19/09/2013
1
An toàn bảo mật HTTT
Chương 1
Tổng quan về an toàn bảo mật HTTT
© 2012 Jones and Bartlett Learning, LLC www.jblearning.com
Mục tiêu môn học
Giải thích các khái niệm về an toàn bảo mật
cho các HTTT, trên cơ sở là hạ tầng công
nghệ thông tin
Fundamentalsof Information Systems Security
© 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 2
19/09/2013
2
Các khái niệm
 An ninh hay là an toàn bảo mật
 Thông tin
 Các thuộc tính của thông tin
 Tài sản
Fundamentalsof Information Systems Security
© 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 3
Các khái niệm
 Khái niệm về tính bảo mật, tính toàn vẹn và
tính sẵn sàng (CIA)
 Các giải pháp an ninh theo lớp được thực
hiện trên bẩy vùng (domain) của một hạ tầng
IT điển hình
 Các nguy cơ phổ biến đối với từng vùng bảo
mật
 Khung chính sách cho an ninh IT
 Tác động của chuẩn phân loại dữ liệu đối

 “An ninh thông tin” – trạng thái được bảo vệ
của thông tin và vật mang tin (thuộc sở hữu cá
nhân, tổ chức, hệ thống và các phương pháp
bảo đảm sự tiếp nhận, xử lý, lưu trữ,lan truyền
và sử dụng thông tin) trước các nguy cơ khác
nhau
An ninh thông tin
19/09/2013
5
 Nguồn gốc các nguy cơ có thể biết trước (ăn
cắp thông tin), có thể không biết trước (không
rõ mục tiêu của tội phạm)
 Bảo đảm an ninh thông tin có thể thực hiện
bằng những “biện pháp” và “công cụ” khác
nhau (tổ chức, kỹ năng …)
 Tập hợp tất cả các biện pháp và phương pháp
bảo đảm an ninh thông tin tạo thành hệ thống
bảo vệ thông tin
An ninh thông tin (tiếp)
 Ngăn ngừa mất mát, gây nhiễu, tung tin …
 Ngăn ngừa đe dọa an ninh của cá nhân, xã hội, quốc gia
 Ngăn ngừa những hoạt động trái phép nhằm tiêu hủy,
gây nhiễu, sao chép, gây tắc nghẽn thông tin; ngăn ngừa
các dạng quấy rối vào tài nguyên thông tin và hệ thống
thông tin
 Bảo vệ quyền công dân về sự riêng tư và tính bảo mật
của dữ liệu cá nhân trong các hệ thống thông tin
 Bảo vệ bí mật quốc gia, tính bảo mật của thôg tin văn
bản tương ứng với quy định của luật pháp
 Bảo đảm quyền lợi của các chủ thể trong quá trình

HTTT
KẾ TOÁN
HTTT
KINH DOANH
HTTT
SẢN XUẤT
HTTT
HTTT
NHÂN SỰ
HTTT
HTTT
KHO
Hệ thống thông tin doanh nghiệp bao gồm nhiều HTTT con. Mỗi
HTTT này phục vụ hoạt động của một phòng, ban …và có sự
trao đổi thông tin nội bộ và với bên ngoài
19/09/2013
8
HỆ THỐNG THÔNG TIN QUỐC GIA
 Thông tin cấp quốc gia nhằm phục vụ các hoạt
động mức nhà nước.(an ninh xã hội, bảo vệ
môi trường, giáo dục, sức khỏe cộng đồng …)
 Mục tiêu các hoạt động của nhà nước có thể
là :
- Tăng trưởng kinh tế
- Hòa bình, ổn định xã hội
- Thỏa mãn (hạnh phúc) của dân chúng…
HỆ THỐNG THÔNG TIN QUỐC GIA
CÔNG NGHIỆP
DỊCH VỤ
NÔNG NGHIỆP

An ninh thông tin – Đảm bảo không bị gây hại đến các
tính chất của đối tượng được bảo vệ, tài nguyên thông tin
và hạ tầng thông tin
Đối tượng an ninh
thông tin - các tính
chất đối tượng, tài
nguyên thông tin và hạ
tầng thông tin
Các nguy cơ
về an ninh
thông tin
Đảm bảo an
ninh thông
tin
Hoạt động Trang thiết bị Nhân lực
19/09/2013
10
THÔNG TIN VÀ
THUỘC TÍNH CỦA THÔNG TIN
KHÁI NIỆM THÔNG TIN
Thông tin – Mô tả, giải trình, trình bày, giãi bày,
bày tỏ, tỏ bày, giãi tỏ, diễn đạt  mang lại hiểu
biết cho con người
19/09/2013
11
Thông tin – để hiểu sâu và tổng quát không
thể hiểu theo một quan điểm
Từ THÔNG TIN có thể hiểu khác nhau trong
kỹ thuật, khoa học và trong ngữ cảnh cuộc
sống

