Bài giảng Cơ sở hệ thống thông tin - Chương 7: Lãng phí, sai sót máy tính và an toàn thông tin - Hà Quang Thụy
BÀI GIẢNG CƠ SỞ HỆ THỐNG THÔNG TIN
CHƯƠNG 7. LÃNG PHÍ, SAI SÓT MÁY TÍNH
VÀ AN TOÀN THÔ NG TIN
PGS. TS. HÀ QUANG THỤY
HÀ NỘI 01-2021
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
ĐẠI HỌC QUỐC GIA HÀ NỘI
1
Nội dung
1. Lã ng phí và sai só t má y tí nh
2. Chống lãng phí và sai sót máy tính
3. Tội phạm máy tính
4. Máy tính là công cụ của tội phạm
5. Máy tính là đối tượng của tội phạm
6. Ngăn ngừa tội phạm máy tinh
7. Vấn đề riêng tư
8. ATTT trong HTTT
9. An toàn thông tin tại Việt Nam
10. Về chương trình đào tạo ATTT tại Khoa CNTT
11. Tóm tắt
2
1. Lã ng phí và sai só t má y tí nh
⚫ Giới thiệu
▪ Hai vấn đề nguyên nhân chính vấn đề máy tính → chi
phí không cần thiết cao và làm mất lợi nhuận
▪ Lãng phí: dùng công nghệ & tài nguyên máy tính
không phù hợp .
▪ Sai sót: lỗi, sai lꢀm, vấn đề khác → cung cấp kết quả
không chính xác/không hữu ích; sai sót xuất hiện chủ
yếu do lỗi con người
3
Lã ng phí
⚫ Tì nh trạng
▪ Chí nh quyền: người sử dụng lớn nhất - cũng lã ng phí nhất
▪ Chí nh quyền và cô ng ty (tư nhâ n)
⚫ Lã ng phí tài nguyên
▪ Loại bỏ phꢀn cứng, phꢀn mềm vẫn cò n giá trị
▪ Xâ y dựng-duy trì HT phức tạp khô ng dùng tối đa
▪ Nghịch lý năng suất CNTT Robert Solow
⚫ Lã ng phí thời gian
▪ Trò chơi má y tí nh
▪ Gửi email khô ng quan trọng; Truy cập web vô í ch.
▪ Thư rá c (spam email) và fax rá c (spam-fax)
▪ Vào mạng xã hội: Cá c cô ng ty Anh chi tỷ £ chặn nhâ n viên
4
Sai só t má y tí nh
⚫ Giới thiệu
▪ Sai só t phꢀn cứng: hiếm
▪ Sai só t do con người: sai só t lỗi chương trì nh và sai só t
nhập liệu, thao tá c. Cꢀn ngăn chặn kịp thời
⚫ Một số ví dụ
grounded-at-washington-dc-area-airports/: Hủy bỏ 400 chuyến
bay ngày 15/8/2015 vùng đông nước Mỹ
▪ Hệ thống radar má y bay thế hệ năm F-35 của Mỹ khô ng đáng tin
cậy, liên tục bị tá i khởi động.
▪ v.v.
5
Các sai sót máy tính phổ biến nhất
⚫ Cá c sai só t má y tí nh phổ biến nhất
▪ Lỗi nhập dữ liệu hoặc nắm bắt dữ liệu
▪ Lỗi chương trì nh má y tí nh
▪ Lỗi xử lý tập tin, nhꢀm lẫn định dạng đĩa, sao tập tin cũ
hơn đè lên mới hơn, xó a nhꢀm tập tin .v.
▪ Xử lý sai kết quả đꢀu ra từ má y tí nh
▪ Lập kế hoạch và kiểm soá t trục trặc thiết bị khô ng đủ
▪ Lập kế hoạch và kiểm soá t khó khăn mô i trường khô ng đủ
▪ Khởi động năng lực tí nh toá n khô ng đꢀy đủ mức độ hoạt
động của website tổ chức
▪ Lỗi trong cung cấp truy cập thô ng tin mới nhất khi chưa bổ
sung liên kết web mới và xó a đi liên kết web cũ
▪ Người phâ n tí ch HT: Kỳ vọng hệ thống khô ng rõ & và thiếu
thô ng tin phản hồi. Người sử dụng chấp nhận một HT
khô ng cꢀn thiết/không mong muốn
▪ v.v.
