Xem mẫu
- TRÖÔØNG ÑAÏI HOÏC THÖÔNG MAÏI
THUONGMAI UNIVERSITY
Chủ biên:
PGS.TS. Đàm Gia Mạnh - TS. Nguyễn Thị Hội
AN TOÀN VÀ
BẢO MẬT THÔNG TIN
- LỜI NÓI ĐẦU
Từ xưa đến nay, thông tin luôn là một loại tài sản quý giá và có vai
trò quan trọng đối với mỗi cá nhân, tổ chức, quốc gia. Trong bất cứ lĩnh
vực hoạt động nào của đời sống xã hội, việc nắm bắt được thông tin một
cách nhanh chóng, kịp thời và chính xác có thể giúp cho tổ chức, cá nhân
có thể có được những chiến lược hoạt động đúng đắn, giúp họ có thể đứng
vững và phát triển trước những thay đổi thường xuyên của thị trường cũng
như đời sống xã hội. Với sự phát triển mạnh mẽ của công nghệ thông tin
và đặc biệt là của mạng Internet, con người đã có một môi trường thuận
lợi để có thể nắm bắt thông tin một cách nhanh chóng cũng như tạo ra khả
năng trao đổi thông tin dễ dàng. Tuy nhiên, ngoài mang lại những lợi ích
to lớn, mạng Internet còn tiềm ẩn trong nó rất nhiều nguy cơ và những mối
hiểm họa. Đó chính là sự tấn công vào chính hệ thống thông tin qua mạng
Internet với những mục đích không tốt đẹp, gây mất an toàn thông tin, làm
ảnh hưởng đến toàn bộ hoạt động của tổ chức, cá nhân và có thể gây tổn
hại đến những lợi ích kinh tế cũng như uy tín của tổ chức, cá nhân. Sự gia
tăng không ngừng và ngày càng tinh vi của các hành động xâm phạm vào
thông tin của các cá nhân, tổ chức gây mất sự an toàn của thông tin đang
là vấn đề nóng, nan giải luôn rình rập, đe dọa, đặt các chủ thể thông tin
trước những cơ hội và thách thức, rủi ro. Vì vậy, đảm bảo an toàn và bảo
mật thông tin có vai trò quan trọng trong các chiến lược phát triển bền
vững của mỗi quốc gia, tổ chức và cá nhân.
Giáo trình “An toàn và bảo mật thông tin” này được biên soạn theo
chương trình học phần “An toàn và bảo mật thông tin doanh nghiệp” thuộc
chương trình đào tạo ngành Hệ thống thông tin kinh tế do Hiệu trưởng
Trường Đại học Thương mại phê chuẩn ngày 22 tháng 12 năm 2017 và
được Hiệu trưởng phê duyệt làm tài liệu chính thức dùng cho giảng dạy,
học tập ở Trường Đại học Thương mại. Đối tượng phục vụ chính của giáo
trình là sinh viên đại học chính quy các chuyên ngành Quản trị Hệ thống
thông tin và chuyên ngành Quản trị Thương mại điện tử của Trường Đại
3
- học Thương mại. Ngoài ra, giáo trình cũng được dùng cho sinh viên đại
học chính quy thuộc các chuyên ngành khác của Trường Đại học Thương
mại và có thể có ích cho những ai muốn tìm hiểu và vận dụng các kiến
thức về đảm bảo an toàn và bảo mật thông tin trong đời sống, trong hoạt
động sản xuất, kinh doanh.
