Bài Tập Lớn: An Toàn Thông Tin Mạng Môn Năng Lực Số Ứng Dụng

HỌC VIỆN NGÂN HÀNG KHOA LUẬT BÀI TẬP LỚN
MÔN NĂNG LỰC SỐ ỨNG DỤNG ĐỀ TÀI: AN TOÀN THÔNG TIN MẠNG
Giảng viên hướng dẫn: Thầy Đinh Trọng Hiếu Danh sách nhóm 9:
1. 25A4062547 Phạm Trang Nhung (NT)
2. 25A4060837 Cầm Mai Phương 3. 25A4060840 Nông Vũ Hà Phương
4. 25A4061154 Nguyễn Thị Kim Phượng
5. 25A4061155 Lê Việt Quân Hà Nội - 12/2022 MỤC LỤC
CHƯƠNG I: KHÁI QUÁT CHUNG VỀ AN TOÀN THÔNG TIN MẠNG......1
1. Khái niệm an toàn thông tin mạng:.....................................1
2. Tầm quan trọng của an toàn thông tin mạng:.....................1
3. Các lĩnh vực quan tâm chính khi bảo mật thông tin:...........2
1.1. Tính bảo mật (Confidentiality):......................................2
1.2. Tính toàn vẹn (Integrity):...............................................2
1.3.Tính sẵn sàng (Availability):............................................3
4. Một số hình thức đánh cắp thông tin:..................................3
a) Hình thức tấn công mạng bằng phần mềm độc hại
(Malware Attack)..................................................................3
b) Hình thức tấn công giả mạo (Phishing Attack):.................3
c) Hình thức tấn công trung gian (Man in the middle attack):
............................................................................................. 4
d) Tấn công từ chối dịch vụ:................................................4
CHƯƠNG II : NGUY CƠ ĐÁNH CẮP THÔNG TIN MẠNG................5
1. Nguyên nhân gây nên tạo ra những lỗ hổng để gây ra thực
trạng dễ bị đánh cắp thông tin mạng......................................5
2. Thực trạng:.........................................................................6
CHƯƠNG III: PHƯƠNG PHÁP BẢO MẬT THÔNG TIN....................6
1. Đối với cá nhân:..................................................................6
2. Đối với doanh nghiệp:.........................................................7
CHƯƠNG I: KHÁI QUÁT CHUNG VỀ AN TOÀN THÔNG TIN MẠNG
1. Khái niệm an toàn thông tin mạng:
Bảo mật thông tin là đảm bảo an toàn cho thông tin của một
người, một đơn vị hay một tổ chức, tránh bị người khác đánh
cắp thông tin, là thực hành ngăn chặn truy cập (access), sử
dụng(use), tiết lộ (disclose), gián đoạn (modify) hoặc phá hủy
(destroy) thông tin một cách trái phép (unauthorised).
2. Tầm quan trọng của an toàn thông tin mạng:
- Do chúng ta sống trong “thế giới kết nối” với mức độ ngày càng “sâu” 1
+ Mọi thiết bị tính toán & truyền thông đều có kết nối Internet
+ Các hệ thống kết nối “sâu và rộng” ngày càng phổ biến:
 Smart community (cộng đồng thông minh)
 Smart city (thành phố thông minh)
 Smart home (ngôi nhà thông minh),…
- Ngày càng có nhiều nguy cơ, đe dọa mất an toàn thông tin, hệ thống, mạng.
 Bị tấn công từ tin tặc
 Bị tấn công hoặc lạm dụng từ người dùng
 Lây nhiễm các phần mềm độc hại (vi rút, sâu,...)
 Nguy cơ bị nghe trộm, đánh cắp và sửa đổi thông tin
 Lỗi hoặc các khiếm khuyết phần cứng, phần mềm.
- Giảm thiểu việc mất dữ liệu:
+ Đối với doanh nghiệp: việc mất dữ liệu sẽ ảnh hưởng đến sự tồn tại
của doanh nghiệp đó. Vì khi đó thông tin khách hàng rất dễ bị lộ. Đồng
thời cũng ảnh hưởng đến thị trường kinh doanh của doanh nghiệp
+ Đối với cá nhân: việc bị đánh cắp dữ liệu sẽ khiến mọi người dễ rơi
vào trạng thái lo lắng, giảm hiệu quả công việc và nghiêm trọng hơn là có
thể bị mất việc của chính mình.
- Bảo mật thông tin khách hàng: Như đã nói ở trên, thông tin khách hàng là
vô cùng quan trọng – điều sẽ quyết định sự sống còn của một doanh
nghiệp. Đồng thời, đây cũng là yếu tố ảnh hưởng lớn đến khách hàng.
