Distance Learning

Môn học
NHẬP MÔN HỆ THỐNG THÔNG TIN QUẢN LÝ
 Bài 4

BẢO MẬT THÔNG TIN

 • GIỚI THIỆU
1

• CÁC ĐẶC TRƯNG CỦA MỘT HTTT

2 BẢO MẬT

• CÁC NGUY CƠ ĐỐI VỚI HTTT

3

• RỦI RO ĐỐI VỚI HTTT VÀ QUẢN LÝ

4 RỦI RO

Môn học: Nhập môn Hệ thống thông tin quản lý 3

 Dữ liệu & Thông tin là tài sản của doanh
nghiệp

 Nhu cầu lưu trữ và xử lý dữ liệu ngày càng

tăng

 Đảm bảo an toàn trên các HTTT là cần

thiết

Môn học: Nhập môn Hệ thống thông tin quản lý 5

 02 điều thay đổi lớn đối với vấn đề bảo vệ
thông tin:

 Bảo vệ sự an toàn hoạt động của máy tính

 Bảo vệ sự an toàn của hệ thống mạng

Môn học: Nhập môn Hệ thống thông tin quản lý 6

 03 đặc trưng của một HTTT bảo mật

 Tính bí mật của thông tin (Confidentiality)

 Tính toàn vẹn của thông tin (Integrity)

 Tính khả dụng của thông tin (Availability)

Môn học: Nhập môn Hệ thống thông tin quản lý 8

Môn học: Nhập môn Hệ thống thông tin quản lý 9
 Tính bí mật của thông tin (Confidentiality)
 Là tính giới hạn về đối tượng được quyền truy xuất đến
thống tin
 Thông tin chỉ được phép truy cập bởi những đối tượng (con
người, chương trình máy tính) được cấp phép

 Xem xét 02 yếu tố:

 Sự tồn tại của thông tin
 Nội dung của thông tin

Môn học: Nhập môn Hệ thống thông tin quản lý 10

 Ví dụ: Hệ thống xác thực người dùng (User Authentication)

Môn học: Nhập môn Hệ thống thông tin quản lý 11

 Tính toàn vẹn của thông tin (Integrity)
 Thông tin chỉ được xóa hoặc sửa bởi những đối tượng được
phép và đảm bảo thông tin vẫn được chính xác khi sao lưu
hay di chuyển (Đảm bảo sự tồn tại nguyên vẹn của thông
tin)
 Đánh giá 02 yếu tố
 Toàn vẹn về nguồn gốc
 Toàn vẹn về nội dung
 Tính không thể chối cãi

Môn học: Nhập môn Hệ thống thông tin quản lý 12

 Ví dụ: Thực hiện chuyển tiền online  mã OTP

Môn học: Nhập môn Hệ thống thông tin quản lý 13

 02 Cơ chế đảm bảo sự toàn vẹn của thông tin
 Cơ chế ngăn chặn (Prventation)
 Cơ chế phát hiện (Detection)

Môn học: Nhập môn Hệ thống thông tin quản lý 14

 Cơ chế ngăn chặn
(Prventation)
• Ngăn chặn các hành vi trái • Thực hiện các chức năng
phép làm thay đổi nội dung
và nguồn gốc của thông tin
• Cố gắng thay đổi thông tin
khi không được phép
• Thay đổi thông tin theo cách
khác với cách đã được cho
phép
Cơ chế phát hiện
(Detection)
giám sát và thông báo khi có
các thay đổi diễn ra trên
thông tin bằng cách phân
tích các sự kiện diễn ra trên
hệ thống

Môn học: Nhập môn Hệ thống thông tin quản lý 15

 Tính khả dụng/sẵn sàng của thông tin
(Availability)
 Là tính sẵn sàng của thông tin cho các nhu
cầu truy xuất hợp lệ
 (Thông tin có thể được truy xuất bởi
những người được cấp phép vào bất cứ
khi nào họ muốn)

Môn học: Nhập môn Hệ thống thông tin quản lý 16

 Nguy cơ (threat): là những sự kiện có khả năng xảy ra và
ảnh hưởng đến an toàn của hệ thống

 Nguy cơ được chia thành 4 nhóm sau đây:

 Tiết lộ thông tin / Truy xuất thông tin trái phép
 Phát thông tin sai / Chấp nhận thông tin sai
 Phá hoại / Ngăn chặn hoạt động của hệ thống
 Chiếm quyền điều khiển từng phần hoặc toàn bộ hệ thống
 Tiết lộ thông tin / Truy xuất thông tin
trái phép
 Nghe lén, hay đọc lén

 Phát thông tin sai / Chấp nhận thông

tin sai
 Giả danh
 Phủ nhận hành vi

Môn học: Nhập môn Hệ thống thông tin quản lý 19

 Phá hoại/Ngăn chặn hoạt động của hệ thống
 Tấn công từ chối dịch vụ (Denial of Service - DoS)
 Các loại virus (phần mềm tấn công)

 Chiếm quyền điều khiển từng phần hoặc toàn bộ hệ

thống
 Lấy cắp và thay đổi dữ liệu trên hệ thống
 Thay đổi chính sách bảo mật
 Vô hiệu hóa các cơ chế bào mật

Môn học: Nhập môn Hệ thống thông tin quản lý 20

 Rủi ro (risk)
 Là xác suất xảy ra thiệt hại đối với hệ
thống
 Bao gồm 2 yếu tố:
• Khả năng xảy ra rủi ro
• Thiệt hại do rủi ro gây ra
 Quản lý rủi ro: nhận diện tất cả
 Những rủi ro đối với hệ thống
 Những nguy cơ có thể dẫn đến rủi ro
 Phân tích lợi ích và chi phí của giải pháp
ngăn chặn rủi ro

Môn học: Nhập môn Hệ thống thông tin quản lý 23