Bài giảng Cơ sở hệ thống thông tin - Chương 7: Lãng phí, sai sót và an toàn thông tin - Hà Quang Thụy

BÀI GIẢNG CƠ SỞ HỆ THỐNG THÔNG TIN
CHƯƠNG 7. LÃNG PHÍ, SAI SÓT VÀ 
AN TOÀN THÔNG TIN
PGS. TS. HÀ QUANG THỤY
HÀ NỘI 01-2016
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
ĐẠI HỌC QUỐC GIA HÀ NỘI
1
Nội dung
1. Lãng phí và sai sót máy tính
2. Chống lãng phí và sai sót máy tính
3. Tội phạm máy tính
4. Máy tính là công cụ của tội phạm
5. Máy tính là đối tượng của tội phạm
6. Ngăn ngừa tội phạm máy tinh
7. Vấn đề riêng tư
8. ATTT trong HTTT
9. An toàn thông tin tại Việt Nam
10. Về chương trình đào tạo ATTT tại Khoa CNTT
11. Tóm tắt
2
1. Lãng phí và sai sót máy tính
 Giới thiệu
 nguyên nhân chính vấn đề máy tính chi phí không
cần thiết cao và làm mất lợi nhuận
 Lãng phí: dùng công nghệ & tài nguyên máy tính
không phù hợp .
 Sai sót: lỗi, sai lầm, vấn đề khác cung cấp kết quả
không chính xác/không hữu ích; sai sót xuất hiện chủ
yếu do lỗi con người
3
Lãng phí
 Tình trạng
 Chính quyền: sử dụng lớn nhất và cũng lãng phí nhất
 Chính quyền và công ty (tư nhân)
 Lãng phí tài nguyên
 Loại bỏ phần cứng, phần mềm vẫn còn giá trị
 Xây dựng-duy trì HT phức tạp không dùng tối đa
 Nghịch lý năng suất CNTT Robert Solow
 Lãng phí thời gian
 Trò chơi máy tính
 Gửi email không quan trọng; Truy cập web vô ích.
 Thư rác (spam email) và fax rác (spam-fax)
 Vào mạng xã hội: Các công ty Anh chi hang tỷ bảng chặn
nhân viên vào mạng xã hội
4
Sai sót máy tính
 Giới thiệu
 Sai sót phần cứng: hiếm
 Sai sót do con người: sai sót chương trình và sai sót nhập
liệu, thao tác. Cần ngăn chặn kịp thời
 Một số ví dụ
 https://au.travel.yahoo.com/news/a/31000259/leap-year-leaves-
passengers-without-bags-at-duesseldorf-airport/: Hành lý sân
bay Düsseldorf (Đức); 
grounded-at-washington-dc-area-airports/: Hủy bỏ 400 chuyến
bay ngày 15/8/2015 vùng đông nước Mỹ
 
khoa-cua/76/17016902.epi: Land Rover thu hồi 65.000 xe;
Toyota thu hồi 625.000 xe v.v.
 Hệ thống radar máy bay thế hệ năm F-35 của Mỹ không đáng tin
cậy, liên tục bị tái khởi động.
 
000077b07658.html#axzz44TRd3mxf : Cổ phiếu Moody  20%
 v.v.
5
Các sai sót máy tính phổ biến nhất
 Các sai sót máy tính phổ biến nhất
 Lỗi nhập dữ liệu hoặc nắm bắt dữ liệu
 Lỗi chương trình máy tính
 Lỗi xử lý tập tin, nhầm lẫn định dạng đĩa, sao tập tin cũ
hơn đè lên mới hơn, xóa nhầm tập tin .v.
 Xử lý sai kết quả đầu ra từ máy tính
 Lập kế hoạch và kiểm soát trục trặc thiết bị không đủ
 Lập kế hoạch và kiểm soát khó khăn môi trường không đủ
 Khởi động năng lực tính toán không đầy đủ mức độ hoạt
động của website tổ chức
 Lỗi trong cung cấp truy cập thông tin mới nhất khi chưa bổ
sung liên kết web mới và xóa đi liên kết web cũ
 Người phân tích HT: Kỳ vọng hệ thống không rõ & và
thiếu thông tin phản hồi. Người sử dụng chấp nhận
một HT không cần thiết/không mong muốn
 v.v. 6
2. Chống lãng phí và sai sót máy tính
 Khái quát
 Chống lãng phí và sai sót: mục tiêu của tổ chức
 Nhân viên và nhà quản lý
 Chính sách và thủ tục: thiết lập, thi hành, giám sát, đánh
giá, cải thiện
 Thiết lập chính sách
 Xây dựng-ban hành chính sách tiếp nhận-sử dụng
máy tính cho mục đích chống lãng phí-sai sót
 Xây dựng-tổ chức đào tạo các hướng dẫn-quy định
sử dụng-bảo trì HT máy tính;
 xác nhận tính đích xác hệ thống/ứng dụng trước thi
hành/sử dụng đảm bảo tương thích-hiệu quả chi phí
 tài liệu hướng dẫn-giới thiệu ứng dụng bao gồm công
thức lõi phải được nộp/ gửi tới văn phòng trung tâm
7
Giám sát-đánh giá chính sách và thủ tục
 Giám sát
 giám sát thường xuyên
 có hành động khắc phục nếu cần thiết
 Kiểm toán nội bộ chính sách-thủ tục
 Đánh giá
 Chính sách bao trùm đầy đủ thực tiễn hiện hành hay
chưa? Có phát hiện được bất kỳ vấn đề/cơ hội chưa được
bao trùm trong giám sát hay không?
