Tài liệu giữa kì an toàn thông tin

Tài liệu giữa kì môn an toàn thông tin bao gồm những phần đã học và nhiều tình huống về các mối đe dọa đối với an toàn thông tin. Tài liệu dành cho môn an toàn thông tin iuh các bạn có quan tâm hãy tải về nhé

tài liệu giữa kì March 11, 2024

1 LO1 - Giải thích được sự ảnh hưởng của an toàn thông tin đốivới cá nhân, tổ chức và xã hội

1.1Tóm tắt

1 Đối với cá nhân:• Mất mát tài chính:

– Lừa đảo trực tuyến: Mạo danh người thân, bạn bè, cơ quan chức năng để yêu cầu

chuyển tiền hoặc cung cấp thông tin cá nhân.

– Đánh cắp thông tin thẻ ngân hàng: Sử dụng thông tin thẻ ngân hàng để thanh

toán trực tuyến, rút tiền trái phép.

– Tống tiền: Đe dọa tung tin nhạy cảm hoặc tấn công hệ thống máy tính để đòi tiền.

– Sử dụng thông tin cá nhân trái phép: Bán thông tin cá nhân cho các bên thứ ba,

sử dụng cho mục đích marketing, quảng cáo.

• Gây tổn hại đến uy tín:

– Thông tin cá nhân nhạy cảm bị lộ lọt: Ảnh hưởng đến danh tiếng, các mối quan

hệ cá nhân, công việc.

– Bị bôi nhọ, vu khống trên mạng xã hội: Ảnh hưởng đến uy tín, danh dự, sự nghiệp.• Mất mát quyền riêng tư:

– Bị theo dõi, giám sát trái phép: Vi phạm quyền riêng tư, ảnh hưởng đến tự do cá

– Dữ liệu cá nhân bị thu thập, sử dụng trái phép: Ảnh hưởng đến quyền kiểm soát

thông tin cá nhân.

2 Đối với tổ chức:• Mất mát dữ liệu:

– Mất dữ liệu quan trọng: Dữ liệu tài chính, bí mật kinh doanh, thông tin khách hàng.– Lỗ hổng bảo mật: Hệ thống bị tấn công, dữ liệu bị đánh cắp, rò rỉ.

– Thiệt hại do lỗi người dùng: Xóa nhầm dữ liệu, cài đặt phần mềm độc hại.• Gián đoạn hoạt động:

– Tấn công mạng: Hệ thống bị tấn công, gián đoạn hoạt động, ảnh hưởng đến hiệu quả

công việc.

– Phá hoại hệ thống: Hệ thống bị phá hoại, gây gián đoạn hoạt động, ảnh hưởng đến

– Chi phí cho các biện pháp bảo mật: Phần mềm, phần cứng, dịch vụ bảo mật.– Chi phí khắc phục sự cố an ninh mạng: Phục hồi dữ liệu, sửa chữa hệ thống.– Chi phí cho các hoạt động kiểm tra, đánh giá an ninh mạng.

3 Đối với xã hội:

• Gây mất an ninh, trật tự:

– Tội phạm mạng gia tăng: Lừa đảo trực tuyến, tấn công mạng, trộm cắp thông tin.– Mất niềm tin vào công nghệ: Ảnh hưởng đến sự phát triển của công nghệ, kinh tế

– Gây hoang mang, lo lắng trong cộng đồng: Ảnh hưởng đến an ninh xã hội.• Gây bất ổn kinh tế:

– Ảnh hưởng đến hoạt động kinh tế: Gây gián đoạn hoạt động kinh doanh, ảnh

hưởng đến đầu tư, tăng trưởng kinh tế.

– Mất niềm tin của nhà đầu tư: Ảnh hưởng đến thị trường tài chính, chứng khoán.– Gây thiệt hại về tài sản cho các doanh nghiệp và cá nhân.

• Gây mất niềm tin vào công nghệ:

– E ngại sử dụng dịch vụ trực tuyến: Ảnh hưởng đến sự phát triển của thương mại

điện tử, ngân hàng trực tuyến.

– Hạn chế ứng dụng công nghệ trong các lĩnh vực khác: Y tế, giáo dục, chính

1.2Ví dụ 1

Trung tâm tin học của khoa công nghệ thông tin có nhiệm vụ đào tạo các khóa học ngắn hạn về CNTT cho các sinh viên của trường Hiện nay trung tâm có một website

http://www.ttth_iuh.edu.vn để sinh viên xem, đăng ký và thanh toán học phí các khóa học

qua website Sau khi thi xong sinh viên cũng có thể xem kết quả của các khóa học qua website này Khi đăng ký học các khóa học sinh viên phải cung cấp đầy đủ thông tin cá nhân để trung tâm lưu trữ quản lý Khi thanh toán học phí trực tuyến sinh viên phải cung cấp thông tin về thẻ ngân hàng thanh toán Thông tin các khóa học cũng được website cung cấp cho sinh viên tham khảo và chọn lựa Giáo viên sau khi giảng dạy thì nhập các kết quả thi của sinh viên thông qua website.

Yêu cầu: Hãy trình bày ít nhất 3 tính cần thiết của an toàn thông tin đối với website của trung

tâm Từ đó giải thích sự ảnh hưởng của an toàn thông tin đối với cá nhân, tổ chức và xã hội.

