Giáo trình Hệ thống thông tin quản lý - Chương 7: Đạo đức và An ninh trong Hệ thống thông tin

pdf 102 trang huongle 3110
Bạn đang xem 20 trang mẫu của tài liệu "Giáo trình Hệ thống thông tin quản lý - Chương 7: Đạo đức và An ninh trong Hệ thống thông tin", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfgiao_trinh_he_thong_thong_tin_quan_ly_chuong_7_dao_duc_va_an.pdf

Nội dung text: Giáo trình Hệ thống thông tin quản lý - Chương 7: Đạo đức và An ninh trong Hệ thống thông tin

  1. Video Case 1. Mikko Hypponen: How the NSA betrayed the world's trust — time to act (19:18) 2. Mikko Hypponen: Fighting viruses, defending the net (17:31) 3. Jennifer Golbeck: The curly fry conundrum: Why social media “likes” say more than you might think (9:55) 4. Security.swf 1
  2. Chapter 7 Đạo đức và An ninh trong Hệ thống thông tin 2
  3. Đề cương chi tiết học phần MIS Hình thức tổ chức dạy học Số tiết trên lớp Tổng Nội dung Tự học, Lý Thực hành cộng Tổng tự NC thuyết Bài tập T. luận Khác Phần I. Cơ sở phương pháp luận về MIS C1: Đại cương về MIS 3 1 3 7 3 10 C2: MIS và lợi thế cạnh tranh 3 2 5 3 8 Phần II. Hạ tầng công nghệ thông tin của MIS C3: Mạng, Internet và TMDT 5 2 2 9 4 13 C4: Quản trị dữ liệu 5 2 2 9 4 13 Phần III Các MIS trong thực tiễn C5: Các MIS trong tổ chức 6 3 3 12 6 18 Phần IV Quản trị MIS C6: Phát triển MIS 6 3 4 13 8 21 C7: Đạo đức và An ninh MIS 2 2 1 5 2 7 TỔNG 30 15 11 4 60 30 90 3-3
  4. Learning Objectives 1. Mô tả ảnh hưởng của kỷ nguyên TT đến vấn đề đạo đức trong IS. 2. Thảo luận về 4 vấn đề trong mô hình PAPA của Mason 3. Giải thích và trình bày được các nguyên tắc và chuẩn mực đạo đức trong IS 4. Giải thích các rũi ro đối với IS 5. Mô tả các yêu cầu, nội dung quản trị an ninh IS 6. Trình bày các công cụ và biện pháp bảo vệ tài nguyên thông tin của tổ chức. 07-4
  5. Outline I. Đạo đức trong Hệ thống thông tin 1.1. Vấn đề đạo đức trong kỹ nguyên thông tin 1.2. Các vấn đề về chuẩn mực hành vi 1.2.1. Quyền riêng tư (Information Privacy) 1.2.2. Tính chính xác (Information Accuracy) 1.2.3. Quyền sở hữu thông tin (Information Property) 1.2.4. Quyền tiếp cận thông tin (Information Accessibility) 1.3. Chuẩn mực hành vi đạo đức 1.3.1.Khung pháp lý về CNTT ở Việt Nam 1.3.2 Chuẩn mực đạo đức máy tính II. An ninh hệ thống thông tin 2.1. Rũi ro trong HTTT 2.2. Quản trị an ninh HTTT 07-5
  6. I. Đạo đức trong Hệ thống thông tin 1.1 Vấn đề đạo đức trong kỹ nguyên thông tin Ethics – “Principles of right and wrong that individuals, acting as free moral agents, use to make choices to guide their behaviors” (Laudon, Management Information Systems 10e, p 128) Computer Ethics – ―Issues and standards of conduct pertaining to the use of information systems‖ (Jessup, IS Today 3e) Cộng đồng, Xã hội Hoạt động Cá nhân Hoạt động Nghề nghiệp 07-6
  7. I. Đạo đức trong IS – 1.1 Vấn đề đạo đức trong kỹ nguyên TT Khái niệm • Trách nhiệm (Responsibility) – nhân tố cơ bản của hành vi đạo đức. Đó là việc chấp nhận chi phí, nhiệm vụ và nghĩa vụ đối với các quyết định của mình. • Trách nhiệm giải trình (Acountability) – cơ chế để xác định các bên chịu trách nhiệm (ai có thẩm quyền thực thi nhiệm vụ và người đó phải chịu trách nhiệm trước một cá nhân hay một nhóm người nào) • Trách nhiệm pháp lý (Liability) – cho phép các cá nhân (và tổ chức) khắc phục các thiệt hại do người khác gây ra cho họ • Quá trình/ thủ tục pháp lý (Due process) 07-7
  8. I. Đạo đức trong IS – 1.1 Vấn đề đạo đức trong kỹ nguyên TT Mối quan hệ giữa các vấn đề Đạo đức, Xã hội và Luật pháp trong HTTT Đạo đức trong hệ thống thông tin • Quyền và nghĩa vụ về thông tin • Quyền và nghĩa vụ về tài sản thông tin • Trách nhiệm giải trình và kiểm soát. • Chất lượng dữ liệu và hệ thống • Chất lượng cuộc sống 07-8
  9. I. Đạo đức trong IS – 1.1 Vấn đề đạo đức trong kỹ nguyên TT Mối quan hệ giữa các vấn đề Đạo đức, Xã hội và Luật pháp trong HTTT Các xu hướng phát triển công nghệ vấn đề đạo đức • Năng lực xử lý ―tăng gấp đôi‖ các tổ chức ngày càng lệ thuộc vào IS để xử lý công việc • Giảm chi phí lưu trữ dữ liệu khả năng lưu trữ dữ liệu cá nhân nhiều hơn và chi tiết hơn 07-9