 Tổ chức có lên các kế hoạch hoạt động mới trong tương
lai hay không? Nếu có, có nhu cầu về chính sách hoặc thủ
tục giải quyết mới hay không, những ai sẽ xử lý nhu cầu
đó và những gì cần phải được thực hiện?
 Đã bao trùm được dự phòng và thảm họa hay chưa?
8
3. Tội phạm máy tính
 Giới thiệu chung
 Internet: Cơ hội và nguy cơ
 Dù chính sách HTTT tốt khó dự đoán/ngăn tội phạm MT
 Tội phạm máy tính có yếu tố nguy hiểm hơn
 Năm 2011: Thiệt hai TPMT 20 nước >388 tỷ US$
 Các cuộc khảo sát
 “State of Network Security 2013 Servey”: 80,6% phá vỡ
dịch vụ doanh nghiệp (30,7% mất ứng dụng, 29,1% mất
mạng, 20,7% giảm hiệu suất). 60% cho biết do thủ công,
quản lý thay đổi kém và thiếu tầm nhìn; đe dọa nội bộ
65,4% (40,8% tình cờ, 24,6% chủ ý) nhiều hơn đe dọa
bên ngoài 34,6%.
 The Global State of Information Security® Survey ba năm
2013-2015
9
Kinh tế CNTT và Kinh tế Internet
4140 tỷ US$
Tác hại do tội phạm ATTT
Neil Robinson et al (2012). Feasibility Study for a European Cybercrime Centre, Technical Report (Prepared
for the European Commission, Directorate-General Home Affairs, Directorate Internal Security Unit A.2:
Organised Crime), The RAND Corporation
ATTT: Trò chơi cấp cao "365/7/24“
Trò chơi và đối thủ biến đối nhanh:
8580 ISI-converted journals có
ít nhất 6 tạp chí chuyên về ATTT
survey/assets/2013-giss-report.pdf : Phát hiện 13: giải pháp nhân viên & nguồn lực
sẵn sàng cho đào tạo an ninh có tính then chốt trong hoạt động ATTT trên thế giới
Các mối đe dọa nội bộ
 Đe dọa con người.
 Gian lận, lạm dụng tài nguyên hoặc thông tin
 Lỗi, sai sót của nhân viên
 Gián điệp, kẻ xem trộm thông tin
 Kỹ sư xã hội từ nhân viên
 Khai thác thiếu tri thức/nghiệp vụ của đồng nghiệp
 Dùng mật khẩu quản trị yếu/mật khẩu người khác để
tiếp cận trái phép
 Trộm cắp
 Chính sách không được thực hiện / không được phép
 Phân quyền không đúng dẫn đến gian lận/lạm dụng
 Dùng phương tiện xã hội bị nhiễm hoặc tải phần mềm
không được phép dẫn tới nguồn lây nhiễm
Umesh Hodeghatta Rao, Umesha Nayak. The InfoSec Handbook: An
Introduction to Information Security. Apress, 2014
Các mối đe dọa nội bộ
 Đe dọa từ ứng dụng nội bộ
 Nhập liệu không đúng
 Cấu hình ứng dụng sai dẫn tới lỗi/sai trong xử lý
 Lỗi xử lý không phù hợp/ngoại lệ nảy sinh vấn đề
 Thao tác tham số, thao tác tràn bộ đệm
 Truy cập trái phép
 Vấn đề khác
 Truy nhập không hạn chế USB dẫn tới mất thông tin
 Hư hỏng hệ thống/dữ liệu từ điện tăng, nhiệt độ
 Lỗi phần cứng do trục trặc
 Lỗi cơ sở hạ tầng (UPS) do bảo dưỡng không đúng
Đe dọa từ bên ngoài
 Đe dọa từ bên ngoài
 từ con người: ví dụ kỹ sư xã hội,
 An ninh mạng
 An ninh vật lý
 An ninh truyền thông
 Phần mềm
 Xã hội và kinh tế
 Pháp lý
 Khác
Umesh Hodeghatta Rao, 
Umesha Nayak. The 
InfoSec Handbook: An 
Introduction to 
Information Security. 
Apress, 2014
Các mối đe dọa con người:
Đe dọa vật lý (8 mối đe 
dọa), Đe dọa mạng (8), vấn 
đề phần mềm (12), đe dọa 
con người (4). Đe dọa khác
Khảo sát ATTT Việt Nam
Kết quả khảo sát năm 2012 của Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam
(VNCERT): 
Khảo sát ATTT Việt Nam
"hơn 50% cơ quan, tổ chức vẫn chưa có cán bộ chuyên trách về ATTT"[1]
(có tới 135 (26%) tổ chức không có vị trí công tác về ATTT); có tới 24% tổ
chức phải thuê tổ chức chuyên nghiệp bên ngoài bảo vệ ATTT cho mình.