1.2.1Tính cần thiết của an toàn thông tin đối với website của Trung tâm Tin học:1 Bảo mật thông tin cá nhân của sinh viên:

• Website lưu trữ nhiều thông tin cá nhân của sinh viên như: Họ tên, ngày sinh, địa chỉ, số điện thoại, email, thông tin thẻ ngân hàng…

• Nếu website không đảm bảo an toàn thông tin, các thông tin này có thể bị đánh cắp, dẫn đến nguy cơ:

– Sinh viên bị lừa đảo, tống tiền.

– Thông tin cá nhân bị sử dụng trái phép.– Sinh viên bị mất danh tính.

2 Bảo mật dữ liệu của Trung tâm Tin học:

• Website lưu trữ dữ liệu về các khóa học, bài giảng, kết quả thi… • Nếu website không đảm bảo an toàn thông tin, dữ liệu này có thể bị:

– Lỗ hổng bảo mật, bị hacker tấn công, đánh cắp.– Dữ liệu bị sửa đổi, phá hủy.

– Gây ảnh hưởng đến hoạt động của Trung tâm Tin học.3 Duy trì uy tín của Trung tâm Tin học và trường Đại học:

• Website là kênh thông tin chính thức của Trung tâm Tin học, là nơi sinh viên đăng ký học và thanh toán học phí.

• Nếu website không đảm bảo an toàn thông tin, sinh viên sẽ mất niềm tin vào Trung tâm Tin học và trường Đại học.

1.2.2Ảnh hưởng của an toàn thông tin:1 Đối với cá nhân:

• Sinh viên bị mất mát tài chính, lộ thông tin cá nhân, ảnh hưởng đến danh tiếng và quyền

• Gây thiệt hại về tài chính và ảnh hưởng đến khả năng cạnh tranh.

3 Đối với xã hội:

• Gây mất an ninh mạng, làm gia tăng các loại tội phạm mạng.

• Gây bất ổn kinh tế, ảnh hưởng đến sự phát triển của thương mại điện tử và công nghệ thông tin.

• Làm suy giảm chất lượng cuộc sống, ảnh hưởng đến đời sống tinh thần và tâm lý của người dân.

1.2.3Giải pháp:

• Trung tâm Tin học cần triển khai các biện pháp bảo mật an toàn thông tin cho website như:

– Cài đặt phần mềm bảo mật, mã hóa dữ liệu.– Hạn chế quyền truy cập vào website.

– Nâng cao nhận thức của cán bộ, nhân viên và sinh viên về an toàn thông tin.

1.2.4Kết luận:

An toàn thông tin là vấn đề quan trọng đối với website của Trung tâm Tin học, ảnh hưởng trực tiếp đến cá nhân, tổ chức và xã hội Trung tâm Tin học cần có các biện pháp để đảm bảo an toàn thông tin cho website, bảo vệ quyền lợi của sinh viên và uy tín của Trung tâm.

1.3Ví dụ 2

Nhà ăn của trường Đại học Công nghiệp Tp HCM có một Website ĐẶT THỰC ĐƠN CÁC MÓN ĂN

TRỰC TUYẾN (http://www.cantin_iuh.edu.vn) nhằm giúp cho các nhân viên, giáo viên và sinh

viên (gọi chung là khách hàng) của trường có thể tìm và đặt thực đơn các món ăn cho bữa ăn sáng/trưa/tối thông qua website và thức ăn sẽ được giao tới tận phòng/khoa của khách hàng mà khách hàng yêu cầu Website có hiển thị danh mục và giá cả của các món ăn để khách hàng tham khảo Để có thể đặt các món ăn, khách hàng phải đăng ký làm thành viên của Website Để đăng ký thành viên thì khách hàng phải cung cấp thông tin cá nhân như họ tên, số điện thoại, địa chỉ email, mã số giáo viên/mã sinh viên để hệ thống lưu trữ và quản lý Khi đặt món khách hàng có thể thanh toán đơn đặt hàng trực tuyến hoặc trả tiền mặt ngay khi nhận các món ăn Khi thanh toán thực đơn trực tuyến khách hàng phải cung cấp thông tin về thẻ ngân hàng thanh toán.

Yêu cầu: Hãy trình bày ít nhất 3 tính cần thiết của an toàn thông tin đối với website nhà ăn Từ

đó giải thích sự ảnh hưởng của an toàn thông tin đối với cá nhân, tổ chức và xã hội.

1.3.1Tính cần thiết của an toàn thông tin đối với website nhà ăn:1 Bảo mật thông tin cá nhân của khách hàng:

• Website lưu trữ nhiều thông tin cá nhân của khách hàng như: Họ tên, số điện thoại, địa chỉ email, mã số giáo viên/mã sinh viên, thông tin thẻ ngân hàng…

• Nếu website không đảm bảo an toàn thông tin, các thông tin này có thể bị đánh cắp, dẫn đến nguy cơ:

– Khách hàng bị lừa đảo, tống tiền.– Thông tin cá nhân bị sử dụng trái phép.– Khách hàng bị mất danh tính.

2 Bảo mật dữ liệu của website nhà ăn:

• Website lưu trữ dữ liệu về các món ăn, giá cả, đơn đặt hàng…

• Nếu website không đảm bảo an toàn thông tin, dữ liệu này có thể bị:

– Lỗ hổng bảo mật, bị hacker tấn công, đánh cắp.– Dữ liệu bị sửa đổi, phá hủy.

– Gây ảnh hưởng đến hoạt động của website nhà ăn.3 Duy trì uy tín của website nhà ăn và trường Đại học:

• Website là kênh thông tin chính thức và là nơi khách hàng đặt thức ăn trực tuyến.