6
2. Chống lãng phí và sai sót máy tính
⚫ Khá i quá t
▪ Chống lã ng phí và sai só t: mục tiêu của tổ chức
▪ Nhâ n viên và nhà quản lý
▪ Chí nh sá ch và thủ tục: thiết lập, thi hành, giá m sá t, đánh
giá , cải thiện
⚫ Thiết lập chí nh sá ch
▪ Xâ y dựng-ban hành chí nh sá ch tiếp nhận-sử dụng má y
tí nh cho mục đích chống lã ng phí -sai só t
▪ Xâ y dựng-tổ chức đào tạo cá c hướng dẫn-quy định sử
dụng-bảo trì HT má y tí nh;
▪ Xá c nhận tí nh đích xá c hệ thống/ứng dụng trước thi
hành/sử dụng đảm bảo tương thí ch-hiệu quả chi phí
▪ Lập tài liệu hướng dẫn-giới thiệu ứng dụng bao gồm cô ng
thức lõ i phải được nộp/ gửi tới văn phò ng trung tâ m
7
Giá m sá t-đánh giá chính sách và thủ tục
⚫ Giám sát
▪ giám sát thường xuyên
▪ có hành động khắc phục nếu cꢀn thiết
▪ Kiểm toán nội bộ chính sách-thủ tục
⚫ Đánh giá
▪ Chính sách bao trùm đꢀy đủ thực tiễn hiện hành hay
chưa? Có phát hiện được bất kỳ vấn đề/cơ hội chưa được
bao trùm trong giám sát hay không?
▪ Tổ chức có lên các kế hoạch hoạt động mới trong tương
lai hay không? Nếu có, có nhu cꢀu về chính sách hoặc thủ
tục giải quyết mới hay không, những ai sẽ xử lý nhu cꢀu
đó và những gì cꢀn phải được thực hiện?
▪ Đã bao trùm được dự phòng và thảm họa hay chưa?
8
3. Tội phạm máy tính
⚫ Giới thiệu chung
▪ Internet: Cơ hội và nguy cơ
▪ Dù chí nh sá ch HTTT tốt khó dự đoán/ngăn tội phạm MT
▪ Tội phạm má y tí nh có yếu tố nguy hiểm hơn
▪ Năm 2011: Thiệt hai TPMT 20 nước >388 tỷ US$
⚫ Cá c cuộc khảo sá t
▪ “State of Network Security 2013 Servey”: 80,6% phá vỡ
dịch vụ doanh nghiệp (30,7% mất ứng dụng, 29,1% mất
mạng, 20,7% giảm hiệu suất). 60% cho biết do thủ cô ng,
quản lý thay đổi ké m và thiếu tꢀm nhì n; đe dọa nội bộ
65,4% (40,8% tì nh cờ, 24,6% chủ ý) nhiều hơn đe dọa
bên ngoài 34,6%.
▪ The Global State of Information Security® Survey ba năm
2013-2015
9
Kinh tế CNTT và Kinh tế Internet
4140 tỷ US$
Tác hại do tội phạm ATTT
Neil Robinson et al (2012). Feasibility Study for a European Cybercrime Centre, Technical Report (Prepared
for the European Commission, Directorate-General Home Affairs, Directorate Internal Security Unit A.2:
Organised Crime), The RAND Corporation
survey/assets/2013-giss-report.pdf : Phá t hiện 13: giải phá p nhâ n viên & nguồn lực
sẵn sàng cho đào tạo an ninh có tí nh then chốt trong hoạt động ATTT trên thế giới
ATTT: Trò chơi cấp cao "365/7/24“
Trò chơi và đối thủ biến đối nhanh:
8580 ISI-converted journals có
ít nhất 6 tạp chí chuyên về ATTT
Các mối đe dọa
Các mối đe dọa nội bộ
⚫ Đe dọa từ con người.