[1] 
Phân loại tội phạm máy tính
 Tội phạm loại 1: Máy tính là đối tượng
 truy cập trái phép, như tấn công trái phép (hack)
 mã độc hại: phổ biến virus và sâu (worms) máy tính,
 ngắt dịch vụ, như làm gián đoạn hay từ chối dịch vụ,
 Trộm cắp hoặc lạm dụng dịch vụ (tài khoản)
 Tội phạm loại 2: Máy tính là công cụ
 vi phạm nội dung (content violation offences): sở hữu
nội dung khiêu dâm trẻ em, trái phép các bí mật quân
sự, tội phạm địa chỉ IP
 Thay trái phép (unauthorised alteration) D.liệu/P.mềm
cho lợi ích cá nhân/tổ chức như gian lận trực tuyến
 Dùng không hợp thức (improper use) truyền thông:
rình rập mạng, gửi thư rác, sử dụng dịch vụ vận
chuyển với ý định/có âm mưu hoạt động có hại/tội ác
18
Loại hình tội phạm (149 phiếu điều tra)
19
20
Loại hình tội phạm (149 phiếu điều tra)
Khảo sát An toàn thông tin
 Global State of I-Security® Survey 13-15
 PwC (Price Waterhouse Coopers+ CIO Magazine+CSO
Security and Risk Magazine
 9000+ CEO, CFO, CIO, CSO từ 90+quốc gia
 chiến lược thông minh, tập trung không ngừng tới đối thủ
 trò chơi lẫn đối thủ là không ngừng thay đổi
 không thể chống đe dọa hôm nay bởi chiến lược hôm qua
 cần mô hình ATTT, chứa kiến thức về đe dọa, về tài
nguyên, về cả động cơ lẫn mục tiêu của đối thủ tiềm năng
 Hoạt động liên kết, tính lãnh đạo và đào tạo ATTT là chìa
khóa của chiến lược thắng lợi trong trò chơi
 Tiến hóa ATTT
 PwC (Price Waterhouse Coopers+ CIO Magazine+CSO
 công nghệ" "quá trình – quản lý" "yếu tố con người"
21
Khái niệm ATTT và tính bảo mật
 Khái niệm
 ISO/IEC 27000:2014: ATTT đảm bảo tính bảo mật,
tính sẵn có, tính toàn vẹn
 ATTT là việc bảo vệ HTTT tự động nhằm mục tiêu về
tính bảo mật, tính sẵn có, và tính toàn vẹn tài nguyên
HTTT (bao gồm phần cứng, phần mềm, phần mềm
gắn kết (firmware), thông tin/dữ liệu và viễn thông)
 Tính bảo mật confidentiality
 bảo mật dữ liệu (Data confidentiality): thông tin/bí mật
cá nhân không được cung cấp, tiết lộ tới cá nhân
không có thẩm quyền
 riêng tư (Privacy): cá nhân kiểm soát&có ảnh hưởng
tới thông tin gì liên quan đến họ được phép thu
thập&lưu trữ cũng như ai được phép cung cấp thông
tin nói trên cho những ai
22
Tính toàn vẹn và tính sẵn có
 Tính toàn vẹn integrity
 toàn vẹn dữ liệu (Data integrity): thông tin&chương
trình chỉ được thay đổi theo các cách thức quy
định&được phép
 toàn vẹn hệ thống (System integrity): hệ thống thi
hành chức năng định sẵn một cách không suy giảm,
độc lập đối với các thao tác trái phép cố ý hoặc vô ý.
 Tính sẵn có availability
 hệ thống làm việc nhanh và dịch vụ không bị từ chối
đối với người dùng được phép
 Thực thi ATTT
 Dựa trên việc thi hành tập biện pháp kiểm soát
(control) được áp dụng-chọn lọc qua quá trình quản lý
rủi ro được chọn-quản lý hệ thống quản lý ATTT
(information security management systems: ISMS) 23
Tính xác thực và tính trách nhiệm
 Tính xác thực Authenticity
 Đảm bảo thông tin & nguồn thông tin được xác minh và
đáng tin cậy: chuyển thông điệp, thông điệp, và nguồn
thông điệp là có giá trị tin tưởng. Xác minh đúng người
dùng như họ đăng nhập và đầu vào hệ thống từ nguồn
đáng tin cậy.
 Tính trách nhiệm Accountability
 Đảm bảo: hành động thực thể đã hành động, hỗ trợ
chống chối bỏ, ngăn chặn-cô lập lỗi, phát hiện-phòng
ngừa xâm nhập, phục hồi và hành động pháp lý. Lưu
hồ sơ vết hành động.
 Các chiều mục tiêu ATTT khác
 Một số mục tiếu khác: Tính không thể chỗi cãi
(NonRepudiation), tính pháp lý (legal), v.v. 24
Một số khái niệm liên quan
 Đe dọa Threat
 tiềm năng vi phạm ATTT, tồn tại ở hoàn cảnh/khả
năng/hành động/sự kiện để vi phạm ATTT và gây hại.
Đe đe dọa: nguy hiểm tiềm năng khai thác lỗ hổng.
