An ninh thông tin

ĐẶT VẤN ĐỀ • Khái niệm “môi trường thông tin” – tập hợp các thông tin, hạ tầng thông tin, các chủ thể tham gia vào quá trình thu thập, thiết lập, phổ biến, sử dụng thông tin và các hệ

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG CAO ĐẲNG KINH TẾ CÔNG NGHỆ

THÀNH PHỐ HỒ CHÍ MINH KHOA CÔNG NGHỆ THÔNG TIN

Bài giảng : AN NINH THÔNG TIN

TP HỒ CHÍ MINH

3/2010

GV: Th.S Lý Thiên Bình

TỔ CHỨC LỚP HỌC

• Phân nhóm 6 người, nhóm trưởng

• Thảo luận trong giờ học (+/-)

• Báo cáo nghiên cứu lấy điểm giữa kỳ

• Nhóm trưởng phân công và kiểm soát công

việc (quyền và trách nhiệm)

• Lớp trưởng giúp giảng viên quản lý kết quả

báo cáo của các nhóm (có thưởng)

• Bảo đảm tính công bằng cho cả lớp

ĐẶT VẤN ĐỀ

• Khái niệm “môi trường thông tin” – tập hợp

các thông tin, hạ tầng thông tin, các chủ thể

tham gia vào quá trình thu thập, thiết lập, phổ

biến, sử dụng thông tin và các hệ thống điều

phối xuất hiện trong quan hệ xã hội

• Xã hội càng phát triển vai trò của “môi trường thông tin” càng lớn

• “Môi trường thông tin” có ảnh hưởng mạnh đến quan hệ xã hội, trạng thái chính trị, kinh tế, quốc phòng và các vấn đề an ninh khác của quốc gia

• Về phạm vi: an ninh thông tin xét theo các

mức cá nhân, tổ chức (doanh nghiệp) và

quốc gia

• “An ninh thông tin” – trạng thái được bảo

vệ của thông tin và vật mang tin (thuộc sở

hữu cá nhân, tổ chức, hệ thống và các

phương pháp bảo đảm sự tiếp nhận, xử lý, lưu trữ,lan truyền và sử dụng thông tin)

trước các nguy cơ khác nhau

• Nguồn gốc các nguy cơ có thể biết trước

(ăn cắp thông tin), có thể không biết trước (không rõ mục tiêu của tội phạm)

hệ thống bảo vệ thông tin

Mục đích bảo vệ thông tin

• Ngăn ngừa mất mát, gây nhiễu, tung tin …

• Ngăn ngừa đe dọa an ninh của cá nhân, xã hội, quốc gia

• Ngăn ngừa những hoạt động trái phép nhằm tiêu

hủy, gây nhiễu, sao chép, gây tắc nghẽn thông tin;

ngăn ngừa các dạng quấy rối vào tài nguyên thông tin và hệ thống thông tin

• Bảo vệ quyền công dân về sự riêng tư và tính bảo

mật của dữ liệu cá nhân trong các hệ thống thông tin

• Bảo vệ bí mật quốc gia, tính bảo mật của thôg tin văn bản tương ứng với quy định của luật pháp

• Bảo đảm quyền lợi của các chủ thể trong quá trình

truyền thông, chế tác, sản xuất và sử dụng hệ thống thông tin

CHƯƠNG I KHÁI NIỆM AN NINH THÔNG TIN

• An ninh – bảo đảm không thể gây hại đến hoạt động và thuộc tính của một đối tượng nào đó, kể cả cấu trúc và thành phần của

nó

• An ninh của một đối tượng có thể phân

chia thành nhiều dạng khác nhau Một

trong những dạng đó là an ninh thông tin

(bảo vệ thông tin và những hoạt động với

thông tin)

VAI TRÒ THÔNG TIN VỚI CÁ NHÂN

• Thông tin đối với con người cũng rất cần thiết như không khí, thức ăn, nước uống

• Thông tin giúp con người nâng cao hiệu

quả công việc

• Thông tin giúp con người phát sinh nhu

cầu xã hội, phát triển cá tính, tự tin …

• Thông tin là phương tiện cơ bản trong giao tiếp, thiếu phương tiện này đa phần các

nhiệm vụ không thể hoàn thành

• Thông tin giúp tồn tại quá trình đạo tạo,

giáo dục để truyền đạt kiến thức, kinh

nghiệm …

• Gây tổn hại đến thông tin hay khả năng

tiếp nhận, suy nghĩ của một người chính là

làm giảm sức sống của người đó

• An ninh thông tin cá nhân là đảm bảo an

toàn thông tin riêng tư, hoạt động xã hội

dựa trên cơ sở suy luận, suy nghĩ từ

thông tin nhận được

VAI TRÒ THÔNG TIN VỚI CÁ NHÂN

• Nhằm nâng cao hiệu quả hoạt động với

thông tin, con người dùng các thiết bị hỗ

trợ:

10

SV nêu

ví dụ?

