CHƯƠNG 1: CƠ SỞ LÝ LUẬN VỀ AN TOÀN THÔNG TIN VÀ BẢO MẬT CƠ SỞ DỮ LIỆU 1.1 Một số khái niệm cơ bản 1.1 Khái niệm về dữ liệu, thông tin và hệ thống thông tin Trong lịch sử tồn tại và phát triển của mình, con người thường xuyên cần đến thông tin. Ngày nay, với sự bùng nổ thông tin, thông tin càng trở thành một trong những nhu cầu sống còn của con người và khái niệm "thông tin" đang trở thành khái niệm cơ bản, chung của nhiều khoa học. Để đưa ra được khái niệm về thông tin, trước hết ta cần hiểu thế nào là dữ liệu? Dữ liệu là những sự kiện hoặc những quan sát về hiện tượng vật lý hoặc các giao dịch kinh doanh, dữ liệu chính là các giá trị phản ánh về sự vật, hiện tượng trong thế giới khách quan, bao gồm tập giá trị mà người dùng có thể chưa biết được sự liên hệ giữa các giá trị này (Đàm Gia Mạnh (2017), Giáo trình Hệ thống thông tin quản lý, Nhà xuất bản thống kê, tr. Thông tin là một bộ dữ liệu được tổ chức, doanh nghiệp sử dụng một phương thức nhất định sao cho chúng mang lại một giá trị gia tăng so với giá trị vốn có của bản thân dữ liệu.
Thông tin chính là dữ liệu đã qua xử lí (phân tích, tổng hợp, thống kê) có ý nghĩa thiết thực, phù hợp với mục đích cụ thể của người sử dụng (Đàm Gia Mạnh (2017), Giáo trình Hệ thống thông tin quản lý, Nhà xuất bản thống kê, tr. Hệ thống thông tin là một tập phần cứng, phần mềm, cơ sở dữ liệu, mạng viễn thông, con người và các quy trình thủ tục khác nhằm thu thập, xử lí, lưu trữ và truyền phát thông tin trong một tổ chức, doanh nghiệp. Hệ thống thông tin hỗ trợ việc ra quyết định, phân tích tình hình, lập kế hoạch, phân phối và kiểm soát các hoạt động trong một tổ chức, doanh nghiệp (Đàm Gia Mạnh (2017), Giáo trình Hệ thống thông tin quản lý, Nhà xuất bản Thống kê, tr.2 Khái niệm về an toàn và bảo mật dữ liệu An toàn dữ liệu (Data Security) có thể hiểu là quá trình đảm bảo cho hệ thống tránh khỏi những nguy cơ hỏng hóc hoặc mất mát dữ liệu. Các nguy cơ này có thể ngẫu nhiên (do tai nạn) hoặc có thể có chủ định(bị phá hoại từ bên ngoài).
Việc bảo vệ dữ liệu có thể được thực hiện bằng các thiết bị phần cứng (các hệ thống Backup dữ liệu…) hay các chương trình phần mềm (trình diệt Virus, các chương trình mã hóa…) 1 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com (Đàm Gia Mạnh (2009), Giáo trình An toàn dữ liệu trong thương mại điện tử, Nhà xuất bản Thống kê, tr.20) Bảo mật dữ liệu là một phần không thể thiếu làm cho một hệ thống thông tin trở nên an toàn. HTTT được coi là an toàn khi nó không bị hỏng hóc, thay đổi, sao chép hoặc xóa bỏ bở người không được phép. Một HTTT an toàn thì các sự cố có thể xảy ra không thể làm cho hoạt động chủ yếu của nó ngừng hẳn và chúng sẽ được khắc phục kịp thời mà không gây thiệt hại đến mức độ nguy hiểm cho chủ sở hữu. ATTT là quá trình đảm bảo cho hệ thống dữ liệu tránh khỏi những nguy cơ hỏng hóc hoặc mất mát.