 Tấn công Attack
 Tấn công vào hệ thống từ một de dọa trí tuệ với nỗ
lực cố ý một hành vi trí tuệ (một phương pháp/kỹ
thuật) tránh các hành vi dịch vụ an ninh và vi phạm
chính sách an ninh của hệ thống
 Các chiều mục tiêu khác
 Còn một số chiều mục tiêu khác
25
4. Phần mềm độc hai
 Giới thiệu phần mềm độc hai: Malicious Software
 Tội phạm máy tính điển hình
 Nhiều loại
 Virus máy tính: computer virus
 phần mềm độc hại cơ bản nhất
 Tự gắn mình vào tập tin khác (vật mang)
 Vật mang thi hành: virus tự kích hoạt và lây nhiễm. Ủ
bệnh và phá hoại
 Michelangelo, Brain, Klez, Wullick-B, SQL Slammer,
Sasser, và Blaster
 Phần mềm gián điệp: spyware
 do thám: dò vết/giám sát hoạt động chương trình khác
 Lấy thông tin liên quan một người/một tổ chức cho mục
đích độc hại sau này.
 Tracking Cookies: theo dõi người dùng Internet làm gì
 Keyloggers (như ComputerSpy) đăng nhập mọi thứ
người sử dụng đã nhập (cả tên- mật khẩu người dung)
26
Virus máy tính: các loại và vòng đời
27
 Các loại virus
 Virus đĩa: Chiêm quyền điều khiển đĩa vật lý
 Virus boot: Chiêm quyền điều khiển đĩa lôgic
 Virus file: chiếm quyền điều khiển file hoạt động
 Vòng đời
- Tồn tại và tán phát
- Phá hoại “bom nổ”
- Các hình thức phá hoại khác
Sâu máy tính và phần mềm ngựa Troa
 Sâu máy tính worms.
 Tự nhân bản để lây lan/tự phát tán trên bản thân
 Lan truyền ngoài mạng, hệ thống khác. Tàn phá lớn
 Melissa, Explorer.zip, Love Bug, ILOVEYOU, Code
Red, The Sober, W32.Nimda, và W32.Stuxnet
 Phần mềm ngựa Troa Trojans.
 mã độc nhúng vào một ứng dụng/ tiện ích/công cụ/trò
chơi dường như có ý định tốt
 Mặt trước: chức năng cho người dung, mặt sau: chức
năng cho kẻ tấn công
 Được tải về cùng các chương trình được quan tâm
 Flame, Zero Access, DNSChanger, Banker,
Downloader, Back Orifice, Zeus, và Beast.
28
Phần mềm cửa sau, quảng cáo robot mạng
 Phần mềm cửa sau backdoors
 Được cài đặt (ví dụ, Troa) nhằm nhận quyền truy cập
hệ thống tại một thời điểm sau đó
 Lén lút theo kịch bản của kẻ tấn công
 Remote Access Trojans, backdoor.trojan, Trini, và
Donald Dick
 Phần mềm quảng cáo adware.
 mã nền theo dõi hành vi cá nhân người dùng, chuyển
cho bên thứ ba.
 Mồi nhử cho phần mềm độc hại
 Robots mạng botnets
 Mạng/đội quân zombie bị tổn thương/nhiễm bởi kẻ
tấn công, được dùng để tấn công hệ thống khác
 .
29
Phần mềm chống phần mềm độc hai
 Giới thiệu PMCPMĐH
 ngăn chặn đại dịch phần mềm độc hại
 Nhiều loại: Bitdefender Antivirus Plus, Kaspersky Anti-Virus,
Norton AntiVirus, F-Secure Anti-Virus, AVG AntiVirus, G Data
AntiVirus, Panda Antivirus Pro, McAfee AntiVirus Plus, Trend
Micro Titanium Antivirus+, ESET NOD32 Antivirus : phần mềm
chống phần mềm gián điệp tốt nhất trong năm 2015
 Các bước
 Cài đặt PMCPMĐH, chạy nó thường xuyên
 Cập nhật PMCPMĐH thường xuyên
 Quét mọi phương tiện truyền thông di động, bao gồm cả
đĩa CD, trước khi sao chép/chạy chương trình từ chúng
 Cài đặt phần mềm chỉ từ một gói đóng hoặc trang web an
toàn của một công ty phần mềm nổi tiếng
 Thực hiện tải theo thông lệ cẩn thận
 Nếu phát hiện loại phần mềm độc hại mới thì hành động
ngay lập tức
 MÔI TRƯỜNG HỆ THỐNG SẠCH
30
5. Máy tính là công cụ cho tội phạm
 Đặt vấn đề.
 MT: công cụ truy cập thông tin giá trị/phương tiện ăn cắp
 Điển hình về ngân hàng: Gian lận thẻ tín dụng
 Hai năng lực cần có: (i) Biết cách truy nhập MT: (ii) Biết
cách thao tác đạt mục đích
 Tìm từ “thùng rác”, thuyết phục người nội bộ, kỹ sư xã hội
 Điển hình: Công cụ cho khủng bố mạng, trôm cắp định
danh, cờ bạc Internet, xử lý an toàn máy tính cá nhân
31
Trộm cắp định danh 
 Khái niệm
 identity theft: (i) cố chiếm thông tin định danh cốt yếu;
(ii) mạo danh để nhận tín dụng, hàng hóa/dịch vụ
hoặc cung cấp thông tin sai sự thật
 Hành động kẻ mạo danh
 "xem trộm thông tin" (shoulder surfing: lướt qua vai)
 Mở tài khoản mới
 Truy nhập tài khoản hiện có
 Thay đổi địa chỉ nhận thông tin
32
Mười kiểu t/tin bị vi phạm nhiều nhất
 Người tiêu dùng cần tự bảo vệ.
