Bài giảng hệ thống thông tin quản lý - Chương 6: Vấn đề bảo mật trong hệ thống thông tin quản lý
Luật pháp và chính sách của
chính phủ
❖Quy định trách nhiệm, quyền lợi của doa
nghiệp và người tiêu dùng.
❖Cơ sở pháp lý để doanh nghiệp và ngườ
dùng giải quyết các vấn đề phát sinh.
❖Định nghĩa thế nào là hành vi trái pháp lu
❖Đưa ra cơ sở pháp lý cho việc xác định,
tìm và xử lý đối tượng phạm tội.
55 trang |
Chia sẻ: HoaNT3298 | Lượt xem: 700 | Lượt tải: 0
Bạn đang xem trước 20 trang tài liệu Bài giảng hệ thống thông tin quản lý - Chương 6: Vấn đề bảo mật trong hệ thống thông tin quản lý, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
annh@buh.edu.vn
ThS. Nguyễn Hoàng Ân
Hệ thống thông tin
quản lý
Chương 6. Vấn đề bảo mật trong hệ thống
thông tin quản lý
1
Nội dung
1. Rủi ro và thách thức trong quản trị hệ thống thông
tin
2. Các giải pháp phòng ngừa rủi ro
2Thương mại điện
tử
1. Rủi ro và thách thức trong
quản trị hệ thống thông tin
3Thương mại điện
tử
Môi trường bảo mật
4
Nội dung bảo mật
❖Toàn vẹn thông tin (Integrity): khả năng đảm
bảo an toàn thông tin trong quá trình truyền-
nhận.
❖Chống thoái thác (Nonrepudiation): khả năng
đảm bảo một thỏa thuận, một hành động trên
Internet không bị các bên tham gia từ chối.
❖Xác thực người dùng (Authenticity): chứng
thực rằng một người hay một hành động là
đáng tin cậy.
5
Nội dung bảo mật (tt)
❖Tính bí mật (Confidentiality): đảm bảo dữ liệu
chỉ hiển thị với người được phép xem
❖Tính riêng tư (Privacy): khả năng kiểm soát
thông tin mà khách hàng đã cung cấp (vd: e-
mail, address, credit card)
❖Tính sẵn sàng (Availability): đảm bảo khả
năng hoạt động của web site
6Thương mại điện
tử
Những mối đe dọa (Threats)
❖Mã độc hại (malicious code) hoặc malware
❖Lừa đảo (Phishing)
❖Hacking và cybervandalism
❖Gian lận thẻ tín dụng (Credit card fraud/theft)
❖Đánh lừa (Spoofing, pharming)
❖Tấn công từ chối dịch vụ (Denial of service attacks)
❖Nghe lén (Sniffing)
❖Hành động của người nội bộ (Insider jobs)
❖Các phần mềm ở server và client
▪ Phần mềm quảng cáo (Adware)
▪ Phần mềm gián điệp (Spyware)
7Thương mại điện
tử
Các vấn đề xã hội
❖Lãng phí máy tính: là việc sử dụng không phù
hợp các nguồn lực và công nghệ máy tính
❖Sai lầm có liên hệ máy tính: bao gồm các lỗi, thất
bại và các vấn đề khác liên quan đến máy tính dẫn
đến đầu ra của hệ thống máy tính không chính xác
hoặc không còn hữu ích.
❖Tội phạm máy tính: là tội phạm “sạch” và bất bạo
động, thường bất chấp khi bị phát hiện. Có 2
dạng:
▪ Tội phạm máy tính xem máy tính là công cụ ký thác
▪ Tội phạm máy tính xem máy tính là đối tượng của tội
phạm
8Thương mại điện
tử
Nguyên nhân gây Lãng phí
máy tính
❖Cách thức và năng lực quản lý của DN
không phù hợp HTTT và các nguồn lực
hiện có.
❖DN vứt bỏ HTTT cũ khi chúng vẫn còn giá
trị.
❖DN đầu tư HTTT phức tạp hơn nhu cầu
thực, và không khai thác hết.