Thảo luận nhóm

• Chỉ ra 5 phương pháp truyền tin giữa hai người và 5 tác nhân có thể gây tổn hại đến quá trình đó

• Chỉ ra 5 ví dụ về ảnh hưởng của sự thiếu thông tin đến hiệu quả công việc của một người (có thể tính bằng tiền)

ĐỐI TƯỢNG QUẢN TRỊ

VAI TRÒ THÔNG TIN ĐỐI VỚI TỔ CHỨC,

NGUYÊN VẬT LiỆU

KHÁI QUÁT HỆ THỐNG THÔNG TIN DOANH NGHIỆP

13 CÔNG CỤ, NGUYÊN VẬT LiỆU …

CƠ HỘI

ĐE DỌA

Mục tiêu doanh nghiệp là tìm kiếm lợi nhuận

CẤU TRÚC HỆ THỐNG THÔNG TIN DOANH

NGHIỆP THEO QUAN ĐIỂM TỔ CHỨC

HTTT

HTTT NHÂN SỰ

HTTT

HTTT KHO

Hệ thống thông tin doanh nghiệp bao gồm nhiều HTTT con Mỗi HTTT này phục vụ hoạt động của một phòng, ban …và có sự trao đổi thông tin nội bộ và với bên

ngoài

HỆ THỐNG THÔNG TIN QUỐC GIA

• Thông tin cấp quốc gia nhằm phục vụ các

hoạt động mức nhà nước.(an ninh xã hội,

bảo vệ môi trường, giáo dục, sức khỏe

HỆ THỐNG THÔNG TIN QUỐC GIA

16

CÔNG NGHIỆP

DỊCH VỤ

NÔNG NGHIỆP KHAI THÁC

SẢN PHẨM

NGUYÊN VẬT LIỆU

GIAO THÔNG CHÍNH SÁCH KINH TẾ GIÁO DỤC

…

Hệ thống thông tin quốc gia cũng được phân chia theo mục tiêu của các bộ, ngành …

KẾT LUẬN

• Hệ thống thông tin có thể xem xét ở các

mức : cá nhân, doanh nghiệp, nhà nước

• Hệ thống thông tin của một chủ thể đảm

bảo hiệu quả hoạt động của chủ thể đó

• An ninh thông tin của một hệ thống chính

là bảo vệ quyền lợi của hệ thống đó đối

với tài nguyên thông tin, hạ tầng thông tin, quyền về thông tin, các hoạt động về thông tin …

17

CẤU TRÚC KHÁI NIỆM “AN NINH THÔNG TIN”

18

An ninh thông tin – Đảm bảo không bị gây hại đến

các tính chất của đối tượng được bảo vệ, tài nguyên thông tin và hạ tầng thông tin

Đối tượng an ninh

thông tin - các tính

chất đối tượng, tài

nguyên thông tin và

hạ tầng thông tin

Các nguy cơ

về an ninh thông tin

Đảm bảo

an ninh thông tin

Hoạt động Trang thiết bị Nhân lực

- Nên chọn bạn viết chữ đẹp để viết báo cáo

20

CHƯƠNG II THÔNG TIN THUỘC TÍNH CỦA

THÔNG TIN

22

Thông tin (tiếng Latinh là INFORMATIO) – Mô

tả, giải trình, trình bày, giãi bày, bày tỏ, tỏ bày, giãi

tỏ, diễn đạt  mang lại hiểu biết cho con người

2.1 Khái niệm thông tin

Thông tin – để hiểu sâu và tổng quát không thể hiểu theo một quan điểm

Từ THÔNG TIN có thể hiểu khác nhau trong

kỹ thuật, khoa học và trong ngữ cảnh cuộc

sống

Ví dụ 1 : Report (CNTT) = báo cáo

Thế thì báo cáo của bộ trưởng máy tính có

viết được không? Lý do?

Ví dụ 2: máy tính dự báo đồng xu tung lên khi rơi xuống mặt bàn có 2 trường hợp Vậy

trong cuộc sống có trường hợp nào nữa

không? (SV)

Học ít quên ít, học nhiều quên

nhiều ! Vậy cần học bao nhiêu???

