Professional Documents
Culture Documents
At 2
At 2
Trần Thị Kim Chi 1-7 Trần Thị Kim Chi 1-8
An Toàn thông tin là gì? An Toàn thông tin là gì?
(Information Security) (Information Security)
Trần Thị Kim Chi 1-9 Trần Thị Kim Chi 1-10
An Toàn thông tin là gì? Tại sao cần An Toàn thông tin
(Information Security) (Information Security)
• Là hành động ngăn cản, phòng • Thông tin l� một t�i s�n, gi�ng như các t�i s�n quan
ngừa sự sử dụng, truy cập, tiết lộ, trọng khác c�a doanh nghiệp, có giá trị đ�i với tổ chức
chia sẻ, phát tán, ghi lại hoặc phá v� cần được b�o vệ một cách phù hợp (BS ISO
hủy thông tin chưa có sự cho 27002:2005)
phép. → Nếu thông tin của tổ chức lọt vào tay những những người
• Là tập các quy trình và công cụ không có thẩm quyền hoặc không hợp pháp thì dẫn đến
được thiết kế và triển khai để bảo những hậu quả rất rất nghi m trọng
vệ các thông tin nhạy cảm của →Vì thế, bảo vệ thông tin trở thành một y u cầu không thể
doanh nghiệp từ sự truy cập, hiệu thiếu trong mọi hoạt động nói chung và hoạt động điện tử nói
chỉnh, phá hủy không hợp pháp ri ng. An toàn thông tin trong thời đại số là quan trọng hơn
bao giờ hết
Trần Thị Kim Chi 1-11 Trần Thị Kim Chi 1-12
Các nguyên tắc nền tảng của
Đảm bảo an toàn thông tin là gì?
an toàn thông tin (CIA)
• Đ�m b�o ATTT là đảm bảo an toàn kỹ thuật cho hoạt động Các tính chất cần thiết để một
của các cơ sở HTTT, trong đó bao gồm đảm bảo an toàn cho hệ thống đảm bảo an toàn
cả phần cứng và phần mềm hoạt động theo các tiêu chuẩn thông tin
kỹ thuật do nhà nước ban hành; ngăn ngừa khả năng lợi • Tính bảo mật
dụng mạng và các cơ sở HTTT để thực hiện các hành vi trái (Confidentiality),
phép; đảm bảo các tính chất bí mật, toàn vẹn, sẵn sàng của
• Tính toàn vẹn (Integrity)
thông tin trong lưu trữ, xử lý và truyền dẫn trên mạng. Tam giác bảo mật CIA (CIA triad).
v�
• Tính sẵn dùng
(Availability)
• Tính chống thoái thác
(Non-repulation)
Trần Thị Kim Chi 1-13 • Tính xác thực Trần Thị Kim Chi 1-14
Các nguyên tắc nền tảng của Các nguyên tắc nền tảng của
an toàn thông tin an toàn thông tin
Tính bí mật (Confidentiality): Tính toàn vẹn (Integrity):
• Là nguyên tắc đảm bảo kiểm soát truy cập thông tin, bảo vệ • Là sự đảm bảo dữ liệu là đáng tin cậy và chính xác.
dữ liệu/thông tin không bị lộ ra ngoài một cách trái phép. • Thông tin chỉ được phép xóa hoặc sửa bởi những đ�i
• Thông tin chỉ được phép truy cập bởi những đ�i tượng tượng được phép v� ph�i đ�m b�o rằng thông tin vẫn
(người, chương trình máy tính…) được cấp phép. còn chính xác khi được lưu trữ hay truyền đi.
• Ví dụ: • Ví dụ:
• Trong hệ thống quản lý sinh viên, một sinh viên được phép xem • Trong hệ thống quản lý sinh vi n, không cho phép sinh vi n được
thông tin kết quả học tập của mình nhưng không được phép xem phép tự thay đổi thông tin kết quả học tập của mình.
kết quả học tập của sinh viên khác. • Trong hệ thống ngân hàng, không cho phép khách hàng tự thay
• Trong hệ thống ngân hàng, một khách hàng được phép xem thông đối thông tin số dư của tài khoản của mình.
tin số dư tài khoản của mình nhưng không được phép xem thông tin
của khách hàng khác
Trần Thị Kim Chi 1-15 Trần Thị Kim Chi 1-16
Các nguyên tắc nền tảng của Các nguyên tắc nền tảng của
an toàn thông tin an toàn thông tin
Tính toàn vẹn (Integrity): Tính sẵn sàng (Availability):
• Có ba mục đích chính của việc đảm bảo tính toàn vẹn: • Là sự đảm bảo liên tục và mức độ đáp ứng kịp thời của hệ
• Ngăn cản sự làm biến dạng nội dung thông tin của thống khi có yêu cầu truy cập dữ liệu hoặc thao tác từ người
những người sử dụng không được phép. dùng.
• Ngăn cản sự làm biến dạng nội dung thông tin không • Đ�m b�o thông tin/dịch vụ luôn sẵn sàng khi những
được phép hoặc không chủ tâm của những người sử người dùng hoặc ứng dụng được �y quyền yêu cầu
dụng được phép. • Ví dụ:
• Duy trì sự toàn vẹn dữ liệu cả trong nội bộ và bên • Trong hệ thống quản lý sinh viên, cần đảm bảo rằng sinh viên có thể
ngoài. truy vấn thông tin kết quả học tập của mình bất cứ lúc nào.
• Một server chỉ bị ngưng hoạt động hay ngừng cung cấp dịch vụ trong
vòng 5 phút trên một năm thì độ sẵn sàng của nó là 99,999%.
Trần Thị Kim Chi 1-17 Trần Thị Kim Chi 1-18
Các nguyên tắc nền tảng của Các nguyên tắc nền tảng của
an toàn thông tin an toàn thông tin
• Tính chống thoái thác (Non-repudiation): Khả Tính xác thực (Authenticity):
năng ngăn chặn việc từ chối một hành vi đã làm. • Việc xác thực nguồn gốc của thông tin trong hệ
• Ví dụ: Trong hệ thống quản lý sinh viên, có khả năng thống (thuộc sở hữu của đối tượng nào) để đảm
cung cấp bằng chứng để chứng minh một hành vi sinh bảo thông tin đến từ một nguồn đáng tin cậy
viên đã làm, như đăng ký học phần, hủy học phần.
• Ví dụ: Trong hệ thống ngân hàng, có khả năng cung cấp
bằng chứng để chứng minh một hành vi khách hàng đã
thực hiện và người thực hiện đó có hợp pháp không, như
giao dịch thanh toán, giao dịch chuyển khoản....
Trần Thị Kim Chi 1-19 Trần Thị Kim Chi 1-20
Các nguyên tắc nền tảng của Các nguyên tắc nền tảng của
an toàn thông tin an toàn thông tin
Mối tương quan giữa Confidentiality - Mối tương quan giữa Confidentiality - Integrity –
Availability
Integrity – Availability
• Bộ ba C, I, A này là những ti u chí quan trọng trong quá
trình phân tích, dự trù kinh phí, thời gian xây dựng hệ thống
đảm bảo an toàn thông tin. Các ti u chí này có mối tương
X$ = C + I + A quan như sau:
X$=C+I+A
• X$ là kinh phí cho việc xây dựng và phát triển hệ thống cà C,
I, A là thuộc tính của tam giác. Thêo toán học, với mỗi X$
không đổi, việc tăng chỉ số C sẽ làm giảm I và A và ngược lại.
Trần Thị Kim Chi 1-21 Trần Thị Kim Chi 1-22
• Cơ sở hạ tầng mạng: Cơ sở hạ tầng không đồng bộ, • Công nghệ: Chưa chuẩn hóa cho các loại công nghệ, mô
không đảm bảo y u cầu thông tin được truyền trong hệ hình kiến trúc tham chiếu nhằm đảm bảo cho tính tương
thống an toàn và thông suốt. hợp, tính sử dụng lại được, tính mở, an ninh, mở rộng
• Thông tin: Dữ liệu chưa được mô hình hóa và chuẩn hóa thêo phạm vi, tính ri ng tư vào trong HTTT.
thêo ti u chuẩn về mặt tổ chức và mặt kỹ thuật. Yếu tố • Con người: Sự hiểu biết của những người trực tiếp quản
pháp lý chưa được trú trọng trong truyền đưa các dữ lý, vận hành các HTTT, xây dựng và phát triển hệ thống
liệu tr n mạng, nghĩa là các dữ liệu được truyền đi tr n phần mềm, hệ thống thông tin còn chưa đồng đều và
mạng phải đảm bảo tính hợp pháp về mặt tổ chức và mặt chưa thêo quy chuẩn của các cơ quan tổ chức đó.
kỹ thuật.
• Các biện pháp về chính sách v� tổ chức (Policy Các biện pháp về đ�o tạo, tập huấn, nâng cao
& Practices): Đưa ra các chính sách, quy định, nhận thức (Education, training & Awarenness):
phương thức thực thi. • Các biện pháp công nghệ hay các biện pháp về tổ chức
• Thực tế cho thấy, ATTT không chỉ đơn thuần là thích hợp phải dựa tr n các biện pháp đào tạo, tập huấn và
tăng cường nhận thức để có thể triển khai đảm bảo an toàn
vấn đề thuộc phạm trù công nghệ, kỹ thuật. Hệ
thông tin từ nhiều hướng khác nhau.
thống chính sách và kiến trúc tổ chức đóng một vai
• Các nhà nghi n cứu và các kỹ sư cũng cần phải hiểu rõ các
trò hữu hiệu trong việc đảm bảo an toàn thông tin. nguy n lý an toàn hệ thống thông tin, thì mới mong các sản
phẩm và hệ thống do họ làm ra đáp ứng được các nhu cầu
về an toàn thông tin của cuộc sống hiện tại đặt ra.
• Phần cứng
• Mạng
• Cơ sở dữ liệu (CSDL)
• Hệ quản trị CSDL (database management
system - DMBS), các ứng dụng
• Người dùng
• Người lập trình hệ thống
• Người quản trị CSDL
Trần Thị Kim Chi 1-31 Trần Thị Kim Chi 1-32
Trần Thị Kim Chi 1-33 Trần Thị Kim Chi 1-34
ATTT thực hiện 4 chức năng quan trọng cho một tổ chức
• Bảo vệ được các chức năng nhiệm vụ của một tổ chức
• Hoạt động của tổ chức không gián đoạn
• Không mất chi phí để phục hồi hoạt động của tổ chức
• Có được các hoạt động an toàn tr n các ứng dụng của tổ chức
• Hoạt động của tổ chức hiện đại cần có và vận hành các ứng dụng tích hợp
• Bảo vệ được dữ liệu mà tổ chức đã thu thập và sử dụng
• Không có dữ liệu, tổ chưc sẽ mất các hồ sơ giao dịch hoặc khả năng cung
cấp dịch vụ cho khách hàng
• Bảo vệ được tài sản công nghệ của tổ chưc
• Để thực hiện hiệu quả, các tổ chức phải sử dụng các dịch vụ cơ sở hạ tầng
an toàn phù hợp với quy mô và phạm vi của tổ chức. Khi một tổ chức phát
Trần Thị Kim Chi 1-35 triển, nó phải phát triển các dịch vụ
Trần Thị Kim bảo
Chi mật bổ sung. 1-36
Tầm quan trọng an toàn thông tin đối với
xã hội/doanh nghiệp/cá nhân
• Quản lý và bảo mật thông tin nhân sự trong tổ chức • Tin tặc có thể đêm những thông tin như họ t n, địa chỉ nơi ở,
cần được ưu ti n hàng đầu. Nguồn nhân lực chính êmail, số điện thoại… bán lại cho các doanh nghiệp khác sử
dụng với mục đích tiếp thị.
là tài sản quý giá đối với mọi doanh nghiệp. Thông
• Cá nhân bị lộ thông tin có thể nhận hàng tá cuộc gọi, êmail,
tin của nhân vi n về chức vụ phòng ban, lương
tin nhắn quảng cáo mỗi ngày, gây ra nhiều phiền nhiễu
thưởng, nhiệm vụ đảm nhận,… có li n quan mật trong cuộc sống. Thậm chí, kẻ gian có thể lợi dụng những dữ
thiết đến các chiến lược của một doanh nghiệp. liệu thu thập được để lừa đảo.
• Do đó, việc để lọt những thông tin cá nhân của nhân • Các thông tin li n quan đến tài khoản ngân hàng bị rò rỉ có
vi n và dữ liệu li n quan đến quản lý nhân sự cho thể gây thất thoát tài sản của cá nhân của nhân vi n nếu
đối tượng b n ngoài biết được sẽ là một bất lợi vô không có biện pháp xử lý kịp thời. B n cạnh đó, việc thông
tin cá nhân bị tiết lộ cũng gây ra hoang mang, lo lắng khiến
cùng lớn.
nhân vi n mất niềm tin vào doanh nghiệp.
Trần Thị Kim Chi 1-37 Trần Thị Kim Chi 1-38
• Nếu thông tin của nhân vi n rơi vào tay của đối thủ, doanh nghiệp • L n kế hoạch đồng bộ hóa và sao lưu dữ liệu một cách
sẽ đứng trước nguy cơ khủng hoảng nội bộ nghi m trọng. thường xuy n với nền tảng lưu trữ uy tín, nhất là sau khi có
• Những thông tin quan trọng như chức vụ của nhân vi n, các nhiệm sự thay đổi và cập nhật mới nhân sự. Luôn có kịch bản ứng
vụ đã và đang đảm nhận và chế độ lương thưởng,… có thể bị các phó kịp thời khi sự cố xảy ra, tránh mất dữ liệu.
nhà tuyển dụng b n ngoài lợi dụng để chèo kéo nhân vi n với vị trí
tốt hơn, mức lương cao và phúc lợi tốt hơn.
• Thiết lập một hệ thống mạng nội bộ an toàn bằng cách sử
dụng chương trình, phần mềm hỗ trợ tính năng bảo mật cao.
• Doanh nghiệp có thể bị mất đi những nhân vi n chủ lực, tài giỏi.
Đánh mất nhân sự vào tay đối thủ sẽ gây ra sự xáo trộn trong bộ
Nếu được, doanh nghiệp n n có chuy n vi n có kiến thức về
máy tổ chức, ảnh hưởng rất lớn đến các hoạt động và hiệu quả kinh an ninh, bảo mật dữ liệu của doanh nghiệp chịu trách nhiệm
doanh. về giám sát việc thực hiện các biện pháp an ninh, các quy
• Nếu đối thủ nắm trong tay những thông tin về sơ đồ tổ chức thì sẽ trình đảm bảo an toàn dữ liệu.
dễ dàng nắm được quy trình vận hành cũng như những ý định
chiến lược của doanh nghiệp. Từ đó có những hành động gây bất
lợi đến công ty. Trần Thị Kim Chi 1-39 Trần Thị Kim Chi 1-40
• Bảo mật hệ thống thiết bị làm việc bằng cách: Sử dụng phần
mềm mã hóa dữ liệu; Cài đặt Phần mềm Anti-Virus có bản 1. Covid-19 làm gia tăng các sự cố tấn công mạng
quyền và bật đầy đủ tính năng; Luôn cập nhật những phi n bản 2. Tấn công giao dịch ngân hàng gây thiệt hại hàng
hệ điều hành mới nhất.
trăm tỷ đồng
• Xây dựng chính sách bảo mật rõ ràng thêo từng cấp bậc, chức
vụ. 3. Tấn công chuỗi cung ứng trở thành xu hướng mới
• Phân quyền truy cập vào hệ thống dữ liệu: Chỉ Ban lãnh đạo và của tấn công mạng
phòng ban có li n quan mới xêm và thao tác với các dữ liệu li n 4. Năm 2021, an ninh mạng toàn cầu diễn biến phức
quan đến thông tin về nhân sự. tạp thêo đại dịch
• Nâng cao nhận thức của nhân vi n về bảo mật thông tin cá Những nguy cơ mất an toàn thông tin và giải pháp (updatê
nhân cũng như của doanh nghiệp. Có những tài liệu hướng dẫn 2021) (sêcuritybox.vn)
về kỹ thuật cũng như lưu ý, hỗ trợ nhân vi n của mình trong
việc bảo vệ thông dữ liệu. Trần Thị Kim Chi 1-41 Trần Thị Kim Chi 1-42
1. Nhận thức an ninh mạng chưa tốt Một số giải pháp (trình bày trong môn
này)
2. Không phân quyền rõ ràng • Chính sách ATTT
3. Lỗ hổng bảo mật tồn tại tr n các phần mềm • Kiểm soát truy cập
• Mật mã học
4. Lỗ hổng bảo mật trong chính hệ thống
• Duy trì an toàn thông tin
• Tuân thủ các quy định
Những nguy cơ mất an toàn thông tin và giải pháp (updatê pháp luật
2021) (sêcuritybox.vn)
Trần Thị Kim Chi 1-43 Trần Thị Kim Chi 1-44
CÂU HỎI VÀ BÀI TẬP CÂU HỎI VÀ BÀI TẬP
1. Phân biệt dữ liệu (data) và thông tin (information), cho ví Bài tập 1:
dụ từng loại • Liệt kê những thông tin cá nhân nào của bạn cần an toàn, nêu lý do
2. Hệ thống thông tin là gì? Hãy cho ví dụ một hệ thống tại sao (nếu mất an toàn thì hậu quả như thế nào)
thông tin mà bạn biết. Đưa ra dữ liệu/thông tin/chức • Hãy đưa ra những biện pháp an toàn thông tin cho từng thông tin
cá nhân đã liệt kê ở trên
năng nào cần đảm bảo an toàn, nêu lý do
Bài tập 2:
3. Tam giác CIA là gì? Nêu mối tương quan giữa C, I, A
• Đưa ra một doanh nghiệp mà bạn biết (nêu tên, lĩnh vực hoạt động)
4. Trình bày tính xác thực và tính chống thoái thác? Cho ví • Nêu ra một HTTT của DN và mục tiêu của HTTT đó
dụ? • Liệt kê ra những thông tin/dữ liệu của doanh nghiệp đó cần an
5. Trình bày và phân tích các giải pháp bảo đảm ATTT? toàn, nêu lý do tại sao (nếu mất an toàn thì hậu quả như thế nào –
phân tích hậu quả)
6. Trình bày tổng quan về thực trạng ATTT trên thế giới và
tại Việt Nam?
45 An toàn thông tin 46 An toàn thông tin
CÂU HỎI VÀ BÀI TẬP (tiếp) CÂU HỎI VÀ BÀI TẬP (tiếp)
• Công ty VCCloud là một trong nhiều công ty viễn thông, cung cấp các • BẢO HIỂM MANULIFE Là thành vi n của Manulifê Financial, Manulifê
dịch vụ CDN cho các cá nhân và doanh nghiệp tại Việt Nam. Dịch vụ Việt Nam tự hào là doanh nghiệp bảo hiểm nhân thọ nước ngoài đầu
CDN là mạng lưới gồm nhiều máy chủ lưu trữ đặt tại nhiều vị trí địa lý ti n có mặt tại Việt Nam từ năm 1999 và sở hữu tòa nhà trụ sở ri ng có
khác nhau, cùng làm việc chung để phân phối nội dung, truyền tải hình với giá trị đầu tư hơn 10 triệu USD. Với bề dày kinh nghiệm và uy tín
ảnh, CSS, Javascript, Vidêo clip, Rêal-timê mêdia strêaming, Filê toàn cầu, Manulifê đặt mục ti u trở thành công ty bảo hiểm nhân thọ
download đến người dùng cuối. Cơ chế hoạt động của CDN giúp cho chuy n nghiệp nhất tại Việt Nam.
khách hàng truy cập nhanh vào dữ liệu máy chủ wêb gần họ nhất thay Manulifê Việt Nam hiện đang cung cấp một danh mục các sản phẩm đa
vì phải truy cập vào dữ liệu máy chủ wêb tại trung tâm dữ liệu. dạng từ sản phẩm bảo hiểm truyền thống đến sản phẩm bảo hiểm sức
• Hãy n u và giải thích ít nhất 4 tính cần thiết của an toàn HTTT đối với khoẻ, giáo dục, li n kết đầu tư, hưu trí… cho hơn 700.000 khách hàng
công ty/doanh nghiệp được mô tả ở tr n thông qua đội ngũ đại lý hùng hậu và chuy n nghiệp tại 55 văn phòng
tr n 40 tỉnh thành cả nước.
• Hãy n u và giải thích ít nhất 4 tính cần thiết của an toàn HTTT đối với
công ty/doanh nghiệp được mô tả ở tr n
Trần Thị Kim Chi 1-4 Trần Thị Kim Chi 1-5
Một số câu hỏi để xác định các lỗ hổng bảo mật của bạn:
• Là một số lỗ hổng hoặc điểm yếu trong phần cứng, phần • Dữ liệu của bạn có được sao lưu và lưu trữ ở một địa điểm an toàn
mềm, con người, các quy trình, thiết kế, cấu hình…tất cả bên ngoài trang web không?
mọi thứ liên quan đến hệ thống thông tin – HTTT) mà kẻ • Dữ liệu của bạn có được lưu trữ trên đám mây không? Nếu có, làm
thế nào chính xác là nó được bảo vệ khỏi các lỗ hổng trên đám mây?
tấn công có thể sử dụng nó để gây thiệt hại cho tổ chức.
• Bạn có loại bảo mật mạng nào để xác định ai có thể truy cập, sửa đổi
• Ví dụ, khi một thành viên trong công ty từ chức và bạn
hoặc xóa thông tin từ bên trong tổ chức của bạn?
quên vô hiệu hóa quyền truy cập của họ, điều này khiến • Loại bảo vệ chống virus nào đang được sử dụng? Giấy phép có hiện
doanh nghiệp của bạn bị cả hai mối đe dọa cố ý và hành không? Nó có chạy thường xuyên khi cần thiết không?
không chủ ý. • Bạn có kế hoạch khôi phục dữ liệu trong trường hợp lỗ hổng bị khai
thác không?
1-8 1-9
• C� 3 h�nh th c ch y u đe d a đ i v i h th ng:
✓ Phá hoạ i: kẻ thu phá hỏ ng thiet bị phan cứng hoạ c phan
mem hoạ t đọ ng tren hẹ thong.
✓ Sửa đoi: Tai sả n củ a hẹ thong bị sửa đoi trá i phé p. Đieu
nay thương lam cho hẹ thong khong lam đú ng chức nang
củ a nó . Chang hạ n như thay đoi mạ t khau, quyen ngƣơi
dung trong hẹ thong lam họ khong the truy cạ p vao hẹ
thong đe lam viẹ c.
✓ Can thiẹ p: Tai sả n bị truy cạ p bởi nhưng ngươi khong có
tham quyen. Cá c truyen thong thực hiẹ n tren hẹ thong bị
ngan chạ n, sửa đoi.
1-10
Các m�i đe do� đ�i v i m�t h� th�ng v�
các bi�n pháp ngăn ch�n Các m�i đe dọa thường g�p
• C�c đe d a đ i v i m t hệ th ng thông tin c� thể đ n từ
ba lo�i đ i tư ng như sau:
1) Lỗi và thiếu sót của người dùng (Errors and
✓ C�c đ i tư ng từ ngay bên trong hệ th ng (insider): Omissions)
đây la những ngươi có quyen truy cạ p hợp phá p đoi với 2) Gian lận và đánh cắp thông tin (Fraud and
hệ thong. Theft)
✓ Những đ i tư ng bên ngo�i hệ th ng (hacker,
cracker): thương cá c đoi tượng nay tan công qua 3) Kẻ tấn công nguy hiểm (Malicious Hackers)
những đương ket noi với hệ thong như Internet chang 4) Mã độc (Malicious Code)
hạ n.
✓ C�c ph�n mềm (chang hạ n như spyware, adware …) 5) Tấn công từ chối dịch vụ (Denial-of-Service
chạ y trên hệ thong. Attacks)
6) Social Engineering
Trần Thị Kim Chi 1-13
Các m�i đe dọa thường g�p Các m�i đe dọa thường g�p
1. Lỗi thi u s�t do người dùng 2. Gian lận và đ�nh cắp thông tin
• Mối đe dọa của hệ thống thông tin xuất phát từ • Mối đe dọa này do những kẻ tấn công từ bên trong
những lỗi bảo mật, lỗi thao tác của những người hệ thống (inner attackers), gồm những người dùng
dùng trong hệ thống. giả mạo hoặc những người dùng có ý đồ xấu.