  10. I. Đạo đức trong IS – 1.1 Vấn đề đạo đức trong kỹ nguyên TT Mối quan hệ giữa các vấn đề Đạo đức, Xã hội và Luật pháp trong HTTT • Tiến bộ công nghệ mạng và Internet sao chép và truy xuất thông tin từ xa dễ dàng • Tiến bộ về kỹ thuật phân tích số liệu – Profiling – kết hợp dữ liệu từ nhiều nguồn để tạo hồ sơ về các thông tin chi tiết của cá nhân – Nonobvious relationship awareness (NORA) • Tăng trưởng của thiết bị di động – Theo dõi cell phones cá nhân 07-10
  11. I. Đạo đức trong IS – 1.1 Vấn đề đạo đức trong kỹ nguyên TT NORA technology Phần mềm NORA (Nonobvious relationship awareness) của SRD cho các sòng bạc ở Las Vegas để phát hiện gian lận. Nó có thể thu thập thông tin về một cá nhân từ nhiều nguồn khác nhau và các hành vi của người đó để phát hiện các mối quan hệ mờ ám, không rõ ràng Hiện nay nó được chính phủ và khu vực tư nhân Mỹ khai thác khả năng ―Profiling” phục vụ cho yêu cầu an ninh 07-11
  12. I. Đạo đức trong Hệ thống thông tin 1.2. Các vấn đề về chuẩn mực hành vi – mô hình PAPA Richard O. Mason (1986) trong bài báo ―Four Ethical Issues of the Information Age.‖ đưa ra các vấn đề liên quan đạo đức trong kỹ nguyên thông tin: • Quyền riêng tư • Tính chính xác • Quyền sở hữu thông tin • Quyền tiếp cận thông tin 07-12
  13. I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi Mô hình PAPA – Richard O. Mason (1986) Nguyên tắc đạo đức: Chúng ta phải bảo đảm rằng công nghệ thông tin, và các thông tin được xử lý, được sử dụng để nâng cao phẩm cách của nhân loại Mối đe dọa • Sự phát triển của IT, với khả năng ngày càng nâng cao của nó để giám sát, truyền thông, tính toán, lưu trữ, và phục hồi. Problems • Thông tin ngày càng có giá trị cao trong việc ra quyết định Privacy Accuracy Property Accessibility • WHAT thông tin cá nhân hoặc hiệp hội của một cá nhân mà người đó có thể tiết lộ cho người khác; trong những điều kiện gì và những biện pháp gì để bảo vệ Issues • WHAT người ta có thể giữ riêng cho bản thân mà không bị bắt buộc phải tiết lộ cho người khác? 07-13
  14. I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi Mô hình PAPA – Richard O. Mason (1986) Nguyên tắc đạo đức: Chúng ta phải bảo đảm rằng công nghệ thông tin, và các thông tin được xử lý, được sử dụng để nâng cao phẩm cách của nhân loại Thông tin sai lạc quyết định sai lầm, đặc biệt khi chúng nằm Problems trong tay những người có lợi thế về quyền lực Privacy Accuracy Property Accessibility • WHO chịu trách nhiệm về khả năng xác thực, tính trung thực và chính xác của thông tin? • WHO có trách nhiệm giải trình về sai sót trong thông tin và Issues phải hành xử gì khi bị tổn thương? 07-14
  15. I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi Mô hình PAPA – Richard O. Mason (1986) Nguyên tắc đạo đức: Chúng ta phải bảo đảm rằng công nghệ thông tin, và các thông tin được xử lý, được sử dụng để nâng cao phẩm cách của nhân loại • Các vấn đề đa dạng và tập trung vào lãnh vực tài sản trí tuệ Problems quyền chiếm hữu, định đoạt và sử dụng Privacy Accuracy Property Accessibility • WHO sở hữu thông tin? • WHAT giá hợp lý và công bằng khi trao đổi thông tin? • WHO sở hữu các kênh truyền, đặc biệt là kênh truyền thông? Issues • HOW được phép truy cập vào các nguồn tài nguyên khan hiếm đó? 07-15
  16. I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi Mô hình PAPA – Richard O. Mason (1986) Nguyên tắc đạo đức: Chúng ta phải bảo đảm rằng công nghệ thông tin, và các thông tin được xử lý, được sử dụng để nâng cao phẩm cách của nhân loại Trình độ Tin học – Computer Literacy • 3 Rs: Read, wRite, aRithmetic + computeR Khoảng cách số – Digital Divide Problems • ― Knowledge is Power‖ Francis Bacon, 1597 Privacy Accuracy Property Accessibility • WHAT thông tin nào cá nhân hoặc tổ chức có quyền/ đặc ân để có được, trong các điều kiện gì và với các biện pháp bảo vệ gì? Issues 07-16