• Nếu website không đảm bảo an toàn thông tin, khách hàng sẽ mất niềm tin vào website nhà ăn và trường Đại học.

1.3.2Ảnh hưởng của an toàn thông tin:1 Đối với cá nhân:

• Khách hàng bị mất mát tài chính, lộ thông tin cá nhân, ảnh hưởng đến danh tiếng và quyền

• Gây thiệt hại về tài chính và ảnh hưởng đến khả năng cạnh tranh.

3 Đối với xã hội:

• Gây mất an ninh mạng, làm gia tăng các loại tội phạm mạng.

• Gây bất ổn kinh tế, ảnh hưởng đến sự phát triển của thương mại điện tử và công nghệ thông tin.

• Làm suy giảm chất lượng cuộc sống, ảnh hưởng đến đời sống tinh thần và tâm lý của người dân.

1.3.3Giải pháp:

• Website nhà ăn cần triển khai các biện pháp bảo mật an toàn thông tin như:

– Cài đặt phần mềm bảo mật, mã hóa dữ liệu.– Hạn chế quyền truy cập vào website.

– Nâng cao nhận thức của cán bộ, nhân viên và khách hàng về an toàn thông tin.1.3.4Kết luận:

An toàn thông tin là vấn đề quan trọng đối với website nhà ăn, ảnh hưởng trực tiếp đến cá nhân, tổ chức và xã hội Website nhà ăn cần có các biện pháp để đảm bảo an toàn thông tin, bảo vệ quyền lợi của khách hàng và uy tín của website.

1.4Ví dụ 3

Đường sắt Việt Nam sử dụng website www.dsvn.vn để giúp hành khách đặt và mua vé trực tuyến Thông qua website, các nhà ga quản lý được quá trình bán, mua vé của người dân cũng như thể hiện các tính ưu việt khác thông qua các nghiệp vụ điều hành Website hiển thị các thông tin cần thiết mà khách hàng mong muốn: tuyến tàu, giá vé, thời gian chạy, thời gian đến, tình trạng số chỗ cho mỗi toa … Để có thể đặt vé, hành khách truy cập vào website và tra cứu thông tin: chọn ngày đi, ga đi, ga đến, thời gian phù hợp, loại ghế … cũng như bắt buộc phải cung cấp đúng thông tin cá nhân: họ tên người đi, thông tin giấy tờ tùy thân (số CMND hoặc thẻ căn cước, số hộ chiếu …), năm sinh và một số thông tin bổ sung khác Khách hàng cũng có thể thanh toán trực tuyến hoặc thanh toán tại các địa điểm chỉ định (ngân hàng, nhà ga, đại lý, các điểm thu hộ …) Quản lý ga, nhân viên tùy theo chức năng, nhiệm vụ được giao thực hiện các thao tác nghiệp vụ liên quan đến quy định đặt chỗ, bán vé, hủy vé, đổi ngày, cập nhật thông tin liên quan đến giá vé, giảm giá, các ưu đãi, khuyến cáo … cũng thông qua cổng thông tin này.

Yêu cầu: Hãy trình bày ít nhất 3 tính cần thiết của an toàn thông tin đối với website DSVN Từ

đó giải thích sự ảnh hưởng của an toàn thông tin đối với cá nhân, tổ chức và xã hội.

1.4.1Ba tính cần thiết của an toàn thông tin đối với website DSVN:1 Tính bảo mật:

• Bảo vệ dữ liệu cá nhân của khách hàng: Website DSVN thu thập nhiều thông tin cá

nhân của khách hàng như tên, số CMND/CCCD, số điện thoại, email, thông tin thanh toán… Việc bảo mật thông tin này là rất quan trọng để tránh rò rỉ thông tin, lừa đảo, giả mạo, đánh cắp dữ liệu cá nhân.

• Bảo vệ dữ liệu về hoạt động đặt vé, thanh toán: Website lưu trữ thông tin về lịch sử

đặt vé, thanh toán của khách hàng Bảo mật thông tin này giúp đảm bảo tính chính xác, minh bạch trong hoạt động bán vé, đồng thời ngăn chặn các hành vi gian lận, trục lợi.

• Bảo vệ hệ thống website khỏi các tấn công mạng: Website DSVN là một hệ thống

quan trọng, thường xuyên bị tấn công mạng bởi các hacker Việc đảm bảo an toàn thông tin giúp bảo vệ hệ thống khỏi các tấn công, truy cập trái phép, phá hoại, gây gián đoạn hoạt động.

2 Tính toàn vẹn:

• Đảm bảo tính chính xác, đầy đủ của dữ liệu: Dữ liệu về giá vé, lịch trình tàu, số chỗ

còn lại… cần được cập nhật liên tục và chính xác để khách hàng có thể tra cứu thông tin chính xác.

• Đảm bảo tính hợp lệ của các giao dịch đặt vé, thanh toán: Hệ thống cần đảm bảo

chỉ xử lý các giao dịch hợp lệ, tránh các giao dịch gian lận, giả mạo.

3 Tính sẵn sàng:

• Đảm bảo website hoạt động ổn định, liên tục: Website DSVN cần hoạt động 24/7 để

phục vụ nhu cầu đặt vé của khách hàng Việc đảm bảo website hoạt động ổn định giúp khách hàng có thể truy cập và sử dụng dịch vụ bất cứ lúc nào.