• Là mối đe dọa hàng đầu đối với một hệ thống thông • Những người tấn công từ bên trong luôn rất nguy
tin hiểm.
• Giải pháp: • Giải pháp:
• Huấn luyện người dùng thực hiện đúng các thao tác, hạn • Định ra những chính sách bảo mật tốt: có chứng cứ xác
chế sai sót định được kẻ tấn công từ bên trong
• Nguyên tắc: quyền tối thiểu (least privilege)
• Thường xuyên back-up hệ thống
Trần Thị Kim Chi 1-14 Trần Thị Kim Chi 1-15
Các m�i đe dọa thường g�p Các m�i đe dọa thường g�p
3. Kẻ tấn công nguy hiểm 4. Mã ĐỘC
• Kẻ tấn công nguy hiểm xâm nhập vào hệ thống để • Mã độc là một đoạn mã không mong muốn được
tìm kiếm thông tin, phá hủy dữ liệu, phá hủy hệ nhúng trong một chương trình nhằm thực hiện các
thống. truy cập trái phép vào hệ thống máy tính để thu thập
• 5 bước để tấn công vào một hệ thống: các thông tin nhạy cảm, làm gián đoạn hoạt động
• Thăm dò (Reconnaisance) hoặc gây hại cho hệ thống máy tính.
• Quét lỗ hổng để tấn công (Scanning) • Bao gồm: virus, worm, trojan horses, spyware,
• Cố gắng lấy quyền truy cập (Gaining access) adware, backdoor, …
• Duy trì kết nối (Maintaining access)
• Xóa dấu vết (Cover his track)
Trần Thị Kim Chi 1-16 Trần Thị Kim Chi 1-17
Các m�i đe dọa thường g�p Các m�i đe dọa thường g�p
5. Tấn công từ ch i dịch vụ 6. Social Engineering
• Là kiểu tấn công ngăn không cho những người • Social engineering sử dụng sự ảnh hưởng và sự
dùng khác truy cập vào hệ thống thuyết phục để đánh lừa người dùng nhằm khai
• Làm cho hệ thống bị quá tải và không thể hoạt thác các thông tin có lợi cho cuộc tấn công hoặc
động thuyết phục nạn nhân thực hiện một hành động
• DoS: tấn công “one-to-one” nào đó.
• DDoS(distributed denial of service)
• Sử dụng các Zombie host
• Tấn công “many-to-one”
Trần Thị Kim Chi 1-18 Trần Thị Kim Chi 1-19
Các m�i đe dọa thường g�p Các m�i đe dọa thường g�p
C� hai lo�i Social Engineering Có hai lo�i Social Engineering
• Social engineering dựa trên con người liên quan đến • Social engineering dựa trên m�y tính: liên quan đến
sự tương tác giữa con người với con người để thu được việc sử dụng các phần mềm để cố gắng thu thập thông tin
thông tin mong muốn cần thiết
• Nhân viên gián điệp/giả mạo • Phising: lừa đảo qua thư điện tử
• Giả làm người cần được giúp đỡ • Vishing: lừa đảo qua điện thoại
• Giả làm người quan trọng • Pop-up Windows
• Giả làm người được ủy quyền • File đính kèm trong email
• Giả làm nhân viên hỗ trợ kỹ thuật • Các website giả mạo
• Các phần mềm giả mạo
Trần Thị Kim Chi 1-20 Trần Thị Kim Chi 1-21
• Định nghĩa chung: Tấn công (attack) là hoạt động • Tin tặc (Hacker): Là một người hay nhóm người
có chủ ý của kẻ phạm tội lợi dụng các thương tổn sử dụng sự hiểu biết của mình về cấu trúc máy
của hệ thong thông tin và tiến hành phá vỡ tính tính, hệ điều hành, mạng, các ứng dụng trong hệ
sẵn sàng, tính toàn vẹn và tính bí mật của hệ thong thống... để tìm lỗi, lỗ hỗng, điểm yếu và tìm cách
thông tin. xâm nhập, thay đổi hay ch nh sửa với các mục đích
• Tấn công HTTT là các tác động hoặc là trình tự liên khác nhau (tốt hoặc xấu)
kết giữa các tác động với nhau để phá huỷ, dẫn đến
việc hiện thực hoá các nguy cơ bằng cách lợi dụng
đặc tính dễ bị tổn thương của các hệ thống thông
tin này.
22 An toàn thông tin 23 An toàn thông tin
• Hacker mũ trắng la nhưng ngươi ma hanh đọ ng
tan cong, xam nhạ p va thay đoi, chỉ̉nh sửa hẹ thong
phan cứng, phan mem với mụ c đỉ́ch tỉm ra cá c loi,
lo hong, điem yeu bả o mạ t va đưa ra giả i phá p
ngăn chặn và bảo vệ hệ thống chẳng hạn như
những nhà phân tích An ninh mạng.
• Hacker mũ đen la nhưng ngươi ma hanh đọ ng tan
cong, xam nhạ p, thay đoi, chỉ̉ nh sửa hẹ thong phan
cứng, phan mem với mụ c đỉ́ch phá hoại, hoặc vi
phạm pháp luật
24 An toàn thông tin 25 An toàn thông tin
• Tấn công ngăn chặn thông tin (interruption) • Tấn công sửa đổi thông tin (Modification)
• Tài nguyên thông tin bị phá hủy, không sẵn sàng phục • Kẻ tấn công truy nhập, ch nh sửa thông tin trên mạng.
vụ hoặc không sử dụng được. Đây là hình thức tấn công • Đây là hình thức tấn công vào tính toàn vẹn của thông tin.
làm mất khả năng sẵn sàng phục vụ của thông tin. • Chèn thông tin giả m�o (Fabrication)
• Kẻ tấn công chèn các thông tin và dữ liệu giả vào hệ thống.
• Tấn công chặn bắt thông tin (interception)
• Đây là hình thức tấn công vào tính xác thực của thông tin.
• Kẻ tấn công có thể truy nhập tới tài nguyên thông tin.
Đây là hình thức tấn công vào tính bí mật của thông tin.
• Brute Force Attack (tấn công dò mật khẩu) • Dictionary Attack (tấn công từ điển)
• Kẻ tấn công sử dụng một công cụ mạnh mẽ, có khả • Là một biến thể của Brute Force Attack
năng thử nhiều username và password cùng lúc • Tuy nhiên kẻ tấn công nhắm vào các từ có nghĩa
(từ dễ đến khó) cho tới khi đăng nhập thành công. thay vì thử tất cả mọi khả năng.
• VD: đặt mật khẩu đơn giản như 123456, • Nhiều người dùng có xu hướng đặt mật khẩu là
password123, daylamatkhau,… rất dễ bị tấn công những từ đơn giản và có ngữ nghĩa. VD:
brute force. motconvit, iloveyou,… Đây là lý do khiến
Dictionary Attack có t lệ thành công cao hơn.
Tấn công Password Tấn công Password
• Key Logger Attack (tấn công Key Logger) • Ngoài ra, kẻ tấn công có thể tấn công gián
• Kẻ tấn công lưu lại lịch sử các phím mà nạn nhân gõ, bao tiếp thông qua việc:
gồm cả ID, password hay nhiều nội dung khác.
• Kẻ tấn công cần phải sử dụng một phần mềm độc hại
• Lừa đảo người dùng tự cung cấp mật khẩu (Tấn
(malware) đính kèm vào máy tính (hoặc điện thoại) nạn công giả mạo Phishing);
nhân, phần mềm đó sẽ ghi lại tất cả những ký tự mà nạn • Tiêm nhiễm Malware
nhân nhập vào máy tính và gửi về cho kẻ tấn công. Phần
mềm này được gọi là Key Logger.
• Tấn công vào cơ sở dữ liệu – kho lưu trữ mật
khẩu người dùng của các dịch vụ…
• Nguy hiểm hơn 2 cách tấn công trên, do việc đặt mật khẩu
phức tạp không giúp ích gì trong trường hợp này.
• Tấn công DOS thường ch được tấn công từ một địa Distributed Denial Of Service (DDoS)
điểm duy nhất, tức là nó sẽ xuất phát tại một điểm • Là một dạng tấn công nhằm gây cạn kiện tài nguyên hệ thống
và ch có một dải IP thôi. Bạn có thể phát hiện và máy chủ và làm ngập lưu lượng băng thông Internet, khiến truy
cập từ người dùng tới máy chủ bị ngắt quãng, truy cập chập
ngăn chặn được. chờn, thậm chí không thể truy cập được internet, làm tê liệt hệ
thống hoặc thậm chí là cả một hệ thống mạng nội bộ.
• Tấn công DDOS mạnh hơn DOS rất nhiều, điểm mạnh của hình
thức này đó là nó được phân tán từ nhiều dải IP khác nhau, chính
vì thế người bị tấn công sẽ rất khó phát hiện để ngăn chặn được.
• Hacker không ch sử dụng máy tính của họ để thực hiện một cuộc
tấn công vào một trang web hay một hệ thống mạng nào đó, mà
họ còn lợi dùng hàng triệu máy tính khác để thực hiện việc này.
46 An toàn thông tin 47 An toàn thông tin
Tấn công Mail Bombs Tấn công Mail Bombs
• Là một dạng của DoS • Tấn công Mailbomb thường tấn công các máy chủ
• Một số lượng lớn email được gửi đến một tài email.
khoản với mục đích chính là hạ gục tài khoản email • Trong kiểu tấn công này thay vì các gói, các email
mục tiêu (gián đoạn trong quá trình nhận/chuyển quá lớn hoặc email rác được lọc (ngăn chặn) thì lại
và xử lý các thư hợp pháp) liên tục được gửi đến một máy chủ email mục tiêu.
• Điều này thường làm sập máy chủ email do tải đột
ngột và khiến chúng vô dụng cho đến khi được sửa
chữa.
• Đối tượng Sniffing là: • Sniffing thường được sử dụng vào 2 mục đích khác biệt nhau.
• Tích cực:
• Password (từ Email, Web, SMB, FTP, SQL hoặc • Chuyển đổi dữ liệu trên đường truyền để quản trị viên có thể đọc và hiểu ý
Telnet) nghĩa của những dữ liệu đó.
• Bằng cách nhìn vào lưu lượng của hệ thống cho phép quản trị viên có thể phân
• Các thông tin về thẻ tín dụng tích lỗi đang mắc phải trên hệ thống lưu lượng của mạng.
• Một số Sniffing tân tiến có thêm tính năng tự động phát hiện và cảnh báo các
• Văn bản của Email cuộc tấn công đang được thực hiện vào hệ thống mạng mà nó đang hoạt động.
• Các tập tin đang di động trên mạng (tập tin (Intrusion Detecte Service)
• Ghi lại thông tin về các gói dữ liệu, các phiên truyền...Giúp các quản trị viên có
Email, FTP hoặc SMB) thể xem lại thông tin về các gói dữ liệu, các phiên truyền sau sự cố...Phục vụ cho
công việc phân tích, khắc phục các sự cố trên hệ thống mạng.
• Tiêu cực:
• Nghe lén thông tin trên mạng để lấy các thông tin quan trọng.
56 An toàn thông tin 57 An toàn thông tin
• Kh�i ni m: Mã độc là những chương trình khi • Là hình thức tấn công, nhằm truy nhập bất
được khởi chạy có khả năng phá hủy hệ thống, bao hợp pháp vào các HTTT.
gồm Virus, sâu (Worm) và Trojan, ...
• Kiểu tấn công này được thực hiện với mục
• Tấn công bằng mã độc có thể làm cho hệ thống
hoặc các thành phần của hệ thống hoạt động sai đích đánh cắp dữ liệu hoặc thực hiện phá
lệch hoặc có thể bị phá hủy. hủy bên trong HTTT.
C�c kiểu tấn công Phishing C�c kiểu tấn công Phishing
• Phone phishing • Lừa đảo qua m�ng xã h i:
• “vice phishing” hoặc “vishing” • Hacker thực hiện bằng cách gửi đường dẫn qua tin
nhắn, trạng thái Facebook hoặc các mạng xã hội khác.
• Các phisher sẽ tự xưng là đại điện của ngân Các tin nhắn này có thể là thông báo trúng thưởng các
hàng, sở cảnh sát, hoặc thậm chí sở thuế vụ tại hiện vật có giá trị như xe SH, xe ôtô, điện thoại iPhone,…
địa phương bạn sống. Họ sẽ đe dọa và yêu cầu và hướng dẫn người dùng truy cập vào một đường dẫn
bạn cung cấp thông tin tài khoản hoặc nộp phạt để hoàn tất việc nhận thưởng.
qua chuyển khoản hoặc bằng thẻ trả trước để • Ngoài việc lừa nạn nhân nộp lệ phí nhận thưởng, tin tặc
tránh bị theo dõi có thể chiếm quyền điều khiển tài khoản, khai thác
thông tin danh sách bạn bè sử dụng cho các mục đích
66
xấu như67
lừa mượn tiền, mua thẻ cào điện thoại,…
An toàn thông tin An toàn thông tin
C�ch phòng tr�nh tấn công Phishing Watering Hole
• Không mở email từ người lạ • Hacker tấn công có chủ đích vào các TC/DN thông qua việc
• Không nhấp vào các liên kết đáng ngờ trong email lừa các thành viên truy cập vào các trang web chứa mã độc.
• Nếu nghi ngờ một trang web trong có vẻ hợp pháp, bạn hãy nhập • Tin tặc thường nhắm đến các trang web có nhiều người truy
địa ch trang web hợp pháp trên trình duyệt web theo cách thủ cập, web “đen” hoặc tạo ra các trang web riêng để lừa người
công dùng, trong đó cố ý chèn vào website các mã khai thác liên
• Kiểm tra xem các website có cùng các giao thức hỗ trợ bảo mật quan đến các lỗ hổng trình duyệt.
không • Nếu truy cập vào website, các mã độc này sẽ được thực thi và
• Nếu nhận một email không hợp pháp, hãy lấy các thông tin trong lây nhiễm vào máy tính của người dùng.
email đó để kiểm tra xem có cuộc tấn công lừa đảo nào thực hiện
bằng phương pháp tương tự không
• Sử dụng phần mềm bảo mật chống phần mền độc hại đáng tin cậy
68 An toàn thông tin 69 An toàn thông tin
3. Phát hiện nhanh các lỗ hổng bảo mật 4. Tấn công bất đối xứng và tấn công diện rộng
• Thông qua các lỗ hổng bảo mật của hệ thống, phần mềm kẻ
tấn công khai thác các lỗ hổng này để thực hiện các cuộc tấn
• Tấn công bất đối xứng xảy ra khi bên tấn công
công. mạnh hơn nhiều so với đối tượng bị tấn công.
• Hàng năm, nhiều lỗ hổng bảo mật được phát hiện và công • Tấn công diện rộng thực hiện khi kẻ tấn công tạo
bố, tuy nhiên điều này cũng gây khó khăn cho các nhà quản ra một mạng lưới kết hợp các hoạt động tấn công.
trị hệ thống để luôn cập nhật kịp thời các bản vá. Đây cũng
chính là điểm yếu mà kẻ tấn công tận dụng để thực hiện các
hành vi tấn công, xâm nhập bất hợp pháp.
Mã độc và các phòng chống mã độc Mã độc và các phòng chống mã độc
M t s lo�i mã đ c
• Trojan: Trojan la loạ i ma đọ c an trong cá c chương trỉnh hợp phá p, khi ta
Phân lo�i v� đặc tính c a kỉ́ch hoạ t nó hoạ c tự đọ ng “nam vung” trong má y tỉ́nh sau đó kỉ́ch hoạ t
mã đ c Viruse
nham mụ c đỉ́ch lay thong tin củ a ngươi dung như tai khoản cá nhân (email,
s username, password, số tài khoản …), xoá file, làm đổ vỡ các chương trình
• Tuỳ thuộc vào cơ chế, hình Spam Worm
thông thường, ngăn chặn người dùng kết nối internet…
thức lây nhiễm và phương s • Worm: Giống trojan về hành vi phá hoại, tuy nhiên nó có thể tự nhân bản
để thực hiện lây nhiễm qua nhiều máy tính.
pháp phá hoại mà người
• Spyware: là phần mềm cài đặt trên máy tính người dùng nhằm thu thập
ta phân biệt mã Root
kits
Malwa
re
Trojan các thông tin người dùng một cách bí mật, không được sự cho phép của
độc thành nhiều loại khác người dùng.
nhau: virus, trojan, • Adware: phần mềm quảng cáo, hỗ trợ quảng cáo, là các phần mềm tự
Adwar Spywa động tải, pop up, hiển thị hình ảnh và các thông tin quảng cáo để ép người
backdoor, adware, e
Rains
re
dùng đọc, xem các thông tin quảng cáo. Adware không có tính phá hoại
spyware… omwa
re
nhưng nó làm ảnh hưởng tới hiệu năng của thiết bị và gây khó chịu cho
người dùng.
1-82 1-83
Mã độc và các phòng chống mã độc Mã độc và các phòng chống mã độc
Mã độc và các phòng chống mã độc Mã độc và các phòng chống mã độc
1-86 1-87
Mã độc và các phòng chống mã độc Mã độc và các phòng chống mã độc
1-98 1-99
CÂU HỎI VÀ BÀI TẬP (tiếp) Câu hỏi & b�i tập
1. Phân biệt và trình bày mối tương quan mối đe dọa – lỗ 1. Tấn công mật khẩu (password) là gì? Trình bày các
hổng – rủi ro. Cho ví dụ kiểu tấn công mật khẩu. Một người quản trị viên một
2. Trình bày các loại mã độc (malware). Sự khác biệt giữa hệ thống thông tin có thể làm gì để chống lại tấn công
worm và virus là gì? Trojan horse có chứa đựng virus mật khẩu?
hoặc worm không? 2. Tấn công từ chối dịch vụ (denial of service) là gì? Cho ví
3. Tại sao tính đa hình của các mã độc lại gây ra mối quan dụ minh họa thực tế một hệ thống thông tin bị tấn công
tâm lớn hơn mã độc hại truyền thống? Nó ảnh hưởng đến từ chối dịch vụ.
việc phát hiện/nhận dạng mã độc như thế nào? 3. Phân biệt giữa tấn công từ chối dịch vụ (DoS) và tấn
4. Trình bày các loại mã độc hiện nay mà bạn biết công từ chối dịch vụ phân tán (DDoS). Loại nào nguy
hiểm hơn? Tại sao?
Câu hỏi & b�i tập CÂU HỎI VÀ BÀI TẬP (tiếp)
• Website BẢO HIỂM MANULIFE của Manulife Financial cung cấp các
4. Tại sao tính đa hình của các mã độc lại gây ra mối quan dịch vụ xem danh mục các sản phẩm đa dạng từ sản phẩm bảo hiểm
tâm lớn hơn mã độc hại truyền thống? Nó ảnh hưởng truyền thống đến sản phẩm bảo hiểm sức khoẻ, giáo dục, liên kết đầu
đến việc phát hiện/nhận dạng mã độc như thế nào? tư, hưu trí… cho hơn 700.000 khách hàng thông qua đội ngũ đại lý
hùng hậu và chuyên nghiệp tại 55 văn phòng trên 40 t nh thành cả
5. Để một cuộc tấn công sniffer thành công, kẻ tấn công nước. Khách hàng có thể chọn lựa, đặt câu hỏi, cần tư vấn hay mua gói
phải làm gì? Làm thế nào kẻ tấn công có thể truy cập bảo hiểm trực tuyến trên Website. Xem thông tin và quyền lợi bảo
được vào một hệ thống thông tin để thám thính? hiểm, xem hợp đồng bảo hiểm đã mua. Ngoài ra Website còn giúp cho
6. Phương pháp nào để kẻ tấn công social engineering công ty có thể quản lý toàn bộ các hoạt động của công ty như quản lý
khách hang, nhân viên, hợp đồng bảo hiểm,…
thực hiện thu tập thông tin tài khoản đăng nhập và mật
khẩu của người dùng? Phương pháp này sẽ khác biệt
• Hãy nhận dạng và giải thích được ít nhất 3 mối đe dọa ảnh hưởng đến
như thế nào nếu như mục tiêu nhắm đến là một quản an toàn đến các dịch vụ mà Website cung cấp.
trị viên và một nhân viên nhập dữ liệu?
Nguyễn Thị Hạnh
103 An toàn thông tin
CÂU HỎI VÀ BÀI TẬP (tiếp)
1) Trình bày ít nhất 5 phương thức tấn công mà T�nh hu ng 1:
website của nhóm có thể gặp phải. Bạn là một nhân viên thu ngân phí bảo hiểm của công ty
bảo hiểm ANZ. Bạn được cấp một máy tính có kết nối
2) Trình bày giải pháp cụ thể cho mỗi cách tấn công
internet và phần mềm để thực hiện công việc hàng ngày
trên và giải thích lý do anh/chị lựa chọn giải pháp của mình. Do ít khách hàng nên bạn cũng khá nhàn rỗi.
đó. Những lúc nhàn rỗi, bạn hay dùng máy tính làm việc lên
3) Trình bày các mối đe dọa thường gặp đến một hệ internet để tải game, nhạc, phim về để giải trí. Các website
thống thông tin. Các rủi ro có thể xảy ra và biện bạn vào hầu như là các website không an toàn. Bạn hãy:
pháp phòng ngừa. • Ch ra 2 mối đe dọa mà bạn có thể gặp phải trong tình
huống trên
• Nêu ra được lý do tại sao có những mối đe dọa đó
• Phân tích
105
hậu quả nếu các mối đe dọa đó thật sự xảy ra
1-104 An toàn thông tin
Văn bản quy phạm pháp luật Mục đích của văn bản quy phạm pháp luật
˗ Văn bản quy phạm pháp luật hay còn gọi là Văn bản pháp ˗ Ban hành văn bản quy phạm pháp luật nhằm điều tiết những
quy là một hình thức pháp luật thành văn (Văn bản pháp) được vấn đề thực tiễn.
thể hiện qua các văn bản chứa được các quy phạm pháp ▪ Xã hội ngày càng phát triển đa dạng, đa chiều với những mối quan hệ
luật do cơ quan hoặc cá nhân có thẩm quyền ban hành để điều phức tạp, nhiều vấn đề liên quan trực tiếp đến sự ổn định và phát triển
chỉnh các quan hệ xã hội. kinh tế – xã hội đang đặt ra cho Nhà nước những vấn đề thực tiễn cần
phải giải quyết trong quá trình quản lý, điều hành.
˗ Văn bản quy phạm pháp luật của Hội đồng nhân dân, Uỷ ban
nhân dân. Bao gồm:
▪ Hội đồng nhân dân: Nghị quyết.
▪ Ủy ban nhân dân: Quyết định.
Mục đích của văn bản quy phạm pháp luật Mục đích của văn bản quy phạm pháp luật
˗ Văn bản quy phạm pháp luật nhằm thể chế hóa và bảo đảm ˗ Ban hành Văn bản quy phạm pháp luật nhằm tạo ra/phân
thực hiện các chính sách. bổ/phát huy các nguồn lực nhằm phát triển kinh tế.
▪ Pháp luật là biểu hiện hoạt động của các chính sách. ▪ Pháp luật có thể tạo điều kiện để tăng việc làm và tăng thu nhập.
▪ Pháp luật được ban hành có thể đưa ra các biện pháp gián tiếp, thông ▪ Pháp luật tạo điều kiện cho các chủ sở hữu tiếp cận với các công nghệ
qua việc tạo ra hành lang pháp lý mà trong phạm vi đó, từng cá nhân thông tin và thị trường, với các kỹ năng về tín dụng và quản lý, qua đó
đóng vai trò là động lực. giúp họ tăng năng suất lao động và tăng thu nhập (đặc biệt là các vùng
▪ Luật pháp có thể đem lại công bằng xã hội, giảm đói nghèo, tạo ra sâu vùng xa)
động lực cho xã hội phát triển (bền vững). Bằng các văn bản quy phạm ˗ Ban hành văn bản quy phạm pháp luật góp phần nhằm ổn định
pháp luật, chính quyền địa phương đưa ra các biện pháp thu hút đầu trật tự xã hội, tạo cơ hội quản lý tốt và phát triển.
tư, khuyến khích sự phát triển của các doanh nghiệp, các cơ chế thực
thi hiệu quả. ˗ Văn bản quy phạm pháp luật làm thay đổi các hành vi xử sự
không mong muốn và thiết lập các hành vi xử sự phù hợp.
