BÀI GIẢNG CƠ SỞ HỆ THỐNG THÔNG TIN
Chia sẻ bởi Cao Dinh Nghi |
Ngày 01/05/2019 |
46
Chia sẻ tài liệu: BÀI GIẢNG CƠ SỞ HỆ THỐNG THÔNG TIN thuộc Power Point
Nội dung tài liệu:
BÀI GIẢNG CƠ SỞ HỆ THỐNG THÔNG TIN
CHƯƠNG 7. LÃNG PHÍ, SAI SÓT VÀ
AN TOÀN THÔNG TIN
PGS. TS. HÀ QUANG THỤY
HÀ NỘI 01-2016
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
ĐẠI HỌC QUỐC GIA HÀ NỘI
1
Nội dung
Lãng phí và sai sót máy tính
Chống lãng phí và sai sót máy tính
Tội phạm máy tính
Máy tính là công cụ của tội phạm
Máy tính là đối tượng của tội phạm
Ngăn ngừa tội phạm máy tinh
Vấn đề riêng tư
ATTT trong HTTT
An toàn thông tin tại Việt Nam
Về chương trình đào tạo ATTT tại Khoa CNTT
Tóm tắt
2
1. Lãng phí và sai sót máy tính
Giới thiệu
nguyên nhân chính vấn đề máy tính chi phí không cần thiết cao và làm mất lợi nhuận
Lãng phí: dùng công nghệ & tài nguyên máy tính không phù hợp .
Sai sót: lỗi, sai lầm, vấn đề khác cung cấp kết quả không chính xác/không hữu ích; sai sót xuất hiện chủ yếu do lỗi con người
3
Lãng phí
Tình trạng
Chính quyền: sử dụng lớn nhất và cũng lãng phí nhất
Chính quyền và công ty (tư nhân)
Lãng phí tài nguyên
Loại bỏ phần cứng, phần mềm vẫn còn giá trị
Xây dựng-duy trì HT phức tạp không dùng tối đa
Nghịch lý năng suất CNTT Robert Solow
Lãng phí thời gian
Trò chơi máy tính
Gửi email không quan trọng; Truy cập web vô ích.
Thư rác (spam email) và fax rác (spam-fax)
Vào mạng xã hội: Các công ty Anh chi hang tỷ bảng chặn nhân viên vào mạng xã hội
4
Sai sót máy tính
Giới thiệu
Sai sót phần cứng: hiếm
Sai sót do con người: sai sót chương trình và sai sót nhập liệu, thao tác. Cần ngăn chặn kịp thời
Một số ví dụ
https://au.travel.yahoo.com/news/a/31000259/leap-year-leaves-passengers-without-bags-at-duesseldorf-airport/: Hành lý sân bay Düsseldorf (Đức); http://www.phillyvoice.com/flights-grounded-at-washington-dc-area-airports/: Hủy bỏ 400 chuyến bay ngày 15/8/2015 vùng đông nước Mỹ
http://www.baomoi.com/Land-Rover-thu-hoi-65000-xe-vi-loi-khoa-cua/76/17016902.epi: Land Rover thu hồi 65.000 xe; Toyota thu hồi 625.000 xe v.v.
Hệ thống radar máy bay thế hệ năm F-35 của Mỹ không đáng tin cậy, liên tục bị tái khởi động.
http://www.ft.com/intl/cms/s/0/0c82561a-2697-11dd-9c95-000077b07658.html#axzz44TRd3mxf : Cổ phiếu Moody 20%
v.v.
5
Các sai sót máy tính phổ biến nhất
Các sai sót máy tính phổ biến nhất
Lỗi nhập dữ liệu hoặc nắm bắt dữ liệu
Lỗi chương trình máy tính
Lỗi xử lý tập tin, nhầm lẫn định dạng đĩa, sao tập tin cũ hơn đè lên mới hơn, xóa nhầm tập tin .v.
Xử lý sai kết quả đầu ra từ máy tính
Lập kế hoạch và kiểm soát trục trặc thiết bị không đủ
Lập kế hoạch và kiểm soát khó khăn môi trường không đủ
Khởi động năng lực tính toán không đầy đủ mức độ hoạt động của website tổ chức
Lỗi trong cung cấp truy cập thông tin mới nhất khi chưa bổ sung liên kết web mới và xóa đi liên kết web cũ
Người phân tích HT: Kỳ vọng hệ thống không rõ & và thiếu thông tin phản hồi. Người sử dụng chấp nhận một HT không cần thiết/không mong muốn
v.v.
6
2. Chống lãng phí và sai sót máy tính
Khái quát
Chống lãng phí và sai sót: mục tiêu của tổ chức
Nhân viên và nhà quản lý
Chính sách và thủ tục: thiết lập, thi hành, giám sát, đánh giá, cải thiện
Thiết lập chính sách
Xây dựng-ban hành chính sách tiếp nhận-sử dụng máy tính cho mục đích chống lãng phí-sai sót
Xây dựng-tổ chức đào tạo các hướng dẫn-quy định sử dụng-bảo trì HT máy tính;
xác nhận tính đích xác hệ thống/ứng dụng trước thi hành/sử dụng đảm bảo tương thích-hiệu quả chi phí
tài liệu hướng dẫn-giới thiệu ứng dụng bao gồm công thức lõi phải được nộp/ gửi tới văn phòng trung tâm
7
Giám sát-đánh giá chính sách và thủ tục
Giám sát
giám sát thường xuyên
có hành động khắc phục nếu cần thiết
Kiểm toán nội bộ chính sách-thủ tục
Đánh giá
Chính sách bao trùm đầy đủ thực tiễn hiện hành hay chưa? Có phát hiện được bất kỳ vấn đề/cơ hội chưa được bao trùm trong giám sát hay không?
Tổ chức có lên các kế hoạch hoạt động mới trong tương lai hay không? Nếu có, có nhu cầu về chính sách hoặc thủ tục giải quyết mới hay không, những ai sẽ xử lý nhu cầu đó và những gì cần phải được thực hiện?
Đã bao trùm được dự phòng và thảm họa hay chưa?
8
3. Tội phạm máy tính
Giới thiệu chung
Internet: Cơ hội và nguy cơ
Dù chính sách HTTT tốt khó dự đoán/ngăn tội phạm MT
Tội phạm máy tính có yếu tố nguy hiểm hơn
Năm 2011: Thiệt hai TPMT 20 nước >388 tỷ US$
Các cuộc khảo sát
“State of Network Security 2013 Servey”: 80,6% phá vỡ dịch vụ doanh nghiệp (30,7% mất ứng dụng, 29,1% mất mạng, 20,7% giảm hiệu suất). 60% cho biết do thủ công, quản lý thay đổi kém và thiếu tầm nhìn; đe dọa nội bộ 65,4% (40,8% tình cờ, 24,6% chủ ý) nhiều hơn đe dọa bên ngoài 34,6%.
The Global State of Information Security® Survey ba năm 2013-2015
9
Kinh tế CNTT và Kinh tế Internet
4140 tỷ US$
Tác hại do tội phạm ATTT
http://now-aka.norton.com/now/en/pu/images/Promotions/2012/cybercrime/
Neil Robinson et al (2012). Feasibility Study for a European Cybercrime Centre, Technical Report (Prepared for the European Commission, Directorate-General Home Affairs, Directorate Internal Security Unit A.2: Organised Crime), The RAND Corporation
ATTT: Trò chơi cấp cao "365/7/24“
Trò chơi và đối thủ biến đối nhanh:
8580 ISI-converted journals có
ít nhất 6 tạp chí chuyên về ATTT
http://www.pwc.com/gx/en/consulting-services/information-security-survey/assets/2013-giss-report.pdf : Phát hiện 13: giải pháp nhân viên & nguồn lực sẵn sàng cho đào tạo an ninh có tính then chốt trong hoạt động ATTT trên thế giới
Các mối đe dọa nội bộ
Đe dọa con người.
Gian lận, lạm dụng tài nguyên hoặc thông tin
Lỗi, sai sót của nhân viên
Gián điệp, kẻ xem trộm thông tin
Kỹ sư xã hội từ nhân viên
Khai thác thiếu tri thức/nghiệp vụ của đồng nghiệp
Dùng mật khẩu quản trị yếu/mật khẩu người khác để tiếp cận trái phép
Trộm cắp
Chính sách không được thực hiện / không được phép
Phân quyền không đúng dẫn đến gian lận/lạm dụng
Dùng phương tiện xã hội bị nhiễm hoặc tải phần mềm không được phép dẫn tới nguồn lây nhiễm
Umesh Hodeghatta Rao, Umesha Nayak. The InfoSec Handbook: An Introduction to Information Security. Apress, 2014
Các mối đe dọa nội bộ
Đe dọa từ ứng dụng nội bộ
Nhập liệu không đúng
Cấu hình ứng dụng sai dẫn tới lỗi/sai trong xử lý
Lỗi xử lý không phù hợp/ngoại lệ nảy sinh vấn đề
Thao tác tham số, thao tác tràn bộ đệm
Truy cập trái phép
Vấn đề khác
Truy nhập không hạn chế USB dẫn tới mất thông tin
Hư hỏng hệ thống/dữ liệu từ điện tăng, nhiệt độ
Lỗi phần cứng do trục trặc
Lỗi cơ sở hạ tầng (UPS) do bảo dưỡng không đúng
Đe dọa từ bên ngoài
Đe dọa từ bên ngoài
từ con người: ví dụ kỹ sư xã hội,
An ninh mạng
An ninh vật lý
An ninh truyền thông
Phần mềm
Xã hội và kinh tế
Pháp lý
Khác
Umesh Hodeghatta Rao, Umesha Nayak. The InfoSec Handbook: An Introduction to Information Security. Apress, 2014
Các mối đe dọa con người:
Đe dọa vật lý (8 mối đe dọa), Đe dọa mạng (8), vấn đề phần mềm (12), đe dọa con người (4). Đe dọa khác
Khảo sát ATTT Việt Nam
Kết quả khảo sát năm 2012 của Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT): http://vncert.gov.vn/tainguyen/KSATTT2012.zip
Khảo sát ATTT Việt Nam
"hơn 50% cơ quan, tổ chức vẫn chưa có cán bộ chuyên trách về ATTT"[1] (có tới 135 (26%) tổ chức không có vị trí công tác về ATTT); có tới 24% tổ chức phải thuê tổ chức chuyên nghiệp bên ngoài bảo vệ ATTT cho mình.
[1] http://m.ictnews.vn/cntt/nuoc-manh-cntt/qua-nua-co-quan-to-chuc-thieu-nguoi-gac-cua-ve-attt-110461.ict
Phân loại tội phạm máy tính
Tội phạm loại 1: Máy tính là đối tượng
truy cập trái phép, như tấn công trái phép (hack)
mã độc hại: phổ biến virus và sâu (worms) máy tính,
ngắt dịch vụ, như làm gián đoạn hay từ chối dịch vụ,
Trộm cắp hoặc lạm dụng dịch vụ (tài khoản)
Tội phạm loại 2: Máy tính là công cụ
vi phạm nội dung (content violation offences): sở hữu nội dung khiêu dâm trẻ em, trái phép các bí mật quân sự, tội phạm địa chỉ IP
Thay trái phép (unauthorised alteration) D.liệu/P.mềm cho lợi ích cá nhân/tổ chức như gian lận trực tuyến
Dùng không hợp thức (improper use) truyền thông: rình rập mạng, gửi thư rác, sử dụng dịch vụ vận chuyển với ý định/có âm mưu hoạt động có hại/tội ác
18
Loại hình tội phạm (149 phiếu điều tra)
19
20
Loại hình tội phạm (149 phiếu điều tra)
Khảo sát An toàn thông tin
Global State of I-Security® Survey 13-15
PwC (Price Waterhouse Coopers+ CIO Magazine+CSO Security and Risk Magazine
9000+ CEO, CFO, CIO, CSO từ 90+quốc gia
chiến lược thông minh, tập trung không ngừng tới đối thủ
trò chơi lẫn đối thủ là không ngừng thay đổi
không thể chống đe dọa hôm nay bởi chiến lược hôm qua
cần mô hình ATTT, chứa kiến thức về đe dọa, về tài nguyên, về cả động cơ lẫn mục tiêu của đối thủ tiềm năng
Hoạt động liên kết, tính lãnh đạo và đào tạo ATTT là chìa khóa của chiến lược thắng lợi trong trò chơi
Tiến hóa ATTT
PwC (Price Waterhouse Coopers+ CIO Magazine+CSO
công nghệ" "quá trình – quản lý" "yếu tố con người"
21
Khái niệm ATTT và tính bảo mật
Khái niệm
ISO/IEC 27000:2014: ATTT đảm bảo tính bảo mật, tính sẵn có, tính toàn vẹn
ATTT là việc bảo vệ HTTT tự động nhằm mục tiêu về tính bảo mật, tính sẵn có, và tính toàn vẹn tài nguyên HTTT (bao gồm phần cứng, phần mềm, phần mềm gắn kết (firmware), thông tin/dữ liệu và viễn thông)
Tính bảo mật confidentiality
bảo mật dữ liệu (Data confidentiality): thông tin/bí mật cá nhân không được cung cấp, tiết lộ tới cá nhân không có thẩm quyền
riêng tư (Privacy): cá nhân kiểm soát&có ảnh hưởng tới thông tin gì liên quan đến họ được phép thu thập&lưu trữ cũng như ai được phép cung cấp thông tin nói trên cho những ai
22
Tính toàn vẹn và tính sẵn có
Tính toàn vẹn integrity
toàn vẹn dữ liệu (Data integrity): thông tin&chương trình chỉ được thay đổi theo các cách thức quy định&được phép
toàn vẹn hệ thống (System integrity): hệ thống thi hành chức năng định sẵn một cách không suy giảm, độc lập đối với các thao tác trái phép cố ý hoặc vô ý.