 Thường xuyên kiểm tra báo cáo tín dụng
 Theo dõi với các chủ nợ
 Không tiết lộ bất ký thông tin cá nhân
 Băm nhỏ hóa đơn và tài liệu chứa thông tin nhạy cảm
33
Lừa đảo liên quan tới máy tính
 Phishing: Lừa đảo qua trang web
 giao dịch bất động sản không có thật, chào “miễn phí” với chi
phí ẩn lớn, gian lận ngân hành, cung cấp sổ số ... n về bản thân
 Chủ động bảo vệ sự riêng tư của chúng ta
 Khi mua bất cứ điều gì từ một trang web, hãy chắc
chắn rằng chúng ta bảo vệ số thẻ tín dụng, mật khẩu
và thông tin cá nhân của chúng ta
63
ATTT trong HTTT
 Tám yếu tố nền tảng
 ATTT phải hỗ trợ mục tiêu kinh doanh và sứ mạng
của doanh nghiệp.
 ATTT là một yếu tố gắn kết trách nhiệm của quản lý
cao cấp
 ATTT phải đảm bảo chi phí hiệu quả.
 Trách nhiệm ATTT và trách nhiệm giải trình phải
được thực hiện rõ ràng qua các tuyên bố và cam kết
 Chủ sở hữu HTTT có trách nhiệm ATTT bên ngoài tổ
chức
 ATTT đòi hỏi một tiếp cận toàn diện và tích hợp
 ATTT cần được đánh giá lại theo định kỳ
 ATTT cần được ràng buộc theo văn hóa của tổ chức
64
ATTT tại Việt Nam: Hệ thống văn bản 
 Hệ thống văn bản pháp luật
 Luật an ninh quốc gia số 32/2004/QH11 được Quốc hội thông
qua ngày 03/12/2004; Luật Giao dịch điện tử số 51/2005/QH11
được Quốc hội thông qua ngày 29/11/2005; Luật Công nghệ
thông tin số 67/2006/QH11 được Quốc hội thông qua ngày
29/6/2006; Luật Cơ yếu số 05/2011/QH13 được Quốc hội thông
qua ngày 26/11/2011 và Pháp lệnh số 13/2002/L/CTN ngày
07/6/2002 của Chủ tịch nước về Công bố Pháp lệnh Bưu chính,
Viễn thông
 Nghị quyết, nghị định Chính phủ. Quyết định Thủ tướng. Thông
tư các bộ
 Luật ATTT mạng
 Qua 4 phiên bản
 19/11/2015, Luật ATTT mạng số 86/2015/QH13 Quốc hội khóa
XIII thông qua tại Kỳ hợp thứ 10 và luật này có hiệu lực vào ngày
01/07/2016
 Thuật ngữ liên quan
65
Một số cơ quan tổ chức ATTT
 Bộ TTTT và Cục ATTT
 Bộ TTTT là cơ quan quản lý nhà nước về ATTT
 Cục ATTT: 
 tham mưu, giúp Bộ trưởng Bộ TTTT quản lý nhà
nước và tổ chức thực thi pháp luật về ATTT
 Hiệp hội ATTT
 Vietnam Information Security Association: VNISA.
 
 Trung tâm ứng cứu khẩn cấp máy tính VN
 Vietnam Computer Emergency Response Team: VNCERT.
 điều phối hoạt động ứng cứu sự cố máy tính trên toàn
quốc; cảnh báo kịp thời các vấn đề về an toàn mạng máy
tính; v.v. 66
 Căn cứ xây dựng chương trình đào tạo
Quyết định số 99/QĐ-TTg ngày 14/01/2014 của Thủ tướng Chính
phủ về việc phê duyệt Đề án "Đào tạo và phát triển nguồn nhân
lực an toàn, an ninh thông tin đến năm 2020".
 “Xây dựng được một số cơ sở đào tạo trọng điểm về ATANTT có chất
lượng tương đương các nước trong khu vực với đội ngũ giảng
viên, nghiên cứu viên đạt trình độ quốc tế, chương trình, nội dung
đào tạo tiên tiến, hệ thống trang thiết bị hiện đại phục vụ công tác
giảng dạy, học tập và nghiên cứu”. Trường ĐHCN là một trong tám CS
Đào tạo trọng điểm về ATTT.
 “xây dựng chương trình đào tạo, giáo trình, tài liệu giảng dạy, bài giảng
điện tử bảo đảm chuẩn hóa và thống nhất trên phạm vi cả nước; nhập
khẩu, chuyển giao các chương trình, giáo trình đào tạo ATANTT tiên
tiến của nước ngoài”.