ĐỊNH NGHĨA THÔNG TIN

Cùng một bản tin nhưng có thể cung cấp

lượng tin khác nhau cho những người khác nhau …

Có thuốc OMVODICO không em?

Không có anh ơi!

Chỉ có thuốc XERADION

…phụ thuộc vào kinh nghiệm, trình

độ nhận thức, mức độ quan tâm

Thông tin phải có giá trị sử dụng, tức là có NHU

CẦU về nó Nếu không ai cần cả thì đấy là THÔNG TIN VÔ NGHĨA

“Sáng mai mặt trời sẽ mọc”

Thiết bị kỹ thuật CNTT không chứa thông tin,

mà chỉ chứa các ký tự và quy luật ghép nối

để có thể hiển thị thông tin (dữ liệu và thuật toán)

Thông tin có thể tồn tại dưới dạng

-Câu chữ, hình ảnh…

-Tín hiệu ánh sáng, âm thanh…

-Sóng radio

-Mùi vị

Sự vật, quá trình, hiện tượng vật chất và

không vật chất được gọi là đối tượng thông

tin (quan điểm mô tả thuộc tính)

Có thể làm gì với thông tin???

29

Tạo ra Tiếp nhận Kết hợp Lưu trữ

Truyền đi Nhân bản Xử lý Tìm kiếmCảm nhận Chuẩn hóa Phân chia Đo lường

Sử dụng Phân phối Yêu cầu Phá hủy

Ghi nhớ Chuyển đổi Thu lượm v.v.v

Tất cả các thao tác trên được gọi là quá trình

thông tin

THẢO LUẬN NHÓM

30

Hãy đưa ra các ví dụ thực tế tương ứng với các thao tác thông tin Kể ra các lý do có thể làm suy giảm chất lượng thông tin trong từng thao tác, cách phòng chống?

Minh họa :

Thao tác nhân bản

(copy) : Cuốn vở dưới

gầm bàn được copy trái

phép lên tờ giấy trên

mặt bàn trong giờ kiểm

tra

Chất lượng khoai lang phụ thuộc vào các

yếu tố nào? Có đo được không?

31

Khoai có chất lượng, vậy thông tin có không?

Có đánh giá được không?

2.2 Các thuộc tính của thông tin

2.2.1 Tính khách quan của thông tin

Thông tin là sự thể hiện thế giới xung quanh,

mà thế giới này tồn tại không phụ thuộc vào nhận thức và nguyện vọng của con người

Ví dụ: Trên đường

có một ổ gà thì

mưa hay nắng, sang

hay tối nó đều tồn

tại Ai không nhận

thấy mà cứ lao vào

nó sẽ bị thiệt hại

2.2.2 Độ tin cậy của thông tin

Thông tin tin cậy là thông tin phản ánh đúng sự việc và giúp con người ra quyết định đúng

Thông tin khách quan luôn đáng tin cậy

Thông tin chủ quan (do người tạo ra) có thể tin cậy, có thể không đáng tin

Ngoài ra độ tin cậy của thông tin có thể suy

giảm do:

-Chủ động bóp méo (1/4)

-Nhiễu gây thay đổi nội dung (đường truyền)

-…

2.2.3 Mức đầy đủ của thông tin

Thông tin được xem là đầy đủ, nếu như con người có thể hiểu nó để ra quyết định đúng

Đau bụng uống nhân sâm

thì chết

2.2.6 Tính giá trị và không có giá trị của

thông tin

- Giữa hai thuộc tính trên không có ranh

giới vì giá trị thông tin tùy thuộc theo nhu

cầu của từng người cụ thể

-Tính hữu ích của một thông tin tùy thuộc vào nhiệm vụ, mà nếu thiếu thông tin đó

không thể thực hiện nó được

- Đối với phương tiện kỹ thuật thì việc

xem xét tính hữu ích của thông tin là vô

nghĩa, vì máy móc chỉ thực hiện nhiệm vụ

mà con người giao cho nó

2.2.4 Độ chính xác – Thể hiện sai số của sự

mô tả với hiện tượng, sự vật, trạng thái thực tế

Độ chính xác cao thì lượng tin lớn, chi phí tạo

ra, xử lý, truyền đi của thông tin lớn

=> phải xác định sai số cho phép

VD:Trong ngôn ngữ C++, 10 chia 3 =???