Giáo trình gồm 7 chương, trình bày về an toàn và bảo mật thông tin
theo tiếp cận quản trị rủi ro cho thông tin trong hệ thống thông tin, bao
gồm các nội dung: xác định và nhận dạng các rủi ro, các nguy cơ gây mất
an toàn và bảo mật thông tin; phân tích, đánh giá và đo lường các nguy cơ
(bao gồm cả các giải pháp khắc phục hậu quả do rủi ro gây ra); giám sát
rủi ro, lựa chọn giải pháp khắc phục hậu quả, thực hiện đảm bảo an toàn
và bảo mật thông tin. Tuy nhiên, với đối tượng quản trị là thông tin - một
dạng “tài nguyên” mặc dù có thể đo lường và đánh giá được nhưng lại là
“phi vật chất”, nên trong quá trình trình bày, có những nội dung của hoạt
động quản trị rủi ro được trình bày kết hợp đồng thời, chẳng hạn như nhận
dạng và đo lường, nhận dạng và đánh giá, giám sát,... Với cách làm này,
chúng tôi hy vọng sẽ giúp nâng cao khả năng vận dụng cho người đọc
trong thực tiễn hoạt động đảm bảo an toàn và bảo mật thông tin của mình.
Để sử dụng được giáo trình này, bạn đọc chỉ cần có kiến thức tối
thiểu vể Tin học được giảng dạy ở tất cả các trường đại học.
Giáo trình do PGS, TS. Đàm Gia Mạnh và TS. Nguyễn Thị Hội
làm chủ biên, phân công biên soạn như sau: PGS, TS. Đàm Gia Mạnh biên
soạn các chương 1, 2, 3; TS. Nguyễn Thị Hội biên soạn các chương 4, 5,
6, 7. PGS, TS. Đàm Gia Mạnh tổng hợp và chỉnh sửa bản thảo.
Trong quá trình biên soạn, các tác giả đã tham khảo nhiều tài liệu
của các nhà khoa học trong, ngoài nước và cũng đã nhận được những ý
kiến đóng góp quí báu của tập thể giảng viên Bộ môn Công nghệ thông
tin, của Hội đồng khoa học Khoa Hệ thống thông tin kinh tế và Thương
mại điện tử của Trường Đại học Thương mại và một số nhà khoa học trong
và ngoài Trường. Tập thể tác giả xin chân thành cảm ơn tất cả những người
đã nêu trên.
4
- Mặc dù các tác giả đã rất cố gắng, giáo trình cũng khó tránh khỏi
những hạn chế và thiếu sót trong nội dung và diễn giải. Vì vậy, các tác giả
mong nhận được ý kiến nhận xét của bạn đọc để tiếp tục hoàn thiện nội
dung giáo trình trong những lần xuất bản sau. Ý kiến đóng góp xin gửi
theo địa chỉ: Bộ môn Công nghệ thông tin, Trường Đại học Thương mại,
email: bmcntt@tmu.edu.vn.
TẬP THỂ TÁC GIẢ
5
- MỤC LỤC
Lời nói đầu 3
Danh mục từ viết tắt 13
Danh mục bảng biểu 15
Danh mục hình vẽ 17
Chương 1: TỔNG QUAN VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN 19
1.1. GIỚI THIỆU CHUNG VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN 19
1.1.1. Khái niệm an toàn và bảo mật thông tin 19
1.1.2. Lịch sử phát triển của an toàn và bảo mật thông tin 23
1.1.3. Vai trò của an toàn và bảo mật thông tin 24
1.2. MỤC TIÊU VÀ YÊU CẦU CỦA AN TOÀN VÀ BẢO MẬT THÔNG TIN 27