 “khẩn trương chuẩn bị các điều kiện cần thiết về giảng viên, nội dung,
chương trình đào tạo, cơ sở vật chất để đào tạo trình độ thạc sĩ, tiến sĩ
ATANTT trong nước”
8. Đào tạo ATTT: Giới thiệu chung
Nghiên cứu & đào tạo ATTT
Khu vực Chính phủ
- Mỹ: National Security Agency – NSA
- Nga: Trung tâm CNTT và HTTT Chính phủ Nga: Центр
информационных технологий и систем органов исполнительной
власти – ЦИТиС
Khu vực hàn lâm
- Mỹ: SANS Insitute of Technology, Carnegie Mellon University,
Stanford Security Laboratory (Stanford University), Information
Security Institute (Johns Hopkins University), 
- Singapore: NUS, SMU, 
- Phần Lan: University of Turku, 
- Hà Lan: Viện Kerckhoffs, 
- Nga: Đại học Tổng hợp Kỹ thuật Điện quốc gia Xanh-Peterbua: tiếng 
Nga: Санкт-Петербургский государственный электротехнический 
университет «ЛЭТИ» им. В.И. Ульянова (Ленина) (СПбГЭТУ)
- 
Nghiên cứu và đào tạo ATTT
Khu vực Công nghiệp: Theo bloomberg
Thực trang ATTT Việt Nam: Khảo sát
Kết quả khảo sát năm 2012 của Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam
(VNCERT): 
Thực trang ATTT Việt Nam: Khảo sát
"hơn 50% cơ quan, tổ chức vẫn chưa có cán bộ chuyên trách về ATTT"[1]
(có tới 135 (26%) tổ chức không có vị trí công tác về ATTT); có tới 24% tổ
chức phải thuê tổ chức chuyên nghiệp bên ngoài bảo vệ ATTT cho mình.
[1] 
Đào tạo ATTT ở Trường ĐHCN
Định hướng
 “chương trình, giáo trình đào tạo ATANTT tiên tiến của nước
ngoài” (Đề án 99/QĐ-TTg)
 Thủ tục: Quy chế Đào tạo Thạc sỹ tại Đại học Quốc gia Hà Nội
được ban hành kèm theo Quyết định số 4668/QĐ-ĐHQGHN ngày
10/12/2014 của Giám đốc ĐHQGHN
Giải pháp
- Phát huy thế mạnh vốn có từ các CTĐT đạt chuẩn kiểm định AUN
- Đảm bảo các vùng kiến thức cốt lõi (ACM/IEEE-CS): Mật mã học
(Cryptography), Đạo đức ATTT (Ethics), Chính sách ATTT (Policy), Pháp lý
số (Digital Forensics), Điều khiển truy nhập (Access Control), Kiến trúc an
ninh (Security Architecture), An ninh mạng (Network Security), Quản lý rủi ro
(Risk Management), Tấn công/Phòng thủ (Attacks/Defenses), Các vấn đề
điều hành (Operational Issues), Thiết kế và kỹ nghệ phần mềm an toàn
(Secure Software Design and Engineering)
 Phân tích, liên hệ, tham chiếu các CTĐT: 5 CTĐT Thạc sỹ (5 trường tốp
400 thế giới) và 5 CTĐT cử nhân (1 trường tốp 500).
Tham chiếu các chương trình
 Tham chiếu chương trình nước ngoài (thuộc tốp 400 đại học
hàng đầu thế giới: ARWU, QS WUR, SCImago)
 NUS-SoC: Master in Infocomm Security
 Turku Univ. (Phần Lan): Master in Cryptography & Data Security và Master in
Networked Systems Security
 SANS IT (Mỹ): Master in Information Security Engineering và Master in
Information Security Management
 Viện Viện KerckhoffsTU/e (Hà Lan): Master in Infor. Security & Cryptography
technology/curriculum/
 CMU-INI (Mỹ): Master in Information Security Technology and Management
 Aalto University (Phần Lan): Master in mobile computing and network security
 (Phạm Vân Anh cung cấp)
Khung chương trình trong nước
 Môn học chuyên sâu đào tạo ThS ATTT của HV KT M/Mã
 Mật mã trong ATTT Mã số: ATMA 503
 An toàn máy tính Mã số: ATAH 504
 An toàn CSDL nâng cao Mã số: ATCN 505
 An toàn mạng máy tính Mã số: ATPA 506
 Quản lý ATTT Mã số: ATQA 507
 Lý thuyết và thực hành kiểm thử/định ATTT Mã số: ATKT 508
 Quản lý dự án CNTT Mã số: ATQC 509
 Chuẩn và các tiêu chí đánh giá ATTT Mã số: ATTK 510
 Công nghệ ATTT Mã số: ATCA 511
 Cơ sở hạ tầng khóa công khai Mã số: ATHK 512
 Tội phạm máy tính Mã số: ATPR 513
 Mật mã học nâng cao Mã số: ATMB 514
 Pháp lý về ATTT Mã số: ATPL 515
 Quản lý sự cố ATTT Mã số: ATSC 516
 An toàn phần mềm Mã số: ATPM 517
 Phân tích mã độc hại Mã số: ATPM 518
 Điều tra số Mã số: ATKQ 519
 Phân tích, phát hiện xâp nhập trái phép Mã số: ATPT 520
 Khai phá dữ liệu trong ATTT Mã số: ATKP 521
 Xác thực sinh trắc học Mã số: ATNS 522
 An toàn cho Smart Card và Token Mã số: ATST 523
Chủ đề đặc thù tại Trường ĐHCN
 Lựa chọn chủ đề đặc thù đào tạo ATTT
 Các thuật toán Mật mã học tiên tiến (đặc trưng nền tảng