Tính sẵn có availability
hệ thống làm việc nhanh và dịch vụ không bị từ chối đối với người dùng được phép
Thực thi ATTT
Dựa trên việc thi hành tập biện pháp kiểm soát (control) được áp dụng-chọn lọc qua quá trình quản lý rủi ro được chọn-quản lý hệ thống quản lý ATTT (information security management systems: ISMS)
23
Tính xác thực và tính trách nhiệm
Tính xác thực Authenticity
Đảm bảo thông tin & nguồn thông tin được xác minh và đáng tin cậy: chuyển thông điệp, thông điệp, và nguồn thông điệp là có giá trị tin tưởng. Xác minh đúng người dùng như họ đăng nhập và đầu vào hệ thống từ nguồn đáng tin cậy.
Tính trách nhiệm Accountability
Đảm bảo: hành động thực thể đã hành động, hỗ trợ chống chối bỏ, ngăn chặn-cô lập lỗi, phát hiện-phòng ngừa xâm nhập, phục hồi và hành động pháp lý. Lưu hồ sơ vết hành động.
Các chiều mục tiêu ATTT khác
Một số mục tiếu khác: Tính không thể chỗi cãi (NonRepudiation), tính pháp lý (legal), v.v.
24
Một số khái niệm liên quan
Đe dọa Threat
tiềm năng vi phạm ATTT, tồn tại ở hoàn cảnh/khả năng/hành động/sự kiện để vi phạm ATTT và gây hại. Đe đe dọa: nguy hiểm tiềm năng khai thác lỗ hổng.
Tấn công Attack
Tấn công vào hệ thống từ một de dọa trí tuệ với nỗ lực cố ý một hành vi trí tuệ (một phương pháp/kỹ thuật) tránh các hành vi dịch vụ an ninh và vi phạm chính sách an ninh của hệ thống
Các chiều mục tiêu khác
Còn một số chiều mục tiêu khác
25
4. Phần mềm độc hai
Giới thiệu phần mềm độc hai: Malicious Software
Tội phạm máy tính điển hình
Nhiều loại
Virus máy tính: computer virus
phần mềm độc hại cơ bản nhất
Tự gắn mình vào tập tin khác (vật mang)
Vật mang thi hành: virus tự kích hoạt và lây nhiễm. Ủ bệnh và phá hoại
Michelangelo, Brain, Klez, Wullick-B, SQL Slammer, Sasser, và Blaster
Phần mềm gián điệp: spyware
do thám: dò vết/giám sát hoạt động chương trình khác
Lấy thông tin liên quan một người/một tổ chức cho mục đích độc hại sau này.
Tracking Cookies: theo dõi người dùng Internet làm gì
Keyloggers (như ComputerSpy) đăng nhập mọi thứ người sử dụng đã nhập (cả tên- mật khẩu người dung)
26
Virus máy tính: các loại và vòng đời
27
Các loại virus
Virus đĩa: Chiêm quyền điều khiển đĩa vật lý
Virus boot: Chiêm quyền điều khiển đĩa lôgic
Virus file: chiếm quyền điều khiển file hoạt động
Vòng đời
Tồn tại và tán phát
Phá hoại “bom nổ”
Các hình thức phá hoại khác
Sâu máy tính và phần mềm ngựa Troa
Sâu máy tính worms.
Tự nhân bản để lây lan/tự phát tán trên bản thân
Lan truyền ngoài mạng, hệ thống khác. Tàn phá lớn
Melissa, Explorer.zip, Love Bug, ILOVEYOU, Code Red, The Sober, W32.Nimda, và W32.Stuxnet
Phần mềm ngựa Troa Trojans.
mã độc nhúng vào một ứng dụng/ tiện ích/công cụ/trò chơi dường như có ý định tốt
Mặt trước: chức năng cho người dung, mặt sau: chức năng cho kẻ tấn công
Được tải về cùng các chương trình được quan tâm
Flame, Zero Access, DNSChanger, Banker, Downloader, Back Orifice, Zeus, và Beast.
28
Phần mềm cửa sau, quảng cáo robot mạng
Phần mềm cửa sau backdoors
Được cài đặt (ví dụ, Troa) nhằm nhận quyền truy cập hệ thống tại một thời điểm sau đó
Lén lút theo kịch bản của kẻ tấn công
Remote Access Trojans, backdoor.trojan, Trini, và Donald Dick
Phần mềm quảng cáo adware.
mã nền theo dõi hành vi cá nhân người dùng, chuyển cho bên thứ ba.
Mồi nhử cho phần mềm độc hại
Robots mạng botnets
Mạng/đội quân zombie bị tổn thương/nhiễm bởi kẻ tấn công, được dùng để tấn công hệ thống khác
.
29
Phần mềm chống phần mềm độc hai
Giới thiệu PMCPMĐH
ngăn chặn đại dịch phần mềm độc hại
Nhiều loại: Bitdefender Antivirus Plus, Kaspersky Anti-Virus, Norton AntiVirus, F-Secure Anti-Virus, AVG AntiVirus, G Data AntiVirus, Panda Antivirus Pro, McAfee AntiVirus Plus, Trend Micro Titanium Antivirus+, ESET NOD32 Antivirus : phần mềm chống phần mềm gián điệp tốt nhất trong năm 2015
Các bước
Cài đặt PMCPMĐH, chạy nó thường xuyên
Cập nhật PMCPMĐH thường xuyên
Quét mọi phương tiện truyền thông di động, bao gồm cả đĩa CD, trước khi sao chép/chạy chương trình từ chúng
Cài đặt phần mềm chỉ từ một gói đóng hoặc trang web an toàn của một công ty phần mềm nổi tiếng
Thực hiện tải theo thông lệ cẩn thận
Nếu phát hiện loại phần mềm độc hại mới thì hành động ngay lập tức
MÔI TRƯỜNG HỆ THỐNG SẠCH
30
5. Máy tính là công cụ cho tội phạm
Đặt vấn đề.
MT: công cụ truy cập thông tin giá trị/phương tiện ăn cắp
Điển hình về ngân hàng: Gian lận thẻ tín dụng
Hai năng lực cần có: (i) Biết cách truy nhập MT: (ii) Biết cách thao tác đạt mục đích
Tìm từ “thùng rác”, thuyết phục người nội bộ, kỹ sư xã hội
Điển hình: Công cụ cho khủng bố mạng, trôm cắp định danh, cờ bạc Internet, xử lý an toàn máy tính cá nhân
31
Trộm cắp định danh
Khái niệm
identity theft: (i) cố chiếm thông tin định danh cốt yếu; (ii) mạo danh để nhận tín dụng, hàng hóa/dịch vụ hoặc cung cấp thông tin sai sự thật
Hành động kẻ mạo danh
"xem trộm thông tin" (shoulder surfing: lướt qua vai)
Mở tài khoản mới
Truy nhập tài khoản hiện có
Thay đổi địa chỉ nhận thông tin
32
Mười kiểu t/tin bị vi phạm nhiều nhất
Người tiêu dùng cần tự bảo vệ.
Thường xuyên kiểm tra báo cáo tín dụng
Theo dõi với các chủ nợ
Không tiết lộ bất ký thông tin cá nhân
Băm nhỏ hóa đơn và tài liệu chứa thông tin nhạy cảm
33
Lừa đảo liên quan tới máy tính
Phishing: Lừa đảo qua trang web
giao dịch bất động sản không có thật, chào “miễn phí” với chi phí ẩn lớn, gian lận ngân hành, cung cấp sổ số điện thoại giả mạo, bán đồng xu có giá trị, tránh thuế bất hợp pháp v.v.
Lừa đảo thẻ tín dụng qua email
Kẻ lừa đảo muốn chiếm được thông tin cá nhân thẻ tín dụng
Gửi e-mail nhân danh ngân hang với một đường link (giả) tới trang web ngân hang
Khi khách hang gõ đường link: đi tới trang web giả
Hộp pop-up sẽ giúp kẻ lừa đảo lấy thông tin thẻ tín dụng
Tương tự: trường hợp nhân danh an ninh eBay
34
Một ví dụ lừa đảo liên quan tới máy tính
35
Lừa đảo qua điện thoại và thiết bị di động
Vishing và SMiShing
Vishing (Voice Phishing): Thông qua điện thoại nạn nhân, gọi/nhắn tin xác minh tài khoản
Smishing (SMS Phishing): lừa nạn nhân vụ lợi dung điện thoại/thiết bị di động tải một phần mềm độc lại
Lừa đảo kinh doanh tại gia vụ lợi
Thu hút người dùng vào trang web về kinh doanh tại gia
Tiến hành lôi kéo kinh doanh tại gia kiểu “đa cấp”.
36
Khuyến cáo tránh lừa đảo “máy tính”
Các khuyến cáo: có thể áp dụng thực
Không đồng ý mọi điều ở cuộc họp/hội thảo áp lực cao
Đừng đánh giá một doanh nghiệp dựa trên sự xuất hiện
Tránh mọi phương án trả tiền hoa hồng cho tuyển dụng các nhà phân phối bổ sung (kiểu đa cấp).
Cảnh giác với cò mồi (shills) doanh nghiệp dối trá Cần kiểm tra từ nguồn độc lập (cơ quan chính quyền và hội nghề nghiệp) để xác thực các thông tin được cung cấp
Cảnh giác với chèo kéo kinh doanh tại gia vụ lợi trả tiền trước để tham dự một hội thảo và mua vật liệu đắt tiền
Có mô tả đầy đủ công việc liên quan trước khi gửi tiền
Yêu cầu văn bản về việc hoàn lại tiền, mua lại hàng hóa, và chính sách hủy bỏ
37
Cờ bạc Internet
Đặt vấn đề
Hợp pháp và bất hợp pháp
Được lý giải “giải trí”
baccarat, bingo, blackjack, pachinko, poker, roulette, và cá cược thể thao (online sports betting)
Thành phần của công nghiệp trò chơi
Một số số liệu
Gross Gaming Revenues (GGR) toàn cầu 283 tỷ £, EU (29% 82 tỷ £); 2012: cờ bạc Internet 27 tỷ £ (EU 45%)
Lợi nhuận Online Gambling Profits: OGP toàn cầu năm 2008 16,4 tỷ £ gần 6,5 triệu người châu Âu
Lưu ý: Giao thoa tội phạm
1) cờ bạc bất hợp pháp; (2) tội phạm liên quan đến các địa điểm cờ bạc; (3) tội ác liên quan đến (vấn đề) cờ bạc; (4) tội phạm riêng biệt đối với hoạt động cờ bạc [Banks14]
38
Khủng bố mạng
Khái niệm khủng bố mạng cyberterrorism
hành vi liên quan công nghệ máy tính/ Internet (i) thúc đẩy một nguyên nhân chính trị, tôn giáo/ý thức hệ; (ii) đe dọa một bộ phận công chúng/buộc một chính phủ làm/tránh làm một hành động; (iii) đe dọa một bộ phận công chúng, hoặc buộc một chính phủ làm hoặc tránh làm một hành động bất kỳ
Một số lưu ý
khía cạnh pháp lý, khía cạnh chính trị, hiểu khác nhau xếp một việc cụ thể khủng bố mạng hay không ?
khủng bố mạng liên quan tới al-Qaeda và tổ chức Nhà nước Hồi giáo IS
theo quy định của pháp luật của Việt Nam
39
Bắt nạt mạng
Khái niệm bắt nạt mạng cyberbullying
Tồn tại nhiều định nghĩa
Điển hỉnh:“bắt nạt” từ tâm lý học + phương tiện mạng
Bắt nạt: mọi hoạt động dung vũ lực/đe dọa để hành hạ con người gây cảm thấy tồi tệ. Bắt nạt mạng: loại bắt nạt sử dụng phương tiện truyền thông điện tử.