• Khôi phục dữ liệu nhanh chóng khi có sự cố: Hệ thống cần có khả năng sao lưu, khôi

phục dữ liệu nhanh chóng khi có sự cố xảy ra để giảm thiểu thiệt hại và ảnh hưởng đến hoạt động của website.

1.4.2Ảnh hưởng của an toàn thông tin đối với cá nhân, tổ chức và xã hội:Đối với cá nhân:

• An toàn thông tin giúp bảo vệ dữ liệu cá nhân, tránh rò rỉ thông tin, lừa đảo, giả mạo, đánh cắp dữ liệu cá nhân.

• An toàn thông tin giúp đảm bảo tính chính xác, minh bạch trong hoạt động đặt vé, thanh toán, giúp khách hàng yên tâm khi sử dụng dịch vụ.

Đối với tổ chức:

• An toàn thông tin giúp bảo vệ hệ thống website khỏi các tấn công mạng, truy cập trái phép, phá hoại, gây gián đoạn hoạt động.

• An toàn thông tin giúp đảm bảo tính chính xác, đầy đủ của dữ liệu, giúp tổ chức đưa ra quyết định kinh doanh chính xác.

• An toàn thông tin giúp nâng cao uy tín, thương hiệu của tổ chức.

Đối với xã hội:

• An toàn thông tin giúp thúc đẩy phát triển thương mại điện tử, tạo niềm tin cho người dân trong việc sử dụng dịch vụ trực tuyến.

• An toàn thông tin giúp bảo vệ an ninh mạng, chống lại các hành vi vi phạm pháp luật trên mạng.

1.4.3Kết luận:

An toàn thông tin là yếu tố quan trọng đối với website DSVN nói riêng và các tổ chức cung cấp dịch vụ trực tuyến nói chung Việc đảm bảo an toàn thông tin giúp bảo vệ dữ liệu, hệ thống, hoạt động của tổ chức và mang lại lợi ích cho cả cá nhân, tổ chức và xã hội.

2LO2- Nhận dạng được các mối đe dọa ảnh hưởng đến ATTT củamột tổ chức, cá nhân

2.1Tóm tắt

1 Mối đe dọa đối với cá nhân:

• Lừa đảo trực tuyến: Mạo danh người thân, bạn bè, cơ quan chức năng để yêu cầu chuyển

tiền hoặc cung cấp thông tin cá nhân.

• Đánh cắp thông tin cá nhân: Sử dụng thông tin cá nhân để mở tài khoản ngân hàng,

vay tín dụng, mua sắm trực tuyến.

• Tấn công mạng: Lây nhiễm phần mềm độc hại, tấn công website, đánh cắp dữ liệu cá

• Mất mát quyền riêng tư: Bị theo dõi, giám sát trái phép, thu thập dữ liệu cá nhân trái

2 Mối đe dọa đối với tổ chức:

• Tấn công mạng: Lỗ hổng bảo mật, tấn công từ chối dịch vụ, tấn công ransomware.• Mất mát dữ liệu: Lỗi hệ thống, lỗi người dùng, thiên tai, hỏa hoạn.

• Gián đoạn hoạt động: Hệ thống bị tấn công, lỗi phần mềm, lỗi phần cứng.

• Mất mát uy tín: Rò rỉ thông tin, vi phạm luật bảo mật, ảnh hưởng đến thương hiệu.

2.2Ví dụ 1

Bạn A là một nhân viên thu ngân phí bảo hiểm của công ty bảo hiểm ANZ Bạn A được cấp một máy tính của công ty có kết nối Internet và phần mềm để thực hiện công việc hàng ngày của mình Do ít khách hàng nên bạn A cũng khá nhàn rỗi và hay dùng máy tính làm việc lên Internet để tải game, nhạc, phim về để giải trí Các trang web bạn A vào hầu như là các trang web không an toàn Bạn hãy:

1 Chỉ ra 3 mối đe dọa mà bạn A có thể gặp phải trong tình huống trên 2 Nêu ra được lý do tại sao có những mối đe dọa đó.

3 Phân tích hậu quả nếu các mối đe dọa đó thật sự xảy ra 4 Nêu một vài giải pháp khắc phục.

2.2.1Ba mối đe dọa mà bạn A có thể gặp phải:

1 Nhiễm phần mềm độc hại: Việc tải game, nhạc, phim từ các trang web không an toàn có

thể khiến máy tính của bạn A bị nhiễm phần mềm độc hại như virus, Trojan, ransomware,…

2 Lộ lọt thông tin cá nhân: Một số trang web giả mạo có thể dụ dỗ bạn A cung cấp thông

tin cá nhân như tên, địa chỉ, số điện thoại, thậm chí là thông tin tài khoản ngân hàng.

3 Mất kết nối mạng hoặc gián đoạn công việc: Việc sử dụng máy tính công ty cho mục

đích cá nhân, đặc biệt là tải các tập tin dung lượng lớn, có thể ảnh hưởng đến hiệu suất mạng và gián đoạn công việc của các đồng nghiệp khác.

2.2.2Lý do các mối đe dọa xuất hiện:

1 Trang web không an toàn: Các trang web này thường không được bảo mật tốt và có thể

chứa mã độc hoặc liên kết đến các trang web độc hại khác.

2 Thiếu nhận thức: Bạn A không nhận thức được đầy đủ về các nguy cơ an ninh mạng và

không có các biện pháp bảo vệ adeguate.

3 Lơ là: Do ít khách hàng nên bạn A có tâm lý chủ quan, lơ là việc bảo mật thông tin và sử

dụng máy tính công ty cho mục đích cá nhân.