kiến thức khoa học cơ bản của Trường ĐHCN)
 ATTT và đảm bảo riêng tư trên phương tiện xã hội
 Yếu tố quản lý và con người trong ATTT (đặc trưng đa lĩnh
vực của ĐHQGHN và thế hệ tiến hóa của ATTT)
 An ninh công nghệ cao và nghiên cứu an ninh hiện đại
CT đào tạo ThS ATTT: Môn cốt lõi 
–Chương trình Thạc sỹ
• Nguyên lý an toàn thông tin (Principles of information security)
• An ninh hệ thống mạng (Network Systems Security)
• An toàn hệ thống máy tính (Computer System Security)
• Chủ đề hiện đại về ATTT (Advanced topics on Information Systems)
• Chọn 4 môn trong các môn: An toàn cơ sở dữ liệu (Databases
Security), An toàn phần mềm (Software Security), Quản lý an toàn
thông tin (Management of Information Security), An toàn thông tin trong
thương mại điện tử (Information Security in E-commerce), Yếu tố con
người trong ATTT (Human element in information security ), Ẩn thông
tin (: Digital Watermarking and Steganography), Pháp lý không gian
mạng (Cyber Forensics), An ninh hiện đại (Contemporary Security),
Truy hồi thông tin (Information Retrieval), Kinh doanh liên tục và khôi
phục sau thảm hoạ (Business Continuity and Disaster Recovery) Các
hệ thống nhúng (Embeded Systems) Information Hiding
Kết nối CT đào tạo cử nhân ATTT
– Chương trình Cử nhân
• Cơ sở an toàn thông tin (Foundations of Information Security): 3 tín chỉ, 
• Tấn công và phòng thủ (Attacks and Defenses) : 3 tín chỉ, 
• Phân tích rủi ro (Risk Management) : 3 tín chỉ,
• Chính sách an ninh (Security Policy) : 2 tín chỉ,
• An ninh Hệ điều hành : 3 tín chỉ,
• Lập trình an toàn (Secure Coding) : 3 tín chỉ, 
• Mật mã học ứng dụng (Applied Cryptography) : 2 tín chỉ, 
• Phát triển ứng dụng Web (Development of Web Applications) : 3 tín chỉ, 
• An toàn và an ninh mạng (Network Security) : 3 tín chỉ, 
• Thực hành an ninh mạng (Network Security Lab) : 3 tín chỉ, 
• Pháp luật và đạo đức ATTT (Legal and Ethnic Issues) : 2 tín chỉ, 
• Nhập môn điều tra số (Introduction to digital forensics): 3 tín chỉ, 
• Các chủ đề hiện đại ATTT (Advanced Topics in Information Security): 3 TC,
• Hai môn chuyên ngành lựa chọn định hướng tới ATTT: 6 tín chỉ.
Đối sánh CTĐT NUS-SoC CTĐT ĐHCN
 NUS = 6 môn học + Luận văn
Đối sánh CTĐT NUS-SoC CTĐT ĐHCN
Học phần cốt lõi
–Mật mã và An toàn dữ liệu nâng cao
- PGS. TS. Trịnh Nhật Tiến, TS. Lê Phê Đô, TS. Hồ Văn Canh
– (1) Phan Đình Diệu (1999). Lý thuyết mật mã và an toàn thông tin.
NXB ĐHQGHN; (2) William Stallings (2014). Cryptography and
Network Security: Principles and Practice (6th Edition). Pearson;
(3) Azad, Saiful (2014). Practical Cryptography: Algorithms and
Implementations using C++. CRC Press; (4) Jeffrey Hoffstein, Jill
Pipher, Joseph H. Silverman (2014). An Introduction to
Mathematical Cryptography. Springer New York.
–Nguyên lý An toàn thông tin
– PGS. TS. Trịnh Nhật Tiến, TS. Lê Phê Đô
– (1) M. E. Whitman, H. J. Mattord (2012). Principles of Information
Security (4th Edition). Course Technology Cengage Learning; (2)
Mark Stamp (2011). Information security: principles and practice
(2nd edition). John Wiley & Sons; (3) Peter Stavroulakis, Mark
Stamp (2010). Handbook of Information and Communication
Security. Springer.
Học phần cốt lõi
–An toàn hệ thống mạng
- TS. Nguyễn Đại Thọ, TS. Lê Đình Thanh
– (1) William Stallings (2014). Network Security Essentials:
Applications and Standards (6th edition). Prentice Hall (2) André
Perez (2014). Network Security. Wiley; (3) Michael Collins (2014).
Network Security Through Data Analysis Building Situational
Awareness. O’Reilly.
–An toàn hệ thống máy tính
- TS. Phạm Hồng Thái, PGS. TS. Trịnh Nhật Tiến, TS. Hồ Văn Hương
- (1) William Stallings and Lawrie Brown (2012). Computer Security:
Principles and Practice (2nd edition). Prentice Hall; (2) Christian
Krieg, Adrian Dabrowski, Heidelinde Hobel, Katharina Krombholz,
Edgar Weippl (2013). Hardware Malware. Morgan & Claypool; (3)
Trent Jaeger (2008). Operating System Security. Morgan & Claypool.