Còn gọi: “quấy rối trên mạng” cyber harassment
Một số kiểu bắt nạt mạng
Bắt nạt trên điện thoại di động Phone bullying
Quấy rối thư điện tử Email harassment
Thư điện tử riêng tư Private emails
Tin nhắn tức thì Instant messaging: IM
Phòng chat Chat rooms
Mạng xã hội social networking
Bắt nạt trên trang web Bullying on websites …
40
Lỗi xử lý an toàn máy tính cá nhân
Đặt vấn đề
Thanh lý máy tính cá nhân như bán trên eBay
Loại bỏ, tặng v.v. máy tính cá nhân
Lưu ý
Cần loại bỏ mọi dấu vết dữ liệu cá nhân / công ty
Chỉ xóa tập tin và làm sạch (Empty Recycle Bin) không đủ
Cân dung công cụ chuyên dụng.
41
6. Máy tính là đối tượng của tội phạm
Đặt vấn đề
Máy tính (tài nguyên) là đối tượng bị tấn công
Tiêu hao thời gian và hiệu năng máy tính
truy cập trái phép/mã độc hại/ngắt dịch vụ/trộm cắp hoặc lạm dụng dịch vụ
Khung tội phạm
42
Truy cập và sử dụng bất hợp pháp
Giới thiệu
Mối quan tâm của doanh nghiệp và chính quyền
Kẻ thâm nhập (hacker): thích công nghệ, học và sử dụng
Kẻ thâm nhập tội phạm/tin tặc cracker
am hiểu máy tính, cố truy cập trái phép/bất hợp pháp ăn cắp mật khẩu, làm hỏng tập tin/chương trình, chuyển tiền
Còn là người phấn khích đánh bại hệ thống
Sử dụng kỹ nghệ xã hội (social engineering) để thâm nhập và làm hại hệ thống. Hacker/cracker thay thế nhau.
Tin tặc nghiệp dư script bunny/ script kiddie
Ít hiểu biết về lập trình, dùng chương trình người khác.
Mục tiêu: Đột nhập trái phép (bằng mọi cách)
Tin tặc nội bộ
Nhân viên: tự mình hoặc phối hợp với bên ngoài
43
Trôm cắp thông tin và thiết bị
Đặt vấn đề
Dữ liệu/thông tin là tài sản/hang hóa
Hai tiếp cận lấy định danh-mật khẩu: (i) Thử lần lượt theo một bộ sinh; (ii) Bộ thu lượm mật khẩu (password sniffer)
Thiết bị phần cứng (đặc biệt máy tính xách tay) bị trộm
Ví dụ
7/2015: Impact Team trộm 9,7 GB dữ liệu ngoại tình Ashley Madison; công bố thông tin khách hang Âu-Mỹ
Tác động lớn danh tiếng/hôn nhân nhiều khách hàng tự tử.
Làm Avid Life Media (115 triệu US$ 2014) khốn đốn.
44
Trôm cắp thông tin và thiết bị
Biện pháp
Liên quan tới máy tính xách tay
Hướng dẫn rõ kiểu dữ liệu (& hạn dung lượng) được lưu trên máy tính xách tay; máy tính xách tay có thể ra khỏi cơ quan không lưu dữ liệu cá nhân/dữ liệu bí mật công ty
dữ liệu lưu ở máy tính xách tay phải được mã hóa; kiểm tra tại chỗ để đảm bảo tuân thủ chặt chính sách này.
mọi máy tính xách tay được bảo vệ bằng một khóa và thiết bị xâu để không thể dễ bị lấy ra từ một khu vực cơ quan
Đào tạo nhân viên và nhà thầu về sự cần thiết xử lý an toàn của máy tính xách tay và dữ liệu của họ. Ví dụ, không bao giờ để máy tính xách tay ở vị trí mà chúng được nhìn rộng rãi, chẳng hạn như để trên ghế trước của ô tô.
45
Tấn công từ chối dịch vụ
Giới thiệu
Denial of Service: DoS, Distributed DoS
Tấn công đảm bảo tính sẵn có
Phân loại
Khai thác phần mềm (Software Exploits)
Gây lũ (Flooding attacks)
Đa nguồn, đơn nguồn
46
Tấn công từ chối dịch vụ
Tấn công khai thác phần mềm
Khai thác lỗi phần mềm: hệ điều hành, ứng dụng
Vô hiệu hóa: gửi một/một vài gói tin kích hoạt phần mềm.
Tấn công gây lũ
Sử dụng phần mềm độc hại “thây ma” gửi thông điệp
Đơn nguồn: chỉ một máy tính
Đa nguồn: nhiều máy tính. DDoS
Đa nguồn robot mạng (zombies): tấn công trực tiếp
Đa nguồn phản xạ (reflectors): gián tiếp
Phân loại chi tiết (trang sau)
47
Cơ chế tấn công DDoS
48
Tự động phát hiện DoS.
Các yếu tố chính phát hiện DoS
Ghi lại và/hoặc đo lường các thông số xác định cần quan tâm
Phân tích dữ liệu đã ghi và/hoặc đo lường được
Dựa trên kết quả phân tích dữ liệu, quyết định hành vi quan sát được có bất thường hay không (và kích hoạt một phản ứng như sinh ra một cảnh bảo hoặc làm giảm lưu lượng bất thường
49
Vi phạm mẫu và bản quyền
Khái niệm sở hữu trí tuệ intellectual property
World Intellectual Property Organization: WIPO
Tác phẩm trí tuệ và quy trình có sự khác biệt và được "sở hữu“/ tạo ra bởi một người/một nhóm duy nhất được gọi là sở hữu trí tuệ
Vi phạm sở hữu trí tuệ
Phí sử dụng sở hữu trí tuệ: tải phần mềm
Sao chép được phép, bao gồm sao chép phi thương mại
Đạo văn.
50
7. Ngăn ngừa tội phạm máy tính: Hệ thống quản lý ATTT
Khái niệm
chính sách, thủ tục, hướng dẫn và các nguồn tài nguyên (cơ cấu tổ chức, phần mềm, phần cứng) và hành động được quản lý nhằm bảo vệ tài nguyên TT
thiết lập, thi hành, vận hành, giám sát, đánh giá, duy trì và cải thiện ATTT nhằm đạt được mục tiêu
Đánh giá rủi ro và thiết kê mức độ chấp nhận rủi ro
Đối phó và quản lý hiệu quả rủi ro
Các nguyên lý
Nhận thức về sự cần thiết ATTT
Phân công trách nhiệm ATT
Kết hợp cam kết quản lý và lợi ích các bên liên quan
Đánh giá rủi ro để kiểm soát thích hợp
ATTT được tích hợp như yếu tố thiết yếu mạng và HTTT
Phòng ngừa tích cực để phát hiện sự cố ATTT
Đảm bảo tiếp cận toàn diện quản lý ATTT
Liên tục đánh giá lại ATTT, tiến hành điều ch
51
Hệ thống quản lý ATTT
10 hướng dẫn [Vacca13].
Đánh giá rủi ro và đe dọa: đe dọa mô hình hạ tầng cơ sở, đe dọa bản thân doanh nghiệp, đe dọa công nghệ, đe dọa toàn cục v.v
Cảnh giác sai lầm kiểu “kinh doanh không là mục tiêu cho hoạt động độc hai”
Thường xuyên cung cấp đào tạo ATTT cho nhân viên
Phương châm “outside the box”: chú ý mọi cái tách được
DOXing: giám sát người/việc thu nhận thông tin cá nhân và các kỹ thuật kỹ nghệ xã hội
Đào tạo nhân viên hướng nền văn hóa ATTT
Xác định và sự dụng tích hợp các tính năng bảo mật của hệ điều hành và ứng dụng
Giám sát hệ thống: cơ chế ghi nhật ký
Thuê bên thứ ba để kiểm toán
Các giải pháp cơ bản nhất: mật khẩu
Sử dụng tài khoản quản trị hành chính, vết trên giấy !
52
Biện pháp cơ bản nhất
Sử dụng mật khẩu
password/PIN,/pass phrase/pass code/access code
chuỗi ký hiệu được dung để xác thực người sử dụng
một loạt hệ thống điện tử: máy tính, thiết bị di động, dịch vụ web, hệ thống kiểm soát truy cập, và ATM
Sử dụng tường lửa
firewall
hệ thống được thiết kế để ngăn chặn truy cập trái phép vào một mạng riêng hoặc từ một mạng riêng
hành hoặc bằng phần cứng hoặc bằng phần mềm hoặc kết hợp cả hai.
53
Chính quyền phòng chống tội phạm MT
Nội dung chiến lược ATTT quốc gia
Tầm quan trọng-ý nghĩa “ATTTQG” với quốc gia
đe dọa nhận thức được tại chiến lược ATTTQG
Phạm vi của chiến lược ATTTQG
quan hệ của CL ATTTQG với các CLQG khác
mục tiêu của CL ATTTQG và các nguyên tắc hướng dẫn của CL của quốc gia
Các bên liên quan nào được đề cập trong CL ATTT QG và giải pháp đối với các bên liên quan đó
Các dòng hành động quan trọng và hành động được lập kế hoạch trong CL ATTT QG
mối đe dọa đang nổi được bao gói trong CL ATTTQG
Cách thức thể chế nhiệm vụ QG trong CL ATTT QG.
Một số nhận định qua khảo sat
"Tôi rất đồng tình với quan điểm làm sao để ATTT giống như cơm bình dân, ai cũng quan tâm được, ai cũng làm được, kinh doanh được", Thứ trưởng (Nguyễn Thành Hưng) nhấn mạnh.
54
Tổ chức phòng chống tội phạm MT
Thách thức và lỗ hổng ATTT trong tổ chức [Laudon13].
55
Bộ ba con người, quy trình và công nghệ
Các nội dung chính
Ba yếu tố cơ bản: con người, quy trình và công nghệ
Bốn tầng ATTT cơ bản
con người: human/personnel security): nhận thức, đào tạo, kiến thức, quan sát-cảnh giác, hiểu biết lỗi, tuân thủ các chính sách và quy trình
Mạng: an toàn truyền thông (communication security): cứng hóa thiết bị mạng, cấu hình mạng chính xác, dùng giao thức an toàn, cơ chế mật khẩu và khóa mã hóa mạnh, sử dụng tường lửa và ID/IPS (Intrusion detection and prevention system) mạng
vật lý (physical security, bao gồm AT phần cứng (hardware security)):
toàn phần mềm (software security, bao gồm an toàn hệ điều hành và ứng dụng (operating system, application security))
56
Bốn tầng ATTT tổ chức
57
ATTT tổ chức: một số nguyên tắc
58
Một số nguyên tắc
An toàn máy tính hỗ trợ nhiệm vụ của các tổ chức
An toàn máy tính là một phần tử tích hợp của quản lý đúng đắn
An toàn máy tính nên có chi phí hiệu quả
Chủ sở hữu hệ thống có trách nhiệm bảo mật bên ngoài tổ chức của riêng họ
Trách nhiệm và trách nhiệm giải trình an toàn máy tính cần được làm tường minh
An toàn máy tính đòi hỏi một cách tiếp cận toàn diện và tích hợp
An toàn máy tính nên được định kỳ đánh giá lại
An toàn máy tính bị ràng buộc bởi các yếu tố xã hội
Nhận diện phạm tội
K
V
n.
59
Một số thực thi cụ thể
Một số hướng dẫn
Cài đặt xác thực và sử dụng mã hóa năng lực mạnh trên tường lửa
Cài đặt các bản vá lỗi bảo mật mới nhất
Vô hiệu hóa tài khoản khách/người sử dụng vô giá trị
Không cung cấp các thủ tục đăng nhập quá thân thiện cho người sử dụng từ xa
Hạn chế truy cập vật lý máy chủ, cấu hình để đột nhập
Cung cấp máy chủ chuyên dụng dành riêng cho mỗi ứng dụng
Cài đặt một tường lửa doanh nghiệp giữa mạng công ty và Internet
Cài đặt phần mềm chống phần mềm độc hại trên mọi máy tính
Tiến hành thường xuyên kiểm toán an ninh HTTT
Kiểm tra và thực hiện sao lưu dữ liệu thường xuyên đối với dữ liệu quan trọng
60
Lọc nội dung và quản lý danh tiếng
Lọc nội dung
Mức quốc gia, mức tổ chức, mức gia đình
Mức quốc gia: an ninh quốc gia, đạo đức-truyền thống dân tộc, bảo vệ quyền sở hửu trí tuệ, an toàn trẻ em
Mức tổ chức: ngăn nhân viên không tiếp xúc trang web không liên quan
Mức gia đình: an toàn internet con cái
Quản lý danh tiếng
các ước lượng chung của con người về các phương diện đặc tính hoặc phẩm chất; nó gần như là sự yêu quý hay tin tưởng vào một người hay một tổ chức
61
8. Vấn đề riêng tư
Giới thiệu
Từ văn bản pháp quy/từ khung nhìn công chúng
HTTT: thu thập, sử dụng/lạm dụng dữ liệu
Dữ liệu được phân phối mà có thể chưa được đồng ý: cá nhân kiểm soát&có ảnh hưởng tới thông tin gì liên quan đến họ được phép thu thập&lưu trữ cũng như ai được phép cung cấp thông tin nói trên cho những ai.