Các nguy cơ tiềm ẩn về khả năng mất an toàn thông tin ngẫu nhiên như thiên tai, hỏng vật lý, mất điện… và các nguy cơ có chủ định như tin tặc, cá nhân bên ngoài, phá hỏng vật lí, can thiệp có chủ ý.2 Một số lí thuyết về đảm bảo an toàn thông tin và bảo mật cơ sở dữ liệu trong doanh nghiệp 1.1 Các yêu cầu của an toàn dữ liệu An toàn dữ liệu là một vấn đề phức tạp, liên quan đến nhiều yêu tố khác nhau. Các yếu tố cơ bản cần giải quyết bao gồm: tính bảo mật, tính toàn vẹn, tính sẵn sàng và tính tin cậy. Tính bảo mật được cho là yêu cầu cơ bản nhất trong việc đảm bảo an toàn dữ liệu, đảm bảo cho dữ liệu của người sử dụng được bảo vệ, không bị mất mát. Nói khác đi là phải đảm bảo được ai là người được phép sử dụng (và sử dụng được) các thông tin.
Thông tin được tính bảo mật khi nó không bị truy nhập, sao chép hay sử dụng trái phép bởi một người không sở hữu. Trên thực tế, thừa rất nhiều thông tin của người sử dụng đều cần phải đạt được độ bảo mật cao chẳng hạn như mã số thẻ tín dụng, số thẻ bảo hiểm xã hội…Vì vậy đây có thể nói là yêu cầu quan trọng nhất đối với tính an toàn của một hệ thống thông tin. Tính toàn vẹn: Trong an toàn dữ liệu, tính toàn vẹn có nghĩa là dữ liệu không bị mất mát, sửa đổi hay xóa bởi những người không sở hữu. Tính toàn vẹn đề cập đến khả năng đảm bảo cho các thông tin không bị thay đổi nội dung bằng bất cứ cách nào bởi người không được phép trong quá trình truyền thông.
Chính sách toàn vẹn dữ liệu phải đảm bảo cho ai là người được phép thay đổi dữ liệu và ai là người không được phép thay đổi dữ liệu. Dữ liệu trên thực tế có thể vi phạm tính toàn vẹn khi một hệ 2 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com thống không đạt độ an toàn cần thiết. Các hành động phá hoại cũng có thế gây ra mất tính toàn vẹn của dữ liệu. Việc đảm bảo tính toàn vẹn của dữ liệu bao gồm: - Đảm bảo sự toàn vẹn dữ liệu đối với dữ liệu gốc.
- Đảm bảo dữ liệu khỏi sự sửa chữa và phá hoại của những người dung không có thẩm quyền. - Bảo vệ dữ liệu tránh khỏi những thay đổi không đúng về mặt ngữ nghĩa hay logic. Tính sẵn sàng: Tuy dữ liệu phải được đảm bảo bí mật và toàn bẹn nhưng đối với người sử dụng , dữ liệu phải luôn trong trạng thái sẵn sàng. Các biện pháp bảo mật làm cho người sử dụng gặp khó khăn hay không thể thao tác được với dữ liệu đều không thể được chấp nhận.
Nói khác đi, các biện pháp đảm bảo an toàn dữ liệu phải đảm bảo được bảo mật và toàn vẹn của dữ liệu đồng thời cũng phải hạn chế tối đa những khó khan gây ra cho người sử dụng. Dữ liệu và tài nguyên của hệ thống phải luôn ở trạng thái sẵn sàng để phục vụ những người dung có thẩm quyền sử dụng một cách thuận lợi. Tính tin cậy: Yêu cầu về tính tin cậy liên quan đến khả năng đảm bảo rằng: ngoài những người có thẩm quyền, không ai có thể xem các thông điệp và truy cập những dữ liệu có giá trị. Mặt khác, nó phải đảm bảo rằng thông tin mà người dùng nhận được là đúng với sự mong muốn của họ, chưa hề bị mất mát hay bị lọt vào tay những người dùng không được phép.