2.2.3Hậu quả nếu các mối đe dọa xảy ra:1 Nhiễm phần mềm độc hại:

• Máy tính của bạn A có thể bị hư hỏng, dữ liệu bị mất hoặc bị đánh cắp.

• Virus có thể lây lan sang các máy tính khác trong mạng công ty, gây ảnh hưởng đến hoạt động của công ty.

2 Lộ lọt thông tin cá nhân:

• Bạn A có thể bị lừa đảo, tống tiền hoặc đánh cắp danh tính.

• Thông tin cá nhân của bạn A có thể được sử dụng cho mục đích marketing trái phép.

3 Mất kết nối mạng hoặc gián đoạn công việc:

• Ảnh hưởng đến hiệu quả công việc của bạn A và các đồng nghiệp khác • Gây thiệt hại cho công ty về mặt thời gian và tiền bạc.

3 Cẩn trọng khi truy cập internet:

• Tránh truy cập các trang web không an toàn.

• Không tải xuống các tập tin từ các nguồn không tin cậy.

• Không cung cấp thông tin cá nhân trên các trang web không an toàn.

4 Sử dụng máy tính công ty đúng mục đích: Chỉ sử dụng máy tính công ty cho mục đích

công việc.

5 Báo cáo cho bộ phận IT: Báo cáo ngay cho bộ phận IT nếu bạn A nghi ngờ có bất kỳ

nguy cơ an ninh mạng nào.

2.2.5Kết luận:

Việc sử dụng máy tính công ty cho mục đích cá nhân có thể dẫn đến nhiều nguy cơ an ninh mạng Bạn A cần nâng cao nhận thức về các nguy cơ này và thực hiện các biện pháp bảo mật để bảo vệ bản thân và công ty.

2.3Ví dụ 2

Bạn là trưởng phòng kinh doanh của một công ty lớn Bạn thường xuyên phân công công việc, theo dõi công việc các nhân viên thuộc cấp dưới của mình qua hệ thống website của doanh nghiệp Đồng thời thường xuyên giao dịch hợp đồng với khách hàng qua email, cũng như báo cáo kết quả công việc cho sếp Đợt vừa rồi bạn có một chuyến công tác 1 tuần ở các một số tỉnh Thật là không may mắn, máy laptop làm việc của bạn bị hư đột xuất và không có nơi nào sữa chữa liền được Để giải quyết các công việc hàng ngày, bạn phải dùng máy tính công cộng tại các khách sạn mà bạn lưu trú tại nơi công tác Bạn hãy:

1 Chỉ ra 3 mối đe dọa mà bạn có thể gặp phải trong tình huống trên 2 Nêu ra được lý do tại sao có những mối đe dọa đó.

3 Phân tích hậu quả nếu các mối đe dọa đó thật sự xảy ra 4 Nêu một vài giải pháp khắc phục.

2.3.1Ba mối đe dọa chính:1 Rò rỉ thông tin mật:

• Mật khẩu, tài khoản cá nhân và công ty có thể bị đánh cắp do máy tính công cộng không được bảo mật tốt.

• Kẻ tấn công có thể cài đặt phần mềm theo dõi hoặc keylogger để ghi lại thao tác của bạn, lấy cắp thông tin đăng nhập và dữ liệu nhạy cảm.

2 Nhiễm phần mềm độc hại:

• Máy tính công cộng có thể chứa virus, ransomware, Trojan,… lây sang máy tính cá nhân của bạn khi sử dụng chung thiết bị lưu trữ hoặc kết nối mạng.

• Phần mềm độc hại có thể gây ra nhiều vấn đề như mất dữ liệu, hư hại hệ thống, thậm chí là tống tiền.

3 Bị theo dõi, giám sát:

• Hoạt động của bạn trên máy tính công cộng có thể bị theo dõi bởi các bên thứ ba, bao gồm chính phủ, nhà cung cấp dịch vụ internet, hoặc các hacker.

• Thông tin cá nhân của bạn có thể bị thu thập và sử dụng cho mục đích xấu như quảng cáo nhắm mục tiêu, lừa đảo, hoặc thậm chí là đánh cắp danh tính.

2.3.2Lý do khiến máy tính công cộng tiềm ẩn nguy cơ:1 Tính bảo mật kém:

• Máy tính công cộng thường được sử dụng bởi nhiều người với mục đích khác nhau, dẫn đến việc khó kiểm soát và bảo mật thông tin.

• Hệ thống bảo mật trên máy tính công cộng thường không được cập nhật thường xuyên, tạo điều kiện cho hacker tấn công.

2 Thiếu kiểm soát:

• Bạn không thể kiểm soát được phần mềm và cài đặt trên máy tính công cộng, dẫn đến nguy cơ bị cài đặt phần mềm theo dõi hoặc phần mềm độc hại.

• Việc sử dụng phần mềm diệt virus hoặc firewall cũng có thể bị hạn chế trên máy tính công cộng.

3 Mạng Wi-Fi không an toàn:

• Nhiều nơi cung cấp Wi-Fi miễn phí cho khách hàng, nhưng mạng Wi-Fi công cộng thường không được bảo mật tốt.

• Kẻ tấn công có thể dễ dàng đánh cắp thông tin của bạn khi bạn sử dụng mạng Wi-Fi công cộng.

2.3.3Hậu quả của việc sử dụng máy tính công cộng:1 Rò rỉ thông tin mật:

• Ảnh hưởng đến uy tín và thương hiệu của công ty, mất mát dữ liệu khách hàng, dẫn đến kiện tụng và thiệt hại tài chính.