Đa dạng và là một vấn đề khó
Luật pháp đảm bào cơ bản song không hoàn toàn
Tính đa dạng riêng tư
Riêng tư đối với chính quyền
Riêng tư tại nơi làm việc
Riêng tư e-mail
Riêng tư thông điệp
Riêng tư và Internet
v.v.
62
Chính sách đảm bảo tính riêng tư
Công bằng trong sử dụng thông tin cá nhân
Hiểu biết, Kiểm soát, Thông báo, Cho phép
Chính sách riêng tư của công ty
Công ty nội địa
Công ty đa quốc gia
Nỗ lực cá nhân bào vệ riêng tư
Tìm hiểu những gì được lưu trữ về ta trong CSDL
Hãy cẩn thận khi ta chia sẻ thông tin về bản thân
Chủ động bảo vệ sự riêng tư của chúng ta
Khi mua bất cứ điều gì từ một trang web, hãy chắc chắn rằng chúng ta bảo vệ số thẻ tín dụng, mật khẩu và thông tin cá nhân của chúng ta
63
ATTT trong HTTT
Tám yếu tố nền tảng
ATTT phải hỗ trợ mục tiêu kinh doanh và sứ mạng của doanh nghiệp.
ATTT là một yếu tố gắn kết trách nhiệm của quản lý cao cấp
ATTT phải đảm bảo chi phí hiệu quả.
Trách nhiệm ATTT và trách nhiệm giải trình phải được thực hiện rõ ràng qua các tuyên bố và cam kết
Chủ sở hữu HTTT có trách nhiệm ATTT bên ngoài tổ chức
ATTT đòi hỏi một tiếp cận toàn diện và tích hợp
ATTT cần được đánh giá lại theo định kỳ
ATTT cần được ràng buộc theo văn hóa của tổ chức
64
ATTT tại Việt Nam: Hệ thống văn bản
Hệ thống văn bản pháp luật
Luật an ninh quốc gia số 32/2004/QH11 được Quốc hội thông qua ngày 03/12/2004; Luật Giao dịch điện tử số 51/2005/QH11 được Quốc hội thông qua ngày 29/11/2005; Luật Công nghệ thông tin số 67/2006/QH11 được Quốc hội thông qua ngày 29/6/2006; Luật Cơ yếu số 05/2011/QH13 được Quốc hội thông qua ngày 26/11/2011 và Pháp lệnh số 13/2002/L/CTN ngày 07/6/2002 của Chủ tịch nước về Công bố Pháp lệnh Bưu chính, Viễn thông
Nghị quyết, nghị định Chính phủ. Quyết định Thủ tướng. Thông tư các bộ
Luật ATTT mạng
Qua 4 phiên bản
19/11/2015, Luật ATTT mạng số 86/2015/QH13 Quốc hội khóa XIII thông qua tại Kỳ hợp thứ 10 và luật này có hiệu lực vào ngày 01/07/2016
Thuật ngữ liên quan
65
Một số cơ quan tổ chức ATTT
Bộ TTTT và Cục ATTT
Bộ TTTT là cơ quan quản lý nhà nước về ATTT
Cục ATTT: http://ais.gov.vn/chuc-nang-nhiem-vu.htm
tham mưu, giúp Bộ trưởng Bộ TTTT quản lý nhà nước và tổ chức thực thi pháp luật về ATTT
Hiệp hội ATTT
Vietnam Information Security Association: VNISA.
http://vnisa.org.vn/
Trung tâm ứng cứu khẩn cấp máy tính VN
Vietnam Computer Emergency Response Team: VNCERT. http://www.vncert.gov.vn/
điều phối hoạt động ứng cứu sự cố máy tính trên toàn quốc; cảnh báo kịp thời các vấn đề về an toàn mạng máy tính; v.v.
66
Căn cứ xây dựng chương trình đào tạo
Quyết định số 99/QĐ-TTg ngày 14/01/2014 của Thủ tướng Chính phủ về việc phê duyệt Đề án "Đào tạo và phát triển nguồn nhân lực an toàn, an ninh thông tin đến năm 2020".
“Xây dựng được một số cơ sở đào tạo trọng điểm về ATANTT có chất lượng tương đương các nước trong khu vực với đội ngũ giảng viên, nghiên cứu viên đạt trình độ quốc tế, chương trình, nội dung đào tạo tiên tiến, hệ thống trang thiết bị hiện đại phục vụ công tác giảng dạy, học tập và nghiên cứu”. Trường ĐHCN là một trong tám CS Đào tạo trọng điểm về ATTT.
“xây dựng chương trình đào tạo, giáo trình, tài liệu giảng dạy, bài giảng điện tử bảo đảm chuẩn hóa và thống nhất trên phạm vi cả nước; nhập khẩu, chuyển giao các chương trình, giáo trình đào tạo ATANTT tiên tiến của nước ngoài”.
“khẩn trương chuẩn bị các điều kiện cần thiết về giảng viên, nội dung, chương trình đào tạo, cơ sở vật chất để đào tạo trình độ thạc sĩ, tiến sĩ ATANTT trong nước”
8. Đào tạo ATTT: Giới thiệu chung
Nghiên cứu & đào tạo ATTT
Khu vực Chính phủ
Mỹ: National Security Agency – NSA
Nga: Trung tâm CNTT và HTTT Chính phủ Nga: Центр информационных технологий и систем органов исполнительной власти – ЦИТиС
Khu vực hàn lâm
Mỹ: SANS Insitute of Technology, Carnegie Mellon University, Stanford Security Laboratory (Stanford University), Information Security Institute (Johns Hopkins University), …
Singapore: NUS, SMU, …
Phần Lan: University of Turku, …
Hà Lan: Viện Kerckhoffs, …
Nga: Đại học Tổng hợp Kỹ thuật Điện quốc gia Xanh-Peterbua: tiếng Nga: Санкт-Петербургский государственный электротехнический университет «ЛЭТИ» им. В.И. Ульянова (Ленина) (СПбГЭТУ)
…
Nghiên cứu và đào tạo ATTT
Khu vực Công nghiệp: Theo bloomberg
http://www.bloomberg.com/markets/companies/computer-data-security/
Thực trang ATTT Việt Nam: Khảo sát
Kết quả khảo sát năm 2012 của Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT): http://vncert.gov.vn/tainguyen/KSATTT2012.zip
Thực trang ATTT Việt Nam: Khảo sát
"hơn 50% cơ quan, tổ chức vẫn chưa có cán bộ chuyên trách về ATTT"[1] (có tới 135 (26%) tổ chức không có vị trí công tác về ATTT); có tới 24% tổ chức phải thuê tổ chức chuyên nghiệp bên ngoài bảo vệ ATTT cho mình.
[1] http://m.ictnews.vn/cntt/nuoc-manh-cntt/qua-nua-co-quan-to-chuc-thieu-nguoi-gac-cua-ve-attt-110461.ict
Đào tạo ATTT ở Trường ĐHCN
Định hướng
“chương trình, giáo trình đào tạo ATANTT tiên tiến của nước ngoài” (Đề án 99/QĐ-TTg)
Thủ tục: Quy chế Đào tạo Thạc sỹ tại Đại học Quốc gia Hà Nội được ban hành kèm theo Quyết định số 4668/QĐ-ĐHQGHN ngày 10/12/2014 của Giám đốc ĐHQGHN
Giải pháp
Phát huy thế mạnh vốn có từ các CTĐT đạt chuẩn kiểm định AUN
Đảm bảo các vùng kiến thức cốt lõi (ACM/IEEE-CS): Mật mã học (Cryptography), Đạo đức ATTT (Ethics), Chính sách ATTT (Policy), Pháp lý số (Digital Forensics), Điều khiển truy nhập (Access Control), Kiến trúc an ninh (Security Architecture), An ninh mạng (Network Security), Quản lý rủi ro (Risk Management), Tấn công/Phòng thủ (Attacks/Defenses), Các vấn đề điều hành (Operational Issues), Thiết kế và kỹ nghệ phần mềm an toàn (Secure Software Design and Engineering)
Phân tích, liên hệ, tham chiếu các CTĐT: 5 CTĐT Thạc sỹ (5 trường tốp 400 thế giới) và 5 CTĐT cử nhân (1 trường tốp 500).
Tham chiếu các chương trình
Tham chiếu chương trình nước ngoài (thuộc tốp 400 đại học hàng đầu thế giới: ARWU, QS WUR, SCImago)
NUS-SoC: Master in Infocomm Security
http://www.comp.nus.edu.sg/graduates/m_structure.html#structure
http://www.comp.nus.edu.sg/undergraduates/Others/SoC-Module-desc.pdf
Turku Univ. (Phần Lan): Master in Cryptography & Data Security và Master in Networked Systems Security
http://www.infsec.utu.fi/education/index.html http://www.infsec.utu.fi/education/engineering.html
SANS IT (Mỹ): Master in Information Security Engineering và Master in Information Security Management
http://www.sans.edu/academics/curricula/msise
http://www.sans.edu/academics/curricula/msism
Viện Viện KerckhoffsTU/e (Hà Lan): Master in Infor. Security & Cryptography
http://www.tue.nl/en/education/tue-graduate-school/masters-programs/information-security-technology/curriculum/
http://www.kerckhoffs-institute.org/programme/mandatory.html
CMU-INI (Mỹ): Master in Information Security Technology and Management
http://www.ini.cmu.edu/degrees/pgh_msistm/curriculum.html
http://www.ini.cmu.edu/degrees/pgh_msistm/courses.html
Aalto University (Phần Lan): Master in mobile computing and network security
http://nordsecmob.aalto.fi/en/programme/ (Phạm Vân Anh cung cấp)
Khung chương trình trong nước
Môn học chuyên sâu đào tạo ThS ATTT của HV KT M/Mã
Mật mã trong ATTT Mã số: ATMA 503
An toàn máy tính Mã số: ATAH 504
An toàn CSDL nâng cao Mã số: ATCN 505
An toàn mạng máy tính Mã số: ATPA 506
Quản lý ATTT Mã số: ATQA 507
Lý thuyết và thực hành kiểm thử/định ATTT Mã số: ATKT 508
Quản lý dự án CNTT Mã số: ATQC 509
Chuẩn và các tiêu chí đánh giá ATTT Mã số: ATTK 510
Công nghệ ATTT Mã số: ATCA 511
Cơ sở hạ tầng khóa công khai Mã số: ATHK 512
Tội phạm máy tính Mã số: ATPR 513
Mật mã học nâng cao Mã số: ATMB 514
Pháp lý về ATTT Mã số: ATPL 515
Quản lý sự cố ATTT Mã số: ATSC 516
An toàn phần mềm Mã số: ATPM 517
Phân tích mã độc hại Mã số: ATPM 518
Điều tra số Mã số: ATKQ 519
Phân tích, phát hiện xâp nhập trái phép Mã số: ATPT 520
Khai phá dữ liệu trong ATTT Mã số: ATKP 521
Xác thực sinh trắc học Mã số: ATNS 522
An toàn cho Smart Card và Token Mã số: ATST 523
Chủ đề đặc thù tại Trường ĐHCN
Lựa chọn chủ đề đặc thù đào tạo ATTT
Các thuật toán Mật mã học tiên tiến (đặc trưng nền tảng kiến thức khoa học cơ bản của Trường ĐHCN)
ATTT và đảm bảo riêng tư trên phương tiện xã hội
Yếu tố quản lý và con người trong ATTT (đặc trưng đa lĩnh vực của ĐHQGHN và thế hệ tiến hóa của ATTT)
An ninh công nghệ cao và nghiên cứu an ninh hiện đại
CT đào tạo ThS ATTT: Môn cốt lõi
Chương trình Thạc sỹ
Nguyên lý an toàn thông tin (Principles of information security)
An ninh hệ thống mạng (Network Systems Security)
An toàn hệ thống máy tính (Computer System Security)
Chủ đề hiện đại về ATTT (Advanced topics on Information Systems)
Chọn 4 môn trong các môn: An toàn cơ sở d�
CHƯƠNG 7. LÃNG PHÍ, SAI SÓT VÀ
AN TOÀN THÔNG TIN
PGS. TS. HÀ QUANG THỤY
HÀ NỘI 01-2016
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
ĐẠI HỌC QUỐC GIA HÀ NỘI
1
Nội dung
Lãng phí và sai sót máy tính
Chống lãng phí và sai sót máy tính
Tội phạm máy tính
Máy tính là công cụ của tội phạm
Máy tính là đối tượng của tội phạm
Ngăn ngừa tội phạm máy tinh
Vấn đề riêng tư
ATTT trong HTTT
An toàn thông tin tại Việt Nam
Về chương trình đào tạo ATTT tại Khoa CNTT
Tóm tắt
2
1. Lãng phí và sai sót máy tính
Giới thiệu
nguyên nhân chính vấn đề máy tính chi phí không cần thiết cao và làm mất lợi nhuận
Lãng phí: dùng công nghệ & tài nguyên máy tính không phù hợp .