9Thương mại điện
tử
Nguyên nhân gây Sai lầm liên
quan máy tính
❖Người dùng không làm đúng quy trình, chỉ
dẫn, thủ tục,
❖Nhà quản lý kỳ vọng HTTT không rõ ràng,
thiếu phản hồi từ HTTT sau khi đưa vào sử
dụng.
❖Các HTTT phát triển mới không thông qua
quá trình kiểm thử nên tiềm ẩn nhiều lỗi.
❖Người dùng thao tác không chính xác.
10Thương mại điện
tử
Cách thức ngăn chặn Lãng phí,
sai lầm liên quan đến máy tính
❖Thiết lập các chính sách, thủ tục
❖Thực hiện các chính sách, thủ tục
❖Giám sát các chính sách, thủ tục
❖Đánh giá các chính sách, thủ tục
11Thương mại điện
tử
Tội phạm máy tính
❖Xem máy tính như công cụ ký thác:
▪Giả mạo gian lận ngân hàng
▪Khủng bố điện tử
▪Đánh cắp dữ kiện cá nhân
▪Kỹ thuật thu thập thông tin trong thùng rác
❖Xem máy tính là đối tượng của tội phạm:
▪ Truy cập và sử dụng bất hợp pháp
▪ Thay đổi và phá hủy dữ liệu
▪ Trộm cắp thông tin và thiết bị
▪Vi phạm bản quyền phần mềm và Internet
▪ Lừa đảo liên quan đến máy tính
▪ Tội phạm máy tính quốc tế
12Thương mại điện
tử
Ngặn chặn tội phạm liên quan
đến máy tính
❖Hạ tầng kỹ thuật khóa công khai
❖Sinh trắc học
❖Sử dụng phần mềm phát hiện xâm nhập
❖Sử dụng các nhà cung cấp dịch vụ quản lý an ninh
❖Lọc và phân loại nội dung trên Internet
❖Quan tâm đến vấn đề “bôi nhọ” qua Internet
❖Phát triển, sử dụng chính sách bảo mật Internet hiệu quả
❖Sử dụng tường lửa chuyên biệt
❖Triển khai các hệ thống phát hiện xâm nhập
❖Giám sát các nhà quản lý và nhân viên sử dụng Internet.
❖Sử dụng các chuyên gia bảo mật Internet
13Thương mại điện
tử
Các vấn đề bảo mật
❖Với hệ thống thông tin, việc bảo mật đối phó với
việc thu thập và sử dụng hoặc lạm dụng dữ liệu
❖Ngày càng có nhiều thông tin về tất cả chúng ta
được thu thập, lưu trữ, sử dụng và chia sẻ giữa
các tổ chức.
❖Nhu cầu bảo mật:
▪Bảo mật tại nơi làm việc
▪Bảo mật và Internet
▪Xây dựng các chính sách bảo mật của doanh nghiệp
▪Những hoạt động cá nhân để bảo vệ sự riêng tư
14Thương mại điện
tử
Các vấn đề đạo đức
❖Sử dụng HTTT trong kinh doanh có tác động lớn
đến xã hội nhưng cũng làm tăng thêm sự trầm
trọng của những vấn đề về xã hội như: vi phạm
sự riêng tư, tội phạm, điều kiện việc làm, nhân
cách,
❖Luật không cung cấp một hướng dẫn đầu đủ về
hành vi đạo đức
❖Nhiều tổ chức liên quan đến HTTT có các quy
tắc đạo đức cho các thành viên.
❖
15Thương mại điện
tử
Các vấn đề đạo đức
❖Quy tắc đạo đức và ứng xử chuyên nghiệp của
American Computing Machinery (ACM): tổ chức xã hội
về máy tính lâu đời nhất được thành lập vào năm
1947.
▪ 1. Đóng góp cho xã hội và đời sống con người.
▪ 2. Tránh tác hại cho người khác.
▪ 3. Hãy trung thực và đáng tin cậy.
▪ 4. Hãy công bằng và có hành động không phân biệt đối xử.
▪ 5. Tôn trọng quyền sở hữu bao gồm bản quyền và bằng sáng
chế.
