Bài giảng hệ thống thông tin quản lý - Chương 6: Vấn đề bảo mật trong hệ thống thông tin quản lý

annh@buh.edu.vn ThS. Nguyễn Hoàng Ân Hệ thống thông tin quản lý Chương 6. Vấn đề bảo mật trong hệ thống thông tin quản lý 1 Nội dung 1. Rủi ro và thách thức trong quản trị hệ thống thông tin 2. Các giải pháp phòng ngừa rủi ro 2Thương mại điện tử 1. Rủi ro và thách thức trong quản trị hệ thống thông tin 3Thương mại điện tử Môi trường bảo mật 4 Nội dung bảo mật ❖Toàn vẹn thông tin (Integrity): khả năng đảm bảo an toàn thông tin trong quá trình truyền- nhận. ❖Chống thoái thác (Nonrepudiation): khả năng đảm bảo một thỏa thuận, một hành động trên Internet không bị các bên tham gia từ chối. ❖Xác thực người dùng (Authenticity): chứng thực rằng một người hay một hành động là đáng tin cậy. 5 Nội dung bảo mật (tt) ❖Tính bí mật (Confidentiality): đảm bảo dữ liệu chỉ hiển thị với người được phép xem ❖Tính riêng tư (Privacy): khả năng kiểm soát thông tin mà khách hàng đã cung cấp (vd: e- mail, address, credit card) ❖Tính sẵn sàng (Availability): đảm bảo khả năng hoạt động của web site 6Thương mại điện tử Những mối đe dọa (Threats) ❖Mã độc hại (malicious code) hoặc malware ❖Lừa đảo (Phishing) ❖Hacking và cybervandalism ❖Gian lận thẻ tín dụng (Credit card fraud/theft) ❖Đánh lừa (Spoofing, pharming) ❖Tấn công từ chối dịch vụ (Denial of service attacks) ❖Nghe lén (Sniffing) ❖Hành động của người nội bộ (Insider jobs) ❖Các phần mềm ở server và client ▪ Phần mềm quảng cáo (Adware) ▪ Phần mềm gián điệp (Spyware) 7Thương mại điện tử Các vấn đề xã hội ❖Lãng phí máy tính: là việc sử dụng không phù hợp các nguồn lực và công nghệ máy tính ❖Sai lầm có liên hệ máy tính: bao gồm các lỗi, thất bại và các vấn đề khác liên quan đến máy tính dẫn đến đầu ra của hệ thống máy tính không chính xác hoặc không còn hữu ích. ❖Tội phạm máy tính: là tội phạm “sạch” và bất bạo động, thường bất chấp khi bị phát hiện. Có 2 dạng: ▪ Tội phạm máy tính xem máy tính là công cụ ký thác ▪ Tội phạm máy tính xem máy tính là đối tượng của tội phạm 8Thương mại điện tử Nguyên nhân gây Lãng phí máy tính ❖Cách thức và năng lực quản lý của DN không phù hợp HTTT và các nguồn lực hiện có. ❖DN vứt bỏ HTTT cũ khi chúng vẫn còn giá trị. ❖DN đầu tư HTTT phức tạp hơn nhu cầu thực, và không khai thác hết. 9Thương mại điện tử Nguyên nhân gây Sai lầm liên quan máy tính ❖Người dùng không làm đúng quy trình, chỉ dẫn, thủ tục, ❖Nhà quản lý kỳ vọng HTTT không rõ ràng, thiếu phản hồi từ HTTT sau khi đưa vào sử dụng. ❖Các HTTT phát triển mới không thông qua quá trình kiểm thử nên tiềm ẩn nhiều lỗi. ❖Người dùng thao tác không chính xác. 10Thương mại điện tử Cách thức ngăn chặn Lãng phí, sai lầm liên quan đến máy tính ❖Thiết lập các chính sách, thủ tục ❖Thực hiện các chính sách, thủ tục ❖Giám sát các chính sách, thủ tục ❖Đánh giá các chính sách, thủ tục 11Thương mại điện tử Tội phạm máy tính ❖Xem máy tính như công cụ ký thác: ▪Giả mạo gian lận ngân hàng ▪Khủng bố điện tử ▪Đánh cắp dữ kiện cá nhân ▪Kỹ thuật thu thập thông tin trong thùng rác ❖Xem máy tính là đối tượng của tội phạm: ▪ Truy cập và sử dụng bất hợp pháp ▪ Thay đổi và phá hủy dữ liệu ▪ Trộm cắp thông tin và thiết bị ▪Vi phạm bản quyền phần mềm và Internet ▪ Lừa đảo liên quan đến máy tính ▪ Tội phạm máy tính quốc tế 12Thương mại điện tử Ngặn chặn tội phạm liên quan đến máy tính ❖Hạ tầng kỹ thuật khóa công khai ❖Sinh trắc học ❖Sử dụng phần mềm phát