Sai sót: lỗi, sai lầm, vấn đề khác cung cấp kết quả không chính xác/không hữu ích; sai sót xuất hiện chủ yếu do lỗi con người
3
Lãng phí
Tình trạng
Chính quyền: sử dụng lớn nhất và cũng lãng phí nhất
Chính quyền và công ty (tư nhân)
Lãng phí tài nguyên
Loại bỏ phần cứng, phần mềm vẫn còn giá trị
Xây dựng-duy trì HT phức tạp không dùng tối đa
Nghịch lý năng suất CNTT Robert Solow
Lãng phí thời gian
Trò chơi máy tính
Gửi email không quan trọng; Truy cập web vô ích.
Thư rác (spam email) và fax rác (spam-fax)
Vào mạng xã hội: Các công ty Anh chi hang tỷ bảng chặn nhân viên vào mạng xã hội
4
Sai sót máy tính
Giới thiệu
Sai sót phần cứng: hiếm
Sai sót do con người: sai sót chương trình và sai sót nhập liệu, thao tác. Cần ngăn chặn kịp thời
Một số ví dụ
https://au.travel.yahoo.com/news/a/31000259/leap-year-leaves-passengers-without-bags-at-duesseldorf-airport/: Hành lý sân bay Düsseldorf (Đức); http://www.phillyvoice.com/flights-grounded-at-washington-dc-area-airports/: Hủy bỏ 400 chuyến bay ngày 15/8/2015 vùng đông nước Mỹ
http://www.baomoi.com/Land-Rover-thu-hoi-65000-xe-vi-loi-khoa-cua/76/17016902.epi: Land Rover thu hồi 65.000 xe; Toyota thu hồi 625.000 xe v.v.
Hệ thống radar máy bay thế hệ năm F-35 của Mỹ không đáng tin cậy, liên tục bị tái khởi động.
http://www.ft.com/intl/cms/s/0/0c82561a-2697-11dd-9c95-000077b07658.html#axzz44TRd3mxf : Cổ phiếu Moody 20%
v.v.
5
Các sai sót máy tính phổ biến nhất
Các sai sót máy tính phổ biến nhất
Lỗi nhập dữ liệu hoặc nắm bắt dữ liệu
Lỗi chương trình máy tính
Lỗi xử lý tập tin, nhầm lẫn định dạng đĩa, sao tập tin cũ hơn đè lên mới hơn, xóa nhầm tập tin .v.
Xử lý sai kết quả đầu ra từ máy tính
Lập kế hoạch và kiểm soát trục trặc thiết bị không đủ
Lập kế hoạch và kiểm soát khó khăn môi trường không đủ
Khởi động năng lực tính toán không đầy đủ mức độ hoạt động của website tổ chức
Lỗi trong cung cấp truy cập thông tin mới nhất khi chưa bổ sung liên kết web mới và xóa đi liên kết web cũ
Người phân tích HT: Kỳ vọng hệ thống không rõ & và thiếu thông tin phản hồi. Người sử dụng chấp nhận một HT không cần thiết/không mong muốn
v.v.
6
2. Chống lãng phí và sai sót máy tính
Khái quát
Chống lãng phí và sai sót: mục tiêu của tổ chức
Nhân viên và nhà quản lý
Chính sách và thủ tục: thiết lập, thi hành, giám sát, đánh giá, cải thiện
Thiết lập chính sách
Xây dựng-ban hành chính sách tiếp nhận-sử dụng máy tính cho mục đích chống lãng phí-sai sót
Xây dựng-tổ chức đào tạo các hướng dẫn-quy định sử dụng-bảo trì HT máy tính;
xác nhận tính đích xác hệ thống/ứng dụng trước thi hành/sử dụng đảm bảo tương thích-hiệu quả chi phí
tài liệu hướng dẫn-giới thiệu ứng dụng bao gồm công thức lõi phải được nộp/ gửi tới văn phòng trung tâm
7
Giám sát-đánh giá chính sách và thủ tục
Giám sát
giám sát thường xuyên
có hành động khắc phục nếu cần thiết
Kiểm toán nội bộ chính sách-thủ tục
Đánh giá
Chính sách bao trùm đầy đủ thực tiễn hiện hành hay chưa? Có phát hiện được bất kỳ vấn đề/cơ hội chưa được bao trùm trong giám sát hay không?
Tổ chức có lên các kế hoạch hoạt động mới trong tương lai hay không? Nếu có, có nhu cầu về chính sách hoặc thủ tục giải quyết mới hay không, những ai sẽ xử lý nhu cầu đó và những gì cần phải được thực hiện?
Đã bao trùm được dự phòng và thảm họa hay chưa?
8
3. Tội phạm máy tính
Giới thiệu chung
Internet: Cơ hội và nguy cơ
Dù chính sách HTTT tốt khó dự đoán/ngăn tội phạm MT
Tội phạm máy tính có yếu tố nguy hiểm hơn
Năm 2011: Thiệt hai TPMT 20 nước >388 tỷ US$
Các cuộc khảo sát
“State of Network Security 2013 Servey”: 80,6% phá vỡ dịch vụ doanh nghiệp (30,7% mất ứng dụng, 29,1% mất mạng, 20,7% giảm hiệu suất). 60% cho biết do thủ công, quản lý thay đổi kém và thiếu tầm nhìn; đe dọa nội bộ 65,4% (40,8% tình cờ, 24,6% chủ ý) nhiều hơn đe dọa bên ngoài 34,6%.
The Global State of Information Security® Survey ba năm 2013-2015
9
Kinh tế CNTT và Kinh tế Internet
4140 tỷ US$
Tác hại do tội phạm ATTT
http://now-aka.norton.com/now/en/pu/images/Promotions/2012/cybercrime/
Neil Robinson et al (2012). Feasibility Study for a European Cybercrime Centre, Technical Report (Prepared for the European Commission, Directorate-General Home Affairs, Directorate Internal Security Unit A.2: Organised Crime), The RAND Corporation
ATTT: Trò chơi cấp cao "365/7/24“
Trò chơi và đối thủ biến đối nhanh:
8580 ISI-converted journals có
ít nhất 6 tạp chí chuyên về ATTT
http://www.pwc.com/gx/en/consulting-services/information-security-survey/assets/2013-giss-report.pdf : Phát hiện 13: giải pháp nhân viên & nguồn lực sẵn sàng cho đào tạo an ninh có tính then chốt trong hoạt động ATTT trên thế giới
Các mối đe dọa nội bộ
Đe dọa con người.
Gian lận, lạm dụng tài nguyên hoặc thông tin
Lỗi, sai sót của nhân viên
Gián điệp, kẻ xem trộm thông tin
Kỹ sư xã hội từ nhân viên
Khai thác thiếu tri thức/nghiệp vụ của đồng nghiệp
Dùng mật khẩu quản trị yếu/mật khẩu người khác để tiếp cận trái phép
Trộm cắp
Chính sách không được thực hiện / không được phép
Phân quyền không đúng dẫn đến gian lận/lạm dụng
Dùng phương tiện xã hội bị nhiễm hoặc tải phần mềm không được phép dẫn tới nguồn lây nhiễm
Umesh Hodeghatta Rao, Umesha Nayak. The InfoSec Handbook: An Introduction to Information Security. Apress, 2014
Các mối đe dọa nội bộ
Đe dọa từ ứng dụng nội bộ
Nhập liệu không đúng
Cấu hình ứng dụng sai dẫn tới lỗi/sai trong xử lý
Lỗi xử lý không phù hợp/ngoại lệ nảy sinh vấn đề
Thao tác tham số, thao tác tràn bộ đệm
Truy cập trái phép
Vấn đề khác
Truy nhập không hạn chế USB dẫn tới mất thông tin
Hư hỏng hệ thống/dữ liệu từ điện tăng, nhiệt độ
Lỗi phần cứng do trục trặc
Lỗi cơ sở hạ tầng (UPS) do bảo dưỡng không đúng
Đe dọa từ bên ngoài
Đe dọa từ bên ngoài
từ con người: ví dụ kỹ sư xã hội,
An ninh mạng
An ninh vật lý
An ninh truyền thông
Phần mềm
Xã hội và kinh tế
Pháp lý
Khác
Umesh Hodeghatta Rao, Umesha Nayak. The InfoSec Handbook: An Introduction to Information Security. Apress, 2014
Các mối đe dọa con người:
Đe dọa vật lý (8 mối đe dọa), Đe dọa mạng (8), vấn đề phần mềm (12), đe dọa con người (4). Đe dọa khác
Khảo sát ATTT Việt Nam
Kết quả khảo sát năm 2012 của Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT): http://vncert.gov.vn/tainguyen/KSATTT2012.zip
Khảo sát ATTT Việt Nam
"hơn 50% cơ quan, tổ chức vẫn chưa có cán bộ chuyên trách về ATTT"[1] (có tới 135 (26%) tổ chức không có vị trí công tác về ATTT); có tới 24% tổ chức phải thuê tổ chức chuyên nghiệp bên ngoài bảo vệ ATTT cho mình.
[1] http://m.ictnews.vn/cntt/nuoc-manh-cntt/qua-nua-co-quan-to-chuc-thieu-nguoi-gac-cua-ve-attt-110461.ict
Phân loại tội phạm máy tính
Tội phạm loại 1: Máy tính là đối tượng
truy cập trái phép, như tấn công trái phép (hack)
mã độc hại: phổ biến virus và sâu (worms) máy tính,
ngắt dịch vụ, như làm gián đoạn hay từ chối dịch vụ,
Trộm cắp hoặc lạm dụng dịch vụ (tài khoản)
Tội phạm loại 2: Máy tính là công cụ
vi phạm nội dung (content violation offences): sở hữu nội dung khiêu dâm trẻ em, trái phép các bí mật quân sự, tội phạm địa chỉ IP
Thay trái phép (unauthorised alteration) D.liệu/P.mềm cho lợi ích cá nhân/tổ chức như gian lận trực tuyến
Dùng không hợp thức (improper use) truyền thông: rình rập mạng, gửi thư rác, sử dụng dịch vụ vận chuyển với ý định/có âm mưu hoạt động có hại/tội ác
18
Loại hình tội phạm (149 phiếu điều tra)
19
20
Loại hình tội phạm (149 phiếu điều tra)
Khảo sát An toàn thông tin
Global State of I-Security® Survey 13-15
PwC (Price Waterhouse Coopers+ CIO Magazine+CSO Security and Risk Magazine
9000+ CEO, CFO, CIO, CSO từ 90+quốc gia
chiến lược thông minh, tập trung không ngừng tới đối thủ
trò chơi lẫn đối thủ là không ngừng thay đổi
không thể chống đe dọa hôm nay bởi chiến lược hôm qua
cần mô hình ATTT, chứa kiến thức về đe dọa, về tài nguyên, về cả động cơ lẫn mục tiêu của đối thủ tiềm năng
Hoạt động liên kết, tính lãnh đạo và đào tạo ATTT là chìa khóa của chiến lược thắng lợi trong trò chơi
Tiến hóa ATTT
PwC (Price Waterhouse Coopers+ CIO Magazine+CSO
công nghệ" "quá trình – quản lý" "yếu tố con người"
21
Khái niệm ATTT và tính bảo mật
Khái niệm
ISO/IEC 27000:2014: ATTT đảm bảo tính bảo mật, tính sẵn có, tính toàn vẹn
ATTT là việc bảo vệ HTTT tự động nhằm mục tiêu về tính bảo mật, tính sẵn có, và tính toàn vẹn tài nguyên HTTT (bao gồm phần cứng, phần mềm, phần mềm gắn kết (firmware), thông tin/dữ liệu và viễn thông)
Tính bảo mật confidentiality
bảo mật dữ liệu (Data confidentiality): thông tin/bí mật cá nhân không được cung cấp, tiết lộ tới cá nhân không có thẩm quyền
riêng tư (Privacy): cá nhân kiểm soát&có ảnh hưởng tới thông tin gì liên quan đến họ được phép thu thập&lưu trữ cũng như ai được phép cung cấp thông tin nói trên cho những ai
22
Tính toàn vẹn và tính sẵn có
Tính toàn vẹn integrity
toàn vẹn dữ liệu (Data integrity): thông tin&chương trình chỉ được thay đổi theo các cách thức quy định&được phép
toàn vẹn hệ thống (System integrity): hệ thống thi hành chức năng định sẵn một cách không suy giảm, độc lập đối với các thao tác trái phép cố ý hoặc vô ý.