  17. I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi 1.2.1. Quyền riêng tư (Information Privacy) Quyền riêng tư – Quyền được ở một mình, tự do không bị theo dõi hoặc can thiệp bởi các cá nhân, tổ chức, hoặc nhà nước; Quyền được kiểm soát thông tin bản thân Các vấn đề • ―Privacy‖ vs ―Freedom of Speech‖ • Kỹ nguyên thông tin đã tác động thế nào đến ―Privacy‖ ? • Mối quan hệ hỗ tương về lợi ích giữa người thu thập thông tin cá nhân với cá nhân đó. Cá nhân có thể tiết lộ hoặc giữ bí mật các thông tin? Tổ chức được quyền thu thập thông tin gì; và được làm gì với các thông tin thu thập được? Mô hình ―Opt-out‖ vs ―Opt-in‖ • HOW bảo vệ ―Privacy‖? 07-17
  18. I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi 1.2.1. Quyền riêng tư – HOW – FTC FIP Principles Federal Trade Commission (FTC) đưa ra các nguyên tắc ―Fair Information Practices (FIP)‖ • Thông báo / nhận thức (nguyên tắc cốt lõi) Website phải báo cho cá nhân biết trước khi thu thập dữ liệu. • Lựa chọn / đồng ý (nguyên tắc cốt lõi) Người tiêu dùng phải có khả năng lựa chọn việc thông tin của họ được sử dụng ra sao cho các mục tiêu thứ cấp. • Truy cập / tham gia Người tiêu dùng phải có khả năng xem xét và tranh luận về sự chính xác của dữ liệu cá nhân. • An ninh Người thu thập dữ liệu phải thực hiện các bước nhằm đảm bảo tính chính xác, bảo mật của dữ liệu cá nhân. • Thực thi Phải có cơ chế để đảm bảo việc tuân thủ các nguyên tắc FIP. 07-18
  19. I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi 1.2.1. Quyền riêng tư – THREADS – Internet challenges to privacy • Cookies nhận dạng trình duyệt và theo dõi việc ghé thăm trang web. Super cookie (Flash cookies) • Web beacons (Web bugs): hình ảnh đồ họa nhỏ nhúng trong e-mail và các trang Web để giám sát người đang đọc tin nhắn e-mail hoặc truy cập vào trang web • Spyware: ứng dụng ―gián điệp‖ cài trên máy trạm nhằm lén lút thu thập thông tin cá nhân. • Identify Theft mạo danh • Dịch vụ của Google và ―behavioral targeting‖ 07-19
  20. 3. Tài sản thông tin – Information Property Thu thập và sử dụng Cookies – là các tập tin ―văn bản‖ được các WebSite viết và lưu trú trên đĩa cứng của máy trạm nhằm lưu các thông tin về người dùng khi họ duyệt WebSite đó 07-20
  21. 3. Tài sản thông tin – Information Property Thu thập và sử dụng Spyware – ứng dụng ―gián điệp‖ cài lén lên máy trạm nhằm thu thập thông tin cá nhân một cách bất hợp pháp Thông tin thu thập dùng để: • Lừa đảo (Identify Theft ) • Bán cho các công ty quảng cáo, spammers • Sửa đổi hoạt động trình duyệt như quảng cáo, thêm ad banners, pop- ups, (Adware) • 07-21
  22. I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi 1.2.1. Quyền riêng tư (Information Privacy) – Mạo danh (Identify Theft) Identify Theft – việc đánh cắp các thông tin cá nhân (SSN, tài khoản, số thẻ tín dụng, ) để hưởng lợi bất chính như rút tiền, mua hàng, vay nợ Các vấn đề • ―Vô hình‖ đối với nạn nhân • Khó phát hiện và sửa đổi • Gây tổn thất về pháp lý và đôi khi không phục hồi được 07-22
  23. I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi 1.2.1. Quyền riêng tư (Information Privacy) – Mạo danh (Identify Theft) Phishing – Hình thức lường gạt để lấy tài khoản, số thẻ tín dụng • Giả mạo WebSite hợp pháp. • Ngụy tạo thông điệp gạt người sử dụng chuyển đến các WebSite ―giả mạo‖ 07-23
  24. I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi 1.2.1. Quyền riêng tư – THREADS – Technical solutions • Điều lệ thành viên (Privacy Policy ) Tìm hiểu trước khi đăng ký thành viên • Mật khẩu (Password ) Mật khẩu ―tốt‖, mật khẩu ―nhân trắc học‖ (Biometrics) • Email – Sử dụng nhiều tài khoản với các phạm vi sử dụng khác nhau • Công cụ Anti-Spyware • Công cụ sẵn có trong trình duyệt Chế độ duyệt vô danh “Private” Tùy chọn “Do not track” • Xác thực người máy CAPCHA • Truy cập Wifi – SSID, PIN / MAC Address • 07-24
  25. I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi 1.2.1. Quyền riêng tư – HOW – Điều lệ Privacy Statement Privacy Statements được các tổ chức thu thập thông tin nêu ra về cách thức họ dự định sử dụng chúng gồm 2 loại • Internal Use – chỉ dùng trong phạm vi tổ chức • External Use – có thể bán ra bên ngoài Vấn đề: Người dùng có thật sự xem và hiểu điều lệ không ? 07-25