▪ 6. Cung cấp các mức độ phù hợp trong quyền sở hữu trí tuệ.
▪ 7. Tôn trọng sự riêng tư của người khác.
▪ 8. Vinh dự khi được giao giữ bí mật.
16Thương mại điện
tử
Các vấn đề môi trường làm
việc
❖Những quan ngại về sức khỏe:
▪ Căng thẳng về nghề nghiệp.
▪ Tổn thương do căng thẳng lặp đi lặp lại (RSI –
Repetitive stress injury)
▪ Hội chứng CTS – Carpal tunnel syndrome
▪ Phát thải từ các thiết bị được duy trì và sử dụng
không đúng cách.
▪ Gia tăng trong tai nạn giao thông do các lái xe sử
dụng điện thoại di động, máy tính xách tay hoặc các
thiết bị khác trong khi lái xe
17
2. Các giải pháp phòng ngừa
rủi ro
18
Những giải pháp kỹ thuật
❖Bảo vệ việc truyền thông trên Internet: mã
hóa thông tin.
❖Bảo mật các kênh truyền dữ liệu: SSL, S-
HTTP, VPN.
❖Bảo vệ mạng nội bộ: firewall, proxy
❖Bảo vệ server & client: Hệ thống dò tìm xâm
nhập (IDS), Anti-virues
19
Các công cụ
20
Một số khái niệm trong
Cryptography
❖Plaintext (original data), ciphertext (encrypted
data)
❖Cryptosystems = encryption + decryption
algorithms
❖Encryption, decryption process needs keys
❖Symmetric (shared-/secret-key) cryptosystem:
the same key for (en/de)cryption algorithms
❖Asymmetric (public-key) cryptosystem: public &
private keys
21
Mã hóa (Encryption)
❖Mã hóa: quá trình chuyển đổi dữ liệu dạng văn
bản (plain-text) thành dữ liệu mã hóa (cipher text).
❖Mục đích: bảo đảm an toàn thông tin trong lưu
trữ và truyền tải.
❖Cung cấp 4 trong 6 yếu tố bảo mật của TMĐT:
▪ Toàn vẹn (Message integrity).
▪Chống thoái thác (Nonrepudiation).
▪Xác thực (Authentication).
▪ Tính bí mật (Confidentiality).
22
Mã hóa khoá đối xứng
❖Cả người gửi và người nhận dùng chung 1 khóa
để mã hóa và giải mã thông điệp.
❖Đòi hỏi phải có một bộ khóa riêng cho mỗi giao
dịch.
▪Ví dụ: nhóm 4 người cần 6 khóa.
❖Hạn chế: khóa phải được bảo mật trong khi phân
phối và trong khi dùng.
❖Data Encryption Standard (DES): thuật toán mã
hóa đối xứng được sử dụng phổ biến nhất hiện
nay. Sử dụng khóa có chiều dài 56 bits. Các thuật
toán khác (3-DES, AES) sử dụng khóa dài 128
đến 2048 bits.
23
Mã hóa khóa công khai
❖Giải quyết được vấn đề phân phối khóa bí mật
của mã hóa đối xứng.
❖Sử dụng 2 khóa có liên quan tới nhau:
▪Khóa công khai (public key) : được phân phối rộng rãi.
▪Khóa riêng (private key): được giữ bí mật.
❖Một khóa có thể giải mã thông điệp được mã hóa
bởi khóa kia.
❖Trong thực tế, thường dùng public key để mã
hóa, private key để giải mã.
24
Mã hóa khóa công khai
25
Mã hóa khóa công khai: Chữ ký số
và Chuỗi băm (Hash digests)
❖Áp dụng thuật toán băm trong mã hóa sẽ tạo
thành chuỗi băm mà người nhận có thể dùng
để kiểm tra tính toàn vẹn của dữ liệu.
❖Mã hóa lần hai với khóa riêng của người gửi
tạo thành chữ ký bảo đảm tính xác thực và
tính chống thoái thác.