Tính sẵn có availability
hệ thống làm việc nhanh và dịch vụ không bị từ chối đối với người dùng được phép
Thực thi ATTT
Dựa trên việc thi hành tập biện pháp kiểm soát (control) được áp dụng-chọn lọc qua quá trình quản lý rủi ro được chọn-quản lý hệ thống quản lý ATTT (information security management systems: ISMS)
23
Tính xác thực và tính trách nhiệm
Tính xác thực Authenticity
Đảm bảo thông tin & nguồn thông tin được xác minh và đáng tin cậy: chuyển thông điệp, thông điệp, và nguồn thông điệp là có giá trị tin tưởng. Xác minh đúng người dùng như họ đăng nhập và đầu vào hệ thống từ nguồn đáng tin cậy.
Tính trách nhiệm Accountability
Đảm bảo: hành động thực thể đã hành động, hỗ trợ chống chối bỏ, ngăn chặn-cô lập lỗi, phát hiện-phòng ngừa xâm nhập, phục hồi và hành động pháp lý. Lưu hồ sơ vết hành động.
Các chiều mục tiêu ATTT khác
Một số mục tiếu khác: Tính không thể chỗi cãi (NonRepudiation), tính pháp lý (legal), v.v.
24
Một số khái niệm liên quan
Đe dọa Threat
tiềm năng vi phạm ATTT, tồn tại ở hoàn cảnh/khả năng/hành động/sự kiện để vi phạm ATTT và gây hại. Đe đe dọa: nguy hiểm tiềm năng khai thác lỗ hổng.
Tấn công Attack
Tấn công vào hệ thống từ một de dọa trí tuệ với nỗ lực cố ý một hành vi trí tuệ (một phương pháp/kỹ thuật) tránh các hành vi dịch vụ an ninh và vi phạm chính sách an ninh của hệ thống
Các chiều mục tiêu khác
Còn một số chiều mục tiêu khác
25
4. Phần mềm độc hai
Giới thiệu phần mềm độc hai: Malicious Software
Tội phạm máy tính điển hình
Nhiều loại
Virus máy tính: computer virus
phần mềm độc hại cơ bản nhất
Tự gắn mình vào tập tin khác (vật mang)
Vật mang thi hành: virus tự kích hoạt và lây nhiễm. Ủ bệnh và phá hoại
Michelangelo, Brain, Klez, Wullick-B, SQL Slammer, Sasser, và Blaster
Phần mềm gián điệp: spyware
do thám: dò vết/giám sát hoạt động chương trình khác
Lấy thông tin liên quan một người/một tổ chức cho mục đích độc hại sau này.
Tracking Cookies: theo dõi người dùng Internet làm gì
Keyloggers (như ComputerSpy) đăng nhập mọi thứ người sử dụng đã nhập (cả tên- mật khẩu người dung)
26
Virus máy tính: các loại và vòng đời
27
Các loại virus
Virus đĩa: Chiêm quyền điều khiển đĩa vật lý
Virus boot: Chiêm quyền điều khiển đĩa lôgic
Virus file: chiếm quyền điều khiển file hoạt động
Vòng đời
Tồn tại và tán phát
Phá hoại “bom nổ”
Các hình thức phá hoại khác
Sâu máy tính và phần mềm ngựa Troa
Sâu máy tính worms.
Tự nhân bản để lây lan/tự phát tán trên bản thân
Lan truyền ngoài mạng, hệ thống khác. Tàn phá lớn
Melissa, Explorer.zip, Love Bug, ILOVEYOU, Code Red, The Sober, W32.Nimda, và W32.Stuxnet
Phần mềm ngựa Troa Trojans.
mã độc nhúng vào một ứng dụng/ tiện ích/công cụ/trò chơi dường như có ý định tốt
Mặt trước: chức năng cho người dung, mặt sau: chức năng cho kẻ tấn công
Được tải về cùng các chương trình được quan tâm
Flame, Zero Access, DNSChanger, Banker, Downloader, Back Orifice, Zeus, và Beast.
28
Phần mềm cửa sau, quảng cáo robot mạng
Phần mềm cửa sau backdoors
Được cài đặt (ví dụ, Troa) nhằm nhận quyền truy cập hệ thống tại một thời điểm sau đó
Lén lút theo kịch bản của kẻ tấn công
Remote Access Trojans, backdoor.trojan, Trini, và Donald Dick
Phần mềm quảng cáo adware.
mã nền theo dõi hành vi cá nhân người dùng, chuyển cho bên thứ ba.
Mồi nhử cho phần mềm độc hại
Robots mạng botnets
Mạng/đội quân zombie bị tổn thương/nhiễm bởi kẻ tấn công, được dùng để tấn công hệ thống khác
.
29
Phần mềm chống phần mềm độc hai
Giới thiệu PMCPMĐH
ngăn chặn đại dịch phần mềm độc hại
Nhiều loại: Bitdefender Antivirus Plus, Kaspersky Anti-Virus, Norton AntiVirus, F-Secure Anti-Virus, AVG AntiVirus, G Data AntiVirus, Panda Antivirus Pro, McAfee AntiVirus Plus, Trend Micro Titanium Antivirus+, ESET NOD32 Antivirus : phần mềm chống phần mềm gián điệp tốt nhất trong năm 2015
Các bước
Cài đặt PMCPMĐH, chạy nó thường xuyên
Cập nhật PMCPMĐH thường xuyên
Quét mọi phương tiện truyền thông di động, bao gồm cả đĩa CD, trước khi sao chép/chạy chương trình từ chúng
Cài đặt phần mềm chỉ từ một gói đóng hoặc trang web an toàn của một công ty phần mềm nổi tiếng
Thực hiện tải theo thông lệ cẩn thận
Nếu phát hiện loại phần mềm độc hại mới thì hành động ngay lập tức
MÔI TRƯỜNG HỆ THỐNG SẠCH
30
5. Máy tính là công cụ cho tội phạm
Đặt vấn đề.
MT: công cụ truy cập thông tin giá trị/phương tiện ăn cắp
Điển hình về ngân hàng: Gian lận thẻ tín dụng
Hai năng lực cần có: (i) Biết cách truy nhập MT: (ii) Biết cách thao tác đạt mục đích
Tìm từ “thùng rác”, thuyết phục người nội bộ, kỹ sư xã hội
Điển hình: Công cụ cho khủng bố mạng, trôm cắp định danh, cờ bạc Internet, xử lý an toàn máy tính cá nhân
31
Trộm cắp định danh
Khái niệm
identity theft: (i) cố chiếm thông tin định danh cốt yếu; (ii) mạo danh để nhận tín dụng, hàng hóa/dịch vụ hoặc cung cấp thông tin sai sự thật
Hành động kẻ mạo danh
"xem trộm thông tin" (shoulder surfing: lướt qua vai)
Mở tài khoản mới
Truy nhập tài khoản hiện có
Thay đổi địa chỉ nhận thông tin
32
Mười kiểu t/tin bị vi phạm nhiều nhất
Người tiêu dùng cần tự bảo vệ.
Thường xuyên kiểm tra báo cáo tín dụng
Theo dõi với các chủ nợ
Không tiết lộ bất ký thông tin cá nhân
Băm nhỏ hóa đơn và tài liệu chứa thông tin nhạy cảm
33
Lừa đảo liên quan tới máy tính
Phishing: Lừa đảo qua trang web
giao dịch bất động sản không có thật, chào “miễn phí” với chi phí ẩn lớn, gian lận ngân hành, cung cấp sổ số điện thoại giả mạo, bán đồng xu có giá trị, tránh thuế bất hợp pháp v.v.
Lừa đảo thẻ tín dụng qua email
Kẻ lừa đảo muốn chiếm được thông tin cá nhân thẻ tín dụng
Gửi e-mail nhân danh ngân hang với một đường link (giả) tới trang web ngân hang
Khi khách hang gõ đường link: đi tới trang web giả
Hộp pop-up sẽ giúp kẻ lừa đảo lấy thông tin thẻ tín dụng
Tương tự: trường hợp nhân danh an ninh eBay
34
Một ví dụ lừa đảo liên quan tới máy tính
35
Lừa đảo qua điện thoại và thiết bị di động
Vishing và SMiShing
Vishing (Voice Phishing): Thông qua điện thoại nạn nhân, gọi/nhắn tin xác minh tài khoản
Smishing (SMS Phishing): lừa nạn nhân vụ lợi dung điện thoại/thiết bị di động tải một phần mềm độc lại
Lừa đảo kinh doanh tại gia vụ lợi
Thu hút người dùng vào trang web về kinh doanh tại gia
Tiến hành lôi kéo kinh doanh tại gia kiểu “đa cấp”.
36
Khuyến cáo tránh lừa đảo “máy tính”
Các khuyến cáo: có thể áp dụng thực
Không đồng ý mọi điều ở cuộc họp/hội thảo áp lực cao
Đừng đánh giá một doanh nghiệp dựa trên sự xuất hiện
Tránh mọi phương án trả tiền hoa hồng cho tuyển dụng các nhà phân phối bổ sung (kiểu đa cấp).
Cảnh giác với cò mồi (shills) doanh nghiệp dối trá Cần kiểm tra từ nguồn độc lập (cơ quan chính quyền và hội nghề nghiệp) để xác thực các thông tin được cung cấp
Cảnh giác với chèo kéo kinh doanh tại gia vụ lợi trả tiền trước để tham dự một hội thảo và mua vật liệu đắt tiền
Có mô tả đầy đủ công việc liên quan trước khi gửi tiền
Yêu cầu văn bản về việc hoàn lại tiền, mua lại hàng hóa, và chính sách hủy bỏ
37
Cờ bạc Internet
Đặt vấn đề
Hợp pháp và bất hợp pháp
Được lý giải “giải trí”
baccarat, bingo, blackjack, pachinko, poker, roulette, và cá cược thể thao (online sports betting)
Thành phần của công nghiệp trò chơi
Một số số liệu
Gross Gaming Revenues (GGR) toàn cầu 283 tỷ £, EU (29% 82 tỷ £); 2012: cờ bạc Internet 27 tỷ £ (EU 45%)
Lợi nhuận Online Gambling Profits: OGP toàn cầu năm 2008 16,4 tỷ £ gần 6,5 triệu người châu Âu
Lưu ý: Giao thoa tội phạm
1) cờ bạc bất hợp pháp; (2) tội phạm liên quan đến các địa điểm cờ bạc; (3) tội ác liên quan đến (vấn đề) cờ bạc; (4) tội phạm riêng biệt đối với hoạt động cờ bạc [Banks14]
38
Khủng bố mạng
Khái niệm khủng bố mạng cyberterrorism
hành vi liên quan công nghệ máy tính/ Internet (i) thúc đẩy một nguyên nhân chính trị, tôn giáo/ý thức hệ; (ii) đe dọa một bộ phận công chúng/buộc một chính phủ làm/tránh làm một hành động; (iii) đe dọa một bộ phận công chúng, hoặc buộc một chính phủ làm hoặc tránh làm một hành động bất kỳ
Một số lưu ý
khía cạnh pháp lý, khía cạnh chính trị, hiểu khác nhau xếp một việc cụ thể khủng bố mạng hay không ?
khủng bố mạng liên quan tới al-Qaeda và tổ chức Nhà nước Hồi giáo IS
theo quy định của pháp luật của Việt Nam
39
Bắt nạt mạng
Khái niệm bắt nạt mạng cyberbullying
Tồn tại nhiều định nghĩa
Điển hỉnh:“bắt nạt” từ tâm lý học + phương tiện mạng
Bắt nạt: mọi hoạt động dung vũ lực/đe dọa để hành hạ con người gây cảm thấy tồi tệ. Bắt nạt mạng: loại bắt nạt sử dụng phương tiện truyền thông điện tử.