hiện xâm nhập ❖Sử dụng các nhà cung cấp dịch vụ quản lý an ninh ❖Lọc và phân loại nội dung trên Internet ❖Quan tâm đến vấn đề “bôi nhọ” qua Internet ❖Phát triển, sử dụng chính sách bảo mật Internet hiệu quả ❖Sử dụng tường lửa chuyên biệt ❖Triển khai các hệ thống phát hiện xâm nhập ❖Giám sát các nhà quản lý và nhân viên sử dụng Internet. ❖Sử dụng các chuyên gia bảo mật Internet 13Thương mại điện tử Các vấn đề bảo mật ❖Với hệ thống thông tin, việc bảo mật đối phó với việc thu thập và sử dụng hoặc lạm dụng dữ liệu ❖Ngày càng có nhiều thông tin về tất cả chúng ta được thu thập, lưu trữ, sử dụng và chia sẻ giữa các tổ chức. ❖Nhu cầu bảo mật: ▪Bảo mật tại nơi làm việc ▪Bảo mật và Internet ▪Xây dựng các chính sách bảo mật của doanh nghiệp ▪Những hoạt động cá nhân để bảo vệ sự riêng tư 14Thương mại điện tử Các vấn đề đạo đức ❖Sử dụng HTTT trong kinh doanh có tác động lớn đến xã hội nhưng cũng làm tăng thêm sự trầm trọng của những vấn đề về xã hội như: vi phạm sự riêng tư, tội phạm, điều kiện việc làm, nhân cách, ❖Luật không cung cấp một hướng dẫn đầu đủ về hành vi đạo đức ❖Nhiều tổ chức liên quan đến HTTT có các quy tắc đạo đức cho các thành viên. ❖ 15Thương mại điện tử Các vấn đề đạo đức ❖Quy tắc đạo đức và ứng xử chuyên nghiệp của American Computing Machinery (ACM): tổ chức xã hội về máy tính lâu đời nhất được thành lập vào năm 1947. ▪ 1. Đóng góp cho xã hội và đời sống con người. ▪ 2. Tránh tác hại cho người khác. ▪ 3. Hãy trung thực và đáng tin cậy. ▪ 4. Hãy công bằng và có hành động không phân biệt đối xử. ▪ 5. Tôn trọng quyền sở hữu bao gồm bản quyền và bằng sáng chế. ▪ 6. Cung cấp các mức độ phù hợp trong quyền sở hữu trí tuệ. ▪ 7. Tôn trọng sự riêng tư của người khác. ▪ 8. Vinh dự khi được giao giữ bí mật. 16Thương mại điện tử Các vấn đề môi trường làm việc ❖Những quan ngại về sức khỏe: ▪ Căng thẳng về nghề nghiệp. ▪ Tổn thương do căng thẳng lặp đi lặp lại (RSI – Repetitive stress injury) ▪ Hội chứng CTS – Carpal tunnel syndrome ▪ Phát thải từ các thiết bị được duy trì và sử dụng không đúng cách. ▪ Gia tăng trong tai nạn giao thông do các lái xe sử dụng điện thoại di động, máy tính xách tay hoặc các thiết bị khác trong khi lái xe 17 2. Các giải pháp phòng ngừa rủi ro 18 Những giải pháp kỹ thuật ❖Bảo vệ việc truyền thông trên Internet: mã hóa thông tin. ❖Bảo mật các kênh truyền dữ liệu: SSL, S- HTTP, VPN. ❖Bảo vệ mạng nội bộ: firewall, proxy ❖Bảo vệ server & client: Hệ thống dò tìm xâm nhập (IDS), Anti-virues 19 Các công cụ 20 Một số khái niệm trong Cryptography ❖Plaintext (original data), ciphertext (encrypted data) ❖Cryptosystems = encryption + decryption algorithms ❖Encryption, decryption process needs keys ❖Symmetric (shared-/secret-key) cryptosystem: the same key for (en/de)cryption algorithms ❖Asymmetric (public-key) cryptosystem: public & private keys 21 Mã hóa (Encryption) ❖Mã hóa: quá trình chuyển đổi dữ liệu dạng văn bản (plain-text) thành dữ liệu mã hóa (cipher text). ❖Mục đích: bảo đảm an toàn thông tin trong lưu trữ và truyền tải. ❖Cung cấp 4 trong 6 yếu tố bảo mật của TMĐT: ▪ Toàn vẹn (Message integrity). ▪Chống thoái thác (Nonrepudiation). ▪Xác thực (Authentication). ▪ Tính bí mật (Confidentiality). 