Điều 16. Truyền đưa thông tin số Điều 21. Thu thập, xử lý và sử dụng thông tin cá nhân trên môi trường
4. Tổ chức, cá nhân truyền đưa thông tin số của tổ chức, cá nhân khác không phải chịu mạng
trách nhiệm về nội dung thông tin đó, trừ trường hợp thực hiện một trong các hành vi sau 1. Tổ chức, cá nhân thu thập, xử lý và sử dụng thông tin cá nhân của người khác trên môi
đây: trường mạng phải được người đó đồng ý, trừ trường hợp pháp luật có quy định khác
c) Lựa chọn và sửa đổi nội dung thông tin được truyền đưa.
2. Luật CNTT 2. Luật CNTT
Bài tập: Tìm hiểu một số điều khoản luật Bài tập: Tìm hiểu một số điều khoản luật
Bài 6a: Tìm hiểu điều 21, khoản 2, mục a Bài 7: Tìm hiểu điều 69, khoản 2
Bài 6b: Tìm hiểu điều 21, khoản 2, mục b
Bài 6c: Tìm hiểu điều 21, khoản 2, mục c Điều 69. Bảo vệ quyền sở hữu trí tuệ trong lĩnh vực công nghệ thông
tin
Điều 21. Thu thập, xử lý và sử dụng thông tin cá nhân trên môi trường mạng 2. Người sử dụng hợp pháp phần mềm được bảo hộ có quyền sao chép phần mềm đó để
2. Tổ chức, cá nhân thu thập, xử lý và sử dụng thông tin cá nhân của người khác có trách nhiệm lưu trữ dự phòng và thay thế phần mềm bị phá hỏng mà không phải xin phép, không phải trả
sau đây: tiền bản quyền.:
a) Thông báo cho người đó biết về hình thức, phạm vi, địa điểm và mục đích của việc thu thập,
xử lý và sử dụng thông tin cá nhân của người đó;
b) Sử dụng đúng mục đích thông tin cá nhân thu thập được và chỉ lưu trữ những thông tin đó
trong một khoảng thời gian nhất định theo quy định của pháp luật hoặc theo thoả thuận giữa hai
bên;
c) Tiến hành các biện pháp quản lý, kỹ thuật cần thiết để bảo đảm thông tin cá nhân không bị
mất, đánh cắp, tiết lộ, thay đổi hoặc phá huỷ;
Nguyễn Thị Hạnh
3.1 Nghị Định về chữ ký số và chứng thư số 3.1 Nghị Định về chữ ký số và chứng thư số
˗ Số: 26/2007/NĐ-CP, Thông qua ngày 16/5/2013 Điều 3. Giải thích từ ngữ
˗ Nghị định này quy định chi tiết về chữ ký số và chứng thư số; 1. "Chứng thư số" là một dạng chứng thư điện tử do tổ chức cung cấp
việc quản lý, cung cấp và sử dụng dịch vụ chứng thực chữ dịch vụ chứng thực chữ ký số cấp.
ký số. 2. "Chứng thư số nước ngoài" là chứng thư số do tổ chức cung cấp
dịch vụ chứng thực chữ ký số nước ngoài cấp.
˗ http://vanban.chinhphu.vn/portal/page/portal/chinhphu/het 3. “Chứng thư số có hiệu lực” là chứng thư số chưa hết hạn, không bị
hongvanban?class_id=1&_page=1&mode=detail&documen tạm dừng hoặc bị thu hồi.
t_id=20537
3.1 Nghị Định về chữ ký số và chứng thư số 3.1 Nghị Định về chữ ký số và chứng thư số
Điều 3. Giải thích từ ngữ Điều 3. Giải thích từ ngữ
4. "Chữ ký số" là một dạng chữ ký điện tử được tạo ra bằng sự biến đổi 6. “Dịch vụ chứng thực chữ ký số” là một loại hình dịch vụ chứng thực
một thông điệp dữ liệu sử dụng hệ thống mật mã không đối xứng theo đó chữ ký điện tử, do tổ chức cung cấp dịch vụ chứng thực chữ ký số cấp.
người có được thông điệp dữ liệu ban đầu và khoá công khai của người Dịch vụ chứng thực chữ ký số bao gồm:
ký a) Tạo cặp khóa bao gồm khóa công khai và khóa bí mật cho thuê bao;
5. “Chữ ký số nước ngoài” là chữ ký số do thuê bao sử dụng chứng b) Cấp, gia hạn, tạm dừng, phục hồi và thu hồi chứng thư số của thuê
thư số nước ngoài tạo ra. bao;
c) Duy trì trực tuyến cơ sở dữ liệu về chứng thư số;
d) Những dịch vụ khác có liên quan theo quy định.
3.1 Nghị Định về chữ ký số và chứng thư số 3.1 Nghị Định về chữ ký số và chứng thư số
Bài tập: Tìm hiểu một số điều khoản luật
Điều 3. Giải thích từ ngữ
Bài 1: Tìm hiểu điều 9
8. “Khoá” là một chuỗi các số nhị phân (0 và 1) dùng trong các hệ thống
mật mã.
Điều 9. Điều kiện đảm bảo an toàn cho chữ ký số
9. “Khóa bí mật” là một khóa trong cặp khóa thuộc hệ thống mật mã Chữ ký số được xem là chữ ký điện tử an toàn khi đáp ứng các điều kiện sau:
không đối xứng, được dùng để tạo chữ ký số. 1. Chữ ký số được tạo ra trong thời gian chứng thư số có hiệu lực và kiểm tra được bằng khoá
10. “Khóa công khai” là một khóa trong cặp khóa thuộc hệ thống mật công khai ghi trên chứng thư số có hiệu lực đó.
mã không đối xứng, được sử dụng để kiểm tra chữ ký số được tạo bởi 2. Chữ ký số được tạo ra bằng việc sử dụng khoá bí mật tương ứng với khoá công khai ghi trên
khoá bí mật tương ứng trong cặp khoá. chứng thư số do tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia, tổ chức cung cấp
dịch vụ chứng thực chữ ký số công cộng, tổ chức cung cấp dịch vụ chứng thực chữ ký số
chuyên dùng được cấp giấy chứng nhận đủ điều kiện đảm bảo an toàn cho chữ ký số hoặc tổ
chức cung cấp dịch vụ chứng thực chữ ký số nước ngoài được công nhận tại Việt Nam cấp.
3. Khóa bí mật chỉ thuộc sự kiểm soát của người ký tại thời điểm ký.
4. Khóa bí mật và nội dung thông điệp dữ liệu chỉ gắn duy nhất với người ký khi người đó ký số
thông điệp dữ liệu
3.1 Nghị Định về chữ ký số và chứng thư số 3.2 NĐ về giao dịch điện tử trong ngân hàng
Bài tập: Tìm hiểu một số điều khoản luật
˗ Số: 35/2007/NĐ-CP, thông qua ngày 08/03/2007
Bài 2: Tìm hiểu điều 10
Nghị định quy định chi tiết thi hành Luật Giao dịch điện tử về
Điều 10. Nội dung của chứng thư số giao dịch điện tử trong hoạt động ngân hàng
bao gồm các nội dung sau: ˗ http://vanban.chinhphu.vn/portal/page/portal/chinhphu/het
1. Tên của tổ chức cung cấp dịch vụ chứng thực chữ ký số.
2. Tên của thuê bao.
hongvanban?class_id=1&mode=detail&document_id=2100
3. Số hiệu của chứng thư số. 0
4. Thời hạn có hiệu lực của chứng thư số. ˗ Nghị định này áp dụng đối với các cơ quan, tổ chức, cá nhân
5. Khoá công khai của thuê bao.
6. Chữ ký số của tổ chức cung cấp dịch vụ chứng thực chữ ký số. lựa chọn sử dụng hoặc cung cấp dịch vụ giao dịch điện tử
7. Các hạn chế về mục đích, phạm vi sử dụng của chứng thư số. trong hoạt động ngân hàng.
8. Các hạn chế về trách nhiệm pháp lý của tổ chức cung cấp dịch vụ chứng thực chữ ký số.
9. Các nội dung cần thiết khác theo quy định của Bộ Bưu chính, Viễn thông.
3.2 NĐ về giao dịch điện tử trong ngân hàng 3.2 NĐ về giao dịch điện tử trong ngân hàng
Bài tập: Tìm hiểu một số điều khoản luật Bài tập: Tìm hiểu một số điều khoản luật
Bài 1: Tìm hiểu điều 8 Bài 2: Tìm hiểu điều 19
Điều 8. Nội dung của chứng từ điện tử Điều 19. Hình thức bảo quản, lưu trữ chứng từ điện tử
1. Các nội dung chủ yếu của chứng từ điện tử trong hoạt động ngân hàng: 1. Chứng từ điện tử được bảo quản, lưu trữ bằng phương tiện điện tử.
a) Tên và số hiệu của chứng từ; 2. Cơ quan, tổ chức, cá nhân được quyền lựa chọn và áp dụng hình thức bảo quản, lưu trữ
b) Ngày, tháng, năm lập chứng từ; chứng từ điện tử phù hợp với đặc thù hoạt động và khả năng ứng dụng công nghệ của mình.
c) Tên, địa chỉ của tổ chức hoặc cá nhân lập chứng từ; 3. Trường hợp cần thiết có thể chuyển đổi hình thức bảo quản, lưu trữ bằng phương tiện điện
d) Tên, địa chỉ của tổ chức hoặc cá nhân nhận chứng từ; tử sang lưu trữ bằng giấy..
đ) Nội dung của nghiệp vụ phát sinh;
e) Chữ ký, họ và tên của người lập và những người có liên quan đến chứng từ theo quy định
của pháp luật.
3.2 NĐ về giao dịch điện tử trong ngân hàng 3.3 Nghị định về Thương mại điện tử
Bài tập: Tìm hiểu một số điều khoản luật
˗ Số: 52/2013/NĐ-CP, thông qua ngày 16/05/2013
Bài 3: Tìm hiểu điều 20
˗ Nghị định này quy định về việc phát triển, ứng dụng và quản
Điều 20. Yêu cầu về bảo quản, lưu trữ chứng từ điện tử lý hoạt động thương mại điện tử
Lưu trữ chứng từ điện tử phải đảm bảo:
1. Tính an toàn bảo mật, toàn vẹn, đầy đủ, không bị thay đổi, sai lệch trong suốt thời gian lưu
˗ http://vanban.chinhphu.vn/portal/page/portal/chinhphu/het
trữ. hongvanban?class_id=1&mode=detail&document_id=1674
2. Lưu trữ đúng và đủ thời hạn đối với từng loại chứng từ theo các quy định của pháp luật. 57
3. In được ra giấy hoặc tra cứu được khi có yêu cầu.
3.3 Nghị định về Thương mại điện tử 3.3 Nghị định về Thương mại điện tử
Bài tập: Tìm hiểu một số điều khoản luật
˗ Nghị định này áp dụng đối với các thương nhân, tổ chức, cá
Bài 1: Tìm hiểu điều 27
nhân tham gia hoạt động thương mại điện tử trên lãnh thổ Việt
Nam, bao gồm: Điều 27. Trách nhiệm của thương nhân, tổ chức, cá nhân sở hữu website
a) Thương nhân, tổ chức, cá nhân Việt Nam; thương mại điện tử bán hàng
1. Thông báo với Bộ Công Thương về việc thiết lập website thương mại điện tử bán hàng theo
b) Cá nhân nước ngoài cư trú tại Việt Nam; quy định tại mục 1 Chương IV Nghị định này
c) Thương nhân, tổ chức nước ngoài có sự hiện diện tại Việt 7. Thực hiện đầy đủ nghĩa vụ thuế theo uy định của pháp luật
Nam thông qua hoạt động đầu tư, lập chi nhánh, văn phòng đại
diện, hoặc thiết lập website dưới tên miền Việt Nam.
3.3 Nghị định về Thương mại điện tử 3.3 Nghị định về Thương mại điện tử
Bài tập: Tìm hiểu một số điều khoản luật Bài tập: Tìm hiểu một số điều khoản luật
Bài 2: Tìm hiểu điều 28 Bài 3: Tìm hiểu điều 31
Điều 28. Cung cấp thông tin trên website thương mại điện tử bán hàng Điều 31. Thông tin về giá cả
1. Website thương mại điện tử ban hàng phải cung cấp đầy đủ thông tin về người sở hữu 1. Thông tin về giá hàng hóa hoặc dịch vụ, nếu có, phải thể hiện rõ giá đó bao bồm ay chưa
website, hàng hóa, dịch vụ và các điều khoản của hợp đồng mua an áp dụng cho hàng bao gồm những chi phí liê quan đến viiệc mua hàng hóa hoặc dịch vụ như thuế, phí đóng
hóa, dịch vụ được giới thiệu trên website theo quy định từ điều 29 đến Điều 34 Nghị định gói, phí vận chuyển và các chi phí phát sinh khác
này
2. Những thông tin này phải đảm bảo các yêu cầu sau:
a) Rõ ràng, chính xác, dễ tìm và dẽ hiểu
3.3 Nghị định về Thương mại điện tử Tình hình vi phạm trong hoạt động TMĐT
Bài tập: Tìm hiểu một số điều khoản luật
˗ Hiện nay, tình hình tội phạm sử dụng công nghệ cao xâm phạm
Bài 4: Tìm hiểu điều 33
an ninh, an toàn mạng Internet đang có nhiều diễn biến phức
Điều 33. THông tin về vận chuyển và giao nhận tạp với nhiều thủ đoạn tinh vi hơn.
1. Thương nhân, tổ chức, cá nhân phải công bố những thông tin sau về điều kiện vận ▪ Làm giả website, giả mạo thông tin khuyến mại dưới nhiều hình thức
chuyển và giao nhận áp dụng cho hàng hóa hoặc dịch vụ giới thiệu trên wesite: của nhà mạng viễn thông để dụ dỗ, lôi kéo người sử dụng nạp thẻ
a) Các phương thức giao hàng hoặc cung ứng dịch vụ nhằm chiếm đoạt tài sản.
b) Thời hạn ước tính cho việc giao hàng hoặc cung ứng dịch vụ, nếu có
c) Các giới hạn về địa lý cho việc giao hàng hoặc cung ứng dịch vụ, nếu có ▪ Tạo ra các diễn dàn thu hút người tham gia rồi phát tán các nội dung
lừa đảo, nhắn tin thông báo trúng thưởng sau đó yêu cầu lệ phí nhận
thưởng hoặc chiếm quyền sử dụng cá tài khoản trên mạng xã hội
Facebook. Tạo lập tài khoản có giao diện giống tài khoản người
thân của người bị hại để lừa đảo chiếm đoạt.
Tình hình vi phạm trong hoạt động TMĐT Câu hỏi thảo luận
▪ Sử dụng mạng Internet để đăng tin cho thuê nhà đất ảo, yêu cầu đặt ˗ Một website TMĐT cung cấp dịch vụ thanh toán bằng thẻ thanh
cọc tiền hay giả mạng người nước ngoài để kết bạn, gửi quà sau đó toán như sau:
giả làm nhân viên hải quan yêu cầu nôp phí; lập tài khoản email giống
hệt email đối tác kinh doanh đề nghị chuyển tiền theo hợp đồng kinh ˗ Website hiển thị Form yêu cầu khách hàng nhập thông tin thẻ
doanh nhưng thay đổi tài khoản thụ hưởng và chiếm đoạt. thanh toán. Thông tin thanh toán của khách hàng được lưu vào
cơ sở dữ liệu, sau đó chuyển cho nhà cung cấp dịch vụ thanh
toán để xử lý.
1) Với cách làm trên, website có thể gặp phải những vấn đề an
ninh gì?
2) Hãy đề xuất giải pháp cho mỗi vấn đề trên và giải thích lý do
chọn giải pháp đó.
Câu hỏi thảo luận 4. Luật sở hữu trí tuệ Việt Nam
˗ Một website cung cấp dịch vụ giải trí miễn phí cho người dùng. ˗ Luật sở hữu trí tuệ Việt Nam
Người dùng muốn truy cập vào các dịch vụ của website phải ˗ Được Quốc hội Việt Nam thông qua ngày 29/11/2005 và có
đăng ký tài khoản. Khi đăng ký tài khoản, người dùng phải hiệu lực vào ngày 1/7/ 2006
cung cấp thông tin cá nhân như họ tên, địa chỉ nhà, email, số ˗ Là luật quy định về quyền tác giả, quyền liên quan đến
điện thoại…. Website không thông báo cho người dùng biết quyền tác giả, quyền sở hữu công nghiệp, quyền đối với
thông tin cá nhân của họ được dùng để làm gì. Website này giống cây trồng và việc bảo hộ các quyền đó.
thu thập thông tin người dùng để bán cho các nhà quảng cáo.
a) Hãy cho biết hành vi của website trên có vi phạm pháp luật
không? Nếu có, hãy cho biết hành vi trên vi phạm những điều
khoản nào của những luật nào?
b) Trình bày nội dung điều khoản này? Nếu vi phạm sẽ bị xử lý
như thế nào?
4. Luật sở hữu trí tuệ Việt Nam 4. Luật sở hữu trí tuệ Việt Nam
˗ Luật này áp dụng đối với tổ chức, cá nhân Việt Nam; tổ chức, Đối tượng quyền sở hữu trí tuệ (Điều 3)
cá nhân nước ngoài đáp ứng các điều kiện quy định tại Luật 1. Đối tượng quyền tác giả bao gồm tác phẩm văn học, nghệ
này và điều ước quốc tế mà Cộng hoà xã hội chủ nghĩa Việt thuật, khoa học; đối tượng quyền liên quan đến quyền tác giả bao
Nam là thành viên. gồm cuộc biểu diễn, bản ghi âm, ghi hình, chương trình phát
˗ http://moj.gov.vn/vbpq/lists/vn%20bn%20php%20lut/view_ sóng, tín hiệu vệ tinh mang chương trình được mã hoá.
detail.aspx?itemid=16766 2. Đối tượng quyền sở hữu công nghiệp bao gồm sáng chế, kiểu
dáng công nghiệp, thiết kế bố trí mạch tích hợp bán dẫn, bí mật
kinh doanh, nhãn hiệu, tên thương mại và chỉ dẫn địa lý.
3. Đối tượng quyền đối với giống cây trồng là giống cây trồng và
vật liệu nhân giống.
4. Luật sở hữu trí tuệ Việt Nam 4. Luật sở hữu trí tuệ Việt Nam
Các loại hình tác phẩm được bảo hộ quyền tác giả (Điều 14) Các loại hình tác phẩm được bảo hộ quyền tác giả (Điều 14)
1. Tác phẩm văn học, nghệ thuật và khoa học được bảo hộ bao gồm: 1. Tác phẩm văn học, nghệ thuật và khoa học được bảo hộ bao gồm:
a) Tác phẩm văn học, khoa học, sách giáo khoa, giáo trình và tác phẩm h) Tác phẩm nhiếp ảnh;
khác được thể hiện dưới dạng chữ viết hoặc ký tự khác; i) Tác phẩm kiến trúc;
b) Bài giảng, bài phát biểu và bài nói khác; k) Bản họa đồ, sơ đồ, bản đồ, bản vẽ liên quan đến địa hình, công trình
c) Tác phẩm báo chí; khoa học;
d) Tác phẩm âm nhạc; l) Tác phẩm văn học, nghệ thuật dân gian;
đ) Tác phẩm sân khấu; m) Chương trình máy tính, sưu tập dữ liệu.
e) Tác phẩm điện ảnh và tác phẩm được tạo ra theo phương pháp tương
tự (sau đây gọi chung là tác phẩm điện ảnh);
g) Tác phẩm tạo hình, mỹ thuật ứng dụng;
4. Luật sở hữu trí tuệ Việt Nam 4. Luật sở hữu trí tuệ Việt Nam
Tìm hiểu một số điều khoản luật Tìm hiểu một số điều khoản luật
˗ Ví dụ 1: Tìm hiểu điều 22, khoản 1 ˗ Bài tập 1: Tìm hiểu điều 22, khoản 2
Điều 22: Quyền tác giả đối với chương trình máy tính, sưu tập dữ Điều 22: Quyền tác giả đối với chương trình máy tính, sưu tập dữ
liệu liệu
1. Chương trình máy tính là tập hợp các chỉ dẫn được thể hiện dưới dạng các lệnh, 1. Sưu tập dữ liệu là tập hợp có tính sáng tạo thể hiện ở sự tuyển chọn, sắp xếp các
các mã, lược đồ hoặc bất kỳ dạng nào khác, khi gắn vào một phương tiện mà máy tư liệu dưới dạng điện tử hoặc dạng khác.
tính đọc được, có khả năng làm cho máy tính thực hiện được một công việc hoặc Việc bảo hộ quyền tác giả đối với sưu tập dữ liệu không bao hàm chính các tư liệu đó,
đạt được một kết quả cụ thể. không gây phương hại đến quyền tác giả của chính tư liệu đó.
Chương trình máy tính được bảo hộ như tác phẩm văn học, dù được thể hiện
dưới dạng mã nguồn hay mã máy.
4. Luật sở hữu trí tuệ Việt Nam 4. Luật sở hữu trí tuệ Việt Nam
Tìm hiểu một số điều khoản luật Tình hình vi phạm SHTT ở VN
˗ Bài tập 2: Tìm hiểu điều 28, khoản 2 ˗ Hiện nay, tình trạng vi phạm SHTT ở nước ta vẫn đang ở mức
báo động.
Điều 28. Hành vi xâm phạm quyền tác giả
3. Công bố, phân phối tác phẩm mà không được phép của tác giả. ˗ Với sự phát triển của khoa học công nghệ, đặc biệt là CNTT,
việc sao chép, quảng bá nội dung thông tin dưới các dạng thức
như văn bản, hình ảnh, âm thanh… ngày càng trở nên dễ
dàng, tồn tại sự vi phạm lớn đối với lĩnh vực phần mềm hay
bản quyền trong văn học nghệ thuật.
4. Luật sở hữu trí tuệ Việt Nam 4. Luật sở hữu trí tuệ Việt Nam
Tình hình vi phạm SHTT ở VN Khuyến cáo từ BSA
Tỷ lệ vi phạm bản quyền PM máy tính ˗ “Chơi với lửa” khi sử dụng phần mềm không bản quyền.
˗ VN năm 2015 là 78%, trong khi tỷ lệ
này của toàn thế giới chỉ là 39%. VN
˗ Các cuộc tấn công mạng và việc sử dụng phần mềm không
năm 2017, giảm 4% so với 2015. bản quyền có mối liên hệ chặt chẽ với nhau. Phần mềm crack
và luôn đi kèm rủi ro ẩn chứa các mã độc, có nguy cơ phá
hỏng hệ thống máy tính, đe dọa dữ liệu lưu trên các ổ cứng.
˗ DN có thể giảm thiểu nguy cơ an ninh mạng từ phần mềm
không bản quyền bằng cách bảo đảm mua phần mềm từ các
nguồn hợp pháp và có chương trình/cách thức quản lý tài
Khảo sát do Liên minh phần mềm BSA (2018) sản phần mềm nội bộ.
5.1 Luật an toàn thông tin mạng 5.1 Luật an toàn thông tin mạng
Sự cần thiết Luật an toàn thông tin mạng Sự cần thiết Luật an toàn thông tin mạng
˗ Sự phát triển của mạng xã hội góp phần quan trọng phát triển ˗ Các thiết bị kết nối internet ngày càng phổ biến không chỉ
kinh tế - xã hội, song cũng tạo môi trường thuận lợi cho các mang lại những lợi ích to lớn cho cuộc sống con người, phát
hoạt động tác động, chuyển hóa chính trị, khủng bố. triển kinh tế - xã hội, bảo đảm quốc phòng - an ninh mà còn có
˗ Sự phát triển của trí tuệ nhân tạo đã và đang tạo ra những thể bị sử dụng để tiến hành các cuộc tấn công mạng quy mô
thành tựu khoa học công nghệ vượt trội, đóng vai trò ngày lớn.
càng quan trọng trong nhiều lĩnh vực của đời sống xã hội ˗ Các cuộc tấn công mạng có chủ đích không chỉ có thể phá hoại
nhưng cũng được dự báo sẽ gây nên “thảm họa” nếu không các mục tiêu, công trình quan trọng về an ninh quốc gia mà còn
được kiểm soát chặt chẽ chiếm đoạt thông tin, tài liệu bí mật, chiếm đoạt để sử dụng các
hệ thống dữ liệu lớn, dữ liệu nhanh phục vụ các ý đồ chính trị
và hoạt động phạm tội.