Còn gọi: “quấy rối trên mạng” cyber harassment
Một số kiểu bắt nạt mạng
Bắt nạt trên điện thoại di động Phone bullying
Quấy rối thư điện tử Email harassment
Thư điện tử riêng tư Private emails
Tin nhắn tức thì Instant messaging: IM
Phòng chat Chat rooms
Mạng xã hội social networking
Bắt nạt trên trang web Bullying on websites …
40
Lỗi xử lý an toàn máy tính cá nhân
Đặt vấn đề
Thanh lý máy tính cá nhân như bán trên eBay
Loại bỏ, tặng v.v. máy tính cá nhân
Lưu ý
Cần loại bỏ mọi dấu vết dữ liệu cá nhân / công ty
Chỉ xóa tập tin và làm sạch (Empty Recycle Bin) không đủ
Cân dung công cụ chuyên dụng.
41
6. Máy tính là đối tượng của tội phạm
Đặt vấn đề
Máy tính (tài nguyên) là đối tượng bị tấn công
Tiêu hao thời gian và hiệu năng máy tính
truy cập trái phép/mã độc hại/ngắt dịch vụ/trộm cắp hoặc lạm dụng dịch vụ
Khung tội phạm
42
Truy cập và sử dụng bất hợp pháp
Giới thiệu
Mối quan tâm của doanh nghiệp và chính quyền
Kẻ thâm nhập (hacker): thích công nghệ, học và sử dụng
Kẻ thâm nhập tội phạm/tin tặc cracker
am hiểu máy tính, cố truy cập trái phép/bất hợp pháp ăn cắp mật khẩu, làm hỏng tập tin/chương trình, chuyển tiền
Còn là người phấn khích đánh bại hệ thống
Sử dụng kỹ nghệ xã hội (social engineering) để thâm nhập và làm hại hệ thống. Hacker/cracker thay thế nhau.
Tin tặc nghiệp dư script bunny/ script kiddie
Ít hiểu biết về lập trình, dùng chương trình người khác.
Mục tiêu: Đột nhập trái phép (bằng mọi cách)
Tin tặc nội bộ
Nhân viên: tự mình hoặc phối hợp với bên ngoài
43
Trôm cắp thông tin và thiết bị
Đặt vấn đề
Dữ liệu/thông tin là tài sản/hang hóa
Hai tiếp cận lấy định danh-mật khẩu: (i) Thử lần lượt theo một bộ sinh; (ii) Bộ thu lượm mật khẩu (password sniffer)
Thiết bị phần cứng (đặc biệt máy tính xách tay) bị trộm
Ví dụ
7/2015: Impact Team trộm 9,7 GB dữ liệu ngoại tình Ashley Madison; công bố thông tin khách hang Âu-Mỹ
Tác động lớn danh tiếng/hôn nhân nhiều khách hàng tự tử.
Làm Avid Life Media (115 triệu US$ 2014) khốn đốn.
44
Trôm cắp thông tin và thiết bị
Biện pháp
Liên quan tới máy tính xách tay
Hướng dẫn rõ kiểu dữ liệu (& hạn dung lượng) được lưu trên máy tính xách tay; máy tính xách tay có thể ra khỏi cơ quan không lưu dữ liệu cá nhân/dữ liệu bí mật công ty
dữ liệu lưu ở máy tính xách tay phải được mã hóa; kiểm tra tại chỗ để đảm bảo tuân thủ chặt chính sách này.
mọi máy tính xách tay được bảo vệ bằng một khóa và thiết bị xâu để không thể dễ bị lấy ra từ một khu vực cơ quan
Đào tạo nhân viên và nhà thầu về sự cần thiết xử lý an toàn của máy tính xách tay và dữ liệu của họ. Ví dụ, không bao giờ để máy tính xách tay ở vị trí mà chúng được nhìn rộng rãi, chẳng hạn như để trên ghế trước của ô tô.
45
Tấn công từ chối dịch vụ
Giới thiệu
Denial of Service: DoS, Distributed DoS
Tấn công đảm bảo tính sẵn có
Phân loại
Khai thác phần mềm (Software Exploits)
Gây lũ (Flooding attacks)
Đa nguồn, đơn nguồn
46
Tấn công từ chối dịch vụ
Tấn công khai thác phần mềm
Khai thác lỗi phần mềm: hệ điều hành, ứng dụng
Vô hiệu hóa: gửi một/một vài gói tin kích hoạt phần mềm.
Tấn công gây lũ
Sử dụng phần mềm độc hại “thây ma” gửi thông điệp
Đơn nguồn: chỉ một máy tính
Đa nguồn: nhiều máy tính. DDoS
Đa nguồn robot mạng (zombies): tấn công trực tiếp
Đa nguồn phản xạ (reflectors): gián tiếp
Phân loại chi tiết (trang sau)
47
Cơ chế tấn công DDoS
48
Tự động phát hiện DoS.
Các yếu tố chính phát hiện DoS
Ghi lại và/hoặc đo lường các thông số xác định cần quan tâm
Phân tích dữ liệu đã ghi và/hoặc đo lường được
Dựa trên kết quả phân tích dữ liệu, quyết định hành vi quan sát được có bất thường hay không (và kích hoạt một phản ứng như sinh ra một cảnh bảo hoặc làm giảm lưu lượng bất thường
49
Vi phạm mẫu và bản quyền
Khái niệm sở hữu trí tuệ intellectual property
World Intellectual Property Organization: WIPO
Tác phẩm trí tuệ và quy trình có sự khác biệt và được "sở hữu“/ tạo ra bởi một người/một nhóm duy nhất được gọi là sở hữu trí tuệ
Vi phạm sở hữu trí tuệ
Phí sử dụng sở hữu trí tuệ: tải phần mềm
Sao chép được phép, bao gồm sao chép phi thương mại
Đạo văn.
50
7. Ngăn ngừa tội phạm máy tính: Hệ thống quản lý ATTT
Khái niệm
chính sách, thủ tục, hướng dẫn và các nguồn tài nguyên (cơ cấu tổ chức, phần mềm, phần cứng) và hành động được quản lý nhằm bảo vệ tài nguyên TT
thiết lập, thi hành, vận hành, giám sát, đánh giá, duy trì và cải thiện ATTT nhằm đạt được mục tiêu
Đánh giá rủi ro và thiết kê mức độ chấp nhận rủi ro
Đối phó và quản lý hiệu quả rủi ro
Các nguyên lý
Nhận thức về sự cần thiết ATTT
Phân công trách nhiệm ATT
Kết hợp cam kết quản lý và lợi ích các bên liên quan
Đánh giá rủi ro để kiểm soát thích hợp
ATTT được tích hợp như yếu tố thiết yếu mạng và HTTT
Phòng ngừa tích cực để phát hiện sự cố ATTT
Đảm bảo tiếp cận toàn diện quản lý ATTT
Liên tục đánh giá lại ATTT, tiến hành điều ch
51
Hệ thống quản lý ATTT
10 hướng dẫn [Vacca13].
Đánh giá rủi ro và đe dọa: đe dọa mô hình hạ tầng cơ sở, đe dọa bản thân doanh nghiệp, đe dọa công nghệ, đe dọa toàn cục v.v
Cảnh giác sai lầm kiểu “kinh doanh không là mục tiêu cho hoạt động độc hai”
Thường xuyên cung cấp đào tạo ATTT cho nhân viên
Phương châm “outside the box”: chú ý mọi cái tách được
DOXing: giám sát người/việc thu nhận thông tin cá nhân và các kỹ thuật kỹ nghệ xã hội
Đào tạo nhân viên hướng nền văn hóa ATTT
Xác định và sự dụng tích hợp các tính năng bảo mật của hệ điều hành và ứng dụng
Giám sát hệ thống: cơ chế ghi nhật ký
Thuê bên thứ ba để kiểm toán
Các giải pháp cơ bản nhất: mật khẩu
Sử dụng tài khoản quản trị hành chính, vết trên giấy !
52
Biện pháp cơ bản nhất
Sử dụng mật khẩu
password/PIN,/pass phrase/pass code/access code
chuỗi ký hiệu được dung để xác thực người sử dụng
một loạt hệ thống điện tử: máy tính, thiết bị di động, dịch vụ web, hệ thống kiểm soát truy cập, và ATM
Sử dụng tường lửa
firewall
hệ thống được thiết kế để ngăn chặn truy cập trái phép vào một mạng riêng hoặc từ một mạng riêng
hành hoặc bằng phần cứng hoặc bằng phần mềm hoặc kết hợp cả hai.
53
Chính quyền phòng chống tội phạm MT
Nội dung chiến lược ATTT quốc gia
Tầm quan trọng-ý nghĩa “ATTTQG” với quốc gia
đe dọa nhận thức được tại chiến lược ATTTQG
Phạm vi của chiến lược ATTTQG
quan hệ của CL ATTTQG với các CLQG khác
mục tiêu của CL ATTTQG và các nguyên tắc hướng dẫn của CL của quốc gia
Các bên liên quan nào được đề cập trong CL ATTT QG và giải pháp đối với các bên liên quan đó
Các dòng hành động quan trọng và hành động được lập kế hoạch trong CL ATTT QG
mối đe dọa đang nổi được bao gói trong CL ATTTQG
Cách thức thể chế nhiệm vụ QG trong CL ATTT QG.
Một số nhận định qua khảo sat
"Tôi rất đồng tình với quan điểm làm sao để ATTT giống như cơm bình dân, ai cũng quan tâm được, ai cũng làm được, kinh doanh được", Thứ trưởng (Nguyễn Thành Hưng) nhấn mạnh.
54
Tổ chức phòng chống tội phạm MT
Thách thức và lỗ hổng ATTT trong tổ chức [Laudon13].
55
Bộ ba con người, quy trình và công nghệ
Các nội dung chính
Ba yếu tố cơ bản: con người, quy trình và công nghệ
Bốn tầng ATTT cơ bản
con người: human/personnel security): nhận thức, đào tạo, kiến thức, quan sát-cảnh giác, hiểu biết lỗi, tuân thủ các chính sách và quy trình
Mạng: an toàn truyền thông (communication security): cứng hóa thiết bị mạng, cấu hình mạng chính xác, dùng giao thức an toàn, cơ chế mật khẩu và khóa mã hóa mạnh, sử dụng tường lửa và ID/IPS (Intrusion detection and prevention system) mạng
vật lý (physical security, bao gồm AT phần cứng (hardware security)):
toàn phần mềm (software security, bao gồm an toàn hệ điều hành và ứng dụng (operating system, application security))
56
Bốn tầng ATTT tổ chức
57
ATTT tổ chức: một số nguyên tắc
58
Một số nguyên tắc
An toàn máy tính hỗ trợ nhiệm vụ của các tổ chức
An toàn máy tính là một phần tử tích hợp của quản lý đúng đắn
An toàn máy tính nên có chi phí hiệu quả
Chủ sở hữu hệ thống có trách nhiệm bảo mật bên ngoài tổ chức của riêng họ
Trách nhiệm và trách nhiệm giải trình an toàn máy tính cần được làm tường minh
An toàn máy tính đòi hỏi một cách tiếp cận toàn diện và tích hợp
An toàn máy tính nên được định kỳ đánh giá lại
An toàn máy tính bị ràng buộc bởi các yếu tố xã hội
Nhận diện phạm tội
K
V
n.
59
Một số thực thi cụ thể
Một số hướng dẫn
Cài đặt xác thực và sử dụng mã hóa năng lực mạnh trên tường lửa
Cài đặt các bản vá lỗi bảo mật mới nhất
Vô hiệu hóa tài khoản khách/người sử dụng vô giá trị
Không cung cấp các thủ tục đăng nhập quá thân thiện cho người sử dụng từ xa
Hạn chế truy cập vật lý máy chủ, cấu hình để đột nhập
Cung cấp máy chủ chuyên dụng dành riêng cho mỗi ứng dụng
Cài đặt một tường lửa doanh nghiệp giữa mạng công ty và Internet
Cài đặt phần mềm chống phần mềm độc hại trên mọi máy tính
Tiến hành thường xuyên kiểm toán an ninh HTTT
Kiểm tra và thực hiện sao lưu dữ liệu thường xuyên đối với dữ liệu quan trọng
60
Lọc nội dung và quản lý danh tiếng
Lọc nội dung
Mức quốc gia, mức tổ chức, mức gia đình
Mức quốc gia: an ninh quốc gia, đạo đức-truyền thống dân tộc, bảo vệ quyền sở hửu trí tuệ, an toàn trẻ em
Mức tổ chức: ngăn nhân viên không tiếp xúc trang web không liên quan
Mức gia đình: an toàn internet con cái
Quản lý danh tiếng
các ước lượng chung của con người về các phương diện đặc tính hoặc phẩm chất; nó gần như là sự yêu quý hay tin tưởng vào một người hay một tổ chức
61
8. Vấn đề riêng tư
Giới thiệu
Từ văn bản pháp quy/từ khung nhìn công chúng
HTTT: thu thập, sử dụng/lạm dụng dữ liệu
Dữ liệu được phân phối mà có thể chưa được đồng ý: cá nhân kiểm soát&có ảnh hưởng tới thông tin gì liên quan đến họ được phép thu thập&lưu trữ cũng như ai được phép cung cấp thông tin nói trên cho những ai.
