hợp những máy tính độc lập được kết nối với nhau thông qua các đường truyền vật lý và tuân theo các quy ước truyền thông nào đó. Các thành phần của mạng có thể bao gồm: • Các hệ thống đầu cuối: Kết nối với nhau tạo thành mạng, có thể là các máy tính hoặc các thiết bị khác. Nói chung hiện nay ngày càng nhiều các loại thiết bị có khả năng kết nối vào mạng máy tính như điện thoại di dộng, PDA, tivi. • Môi trường truyền: Là nơi các thao tác truyền thông được thực hiện qua đó.
Môi trường truyền có thể là các loại dây dẫn (dây cáp ), song điện từ (đối với các mạng không dây) • Giao thức truyền thông: Là các quy tắc quy định cách trao đổi dữ liệu giữa các thực thể + Dữ liệu: Dữ liệu là các giá trị phản ánh về sự vật, hiện tượng trong thế giới khách quan. Dữ liệu là các giá trị thô, chưa có ý nghĩa với người sử dụng. Có thể là một tập hợp các giá trị mà không biết được sự liên hệ giữa chúng (theo [3]). Dữ liệu có thể biểu diễn dưới nhiều dạng khác nhau như âm thanh, văn bản, hình ảnh,… • CSDL là một hệ thống các thông tin có cấu trúc được lưu trữ trên các thiết bị lưu trữ thông tin thứ cấp (như băng đĩa, đĩa từ,…) để có thể thỏa mãn yêu cầu khai thác thông tin đồng thời của nhiều người sử dụng hay nhiều chương trình ứng dụng với nhiều mục đích khác nhau.(theo [3]) • Hệ quản trị CSDL là một phần mềm chuyên dụng giải quyết tốt tất cả các vấn đề đặt ra cho một CSDL: Tính chủ quyền, cơ chế bảo mật hay phân quyền hạn khai thác CSDL, giải quyết tranh chấp trong quá trình truy nhập dữ liệu… 5 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com • Tài nguyên về dữ liệu gồm các CSDL.
CSDL phải được thu thập, lựa chọn và tổ chức một cách khoa học theo một mô hình có cấu trúc xác định, tạo điều kiện cho người sử dụng có thể truy cập một cách dễ dàng, thuận tiện và nhanh chóng. + Con người: đây là thành phần quan trọng nhất của hệ thống thông tin. Bởi lẽ con người là chủ thể xây dựng, điều hành và sử dụng hệ thống thông tin.Con người trong HTTT cần có đầy đủ kiến thức chuyên môn, các kĩ năng quản lý, giao tiếp hiệu quả. Bao gồm: Người xây dựng và bảo trì HTTT ( Phân tích viên, lập trình viên, kỹ sư bảo hành…) và người sử dụng HTTT (các nhà quản lý, kế toán, nhân viên các phòng ban.) An toàn thông tin là các hoạt động bảo vệ tài sản thông tin và là một lĩnh vực rộng lớn.
Nó bao gồm cả những sản phẩm và những quy trình nhằm ngăn chặn truy cập trái phép, hiệu chỉnh, xóa thông tin,.Thông tin được coi là an toàn khi thông tin đó không bị làm hỏng hóc, không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không được phép. Bảo mật thông tin là duy trì tính bí mật (Confidentiality), tính toàn vẹn (Integrity)và tính sẵn sàng (Availability)của thông tin. - Tính bảo mật (Confidentially): Đảm bảo chỉ có những cá nhân được cấp quyền mới được phép truy cập vào hệ thống. Đây là yêu cầu quan trọng của bảo mật thông tin bởi vì đối với các tổ chức doanh nghiệp thì thông tin là tài sản có giá trị hàng đầu, việc các cá nhân không được cấp quyền truy nhập trái phép vào hệ thống sẽ làm cho thông tin bị thất thoát đồng nghĩa với việc tài sản của công ty bị xâm hại, có thể dẫn đến phá sản.