1.2.1. Mục tiêu của an toàn và bảo mật thông tin 27
1.2.2. Yêu cầu cho an toàn và bảo mật thông tin 28
1.2.3. Các nguyên tắc an toàn và bảo mật thông tin 30
1.2.4. Các mô hình đảm bảo an toàn và bảo mật thông tin 31
1.3. AN TOÀN VÀ BẢO MẬT THÔNG TIN THEO TIẾP CẬN QUẢN TRỊ RỦI RO 39
1.3.1. Tổng quan về rủi ro và quản trị rủi ro 39
1.3.2. Tổng quan về rủi ro cho thông tin và quản trị rủi ro
trong hệ thống thông tin 42
1.3.3. Mối quan hệ giữa quản trị rủi ro cho thông tin và an toàn
và bảo mật thông tin 47
1.4. CHÍNH SÁCH, PHÁP LUẬT VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN 48
1.4.1. Các chính sách an toàn và bảo mật thông tin ở Việt Nam 48
1.4.2. Các chính sách an toàn và bảo mật thông tin trên thế giới 53
1.5. TỔNG KẾT CHƯƠNG 1 64
Câu hỏi ôn tập và thảo luận chương 1 65
7
- Chương 2: QUY TRÌNH ĐẢM BẢO AN TOÀN VÀ BẢO MẬT THÔNG TIN 69
2.1. QUY TRÌNH CHUNG 70
2.1.1. Xác định, nhận dạng các nguy cơ gây mất an toàn và bảo mật thông tin 70
2.1.2. Phân tích, đánh giá các nguy cơ gây mất an toàn và bảo mật thông tin 71
2.1.3. Lựa chọn giải pháp đảm bảo an toàn và bảo mật thông tin 72
2.1.4. Giám sát an toàn và bảo mật thông tin 72
2.2. NHẬN DẠNG CÁC NGUY CƠ GÂY MẤT AN TOÀN VÀ BẢO MẬT THÔNG TIN 73
2.2.1. Khái niệm và tầm quan trọng của nhận dạng các nguy cơ 73
2.2.2. Phân loại các nguy cơ gây mất an toàn và bảo mật thông tin 74
2.2.3. Phương pháp nhận dạng các nguy cơ gây mất an toàn
và bảo mật thông tin 76
2.3. PHÂN TÍCH, ĐÁNH GIÁ CÁC NGUY CƠ GÂY MẤT AN TOÀN
VÀ BẢO MẬT THÔNG TIN 86
2.3.1. Giới thiệu 86
2.3.2. Những vấn đề trong phân tích, đánh giá các nguy cơ gây mất an toàn
và bảo mật thông tin 87
2.4. KIỂM SOÁT AN TOÀN VÀ BẢO MẬT THÔNG TIN 91
2.4.1. Quy trình kiểm soát 91
2.4.2. Chiến lược kiểm soát 92
2.5. TỔNG KẾT CHƯƠNG 2 94
Câu hỏi ôn tập và bài tập chương 2 95
Chương 3: CÁC KIỂU TẤN CÔNG VÀ CÁC MỐI ĐE DỌA
ĐỐI VỚI AN TOÀN VÀ BẢO MẬT THÔNG TIN 97
3.1. CÁC MỐI ĐE DỌA AN TOÀN VÀ BẢO MẬT THÔNG TIN 97
3.1.1. Mối đe dọa từ các thiết bị phần cứng 99
3.1.2. Mối đe dọa từ các phần mềm 100
3.1.3. Mối đe dọa từ con người 103
3.2. CÁC KIỂU TẤN CÔNG GÂY MẤT AN TOÀN VÀ BẢO MẬT THÔNG TIN 104
3.2.1. Kịch bản của một cuộc tấn công 104
3.2.2. Tấn công thụ động 107
8
- 3.2.3. Tấn công chủ động 111
3.2.4. Tấn công từ chối dịch vụ 114
3.2.5. Một số kiểu tấn công khác 119
3.3. XU HƯỚNG TẤN CÔNG MỚI GÂY MẤT AN TOÀN
VÀ BẢO MẬT THÔNG TIN 125
3.3.1. Thay đổi xu hướng tấn công mạng 125
3.3.2. Tấn công phá mã mật khẩu 127
3.3.3. Tấn công Social Engineering 128
3.4. TỔNG KẾT CHƯƠNG 3 131
Câu hỏi ôn tập và bài tập chương 3 132
Chương 4: MÃ HÓA THÔNG TIN 135
4.1. TỔNG QUAN VỀ MÃ HÓA 135
4.1.1. Khái niệm hệ mã hóa 135