• Đối với cá nhân, việc rò rỉ thông tin mật có thể dẫn đến mất cắp tài khoản, lừa đảo, hoặc thậm chí là đánh cắp danh tính.

2 Nhiễm phần mềm độc hại:

• Mất mát dữ liệu cá nhân và công việc, máy tính cá nhân bị khóa hoặc không thể sử dụng được, ảnh hưởng đến hiệu quả công việc.

• Chi phí để sửa chữa hoặc phục hồi dữ liệu có thể rất cao.

3 Bị theo dõi, giám sát:

• Mất quyền riêng tư cá nhân, thông tin cá nhân bị sử dụng cho mục đích xấu như lừa đảo, tống tiền, ảnh hưởng đến danh tiếng và uy tín cá nhân.

• Nguy cơ bị tấn công mạng hoặc bị tống tiền bởi các hacker.

2.3.4Giải pháp khắc phục:

1 Hạn chế sử dụng máy tính công cộng:

• Chỉ sử dụng máy tính công cộng khi thật sự cần thiết • Sử dụng máy tính cá nhân của bạn whenever possible.

2 Sử dụng VPN:

• Mã hóa dữ liệu và bảo vệ thông tin khi sử dụng mạng Wi-Fi công cộng • Chọn VPN uy tín và có chính sách bảo mật rõ ràng.

3 Cài đặt phần mềm bảo mật:

• Cài đặt phần mềm diệt virus và firewall để bảo vệ máy tính khỏi phần mềm độc hại • Cập nhật phần mềm bảo mật thường xuyên.

4 Cẩn thận khi truy cập internet:

• Tránh truy cập các trang web không an toàn hoặc tải xuống các tập tin từ các nguồn không tin cậy.

• Sử dụng mật khẩu mạnh và thay đổi mật khẩu thường xuyên.

5 Không cung cấp thông tin nhạy cảm:

• Không cung cấp mật khẩu, thông tin tài khoản ngân hàng, hoặc các thông tin nhạy cảm khác trên máy tính công cộng.

• Sử dụng các dịch vụ thanh toán trực tuyến uy tín và bảo mật.

6 Sao lưu dữ liệu thường xuyên:

• Sao lưu dữ liệu cá nhân và công việc thường xuyên để tránh mất mát dữ liệu trong trường hợp máy

2.4Một vài mối đe doạ đến an toàn thông tin:

• Một nhân viên dùng máy tính công cộng để đăng nhập và giải quyết công việc của công ty (Hành động vô ý)

• Một nhân viên dùng máy tính đang làm việc ở công ty để tải game, tải nhạc, phim vềmáy để giải trí Các trang web hầu như không rõ nguồn gốc (Hành động vô ý)

• Một nhân viên tự ý cài đặt phần mềm vào máy tính của cơ quan mà không thông qua đơn vị có thẩm quyền (Hành động vô ý hoặc cố ý)

• Một sinh viên CNTT thực hiện tấn công vào một trang web để thu thập, điều chỉnh, phá hoại thông tin, làm hư hại các chức năng của một hệ thống (Hành động cố ý)

• Một nhân viên bị mua chuộc để cung cấp thông tin nhạy cảm của tổ chức (Hành động cố ý) • Một doanh nghiệp đặt trụ sở tại nơi thường xuyên xảy ra thiên tai, lũ lụt, mất điện (Thiên

• Một hệ thống mạng máy tính của công ty thường xuyên xảy ra lỗi phần cứng hoặc/và không cập nhật phần mềm hoặc sử dụng phần mềm không có bản quyền (Lỗi kỹ thuật)

• Một doanh nghiệp không đưa ra bất kỳ quy định nào về việc sử dụng hệ thống mạng máy tính trong tổ chức (Lỗi quản lý)

• Một doanh nghiệp không xây dựng đội ngũ nhân viên bảo trì, quản trị hệ thống, không thường xuyên tập huấn để cập nhật công nghệ mới (Lỗi quản lý)

1 Nhân viên dùng máy tính công cộng:Hành động: Vô ý

Mối đe dọa:

• Lộ lọt thông tin đăng nhập, mật khẩu, dữ liệu công ty • Nhiễm phần mềm độc hại, virus, ransomware.

• Bị theo dõi, giám sát bởi các bên thứ ba.

2 Nhân viên tải game, nhạc, phim từ trang web không rõ nguồn gốc:Hành động: Vô ý

Mối đe dọa:

• Nhiễm phần mềm độc hại, virus, ransomware • Lộ lọt thông tin cá nhân, dữ liệu công ty.

• Gây gián đoạn, ảnh hưởng đến hiệu quả công việc chung.

3 Nhân viên tự ý cài đặt phần mềm:Hành động: Vô ý hoặc cố ý

Mối đe dọa:

• Gây xung đột phần mềm, ảnh hưởng đến hệ thống • Nhiễm phần mềm độc hại, virus, ransomware • Lộ lọt thông tin cá nhân, dữ liệu công ty.

4 Sinh viên CNTT tấn công trang web:Hành động: Cố ý

Mối đe dọa:

• Mất cắp, phá hoại dữ liệu • Gây gián đoạn, sập trang web.

• Ảnh hưởng đến uy tín, thương hiệu của tổ chức.