- Đảm bảo hoạt động kinh doanh được liên tục: vì trong quá trình kinh doanh
mọi hoạt động phải diễn ra liên tục tránh tình trạng trì trệ.
3. Các lĩnh vực quan tâm chính khi bảo mật thông tin:
 Các chương trình Bảo mật thông tin được xây dựng xung
quanh 3 mục tiêu, thường được gọi là CIA (Tính bảo mật,
tính toàn vẹn, tính sẵn sàng) 2 1.1.
Tính bảo mật (Confidentiality):
Trong bảo mật thông tin, bảo mật là đảm bảo rằng chỉ những
người được ủy quyền mới có quyền truy cập vào dữ liệu riêng
tư. Điều này được đảm bảo thông qua nhiều cách khác nhau,
một trong số đó là xác thực. Xác thực đảm bảo rằng chỉ những
người được ủy quyền mới được phép truy cập vào một số khu
vực nhất định theo chính sách của công ty. Một cách khác để
đảm bảo tính bảo mật là sử dụng mã hóa. Tin nhắn được truyền
qua một kênh liên lạc có thể được mã hóa để đảm bảo rằng nếu
tin nhắn bị chặn thì sẽ khó bị gián đoạn
- Các thông tin bí mật có thể gồm:
 Dữ liệu riêng của cá nhân
 Các thông tin thuộc quyền sở hữu trí tuệ của doanh nghiệp /tổ chức
 Các thông tin có liên quan đến an ninh quốc gia. 1.2.
Tính toàn vẹn (Integrity):
- Thông tin chỉ có thể được sửa đổi bởi những người dùng có thẩm quyền.
- Tính toàn vẹn liên quan đến tính hợp lệ (validity) và chính xác
(accuracy) của dữ liệu. Trong nhiều tổ chức, thông tin có giá trị
rất lớn, như bản quyền phần mềm, bản quyền âm nhạc, bản
quyền phát minh, sáng chế.Mọi thay đổi không có thẩm quyền
có thể ảnh hưởng rất nhiều đến giá trị của thông tin.
- Dữ liệu là toàn vẹn nếu:
▪ Dữ liệu không bị thay đổi ▪ Dữ liệu hợp lệ ▪ Dữ liệu chính xác 3
- Tính toàn vẹn của hệ thống thông tin: thông tin chỉ có thể
được sửa đổi bởi người dùng có thẩm quyền.
- Thông tin được thể hiện bởi nhiều thành phần dữ liệu, thiếu bất cứ thành phần
dữ liệu nào cũng có thể làm sai lạc hay mất đi ý nghĩa của thông tin.
Ví dụ: Ngày sinh của một người thể hiện bởi 3 thành phần:
ngày/tháng/năm. Việc thiếu bất cứ thành phần nào cũng không đủ để xác định thông tin.
- Sau đây là một số trường hợp tính toàn vẹn của thông tin bị phá vỡ.
+ Thay đổi giao diện trang chủ của một website
+ Chặn đứng và thay đổi gói tin được gửi qua mạng
+ Chính sửa trái phép các file được lưu trữ trên máy tính
+ Do có sự cố trên đường truyền mà tín hiệu bị nhiễu hoặc suy hao dẫn đến thông tin bị sai lệch. 1.3. Tính sẵn sàng (A vailability):
Đối với bất kỳ hệ thống thông tin nào để phục vụ mục đích của
nó, thông tin phải luôn sẵn sàng khi cần thiết. Điều này có
nghĩa là các hệ thống máy tính được sử dụng để lưu trữ và xử lý
thông tin, các biện pháp kiểm soát bảo mật được sử dụng để
bảo vệ thông tin và các kênh liên lạc được sử dụng để truy cập
thông tin phải hoạt động chính xác. Các hệ thống có tính sẵn
sàng cao nhằm mục đích duy trì khả dụng mọi lúc, ngăn chặn 4
sự gián đoạn dịch vụ do mất điện, lỗi phần cứng và nâng cấp hệ thống. Ví dụ:
Nếu bệnh viện hay bác sĩ không thể truy cập được vào hồ sơ bệnh án, hãy
tưởng tượng tác động gây ra cho bệnh nhân có thể nghiệm trọng đến mức
nào. Trong hầu hết các trường hợp, việc không thể truy cập dữ liệu quan
trọng khi cần sẽ khiến hoạt động kinh doanh đi vào bế tắc. Vì vậy, khả
năng duy trì tính sẵn sàng dữ liệu ở mức cao nên là ưu tiên hàng đầu cho
bất kỳ doanh nghiệp nào trong thời đại trực tuyến hôm nay.