Đa dạng và là một vấn đề khó
Luật pháp đảm bào cơ bản song không hoàn toàn
Tính đa dạng riêng tư
Riêng tư đối với chính quyền
Riêng tư tại nơi làm việc
Riêng tư e-mail
Riêng tư thông điệp
Riêng tư và Internet
v.v.
62
Chính sách đảm bảo tính riêng tư
Công bằng trong sử dụng thông tin cá nhân
Hiểu biết, Kiểm soát, Thông báo, Cho phép
Chính sách riêng tư của công ty
Công ty nội địa
Công ty đa quốc gia
Nỗ lực cá nhân bào vệ riêng tư
Tìm hiểu những gì được lưu trữ về ta trong CSDL
Hãy cẩn thận khi ta chia sẻ thông tin về bản thân
Chủ động bảo vệ sự riêng tư của chúng ta
Khi mua bất cứ điều gì từ một trang web, hãy chắc chắn rằng chúng ta bảo vệ số thẻ tín dụng, mật khẩu và thông tin cá nhân của chúng ta
63
ATTT trong HTTT
Tám yếu tố nền tảng
ATTT phải hỗ trợ mục tiêu kinh doanh và sứ mạng của doanh nghiệp.
ATTT là một yếu tố gắn kết trách nhiệm của quản lý cao cấp
ATTT phải đảm bảo chi phí hiệu quả.
Trách nhiệm ATTT và trách nhiệm giải trình phải được thực hiện rõ ràng qua các tuyên bố và cam kết
Chủ sở hữu HTTT có trách nhiệm ATTT bên ngoài tổ chức
ATTT đòi hỏi một tiếp cận toàn diện và tích hợp
ATTT cần được đánh giá lại theo định kỳ
ATTT cần được ràng buộc theo văn hóa của tổ chức
64
ATTT tại Việt Nam: Hệ thống văn bản
Hệ thống văn bản pháp luật
Luật an ninh quốc gia số 32/2004/QH11 được Quốc hội thông qua ngày 03/12/2004; Luật Giao dịch điện tử số 51/2005/QH11 được Quốc hội thông qua ngày 29/11/2005; Luật Công nghệ thông tin số 67/2006/QH11 được Quốc hội thông qua ngày 29/6/2006; Luật Cơ yếu số 05/2011/QH13 được Quốc hội thông qua ngày 26/11/2011 và Pháp lệnh số 13/2002/L/CTN ngày 07/6/2002 của Chủ tịch nước về Công bố Pháp lệnh Bưu chính, Viễn thông
Nghị quyết, nghị định Chính phủ. Quyết định Thủ tướng. Thông tư các bộ
Luật ATTT mạng
Qua 4 phiên bản
19/11/2015, Luật ATTT mạng số 86/2015/QH13 Quốc hội khóa XIII thông qua tại Kỳ hợp thứ 10 và luật này có hiệu lực vào ngày 01/07/2016
Thuật ngữ liên quan
65
Một số cơ quan tổ chức ATTT
Bộ TTTT và Cục ATTT
Bộ TTTT là cơ quan quản lý nhà nước về ATTT
Cục ATTT: http://ais.gov.vn/chuc-nang-nhiem-vu.htm
tham mưu, giúp Bộ trưởng Bộ TTTT quản lý nhà nước và tổ chức thực thi pháp luật về ATTT
Hiệp hội ATTT
Vietnam Information Security Association: VNISA.
http://vnisa.org.vn/
Trung tâm ứng cứu khẩn cấp máy tính VN
Vietnam Computer Emergency Response Team: VNCERT. http://www.vncert.gov.vn/
điều phối hoạt động ứng cứu sự cố máy tính trên toàn quốc; cảnh báo kịp thời các vấn đề về an toàn mạng máy tính; v.v.
66
Căn cứ xây dựng chương trình đào tạo
Quyết định số 99/QĐ-TTg ngày 14/01/2014 của Thủ tướng Chính phủ về việc phê duyệt Đề án "Đào tạo và phát triển nguồn nhân lực an toàn, an ninh thông tin đến năm 2020".
“Xây dựng được một số cơ sở đào tạo trọng điểm về ATANTT có chất lượng tương đương các nước trong khu vực với đội ngũ giảng viên, nghiên cứu viên đạt trình độ quốc tế, chương trình, nội dung đào tạo tiên tiến, hệ thống trang thiết bị hiện đại phục vụ công tác giảng dạy, học tập và nghiên cứu”. Trường ĐHCN là một trong tám CS Đào tạo trọng điểm về ATTT.
“xây dựng chương trình đào tạo, giáo trình, tài liệu giảng dạy, bài giảng điện tử bảo đảm chuẩn hóa và thống nhất trên phạm vi cả nước; nhập khẩu, chuyển giao các chương trình, giáo trình đào tạo ATANTT tiên tiến của nước ngoài”.
“khẩn trương chuẩn bị các điều kiện cần thiết về giảng viên, nội dung, chương trình đào tạo, cơ sở vật chất để đào tạo trình độ thạc sĩ, tiến sĩ ATANTT trong nước”
8. Đào tạo ATTT: Giới thiệu chung
Nghiên cứu & đào tạo ATTT
Khu vực Chính phủ
Mỹ: National Security Agency – NSA
Nga: Trung tâm CNTT và HTTT Chính phủ Nga: Центр информационных технологий и систем органов исполнительной власти – ЦИТиС
Khu vực hàn lâm
Mỹ: SANS Insitute of Technology, Carnegie Mellon University, Stanford Security Laboratory (Stanford University), Information Security Institute (Johns Hopkins University), …
Singapore: NUS, SMU, …
Phần Lan: University of Turku, …
Hà Lan: Viện Kerckhoffs, …
Nga: Đại học Tổng hợp Kỹ thuật Điện quốc gia Xanh-Peterbua: tiếng Nga: Санкт-Петербургский государственный электротехнический университет «ЛЭТИ» им. В.И. Ульянова (Ленина) (СПбГЭТУ)
…
Nghiên cứu và đào tạo ATTT
Khu vực Công nghiệp: Theo bloomberg
http://www.bloomberg.com/markets/companies/computer-data-security/
Thực trang ATTT Việt Nam: Khảo sát
Kết quả khảo sát năm 2012 của Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT): http://vncert.gov.vn/tainguyen/KSATTT2012.zip
Thực trang ATTT Việt Nam: Khảo sát
"hơn 50% cơ quan, tổ chức vẫn chưa có cán bộ chuyên trách về ATTT"[1] (có tới 135 (26%) tổ chức không có vị trí công tác về ATTT); có tới 24% tổ chức phải thuê tổ chức chuyên nghiệp bên ngoài bảo vệ ATTT cho mình.
[1] http://m.ictnews.vn/cntt/nuoc-manh-cntt/qua-nua-co-quan-to-chuc-thieu-nguoi-gac-cua-ve-attt-110461.ict
Đào tạo ATTT ở Trường ĐHCN
Định hướng
“chương trình, giáo trình đào tạo ATANTT tiên tiến của nước ngoài” (Đề án 99/QĐ-TTg)
Thủ tục: Quy chế Đào tạo Thạc sỹ tại Đại học Quốc gia Hà Nội được ban hành kèm theo Quyết định số 4668/QĐ-ĐHQGHN ngày 10/12/2014 của Giám đốc ĐHQGHN
Giải pháp
Phát huy thế mạnh vốn có từ các CTĐT đạt chuẩn kiểm định AUN
Đảm bảo các vùng kiến thức cốt lõi (ACM/IEEE-CS): Mật mã học (Cryptography), Đạo đức ATTT (Ethics), Chính sách ATTT (Policy), Pháp lý số (Digital Forensics), Điều khiển truy nhập (Access Control), Kiến trúc an ninh (Security Architecture), An ninh mạng (Network Security), Quản lý rủi ro (Risk Management), Tấn công/Phòng thủ (Attacks/Defenses), Các vấn đề điều hành (Operational Issues), Thiết kế và kỹ nghệ phần mềm an toàn (Secure Software Design and Engineering)
Phân tích, liên hệ, tham chiếu các CTĐT: 5 CTĐT Thạc sỹ (5 trường tốp 400 thế giới) và 5 CTĐT cử nhân (1 trường tốp 500).
Tham chiếu các chương trình
Tham chiếu chương trình nước ngoài (thuộc tốp 400 đại học hàng đầu thế giới: ARWU, QS WUR, SCImago)
NUS-SoC: Master in Infocomm Security
http://www.comp.nus.edu.sg/graduates/m_structure.html#structure
http://www.comp.nus.edu.sg/undergraduates/Others/SoC-Module-desc.pdf
Turku Univ. (Phần Lan): Master in Cryptography & Data Security và Master in Networked Systems Security
http://www.infsec.utu.fi/education/index.html http://www.infsec.utu.fi/education/engineering.html
SANS IT (Mỹ): Master in Information Security Engineering và Master in Information Security Management
http://www.sans.edu/academics/curricula/msise
http://www.sans.edu/academics/curricula/msism
Viện Viện KerckhoffsTU/e (Hà Lan): Master in Infor. Security & Cryptography
http://www.tue.nl/en/education/tue-graduate-school/masters-programs/information-security-technology/curriculum/
http://www.kerckhoffs-institute.org/programme/mandatory.html
CMU-INI (Mỹ): Master in Information Security Technology and Management
http://www.ini.cmu.edu/degrees/pgh_msistm/curriculum.html
http://www.ini.cmu.edu/degrees/pgh_msistm/courses.html
Aalto University (Phần Lan): Master in mobile computing and network security
http://nordsecmob.aalto.fi/en/programme/ (Phạm Vân Anh cung cấp)
Khung chương trình trong nước
Môn học chuyên sâu đào tạo ThS ATTT của HV KT M/Mã
Mật mã trong ATTT Mã số: ATMA 503
An toàn máy tính Mã số: ATAH 504
An toàn CSDL nâng cao Mã số: ATCN 505
An toàn mạng máy tính Mã số: ATPA 506
Quản lý ATTT Mã số: ATQA 507
Lý thuyết và thực hành kiểm thử/định ATTT Mã số: ATKT 508
Quản lý dự án CNTT Mã số: ATQC 509
Chuẩn và các tiêu chí đánh giá ATTT Mã số: ATTK 510
Công nghệ ATTT Mã số: ATCA 511
Cơ sở hạ tầng khóa công khai Mã số: ATHK 512
Tội phạm máy tính Mã số: ATPR 513
Mật mã học nâng cao Mã số: ATMB 514
Pháp lý về ATTT Mã số: ATPL 515
Quản lý sự cố ATTT Mã số: ATSC 516
An toàn phần mềm Mã số: ATPM 517
Phân tích mã độc hại Mã số: ATPM 518
Điều tra số Mã số: ATKQ 519
Phân tích, phát hiện xâp nhập trái phép Mã số: ATPT 520
Khai phá dữ liệu trong ATTT Mã số: ATKP 521
Xác thực sinh trắc học Mã số: ATNS 522
An toàn cho Smart Card và Token Mã số: ATST 523
Chủ đề đặc thù tại Trường ĐHCN
Lựa chọn chủ đề đặc thù đào tạo ATTT
Các thuật toán Mật mã học tiên tiến (đặc trưng nền tảng kiến thức khoa học cơ bản của Trường ĐHCN)
ATTT và đảm bảo riêng tư trên phương tiện xã hội
Yếu tố quản lý và con người trong ATTT (đặc trưng đa lĩnh vực của ĐHQGHN và thế hệ tiến hóa của ATTT)
An ninh công nghệ cao và nghiên cứu an ninh hiện đại
CT đào tạo ThS ATTT: Môn cốt lõi
Chương trình Thạc sỹ
Nguyên lý an toàn thông tin (Principles of information security)
An ninh hệ thống mạng (Network Systems Security)
An toàn hệ thống máy tính (Computer System Security)
Chủ đề hiện đại về ATTT (Advanced topics on Information Systems)
Chọn 4 môn trong các môn: An toàn cơ sở d�
* Một số tài liệu cũ có thể bị lỗi font khi hiển thị do dùng bộ mã không phải Unikey ...
Người chia sẻ: Cao Dinh Nghi
Dung lượng: |
Lượt tài: 0
Loại file:
Nguồn : Chưa rõ
(Tài liệu chưa được thẩm định)