26
Hàm băm (Hash function)
❖Compression
❖Efficiency
❖One-way
❖Weak collision resistance
❖Strong collision resistance
❖Ví dụ: MD5, SHA-1 cho x=ecommerce
❖md5(x)->db96ff26706a1a3d595ecb67266c2d94
❖Sha1(x)->
444c1efe975e9babde869520762c42efcacf1deb
27Thương mại điện
tử
Mã hóa khóa công khai: Chữ ký số
và Chuỗi băm (Hash digests)
28
Phong bì số (Digital
envelopes)
❖Mã hóa đối xứng: xử lý nhanh.
❖Mã hóa khóa công khai: an toàn hơn nhưng
khối lượng tính toán nhiều, mất nhiều thời gian
xử lý.
❖Phong bì số:
▪Bước 1: Sử dụng mã hóa khóa công khai để mã hóa
và trao đổi khóa bí mật (symmetric key).
▪Bước 2: Dùng mã hóa đối xứng với khóa đã thống
nhất để mã hóa tài liệu.
29
Phong bì số (Digital
envelopes)
30Thương mại điện
tử
Chữ ký điện tử (electronic
signature)
❖“Electronic signature” means data in
electronic form in, affixed to or logically
associated with, a data message, which may
be used to identify the signatory in relation to
the data message and to indicate the sinatory’s
approval of the information contained in the
data message;
❖(UNCITRAL Model Law on Electronic
Signatures with Guide to Enactment 2001)
31
Chữ ký điện tử (tt)
❖The term ‘‘electronic signature’’ means an
electronic sound, symbol, or process, attached
to or logically associated with a contract or
other record and executed or adopted by a
person with the intent to sign the record.
❖(Electronic Signatures in Global and National
Commerce Act - 15 U.S.C. 7001)
32
Chữ ký điện tử (tt)
33
Chữ ký số (Digital Signature)
❖Chữ ký số (digital signature) là một dạng chữ
ký điện tử.
34
Chữ ký số
❖ "Chữ ký số" là một dạng chữ ký điện tử được tạo ra
bằng sự biến đổi một thông điệp dữ liệu sử dụng hệ
thống mật mã không đối xứng theo đó người có được
thông điệp dữ liệu ban đầu và khoá công khai của
người ký có thể xác định được chính xác:
▪ a) Việc biến đổi nêu trên được tạo ra bằng đúng khoá bí
mật tương ứng với khoá công khai trong cùng một cặp khóa;
▪ b) Sự toàn vẹn nội dung của thông điệp dữ liệu kể từ khi
thực hiện việc biến đổi nêu trên.
❖ (26/2007/NĐ-CP - Quy định chi tiết thi hành Luật
Giao dịch điện tử về chữ ký số và dịch vụ chứng thực
chữ ký số )
35
Chứng thư số (Digital
Certificate)
❖Chứng thư số là một tài liệu số (digital document)
được cấp phát một cơ quan thứ ba tin cậy được
biết đến như là CA (certification authority)
❖Bao gồm:
▪ Tên chủ thể hay tên công ty.
▪Khóa công khai của chủ thể hay công ty.
▪Số serial của chứng thư số.
▪Ngày cấp, ngày hết hạn.
▪Chữ ký số của CA
▪Những thông tin nhận dạng khác.
❖Có thể được sử dụng để kiểm tra một khóa công
khai nào đó thuộc về ai
36
Quản lí chứng thư số trên trình duyệt
37
CA
❖CA là tổ chức phát hành các chứng thứ số
❖Ví dụ: VeriSign, VNPT, BKIS, Viettel,
Nacencom, FPT-FIS
38
39
40
Thương mại điện
tử
41
42
Hạ tầng khóa công khai
(PKI – Public Key Infrastructure)
❖Tập hợp tất cả các tác nhân (phần cứng,
phần mềm, con người, chính sách, thủ tục)
cần thiết cho việc tạo, quản lý, lưu trữ, phân
phối, thu hồi các chứng thư khóa công khai
dựa trên mã hóa khóa công khai.