4. Một số hình thức đánh cắp thông tin:
a) Hình thức tấn công mạng bằng phần mềm độc hại (Malware Attack)
Là hình thức tấn công bao gồm: mã độc (ransomeware), phần
mềm gián điệp (spyware), virus và worm ( phần mềm độc hại
có khả năng lây lan với tốc độ chóng mặt ). Các tin tặc thường
khai thác các lỗ hổng bảo mật để cài đặt malware nhằm xâm
nhập và tấn công hệ thống.
b) Hình thức tấn công giả mạo (Phishing Attack):
Là hình thức tấn công trong đó tin tặc giả mạo thành một tổ
chức hoặc cá nhân uy tín để lấy lòng tin của người dùng. Từ đó,
chúng đánh cắp các dữ liệu nhạy cảm như tài khoản ngân hàng, thẻ tín dụng…
Ví dụ: Lợi dụng sự chủ quan, lơ là và đánh vào tâm lý
“hám lời” của người dân, đề nghị cung cấp thông tin và
sau đó chiếm đoạt dưới hình thức các chương trình khuyến 5
mãi, bốc thăm trúng thưởng, mua hàng online, mini game có thưởng…
c) Hình thức tấn công trung gian (Man in the middle attack):
Tấn công trung gian là hình thức tin tặc xen vào giữa phiên giao
dịch hay giao tiếp giữa hai đối tượng. Khi đã xâm nhập thành
công, chúng có thể theo dõi được mọi hành vi của người dùng
Ví dụ: Các doanh nghiệp, công ty kinh doanh dịch vụ có
thu thập dữ liệu cá nhân của khách hàng, cho phép các
đối tác thứ ba tiếp cận thông tin dữ liệu cá nhân nhưng
không có yêu cầu, quy định chặt chẽ, để đối tác thứ ba
chuyển giao, buôn bán cho các đối tác khác.
Các ứng dụng (app) trên điện thoại yêu cầu người dùng phải
đồng ý cấp một số quyền như: giám sát camera, danh bạ,
quyền truy cập bộ nhớ,… thì mới có thể sử dụng nhằm mục
đích thu thập thông tin cá nhân của người dùng. d)
Tấn công từ chối dịch vụ :
Nếu một hacker không thể cướp quyền truy cập vào một hệ thống, họ sẽ tìm
cách tấn công từ chối dịch vụ (làm hệ thống không thể phục vụ người dùng
được trong một khoảng thời gian, bằng cách truy cập đến hệ thống liên tục, số
lượng lớn, có tổ chức).
 Có 2 kiểu tấn công từ chối dịch vụ:
• DoS (Denny of Service – tấn công từ chối dịch vụ): tấn công này có thể
xảy ra với cả ứng dụng trực tuyến và ứng dụng offline. Với ứng dụng trực
tuyến, hacker sử dụng các công cụ tấn công (tấn công Syn floods, Fin floods, 6
Smurfs, Fraggles) trên một máy tính để tấn công vào hệ thống, khiến nó không
thể xử lý được yêu cầu, hoặc làm nghẽn băng thông khiến người dùng khác khó
mà truy cập được. Với ứng dụng offline, hacker tạo ra những dữ liệu cực lớn,
hoặc các dữ liệu xấu (làm cho quá trình xử lý của ứng dụng bị ngưng trệ, treo)
• DDoS (Distributed Denny of Service – tấn công từ chối dịch vụ phân tán):
một hình thức cao cấp của DoS, các nguồn tấn công được điều khiển bởi một
(một vài) server của hacker (gọi là server điều khiển), cùng tấn công vào hệ
thống. Loại tấn công này khó phát hiện ra hơn cho các hệ thống phát hiện tự
động, giúp hacker ẩn mình tốt hơn. Để chống lại nguy cơ này, hệ thống cần có
nhiều server phục vụ, server phân tải, cơ chế phát hiện tấn công DoS hiệu quả.
CHƯƠNG II : NGUY CƠ ĐÁNH CẮP THÔNG TIN MẠNG
Bước vào thời đại công nghệ 4.0 công nghệ số đi vào từng lĩnh vực trong đời
sống và sản xuất. Công nghệ thông tin trở thành “chìa khóa” mới mẻ, nó có mối
liên hệ mật thiết trong sự phát triển của con người, của quốc gia dân tộc. Bên
cạnh sự tiện ích của hệ thống công nghệ thông tin là những mối đe dọa lớn về
bảo mật an toàn thông tin, đặc biệt là hệ thống thông tin trên mạng Internet.