5.1 Luật an toàn thông tin mạng 5.1 Luật an toàn thông tin mạng
Mục tiêu luật ATTTM Mục tiêu luật ATTTM
˗ Mức quốc gia: ˗ Mức cá nhân, doanh nghiệp:
▪ Giải quyết các yêu cầu về ATTTM quốc gia; ▪ Bảo vệ quyền và lợi ích hợp pháp của tổ chức, cá nhân tham gia hoạt
▪ Hoàn thiện cơ sở pháp lý về ATTT theo hướng áp dụng các quy định động ATTTM;
pháp luật đồng bộ, khả thi trong thực tiễn thi hành và phát huy các ▪ Đẩy mạnh công tác giám sát, phòng, chống nguy cơ mất ATTTM, đảm
nguồn lực của đất nước để bảo đảm ATTTM; bảo hiệu quả công tác thực thi quản lý nhà nước trong lĩnh vực
▪ Phát triển lĩnh vực ATTTM đáp ứng yêu cầu phát triển kinh tế - xã hội ATTTM;
và bảo đảm quốc phòng, an ninh. ▪ Mở rộng hợp tác quốc tế về ATTTM trên cơ sở tôn trọng độc lập, chủ
quyền, bình đẳng, cùng có lợi, phù hợp với luật pháp Việt Nam và điều
ước quốc tế mà Việt Nam tham gia ký kết.
5.1 Luật an toàn thông tin mạng 5.1 Luật an toàn thông tin mạng
Tìm hiểu một số điều khoản luật Tìm hiểu một số điều khoản luật
˗ Bài tập 1: Tìm hiểu Chương 1, điều 4 ˗ Bài tập 2: Ch1 - Điều 7. Các hành vi bị nghiêm cấm
Điều 4: Nguyên tắc bảo đảm ATTTM 1. Ngăn chặn việc truyền tải thông tin trên mạng, can thiệp, truy nhập,
1. Cơ quan, tổ chức, cá nhân có trách nhiệm bảo đảm an toàn thông gây nguy hại, xóa, thay đổi, sao chép và làm sai lệch thông tin trên
tin mạng. Hoạt động an toàn thông tin mạng của cơ quan, tổ chức, mạng trái pháp luật.
cá nhân phải đúng quy định của pháp luật, bảo đảm quốc phòng, an 2. Gây ảnh hưởng, cản trở trái pháp luật tới hoạt động bình thường
ninh quốc gia, bí mật nhà nước, giữ vững ổn định chính trị, trật tự, của hệ thống thông tin hoặc tới khả năng truy nhập hệ thống thông
an toàn xã hội và thúc đẩy phát triển kinh tế - xã hội. tin của người sử dụng.
2. Tổ chức, cá nhân không được xâm phạm an toàn thông tin mạng 3. Tấn công, vô hiệu hóa trái pháp luật làm mất tác dụng của biện
của tổ chức, cá nhân khác. pháp bảo vệ an toàn thông tin mạng của hệ thống thông tin; tấn
4. Hoạt động an toàn thông tin mạng phải được thực hiện thường công, chiếm quyền điều khiển, phá hoại hệ thống thông tin.
xuyên, liên tục, kịp thời và hiệu quả. 4. Phát tán thư rác, phần mềm độc hại, thiết lập hệ thống thông tin giả
mạo, lừa đảo.
5.1 Luật an toàn thông tin mạng 5.1 Luật an toàn thông tin mạng
Tìm hiểu một số điều khoản luật Tìm hiểu một số điều khoản luật
˗ Bài tập 3: Ch1 - Điều 7. Các hành vi bị nghiêm cấm ˗ Bài tập 4: Ch2 - Điều 10. Quản lý gửi thông tin
5. Thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá 1. Việc gửi thông tin trên mạng phải bảo đảm các y/cầu sau đây:
nhân của người khác; lợi dụng sơ hở, điểm yếu của hệ thống thông tin a) Không giả mạo nguồn gốc gửi thông tin;
để thu thập, khai thác thông tin cá nhân. b) Tuân thủ quy định của Luật này và quy định khác của pháp luật có
6. Xâm nhập trái pháp luật bí mật mật mã và thông tin đã mã hóa hợp liên quan.
pháp của cơ quan, tổ chức, cá nhân; tiết lộ thông tin về sản phẩm mật 2. Tổ chức, cá nhân không được gửi thông tin mang tính thương mại
mã dân sự, thông tin về khách hàng sử dụng hợp pháp sản phẩm mật vào địa chỉ điện tử của người tiếp nhận khi chưa được người tiếp nhận
mã dân sự; sử dụng, kinh doanh các sản phẩm mật mã dân sự không đồng ý hoặc khi người tiếp nhận đã từ chối, trừ trường hợp người tiếp
rõ nguồn gốc. nhận có nghĩa vụ phải tiếp nhận thông tin theo quy định của pháp luật.
5.1 Luật an toàn thông tin mạng 5.1 Luật an toàn thông tin mạng
Tìm hiểu một số điều khoản luật Tìm hiểu một số điều khoản luật
˗ Bài tập 5: Ch2 - Điều 10. Quản lý gửi thông tin ˗ Bài tập 6: Ch2 - Điều 11. Phòng ngừa, phát hiện, ngăn chặn và
xử lý phần mềm độc hại
3. DN viễn thông, DN cung cấp dịch vụ ứng dụng viễn thông và DN
cung cấp dịch vụ CNTT gửi thông tin có trách nhiệm sau đây: 2. Chủ quản hệ thống thông tin quan trọng quốc gia triển khai hệ thống
a) Tuân thủ quy định của pháp luật về lưu trữ thông tin, bảo vệ thông kỹ thuật nghiệp vụ nhằm phòng ngừa, phát hiện, ngăn chặn và xử lý kịp
tin cá nhân, thông tin riêng của tổ chức, cá nhân; thời phần mềm độc hại.
b) Áp dụng biện pháp ngăn chặn, xử lý khi nhận được thông báo của tổ 3. DN cung cấp dịch vụ thư điện tử, truyền đưa, lưu trữ thông tin phải có
chức, cá nhân về việc gửi thông tin vi phạm quy định của pháp luật; hệ thống lọc phần mềm độc hại trong quá trình gửi, nhận, lưu trữ thông
c) Có phương thức để người tiếp nhận thông tin có khả năng từ chối tin trên hệ thống của mình và báo cáo cơ quan nhà nước có thẩm quyền
việc tiếp nhận thông tin; theo quy định của pháp luật.
d) Cung cấp điều kiện kỹ thuật và nghiệp vụ cần thiết để cơ quan nhà
nước có thẩm quyền thực hiện nhiệm vụ quản lý, bảo đảm an toàn
thông tin mạng khi có yêu cầu.
5.1 Luật an toàn thông tin mạng 5.1 Luật an toàn thông tin mạng
Tìm hiểu một số điều khoản luật Tìm hiểu một số điều khoản luật
˗ Bài tập 7: Ch2 - Điều 16. Nguyên tắc bảo vệ thông tin cá nhân ˗ Bài tập 8: Ch2 - Điều 17. Thu thập và sử dụng thông tin cá
trên mạng nhân
1. Cá nhân tự bảo vệ thông tin cá nhân của mình và tuân thủ quy định 1. Tổ chức, cá nhân xử lý thông tin cá nhân có trách nhiệm:
của pháp luật về cung cấp thông tin cá nhân khi sử dụng dịch vụ trên a) Tiến hành thu thập thông tin cá nhân sau khi có sự đồng ý của chủ
mạng. thể thông tin cá nhân về phạm vi, mục đích của việc thu thập và sử
2. Cơ quan, tổ chức, cá nhân xử lý thông tin cá nhân có trách nhiệm dụng thông tin đó;
bảo đảm an toàn thông tin mạng đối với thông tin do mình xử lý. b) Chỉ sử dụng thông tin cá nhân đã thu thập vào mục đích khác mục
3. Tổ chức, cá nhân xử lý thông tin cá nhân phải xây dựng và công bố đích ban đầu sau khi có sự đồng ý của chủ thể thông tin cá nhân;
công khai biện pháp xử lý, bảo vệ thông tin cá nhân của tổ chức, cá c) Không được cung cấp, chia sẻ, phát tán thông tin cá nhân mà mình
nhân mình. đã thu thập, tiếp cận, kiểm soát cho bên thứ ba, trừ trường hợp có sự
đồng ý của chủ thể thông tin cá nhân đó hoặc theo yêu cầu của cơ
quan nhà nước có thẩm quyền.
Nguyễn Thị Hạnh
5.1 Luật an toàn thông tin mạng 5.2 Luật an toàn thông tin mạng 2018
Tìm hiểu một số điều khoản luật ˗ Luật an toàn thông tin mạng 2018
˗ Bài tập 9: Ch2 - Điều 28. Trách nhiệm của tổ chức, cá nhân ˗ Xây dựng từ năm 2018, Quốc hội thông qua ngày 12/06/2018
trong ˗ Gồm 7 Chương, 43 Điều.
˗ việc
1. Tổngăn
chức,chặn xung
cá nhân xử đột thông
lý thông tin nhân
tin cá trên có
mạng
trách nhiệm: ▪ Những quy định chung: gồm 09 Điều;
a) Tiến hành thu thập thông tin cá nhân sau khi có sự đồng ý của chủ ▪ Bảo vệ an ninh mạng với hệ thống thông tin quan trọng về an ninh
thể thông tin cá nhân về phạm vi, mục đích của việc thu thập và sử quốc gia: gồm 06 Điều
dụng thông tin đó; ▪ Phòng ngừa, xử lý hành vi xâm phạm an ninh mạng: gồm 07 Điều
b) Chỉ sử dụng thông tin cá nhân đã thu thập vào mục đích khác mục ▪ Hoạt động bảo vệ an ninh mạng: gồm 07 Điều
đích ban đầu sau khi có sự đồng ý của chủ thể thông tin cá nhân;
▪ Bảo đảm hoạt động bảo vệ an ninh mạng: gồm 05 Điều
c) Không được cung cấp, chia sẻ, phát tán thông tin cá nhân mà mình
đã thu thập, tiếp cận, kiểm soát cho bên thứ ba, trừ trường hợp có sự ▪ Trách nhiệm của cơ quan, tổ chức, cá nhân trong an ninh mạng: gồm
đồng ý của chủ thể thông tin cá nhân đó hoặc theo yêu cầu của cơ 07 Điều
quan nhà nước có thẩm quyền. ▪ Điều khoản thi hành: 01 Điều về hiệu lực thi hành.
Nguyễn Thị Hạnh
5.2 Luật an toàn thông tin mạng 2018 5.2 Luật an toàn thông tin mạng 2018
Mục đích – luật 2018 Các hành vi bị nghiêm cấm
˗ Để bảo vệ sự an toàn thông tin trên 03 phương diện: tính ˗ Đăng tải, phát tán thông tin trên không gian mạng có nội dung tuyên
nguyên vẹn của thông tin, tính bảo mật thông tin và tính khả truyền chống Nhà nước CHXHCNVN; kích động gây bạo loạn, phá rối an
ninh, gây rối trật tự công cộng; làm nhục, vu khống; xâm phạm trật tự
dụng của thông tin;
quản lý kinh tế; sai sự thật gây hoang mang trong nhân dân, gây thiệt hại
˗ Luật An ninh mạng 2018 quy định tập trung vào chống lại các cho các hoạt động kinh tế - xã hội, gây khó khăn cho hoạt động của cơ
thông tin độc hại, xâm phạm đến an ninh quốc gia, trật tự an quan nhà nước hoặc người thi hành công vụ, xâm phạm quyền và lợi ích
toàn xã hội, quyền và lợi ích hợp pháp của các cá nhân, tổ hợp pháp của tổ chức, cá nhân khác được quy định tại các khoản 1, 2, 3,
chức, cơ quan trên môi trường mạng. 4 và 5 Điều 16 và hành vi gián điệp mạng, xâm phạm bí mật nhà nước, bí
mật công tác, thông tin cá nhân trên không gian mạng quy định tại khoản
1 Điều 17 của Luật An ninh mạng;
5.2 Luật an toàn thông tin mạng 2018 5.2 Luật an toàn thông tin mạng 2018
Các hành vi bị nghiêm cấm Các hành vi bị nghiêm cấm
˗ Chiếm đoạt tài sản; tổ chức đánh bạc, đánh bạc qua mạng internet; trộm ˗ Xuyên tạc lịch sử, phủ nhận thành tựu cách mạng, phá hoại khối đại đoàn
cắp cước viễn thông quốc tế trên nền internet; vi phạm bản quyền và sở kết toàn dân tộc, xúc phạm tôn giáo, phân biệt đối xử về giới, phân biệt
hữu trí tuệ trên không gian mạng; chủng tộc;
˗ Giả mạo trang thông tin điện tử của cơ quan, tổ chức, cá nhân; làm giả, ˗ Thông tin sai sự thật gây hoang mang trong nhân dân, gây thiệt hại cho
lưu hành, trộm cắp, mua bán, thu thập, trao đổi trái phép thông tin thẻ tín các hoạt động KT - XH, gây khó khăn cho hoạt động của cơ quan nhà
dụng, tài khoản ngân hàng của người khác; phát hành, cung cấp, sử dụng nước hoặc người thi hành công vụ, xâm phạm quyền và lợi ích hợp pháp
các phương tiện thanh toán trái phép; của tổ chức, cá nhân khác;
˗ Tuyên truyền, quảng cáo, mua bán hàng hóa, dịch vụ thuộc danh mục ˗ Hoạt động mại dâm, tệ nạn xã hội, mua bán người; đăng tải thông tin dâm
cấm theo quy định của pháp luật; ô, đồi trụy, tội ác; phá hoại thuần phong, mỹ tục của dân tộc, đạo đức xã
˗ Hướng dẫn người khác thực hiện hành vi vi phạm pháp luật hội, sức khỏe cộng đồng;
˗ Tổ chức, hoạt động, cấu kết, xúi giục, mua chuộc, lừa gạt, lôi kéo, đào ˗ Xúi giục, lôi kéo, kích động người khác phạm tội.
tạo, huấn luyện người chống Nhà nước CHXHCNVN
5.2 Luật an toàn thông tin mạng 2018 5.2 Luật an toàn thông tin mạng 2018
Tình hình tấn công an ninh mạng Tình hình tấn công an ninh mạng
˗ Theo Cục ATTT (bộ Thông tin & Truyền Thông), Việt Nam là một trong ˗ Theo Cục ATTT (bộ Thông tin & Truyền Thông), Việt Nam là
những nước có nguy cơ nhiễm mã độc cao trên thế giới ˗ Năm 2017, có một trong những nước có nguy cơ nhiễm mã độc cao trên thế
khoảng 14.000 cuộc tấn công mạng vào các hệ thống thông tin của Việt
giới ˗ Năm 2017, có hơn 17 triệu lượt truy vấn từ các địa chỉ IP
Nam, bao gồm gần 3.000 cuộc tấn công lừa đảo, 6.500 tấn công cài phần
mềm độc hại và 4.500 tấn công thay đổi giao diện. của Việt Nam đến các tên miền hoặc IP phát tán/điều khiển mã
˗ Năm 2017, trên 19.000 lượt địa chỉ máy chủ web tại VN bị tấn công; trên độc trên thế giới, chủ yếu là các kết nối tới các mạng botnet
3 triệu địa chỉ IP Việt Nam thường xuyên nằm trong danh sách đen (black lớn như conficker, mirai, ramnit, sality, cutwai, zeroaccess,…
list) của các tổ chức quốc tế; và có hơn 100.000 camera IP đang được
công khai trên Internet của VN (trên tổng số 307.201 camera IP) tồn tại
các điểm yếu và lỗ hổng bảo mật có thể bị khai thác lợi dụng.
5.2 Luật an toàn thông tin mạng 2018 5.2 Luật an toàn thông tin mạng 2018
Tình hình rò rỉ thông tin cá nhân Tìm hiểu một số điều khoản luật
Rò rỉ từ đâu ˗ Bài tập 1: Điều 8. Các hành vi bị nghiêm cấm về an ninh mạng
˗ Trang mạng xã hội như Facebook: VN có 427.446 tài khoản 1. Sử dụng không gian mạng để thực hiện hành vi sau đây:
Facebook cá nhân bị lộ thông tin, đứng thứ 9 trong bảng xếp a) Tổ chức, hoạt động, câu kết, xúi giục, mua chuộc, lừa gạt, lôi kéo, đào tạo, huấn
hạng top 10 quốc gia lộ thông tin nhiều nhất từ Facebook (công luyện người chống Nhà nước Cộng hòa Xã hội Chủ nghĩa Việt Nam;
bố 4/2018). Tham gia các trò chơi lan truyền trên mạng XH b) Xuyên tạc lịch sử, phủ nhận thành tựu cách mạng, phá hoại khối đại đoàn kết toàn
dân tộc, xúc phạm tôn giáo, phân biệt đối xử về giới, phân biệt chủng tộc;
này. c) Thông tin sai sự thật gây hoang mang trong Nhân dân, gây thiệt hại cho hoạt động
˗ Đặt hàng/giao dịch qua các ứng dụng mua bán/thanh toán/đặt kinh tế - xã hội, gây khó khăn cho hoạt động của cơ quan nhà nước hoặc người thi hành
vé trực tuyến từ. KH phải cung cấp thông tin cá nhân, tín dụng công vụ, xâm phạm quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân khác;
để hoàn tất giao dịch. Ví dụ các ứng dụng của ngân hàng, bảo d) Hoạt động mại dâm, tệ nạn xã hội, mua bán người; đăng tải thông tin dâm ô, đồi trụy,
tội ác; phá hoại thuần phong, mỹ tục của dân tộc, đạo đức xã hội, sức khỏe của cộng
hiểm, mua bán, đặt vé, mạng điện thoại, .... đồng;
e) Xúi giục, lôi kéo, kích động người khác phạm tội.
5.2 Luật an toàn thông tin mạng 2018 5.2 Luật an toàn thông tin mạng 2018
Tìm hiểu một số điều khoản luật Tìm hiểu một số điều khoản luật
˗ Bài tập 2: Điều 8. Các hành vi bị nghiêm cấm về an ninh mạng ˗ Bài tập 3: Điều 8. Các hành vi bị nghiêm cấm về an ninh mạng
2. Thực hiện tấn công mạng, khủng bố mạng, gián điệp mạng, tội phạm mạng; Doanh nghiệp nước ngoài phải lưu trữ dữ liệu người dùng tại Việt Nam
gây sự cố, tấn công, xâm nhập, chiếm quyền điều khiển, làm sai lệch, gián đoạn, Theo Điều 26.3 Luật An ninh mạng 2018 yêu cầu:
ngưng trệ, tê liệt hoặc phá hoại hệ thống thông tin quan trọng về an ninh quốc gia • Doanh nghiệp trong nước và ngoài nước cung cấp dịch vụ trên mạng viễn
3. Sản xuất, đưa vào sử dụng công cụ, phương tiện, phần mềm hoặc có hành vi thông, mạng Internet, các dịch vụ gia tăng trên không gian mạng tại Việt
cản trở, gây rối loạn hoạt động của mạng viễn thông, mạng Internet, mạng máy Nam có hoạt động thu thập, khai thác, phân tích, xử lý dữ liệu về thông tin
tính, hệ thống thông tin, hệ thống xử lý và điều khiển thông tin, phương tiện điện cá nhân, dữ liệu về mối quan hệ của người sử dụng dịch vụ, dữ liệu do
tử; phát tán chương trình tin học gây hại cho hoạt động của mạng viễn thông, người sử dụng dịch vụ tại Việt Nam tạo ra phải lưu trữ dữ liệu này tại Việt
mạng Internet, mạng máy tính, hệ thống thông tin, hệ thống xử lý và điều khiển Nam trong thời gian theo quy định của Chính phủ;
thông tin, phương tiện điện tử; xâm nhập trái phép vào mạng viễn thông, mạng • Đặc biệt, các doanh nghiệp nước ngoài phải đặt văn phòng đại diện hoặc
máy tính, hệ thống thông tin, hệ thống xử lý và điều khiển thông tin, cơ sở dữ liệu,
chi nhánh tại Việt Nam.
phương tiện điện tử của người khác.
5.2 Luật an toàn thông tin mạng 2018 5.2 Luật an toàn thông tin mạng 2018
Tìm hiểu một số điều khoản luật Tìm hiểu một số điều khoản luật
˗ Bài tập 3: Điều 8. Các hành vi bị nghiêm cấm về an ninh mạng ˗ Bài tập 3: Điều 8. Các hành vi bị nghiêm cấm về an ninh mạng
Ngừng cung cấp dịch vụ mạng khi có yêu cầu của cơ quan chức
Doanh nghiệp phải cung cấp thông tin người dùng cho công tác điều
năng
tra
Ngay khi có yêu cầu của cơ quan Bộ Thông tin và Truyền thông hoặc Lực • Các doanh nghiệp trong và ngoài nước cung cấp dịch vụ trên mạng viễn thông, mạng
lượng bảo vệ an ninh mạng thuộc Bộ Công an, các doanh nghiệp trong và internet, các dịch vụ gia tăng trên không gian mạng phải chịu trách nhiệm trong việc
ngoài nước phải ngừng cung cấp các dịch vụ gia tăng trên không gian xác thực thông tin của người dùng khi đăng ký tài khoản số, bảo mật thông tin và tài
mạng, mạng Internet và mạng viễn thông cho các tổ chức hoặc cá nhân đã khoản của người dùng theo quy định.
đăng tải các thông tin được quy định từ khoản 1 đến khoản 5 Điều 16 Luật • Đặc biệt, doanh nghiệp phải sẵn sàng cung cấp toàn bộ thông tin của người dùng cho
Lực lượng bảo vệ an ninh mạng thuộc Bộ Công an (khi có yêu cầu) để phục vụ cho
này. công tác điều tra nhằm hỗ trợ quá trình xử lý hành vi vi phạm pháp luật về an ninh
mạng.