4.1.2. Vài nét về lịch sử mã hóa 138
4.1.3. Vai trò của mã hóa và quy trình mã hóa 140
4.1.4. Các yêu cầu của hệ mã hóa 140
4.1.5. Các kỹ thuật phá mã phổ biến 142
4.2. HỆ MÃ HÓA ĐỐI XỨNG 144
4.2.1. Khái niệm về hệ mã hóa đối xứng 144
4.2.2. Ưu điểm và nhược điểm của hệ mã hóa đối xứng 145
4.2.3. Các hệ mã hóa đối xứng cổ điển 146
4.2.4. Hệ mã hóa đối xứng hiện đại 154
4.3. HỆ MÃ HÓA KHÔNG ĐỐI XỨNG 159
4.3.1. Khái niệm về hệ mã hóa không đối xứng 159
4.3.2. Ưu điểm và nhược điểm của hệ mã hóa không đối xứng 162
4.3.3. Hệ mã hóa RSA 164
4.3.4. Một số hệ mã hóa không đối xứng khác khác 167
4.4. HÀM BĂM 169
4.4.1. Khái niệm về hàm băm 169
4.4.2. Các phương pháp tạo hàm băm 170
4.4.3. Một số hàm băm thông dụng 171
9
- 4.5. TỔNG KẾT CHƯƠNG 4 172
Câu hỏi ôn tập và bài tập chương 4 173
Chương 5: SAO LƯU VÀ PHỤC HỒI THÔNG TIN 177
5.1. TỔNG QUAN VỀ SAO LƯU VÀ PHỤC HỒI THÔNG TIN 177
5.1.1 Xác định và tổ chức thông tin của tổ chức, doanh nghiệp 177
5.1.2. Xác định các thiết bị lưu trữ trong tổ chức, doanh nghiệp 180
5.2. SAO LƯU DỰ PHÒNG THÔNG TIN 182
5.2.1. Khái niệm chung 182
5.2.2. Phân loại các cơ chế sao lưu và dự phòng 185
5.2.3. Một số công cụ sao lưu và dự phòng của Windows 186
5.3. KHÔI PHỤC THÔNG TIN SAU SỰ CỐ 189
5.3.1. Thông tin bị hỏng hóc và việc khôi phục thông tin 189
5.3.2. Khôi phục thông tin bằng phần mềm 190
5.4. XU HƯỚNG CÔNG NGHỆ TRONG ĐẢM BẢO AN TOÀN
VÀ BẢO MẬT THÔNG TIN 192
5.4.1. Công nghệ trí tuệ nhân tạo 192
5.4.2. Công nghệ BlockChain 202
5.5. TỔNG KẾT CHƯƠNG 5 204
Câu hỏi ôn tập và bài tập chương 5 204
Chương 6: ĐẢM BẢO AN TOÀN CHO HỆ THỐNG THÔNG TIN 207
6.1. ĐẢM BẢO AN TOÀN BẰNG MÔ HÌNH NHIỀU LỚP 207
6.1.1. Bảo vệ mức quy trình và chính sách 207
6.1.2. Bảo vệ hệ thống thông tin theo nhiều mức 210
6.2. CÁC KIẾN TRÚC AN TOÀN CHO HỆ THỐNG THÔNG TIN 217
6.2.1. Bộ ISO 27001 và mô hình an toàn cho HTTT (ISMS) 217
6.2.2. Khung bảo mật của NIST (NIST Security Framework) 228
6.3. MỘT SỐ BIỆN PHÁP ĐẢM BẢO AN TOÀN CHO HỆ THỐNG THÔNG TIN 237
6.3.1. Phân quyền người sử dụng 237
6.3.2. Bảo mật kênh truyền 241
6.3.3. Sử dụng tường lửa 253
10
- 6.4. MỘT SỐ BIỆN PHÁP ĐẢM BẢO AN TOÀN CHO NGƯỜI DÙNG
TRONG HỆ THỐNG THÔNG TIN 260
6.4.1. Sử dụng phần mềm diệt virus 260
6.4.2. Sử dụng mật khẩu mạnh. 261
6.4.3. Có cơ chế xác minh thiết lập bảo mật phần mềm 262
6.4.4. Thường xuyên cập nhật các sản phẩm bảo vệ 262
6.4.5. Xây dựng tường lửa cá nhân 263
6.4.6. Thường xuyên sao lưu dự phòng 264
6.4.7. Có cơ chế bảo vệ chống lại các nguy cơ 265
6.5. TỔNG KẾT CHƯƠNG 6 267
Câu hỏi ôn tập và bài tập chương 6 267
Chương 7: AN TOÀN DỮ LIỆU TRONG THƯƠNG MẠI ĐIỆN TỬ 271
7.1. CHỮ KÝ SỐ 271