Năm 2020, Covid-19 bùng phát khiến hàng loạt tổ chức, doanh nghiệp phải
chuyển sang làm việc từ xa. Các phần mềm làm việc trực tuyến được tìm kiếm
và sử dụng phổ biến hơn. Nhiều đơn vị buộc phải mở hệ thống internet để nhân
viên có thể truy cập và làm việc trực tuyến. Điều này tạo môi trường cho kẻ xấu
khai thác lỗ hổng, tấn công và đánh cắp thông tin.
1. Nguyên nhân gây nên tạo ra những lỗ hổng để gây ra
thực trạng dễ bị đánh cắp thông tin mạng.
- Nhận thức an ninh chưa tốt : Nhận thức về an ninh mạng chưa
tốt là một trong những nguyên nhân cơ bản nhất dẫn tới các sự
cố an toàn thông tin. Ví dụ 1: Do không được đào tạo kiến thức
cơ bản về kỹ thuật tấn công Social Engineering, một nhân viên 7
đã bị tin tặc mạo danh là đối tác của công ty gửi tệp chứa mã
độc đính kèm trong email. Sau khi click vào tệp đó, máy tính
của nhân viên sẽ bị nhiễm mã độc
- Ví dụ 2: Vì không cập nhật phiên bản mới nhất của hệ điều
hành, hơn 200.000 máy tính tại 150 quốc gia đã bị nhiễm mã độc WannaCry.
- Không phân quyền rõ ràng : Một nguyên nhân khác làm mất
thông tin dữ liệu chính là quản trị viên không phân quyền rõ
ràng cho thành viên. Lợi dụng điều này, nhân viên nội bộ có thể
đánh cắp, trao đổi, thay đổi thông tin của doanh nghiệp.
- Lỗ hổng bảo mật còn tồn tại trên một số phần mềm : Trên
thực tế, nhiều người dùng tải và cài đặt phần mềm mới mà
không tự hỏi rằng: “liệu phần mềm này có chứa lỗ hổng bảo
mật hay không?”. Trong khi đó, các phần mềm này có thể tồn
tại những lổ hổng nguy hiểm. Các lỗ hổng này chính là con
đường để tin tặc lợi dụng tấn công hệ thống mạng.
- Lỗ hổng bảo mật trong chính hệ thống : Hệ thống nhắc đến ở
trên có thể là hệ thống website, hệ thống mạng, hệ thống các
thiết bị, phần mềm. Nguyên nhân làm mất an toàn thông tin
trong trường hợp này là do các doanh nghiệp không thường
xuyên rà quét lỗ hổng, đánh giá bảo mật cho hệ thống dẫn tới
những thiệt hại nặng nề về mặt tài chính. 2. Thực trạng:
- Virut, các phần mềm gián điệp ( thiết bị nghe lén).
- Một số ứng dụng ( app) trên điện thoại có Hiện tại, tình trạng tội phạm
mạng đang ngày càng gia tăng . Các Hacker ngày càng có những hành động tinh 8
vi để đánh cắp thông tin của người dung sử dụng vào những mục đích trái phép
như tống tiền, ăn cắp thông tin về thẻ tín dụng, tung tin sai lệch về nạn nhân.
- Do các đương truyền di động có tính bảo mật còn yếu: Hệ thống bảo mật
thông tin trong các đường truyền 3G/4G chưa được đảm bảo an toàn tuyệt đối.
Tình trạng đó đói hỏi các nhà cung cấp mạng đặc biệt quan tâm đến vấn đề bảo
mật thông tin cho khách hàng.
- Do người dung chưa có nhiều hiểu biết về hệ thống bảo mật thông tin nên
chưa có biện pháp hiệu quả để bảo mật thông tin cá nhân.
- Truy cập vào các đường link, trang wed lạ không rõ nguồn gốc vô tình làm lộ thông tin cá nhân.
- Các phần mềm độc hại xâm nhập như chức năng giám sát camera, danh bạ,
truy cập trái phép bộ nhớ,…Chính vì thế, người dung cần đặc biệt chú ý khi cài
đặt các app trên máy cá nhân.
CHƯƠNG III: PHƯƠNG PHÁP BẢO MẬT THÔNG TIN
1. Đối với cá nhân:
- Giữ bí mật tuyệt đối tài khoản Google, Gmail, Facebook,…
- Hạn chế truy cập vào các đường link lạ không rõ nguồn gốc, hạn chế truy
cập vào mạng Wifi công cộng.