5.2 Luật an toàn thông tin mạng 2018 5.2 Luật an toàn thông tin mạng 2018
Tìm hiểu một số điều khoản luật Tìm hiểu một số điều khoản luật
˗ Bài tập 3: Điều 8. Các hành vi bị nghiêm cấm về an ninh mạng ˗ Bài tập 3: Điều 8. Các hành vi bị nghiêm cấm về an ninh mạng
Xóa bỏ mọi thông tin vi phạm trên mạng trong vòng 24 giờ Bảo vệ trẻ em trên không gian mạng
Điều 29 Luật An ninh mạng 2018 được xem là một quy định cực kỳ nhân văn, theo đó:
• Khi người dùng đăng tải hoặc chia sẻ những thông tin bị nghiêm cấm, các • Trẻ em có quyền được bảo vệ, tiếp cận thông tin, tham gia hoạt động xã hội, vui chơi, giải trí, giữ
doanh nghiệp phải ngăn chặn việc chia sẻ, xóa bỏ mọi thông tin vi phạm chậm bí mật cá nhân, đời sống riêng tư và các quyền khác khi tham gia trên không gian mạng;
nhất là 24 giờ – tính từ thời điểm nhận được yêu cầu từ cơ quan Bộ Thông tin • Chủ quản hệ thống thông tin, doanh nghiệp cung cấp dịch vụ trên mạng viễn thông, mạng
và Truyền thông hoặc Lực lượng bảo vệ an ninh mạng thuộc Bộ Công an. Internet, các dịch vụ gia tăng trên không gian mạng có trách nhiệm kiểm soát nội dung thông tin
• Bên cạnh đó, doanh nghiệp cần lưu lại nhật ký người dùng trên hệ thống trong trên hệ thống thông tin hoặc trên dịch vụ do doanh nghiệp cung cấp để không gây nguy hại cho
trẻ em, xâm phạm đến trẻ em, quyền trẻ em; ngăn chặn việc chia sẻ và xóa bỏ thông tin có nội
thời gian quy định để phục vụ quá trình điều tra và xử lý hành vi vi phạm pháp dung gây nguy hại cho trẻ em, xâm phạm đến trẻ em, quyền trẻ em; kịp thời thông báo, phối hợp
luật về an ninh mạng. với lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an để xử lý;
• Cơ quan, tổ chức, cá nhân tham gia hoạt động trên không gian mạng có trách nhiệm phối hợp
với cơ quan có thẩm quyền trong bảo đảm quyền của trẻ em trên không gian mạng, ngăn chặn
thông tin có nội dung gây nguy hại cho trẻ em theo quy định của Luật này và pháp luật về trẻ em;
5.2 Luật an toàn thông tin mạng 2018 5.2 Luật an toàn thông tin mạng 2018
Tìm hiểu một số điều khoản luật Tìm hiểu một số điều khoản luật
˗ Bài tập 3: Điều 8. Các hành vi bị nghiêm cấm về an ninh mạng ˗ Bài tập 3: Điều 8. Các hành vi bị nghiêm cấm về an ninh mạng
Bảo vệ trẻ em trên không gian mạng “Nghe lén” các cuộc đàm thoại là hành vi gián điệp mạng
Điều 29 Luật An ninh mạng 2018 được xem là một quy định cực kỳ nhân văn, • Theo Điều 17 Luật An ninh mạng 2018, các hành vi được xem là gián điệp mạng:
theo đó: • Chiếm đoạt, mua bán, thu giữ, cố ý làm lộ thông tin thuộc bí mật nhà nước, bí mật
• Cơ quan, tổ chức, cha mẹ, giáo viên, người chăm sóc trẻ em và cá nhân khác công tác, bí mật kinh doanh, bí mật cá nhân, bí mật gia đình và đời sống riêng tư gây
ảnh hưởng đến danh dự, uy tín, nhân phẩm, quyền và lợi ích hợp pháp của cơ quan,
liên quan có trách nhiệm bảo đảm quyền của trẻ em, bảo vệ trẻ em khi tham
tổ chức, cá nhân;
gia không gian mạng theo quy định của pháp luật về trẻ em; • Cố ý xóa, làm hư hỏng, thất lạc, thay đổi thông tin thuộc bí mật nhà nước, bí mật công
• Lực lượng chuyên trách bảo vệ an ninh mạng và các cơ quan chức năng có tác, bí mật kinh doanh, bí mật cá nhân, bí mật gia đình và đời sống riêng tư được
trách nhiệm áp dụng biện pháp để phòng ngừa, phát hiện, ngăn chặn, xử lý truyền đưa, lưu trữ trên không gian mạng;
nghiêm hành vi sử dụng không gian mạng gây nguy hại cho trẻ em, xâm phạm • Cố ý thay đổi, hủy bỏ hoặc làm vô hiệu hóa biện pháp kỹ thuật được xây dựng, áp
đến trẻ em, quyền trẻ em. dụng để bảo vệ thông tin thuộc bí mật nhà nước, bí mật công tác, bí mật kinh doanh, bí
mật cá nhân, bí mật gia đình và đời sống riêng tư;
5.2 Luật an toàn thông tin mạng 2018 5.2 Luật an toàn thông tin mạng 2018
Tìm hiểu một số điều khoản luật Tìm hiểu một số điều khoản luật
˗ Bài tập 3: Điều 8. Các hành vi bị nghiêm cấm về an ninh mạng ˗ Bài tập 3: Điều 8. Các hành vi bị nghiêm cấm về an ninh mạng
“Nghe lén” các cuộc đàm thoại là hành vi gián điệp mạng Khuyến khích tổ chức và cá nhân tham gia phổ biến kiến thức an ninh mạng
• Đưa lên không gian mạng những thông tin thuộc bí mật nhà nước, bí • Nhà nước luôn khuyến khích các cơ quan, tổ chức, cá nhân thực hiện chương
mật công tác, bí mật kinh doanh, bí mật cá nhân, bí mật gia đình và đời trình giáo dục thông qua các chính sách phổ biến về an ninh mạng trong phạm
vi cả nước để nâng cao nhận thức về an ninh mạng.
sống riêng tư trái quy định của pháp luật;
• Đồng thời, bộ, ngành, cơ quan và các tổ chức phải triển khai các hoạt động
• Cố ý nghe, ghi âm, ghi hình trái phép các cuộc đàm thoại;
giáo dục, phổ cập kiến thức về an ninh mạng cho các cán bộ công chức, tổ
• Hành vi khác cố ý xâm phạm bí mật nhà nước, bí mật công tác, bí mật chức và cơ quan trong Bộ.
kinh doanh, bí mật cá nhân, bí mật gia đình và đời sống riêng tư. • UBND cấp tỉnh phải thực thi phổ biến kiến thức về Luật an ninh mạng 2018
cho cơ quan, tổ chức và cá nhân của địa phương.
Luật An ninh mạng quy định tại Điều 26 về bảo đảm an ninh thông tin trên không gian mạng. Chậm nhất là 24 giờ kể từ thời điểm có yêu cầu của lực lượng chuyên trách bảo vệ an ninh mạng
Theo đó, các trang thông tin điện tử, cổng thông tin điện tử hoặc chuyên trang trên mạng xã hội thuộc Bộ Công an hoặc cơ quan có thẩm quyền của Bộ Thông tin và Truyền thông, các doanh
của cơ quan, tổ chức, cá nhân không được cung cấp, đăng tải, truyền đưa thông tin có nội dung nghiệp phải ngăn chặn việc chia sẻ thông tin, xoá bỏ các thông tin có nội dung vi phạm.
tuyên truyền chống Nhà nước CHXHCN Việt Nam; Kích động gây bạo loạn, phá rối an ninh, gây
rối trật tự công cộng; Làm nhục, vu khống; Xâm phạm trật tự quản lý kinh tế. Doanh nghiệp trong và ngoài nước cung cấp dịch vụ trên mạng viễn thông, mạng Internet và các
dịch vụ gia tăng trên không gian mạng tại Việt Nam phải đặt chi nhánh hoặc văn phòng đại diện
Doanh nghiệp trong và ngoài nước khi cung cấp dịch vụ trên mạng viễn thông, mạng Internet và tại Việt Nam. Dữ liệu về thông tin cá nhân, dữ liệu về mối quan hệ của người sử dụng dịch vụ, dữ
các dịch vụ gia tăng trên không gian mạng tại Việt Nam có trách nhiệm xác thực thông tin khi liệu do người sử dụng dịch vụ tại Việt Nam tạo ra phải lưu trữ tại Việt Nam.
người dùng đăng ký tài khoản số; Bảo mật thông tin, tài khoản của người dùng; Cung cấp thông
tin người dùng cho lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an khi có yêu
cầu bằng văn bản để phục vụ điều tra, xử lý hành vi vi phạm pháp luật về an ninh mạng.
1-3 1-4
2) An toàn thông tin: giá trị thông tin 3) Chính sách bảo mật an toàn thông tin:
Information Security Policy (ISP)
ISP là một tập các quy tắc, hướng dẫn mà tổ chức đưa ra
nhằm đảm bảo tính an toàn hệ thống thông tin và miễn
nhiễm chống lại tấn công nguy hiểm.
1-5 1-6
RỦI RO KHI MẤT AN TOÀN
Các khái niệm cơ bản
THÔNG TIN
3) Chính sách an toàn thông tin: • Đối với cá nhân: Việc rò rỉ hay bị đánh cắp thông tin sẽ
• ISP cung cấp một môi trường để quản lý thông tin một làm ảnh hưởng vô cùng nghiêm trọng đến tài chính, uy tín,
cách an toàn trong toàn tổ chức. các mối quan hệ của một cá nhân. Đặc biệt là các hành vi
• ISP được viết cho tất cả các cấp nhân viên khác nhau. đánh cắp dữ liệu, tung lên mạng nhằm mục đích bôi xấu cá
• ISP gồm các quy tắc chung về tất cả các chủ đề có liên nhân và hack hệ thống tài khoản ngân hàng gây thiệt hại
quan đến an toàn thông tin và sử dụng máy tính hoặc lớn.
các quy tắc riêng biệt về các chủ đề khác nhau • Đối với doanh nghiệp: Nếu chẳng may bị tin tặc tấn công,
• Ví dụ: quy tắc dùng e-mail, quyền hạn truy xuất dữ liệu, quy doanh nghiệp sẽ phải đối mặt với nguy cơ mất dữ liệu, thất
trình backup dữ liệu,.... thoát tài chính, gián đoạn hoạt động công ty, thiệt hại điện
tử vật lý. Đó là còn chưa kể đến việc hình ảnh cũng như
thương hiệu bị ảnh hưởng.
1-7
Mục đích của ISP - Tầm quan Mục đích của ISP - Tầm quan
trọng của ISP trọng của ISP
• Giảm thiểu nguy cơ rò rỉ dữ liệu hoặc mất mát
Các tổ chức đưa ra các ISP bởi nhiều lý do khác nhau:
• Bảo vệ tổ chức khỏi những người dùng bên trong và bên
• Thiết lập một cách tiếp cận chung đối với an toàn thông tin.
ngoài "độc hại“
• Phát hiện và ngăn chặn sự thoả hiệp của an toàn thông tin • Thiết lập các hướng dẫn việc thực hiện và sử dụng chính
như lạm dụng dữ liệu, mạng, hệ thống máy tính và các ứng sách để đảm bảo tuân thủ đúng.
dụng.
• Thông báo các cá nhân, tổ chức bên trong và bên ngoài thông
• Để bảo vệ danh tiếng của công ty đối với trách nhiệm đạo tin đó là tài sản, tài sản riêng của tổ chức, và được bảo vệ
đức và pháp lý của công ty. khỏi bị truy cập trái phép, sửa đổi, tiết lộ và hủy hoại.
• Thực hiện các quyền của khách hàng; Cung cấp cơ chế • Đẩy mạnh lập trường chủ động cho tổ chức khi có vấn đề
hiệu quả để đáp ứng các khiếu nại và thắc mắc liên quan pháp lý phát sinh
đến sự không tuân thủ chính sách thực tế hoặc không nhận • Cung cấp hướng nâng cấp các tiêu chuẩn an toàn trong và
thức được là một cách để đạt được mục tiêu này. ngoài tổ chức
Đối tượng áp dụng ISP
CÁC THÀNH PHẦN CỦA CHÍNH SÁCH ATTT
1) Phạm vi
2) Phân loại thông tin
• Người quản lý – tất cả các cấp độ 3) Mục tiêu quản lý
4) Bối cảnh
Tài Liệu hỗ trợ
• Nhân viên kỹ thuật – người quản trị hệ 5)
6) Hướng dẫn cụ thể
thống, … 7) Có trách nhiệm rõ ràng
8) Hậu quả và xử lý
CÁC THÀNH PHẦN CỦA CHÍNH SÁCH ATTT CÁC THÀNH PHẦN CỦA CHÍNH SÁCH ATTT
1-13 1-14
CÁC THÀNH PHẦN CỦA CHÍNH SÁCH ATTT CÁC THÀNH PHẦN CỦA CHÍNH SÁCH ATTT
• Vòng đời của chính sách an toàn thông tin có thể được (1)Thu thập thông tin
chia thành 4 giai đoạn:
Thu thập thông tin sau từ nước ngoài:
(1) Thu thập thông tin và phân tích kẽ hở;
• Mức độ an toàn thông tin của các quốc gia
(2) Xây dựng chính sách;
• Định hướng xây dựng chính sách của các quốc gia
(3) Thực thi chính sách;
• Hệ thống hạ tầng của các quốc gia
(4) Kiểm soát và
tiếp nhận phản hồi
1-19 1-20
Vòng đời của chính sách an toàn thông tin Vòng đời của chính sách an toàn thông tin
1-21 1-22
Vòng đời của chính sách an toàn thông tin Vòng đời của chính sách an toàn thông tin
1-23 1-24
Vòng đời của chính sách an toàn thông tin Vòng đời của chính sách an toàn thông tin
(1)Thu thập thông tin và phân tích kẽ hở; (2) Xây dựng chính sách an toàn thông tin: Việc
• Việc xác định có thể được thực hiện thông qua kiểm tra xây dựng một chính sách an toàn thông tin liên
những vấn đề sau đây: quan tới:
• Hiện trạng của hệ thống ATTT và khả năng đối phó của nó (1) Vạch ra định hướng chính sách;
• Hiện trạng của các chuyên gia về an toàn thông tin
(2) Thiết lập tổ chức an toàn thông tin và xác định trách
• Mức độ xây dựng và sức mạnh của hệ thống an toàn thông tin
nhiệm cũng như vai trò của nó;
• Quy phạm pháp luật bảo vệ chống lại sự xâm phạm tài sản thông
tin (3) Kết nối khuôn khổ chính sách an toàn thông tin;
• Môi trường vật lý cho việc bảo vệ các tài sản thông tin (4) Xây dựng và/hoặc sửa lại luật pháp giúp tạo cho
Mục tiêu của việc phân tích kẽ hở là nhằm có thể xác định các biện chúng sự thích hợp với chính sách;
pháp đối phó thực tiễn cần được thực hiện. Cần nhấn mạnh rằng đây là
bước cơ bản nhất trong việc hoạch định chính sách an toàn thông tin.
(5) Phân bổ một nguồn ngân sách cho việc thực hiện
chính sách thông tin.
1-25 1-26
Vòng đời của chính sách an toàn thông tin Vòng đời của chính sách an toàn thông tin
2. Thiết lập khuôn khổ cho chính sách an toàn thông tin 2. Thiết lập khuôn khổ cho chính sách an toàn thông tin
• Khuôn khổ an toàn thông tin đề ra những tham số đối với
chính sách an toàn thông tin.
• Nó đảm bảo rằng chính sách đưa vào các tài nguyên IT
(con người, tài liệu thông tin, phần cứng, phần mềm, các
dịch vụ); phản ánh các quy tắc và pháp luật quốc tế; và
thỏa mãn các nguyên tắc về tính sẵn sàng, tính bí mật,
tính toàn vẹn, trách nhiệm giải trình và sự đảm bảo của
thông tin.
Vòng đời của chính sách an toàn thông tin Vòng đời của chính sách an toàn thông tin
Chính sách ATTT bao gồm 5 lĩnh vực: 3. Thực hiện/thực thi chính sách: Việc thực thi suôn sẻ
a. Kế hoạch và tổ chức chính sách an toàn thông tin đòi hỏi sự cộng tác giữa chính
b. Thu nhận và thực thi: Khía cạnh này bao gồm an toàn phủ, tư nhân và các tổ chức quốc tế
nguồn nhân lực, thu nhận các hệ thống an toàn và phát
triển an toàn.
c. Bảo vệ bí mật riêng tư
d. Hoạt động và hỗ trợ
e. Giám sát và đánh giá
1-29 1-30
Vòng đời của chính sách an toàn thông tin Các bước triển khai IS
4. Xem xét lại và đánh giá Chính sách an toàn thông tin
• Việc sửa đổi chính sách là cần thiết sau khi hiệu quả của
một chính sách an toàn thông tin được xác định. Một
phương pháp đánh giá chính sách trong nước có thể
được thực hiện để xác định hiệu quả của chính sách an
toàn thông tin quốc gia.
1-31
Nội dung của một tài liệu ISP Nội dung của một tài liệu ISP
1.Tại sao nhân viên cần nắm rõ về Information 1. Chính sách an toàn thông tin là gì? Tầm quan trọng
Security Policy tại nơi làm việc? của chính sách an toàn thông tin?
2.Những chính sách an toàn thông tin nào ở nơi làm 2. Là nhân viên, tại sao bạn cần nắm rõ những chính
việc cần nắm rõ? Nêu lý do tại sao sách an toàn thông tin tại nơi bạn làm việc?
3.Hãy viết một chính sách an toàn thông tin dành cho 3. Hãy viết một chính sách an toàn thông tin dành cho
các sinh viên có tham gia sử dụng các trang thiết bị,
các sinh viên có tham gia sử dụng các trang thiết bị,
phần mềm ở phòng thực hành, chính sách cài đặt
phần mềm ở phòng thực hành, chính sách cài đặt các phần mềm ứng dụng, phần phòng chống mã độc
các phần mềm ứng dụng, phần phòng chống mã cho máy tính.
độc cho máy tính. 4. Hãy viết một chính sách sử dụng Wifi trong một
4.Hãy viết một chính sách sử dụng Wifi trong một phòng ban có khoảng 20 nhân viên
phòng ban có khoảng 20 nhân viên
Câu hỏi & Bài tập Câu hỏi & Bài tập
5. Chính sách an toàn thông tin (ISP) của một doanh nghiệp Bài tập về nhà (làm theo nhóm)
là gì? Trình bày và giải thích được ít nhất 3 lý do tại sao • Hãy viết một chính sách an toàn thông tin/thiết bị dành cho
một doanh nghiệp cần có một ISP? các sinh viên/giao viên có tham gia sử dụng các trang thiết
6. “Theo dõi sự tuân thủ (monitor for compliance)” là một bị, phần mềm ở phòng thực hành, chính sách cài đặt các
trong 10 bước triển khai ISP. Bạn hãy phân tích để thấy phần mềm ứng dụng, phần mềm phòng chống mã độc cho
được tại sao cần có “theo dõi sự tuân thủ” trong khi triển máy tính trong phòng thực hành.
khai ISP của một doanh nghiệp.
7. “Hiệu chỉnh chính sách (modify policy)” là một trong 10
bước triển khai ISP. Bạn hãy phân tích để thấy được tại
sao cần có “hiệu chỉnh chính sách” trong khi triển khai ISP
của một doanh nghiệp.
Kiểm tra 15 phút
2 NỘI DUNG
1. Giới thiệu
2. Những khái niệm cơ bản về mã hóa
3. Hệ thống mã hóa đối xứng
(Cryptography System) 4. Nguyên lý thiết kế mã đối xứng
5. Một số mã đối xứng thông dụng
Trần Thị Kim Chi 1-3 Trần Thị Kim Chi 1-4
Các khái niệm cơ bản về mật mã học Các khái niệm cơ bản về mật mã học
• Phân tích mật mã (cryptanalysis): ngành khoa học • Giao thức mật mã (cryptographic protocol) là tập hợp
nghiên cứu các phương pháp, kỹ thuật nhằm phá vỡ hệ các quy tắc, trình tự thực hiện sơ đồ mã hóa.
thống mã hóa. • Độ an toàn của hệ mã hóa: là khả năng chống lại việc
• Phá mã (Cryptanalysis) / Thám mã / Tấn công: Nghiên thám mã, trong nhiều trường hợp được tính bằng số
cứu các nguyên lý và phương pháp khác nhau để phép toán cần thực hiện để thám mã sử dụng thuật toán
• Giải mã mà không cần biết khoá giải mã tối ưu nhất.
• hoặc tìm ra được khóa giải mã hoặc khóa bí mật. • Hệ thống mật mã (cryptosystem) là hệ thống đảm bảo
• Trong sự phát triển của mật mã thì lĩnh vực mật mã và an toàn dữ liệu sử dụng công cụ mã hóa. Hệ thống mật
phân tích mật mã phát triển song hành với nhau, tuy nhiên mã bao gồm: sơ đồ, giao thức mật mã, quy tắc tạo và
trong học tập, nghiên cứu thì lĩnh vực mật mã học được phân phối khóa. Khái niệm hệ thống mật mã có thể hiểu
quan tâm rộng rãi hơn do các ứng dụng thực tiễn, hiệu đơn giản hơn là bao gồm: thuật toán (algorithm) và giá
quả mà nó đem lại. trị mật (key).
Trần Thị Kim Chi 1-7 Trần Thị Kim Chi 1-8
Các khái niệm cơ bản về mật mã học Phân loại mã hóa đối xứng
Đặc điểm: Theo thời gian có thể chia mật mã thành:
• Khóa Ks dùng để mã hóa và giải mã → nếu bị lộ hoặc bị đánh
• Mã hóa cổ điển (classical cryptographic)
cắp bởi người thứ 3 thì thông điệp M sẽ bị lộ thông tin, không
còn bảo mật. • Mã hóa hiện đại (modern cryptography)
• Cần kênh truyền bảo mật để chia sẻ khóa bí mật giữa các bên Ngoài ra, dựa theo cách thức xử lý dữ liệu đầu (data input)
→ tốn chi phí vào người ta phân chia thành 2 loại:
• Để đảm bảo trao đổi bảo mật cho tất cả mọi người trong một
nhóm gồm n người → cần tổng số lượng lớn khóa là n(n-1)/2 →
• Mã hóa khối (block cipher): xử lý dữ liệu đầu vào theo
vấn đề quản lý và phân phối khóa rất phức tạp. khối tại một thời điểm, cho kết quả theo một khối dữ liệu
• Mã đối xứng dùng để bảo mật dữ liệu nhưng không thể dùng ở đầu ra.
để xác th�c hay chống thoái thác → không thể dùng tạo • Mã hóa luồng (stream cipher): xử lý tuần tự các phần
chữ ký số tử liên tục ở đầu vào và cho kết quả từng phần tử ở đầu
• Tốc độ mã hóa và giải mã nhanh → rất hữu hiệu khi dùng bảo ra tại một thời điểm.
mật thông điệp (đặc biệt thông điệp lớn)
Trần Thị Kim Chi 1-17 Trần Thị Kim Chi 1-18
Phân loại mã hóa Phân loại mã hóa
• Mã hóa cổ điển (classical cryptographic): đây là kỹ • Mã hóa hiện đại (modern cryptography): mã hóa đối
thuật được hình thành từ xa xưa, dựa trên ý tưởng bên xứng (symmetric cipher, secret key cryptography – 1
gởi sử dụng thuật toán mã hóa cổ điển dựa trên hai kỹ khóa), bất đối xứng (asymmetric cipher, public key
thuật cơ bản: thay thế (substitution) và hoán vị cryptography – 2 khóa), hàm băm (hash functions –
(transposition), bên nhận dựa vào thuật toán của bên không có khóa).
gởi để giải mã mà không cần dùng khóa.
• Do đó, độ an toàn của kỹ thuật này không cao do chỉ
dựa vào sự che giấu thuật toán, hiện nay mã hóa cổ
điển ít được sử dụng trong thực tế.
Trần Thị Kim Chi 1-19 Trần Thị Kim Chi 1-20
Trần Thị Kim Chi 1-23 Trần Thị Kim Chi 1-24
Bài tập: Eve has intercepted the ciphertext “UVACLYFZLJBYL”. Show how she can
use a brute-force attack to break the cipher.
1. Áp dụng mật mã Ceasar mật mã hóa các bản rõ Solution
sau với khóa k = 4 Eve tries keys from 1 to 7. With a key of 7, the plaintext is “not very secure”,
actions speak louder than words EGXMSRW which makes sense.
PSYHIV
2. Đoán khóa k và giải mật cho bản mật sau:
ST RFS HFS XJWAJ YBT RFXYJWX
15
Trần Thị Kim Chi 1-25 Trần Thị Kim Chi 1-26
Caesar Cipher Caesar Cipher
Ví dụ:Bảng chữ cái tiếng Anh có 26 ký tự:
ABCDEFGHIJKLMNOPQRSTUVWXYZ
Mã hóa kí tự x với khoảng cách dịch chuyển 1 đoạn
• Gán cho mỗi chữ cái một con số nguyên từ 0 đến 25: n=13 theo qui tắc sau:y=(x+13) mod 26
• Với mỗi ký tự trong P thay bằng chữ mã hóa C, trong Giải mã: x=(y-13) mod 26
đó: Mã hóa chuỗi ký tự sau theo qui tắc trên:
C = (P + k) mod 26 (mod: phép chia lấy số dư) GUIDELINES FOR TERM PAPERS
• Và quá trình giải mã đơn giản là:
Kết quả:
P = (C – k) mod 26 THVQRYVARF SBE GREZ CNCREF
• k được gọi là khóa.
• Hiện nay, mã Ceasar không được xem là an toàn.
Trần Thị Kim Chi 1-27 Trần Thị Kim Chi 1-28
Ví dụ Ví dụ
Use the additive cipher with key = (?+15) mod 26 to encrypt the Use the additive cipher with key = (?-15)mod 26 to decrypt the
message “hello”. message “WTAAD”.