Int

Long

Float

Double …

2.2.5 Tính sẵn sàng (tức thời) của thông tin

Đây là đặc tính rất quan trọng, thực tế trong thời đại này

Sẵn sàng – cần là có ngay

Tức thời – Đúng với thời điểm

Thông tin cũ giá trị sử dụng thấp Càng lưu nhiều thông tin cũ càng khó tìm được thông tin cần thiết nhanh nhất

VD:- nhiều quần áo quá, lúc cần bộ đó tìm không kịp

- Nhiều phiên bản thiết kế quá, dễ nhầm lẫn

Tổng kết về thuộc tính thông tin

39

Bất kỳ thông tin nào đều có tính khách quan,

độ tin cậy, đầy đủ, mức dễ hiểu và tính hữu

ích Nếu xem xét dưới góc độ cá nhân (xã hội)

sẽ có thêm các thuộc tính khác nữa:

1.Tính ngữ nghĩa (ý nghĩa)

2 Thể hiện bằng ngôn ngữ khác nhau

3 Tính tăng trưởng (tích lũy nhiều, nhỏ để đưa

ra thông tin khái quát, thông tin mới…)

4 Thông tin càng cũ thì giá trị càng suy giảm

5 Tính logic, tính ngắn gọn, dễ hiển thị, mã

hóa …

Các thuộc tính của thông tin

40

Độ tin cậy Tính đầy đủ Sẵn sàng, tức thời

Vô ích Khó hiểu

THẢO LUẬN NHÓM

41

Hãy đưa ra các ví dụ thực tế trong doanh

nghiệp tương ứng với các thuộc tính thông tin Với mỗi ví dụ đó hãy đưa ra biện pháp nhằm tăng cường hiệu quả sử dụng thông tin

Ví dụ tính khách quan : Giá nguyên vật liệu

tăng không phụ thuộc vào sự tồn tại của

doanh nghiệp Muốn có hiệu quả sản suất

kinh doanh tốt doanh nghiệp phải đầu tư các kênh thông tin hữu dụng Ví dụ Peru mất mùa

cá thì giá bột cá trên thế giới sẽ tăng (báo chí)

2.3 CÁC THUỘC TÍNH CỦA THÔNG TIN

BẢO MẬT

• Xây dựng hệ thống an ninh thông tin trong

doanh nghiệp thường bắt đầu từ việc phân

tích các rủi ro (chiếm nhiều công sức

• Một trong những công đoạn của phân tích

rủi ro chính là kiểm tra, rà soát toàn bộ

các quá trình và hoạt động nhằm tìm ra

các khe hở, các lỗ hổng Đánh giá xác suất bị khai thác và thiệt hại có thể xảy ra

từ đó

43

•Lỗ hổng hệ thống được xem là các sự kiện có thể dẫn đến sự phá hủy một trong những tính chất an ninh của thông tin đang được xử lý:

-Tính sẵn sàng

-Tính toàn vẹn

-Tính bảo mật

(Ví dụ: hư hỏng phương tiện kỹ thuật

hoặc lỗi nhập liệu bằng tay trong máy tính trong trường hợp không có kiểm soát từ

bên ngoài.)

• An ninh thông tin: trạng thái thông tin, các

phương tiện kỹ thuật và công nghệ xử lý

được thể hiện bằng các thuộc tính : bảo

mật, toàn vẹn và sẵn sàng.

• Tính sẵn sàng của thông tin: Đảm bảo

khả năng truy cập tức thời của các chủ

thể có nhu cầu đến thông tin của họ và sự

chuẩn bị của các phương tiện tương

ứng tham gia phục vụ nhu cầu của chủ

thể

46

• Tính toàn vẹn của thông tin: sự mô tả sát

với một trạng thái cố định của sự việc, đảm

bảo chính xác, đầy đủ không phụ thuộc

vào hình thức thể hiện

• Tính bảo mật của thông tin: Cơ quan quản

lý chủ động đưa ra giới hạn quyền truy

cập đối với từng thông tin và đảm bảo hệ

thống không cung cấp thông tin đến

những người không có quyền truy cập

đến thông tin đó

48

PHÂN LOẠI VI PHẠM AN NINH THÔNG TIN

• Lỗ hổng hệ thống dẫn đến sự vi phạm

một trong các thuộc tính của tài nguyên

thông tin (Tính sẵn sàng, toàn vẹn, bảo

mật) Trong thực tế hay xảy ra các đe dọa

đối với hệ thống thông tin tự động hóa như sau:

• - Phá hủy cấu trúc File do thao tác sai với phần mềm và trang thiết bị

• - Phá hủy thông tin do virus

• - Phá hủy thông tin lưu trữ trong vật mang tin

• - Lỗi của hệ thống phần mềm

• - Truy cập trái phép từ ngoài đến các thông tin bảo mật

• - Tiếp cận trái phép với các nhân viên dịch

vụ thông tin (CNTT, dịch vụ thông tin …)

• - Copy trái phép dữ liệu, phần mềm

• - Chiếm hữu và trộm cắp thông tin qua

kênh liên lạc

• - Trộm cắp thiết bị mang tin

• - In và phân phối tài liệu trái phép

• - Vô ý xóa thông tin

• - Sửa đổi thông tin trái phép

• - Tạo thông báo giả trên kênh liên lạc

• - Từ chối tiếp nhận thông tin trên kênh liên lạc

• - Làm giả hoặc thay đổi thiết bị trái phép

• - Tắt nguồn điện

• - Phá hủy thiết bị, phương tiện

• Khi xem xét an ninh của hệ thống thông tin phải xét đến yếu tố phạm vi (môi trường

trong, ngoài), các mối quan hệ giữa các

thành phần (tương tác, trao đổi) Bởi vậy

tính chất “được bảo vệ” trở thành một

trong những thuộc tính quan trọng của hệ thống thông tin

• Được bảo vệ - khả chống lại các tác động

từ bên ngoài để giữ nguyên các thuộc tính

• (tương ứng trong vật lý : độ cứng, độ đàn hồi)

An ninh thông tin

Mức ổn định của phần mềm

Mức ổn định của trang thiết bị

Các thuộc tính cơ bản của thông tin Bảo mật Toàn vẹn Sẵn sàng

• Tính sẵn sàng của thông tin đầu vào bị vi

- Phần mềm xử lý thông tin chỉ chạy trên

máy đơn, không đảm bảo công việc thực thi theo nhóm (modul hóa)

• Tính toàn vẹn của thông tin đầu ra bị vi

phạm khi:

- Nhập liệu bằng tay trên máy tính không có kiểm soát hỗ trợ

- In tài liệu trên máy in dùng chung nhưng

bản in không được đối chiếu với nguồn in

- Truyền dữ liệu trên kênh liên lạc không có thiết bị chuyên dùng để đảm bảo tính toàn vẹn

- Copy tài liệu không đối chứng bản gốc

55

- Lưu trữ tài liệu không có quy ước, quy tắc nhằm kiểm tra tính toàn vẹn

- Mở tài liệu bằng tay trước mặt đối tác

- …

56

• Tính bảo mật của thông tin bị vi phạm khi:

- Truyền và nhận thông tin qua hệ thống

viễn thông và mạng nội bộ không được

bảo vệ

- Nói chuyện qua điện thoại thành phố

- Truyền và nhận Fax trên thiết bị dùng

chung theo kênh điện thoại thành phố

- Nhân bản tài liệu không kiểm tra số lượng trên máy dùng chung

- In nhờ qua máy tính khác trong mạng nội bộ

57

- In thông tin bảo mật trên máy in dùng

chung

- Hư hỏng hệ thống cấp phát và quản lý

quyền truy cập

58

THẢO LUẬN NHÓM

• Doanh nghiệp luôn có nhiều phòng ban

chức năng, mỗi phòng ban có nhiều mối

quan hệ công việc với các đối tác khác

Hãy đưa ra các giải pháp để đảm bảo các mối quan hệ này không bị thất lạc khi có

sự thay đổi về nhân sự ở các phòng ban !

59

2.4 VAI TRÒ THÔNG TIN TRONG HOẠT

ĐỘNG DOANH NGHIỆP

• Xã hội trong thế kỷ 21 được gọi là xã hội thông tin

• Ứng dụng kỹ thuật điện toán và truyền

thông ngày càng phát triển

• Kinh nghiệm, tri thức và các giá trị tinh

thần ngày càng được tích lũy và ứng dụng tốt hơn trong sản xuất và cuộc sống

• Với doanh nghiệp – thông tin trở thành sản

2.1 THÔNG TIN LÀ SẢN PHẨM

• Nhiều nước trên thế giới quy định trong

pháp luật “ tài nguyên thông tin có thể xem

là sản phẩm” (nguyên liệu phục vụ sản

xuất)

61

Khái niệm sản phẩm:

- Khái niệm phức tạp, nhiều hướng để xét

- Có thể xem là tập hợp của nhiều tính chất

- Nhưng cơ bản nhất là những tính chất đáp ứng nhu cầu (có nhu cầu và sẽ thỏa mãn nếu được sở hữu)

62