- Cài đặt các phần mềm bảo mật có sự liên kết với các đơn vị có chức năng
bảo đảm an toàn thông tin cá nhân cho người dung.
- Thực hiện xác minh tài khoản qua nhiều yếu tố xác thực như gmail, facebook, zalo,…
- Đặt các mật khẩu có tính bảo mật cao ( tránh các mật khẩu dễ đoán như
sinh nhật, số điện thoại. Cài mật khẩu gồm các kí tự như in hoa, in thường, kí tự
số, các kí tự đặc biệt ). 9
- Hạn chế đăng nhập vào các thiết bị công cộng. Sau khi sử dụng cần chú ý
đăng xuất tài khoản ra khỏi thiết bị.
- Không cung cấp tài khoản cá nhân cho bất kỳ ai.
2. Đối với doanh nghiệp:
- Cài đặt các Plugin bảo mật website - Sử dụng HTTPS
- Cập nhập phiên bản mới nhất cho website và phần mềm
- Bảo đảm mật khẩu website và phần mềm được bảo mật
- Thường xuyên sau lưu dữ liệu tự động
- Đầu tư sử dụng dịch vụ bảo mật website
- Đề phòng khi chấp nhận một tệp tin được tải lên website của bạn
- Sử dụng các truy vấn được tham số hóa - Sử dụng CSP
- Khóa quyền truy cập vào tệp tin và thư mục của bạn
- Giữ cho các thông tin báo lỗi của bạn đơn giản ( nhưng vẫn hữu ích )
- Các tổ chức doanh nghiệp cần giữ bảo mật tuyệt đối đối với thông tin nhân
viên tránh khả năng làm lộ thông tin cá nhân của nhân viên dẫn đến hành động
lôi kéo, mua chuộc của công ty đối thủ.
- Bảo đảm thông tin khách hàng: Bởi bảo vệ thông tin khách hang là nhiệm vụ
và chức năng của tổ chức doanh nghiệp. Nếu thông tin khách hàng bị đánh cắp
sẽ ảnh hưởng đến uy tín và gây thiệt hại hàng tỉ đồng đối với doanh nghiệp đó.
- Bảo mật thông tin kinh doanh và dự án kinh doanh.
- Bảo mật thông tin doanh nghiệp bằng cách sử dụng tường lửa: Đây là một giải
pháp cơ bản để bảo mật thông tin cho các tổ chức doanh nghiệp. “Tường Lửa’ 10
được coi như một mặt ngăn cách giữa mạng nội bộ và mạng Internet cộng đồng.
Có chức năng giám sát, ngăn chặn những hành vi truy cập trái phép.
- Sử dựng mật khẩu có tính bảo mật cao (khó đoán gồm các ký tự viết hoa, viết
thường, ký tự số, ký tự đặc biệt). 11
NGUỒN TÀI LIỆU THAM KHẢO
CMC TSSG(2021). Bảo mật thông tin an toàn cho doanh nghiệp, truy cập từ:
https://www.cmctssg.vn/tin-tuc/bao-mat-thong-tin-an-toan-cho-doanh- nghiep
Trung tâm công nghệ thông tin Học viện Ngân hàng (2018). Những khái niệm
cơ bản về An toàn thông tin mạng, truy cập từ:
https://hvnh.edu.vn/ttcntt/vi/cong-nghe-hop-tac/nhung-khai-niem-co-ban-
ve-an-toan-thong-tin-mang-security-daily-293.html
FPT CLOUD(2019). Hướng dẫn bạn cách kiểm tra Website lừa đảo chuẩn xác, truy cập từ:
https://fptcloud.com/kiem-tra-website-lua-dao/ 12
BẢNG PHÂN CHIA CÔNG VIỆC Họ tên Mã SV Công việc % đóng góp Phạm Trang Nhung
25A4062547 Làm Power Point, tìm hiểu 22%
và viết nội dung, thuyết trình Cầm Mai Phương
25A4060837 Làm Power Point, chỉnh 20%
sửa, video, tìm hiểu nội dung Nông Vũ Hà Phương
25A4060840 Viết bản báo cáo Word, tìm 23%
hiểu nội dung, thuyết trình, 13 sửa Power Point
Nguyễn Thị Kim 25A4061154 Tìm hiểu và viết nội dung, 17% Phượng thuyết trình Lê Việt Quân
25A4061155 Tìm hiểu và viết nội dung, 18% lồng tiếng video 14