Solution
Solution
We apply the encryption algorithm to the plaintext, character by We apply the decryption algorithm to the plaintext character by
character: character:
Trần Thị Kim Chi 1-29 Trần Thị Kim Chi 1-30
Caesar Cipher Caesar Cipher
Với bản chữ cái Tiếng Việt (29 ký t�) với khóa là 3:
• Gán cho mỗi chữ cái một con số nguyên từ 0 đến 28:
• Phương pháp Ceasar biểu diễn tiếng Việt như sau: với
mỗi chữ cái p thay bằng chữ mã hóa C, trong đó:
C = (p + k) mod 29
• Và quá trình giải mã đơn giản là:
p = (C – k) mod 29
Trần Thị Kim Chi 1-31 Trần Thị Kim Chi 1-32
Trần Thị Kim Chi 1-33 Trần Thị Kim Chi 1-34
Monoalphabetic Ciphers Ví dụ khám mã
Trần Thị Kim Chi 1-35 Trần Thị Kim Chi 1-36
Ví dụ khám mã Ví dụ khám mã
Trần Thị Kim Chi 1-37 Trần Thị Kim Chi 1-38
Mã hóa Vigenère Cipher Mã hóa Vigenère Cipher
(Vigenère cipher) (Vigenère cipher)
• Thế kỷ thứ 15, một nhà ngoại giao người Pháp tên là
Vigenere đã tìm ra phương án mã hóa thay thế đa bảng.
• Mã hóa Vigenere được hình thành trên mã hóa Caesar có
sử dụng khóa (chuỗi các chữ cái) trên văn bản gốc (gồm
các chữ cái).
• Mã hóa Vigenere là sự kết hợp của nhiều phép mã hóa
Caesar với các bước dịch chuyển khác nhau.
• Để mã hóa, sử dụng bảng mã Vigenere (Hình x) với cột
dọc là chuỗi khóa (khóa được lặp đi lặp lại để chiều dài
tương ứng với văn bản gốc), cột ngang – văn bản gốc,
giao giữa kí tự tương ứng cột chứa khóa và văn bản gốc
chính là kí tự mã của thuật toán. 1-39 Trần Thị Kim Chi 1-40
Trần Thị Kim Chi 1-41 Trần Thị Kim Chi 1-42
Mã Playfair Mã Playfair
• Mật mã đa ký tự (mỗi lần mã 2 ký tự liên tiếp nhau) • Bản rõ được mã hóa một lần 2 ký tự theo quy tắc sau:
• Giải thuật dựa trên một ma trận các chữ cái 5×5 1. Cặp hai ký tự giống nhau xuất hiện trong bản rõ sẽ
được xây dựng từ một khóa (chuỗi các ký tự) được tách ra bởi 1 ký tự lọc, chẳng hạn như x. Ví dụ
trước khi mã hóa “balloon” sẽ được biến đổi thành
1. Xây dựng ma trận khóa
“balxloxon”.
• Lần lượt thêm từng ký tự của khóa vào ma trận
• Nếu ma trận chưa đầy, thêm các ký tự còn lại trong
• bảng chữ cái vào ma trận theo thứ tự A - Z 2. Hai ký tự trong cặp đều rơi vào cùng một hàng, thì mã
• I và J xem như là 1 ký tự mỗi ký tự bằng ký tự bên phải nó trong cùng hàng của
• Các ký tự trong ma trận không được trùng nhau ma trận khóa, nếu nó là phần tử cuối của hàng thì vòng
2. Mật mã hóa sang ký tự đầu cùng của hàng, chẳng hạn “ar” mã hóa
thành “rm”
3. Giải mật mã.
Trần Thị Kim Chi 1-43 Trần Thị Kim Chi 1-44
Playfair
Mã Playfair
Cipher
3. Hai ký tự mà rơi vào cùng một cột thì nó được mã
bằng ký tự ngay dưới, nếu nó ở cuối cột thì vòng sang • balXloXon
ký tự ở đầu cột, chẳng hạn “mu” được mã hóa thành • BA→DB
“CM”, ov được mã hóa thành HO • OT→CQ
4. Trong các trường hợp còn lại, hai ký tự được mã hóa • ZV→VW
sẽ tạo thành đường chéo của một hình chữ nhật và • AN→HW
được thay bằng 2 ký tự trên đường chéo kia. Ví dụ: • YK→CR
“hs”mã thành “bp”, (B cùng dòng với H và P cùng • BX→IO/JO
dòng với S); “ea”mã thành “im”hoặc “jm” • UR→cn
Trần Thị Kim Chi 1-45 Trần Thị Kim Chi 1-46
Playfair
Playfair Cipher
Cipher
• Dựa trên ma trận 5 ×5 của các ký tự được xây dựng Phá mã
bằng từ khóa (keyword): quocte • An toàn được cải tiến hơn với mã hóa đơn bản
(simple monoalphabetic ciphers)
• Chỉ xét trên 26 ký tự thì mã khóa Playfair có
26x26=676 cặp ký tự.
Q U O C T
→ các cặp ký tự này ít bị chênh lệch về tần suất hơn so với sự
E A B D F chênh lệnh tần suất của từng ký tự. Ngoài ra số lượng các cặp
G H I/J K L ký tự nhiều hơn cũng làm cho việc phá mã tầnsuất khó khăn
hơn. Đây chính là lý do mà người ta tin rằng mã hóa Playfair
M N P R S không thể bị phá và được quân đội Anh sử dụng trong chiến
V W X Y Z tranh thế giới lần thứ nhất.
• Tuy nhiên, nó có thể bị bẻ khoá nếu cho trước vài
trăm chữ, vì bản mã vẫn còn chứa nhiều cấu trúc của
bản rõ.
Trần Thị Kim Chi 1-47 Trần Thị Kim Chi 1-48
M M T H G R
Rail EFence
E E Cipher
E A T Rail Fence cipher
E A R T P Y
T F T O A
• Ghi các ký tự trong bản rõ theo từng hàng rào, sau đó • Ví dụ bản rõ “attackpostponeduntilthisnoon” được
kết xuất bản mã dựa trên cột. Sau đó đọc bảng mã theo viết lại thành bảng 4 x 7 như sau:
từng hàng
• Ví dụ: bản rõ “meet me after the toga party” với hành
rào sắt độ sâu là 2 (Tách bản rõ thành 2 hàng)
• Ví dụ: bản rõ “meet me at the toga party” được viết
thành
m e m a t r h t g p r y • Khi kết xuất theo từng cột thì có được bản mã:
e t e f e t e o a a t “AODHTSUITTNSAPTNCOIOKNLOPETN”
• Cho bản mã
MEMATRHTGPRYETEFETEOAAT
Bài tập: Mã hóa chuỗi trên với độ sâu là 4
Trần Thị Kim Chi 1-57 Trần Thị Kim Chi 1-58
Rail Fence cipher Rail Fence cipher
• Để an toàn hơn nữa, có thể áp dụng phương pháp • Một cơ chế phức tạp hơn là chúng ta có thể hoán vị
hoán vị 2 lần (double transposition), tức sau khi hoán các cột trước khi kết xuất bản mã.
vị lần 1, ta lại lấy kết quả đó hoán vị thêm một lần • Ví dụ chọn một khóa là MONARCH, ta có thể hoán vị
nữa. các cột:
• Để phá mã phương pháp hoán vị 2 lần không phải là Bản rõ “attackpostponeduntilthisnoon”
chuyện dễ dàng vì rất khó đoán ra được quy luật
hoán vị.
• Ngoài ra không thể áp dụng được phương pháp
phân tích tần suất chữ cái giống như phương pháp
thay thế vì tần suất chữ cái của bản rõ và bản mã là
giống nhau. và có được bản mã:
“APTNKNLOPETNAODHTTNSTSUICOIO”. Việc
Trần Thị Kim Chi 1-59
giải mã được tiến hành theo thứ tự ngược lại. 1-60
Bài tập: Ví dụ: mật mã • Bài tập: bản rõ “attack at midnight” với hành rào sắt độ
• Bản rõ: sâu theo các cách sau:
hide the gold in the tree stump • Sử dụng từ khóa là TRUONG mã hóa 2 lần
• Bản mật:
5 4 6 3 2 1
• Độ sâu là 2
T R U O N G
• Hdteodnhtesupiehgliteretm A T T A C K
• Độ sâu là 4: A T M I D N
• htontspihltrtdedheuegieem I G H T
BM OD ZB XD NA BE KU DM UI XM MO UV IF
KNCDAITTTGAAITMH
Trần Thị Kim Chi 1-63 Trần Thị Kim Chi 1-64
Trần Thị Kim Chi 1-69 Trần Thị Kim Chi 1-70
Mã hóa hiện đại
(modern cryptography) Phân loại
Trần Thị Kim Chi 1-73 Trần Thị Kim Chi 1-74
Stream Ciphers Stream Ciphers
• Quá trình giải mã được thực hiện ngược lại, bản mã • Đối với mã dòng, các số si được sinh ra phải đảm bảo
C được XOR với dãy số ngẫu nhiên S để cho ra lại một độ ngẫu nhiên nào đó (chu kỳ tuần hoàn dài):
bản rõ ban đầu:
• Trong ví dụ p=111100000011 đơn vị mã hóa có
chiều dài k = 4 bít, n = 3:
Ví dụ này không phải là mã dòng vì s0, s1, s2 lặp lại khóa K Điểm quan trọng nhất của các mã dòng là bộ sinh số ngẫu nhiên
Trần Thị Kim Chi 1-75 Trần Thị Kim Chi 1-76
• Hàm giải mã: • Trong bản tin nhị phân cũng tồn tại một số đặc tính thống kê
nào đó mà người phá mã có thể tận dụng để phá bản mã, dù
rằng bản mã bây giờ tồn tại dưới dạng nhị phân.
• Mã hóa hiện đại quan tâm đến vấn đề chống phá mã trong các
trường hợp biết trước bản rõ (known-plaintext), hay bản rõ
được lựa chọn (chosen-plaintext).
Trần Thị Kim Chi 1-80
Trong phép mã hóa trên, đơn vị mã hóa không phải là một chữ cái mà là một Nếu biết bản mã c0 = 1010 có bản rõ tương ứng là p 0 = 1111, thì
khối 4 bít. Để giải mã, lấy bản mã XOR một lần nữa với khóa thì có lại bản rõ có thể dễ dàng suy ra khóa là 0101.
ban đầu. Trần Thị Kim Chi 1-81 Trần Thị Kim Chi 1-82
Mã khối (Block Cipher) Các mô hình ứng dụng mã khối
• Do đó để chống phá mã trong trường • Mã khối (như mã DES) được áp dụng để mã hóa
hợp known-plaintext hay choosen-
plaintext, chỉ có thể là làm cho P và C
một khối dữ liệu có kích thước xác định. Để mã hóa
không có mối liên hệ toán học. Điều này một bản tin dài, bản tin được chia ra thành nhiều khối
chỉ có thể thực hiện được nếu ta lập một (P=P0P1P2...Pn-1) và áp dụng mã khối cho từng khối
bản tra cứu ngẫu nhiên giữa bản rõ và một. Có nhiều mô hình áp dụng mã khối là
bản mã. • Electronic Code Book (ECB)
→đây là mã khối an toàn lý tưởng vì Người • Cipher Block Chaining Mode (CBC)
gởi cũng như người nhận phải biết toàn bộ
• Cipher Feedback Mode (CTR)
bảng trên để mã hóa và giải mã
• Output Feedback Mode (OFB)
→Không khả thi vì kích thước khối lớn thì
số dòng của bảng khóa cũng lớn và gây trở • Counter Mode
ngại cho việc lưu trữ cũng như trao đổi
khóa giữa người gởi và người nhận
Trần Thị Kim Chi 1-83 Trần Thị Kim Chi 1-84
(Cryptography System)
Ý tưởng Ý tưởng
• Vào năm 1976 Whitfield Diffie và Martin Hellman đã • Phương án 1: người nhận (Bob) giữ bí mật khóa K2,
tìm ra một phương pháp mã hóa khác mà có thể giải còn khóa K1 thì công khai cho tất cả mọi người biết.
quyết được hai vấn đề trên, đó là mã hóa khóa công • Alice muốn gởi dữ liệu cho Bob thì dùng khóa K1 để
khai (public key cryptography) hay còn gọi là mã hóa mã hóa. Bob dùng K2 để giải mã.
bất đối xứng (asymetric cryptography). • Ở đây Trudy cũng biết khóa K1, tuy nhiên không thể
• Whitfield Diffie và Martin Hellman đưa ra 2 phương dùng chính K1 để giải mã mà phải dùng K2. Do đó
án sau: chỉ có duy nhất Bob mới có thể giải mã được.
• Điều này bảo đảm tính bảo mật của quá trình truyền
dữ liệu.
• Ưu điểm của phương án này là không cần phải
truyền khóa K1 trên kênh an toàn.
Trần Thị Kim Chi Trần Thị Kim Chi
4 5
Mã hóa công khai
Ý tưởng
(Public-Key Cryptosystems)
• Phương án 2: người gửi (Alice) giữ bí mật khóa K1, còn khóa
• Mã hóa bất đối xứng là một dạng của hệ thống mật mã mà
K2 thì công khai cho tất cả mọi người biết. Alice muốn gởi dữ
liệu cho Bob thì dùng khóa K1 để mã hóa. Bob dùng K2 để giải trong đó mã hóa (encryption) và giải mã (decryption) được
mã. thực hiện bằng cách dùng hai khóa (Key) khác nhau
• Ở đây Trudy cũng biết khóa K2 nên Trudy cũng có thể giải mã • Một là khóa công khai (Public key) và một là khóa bí mật
được. Do đó phương án này không đảm bảo tính bảo mật. (Private key).
• Tuy nhiên lại có tính chất quan trọng là đảm bảo tính chứng • Nó cũng được gọi tên là
thực và tính không từ chối. Vì chỉ có duy nhất Alice biết được MÃ HÓA KHÓA CÔNG KHAI
khóa K1, nên nếu Bob dùng K2 để giải mã ra bản tin, thì điều
đó có nghĩa là Alice là người gửi bản mã. Nếu Trudy cũng có (Public-key Encryption)
khóa K1 để gửi bản mã thì Alice sẽ bị quy trách nhiệm làm lộ Có hai mode làm việc :
khóa K1. • Bảo mật : Mã bằng public key giải mã bằng private key
• Trong phương án này cũng không cần phải truyền K2 trên • Xác thực : Mã bằng private key giải mã bằng public key
kênh an toànMã bất đối xứng kết hợp 2 phương án trên
Trần Thị Kim Chi Trần Thị Kim Chi
6 7
Trần Thị Kim Chi 1-10 Trần Thị Kim Chi 1-11
Public-Key Cryptosystems:
Public-Key Cryptosystems: Secrecy
Authentication
Trần Thị Kim Chi 1-12 Trần Thị Kim Chi 1-13
Public-Key Cryptosystems: Secrecy and
Authentication Hệ thống mã hóa bất đối xứng
Trần Thị Kim Chi 1-5 Trần Thị Kim Chi 1-6
2. Hash Function 2. Hash Function
sau đó anh ta tìm một bức điện x sao cho z = h(x). Nếu
anh ta làm được điều này thì cặp (x, y) là cặp chữ k� giả One-Way
Universal
Collision Resistant
có giá trị. One-Way
Hash Functions Hash Functions
Hash Functions
(OWHF) (CRHF)
• Như vậy một tính chất nữa mà h cần thoả mãn là tính (UOWHF)
một chiều.
Trần Thị Kim Chi 1-15 Trần Thị Kim Chi 1-16
SHA-1 MD5
• Lưu trữ và bảo mật mật khẩu • Mật khẩu bao gồm chuỗi các chữ cái (hoa, thường), chữ
số và các k� tự đặc biệt (@, # …).
• Ch ng thực thông điệp • Do tính chất của hàm toán học một chiều, mật khẩu của
(Message Authentication) tài khoản được bảo vệ ngay cả trong trường hợp file lưu
trữ mật khẩu hệ thống bị sao chép.
• Nâng cao hiệu quả c a Chữ k� số •
Username Password
(Digital Signatures) Username Password
trandung @123!Tran
Lưu trữ không mã hóa mật khẩu Lưu trữ mã hóa mật khẩu với MD5
Trần Thị Kim Chi 1-19 Trần Thị Kim Chi 1-20
Iam#4VKU Iam#4VKU
Dùng lưu trữ mật khẩu (băm password): Password
• Hàm băm được dùng để tạo one-way password file, store
trong cơ chế này giá trị băm của password được lưu, điều h h
này tốt hơn là lưu chính bản rõ password. password
không bị truy xuất bởi kẻ tấn công nơi chứa password.
• Khi user nhập vào một password, thì giá trị băm của 661dce0da2bcb2d8 661dce0da2bcb2d8 661dce0da2bcb2d8
2884e0162acf8194 2884e0162acf8194 2884e0162acf8194
password được so với giá trị băm được lưu để kiểm tra.
Hash Matching
Exactly?
Password
Yes No
store Deny
Grant
Trần Thị Kim Chi 1-21 Trần Thị Kim Chi 1-22
Một số ứng dụng MD5 và SHA-1 Một số ứng dụng MD5 và SHA-1
1. Lưu trữ mật khẩu 2. Đấu giá trực tuyến (Trang 94)
Trần Thị Kim Chi 1-23 Trần Thị Kim Chi 1-24
26
28
30
5 6
1.1 Integrity Message 1.1 Integrity Message
7 8
9 10
Mã xác thực thông điệp Mã xác thực thông điệp
Message Authentication Message Authentication
Định nghĩa
Mục tiêu
• Là một kỹ thuật chứng thực liên quan đến việc sử dụng
• Xác nhận nguồn gốc của dữ liệu một khoá bí mật để tạo ra một khối dữ liệu có kích thước
• Thuyết phục với người sử dụng là dữ liệu nhỏ cố định (checksum hoặc MAC) và được thêm vào
này chưa bị sửa đổi hoặc giả mạo. thông điệp.
• Giả sử 2 phía tham gia truyền thông là A và B chia sẻ
• Là cơ chế quan trọng để duy trì t�nh to�n vẹn một khoá bí mật K. Khi A có một thông điệp gởi đến B, A
và không thể từ ch�i dữ liệu sẽ tính toán MAC như là một hàm của thông điệp và
khoá: MAC=C(K, M), với
• M: thông điệp đầu vào có kích thước biến đổi
• C: hàm MAC
• K: khoá bí mật chia sẻ giữa người gởi và người nhận
11 • MAC: mã chứng thực thông điệp có chiều dài cố định 12
13 14
Mã h�a thông điệp:Xác thực Mã h�a thông điệp:sử dụng
bằng mật mã kh�a đối xứng mã h�a kh�a bí mật
• Xác thực bằng mật mã khóa đối xứng
• Đảm bảo thông báo được gửi đúng nguồn do chỉ bên
gửi biết khóa bí mật
• Không thể bị thay đổi bởi bên thứ ba do không biết
khóa bí mật
15 16
17 18
Mã h�a thông điệp sử dụng Mã h�a thông điệp sử dụng
mật mã kh�a công khai mật mã kh�a công khai
19 20
21 22
Message Authentication Code Message Authentication Code
• Mã ch�ng thực thông bằng H�m băm (Hash Function) • Mã ch�ng thực thông bằng H�m băm (Hash Function)
23 24
27 28
29 30
An toàn của MAC An toàn của MAC
33 34
Message Authentication Code Câu hỏi và bài tập
35 36
(ELECTRONIC SIGNATURE -
DIGITAL SIGNATURES)
Khái niệm về ch k� điện tử v� ch k� s
Nội dung chính (Electronic Signature and Digital Signature)
1-2 1-3
Chữ ký điện tử được đề c�p tại kho�n 1 Điều 21 Đặc điểm của chữ ký điện tử:
Lu�t Giao d ch điện tử năm 2005. • Cần ph�i ph thuộc v�o nội dung k�.
• Ch k� điện tử l� dạng thông tin đi kèm d liệu • Cần sử d ng thông tin đặc trưng duy nh�t đ i với người
gửi. Để ch ng c� gi� mạo v� từ ch i.
(văn b�n, hình �nh, video…) nhằm m c đích xác
• Cần ph�i tương đ i dễ d�ng tạo ra.
đ nh người ch c a d liệu đó..
• Dễ d�ng đoán nh�n v� kiểm ch ng.
• Chữ ký điện tử l� một thay thế cho ch k� viết
• Không thể tính toán gi� mạo được.
tay c a cá nhân hay doanh nghiệp. • Với b�n tin mới v� ch k� đã có.
• Chữ ký điện tử được sử d ng trong các giao • Với ch k� gi� mạo cho 1 b�n tin.
d ch điện tử • Có thể lưu tr ch k� điện tử.
1-4 1-5
Khái niệm về ch k� điện tử Khái niệm về ch k� điện tử
(Electronic Signature) (Electronic Signature)
Tính chất của Chữ ký điện tử Tiêu chuẩn của Chữ ký điện tử
• Ch k� điện tử có thể l� b�t kỳ biểu tượng, hình �nh, quy • Ch ký điện tử không ph thuộc vào các tiêu chuẩn.
trình n�o được đính kèm với tin nhắn hoặc t�i liệu biểu Không sử d ng mã hóa.
th danh tính c a người k� v� h�nh động đồng � với nó. Cơ chế xác thực, bảo mật
Ch k� điện tử được biết đến với tính năng nhằm xác • Ch k� điện tử với cơ xác thực xác minh danh tính người
minh một t�i liệu. k� thông qua email, mã PIN điện thoại,…
• Ch k� điện tử tính b�o m�t có thể coi l� yếu thế hơn so
với ch k� s . Việc xác nh�n c a ch k� điện tử không
có quá trình xác nh�n c thể.
1-6 1-7
Giá trị pháp lý của Chữ ký điện tử Theo Lu�t Giao d ch điện tử (Việt Nam), điều 4 đ nh nghĩa
• Phương pháp tạo ch k� điện tử cho phép xác minh (1)Ch ng thư điện tử là thông điệp d liệu do tổ ch c cung
được người k� v� ch ng tỏ được sự ch�p thu�n c a c�p d ch v ch ng thực ch ký điện tử phát hành nhằm
người k� đ i với nội dung thông điệp d liệu. xác nh�n cơ quan, tổ ch c, cá nhân được ch ng thực là
• Phương pháp tạo ch k� ph�i đ tin c�y v� phù hợp với người ký ch ký điện tử.
m c đích m� theo đó thông điệp d liệu được tạo ra v� (2)Ch ng thực ch ký điện tử là việc xác nh�n cơ quan, tổ
gửi đi. ch c, cá nhân được ch ng thực là người ký ch ký điện
tử.
• Ch ký điện tử ph�i đ�m b�o đ an toàn và không b gi� (5)D liệu là thông tin dưới dạng ký hiệu, ch viết, ch s ,
mạo khi tạo ra ch ký điện tử hình �nh, âm thanh hoặc dạng tương tự.
(12)Thông điệp d liệu là thông tin được tạo ra, được gửi đi,
được nh�n và được lưu tr bằng phương tiện điện tử.
1-8 1-9
Lợi ích c a ch k� điện tử Ứng d ng c a ch k� điện tử
(Electronic Signature) (Electronic Signature)
• Rút ngắn thời gian • Ch k� điện tử có thể sử d ng trong các giao d ch thư điện
• An toàn – b�o m�t danh tính cao tử, các e-mail, để mua bán h�ng trực tuyến, đầu tư ch ng
• Đa dạng và linh hoạt cách th c khoán trực tuyến, chuyển tiền ngân h�ng, thanh toán trực
tuyến m� không sợ b đánh cắp tiền như với các t�i kho�n
• Rút gọn quy trình ch ng nh�n gi�y tờ Visa, Master.
• Quy trình nộp thuế đơn gi�n • Ứng d ng c a Bộ T�i chính
• Ứng d ng c a Bộ Công thương
• Ứng d ng c a Bộ KHCN, …
• Mua bán, đặt h�ng trực tuyến
• Thanh toán trực tuyến, …
• Giao d ch qua email
• Hội ngh truyền hình v� l�m việc từ xa
1-10 1-11
1-12 1-13
Khái niệm về ch ký s
(Digital Signature) Khái niệm về ch k� s
• Khái niệm về Digital Signature được để xu�t b i Diffie & • Được tạo ra bằng cách mã hóa một thông điệp d liệu sử
Hellman (1976) d ng hệ th ng mã b�t đ i x ng. Sử d ng khoá riêng phần
• Chữ ký số là một dạng c a ch ký điện tử. Ch ký s là (Private Key) tương ng với khoá công khai ghi trên
thông tin đi kèm theo các t�i liệu điện tử như Word, Excel, ch ng thư s .