7.1.1. Tổng quan về chữ ký số 271
7.1.2. Cơ chế hoạt động của chữ ký số 273
7.1.3. Phân loại chữ ký số 274
7.1.4. Ưu và nhược điểm của chữ ký số 278
7.2. CHỨNG THỰC SỐ 279
7.2.1. Khái niệm 279
7.2.2. Sơ đồ chứng thực số sử dụng hệ mã hóa không đối xứng 280
7.2.3. Sử dụng chứng thực số trong truyền tin an toàn 281
7.3. ĐẢM BẢO AN TOÀN TRONG THANH TOÁN ĐIỆN TỬ 283
7.3.1. Tổng quan về thanh toán điện tử 283
7.3.2. Các đặc trưng của hệ thống thanh toán điện tử 284
7.3.3. Biện pháp an toàn thông tin trong thanh toán điện tử 286
7.3.4. Một số giải pháp công nghệ bảo đảm an toàn thanh toán bằng thẻ 287
7.4. BẢO MẬT WEBSITE 294
7.4.1. Một số khái niệm 294
7.4.2. Các nguy cơ đối với Website 296
11
- 7.4.3. An toàn thông tin cho các website thương mại 297
7.4.4. Biện pháp bảo mật cho Website 300
7.5. BẢO MẬT TRÊN CÁC PHƯƠNG TIỆN TRUYỀN THÔNG XÃ HỘI 304
7.5.1. Giới thiệu về các phương tiện truyền thông xã hội 304
7.5.2. Các nguy cơ gây mất an toàn thông tin từ phương tiện
truyền thông xã hội 306
7.5.3. An toàn thông tin trên các phương tiện truyền thông xã hội 307
7.5.4. Biện pháp đảm bảo an toàn thông tin trên các phương tiện
truyền thông xã hội 309
7.6. TỔNG KẾT CHƯƠNG 7 312
Câu hỏi ôn tập và bài tập chương 7 312
TÀI LIỆU THAM KHẢO 317
12
- DANH MỤC TỪ VIẾT TẮT
Từ viết tắt Từ đầy đủ Nghĩa tiếng việt
Tiếng Việt
ATTT An toàn thông tin
CNTT Công nghệ thông tin
HTTT Hệ thống thông tin
Tiếng Anh
ARPA Advanced Research Projects Cơ quan chỉ đạo các dự án
Agency nghiên cứu tiên tiến
ARPANET Advanced Research Projects Mạng lưới cơ quan với các
Agency Network đề án nghiên cứu tiên tiến
ATM Automated Teller Machine Máy rút tiền tự động
CGI Common Gateway Interface Giao diện cổng chung
CSI Customer Satisfaction Index Chỉ số hài lòng của khách
hàng
DHCP Dynamic Host Configuration Giao thức cấu hình Host
Protocol động
DVD Digital Versatile Disc Đĩa đa năng kỹ thuật số
EU European Union Liên minh/Liên hiệp
Châu Âu
GCI Graph Computer Interface Giao diện đồ họa máy tính
IP Internet Protocol Giao thức Internet
ISP Internet Service Provider Nhà cung cấp dịch vụ
Internet
ISO International Organization for Tổ chức quốc tế
Standardization về tiêu chuẩn hóa
13
- Từ viết tắt Từ đầy đủ Nghĩa tiếng việt
ITU International Liên hiệp Viễn thông
Telecommunication Union Quốc tế
MAC Media Access Control Kiểm soát truy cập
phương tiện
NAS Network Attached Storage Lưu trữ kết nối mạng
NATO North Atlantic Treaty Tổ chức Hiệp ước Bắc Đại
Organization Tây Dương
OSI Open Systems Interconnection Mô hình tham chiếu kết nối
Reference Model các hệ thống mở
SAN Storage Area Network Mạng lưu trữ dữ liệu