43
Hạ tầng khóa công khai (tt)
❖CA (Certification Authority): nhà cung cấp chứng thư
số chuyên cung cấp và xác minh Chứng thư số
❖RA (Registration Authority): nhà quản lý đăng ký đóng
vai trò như người thẩm tra cho CA trước khi một
chứng thư số được cấp phát tới người yêu cầu
❖CR (Certificate Repository): kho lưu trữ chứng thư số
lưu trữ các chứng thư số phục vụ nhu cầu tra cứu, lấy
khoá công khai của đối tác cần thực hiện giao dịch.
❖Con người: CAO (Certificate Authority Operator),
RAO (Register Authority Operator), Manager, User
44
Sử dụng Chứng thư số
45
Giới hạn của mã hóa
❖PKI được áp dụng chủ yếu cho việc bảo vệ
dữ liệu trong trao đổi.
❖PKI không có tác dụng với thành viên nội bộ.
❖Việc bảo vệ khóa riêng tư (private key) đối
với cá nhân có thể không an toàn.
❖Không đảm bảo máy tính của bên bán
(merchant) là an toàn
❖Tổ chức tự chọn lựa CA cho riêng mình
46
Bảo vệ kênh truyền thông
❖Secure Socket Layer (SSL): giao thức nhằm
thiết lập các phiên làm việc an toàn cho việc
trao đổi dữ liệu trong mạng Internet.
❖S-HTTP: cung cấp giao thức truyền nhận an
toàn cho các tài liệu trong mạng Internet (thiết
kế dùng chung với HTTP).
❖Mạng riêng ảo (Virtual Private Networks -
VPNs): cho phép một máy tính trong Internet
có thể truy cập vào mạng nội bộ một cách an
toàn.
47
S-HTTP
48
Bảo mật một phiên làm việc
với SSL
49
Bảo vệ mạng nội bộ: Proxy và
Firewall
❖Tường lửa (Firewall):
▪Phần cứng hay phần mềm.
▪Lọc những thông tin ra vào mạng dựa theo chính
sách bảo mật (security policy).
▪Bao gồm:
oPacket filters.
oApplication gateways.
❖Proxy server: là một ứng dụng ở server quản
lý việc truyền thông giữa các máy trong mạng
với Internet.
50
Firewalls and Proxy Servers
❖Figure 5.13, Page 301
51
Bảo vệ Clients và Servers
❖Kiểm soát hoạt động của hệ thống: cơ chế
xác thực và kiểm soát truy cập.
❖Phần mềm diệt virus: phương pháp đơn giản
và tiết kiệm nhất để bảo vệ an toàn cho các
máy tính trong mạng.
52
Chiến lược bảo mật: Chính
sách quản lý
❖Các bước xây dựng một chiến lược bảo mật:
▪Đánh giá rủi ro: đánh giá những rủi ro tiềm ẩn, những
điểm yếu hại của hệ thống.
▪Xây dựng chính sách bảo mật: liệt kê các rủi ro thông tin,
mức rủi ro chấp nhận được; xác định cách thức để đạt
mục tiêu.
▪Xây dựng kế hoạch triển khai: xác định các bước cần
thiết để đạt được mục tiêu bảo mật.
▪ Triển khai kế hoạch (Tạo tổ chức bảo mật): tập huấn
người dùng, chính sách xác thực và kiểm soát truy cập
▪Kiểm toán hiệu quả bảo mật: kiểm tra các thủ tục và các
bước xây dựng.
53
Xây dựng chiến lược bảo mật
54
Luật pháp và chính sách của
chính phủ
❖Quy định trách nhiệm, quyền lợi của doanh
nghiệp và người tiêu dùng.
❖Cơ sở pháp lý để doanh nghiệp và người tiêu
dùng giải quyết các vấn đề phát sinh.
❖Định nghĩa thế nào là hành vi trái pháp luật.
❖Đưa ra cơ sở pháp lý cho việc xác định, truy
tìm và xử lý đối tượng phạm tội.
55
Các file đính kèm theo tài liệu này:
- mis_ulh_chuong_6_2579_2045424.pdf