- Tính toàn vẹn (Integrity): Đảm bảo rằng thông tin luôn ở trạng thái đúng, chính xác, người sử dụng luôn được làm việc với các thông tin tin cậy chân thực. Chỉ các cá nhân được cấp quyền mới được phép chỉnh sửa thông tin. Kẻ tấn công không chỉ có ý định đánh cắp thông tin mà còn mong muốn làm cho thông tin bị mất giá trị sử dụng bằng cách tạo ra các thông tin sai lệch gây thiệt hại cho công ty. - Tính sẵn sàng (Availabillity): Đảm bảo cho thông tin luôn ở trạng thái sẵn sàng phục vụ, bất cứ lúc nào người sử dụng hợp pháp có nhu cầu đều có thể truy nhập được vào hệ thống.
Có thể nói rằng đây là yêu cầu quan trọng nhất, vì thông tin chỉ hữu ích khi người sử dụng cần là có thể dùng được, nếu 2 yêu cầu trên được đảm bảo nhưng yêu cầu cuối cùng không được đảm bảo thì thông tin cũng trở nên mất giá trị. 6 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.2: Các thuộc tính của thông tin Hệ thống an ninh bảo mật thông tin là hệ thống được xây dựng nhằm bảo vệ thông tin trước các nguy cơ bị xâm hại. Dù thông tin được lưu trữ ở bất kì dạng nào (bản cứng hay bản mềm) cũng đều đảm bảo được ba thuộc tính kể trên Một hệ thống ISMS phải quản lý tất cả các mặt của an ninh thông tin bao gồm con người, các quy trình và các hệ thống công nghệ thông tin. Điều cốt lõi để có hệ thống ISMS thành công là dựa trên đánh giá phản hồi để cung cáp sự cải tiến liên tục và lấy cách tiếp cận có cấu trức để quản lý tài sản và rủi ro.
Hệ thống an ninh thông tin bao gồm tất cả các kiểm soát mà tổ chức đặt trong vị trí thích hợp để đảm bảo an ninh thông tin xuyên suốt 10 lĩnh vực sau: - Chính sách an ninh: Cung cấp các chỉ dẫn quản lý và hộ trợ an ninh thông tin - Tổ chức an ninh: Quản lý an ninh thông tin trong tổ chức, duy trì an ninh của các quá trình hỗ trợ thông tin của tổ chức và những tài sản thông tin được truy cập bởi các thành phần thứ ba và duy trì an ninh thông tin khi trách nhiệm việc xử lý thông tin đã được khoán ngoài cho tổ chức khác - Phân loại và kiểm soát tài sản: Duy trì và đảm bảo các tài sản của tổ chức được bảo vệ ở cấp độ thích hợp - An ninh nhân sự: Để giảm rủi ro về lỗi của con người, sự ăn cắp, gian lận hoặc lạm dụng. Đảm bảo người dung nhận thức các mối đe dọa an ninh thông tin liên quan và được trang bị để hỗ trợ chính sách an ninh của tổ chức trong phạm vi công việc bình thường của họ, giảm thiểu từ những bất thường và sai chức năng an ninh, để kiểm soát cũng như học hỏi từ các bất thường như vậy - An ninh môi trường và vật lý: Ngăn cản sự truy cập vật lý không được phép, phá hủy và can thiệp đến những thông tin của doanh nghiệp. Ngăn cản sự mất mát, 7 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com phá hủy hoặc tấn công những tài sản và cắt đứt các hoạt động kinh doanh. Ngăn cản sự tấn công hoặc ăn cắp thông tin và quy trình hỗ trợ xử lý thông tin - Quản lý tác nghiệp và truyền thông: Đảm bảo tác nghiệp bảo mật và đúng hỗ trợ xử lý thông tin, giảm thiểu rủi ro lỗi của các hệ thống, bảo vệ sự nguyên vẹn của phần mềm và những thông tin từ việc phá hủy của phần mềm dã tâm.
Duy trì sự nguyên vẹn và sẵn sang của quá trình xử lý thông tin và các dịch vụ truyền thông, đảm bảo sự an toàn của thông tin trong mạng và bảo vệ cơ sở hạ tầng hỗ trợ, ngăn cản phá hủy tài sản và làm gián đoạn các hoạt động kinh doanh, ngăn cản sự mất mát, sửa đổi và lạm dụng thông tin trao đổi giữa các tổ chức.