  26. I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi 1.2.1. Quyền riêng tư (Information Privacy) – Top-10 Passcode (Daniel Amitay) Total 204,508 Record Passcodes 07-26
  27. I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi 1.2.1. Quyền riêng tư (Information Privacy) – Password strength 07-27
  28. I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi 1.2.2. Tính chính xác (Information Accuracy) Information Accuracy – các vấn đề liên quan đến tính xác thực về nguồn gốc và sự đúng đắn của thông tin cũng như việc xác định ai chịu trách nhiệm đối với các thông tin sai lệch gây nguy hại đến người khác Các yếu tố gây lỗi • Lỗi kỹ thuật – lỗi giải thuật, truyền thông và/hay quá trình xử lý khi nhận, xử lý, lưu trữ, và trình bày thông tin. Lỗi này xãy ra trong quá trình phân tích, thiết kế, và xây dựng IS • Lỗi do người sử dụng – trong quá trình nhập liệu, khai thác và quản lý hệ thống • Do tội phạm 07-28
  29. I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi 1.2.3. Quyền sở hữu thông tin (Information Property) Quyền sở hữu thông tin – các vấn đề liên quan đến ai là người sở hữu thông tin và cách thức thông tin được mua bán hay trao đổi Tài sản trí tuệ: (Intellectual property) tài sản vô hình, thành quả của ―tư duy trí tuệ‖ của cá nhân hay tổ chức Ví dụ: các phát minh; các tác phẩm nghệ thuật và văn học; các biểu tượng, hình ảnh, tên, thiết kế dùng trong thương mại: thông tin Quyền chiếm hữu Quyền sở hữu Quyền sử dụng Quyền định đoạt 07-29
  30. I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi 1.2.3. Quyền sở hữu thông tin – Phương thức bảo hộ chủ yếu • Bí mật thương mại (Trade secret) sản phẩm hay công việc ―trí tuệ‖ thuộc sở hữu tổ chức và không công bố i.e. công thức sản xuất Coca-Cola. • Tác quyền (Copyright): bảo hộ tài sản trí tuệ gồm quyền tái bản, in ấn và trình diễn hay trưng bày tác phẩm của mình trước công chúng cho đến 50 năm kể từ khi tác giả qua đời (công ước Berne, 1886) • Bằng sáng chế (Patents): nhà phát minh được toàn quyền ngăn chặn người khác không được áp dụng, sử dụng và bán một phát minh đã được cấp bằng sáng chế trong 20 năm sau khi công bố để đổi lại việc công bố chi tiết phát minh cho công chúng. 07-30
  31. I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi 1.2.3. Quyền sở hữu thông tin – Bản quyền phần mềm 07-31
  32. I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi 1.2.3. Quyền sở hữu thông tin – Bản quyền phần mềm 07-32
  33. I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi 1.2.3. Quyền sở hữu thông tin – Creative Common licenses • Chuẩn cấp phép chia sẻ và sử dụng tài sản trí tuệ • Công cụ tuân thủ, bảo vệ bản quyền; giúp cho phép tác giả thay đổi các điều khoản bản quyền qua các yếu tố tùy chọn sao cho phù hợp nhất BY – Attribution Ghi công - bắt buộc NC – NonCommercial Phi thương mại ND – NoDerivs Không có tác phẩm phái sinh SA – Share Alike Chia sẻ tương tự 07-33
  34. I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi 1.2.3. Quyền sở hữu thông tin – Software Piracy Ăn cắp bản quyền phần mềm (Software Piracy) – hành vi sao chép, phân phối bất hợp pháp các phần mềm có bản quyền (copyrighted software) Nguyên nhân • Lý do kinh tế • Sự khác biệt về nhận thức giữa các quốc gia về “sở hữu trí tuệ (intellectual property)” • Thiếu hiểu biết Nguồn: BSA, "2011 BSA Global Software Piracy Study, Ninth Edition“ 07-34
  35. I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi 1.2.3. Quyền sở hữu thông tin – Cybersquatting Mua bán tên miền (Cybersquatting) – Việc đăng ký tên miền rồi bán lại để hưởng lợi Tên miền được các tổ chức và cá nhân đăng ký sử dụng nhằm mục đích thông qua đó góp phần quảng bá về tổ chức, sản phẩm, dịch vụ, tiến hành các hoạt động thương mại và phi thương mại trong môi trường Internet toàn cầu. Giải quyết tranh chấp về đăng ký, sử dụng tên miền quốc gia Việt Nam ―.vn‖ (Luật CNTT số: 67/2006/QH11) • Thông qua thương lượng, hòa giải • Thông qua Trọng tài • Khởi kiện tại Tòa án 07-35