Học phần cốt lõi
–An toàn cơ sở dữ liệu
– PGS. TS. Trịnh Nhật Tiến, PGS. TS. Nguyễn Hải Châu
– (1) Alfred Basta, Melissa Zgola, Dana Bullaboy, Thomas L. Whitlock
Sr. (2012). Database Security. Course Technology Cengage
Learning; (2) Osama S. Faragallah, El-Sayad M. El-Rabaie, Fathi
E. Abd El-Samie, Ahmed I. Sallam, Hala S. El-Sayed (2014).
Multilevel Security for Relational Databases. CRC Press; (3)
Michael Gertz, Sushil Jajodia (editors, 2008). Handbook of
Database Security: Applications and Trends. Springer.
–An toàn phần mềm
- TS. Nguyễn Đại Thọ, PGS. TS. Trương Ninh Thuận
– (1) James Ransome, Anmol Misra (2013). Core Software Security:
Security at the Source. CRC Press; (2) Mark S. Merkow,
Lakshmikanth Raghavan (2011). Secure, Resilient Software:
Requirements, Test Cases, and Testing Methods. Auerbach; (3)
Mano Paul (2012). The 7 qualities of highly secure software. CRC
Press.
Học phần cốt lõi
–Quản lý an toàn thông tin
- TS. Nguyễn Ngọc Hóa, PGS. TS. Trịnh Nhật Tiến
- (1) John R. Vacca (2013). Managing Information Security (2nd
Edition). Syngress; (2) James A Scholz (2013). Enterprise
Architecture and Information Assurance: Developing a
Secure Foundation. CRC Press;.(3) Richard O'Hanley,
James S Tiller (editor, 2013). Information security
management handbook (vol. 7). Auerbach.
–An toàn thông tin trong thương mại điện tử
– TS. Bùi Quang Hưng, PGS. TS. Nguyễn Hà Nam
– (1) Hadi Nahari, Ronald L. Krutz (2011). Web Commerce
Security: Design and Development. Wiley: (2) Gordon E.
Smith (2004). Control and Security of E-Commerce. Wiley (3)
Zheng Qin, Yang Chang, Shundong Li, Fengxiang Li (2014).
E-Commerce Strategy. Springer Berlin Heidelberg.
Học phần cốt lõi
–Yếu tố con người trong an toàn thông tin
- TS. Hồ Văn Canh, PGS. TS. Hà Quang Thuy
– (1) Christopher Hadnagy (2010). Social Engineering: The Art
of Human Hacking. Wiley (2) Christopher Hadnagy, Paul
Ekman (2014). Unmasking the Social Engineer: The Human
Element of Security. Wiley; (3) Ian Mann (2008). Hacking the
human: social engineering techniques and security
countermeasures. Gower.
–An toàn Internet
- TS. Đặng Thanh Hải, TS. Nguyễn Viết Thế
- (1) Ronald J. Deibert, John G. Palfrey, Rafal Rohozinski,
Jonathan Zittrain (2008). Access Denied. Practice and Policy
of Global Internet Filtering. MIT Press; (2) Eli Pariser (2011).
The Filter Bubble: What the Internet Is Hiding from You.
Penguin Press; (3) John R Levine, Margaret Levine Young
(2010). The Internet for Dummies (12th edition). Wiley.
Học phần cốt lõi
–Giấu tin và phát hiện giấu tin
– TS. Phạm Hồng Thái, PGS. TS. Trịnh Nhật Tiến, TS. Hồ Văn
Canh
– (1) Michael Raggo, Chet Hosmer (2012). Data hiding:
Exposing concealed data in multimedia, operating systems,
mobile devices and network protocols. Syngress; (2) Ali
Mohammad Al-Haj (2010). Advanced Techniques in
Multimedia Watermarking: Image, Video and Audio
Applications. IGI Global; (3) Rainer Böhme (2010). Advanced
Statistical Steganalysis. Springer.
–Điều tra không gian mạng
- TS. Hồ Văn Canh, TS. Bùi Quang Hưng, TS. Nguyễn Đại Thọ
– (1) Terrence V. Lillard (2010). Digital Forensics for Network,
Internet, and Cloud Computing: A Forensic Evidence Guide
for Moving Targets and Data. Syngress; (2) Sherri Davidoff,
Jonathan Ham (2012). Network Forensics: Tracking Hackers
through Cyberspace. Prentice Hall; (3) Eamon P Doherty
(2012). Digital Forensics for Handheld Devices. CRC Press.
Học phần cốt lõi
–An ninh và riêng tư trong mạng xã hội
- PGS. TS. Nguyễn Trí Thành, TS. Hồ Văn Canh
– (1) Deborah Gonzalez (2015). Managing Online Risk: Apps, Mobile,
and Social Media Security. Elsevier; (2) Yaniv Altshuler, Yuval
Elovici, Armin B. Cremers, Nadav Aharony, Alex Pentland (Editors,
2013). Security and privacy in social networks; Springer (3);
Cornelis Reiman (2012). Public Interest and Private Rights in
Social Media. Chandos.
–Đảm bảo liên tục và khôi phục hệ thống sau
thảm hoạ
- TS. Nguyễn Ngọc Hóa, TS. Nguyễn Đại Thọ
- (1) Susan Snedaker (2014). Business Continuity and Disaster
Recovery Planning for IT Professionals. Syngress; (2) Jamie Watters
(2014). Disaster Recovery, Crisis Response, and Business
Continuity: A Management Desk Reference. Apress; (3) Gerard
Blokdijk (2008). Disaster Recovery 100 Success Secrets: IT
Business Continuity, Disaster Recovery Planning and Services.
Emereo Publishing.