22 Mã hóa khoá đối xứng ❖Cả người gửi và người nhận dùng chung 1 khóa để mã hóa và giải mã thông điệp. ❖Đòi hỏi phải có một bộ khóa riêng cho mỗi giao dịch. ▪Ví dụ: nhóm 4 người cần 6 khóa. ❖Hạn chế: khóa phải được bảo mật trong khi phân phối và trong khi dùng. ❖Data Encryption Standard (DES): thuật toán mã hóa đối xứng được sử dụng phổ biến nhất hiện nay. Sử dụng khóa có chiều dài 56 bits. Các thuật toán khác (3-DES, AES) sử dụng khóa dài 128 đến 2048 bits. 23 Mã hóa khóa công khai ❖Giải quyết được vấn đề phân phối khóa bí mật của mã hóa đối xứng. ❖Sử dụng 2 khóa có liên quan tới nhau: ▪Khóa công khai (public key) : được phân phối rộng rãi. ▪Khóa riêng (private key): được giữ bí mật. ❖Một khóa có thể giải mã thông điệp được mã hóa bởi khóa kia. ❖Trong thực tế, thường dùng public key để mã hóa, private key để giải mã. 24 Mã hóa khóa công khai 25 Mã hóa khóa công khai: Chữ ký số và Chuỗi băm (Hash digests) ❖Áp dụng thuật toán băm trong mã hóa sẽ tạo thành chuỗi băm mà người nhận có thể dùng để kiểm tra tính toàn vẹn của dữ liệu. ❖Mã hóa lần hai với khóa riêng của người gửi tạo thành chữ ký bảo đảm tính xác thực và tính chống thoái thác. 26 Hàm băm (Hash function) ❖Compression ❖Efficiency ❖One-way ❖Weak collision resistance ❖Strong collision resistance ❖Ví dụ: MD5, SHA-1 cho x=ecommerce ❖md5(x)->db96ff26706a1a3d595ecb67266c2d94 ❖Sha1(x)-> 444c1efe975e9babde869520762c42efcacf1deb 27Thương mại điện tử Mã hóa khóa công khai: Chữ ký số và Chuỗi băm (Hash digests) 28 Phong bì số (Digital envelopes) ❖Mã hóa đối xứng: xử lý nhanh. ❖Mã hóa khóa công khai: an toàn hơn nhưng khối lượng tính toán nhiều, mất nhiều thời gian xử lý. ❖Phong bì số: ▪Bước 1: Sử dụng mã hóa khóa công khai để mã hóa và trao đổi khóa bí mật (symmetric key). ▪Bước 2: Dùng mã hóa đối xứng với khóa đã thống nhất để mã hóa tài liệu. 29 Phong bì số (Digital envelopes) 30Thương mại điện tử Chữ ký điện tử (electronic signature) ❖“Electronic signature” means data in electronic form in, affixed to or logically associated with, a data message, which may be used to identify the signatory in relation to the data message and to indicate the sinatory’s approval of the information contained in the data message; ❖(UNCITRAL Model Law on Electronic Signatures with Guide to Enactment 2001) 31 Chữ ký điện tử (tt) ❖The term ‘‘electronic signature’’ means an electronic sound, symbol, or process, attached to or logically associated with a contract or other record and executed or adopted by a person with the intent to sign the record. ❖(Electronic Signatures in Global and National Commerce Act - 15 U.S.C. 7001) 32 Chữ ký điện tử (tt) 33 Chữ ký số (Digital Signature) ❖Chữ ký số (digital signature) là một dạng chữ ký điện tử. 34 Chữ ký số ❖ "Chữ ký số" là một dạng chữ ký điện tử được tạo ra bằng sự biến đổi một thông điệp dữ liệu sử dụng hệ thống mật mã không đối xứng theo đó người có được thông điệp dữ liệu ban đầu và khoá công khai của người ký có thể xác định được chính xác: ▪ a) Việc biến đổi nêu trên được tạo ra bằng đúng khoá bí mật tương ứng với khoá công khai trong cùng một cặp khóa; ▪ b) Sự toàn vẹn nội dung của thông điệp dữ liệu kể từ khi thực hiện việc biến đổi nêu trên. ❖ (26/2007/NĐ-CP - Quy định chi tiết thi hành Luật Giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số ) 35 Chứng thư số (Digital Certificate) ❖Chứng thư số là một tài liệu số (digital document) được cấp phát một cơ quan thứ ba tin cậy được biết đến như là CA (certification authority) ❖Bao gồm: ▪ Tên chủ thể hay tên công ty. ▪Khóa công khai của chủ thể hay công ty. ▪Số serial của chứng thư số. ▪Ngày cấp, ngày hết hạn. ▪Chữ ký số của CA ▪Những thông tin nhận dạng khác. ❖Có thể được sử dụng để kiểm tra một khóa công khai nào đó thuộc về ai 36 Quản lí chứng thư số trên trình duyệt 37 CA ❖CA là tổ chức phát hành các chứng thứ số ❖Ví dụ: VeriSign, VNPT, BKIS, Viettel, Nacencom, FPT-FIS 38 39 40 Thương mại điện tử 41 42 Hạ tầng khóa công khai (PKI – Public Key Infrastructure) ❖Tập hợp tất cả các tác nhân (phần cứng, phần mềm, con người, chính sách, thủ tục) cần thiết cho việc tạo, quản lý, lưu trữ, phân phối, thu hồi các chứng thư khóa công khai dựa trên mã hóa khóa công khai. 43 Hạ tầng khóa công khai (tt) ❖CA (Certification Authority): nhà cung cấp chứng thư số chuyên cung cấp và xác minh Chứng thư số ❖RA (Registration Authority): nhà quản lý đăng ký đóng vai trò như người thẩm tra cho CA trước khi một chứng thư số được cấp phát tới người yêu cầu ❖CR (Certificate Repository): kho lưu trữ chứng thư số lưu trữ các chứng thư số phục vụ nhu cầu tra cứu, lấy khoá công khai của đối tác cần thực hiện giao dịch. ❖Con người: CAO (Certificate Authority Operator), RAO (Register Authority Operator), Manager, User 44 Sử dụng Chứng thư số 45 Giới hạn của mã hóa ❖PKI được áp dụng chủ yếu cho việc bảo vệ dữ liệu trong trao đổi. ❖PKI không có tác dụng với thành viên nội bộ. ❖Việc bảo vệ khóa riêng tư (private key) đối với cá nhân có thể không an toàn. ❖Không đảm bảo máy tính của bên bán (merchant) là an toàn ❖Tổ chức tự chọn lựa CA cho riêng mình 46 Bảo vệ kênh truyền thông ❖Secure Socket Layer (SSL): giao thức nhằm thiết lập các phiên làm việc an toàn cho việc trao đổi dữ liệu trong mạng Internet. ❖S-HTTP: cung cấp giao thức truyền nhận an toàn cho các tài liệu trong mạng Internet (thiết kế dùng chung với HTTP). ❖Mạng riêng ảo (Virtual Private Networks - VPNs): cho phép một máy tính trong Internet có thể truy cập vào mạng nội bộ một cách an toàn. 47 S-HTTP 48 Bảo mật một phiên làm việc với SSL 49 Bảo vệ mạng nội bộ: Proxy và Firewall ❖Tường lửa (Firewall): ▪Phần cứng hay phần mềm. ▪Lọc những thông tin ra vào mạng dựa theo chính sách bảo mật (security policy). ▪Bao gồm: oPacket filters. oApplication gateways. ❖Proxy server: là một ứng dụng ở server quản lý việc truyền thông giữa các máy trong mạng với Internet. 50 Firewalls and Proxy Servers ❖Figure 5.13, Page 301 51 Bảo vệ Clients và Servers ❖Kiểm soát hoạt động của hệ thống: cơ chế xác thực và kiểm soát truy cập. ❖Phần mềm diệt virus: phương pháp đơn giản và tiết kiệm nhất để bảo vệ an toàn cho các máy tính trong mạng. 52 Chiến lược bảo mật: Chính sách quản lý ❖Các bước xây dựng một chiến lược bảo mật: ▪Đánh giá rủi ro: đánh giá những rủi ro tiềm ẩn, những điểm yếu hại của hệ thống. ▪Xây dựng chính sách bảo mật: liệt kê các rủi ro thông tin, mức rủi ro chấp nhận được; xác định cách thức để đạt mục tiêu. ▪Xây dựng kế hoạch triển khai: xác định các bước cần thiết để đạt được mục tiêu bảo mật. ▪ Triển khai kế hoạch (Tạo tổ chức bảo mật): tập huấn người dùng, chính sách xác thực và kiểm soát truy cập ▪Kiểm toán hiệu quả bảo mật: kiểm tra các thủ tục và các bước xây dựng. 53 Xây dựng chiến lược bảo mật 54 Luật pháp và chính sách của chính phủ ❖Quy định trách nhiệm, quyền lợi của doanh nghiệp và người tiêu dùng. ❖Cơ sở pháp lý để doanh nghiệp và người tiêu dùng giải quyết các vấn đề phát sinh. ❖Định nghĩa thế nào là hành vi trái pháp luật. ❖Đưa ra cơ sở pháp lý cho việc xác định, truy tìm và xử lý đối tượng phạm tội. 55