▪ Gian lận, lạm dụng tài nguyên hoặc thô ng tin
▪ Lỗi, sai só t của nhâ n viên
▪ Giá n điệp, kẻ xem trộm thô ng tin
▪ Kỹ sư xã hội (social engineer) từ nhâ n viên
▪ Khai thá c sự thiếu tri thức/nghiệp vụ của đồng nghiệp
▪ Dùng mật khẩu quản trị yếu/mật khẩu người khá c để
tiếp cận trá i phé p
▪ Trộm cắp
▪ Chí nh sá ch khô ng được thực hiện/không được phé p
▪ Phâ n quyền khô ng đúng dẫn đến gian lận/lạm dụng
▪ Dùng phương tiện xã hội bị nhiễm hoặc tải phꢀn mềm
khô ng được phé p dẫn tới nguồn lâ y nhiễm
Umesh Hodeghatta Rao, Umesha Nayak. The InfoSec Handbook: An
Introduction to Information Security. Apress, 2014
Các mối đe dọa nội bộ
⚫ Đe dọa từ ứng dụng nội bộ
▪ Nhập liệu không đúng
▪ Cấu hình ứng dụng sai dẫn tới lỗi/sai trong xử lý
▪ Lỗi xử lý không phù hợp/ngoại lệ nảy sinh vấn đề
▪ Thao tác tham số, thao tác tràn bộ đệm
▪ Truy cập trái phép
⚫ Vấn đề khác
▪ Truy nhập không hạn chế USB dẫn tới mất thông tin
▪ Hư hỏng hệ thống/dữ liệu từ điện tăng, nhiệt độ
▪ Lỗi phꢀn cứng do trục trặc
▪ Lỗi cơ sở hạ tꢀng (UPS) do bảo dưỡng không đúng
Đe dọa từ bên ngoài
Umesh Hodeghatta Rao,
Umesha Nayak. The
InfoSec Handbook: An
Introduction to Information
Security. Apress, 2014
Các mối đe dọa con người:
Đe dọa vật lý (8 mối đe
dọa), Đe dọa mạng (8), vấn
đề phần mềm (12), đe dọa
con người (4). Đe dọa khác
⚫ Đe dọa từ bên ngoài
▪ từ con người: ví dụ kỹ sư xã hội,
▪ An ninh mạng
▪ An ninh vật lý
▪ An ninh truyền thô ng
▪ Phꢀn mềm
▪ Xã hội và kinh tế
▪ Phá p lý
▪ Khá c
Khảo sát ATTT Việt Nam
Kết quả khảo sá t năm 2012 của Trung tâ m Ứng cứu khẩn cấp má y tí nh Việt Nam
Khảo sát ATTT Việt Nam
"hơn 50% cơ quan, tổ chức vẫn chưa có cán bộ chuyên trách về ATTT"[1]
(có tới 135 (26%) tổ chức không có vị trí công tác về ATTT); có tới 24% tổ
chức phải thuê tổ chức chuyên nghiệp bên ngoài bảo vệ ATTT cho mình.
[1] http://m.ictnews.vn/cntt/nuoc-manh-cntt/qua-nua-co-quan-to-chuc-thieu-nguoi-gac-cua
Phân loại tội phạm máy tính
⚫ Tội phạm loại 1: Má y tí nh là đối tượng
▪ truy cập trá i phé p, như tấn cô ng trá i phé p (hack)
▪ mã độc hại: phổ biến virus và sâ u (worms) má y tí nh,
▪ ngắt dịch vụ, như làm giá n đoạn hay từ chối dịch vụ,
▪ Trộm cắp hoặc lạm dụng dịch vụ (tài khoản)
⚫ Tội phạm loại 2: Má y tí nh là cô ng cụ
▪ vi phạm nội dung (content violation offences): sở hữu
nội dung khiêu dâ m trẻ em, trá i phé p cá c bí mật quâ n
sự, tội phạm địa chỉ IP
▪ Thay trá i phé p (unauthorised alteration) D.liệu/P.mềm
cho lợi í ch cá nhâ n/tổ chức như gian lận trực tuyến
▪ Dùng khô ng hợp thức (improper use) truyền thô ng:
rì nh rập mạng, gửi thư rá c, sử dụng dịch vụ vận
chuyển với ý định/có â m mưu hoạt động có hại/tội á c
19
Loại hình tội phạm (149 phiếu điều tra)
20
Tải về để xem bản đầy đủ
Bạn đang xem 20 trang mẫu của tài liệu "Bài giảng Cơ sở hệ thống thông tin - Chương 7: Lãng phí, sai sót máy tính và an toàn thông tin - Hà Quang Thụy", để tải tài liệu gốc về máy hãy click vào nút Download ở trên
File đính kèm:
- bai_giang_co_so_he_thong_thong_tin_chuong_7_lang_phi_sai_sot.pptx