PDF, hình �nh, Video,…) nhằm m c đích xác nh�n ch s
• Ai mà có được thông điệp/d liệu ban đầu v� khóa công
h u d liệu đó. Nó mã hóa t�i liệu v� nhúng vĩnh viễn thông
tin v�o đó. Nếu người dùng c gắng thực hiện b�t kỳ thay đổi khai c a người k� có thể xác đ nh được tính xác thực c a
n�o trong t�i liệu thì đều sẽ b vô hiệu. ch ký và tính toàn vẹn c a thông điệp
• Chữ ký số (Token) l� một thiết b được mã hóa t�t c� các d
liệu, thông tin c a một doanh nghiệp/cá nhân dùng thay cho
ch k� trên các loại văn b�n v� t�i liệu s thực hiện đ i với
các giao d ch điện tử qua mạng internet.
1-14 1-15
Khái niệm về ch ký s
(Digital Signature) Khái niệm về ch k� s
• Chữ ký số giúp các tổ ch c duy trì k� xác thực, trách • Ch ký s l� một trong ng d ng quan trọng nh�t c a
nhiệm gi�i trình, tính to�n vẹn d liệu v� không thoái thác mã hóa khóa công khai.
t�i liệu điện tử v� các hình th c k� kết. • Message Authentication ch� b�o vệ thông điệp trao đổi
• Nó có vai trò như ch k� đ i với cá nhân hay con d�u đ i gi a hai bên tham gia không b hiệu ch�nh hay gi� mạo
với tổ ch c, doanh nghiệp v� dùng để xác nh�n lời cam từ bên th 3, nhưng nó không b�o vệ thông điệp b hiệu
kết c a tổ ch c, cá nhân đó trong văn b�n mình đã k� ch�nh hay gi� mạo từ một trong 2 bên tham gia, nghĩa l�:
trên môi trường điện tử s . Ch k� s được được thừa • Bên nh�n gi� mạo thông điệp c a bên gửi
nh�n về mặt pháp l�. • Bên gửi ch i l� đã gửi thông điệp đến bên nh�n
• Có nhiều loại ch ký khác nhay như: ch ký RSA, ch ký • Ch ký s không nh ng giúp xác thực thông điệp m�
ECC, ch ký ElGamal còn b�o vệ quyền lợi m i bên tham gia.
1-16 1-17
VÍ DỤ CHỮ KÝ SỐ TRONG THỦ TỤC HQĐT
• Minh đưa khóa công khai c a mình cho Lan, nhưng gi Ký điện tử Kiểm tra ch ký điện tử
1-18 1-19
1-20 1-21
Nguyên l� k� điện tử trong hệ m�t
Đặc điểm ch k� s mã công khai
1. Người g i (ch nhân văn b�n): ký văn b�n bằng cách mã
hóa nó với khóa bí m�t c a mình, rồi g i cho bên nh�n.
2. Người nh�n tiến hành kiểm tra ch ký bằng cách sử
d ng khóa công khai c a người g i để gi�i mã văn b�n.
Nếu gi�i mã thành công thì văn b�n ký là đúng người g i
1-22
1-24
Digital Signature Process
Sơ đồ sử d ng ch ký s
Tạo v� Kiểm tra ch k� s
1-26 1-27
• Ch ký không ph�i là nét vẽ ngoằn ngoèo khó • Mô hình CKS trên ch� đạt được nếu như m i
bắt chước mà là một dãy s trích từ đặc trưng người s h u đúng cặp chìa khóa c a chính
văn b�n đã được mã hóa. mình.
• So với ch ký thông thường, ch ký s có ưu thế • Có thể xẩy ra hiện tượng “mạo danh” người g i.
vượt trội hơn ch ký tay. Do đó, ta cần có cơ chế để xác đ nh “ai là ai” trên
Chính xác tuyệt đ i toàn hệ th ng.
Kiểm đ nh dễ dàng và chính xác
• Gi�i pháp: ch ng minh thư s
“Chữ ký điện tử mở đường cho các dịch vụ có độ tin
cậy cao”
Trong trường hợp pháp lu�t quy đ nh văn b�n cần có ch k� thì yêu cầu
• Chữ ký số được tạo ra khi ch ng thư s có hiệu lực v� đó đ i với một thông điệp d liệu được xem l� đáp ng nếu ch k� điện
có thể kiểm tra được bằng khoá công khai ghi trên ch ng tử được sử d ng để k� thông điệp d liệu đó đáp ng các điều kiện sau
thư s có hiệu lực đó. đây:
• Chữ ký số được tạo ra bằng khoá bí m�t tương ng với • Phương pháp tạo ch k� điện tử cho phép xác minh được người k�
v� ch ng tỏ được sự ch�p thu�n c a người k� đ i với nội dung
khoá công khai ghi trên ch ng thư s do tổ ch c có thẩm
thông điệp d liệu.
quyền c�p.
• Phương pháp tạo ch k� ph�i đ tin c�y v� phù hợp với m c đích
• Khóa bí m�t ch� thuộc sự kiểm soát c a người k� tại thời m� theo đó thông điệp d liệu được tạo ra v� gửi đi.
điểm k�. • Trong trường hợp pháp lu�t quy đ nh văn b�n cần được đóng d�u
• Khóa bí m�t v� nội dung thông điệp d liệu ch� gắn duy c a cơ quan, tổ ch c thì yêu cầu đó đ i với một thông điệp d liệu
được xem l� đáp ng nếu thông điệp d liệu đó được k� b i ch k�
nh�t với người k� khi người đó k� s thông điệp d liệu.
điện tử c a cơ quan, tổ ch c đáp ng các điều kiện quy đ nh tại
kho�n 1 Điều 22 c a Lu�t Giao d ch Điện tử v� ch k� điện tử đó có
1-32
ch ng thực. 1-33
Giá tr pháp lý c a ch k� s
(Digital Signature)
T�n công trên Digital
Signature
Để đ�m b�o giá tr pháp l�, ch k� s ph�i đáp ng các • Các loại t�n công trên Digital Signature
điều kiện như sau:
• Ch k� s được tạo ra khi ch ng thư s có hiệu lực v� (Attack Types)
có thể kiểm tra được bằng khoá công khai ghi trên ch ng • Key-Only Attack
thư s có hiệu lực đó.
• Known-Message Attack
• Ch k� s được tạo ra bằng khoá bí m�t tương ng với
khoá công khai ghi trên ch ng thư s do tổ ch c có thẩm • Chosen-Message Attack
quyền c�p. • Gi� mạo ch ký (Forgery)
• Khóa bí m�t ch� thuộc sự kiểm soát c a người k� tại thời
điểm k�.
• Existential Forgery
• Khóa bí m�t v� nội dung thông điệp d liệu ch� gắn duy • Selective Forgery
nh�t với người k� khi người đó k� s thông điệp d liệu.
1-34 1-35
1-36
Nh ng biến thể ch ký Nh ng biến thể ch ký
Blind Signatures Blind Signatures
• Gi� sử có một tài liệu mà chúng ta mu n có • Các bước thực hiện:
ch ký mà không mu n tiết lộ nội dung c a • Bob tạo một thông điệp, ẩn (Blind) nó, và gửi
tài liệu đ i với người ký. thông điệp ẩn này cho Alice
• Ví d : Nhà khoa học phát minh ra một lý • Alice ký thông điệp ẩn và tr� về ch ký trên thông
điệp ẩn.
thuyết r�t quan trọng mà cần được ký b i
• Bob bỏ ẩn ch ký để thu về ch ký trên thông
công ch ng viên, công ch ng viên sẽ ký
điệp g c
nhưng sẽ không biết gì về nội dung c a phát
minh.
Ứng d ng c a ch k� s
Nonrepudiation
1. Xác thực thông điệp (Message Authentication): Người • Nonrepudiation có thể được cung c�p bằng cách
ký được xác nh�n là ch ch ký. dùng một trusted Center
2. Toàn vẹn thông điệp (Message Integrity): Nội dung
chưa b thay đổi hoặc xáo trộn kể từ khi nó được ký
điện tử.
3. Ch ng từ ch i (Non-repudiation): Ch ng minh với t�t
c� các bên về nguồn g c c a nội dung đã ký. Từ
"thoái thác" dùng để ch� hành động c a một người ký
từ ch i b�t kỳ m i liên kết nào với nội dung đã ký.
4. B�o m�t (Confidentiality)
1-41
Confidentiality Ứng d ng c a ch k� s
• Thêm confidentiality v�o cơ chế digital signature
Trong chính phủ điện tử
• Khai báo h�i quan điện tử, thuế điện tử
• Khai sinh, khai tử
• C�p các loại gi�y tờ v� ch ng ch�
• Hệ th ng nộp hồ sơ xin phép: xu�t b�n,
xây dựng, y tế, giáo d c…
Một Digital Signature không cung c�p tính bí m�t. Nếu cần
b�o m�t, encryption/decryption được áp d ng
1-42 1-43
Sử d ng ch k� s Sử d ng ch k� s
• Quá trình sử d ng ch k� s có hai giai đoạn: Tạo ch k� • Ch k� s không gi ng như ch k� bình thường ch m i
(sử d ng khóa bí m�t để k� s ) v� kiểm tra ch k� (kiểm tra lần k�, người sử d ng sẽ dùng khóa bí m�t để tạo ch k�
khóa công khai có hợp lệ hay không). v� m i lần k� sẽ l� một ch k� khác nhau. Dựa v�o các
• Để sử d ng ch k� s cần ph�i đăng k� ch ng thư s v� công c phần mềm được cung c�p, các đ i tác có thể kiểm
tạo khóa bí m�t lưu v�o trong PKI Token với các nh� cung tra ch ng thư để xác đ nh ch k�.
c�p d ch v ch ng thực ch k� s . Các chương trình ng • Cách kiểm tra l� so sánh tính đồng nh�t c a khóa công khai
d ng ph�i h trợ ch c năng k� s , khi đó việc sử d ng khá trên các ch k� s c a người gửi với khóa công khai c a
đơn gi�n, người k� ch� cần cắm thiết b Token v�o cổng Trung tâm Ch ng thực ch k� s qu c gia (Root
USB, nh�p PIN code b�o vệ Token v� nhắp chuột v�o nút Certification Authority - Root CA) thuộc Bộ Thông tin -
lệnh k� s trong chương trình ng d ng. Truyền thông.
Các nh� cung c�p ch k� s Các nh� cung c�p ch k� s
Ch ng thư s Ch ng thư s
• Ch ng thư s l� một văn bản cung cấp khóa công khai • "Ch ng thư s " l� một dạng ch ng thư điện tử do tổ ch c
• được cung c�p b i một tổ ch c gọi l� tổ chức cung cấp cung c�p d ch v ch ng thực ch k� s c�p nhằm cung c�p
dịch vụ chứng thư số (certificate authority, hay viết tắt l� thông tin đ nh danh cho khóa công khai c a một cơ quan, tổ
CA). ch c, cá nhân, từ đó xác nh�n cơ quan, tổ ch c, cá nhân l�
• Ch ng thư s hoạt động nhờ v�o nguyên l� bên thứ ba tin người k� ch k� s bằng việc sử d ng khóa bí m�t tương
cậy (trusted third party – TTP), đây bên th ba chính l� ng (theo Kho�n 7, Điều 3, Ngh đ nh 130/2018/NĐ-CP)
CA. Thông thường, 2 bên giao tiếp với nhau không tin nhau,
tuy nhiên, nếu họ cùng tin v�o một bên th ba (TTP), v�
bên th ba đã xác thực 2 bên này, thì 2 bên n�y sẽ tin
tư ng lẫn nhau.
Ch ng thư s
Sơ đồ tạo ch ng thư s
Ứng d ng c a ch ng thư s Tình hình sử d ng ch ký s -
Việt Nam
• Sử d ng nhiều trong các hoạt động giao d ch thương mại • Theo “Báo cáo tình hình phát triển v� ng d ng ch
điện tử, đặc biệt trong thanh toán trực tuyến c a ngân h�ng. k� s tại Việt Nam năm 2019” vừa được Bộ Thông tin
v� Truyền thông công b , ch k� s hiện đang được
• Ch ng thực s sẽ giúp ngân h�ng đ�m b�o các khách h�ng
sử d ng hiệu qu� trong các hoạt động c a ng�nh T�i
không thể ch i bỏ các giao d ch c a mình.
chính như thuế, h�i quan, ch ng khoán, kho bạc nh�
• Ch ng thư s hiện còn được sử d ng như một dạng c a nước.
ch ng minh thư nhân dân. Tại các nước phát triển, ch ng
• Tính đến thời điểm 31/3/2019, doanh nghiệp v� các
thư s (CA ) được tích hợp v�o các con chíp nhớ nằm trong
đơn v trực thuộc, các chi nhánh sử d ng ch k� s
thẻ tín d ng để tăng kh� năng b�o m�t, ch ng gi� mạo, cho
trong lĩnh vực thuế 703.753 DN (không bao gồm các
phép ch thẻ xác minh danh tính c a mình trên các hệ
đơn v chi nhánh, trực thuộc) trên tổng s 711.748
th ng khác nhau như xe bus, thẻ rút tiền ATM, hộ chiếu
DN đang hoạt động, đạt tỷ lệ 98,87%.
điện tử tại các cửa khẩu, kiểm soát h�i quan …
1-69
CHỨNG THỰC THỰC THỂ và
ĐIỀU KHIỂN TRUY CẬP
(Entity Authentication and Access Control)
Phương pháp chứng thực và điều khiển truy cập Phương pháp chứng thực và điều khiển truy cập
˗ Chứng thực thông điệp (Message Authentication) ˗ Mật khẩu (Password)
Xác thực nguồn gốc thông điệp ˗ Sinh trắc học (Biometrics)
Xác thực tính toàn vẹn của thông điệp
Chống từ chối thông điệp
2. Passwords 2. Passwords
˗ Mật khẩu: một chuỗi ký tự hoặc một nhóm từ được sử dụng để Một số điểm yếu trên hệ thống xác thực bằng mật khẩu:
xác thực thực thể ˗ Lưu trữ mật khẩu trong CSDL không an toàn
˗ Thực thể(entity): cần xác thực (người dùng, thiết bị, ứng ˗ Truyền mật khẩu trên kênh không an toàn
dụng,..) Người dùng không cẩn trọng
˗ Người thẩm định(Verifier): kiểm tra tính hợp lệ của mật khẩu Sử dụng mật khẩu yếu
Ghi chép mật khẩu vào văn bản
Chia sẻ mật khẩu cho người khác (vô tình hay cố ý)
2. Passwords 2. Passwords
˗ Lưu trữ mật khẩu dưới dạng rõ Tấn công vào hệ xác thực bằng mật khẩu
Nguy cơ mất an toàn cao nhất ˗ Tấn công thụ động: nghe lén, quan sát quá trình nhập mật khẩu
Lưu mật khẩu dưới dạng bản mã: Nhìn trộm
An toàn khi sử dụng hệ mật mã tốt, bảo vệ khóa giải mã an toàn Sử dụng chương trình key logging
Hạn chế: cần thao tác giải mã bất cứ khi nào cần xác thực Tấn công kênh bên
Lưu mật khẩu dưới dạng mã băm: Chặn bắt gói tin
Chi phí thấp hơn ˗ Tấn công chủ động
Hạn chế: nguy cơ bị tấn công dò đoán dựa trên từ điển. Có thể hạn chế bằng Giả mạo chương trình cung cấp dịch vụ
cách đưa thêm “salt” vào mật khẩu trước khi băm
Giả mạo chương trình khách
Sử dụng máy chủ lưu trữ:
Tấn công man-in- the – middle
Giải pháp 1: Người thẩm tra yêu cầu máy chủ chuyển mật khẩu để xác thực
Tấn công vào máy chủ vật lý cung cấp dịch vụ
Giải pháp 2: Người thẩm tra đưa cho máy chủ thông tin người dùng. Máy
chủ xác thực và thông báo lại kết quả
2. Chứng thực Passwords 2.1 Fixed Password
˗ Chứng thực mật khẩu là phương pháp đơn giản và lâu đời ˗ Là một password được dùng lặp đi lặp lại mỗi lần truy xuất
nhất, được gọi là Password-based Authentication, password là ˗ Có 3 cơ chế được xây dựng theo hướng này
một thứ mà claimant biết. User ID và Password File
˗ Một Password được dùng khi một người dùng cần truy xuất Hashing the password
một hệ thống để sử dụng nguồn tài nguyên của hệ thống.
Salting the password
˗ Mỗi người dùng có một định danh người dùng (user
identification) công khai và một password bí mật. Two identification techniques are combined
˗ Có 2 cơ chế password:
Fixed password
và one-time password
Các hư�ng triển khai One-Time Password Các hư�ng triển khai One-Time Password
Hướng 1: User và System thỏa thuận một danh sách các Hướng 2: User và System thỏa thuận cập nhật một cách
Password tuần tự Password
Mỗi Password trong danh sách được dùng một lần User và System thỏa thuận một Password gốc, P1 mà
System và User phải giữ gìn danh sách Password Password này chỉ hợp lệ cho lần đầu tiên truy suất.
Nếu User không dùng các password một cách tuần tự thì System phải Trong quá trình truy xuất lần đầu tiên này, user phát sinh
thực hiện tìm kiếm và so khớp
một password mới P2, và mã hóa password này với khóa
Password chỉ hợp lệ một lần và không sử dụng lại
là P1, P2 là password cho lần truy xuất kế tiếp và cứ thế
tiếp tục phát sinh Pi+1 từ Pi cho lần truy xuất thứ Pi+1
Nếu đối phương đoán ra được P1 thì có thể tìm được tất
cả các Password khác
Các hư�ng triển khai One-Time Password Các hư�ng triển khai One-Time Password
Hướng 3: User và System tạo ra một Password được cập ˗ Lamport one-time password
nhật một cách tuần tự sử dụng hàm băm.
˗ Hướng này được đề xuất bởi Leslie Lamport
˗ User và System đồng thuận một Password gốc, P0 và số
đếm n. System tính hn(P0) với hn được áp dụng hàm băm lần
thứ n
hn(x)=h(hn-1(x)), hn-1(x)=h(hn-2(x)), …, h2(x)=h(h (x)), h 1(x)=h(x)
˗ System lưu nhận dạng của user thông qua giá trị n và giá trị
hn(P0)
3. Challenge-Response 3. Challenge-Response
˗ Dùng chứng thực bằng Password, để chứng mnh nhận dạng Có 3 hướng chính để tạo nên Challenge-reponse
Claimant cần trình ra password bí mật, tuy nhiên password này ˗ Using A Sysmetric-Key Cipher
có bị tiết lộ ˗ Using Keyed-Has Functions
˗ Với chứng thực bằng Challenge-reponse, claimant chứng ˗ Using An Asymmetric-Key Cipher
mình rằng cô ta biết một bí mật (secret) mà không cần gửi
chúng đi. Nói cách khác, clamant không cần gửi bí mật cho ˗ Using Digital Signature
verifier, verifier hoặc có hoặc tự tìm ra chúng
˗ Challege là một giá trị biến đổi theo thời gian được gửi bởi
Verifier, Response là kết quả của một hàm được áp dụng
trên challenge
3.1 Using A Sysmetric-Key Cipher 3.1 Using A Sysmetric-Key Cipher
˗ Bí mật (secret) ở đây là khóa bí mật được chia sẻ giữa ˗ Hướng 1: Nonce challenge
Claimant và Verifier. Sử dụng hàm mã hóa áp dụng cho
challenge này. Có vài hướng theo cơ chế này
˗ Hướng 1: Nonce challenge
5. Biometrics 5. Biometrics
5. Biometrics 5. Biometrics
Enrollment Authentication
˗ Trước khi dùng bất cứ kỹ thuật sinh trắc học để chứng thực, ˗ Chứng thực (Authentcation) được thực hiện bởi sự thẩm tra
đặc tính tương ứng của mỗi người trong cộng đồng cần phải (Verification) hoặc nhận dạng (identication)
có sẵn trong CSDL, quá trình này được gọi là enrollment Verification: Đặc tính của một người được so khớp với một
mẫu tin đơn trong CSDL để xác định cô ta có phải là người
mà cô ta đang tự khai không
Identication: Đặc tính của một người được so khớp với tất
cả các mẫu tin có trong CSDL để xác định cô ta có một mẫu
tin trong CSDL.
Techiques Accuracy
˗ Các kỹ thuật sinh trắc học có thể được chia thành hai hướng chính: sinh ˗ Độ chính xác (Accuracy) của các kỹ thuật sinh trắc học được
lý học và dáng điệu học đo lường bằng cách dùng hai tham số:
False Rejection Rate (FRR)
False Acceptance Rate (FAR)
Kết hợp nhiều phương pháp (Multi-factor) Kết hợp nhiều phương pháp (Multi-factor)
˗ Sử dụng nhiều hơn một phương pháp chứng thực ˗ Ưu điểm
Mật khẩu/ PIN Giảm sự phụ thuộc vào password
Smart card Hệ thống chứng thực mạnh hơn
Sinh trắc học Cung cấp khả năng cho Provides Public Key Infrastructure (PKI)
˗ Kết hợp nhiều phương pháp chứng thực tạo sự bảo vệ theo chiều sâu ˗ Nhược điểm
với nhiều tầng bảo vệ khác nhau Tăng chi phí triển khai: đầu tư thiết bị, đào tạo người dùng và quản trị
Tăng chi phí duy trì: do tính không tương thích giữa các nhà SX
Chi phí nâng cấp: sự không ổn định của nhà SX
User X
Thảo luận
˗ Nhóm 1: RADIUS
5
˗ Nhóm 2: Kerberos
˗ Nhóm 3: CHAP
˗ Nhóm 4: Certificate
˗ Yêu cầu: mô tả hệ thống/ triển khai thực nghiệm trên môi trường giả lập
• Để giảm số lượng khóa, mỗi người sẽ thiết • Quá trình xử lý như sau:
lập một khóa bí mật chia sẻ với KDC 1. Alice gửi 1 yêu cầu đến KDC để nói rằng cô ta cần
một khóa phiên (session secret key) giữa cô ta và
Bob.
2. KDC thông báo với Bob về yêu cầu của Alice
3. Nếu Bob đồng ý, một session key được tạo giữa 2
bên.
• Khóa bí mật này được dùng để chứng thực Alice và
Bob với KDC và ngăn chặn Eve giả mạo một trong
hai.
• Làm thế nào để Alice có thể gửi một thông
điệp bảo mật tới Bob 4
Key-Distribution Center: KDC Key-Distribution Center: KDC
6 7
• Hierarchical Multiple KDCs • KDC tạo khóa bí mật cho mỗi thành viên,
khóa bí mật này chỉ có thể dùng giữa thành
viên và KDC, chứ không dùng giữa hai thành
viên
• Nếu muốn dùng giữa hai thành viên, KDC tạo
một session key giữa hai thành viên, sử
dụng khóa của họ với trung tâm.
• Khóa phiên giữa hai thanh viên chỉ được
dùng một lần (sau giao tiếp kết thúc thì khóa
phiên cũng không còn tác dụng)
8 9
Khóa phiên (Session Keys)
• Một giao thức đơn giản sử dụng một KDC
2. KERBEROS
• Đây là mô hình Hệ thống khóa máy chủ tin cậy của
MIT (Trường Đại học Kỹ thuật Massachusetts) để
cung cấp xác thực có bên thứ ba dùng khóa riêng và
tập trung.
• Kerberos là tên của một hệ dịch vụ phân phối (hay
cấp phát) khóa phiên (session) cho từng phiên truyền
tin bảo mật theo yêu cầu của người dùng trong một
mạng truyền tin
• Kerberos là một giao thức chứng thực. Keberos chỉ
dựa trên mã hóa đối xứng
• Đã có hai phiên bản đang sử dụng là: Kerberos 4 và
• Giao thức này có thể bị tấn công phát lại ở bước 3 10
Kerberos 5.
2. KERBEROS 2. KERBEROS
• Mục đích của Keberos là để trao đổi khóa Các yêu cầu của Kerrberos
phiên, thông qua đó đảm bảo tính bảo mật và • Trong môi trường phân tán, người sử dụng
tính chứng thực. tại các máy trạm muốn truy cập đến các dịch
• Do nguyên tắc của Keberos dựa trên KDC vụ trên các máy chủ phân tán.
nên Keberos cũng kế thừa được những ưu • Yêu cầu đối với hệ thống Kerberos là
điểm của mô hình KDC như tính phi trạng • An toàn.
thái • Tin cậy.
• Trong suốt.
• Có thể mở rộng.