  36. I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi 1.2.4. Quyền tiếp cận thông tin (Information Accessibility) • Information Accessibility –ai có quyền thu thập, thông tin riêng cá nhân/ tổ chức khác và cách thức sử dụng chúng WHO • Chánh phủ – sử dụng các phần mềm tiên tiến (e.g Carnivore), kiểm soát tức thời hoặc sau đó các lưu lượng email, và tất cả các hoạt động lên mạng • Người sử dụng lao động – có quyền (trong phạm vi giới hạn) giám sát, hoặc truy xuất các hoạt động trên các máy tính hay mạng của công ty khi họ đã công bố chính sách đó với nhân viên • Công chúng • . 07-36
  37. I. Đạo đức trong Hệ thống thông tin 1.3. Chuẩn mực hành vi đạo đức Chuẩn mực hành vi – xuất phát từ nhiều nguồn khác nhau 1. Luật pháp Hành vi cấm hay KHÔNG cấm ngoài xã hội Hệ thống luật pháp: về CNTT, về TMĐT 2. Quy định cơ quan, quy ước trong cộng đồng xã hội Hành vi cấm hay KHÔNG cấm trong nhóm xã hội Nội quy tổ chức về an toàn thông tin 3. Đạo đức Hành vi ―KHÔNG‖ vi phạm luật pháp 1. Nguyên tắc đạo đức 2. ―De facto‖ The Ten Commandments of Computer Ethics‖ 07-37
  38. I. Đạo đức trong IS – 1.3. Chuẩn mực hành vi đạo đức 1.3.1. Khung pháp lý về CNTT ở Việt Nam – Đối tượng điều chỉnh Bản chất Quan hệ dân sự (nghĩa vụ dân sự và hợp đồng dân sự) giao dịch Bộ luật Hoạt động kinh doanh Trách nhiệm dân sự và nghĩa vụ của các Luật Giao dịch TMĐT bên trong Các doanh hoạt động nghiệp cơ chế kinh doanh giải quyết tranh Luật Hệ thống Hệ thống chấp thương Luật CNTT Luật TMDT mại Hình thức dân sự giao dịch Báo cáo TMDT tại Việt nam 2013 (trang 12) 07-38
  39. I. Đạo đức trong IS – 1.3. Chuẩn mực hành vi đạo đức 1.3.1. Khung pháp lý về CNTT ở Việt Nam – Luật và NĐ hướng dẫn Luật Giao dịch điện tử Luật Công nghệ thông tin 51/2005/QH11 67/2006/QH11 Nghị định về TMĐT Nghị định về Nghị định về dịch vụ chống thư rác Internet và cung cấp thông tin trên Internet Nghị định về GDĐT trong hoạt động tài chính Nghị định về Nghị định về ứng dụng chữ ký số và CNTT trong cơ quan NN dịch vụ chứng thực Nghị định về GDĐT chữ ký số trong hoạt động ngân hàng Nghị định về cung cấp thông tin và dịch vụ công trực tuyến trên Website cơ quan NN 07-39
  40. I. Đạo đức trong IS – 1.3. Chuẩn mực hành vi đạo đức 1.3.1. Khung pháp lý về CNTT ở Việt Nam – Các Nghị định về xử lý vi phạm Ngày Xử lý vi phạm hành chính VB căn cứ 10/04/2007 Nghị định số 63/2007/NĐ-CP quy định xử phạt vi phạm Luật quảng hành chính trong lĩnh vực công nghệ thông tin cáo 20/09/2011 Nghị định số 83/2011/NĐ-CP quy định về xử phạt vi phạm Luật Viễn hành chính trong lĩnh vực viễn thông thông 12/11/2013 Nghị định số 158/2013/NĐ-CP quy định xử phạt vi phạm Luật CNTT hành chính trong lĩnh vực văn hoá, thể thao du lịch và quảng cáo 13/11/2013 Nghị định số 174/2013/NĐ-CP quy định xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, công nghệ thông tin và tần số vô tuyến điện 15/11/2013 Nghị định số 185/NĐ-CP quy định xử phạt vi phạm hành chính trong hoạt động thương mại, sản xuất, buôn bán hàng giả, hàng cấm và bảo vệ quyền lợi người tiêu dùng 07-40
  41. I. Đạo đức trong IS – 1.3. Chuẩn mực hành vi đạo đức 1.3.2 Chuẩn mực đạo đức – Candidate ethical principles Nguyên tắc đạo đức • Golden Rule: “Do unto others as you would have them do unto you.‖ • Categorical Imperative (Immanuel Kant): ―If an action is not right for everyone to take, it is not right for anyone.‖ • Rule of Change (Descartes): ―If an action cannot be taken repeatedly, it is not right to take at all.‖ • Utilitarian Principle: ―Take the action that achieves the higher or greater value.‖ • Risk Aversion Principle: ―Take the action that produces the least harm or potential cost.‖ • Ethical ―No Free Lunch‖ Rule: “Assume that virtually all tangible and intangible objects are owned by someone unless there is a specific declaration otherwise.” 07-41
  42. I. Đạo đức trong IS – 1.3. Chuẩn mực hành vi đạo đức 1.3.2 Chuẩn mực đạo đức – Candidate ethical principles Chuẩn mực hành vi nghề nghiệp – những cam kết nghề nghiệp để điều chỉnh cá nhân hướng tới lợi ích chung của xã hội Do các hiệp hội nghề nghiệp ban hành, i.e. Ngành Y, Ngân hàng, Luật, Máy tính, Các tình huống “tiến thoái lưỡng nan” Xung đột về lợi ích nhóm. Ví dụ: Tự động hóa quá trình kinh doanh Tăng năng suất và giảm lao động 07-42