TCP/IP Transmission Control Protocol/ Giao thức điều khiển truyền
Internet Protocol nhận/ Giao thức liên mạng
USB Universal Serial Bus Chuẩn kết nối tuần tự
đa dụng
14
- DANH MỤC BẢNG BIỂU
Bảng 1.1. Danh mục luật liên quan đến an toàn, bảo mật thông tin
ở Việt Nam 48
Bảng 1.2. Các nghị định và thông tư liên quan đến an toàn,
bảo mật thông tin ở Việt Nam 49
Bảng 1.3. Các quyết định, chỉ thị, công văn về an toàn,
bảo mật thông tin ở Việt Nam 50
Bảng 2.1. Minh họa các kiểu đe dọa và biện kiểm soát an toàn 84
Bảng 4.1. Thời gian tìm khoá đối với các khoá
có kích thước khác nhau 143
Bảng 4.2. Ví dụ mã hóa Monophabetic dựa trên bảng chữ cái 146
Bảng 4.3. Mã hóa Monophabetic dựa trên chuỗi nhị phân 147
Bảng 4.4. Minh họa mã hóa hàng với K = 4 3 1 2 5 6 7 148
Bảng 4.5. Minh họa mã hóa hàng rào với K=2 149
Bảng 4.6. Minh họa mã hóa cộng tính với K=3 150
Bảng 4.7. Minh họa mã hóa Vigenere 152
Bảng 4.8. Minh họa mã hóa khóa tự động 154
Bảng 4.9. Danh sách các hàm băm thông dụng 171
Bảng 5.1. Minh họa một cách phân loại thông tin và nơi lưu trữ 178
Bảng 5.2. Minh họa cách phân loại thông tin cần lưu trữ 179
Bảng 5.3. So sánh sao lưu và dự phòng thông tin 184
Bảng 6.1. Ứng dụng ISO - 27001 trên thế giới 228
Bảng 7.1. Một số vụ tấn công vào website nổi tiếng
trên toàn thế giới 299
15
- DANH MỤC HÌNH VẼ
Hình 1.1. Các lĩnh vực quan trọng cần ưu tiên đảm bảo an toàn
thông tin mạng và hệ thống thông tin quan trọng
quốc gia của Việt Nam 27
Hình 1.2. Mô hình an toàn và bảo mật thông tin nhiều lớp 33
Hình 1.3. Mô hình truyền thông tin an toàn 38
Hình 1.4. Các nội dung quản trị rủi ro trong hệ thống thông tin 45
Hình 2.1. Quy trình đảm bảo an toàn và bảo mật thông tin 70
Hình 2.2. Quy trình nhận dạng các nguy cơ gây mất an toàn
và bảo mật thông tin 76
Hình 2.3. Xác định các lỗ hổng và đánh giá rủi ro 86
Hình 2.4. Quy trình kiểm soát rủi ro 92
Hình 2.5. Các chiến lược kiểm soát rủi ro cho hệ thống thông tin
của tổ chức 93
Hình 3.1. Minh họa các mối đe dọa từ các thiết bị phần cứng 99
Hình 3.2. Kịch bản của một cuộc tấn công 105
Hình 3.3. Nghe trộm thông tin trên đường truyền 108
Hình 3.4. Phân tích lưu lượng thông tin trên đường truyền 111
Hình 3.5. Giả mạo người gửi tin 112
Hình 3.6. Tấn công từ chối dịch vụ cổ điển 115
Hình 3.7. Phân loại các kiểu DDoS 117
Hình 3.8. Tấn công từ chối dịch vụ phản xạ 119
Hình 3.9. Tấn công liên kết chéo XSS 120
Hình 3.10. Tấn công Phishing 121
Hình 3.11. Tấn công Pharming 122
Hình 4.1. Mô hình truyền tin có bảo mật cơ bản 136
Hình 4.2. Mô hình hệ mã hóa đối xứng 145
17
- Hình 4.3. Mã hóa cộng tính với bước dịch chuyển bằng 3 150
Hình 4.4. Hình vuông Vigenere dùng để mã hóa và giải mã 153