2. KERBEROS Servers
15
14
2. KERBEROS Servers
• Là sơ đồ xác thực dùng bên thứ ba và có máy chủ • Người sử dụng nhận thẻ được cấp từ máy chủ xác
xác thực (AS – Authentication Server). thực AS, mỗi thẻ cho một phiên làm việc và cũng
• Người dùng thỏa thuận với AS về danh tính của nhận thẻ cấp dùng dịch vụ (Service Granting Ticket)
mình, AS cung cấp sự tin cậy xác thực thông qua thẻ từ TGT.
cấp thẻ TGT (Ticket Granting Ticket). • Mỗi thẻ dùng cho một dịch vụ khác nhau được yêu
• Người sử dụng thường xuyên yêu cầu TGS cho truy cầu, thông qua việc trao đổi giữa máy chủ/trạm để
cập đến các dịch vụ khác dựa trên thẻ cấp thẻ TGT nhận được dịch vụ.
của người sử dụng và máy chủ cung cấp thẻ (TGS –
Ticket Granting Server) cung cấp các thẻ dịch vụ
theo yêu cầu và thẩm quyền.
20 21
Kerberos 5 Giao thức Kerberos 5
• Kerberos 5 được phát triển vào giữa những năm • Kerberos sử dụng một đối tác tin cậy thứ ba để thực
1990, được thiết kế theo chuẩn RFC. hiện quá trình xác thực được gọi là Trung tâm phân
• Nó cung cấp những cải tiến so với phiên bản 4, cụ phối khóa bao gồm 2 phần riêng biệt: một máy chủ xác
thể hướng tới các thiếu sót về môi trường, thuật toán thực (AS) và một máy chủ cấp thẻ (TGS).
mã, thủ tục mạng, thứ tự byte thông điệp, thời gian • Kerberos làm việc dựa trên các thẻ để thực hiện quá
sử dụng thẻ, truyền tiếp xác thực, xác thực lãnh địa trình xác thực người dùng. Kerberos duy trì một cơ sở
con và các sự khác biệt về kỹ thuật như: mã kép dữ liệu chứa các khóa bí mật. Mỗi thực thể trên mạng
dùng mã hai lần thẻ bằng khóa mật của máy chủ (máy trạm hoặc máy chủ) đều chia sẻ một khóa bí mật
đích và khóa riêng của người sử dụng, khắc phục giữa bản thân nó với Kerberos.
các dạng sử dụng không chuẩn trong phiên bản • Để thực hiện quá trình giao tiếp giữa hai thực thể,
trước, khóa phiên được mã bằng khóa xác thực của Kerberos tạo ra một khóa phiên. Khóa này dùng để bảo
TGS cộng thêm với yếu tố thời gian của lần sử dụng, mật quá trình tương tác giữa các thực thể với nhau
chống tấn công mật khẩu. 22 23
• Kerberos thích hợp cho việc cung cấp các dịch vụ xác • Ngoài ra, nếu người dùng chọn những mật khẩu dễ
thực, phân quyền và bảo đảm tính mật của thông tin đoán thì hệ thống dễ bị mất an toàn trước kiểu tấn công
trao đổi trong phạm vi một mạng hay một tập hợp nhỏ từ điển, tức là kẻ tấn công sẽ sử dụng phương thức
các mạng. đơn giản là thử nhiều mật khẩu khác nhau cho đến khi
• Tuy nhiên, nó không thật thích hợp cho một số chức tìm được giá trị đúng.
năng khác, chẳng hạn như ký điện tử (yêu cầu đáp ứng • Do hệ thống hoàn toàn dựa trên mật khẩu để xác thực
cả hai nhu cầu xác thực và bảo đảm không chối cãi người dùng, nếu bản thân các mật khẩu bị đánh cắp thì
được). Một trong những giả thiết quan trọng của giao khả năng tấn công hệ thống là không có giới hạn. Điều
thức Kerberos là các máy chủ trên mạng cần phải tin này dẫn đến một yêu cầu rất căn bản là Trung tâm
cậy được. phân phối khóa cần được bảo vệ nghiêm ngặt. Nếu
không thì toàn bộ hệ thống sẽ trở nên mất an toàn
24 25
Hạn chế của Kerberos 5 3.4. Mô hình trao đổi khóa
Diffie-Hellman
Toàn vẹn dữ liệu
• Trao đổi khoá Diffie Hellman là sơ đồ khoá công
• Đối với mỗi hệ bảo mật toàn vẹn dữ liệu là một yêu cầu
không thể thiếu, để đảm bảo tính toàn vẹn dữ liệu thực
khai đầu tiên được đề xuất bởi Diffie và
sự, các thuật mã hoá như mã hoá băm, mã xác nhận Hellman năm 1976 cùng với khái niệm khoá
thông điệp (MAC) và chữ ký điện tử có thể cùng được công khai.
triển khai đồng loạt. • Sau này được biết đến bởi James Ellis (Anh),
• Về cơ bản, những biện pháp này sử dụng các hàm một người đã đưa ra mô hình tương tự năm 1970.
chiều, nghĩa là dữ liệu không thể bị giải mã ngay cả khi
Đây là phương pháp thực tế trao đổi công khai
đã biết khóa để mã hoá nó.
các khoá mật. Nó thúc đẩy việc nghiên cứu đề
xuất các mã khoá công khai. Sơ đồ được sử
dụng trong nhiều sản phẩm thương mại.
12/Jun/2023
26
27
2.Man-in-the-Middle Attack
12/Jun/2023
30
31
• Giao thức là an toàn đối với việc tấn • Là một giao thức dựa trên Diffie-Hellman
công thụ động, nghĩa là một người thứ • Dùng Digtal signature với Public-key
ba dù biết bA và bB sẽ khó mà biết được Certificates để thiết lập nên session key
KA,B. giữa Alice và Bob
37
4. Hạ tầng khóa công khai 4. Hạ tầng khóa công khai
(PKI) (PKI)
Nhiệm vụ của PKI:
• “PKI là tập hợp của các công nghệ mật mã, • Quản lý danh tính người sử dụng với khóa công khai của
phần mềm, phần cứng chuyên dụng và các người đó.
dịch vụ cho phép các tổ chức/doanh nghiệp • Cấp chứng nhận của Chủ quyền Giấy chứng nhận CA
đảm bảo an toàn thông tin liên lạc, định cho người sử dụng.
danh và xác thực được người dùng, khách • Huỷ và Thu hồi các giấy chứng nhận không còn hiệu lực.
hàng trên các giao dịch qua mạng/Internet”. • Tạo ra các Thư mục để lưu trữ các chứng nhận và danh
<DigiCrypto> sách thu hồi (CRL).
• Cung cấp dịch vụ sẵn sàng cung cấp cho người sử dụng
như: đăng ký, truy cập, xin giấy chứng nhận, đưa ra danh
sách thu hồi CRL.
12/Jun/2023 12/Jun/2023
38 39
Các thành phần Các thành phần của một chứng nhận khóa công
cộng
• Giấy chứng nhận là một tập tin nhị phân • Khởi tạo
có thể dễ dàng chuyển đổi qua mạng • Yêu cầu về giấy chứng nhận
máy tính. • Tạo lại chứng nhận
• Tổ chức CA áp dụng chữ ký điện tử của • Hủy bỏ chứng nhận
nó cho giấy chứng nhận khóa công • Lưu trữ và khôi phục khóa
cộng mà nó phát hành.
12/Jun/2023 12/Jun/2023
42 43
Yêu cầu về giấy chứng nhận Mẫu yêu cầu chứng nhận theo chuẩn
PKCS#10
12/Jun/2023 12/Jun/2023
44 45
Định dạng thông điệp yêu cầu chứng nhận theo Hủy bỏ chứng nhận
RFC 2511
12/Jun/2023 12/Jun/2023
48 49
Phiên bản 3 của chuẩn chứng nhận X.509
Mô tả
12/Jun/2023 12/Jun/2023
54 55
• Một RA là một thực thể tùy chọn được • Các nhiệm vụ chính của RA có thể
thiết kế để chia sẻ bớt công việc trên được chia thành các loại:
CA. • Các dịch vụ chứng nhận.
• Một RA không thể thực hiện bất kỳ một • Các dịch vụ kiểm tra.
dịch vụ nào mà tổ chức CA của nó
không thực hiện được
12/Jun/2023 12/Jun/2023
56 57
Nhận xét 4.3.3. Kho lưu trữ chứng nhận –
Certificate Repository (CR)
• Một RA hoạt động như là một xử lý • Một kho chứng nhận là một cơ sở dữ
ngoại vi của CA. liệu chứa các chứng nhận được phát
• Một RA chỉ nên phục vụ cho một CA. hành bởi một CA.
Trong khi đó, một CA có thể được hỗ • Kho có thể được tất cả các người dùng
trợ bởi nhiều RA. của PKI.
12/Jun/2023 12/Jun/2023
58 59
12/Jun/2023 12/Jun/2023
60 61
Nhận xét Nhận xét
• Tất cả mọi chứng nhận khóa công cộng • Tổ chức CA được phân ra thành nhiều
đều được ký tập trung bởi tổ chức CA cấp, tổ chức CA ở cấp cao hơn sẽ ký
và có thể được xác nhận bằng khóa vào chứng nhận khóa công cộng của
công cộng của CA. các tổ chức CA con trực tiếp của mình.
• Khuyết điểm chính của mô hình này là • Một chứng nhận khóa công cộng của
hiện tượng “nút cổ chai” tại trung tâm. người sử dụng sẽ được ký bởi một tổ
chức CA cục bộ.
12/Jun/2023 12/Jun/2023
62 63
12/Jun/2023 12/Jun/2023
70 71
1. Liệt kê các cách mà secret key có thể được 7. Giao thức Station-to-Station là gì, cho
phân phối cho hai bên giao tiếp.
biết mục đích của nó
2. Khóa của Distribution Center là gì?
8. CA là gì, mối quan hệ của nó vỡi mã
3. Cho biết trách nhiệm của một KDC
hóa khóa công khai
4. Session Key là gì và chỉ ra một KDC có thể
tạo một session key giữa Alice và Bob
5. Kerberos là gì và tên server của nó; mô tả
trách nhiệm của từng Server.
6. Thế nào là tấn công Man-in-the-middle
72
DUY TRÌ VÀ HỆ THỐNG QUẢN LÝ
AN TOÀN THÔNG TIN
(INFORMATION SECURITY MAINTENANCE)
Vì sao cần quản lí an toàn thông tin? Lợi ích khi áp dụng ISMS
˗ Sử dụng và kiểm soát hiệu quả, an toàn thông tin đóng vai trò rất quan 1) Đảm bảo ATTT của tổ chức, đối tác và khách hàng, giúp cho hoạt động
trọng trong công tác quản lý, điều hành của mỗi tổ chức. Những thông tin của tổ chức luôn thông suốt và an toàn.
của tổ chức vì một lí do nào đó không được kiểm soát tốt có thể để lại 2) Giúp nhân viên tuân thủ việc đảm bảo ATTT trong hoạt động nghiệp vụ
những hậu quả sau: thường ngày; Các sự cố ATTT do người dùng gây ra sẽ được hạn chế
Thông tin bị đánh cắp, mất mát và không có khả năng khôi phục tối đa khi nhân viên được đào tạo, nâng cao nhận thức ATTT.
Thiếu, không đủ thông tin khi cần 3) Giúp hoạt động đảm bảo ATTT luôn được duy trì và cải tiến. Các biện
Không khai thác và tận dụng được tối đa nguồn thông tin pháp kỹ thuật và chính sách tuân thủ được xem xét, đánh giá, đo lường
Thông tin quan trọng bị “tẩu thoát” ra bên ngoài hiệu quả và cập nhật định kỳ.
Tùy vào quy mô và lĩnh vực hoạt động, mỗi tổ chức có thể có
các phương thức tiếp cận khác nhau để xây dựng hệ thống quản
lý ATTT phù hợp
Hệ thống quản lý ATTT (ISMS) giúp tổ chức thực hiện việc kiểm
soát và định hướng cho các hoạt động đảm bảo ATTT
Lợi ích khi áp dụng ISMS 3. Tiêu chuẩn ISO/IEC 27001:2013 là gì?
4) Đảm bảo hoạt động nghiệp vụ của tổ chức không bị gián đoạn bởi các ˗ Tiêu chuẩn ISO/IEC 27001:2013 hay Tiêu chuẩn Công nghệ thông tin -
sự cố liên quan đến ATTT. Các kĩ thuật an toàn - Hệ thống quản lí an toàn thông tin - Các yêu
5) Nâng cao uy tín của tổ chức, tăng sức cạnh tranh, tạo lòng tin với khách cầu có tên tiếng Anh là: ISO/IEC 27001:2013 Information technology —
hàng, đối tác, thúc đẩy quá trình toàn cầu hóa và tăng cơ hội hợp tác Security techniques — Information security management systems —
quốc tế Requirements.
˗ ISO/IEC 27001 là tiêu chuẩn quốc tế về Hệ thống quản lý an ninh thông
tin (ISMS).
˗ ISO/IEC 27001 là tiêu chuẩn quy định các yêu cầu đối với việc xây dựng
và áp dụng hệ thống quản lý ATTT nhằm đảm bảo tính bảo mật
(confidentiality), tính nguyên vẹn (integrity) và tính sẵn sàng
(availability) đối với tài sản thông tin của các tổ chức.
Cấu trúc của Tiêu chuẩn ISO/IEC 27001:2013 là gì? 3. Cấu trúc của Tiêu chuẩn ISO/IEC 27001:2013 là gì?
˗ 07 điều khoản chính của ISO 27001 ˗ 07 điều khoản chính của ISO 27001
Điều khoản 4 – Phạm vi tổ chức: Điều khoản 6 – Lập kế hoạch:
˗ Điều khoản này đưa ra các yêu cầu cụ thể để tổ chức căn cứ trên quy mô; lĩnh ˗ Doanh nghiệp, tổ chức cần định nghĩa và áp dụng các quy trình đánh giá rủi
vực hoạt động và yêu cầu, kỳ vọng của các bên liên quan thiết lập phạm vi Hệ ro; đưa ra các quy trình xử lý. Điều khoản này đưa ra các yêu cầu; về việc
thống quản lý an ninh thông tin phù hợp. thiết lập mục tiêu an toàn thông tin và kế hoạch để đạt được mục tiêu đó.
Điều khoản 5 – Lãnh đạo: Điều khoản 7 – Hỗ trợ:
˗ Điều khoản này quy định các vấn đề về trách nhiệm; của Ban lãnh đạo mỗi tổ ˗ Yêu cầu đối với việc tổ chức đào tạo; nâng cao nhận thức cho toàn thể cán
chức trong Hệ thống an ninh thông tin. Bao gồm các yêu cầu về sự cam kết, bộ; nhân viên của tổ chức về lĩnh vực an toàn thông tin và ISMS, số hóa thông
quyết tâm của Ban lãnh đạo trong việc xây dựng, duy trì hệ thống thông tin; tin.
các yêu cầu về việc cung cấp nguồn lực, tài chính để vận hành hệ thống thông Điều khoản 8 – Vận hành hệ thống:
tin. ˗ Doanh nghiệp, tổ chức cần có kế hoạch vận hành và quản lý để đạt được các
mục tiêu. Đồng thời cần định kỳ thực hiện đánh giá rủi ro an toàn thông tin và
có kế hoạch xử lý.
3. Cấu trúc của Tiêu chuẩn ISO/IEC 27001:2013 là gì? 3. Cấu trúc của Tiêu chuẩn ISO/IEC 27001:2013 là gì?
˗ 07 điều khoản chính của ISO 27001 ˗ 07 điều khoản chính của ISO 27001
Điều khoản 6 – Lập kế hoạch: Điều khoản 9 – Đánh giá hiệu năng hệ thống:
˗ Doanh nghiệp, tổ chức cần định nghĩa và áp dụng các quy trình đánh giá rủi ˗ Quy định trách nhiệm của Ban lãnh đạo trong việc định kỳ xem xét; đánh giá
ro; đưa ra các quy trình xử lý. Điều khoản này đưa ra các yêu cầu; về việc Hệ thống quản lý an ninh thông tin của tổ chức. Phần này đưa ra yêu cầu đối
thiết lập mục tiêu an toàn thông tin và kế hoạch để đạt được mục tiêu đó. với mỗi kỳ xem xét hệ thống; đảm bảo đánh giá được toàn bộ hoạt động của
Điều khoản 7 – Hỗ trợ: hệ thống; đo lường hiệu quả và có kế hoạch khắc phục; nâng cấp hệ thống
˗ Yêu cầu đối với việc tổ chức đào tạo; nâng cao nhận thức cho toàn thể cán cho phù hợp.
bộ; nhân viên của tổ chức về lĩnh vực an toàn thông tin và ISMS, số hóa thông Điều khoản 10 – Cải tiến hệ thống:
tin. ˗ Giữ vững nguyên tắc Kế hoạch – Thực hiện – Kiểm tra – Hành động. Điều
Điều khoản 8 – Vận hành hệ thống: khoản 10 trong tiêu chuẩn ISO 27001; cũng đưa ra các yêu cầu đảm bảo Hệ
˗ Doanh nghiệp, tổ chức cần có kế hoạch vận hành và quản lý để đạt được các thống quản lý an ninh thông tin không ngừng được cải tiến trong quá trình
mục tiêu. Đồng thời cần định kỳ thực hiện đánh giá rủi ro an toàn thông tin và hoạt động. Điều khoản này bao gồm các quy định trong việc áp dụng các
có kế hoạch xử lý. chính sách mới; các hoạt động khắc phục, phòng ngừa điểm yếu đã xảy ra. Và
để đảm bảo hiệu quả của Hệ thống quản lý an ninh thông tin.
3. Đặc điểm của Tiêu chuẩn ISO/IEC 27001:2013 là gì? Cấu trúc Tiêu chuẩn ISO 27001: 2013
1. Tăng tính khả dụng của các hệ thống công nghệ thông tin của riêng tổ chức, ˗ Phụ lục A: Các mục tiêu và
bao gồm dữ liệu và thông tin hiện có, biện pháp kiểm soát: đưa
2. Bảo vệ tính toàn vẹn của thông tin hiện có, ra 14 lĩnh vực kiểm soát
3. Đảm bảo tính bảo mật của dữ liệu hiện có và bảo vệ chúng khỏi bị truy cập nhằm cụ thể hóa các vấn đề
trái phép, cũng như để đảm bảo tính xác thực của thông tin. mà tổ chức cần xem xét,
4. Các tổ chức thuộc mọi qui mô và ngành công nghiệp có thể cung cấp bằng thực hiện khi xây dựng và
chứng thông qua chứng nhận của một tổ chức chứng nhận được công nhận.
duy trì Hệ thống ISMS.
5. Đảm bảo an toàn thông tin liên tục theo chu trình Act-Do-Check-Act,
6. Nhận ra và kiểm soát rủi ro và do đó để đạt được cải tiến liên tục,
7. Bảo vệ dữ liệu bí mật cũng như để đáp ứng các yêu cầu bên ngoài về tính
sẵn có, tính toàn vẹn và bảo mật của thông tin, ví dụ như của kế toán viên.
5. Các bước triển khai ISMS dựa trên tiêu chuẩn ISO/IEC
27001:2013 Quy trình triển khai tiêu chuẩn ISO 27001
˗ Bước 1: Khảo sát và lập kế hoạch
˗ Bước 2: Xác định phương pháp quản lý rủi ro ATTT
˗ Bước 3: Xây dựng hệ thống đảm bảo ATTT tại đơn vị
˗ Bước 4: Triển khai áp dụng: các biện pháp đã lựa chọn, đáp ứng chính
sách, quy định, quy trình đã xây dựng và yêu cầu của tiêu chuẩn ISO
27001.
˗ Bước 5: Đánh giá nội bộ: khắc phục các điểm không phù hợp với các
quy định của tổ chức và yêu cầu của tiêu chuẩn.
Sau khi thực hiện xong bước 5, tổ chức mời các đơn vị độc lập để đánh
giá và cấp Chứng nhận phù hợp với tiêu chuẩn ISO 2701:2013 cho Hệ
thống quản lý ATTT đã xây dựng.
5. Các bước triển khai ISMS dựa trên tiêu chuẩn ISO/IEC 5. Các bước triển khai ISMS dựa trên tiêu chuẩn ISO/IEC
27001:2013 27001:2013
˗ Áp dụng ISMS theo ISO 27001 tại doanh nghiệp
˗ Bước 1, khảo sát hiện trạng của tổ chức nhằm nắm bắt được thực trạng
quản lý ATTT tại tổ chức đó cũng như yêu cầu, mong muốn của Lãnh đạo
cho việc quản lý ATTT.
Bước 2, lập kế hoạch xây dựng ISMS: Trên cơ sở kết quả khảo sát hiện
trạng của tổ chức sẽ đề xuất kế hoạch để xây dựng ISMS cho phù hợp
với thực tế của tổ chức.
˗ Bước 3, xây dựng hệ thống tài liệu và triển khai áp dụng: Xây dựng các
chính sách, quy định, quy trình về ATTT và ban hành các văn bản này.
Sau khi ban hành, sẽ thực hiện áp dụng các yêu cầu, điều khoản của
chính sách, quy định vào hệ thống CNTT với phạm vi đã được đưa ra
trong văn bản ban hành.
5. Các bước triển khai ISMS dựa trên tiêu chuẩn ISO/IEC
27001:2013 DN nhận CC ATTT theo tiêu chuẩn ISO/IEC 27001:2013
4. Lợi ích gì khi áp dụng hệ thống quản lý an toàn thông tin 4. Lợi ích gì khi áp dụng hệ thống quản lý an toàn thông tin
˗ Lợi ích khi tổ chức, doanh nghiệp được chứng nhận chứng chỉ ISO
27001
1. Lưu trữ, khai thác thông tin một cách hiệu quả và chính xác:
2. Tăng cường khả năng quản lý cho doanh nghiệp
3. Giảm chi phí, tăng lợi nhuận
4. Liên tục cải tiến
4. Lợi ích gì khi áp dụng tiêu chuẩn ISO 27001:2013 4. Lợi ích gì khi áp dụng tiêu chuẩn ISO 27001:2013
1) Lợi ích cho khách hàng của bạn: 2) Lợi ích cho tổ chức của bạn:
˗ Nhận được sự tin tưởng của khách hàng của bạn trong toàn bộ chuỗi ˗ Bảo vệ IP, thương hiệu và uy tín của bạn.
cung ứng của bạn. ˗ Kiếm được nhiều doanh nghiệp hơn từ khách hang mới và khách hang
˗ Giảm thiểu khả năng vi phạm gây tốn chi phí hiện tại.
˗ Giảm chi phí cho các nhà cung cấp mới. ˗ Giảm chi phí bán hang
˗ Được bảo mật thông tin một cách tối ưu nhất. ˗ Giúp các mối quan hệ bền chặt hơn với nhiều doanh nghiệp cũ
˗ Cải tiến quy trình dẫn đến tiết kiệm chi phí và thời gian
˗ Tránh phạt tiền từ việc không tuân thủ quy định (như GDPR)
˗ Tránh các sự kiện dân sự do vi phạm dữ liệu
˗ Tránh chi phí cho hành động khắc phục hậu quả do sự cố và / hoặc vi
phạm
˗ Thu hút nhân viên tốt hơn
4. Lợi ích gì khi áp dụng tiêu chuẩn ISO 27001:2013 Một số lưu ý của tiêu chuẩn ISO 27001:2013
3) Lợi ích cho nhân viên của bạn: ˗ Hệ thống ISMS là nhu cầu thiết yếu của tổ chức, đảm bảo ATTT một cách
˗ Tin tưởng vào sự bền vững của tổ chức. toàn diện.
˗ Đào tạo cho công việc (và an ninh gia đình) ˗ Xây dựng hệ thống ISMS theo tiêu chuẩn ISO/IEC 27001: 2013 sẽ giúp
˗ Rõ rang thông qua các chính sách và thủ tục. hoạt động đảm bảo ATTT của tổ chức được quản lý chặt chẽ.
˗ Tự hào về tổ chức và vai trò của họ trong việc bảo vệ nó. ˗ Do tiêu chuẩn ISO/IEC 27001:2013 xem xét đảm bảo ATTT trên nhiều
khía cạnh. Nên việc xây dựng và áp dụng hệ thống đòi hỏi phải có sự
quyết tâm của lãnh đạo tổ chức. Và sự phối hợp đồng bộ các bộ phận
của tổ chức trong việc xây dựng và duy trì hệ thống.