  43. I. Đạo đức trong IS – 1.3. Chuẩn mực hành vi đạo đức 1.3.2 Chuẩn mực đạo đức – The Ten Commandments of Computer Ethics Thou shalt NOT 1. Use a computer to harm other people. 2. Interfere with other people's computer work. 3. Snoop around in other people's computer files. 4. Use a computer to steal. 5. Use a computer to bear false witness. 6. Copy or use proprietary software for which you have not paid. 7. Use other people's computer resources without authorization or proper compensation. 8. Appropriate other people's intellectual output. 07-43
  44. I. Đạo đức trong IS – 1.3. Chuẩn mực hành vi đạo đức 1.3.2 Chuẩn mực đạo đức – The Ten Commandments of Computer Ethics Thou shalt 9. think about the social consequences of the program you are writing or the system you are designing. 10.always use a computer in ways that insure consideration and respect for your fellow humans. 07-44
  45. Video Case – Google_data_center_security_YouTube (7-00) II. An ninh Hệ thống thông tin Yêu cầu: Ghi nhận và phân loại 2.1. Systemnhững Vulnerability biện and pháp Abuse – anKhả năngninh dễ đượcbị tổn thương và lạm dụng của IS 2.2. BusinessGoogle Value sử of Security dụng and được Control mô tả 2.2. Biện pháp quản trị an ninh Establishingtrong a Frameworkclip trên for Security and Control 2.3. Phòng chống các hiểm họa an ninh Technologies and Tools for Protecting Information Resources 45
  46. II. An ninh hệ thống thông tin 2.1. Rủi ro trong HTTT 2.2. Quản trị an ninh HTTT 46
  47. II. An ninh hệ thống thông tin – 2.1. Rủi ro trong IS Khái niệm • An ninh: Chính sách, thủ tục và biện pháp kỹ thuật được sử dụng để ngăn chặn truy cập trái phép, thay đổi, trộm cắp, hoặc thiệt hại vật chất cho hệ thống thông tin • Kiểm soát: Phương pháp, chính sách, thủ tục để đảm bảo an toàn cho tài sản của tổ chức; độ chính xác và tin cậy của hồ sơ kế toán; và việc tuân thủ tiêu chuẩn quản lý của các hoạt động tác nghiệp. 07-47
  48. II. An ninh hệ thống thông tin – 2.1. Rủi ro trong IS Phân loại rũi ro • Rủi ro khách quan, thiên tai – Mất điện, hỏa hạn – Chuột bọ • Rủi ro về hệ thống hạ tầng (thiết bị, phần mềm và đường truyền) mất cắp, hư hỏng, Wifi • Rủi ro do con người: trong và ngoài tổ chức 07-48
  49. II. An ninh hệ thống thông tin – 2.1. Rủi ro trong IS Rũi ro do con người Chưa có sự phân biệt rõ ràng về các đối tượng xâm hại IS • Bốn loại chính – Nhân viên hiện và đã làm việc trong tổ chức • 85-95% việc xâm hại đến hoạt động kinh doanh là từ nguồn bên trong – Các cá nhân có chuyên môn kỹ thuật thực hiện vì mưu lợi riêng – Tội phạm chuyên nghiệp sử dụng máy tính để hỗ trợ thực hiện hành vi tội phạm – Crackers bên ngoài tìm kiếm các thông tin có giá trị • Khoảng 12% sự tấn công của crackers gây nguy hại 11-49
  50. II. An ninh hệ thống thông tin – 2.1. Rủi ro trong IS Minh họa Minh họa các vấn đề về an ninh và các lỗ hổng trong một ứng dụng database trên nền Web 3 tier. 07-50
  51. II. An ninh hệ thống thông tin – 2.1. Rủi ro trong IS Hacking and Cracking Hackers – cá nhân truy cập trái phép vào IS • Xuất hiện vào những năm 1960s • Ban đầu vì mục đích tìm hiểu không gây hại Crackers – cá nhân đột nhập hệ thống máy tính với ý đồ xâm hại hoặc thực hiện hành vi phạm tội. Cyberterrorism – sử dụng máy tính và mạng để gây nguy hại đến cá nhân hay tài sản nhằm hăm dọa hoặc bắt buộc chính phủ, dân chúng, hoặc bộ phận bất kỳ của xã hội vì các mục tiêu chính trị, tôn giáo, hoặc lý thuyết nào đó 07-51
  52. II. An ninh hệ thống thông tin – 2.1. Rủi ro trong IS Các hình thức xâm hại Tội phạm Mô tã Data Việc thay đổi dữ liệu vào và ra của 1 máy tính. Ví dụ: diddling nhân viên đột nhập vào hệ thống chấm công để thay đổi số giờ làm việc, qua đó nâng thu nhập. Salami Hình thức data diddling với giá trị thay đổi đủ nhỏ để hệ slicing thống không phát hiện. Ví dụ nhân viên ngân hàng rút vài trăm đồng từ hàng ngàn tài khoản để chuyển vào tài khoản đăng ký bằng tên giả. Phreaking Tấn công máy tính của công ty viễn thông nhằm thực hiện các cuộc gọi đường dài không mất tiền Cloning Tấn công mạng di động qua đánh cắp mã số máy người khác để sử dụng dịch vụ cell phone ―không tốn tiền‖ Carding Thường chỉ việc lấy cắp số thẻ tín dụng trên mạng để bán lại hoặc mua hàng bằng tài khoản của người bị hại 07-52