5 Nhân viên bị mua chuộc cung cấp thông tin nhạy cảm:Hành động: Cố ý

Mối đe dọa:

• Lộ lọt bí mật kinh doanh, thông tin khách hàng • Gây thiệt hại tài chính, ảnh hưởng đến uy tín công ty • Nguy cơ bị tấn công, tống tiền.

6 Doanh nghiệp đặt trụ sở tại nơi thường xuyên xảy ra thiên tai:Mối đe dọa:

• Mất mát dữ liệu, hư hỏng thiết bị do thiên tai • Gián đoạn hoạt động kinh doanh.

• Gây thiệt hại tài chính, ảnh hưởng đến uy tín công ty.

7 Hệ thống mạng máy tính thường xuyên lỗi phần cứng, phần mềm:Mối đe dọa:

• Mất mát dữ liệu, ảnh hưởng đến hiệu quả công việc • Nguy cơ bị tấn công mạng, lừa đảo.

• Gây thiệt hại tài chính cho doanh nghiệp.

8 Doanh nghiệp không đưa ra quy định về sử dụng hệ thống mạng:Mối đe dọa:

• Sử dụng sai mục đích, ảnh hưởng đến hiệu quả chung • Nguy cơ tấn công mạng, lây lan phần mềm độc hại • Gây mất mát dữ liệu, ảnh hưởng đến uy tín công ty.

9 Doanh nghiệp không có đội ngũ bảo trì, quản trị hệ thống:Mối đe dọa:

• Hệ thống hoạt động không ổn định, dễ bị lỗi.

• Nguy cơ bị tấn công mạng, lây lan phần mềm độc hại • Gây mất mát dữ liệu, ảnh hưởng đến uy tín công ty.

10 Doanh nghiệp không tập huấn cập nhật công nghệ mới cho nhân viên:Mối đe dọa:

• Nhân viên không sử dụng thành thạo hệ thống, phần mềm • Nguy cơ bị tấn công mạng, lừa đảo.

• Gây ảnh hưởng đến hiệu quả công việc, uy tín công ty.

⇒ Kết luận:

Cần có biện pháp phòng ngừa để bảo vệ an toàn thông tin, bao gồm: • Nâng cao nhận thức cho nhân viên.

• Cài đặt phần mềm bảo mật, cập nhật phần mềm • Sao lưu dữ liệu thường xuyên.

• Xây dựng quy định, chính sách bảo mật.

• Có đội ngũ bảo trì, quản trị hệ thống chuyên nghiệp • Tập huấn cập nhật công nghệ mới cho nhân viên.

3LO4 - Giải thích được các khái niệm cơ bản về An toàn thôngtin, hệ mã hóa

1 An toàn thông tin là gì? Tại sao một doanh nghiệp cần phải có các biện pháp khácnhau để đảm bảo tính an toàn thông tin của doanh nghiệp?

An toàn thông tin:

• Là tập các quy trình và công cụ được thiết kế và triển khai để bảo vệ các thông tin nhạy cảm của doanh nghiệp từ sự truy cập, hiệu chỉnh, phá hủy không hợp pháp.

• An toàn thông tin mạng, an toàn máy tính, đảm bảo thông tin được sử dụng hoán đổi cho nhau.

Tại sao cần an toàn thông tin?

• Thông tin là một tài sản giống như các tài sản quan trọng khác của doanh nghiệp, thông tin có giá trị đối với tổ chức và cần được bảo vệ một cách phù hợp (BS ISO 27002:2005) • Nếu thông tin của tổ chức lọt vào tay những người không có thẩm quyền hoặc không hợp

pháp thì dẫn đến những hậu quả rất nghiêm trọng.

• Vì thế, bảo vệ thông tin trở thành một yêu cầu không thể thiếu trong mọi hoạt động nói chung và hoạt động điện tử nói riêng An toàn thông tin trong thời đại số là quan trọng hơn bao giờ hết.

ATTT thực hiện 4 chức năng quan trọng cho một tổ chức:

1 Bảo vệ được các chức năng nhiệm vụ của một tổ chức: • Hoạt động của tổ chức không gián đoạn

• Không mất chi phí để phục hồi hoạt động của tổ chức

2 Có được các hoạt động an toàn trên các ứng dụng của tổ chức:

• Hoạt động của tổ chức hiện đại cần có và vận hành các ứng dụng tích hợp • ATTT giúp bảo vệ các ứng dụng này khỏi các cuộc tấn công mạng

3 Bảo vệ được dữ liệu mà tổ chức đã thu thập và sử dụng:

• Không có dữ liệu, tổ chức sẽ mất các hồ sơ giao dịch hoặc khả năng cung cấp dịch vụ cho khách hàng

• ATTT giúp bảo vệ dữ liệu khỏi bị đánh cắp, rò rỉ hoặc truy cập trái phép 4 Bảo vệ được tài sản công nghệ của tổ chức:

• Để thực hiện hiệu quả, các tổ chức phải sử dụng các dịch vụ cơ sở hạ tầng an toàn phù hợp với quy mô và phạm vi của tổ chức Khi một tổ chức phát triển, nó phải phát triển các dịch vụ bảo mật bổ sung.

2 Hệ thống thông tin là gì? Hãy cho ví dụ một hệ thống thông tin mà bạn biết Đưara dữ liệu, thông tin, chức năng nào cần đảm bảo an toàn, nêu lý do.

• Hệ thống thông tin là một cách tổ chức, xử lý và truyền tải thông tin trong một tổ chức hoặc cơ quan Hệ thống thông tin thường bao gồm các thành phần như phần cứng máy tính, phần mềm ứng dụng, dữ liệu và các quy trình để quản lý, xử lý và truyền tải thông tin.