Hình 4.5. Sơ đồ chung của DES 158
Hình 4.6. Sơ đồ truyền tin bằng mã hóa khóa công khai 162
Hình 4.7. Cơ chế xác thực bằng hệ mã hóa khóa công khai 163
Hình 5.1. Phần mềm EaseUS Data Recovery Wizard 190
Hình 6.1. Các kiểu dữ liệu phi cấu trúc trong HTTT 211
Hình 6.2: Các thành phần trong hệ thống ISMS 221
Hình 6.3: Các bước triển khai NIST 232
Hình 6.4: Đánh giá tình trạng hiện tại của tổ chức 235
Hình 6.5: Phân biệt người dùng toàn cục và người dùng cục bộ 238
Hình 6.6: Cấu trúc hoạt động của giao thức SSL 243
Hình 6.7. Mô hình giao thức bắt tay 244
Hình 6.8: Cơ chế hoạt động của SET 247
Hình 6.9: Các thành phần của SET 248
Hình 6.10. Tường lửa với cơ chế lọc gói 255
Hình 7.1 Tạo chữ ký số và kiểm tra chữ ký số 274
Hình 7.2. Sơ đồ sử dụng khoá công khai trong chữ ký số 277
Hình 7.3. Chứng thực số sử dụng khoá công khai 280
Hình 7.4. Chu kỳ sống của chứng thực số 282
Hình 7.5: Các hình thức thanh toán điện tử 284
Hình 7.6: Thẻ tín dụng Visa Card và Master Card 288
Hình 7.8. Tổ chức của IVS 292
Hình 7.9. Số vụ website bị tấn công theo thời gian 298
Hình 7.10. Các phương tiện truyền thông xã hội phổ biến 305
18
- Chương 1
TỔNG QUAN VỀ AN TOÀN
VÀ BẢO MẬT THÔNG TIN
Phần đầu chương trình bày những vấn đề cơ bản về an toàn và bảo
mật thông tin trong hệ thống thông tin, bao gồm những khái niệm cơ bản
về an toàn và bảo mật thông tin; vai trò, mục tiêu và yêu cầu của an toàn
và bảo mật thông tin trong hoạt động của các tổ chức, doanh nghiệp; các
mô hình đảm bảo an toàn và bảo mật thông tin.
Trong phần tiếp theo của chương một, trình bày những nội dung
chính trong tiếp cận nghiên cứu an toàn và bảo mật thông tin theo góc độ
quản trị rủi ro. Trên cơ sở tổng quan về rủi ro, về quản trị rủi ro, phần này
trình bày những nội dung cơ bản của hoạt động quản trị rủi ro trong hệ
thống thông tin. Những nội dung đó là: nhận dạng hay xác định rủi ro
thường gặp trong hệ thống thông tin; phân tích, đánh giá, đo lường mức
độ ảnh hưởng; xây dựng chiến lược kiểm soát các rủi ro để hạn chế tác
động của chúng.
Phần cuối của chương một giới thiệu về hành lang pháp lý (các luật,
quy định và thông tư) về an toàn và bảo mật thông tin ở Việt Nam và một
số quy định trên thế giới về an ninh thông tin toàn cầu.
1.1. GIỚI THIỆU CHUNG VỀ AN TOÀN VÀ BẢO MẬT
THÔNG TIN
Trong mục này, giáo trình đề cập đến khái niệm về an toàn và bảo
mật thông tin, giới thiệu vài nét về lịch sử phát triển của các hệ thống đảm
bảo an toàn thông tin.
1.1.1. Khái niệm an toàn và bảo mật thông tin
An toàn và an ninh: Theo từ điển tiếng Việt “An toàn là sự đảm bảo
yên ổn hoàn toàn, không gặp trắc trở, không bị nguy hiểm về tính mạng,
19
nguon tai.lieu . vn