19/09/2013
13
Thông tin phải có giá trị sử dụng, tức là có NHU
CẦU về nó. Nếu không ai cần cả thì đấy là THÔNG
TIN VÔ NGHĨA
“Sáng mai mặt trời sẽ mọc”
Thiết bị kỹ thuật CNTT không chứa thông tin,
mà chỉ chứa các ký tự và quy luật ghép nối
để có thể hiển thị thông tin (dữ liệu và thuật
toán)
Thông tin có thể tồn tại dưới dạng
-Câu chữ, hình ảnh…
-Tín hiệu ánh sáng, âm thanh…
-Sóng radio
-Mùi vị
Sự vật, quá trình, hiện tượng vật chất và
không vật chất được gọi là đối tượng thông
tin (quan điểm mô tả thuộc tính)
19/09/2013
14
Có thể làm gì với thông tin???
Tạo ra Tiếp nhận Kết hợp Lưu trữ
Truyền đi Nhân bản Xử lý
Tìm kiếm
Cảm nhận Chuẩn hóa Phân chia Đo lường
Sử dụng Phân phối Yêu cầu Phá hủy
Ghi nhớ Chuyển đổi Thu lượm v.v.v
Tất cả các thao tác trên được gọi là quá trình
thông tin
THẢO LUẬN NHÓM

• Tính phù hợp
• Tính hữu ích
• Mức giá trị
• Tính tức thời
• Tính dễ hiểu
• Tính sẵn sàng
• Tính ngắn gọn
…
19/09/2013
16
Tính khách quan của thông tin.
Thông tin là sự thể hiện thế giới xung quanh,
mà thế giới này tồn tại không phụ thuộc vào
nhận thức và nguyện vọng của con người
Ví dụ: Trên đường
có một ổ gà thì
mưa hay nắng, sang
hay tối nó đều tồn
tại. Ai không nhận
thấy mà cứ lao vào
nó sẽ bị thiệt hại
Độ tin cậy của thông tin.
Thông tin tin cậy là thông tin phản ánh đúng sự
việc và giúp con người ra quyết định đúng.
Thông tin khách quan luôn đáng tin cậy.
Thông tin chủ quan (do người tạo ra) có thể
tin cậy, có thể không đáng tin
Ngoài ra độ tin cậy của thông tin có thể suy
giảm do:
-Chủ động bóp méo (1/4)

Long
Float
Double ….
Tính sẵn sàng (tức thời) của thông tin
Đây là đặc tính rất quan trọng, thực tế trong
thời đại này
Sẵn sàng – cần là có ngay
Tức thời – Đúng với thời điểm
Thông tin cũ giá trị sử dụng thấp. Càng lưu
nhiều thông tin cũ càng khó tìm được thông
tin cần thiết nhanh nhất
VD:- nhiều quần áo quá, lúc cần bộ đó tìm
không kịp
- Nhiều phiên bản thiết kế quá, dễ nhầm lẫn
19/09/2013
19
Tổng kết về thuộc tính thông tin
Bất kỳ thông tin nào đều có tính khách quan,
độ tin cậy, đầy đủ, mức dễ hiểu và tính hữu
ích. Nếu xem xét dưới góc độ cá nhân (xã hội)
sẽ có thêm các thuộc tính khác nữa:
1.Tính ngữ nghĩa (ý nghĩa)
2. Thể hiện bằng ngôn ngữ khác nhau
3. Tính tăng trưởng (tích lũy nhiều, nhỏ để đưa
ra thông tin khái quát, thông tin mới…)
4. Thông tin càng cũ thì giá trị càng suy giảm
5. Tính logic, tính ngắn gọn, dễ hiển thị, mã
hóa …
Các thuộc tính của thông tin
Khách quan Chủ quan

những nguy cơ
nào? Chừng này
bảo vệ đã đủ
chưa?
19/09/2013
21
Một trong những công đoạn của phân tích rủi ro
chính là kiểm tra, rà soát toàn bộ các quá trình
và hoạt động nhằm tìm ra các khe hở, các lỗ
hổng. Đánh giá xác suất bị khai thác và thiệt hại
có thể xảy ra từ đó.
41
Lỗ hổng hệ thống được xem là các sự kiện có
thể dẫn đến sự phá hủy một trong những tính
chất an ninh của thông tin đang được xử lý:
- Tính sẵn sàng
- Tính toàn vẹn
- Tính bảo mật
(Ví dụ: hư hỏng phương tiện kỹ thuật hoặc
lỗi nhập liệu bằng tay trong máy tính trong
trường hợp không có kiểm soát từ bên ngoài.)
19/09/2013
22
An ninh thông tin: trạng thái thông tin, các
phương tiện kỹ thuật và công nghệ xử lý được
thể hiện bằng các thuộc tính : bảo mật, toàn vẹn
và sẵn sàng.
Tam giác CIA
Availability
Fundamentalsof Information Systems Security

 Source code
 Diplomatic information
 Financial data
Fundamentalsof Information Systems Security
© 2012 Jones and Bartlett Learning, LLC www.jblearning.com Page 8
 Usernames
and passwords
Đảm bảo khả năng truy cập tức thời của các chủ
thể có nhu cầu đến thông tin của họ và sự chuẩn
bị của các phương tiện tương ứng tham gia
phục vụ nhu cầu của chủ thể.
48
Tính sẵn sàng
19/09/2013
25
• Khi xem xét an ninh của hệ thống thông tin
phải xét đến yếu tố phạm vi (môi trường
trong, ngoài), các mối quan hệ giữa các thành
phần (tương tác, trao đổi). Bởi vậy tính chất
“được bảo vệ” trở thành một trong những
thuộc tính quan trọng của hệ thống thông tin.
• Được bảo vệ - khả chống lại các tác động từ
bên ngoài để giữ nguyên các thuộc tính
• (tương ứng trong vật lý : độ cứng, độ đàn hồi)
YẾU TỐ PHẠM VI
An ninh thông tin
(Tính chất HTTT)
Thông tin được bảo vệ
(Tính chất hệ thống
bảo vệ thông tin)