  53. II. An ninh hệ thống thông tin – 2.1. Rủi ro trong IS Các hình thức xâm hại Tội phạm Mô tã Piggybacking/ Xem lén số PIN khi nạn nhân rút tiền thẻ ATM shoulder- làm giả thẻ để rút tiền của nạn nhân surfing Social Mạo danh nhà báo, nhân viên điện thoại, hoặc Engineering người thân để nạn nhân tiết lộ mật khẩu và các thông tin khác. Thông tin đó được dùng để đột nhập vào hệ thống máy tính để lấy cắp Dumpster Đơn giản là moi rác văn phòng để lấy cắp chứng từ, diving tài liệu . Spoofing Lấy cắp tài khoản bằng cách giả mạo màn hình đăng nhập 07-53
  54. II. An ninh hệ thống thông tin 2.1. Rủi ro trong HTTT 2.2. Quản trị an ninh HTTT Video: security.swf 54
  55. II. An ninh Hệ thống Thông tin – 2.2. Quản trị an ninh HTTT Các biện pháp quản trị an toàn Quản trị an ninh hệ thống thông tin – Các biện pháp phòng chống giữ cho tất cả các lãnh vực hoạt động hệ thống thông tin được an toàn khỏi các hành vi truy cập trái phép Kiểm soát Quản trị rũi ro truy xuất Biện pháp Sao lưu và Chính sách và phục hồi thủ tục an ninh 07-55
  56. II. An ninh Hệ thống Thông tin – 2.2. Quản trị an ninh HTTT 2.2.1 Quản trị rũi ro • Kiểm toán mức độ an ninh nhận dạng mọi lãnh vực hệ thống thông tin và các quá trình kinh doanh • Phân tích rũi ro xác định giá trị và tổn thất tài sản bảo vệ • Xây dựng phương án dựa trên phân tích rũi ro – Giảm thiểu rũi ro – hiện thực các phương án tích cực để bảo vệ hệ thống (e.g. firewalls) – Chấp nhận rũi ro – Xử lý khi rũi ro phát sinh – Chuyển đổi rũi ro – e.g. mua bảo hiểm 07-56
  57. II. An ninh Hệ thống Thông tin – 2.2. Quản trị an ninh HTTT 2.2.2 Kiểm soát truy xuất – Biện pháp quản trị Biện pháp đảm bảo an ninh bằng cách chỉ cho phép truy xuất những gì cần để làm việc • Xác thực (Authentication) – xác thực nhân thân trước khi truy xuất (e.g. passwords) • Cấp quyền truy xuất (Access Control) – chỉ cấp quyền trong những lãnh vực của hệ thống mà người dùng được quyền (e.g. accouting) 07-57
  58. II. An ninh Hệ thống Thông tin – 2.2. Quản trị an ninh HTTT 2.2.3. Thủ tục và chính sách – Ex. Acceptable use policies 7-58
  59. II. An ninh Hệ thống Thông tin – 2.2. Quản trị an ninh HTTT 2.2.3. Thủ tục và chính sách – Biện pháp về con người (phi kỹ thuật) Acceptable Use Policies – Tài liệu chính thức về cách thức sử dụng, mục tiêu và các xử lý khi không phù hợp – WHO Phân loại đối tượng sử dụng hệ thống người dùng tin cậy và ―cần chăm sóc‖ – HOW phương thức quản lý và xử lý 07-59
  60. II. An ninh Hệ thống Thông tin – 2.2. Quản trị an ninh HTTT 2.2.4. Sao lưu và phục hồi – Biện pháp kỹ thuật • Sao lưu – định kỳ sao chép dự phòng các dữ liệu hệ thống thiết yếu và lưu vào nơi an toàn (e.g. backup tape) • Hoạch định phục hồi sự cố – các thủ tục chi tiết dược dùng để khôi phục khả năng truy xuất đến các hệ thống chủ yếu (e.g. viruses hay hỏa hoạn) • Phục hồi sự cố – thực hiện các thủ tục phục hồi bằng cách dùng công cụ backup để phục hồi hệ thống về trạng thái gần nhất trước khi nó bị tổn thất 07-60
  61. II. An ninh Hệ thống Thông tin – 2.2. Quản trị an ninh HTTT Thống kê các kỹ thuật an toàn được sử dụng (%đvị khảo sát) CSI 2007 2007: 484 Respondents 2006: 616 Respondents 07-61
  62. II. An ninh Hệ thống Thông tin – 2.2. Quản trị an ninh HTTT 2.2.5. Hoạch định an ninh HTTT Kế hoạch an ninh IS – văn bản tổng hợp tất cả biện pháp được chuẩn bị sẵn để bảo vệ tài sãn thông tin của tổ chức Ba nội dung phải thực hiện • Security Audit – Xác định tất cả các tài sãn về IS của tổ chức gồm phần cứng, phần mềm, tài liệu, các quy trình thủ tục, con người, dữ liệu, phương tiện và nguồn cung cấp. • Risk Analysis – Xác định tất cả các rũi ro có thể xãy ra gây tổn thất đến tài sãn thông tin. Xếp hạng theo tần suất xuất hiện. Ước lượng tổn thất đối với từng rũi ro bao gồm cả tổn thất về kinh doanh • Alternatives – Đối với từng rũi ro, xác định các phương án xử lý gồm các biện pháp phát hiện, ngăn ngừa và khôi phục tồn thất 07-62