• Một ví dụ cụ thể về hệ thống thông tin là hệ thống quản lý thông tin học sinh trong một trường học Hệ thống này bao gồm các thành phần như máy tính để lưu trữ dữ liệu, phần mềm quản lý học sinh để nhập liệu và xử lý thông tin, dữ liệu về học sinh bao gồm thông tin cá nhân, điểm số, lịch học và các thông tin liên quan khác.

• Các chức năng cần đảm bảo an toàn trong hệ thống này bao gồm:

1 Bảo mật dữ liệu học sinh: Thông tin cá nhân của học sinh như tên, địa chỉ, số điện thoại

cần được bảo vệ để tránh việc lộ thông tin cá nhân.

2 Bảo vệ dữ liệu về điểm số: Dữ liệu về điểm số của học sinh cần được bảo vệ chặt chẽ để

tránh việc thay đổi không được phép và tránh trường hợp thông tin bị rò rỉ hoặc sửa đổi.

3 Bảo mật quyền truy cập: Hệ thống cần có cơ chế xác thực và kiểm soát quyền truy cập để

đảm bảo chỉ những người có quyền mới có thể truy cập và sửa đổi thông tin trong hệ thống.

4 Sao lưu và phục hồi dữ liệu: Cần có các biện pháp đảm bảo rằng dữ liệu trong hệ thống

được sao lưu định kỳ và có thể phục hồi khi có sự cố xảy ra như mất dữ liệu hoặc hỏng hóc • Bảo mật trong hệ thống thông tin là rất quan trọng để đảm bảo tính toàn vẹn, bảo mật và sẵn sàng sử dụng của thông tin trong hệ thống, đặc biệt là khi thông tin liên quan đến cá nhân hoặc dữ liệu nhạy cảm.

3 Tam giác CIA là gì? Nêu mối tương quan giữa C, I, ATam giác CIA:

• Ba khái niệm ATTT cần đảm bảo bao gồm:

1 Tính bảo mật (Confidentiality):

• Là nguyên tắc đảm bảo kiểm soát truy cập thông tin.

• Thông tin chỉ được phép truy cập bởi những đối tượng (người, chương trình máy tính…) được cấp phép.

2 Tính toàn vẹn (Integrity):

• Là sự đảm bảo dữ liệu là đáng tin cậy và chính xác.

• Thông tin chỉ được phép xóa hoặc sửa bởi những đối tượng được phép và phải đảm bảo rằng thông tin vẫn còn chính xác khi được lưu trữ hay truyền đi.

3 Tính sẵn dùng (Availability):

• Là sự đảm bảo liên tục và mức độ đáp ứng kịp thời của hệ thống khi có yêu cầu truy cập dữ liệu hoặc thao tác từ người dùng.

• Đảm bảo thông tin, dịch vụ luôn sẵn sàng khi những người dùng hoặc ứng dụng được ủy quyền yêu cầu.

• Ba khái niệm này hình thành một Tam giác bảo mật được gọi là CIA triad, đó là Confiden-tiality (Bảo mật), Integrity (Toàn vẹn), và Availability (Sẵn dùng) Tam giác bảo mật này thể hiện các mục tiêu cốt lõi an toàn cho cả thông tin và dịch vụ của hệ thống thông tin, đảm bảo rằng thông tin được bảo vệ khỏi sự truy cập trái phép, sửa đổi không đáng kể và sẵn sàng sử dụng khi cần thiết.

Mối tương quan giữa C, I, A:

Mối tương quan giữa Confidentiality (Bảo mật), Integrity (Toàn vẹn), và Availability (Sẵn dùng) được thể hiện thông qua một bộ ba quan trọng trong quá trình phân tích, dự trù kinh phí và thời gian xây dựng hệ thống đảm bảo an toàn thông tin.

Các tiêu chí này có mối tương quan như sau: X$ = C + I + A

Trong đó:

• X$ là kinh phí dành cho việc xây dựng và phát triển hệ thống • C, I, A là thuộc tính của tam giác bảo mật.

Theo toán học, với mỗi giá trị cố định của X$, việc tăng chỉ số C sẽ làm giảm chỉ số I và A, và ngược lại.

Tương quan này phản ánh rằng việc đầu tư vào một khía cạnh của tam giác bảo mật thường sẽ ảnh hưởng đến các khía cạnh khác Ví dụ, nếu tăng cường bảo mật (Confidentiality), có thể yêu cầu chi phí cao để triển khai các biện pháp bảo mật, có thể làm giảm sự sẵn sàng (Availability) của hệ thống hoặc tăng nguy cơ làm suy giảm tính toàn vẹn (Integrity) của dữ liệu.

Điều này cũng áp dụng ngược lại: nếu tăng cường tính sẵn sàng hoặc tính toàn vẹn của hệ thống, có thể phải đánh đổi một phần của tính bảo mật để đảm bảo rằng các tài nguyên và dịch vụ có thể được truy cập một cách hiệu quả và dữ liệu vẫn được giữ nguyên vẹn.

4 Vulnerability (lổ hổng) - Threat (mối đe dọa) - Risk (rủi ro) là gì? Nêu mối tươngquan giữa 3 yếu tố đó

Lỗ hổng (Vulnerability):

• Một điểm yếu trong tổ chức, hệ thống IT hoặc mạng mà có thể bị khai thác bởi mối đe dọa.