Việc đánh giá độ an toàn của một hệ thống thông tin hay cơ sở dữ liệu thì phairxem xét đến tất cả những yếu tố trên. Nếu thiếu một trong đó thì độ bảo mật của hệ thống là không hoàn thiện.2 Các nguy cơ và nguyên nhân làm mất an toàn hệ thống thông tin 1.1 Nguy cơ Xét theo nguyên nhân, có thể chia nguy cơ mất ATTT thành 2 loại: - Nguy cơ ngẫu nhiên Nguy cơ mất ATTT ngẫu nhiên có thể xuất phát từ các hiện tượng khách quan như thiên tai (lũ lụt, sóng thần, động đất,…) hỏng vật lý, mất điện,… Đây là những 3 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com nguyên nhân khách quan, khó dự đoán trước, khó tránh được nhưng đó lại không phải là nguy cơ chính gây ra việc mất ATTT. - Nguy cơ có chủ đích Cùng với sự phát triển của xã hội, sự bùng nổ CNTT thì nguy cơ mất ATTT cũng ngày càng gia tăng. Nguy cơ mất ATTT ở Việt Nam đang tăng lên khi chúng ta đang đứng thứ 8 trong tổng số 15 nước có nguy cơ mất ATTT cao năm 2018 theo thống kê của trang securelist.com được công bố hồi tháng 3/2018… Theo như thống kê của hãng bảo mật Kaspersky Lab, các tổ chức, doanh nghiệp tại Việt Nam đã phải hứng chịu những cuộc tấn công từ chối dịch vụ (DDoS) bùng nổ trong quý IV năm 2017.
Mức độ gia tăng rất mạnh từ 0,59% (so với toàn cầu) trong quý III năm 2017 lên đến 1,26% trong quý cuối cùng của năm. Qua đó đưa Việt Nam lên vị trí thứ 5 toàn cầu trong danh sách các quốc gia bị tấn công nhiều nhất trong quý 4 năm 2017.1 Biểu đồ sự cố tấn công mạng nhắm vào Việt Nam năm 2017 và hai tháng đầu năm 2018 (Nguồn: Bộ thông tin và truyền thông-VNCERT năm 2018) Thống kê của Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), thuộc Bộ Thông tin và Truyền thông cho thấy, trong hai tháng đầu năm 2018 đã có hơn 1.500 sự cố tấn công mạng nhắm vào Việt Nam. Còn trong năm 2017, VNCERT ghi nhận có 6.400 trường hợp tấn công bằng malware; deface là 4.377 trường hợp và phishing là 2.065 trường hợp. Cùng lúc, với xu thế phát triển rất mạnh của cuộc cách mạng công nghiệp 4.0 dựa trên ba trụ cột chính là kỹ thuật số, công nghệ sinh học, vật lý với phần lõi là trí tuệ nhân tạo, IoT, BigData, máy in 3D, Robot…, việc bùng nổ các 4 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com thiết bị IoT sẽ tiềm ẩn nhiều nguy cơ bị tấn công hoặc bị lợi dụng để tấn công vào các hạ tầng.
Theo đánh giá của các chuyên gia, tội phạm công nghệ cao đang gia tăng với xu hướng có tính quốc tế rõ rệt, việc tấn công cơ sở dữ liệu của các cơ quan nhà nước, E- Banking, các công ty thương mại điện tử liên tục xảy ra. Ngoài ra, số lượng lớn các vụ tấn công gây thiệt hại về kinh tế nhưng rất khó ước tính trở thành mối đe dọa cho sự cạnh tranh, phát triển của nền kinh tế. Trên đây là các nguy cơ đến từ môi trường bên ngoài doanh nghiệp. Trên thực tế, vấn đề ATTT của doanh nghiệp còn luôn phải đối mặt với các nguy cơ xuất phát chính nội tại các doanh nghiệp như: nguy cơ do yếu tố kĩ thuật( thiết bị mạng, máy chủ, HTTT,…), nguy cơ do lập kế hoạch, triển khai, thực thi, vận hành, nguy cơ trong quy trình, chính sách an ninh bảo mật,…, nguy cơ do yếu tố con người ( vận hành, đạo đức nghề nghiệp).
(Đức Thiện (2018), ‘Việt Nam thuộc top 10 quốc gia bị tấn công DDoS nhiều nhất’, Báo tuổi trẻ, truy cập ngày 15 tháng 3 năm 2018, <https://congnghe.