  63. II. An ninh Hệ thống Thông tin – 2.2. Quản trị an ninh HTTT 2.2.5. Hoạch định an ninh HTTT – IS Security Plan Trình tự xây dựng kế hoạch an ninh HTTT – 5 bước Bước 1. Phân tích rủi ro • Xác định giá trị thông tin số của tổ chức • Đánh giá mối đe dọa đến tính bảo mật, tính toàn vẹn và tính sẵn sàng của thông tin • Xác định hoạt động dễ gây tổn thương đến hệ thống • Đánh giá chính sách an ninh hiện tại • Đề nghị thay đổi phương thức hiện có để cải thiện an ninh 7-63
  64. II. An ninh Hệ thống Thông tin – 2.2. Quản trị an ninh HTTT 2.2.5. Hoạch định an ninh HTTT – IS Security Plan Bước 2. Các chính sách và thủ tục – hành động được thực hiện nếu có sự vi phạm an ninh • Information Policy – xử lý các thông tin nhạy cảm • Security Policy – kiểm soát về kỹ thuật vấn đề an ninh IS của tổ chức • Use Policy – quy định việc sử dụng trong nội bộ tổ chức • Backup Policy – chính sách sao lưu • Account Management Policy – thủ tục thêm người dùng mới • Incident Handling Procedures – xử lý vi phạm an ninh • Disaster Recovery Plan – phục hồi hoạt động máy tính 7-64
  65. II. An ninh Hệ thống Thông tin – 2.2. Quản trị an ninh HTTT 2.2.5. Hoạch định an ninh HTTT – IS Security Plan Bước 3. Triển khai thực hiện • Triển khai các biện pháp an ninh về phần cứng, phần mềm và an ninh mạng • Phổ biến ID và smart cards. • Phân công trách nhiệm của bộ phận IS Bước 4. Đào tạo nhân viên của tổ chức Bước 5. Kiểm toán • Đánh giá việc tuân thủ chính sách • Kiểm tra thâm nhập 7-65
  66. II. An ninh Hệ thống Thông tin – 2.2. Quản trị an ninh HTTT 2.2.5. Hoạch định an ninh HTTT – IS Security Plan Disaster Recovery Plan • Xác định thời gian phục hồi khi có sự cố Thời gian phục hồi tối đa cho phép ?? • Xác định trạng thái khôi phục Phương án backup: định kỳ, thường xuyên 7-66
  67. The End 67
  68. Security.swf 07-69
  69. I. Đạo đức trong Hệ thống thông tin 1.2. Các vấn đề về chuẩn mực hành vi – mô hình PAPA 07-70
  70. I. Đạo đức trong Hệ thống thông tin 1.2. Các vấn đề về chuẩn mực hành vi – mô hình PAPA – Case Study 07-71
  71. I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi 1.2.3. Quyền sở hữu thông tin – Software Piracy 07-72
  72. Hoạt động – A you a ―Netizen‖ ?? Look and Think Video Case: Yêu cầu: Chủ đề và nội dung chính của clip security.swf 07-73
  73. Hoạt động – A you a ―Netizen‖ ?? Chia sẽ – Teamwork Chia sẻ theo nhóm: Mỗi nhóm (cùng bàn) trao đổi về nội dung đoạn phim. (thời gian 2 phút) Yêu cầu: 1. Căn cứ vào nội dung clip và kinh nghiệm cá nhân Liệt kê Top-6 các nguy cơ (phương tiện gây hại) thường gặp nhất? 2. Sắp thứ tự từ cao xuống thấp 07-74
  74. Hoạt động 1 – Người tiêu dùng ―sành điệu‖ Trò chơi chung sức 3. Đánh giá: đúng tên + 10/ 1 mục, đúng vị trí +20 điểm/ 1 mục 1 Virus / sâu: 20% 2 Spyware / Malware: 14% 3 Truy cập Wi-Fi: 9% 4 Email / Tập tin đính kèm: 9% 5 Phishing / Đánh cắp ID: 5% 6 Remote access: 5% Nguồn: CompTIA, Báo Tuổi Trẻ Thứ Hai, 03/12/200707 -75
  75. II. Tội phạm máy tính 1. Các hành vi truy xuất bất hợp pháp Computer Crime –sử dụng máy tính để thực hiện các hành vi không hợp pháp như: • Tấn công vào hệ thống máy tính gây sự cố hư hỏng thiết bị và thông tin lưu trữ (e.g đăng nhập trái phép để xóa dữ liệu, DoS attach) • Sử dụng máy tính để tấn công đến IS khác (e.g. lấy cắp số PIN khách hàng của 1 tổ chức) • Sử dụng máy tính làm công cụ hỗ trợ các hành vi tội phạm (e.g. sử dụng máy tính để giao dịch bất hợp pháp) 07-76
  76. 1. Các hành vi truy xuất bất hợp pháp Truy xuất trái phép • Truy cập trái phép sử dụng hệ thống máy tính mà họ không được cấp quyền sử dụng Trường hợp nào sau đây là truy cập trái phép • Nhân viên sử dụng thời gian làm việc ở công sở để kinh doanh riêng • Đột nhập vào Website của đối thủ để sửa thông tin hiển thị trên đó • An trộm tài khoản và mật khẩu thẻ tín dụng để mua hàng hóa 07-77
  77. 1. Các hành vi truy xuất bất hợp pháp Unauthorized computer access 07-78
  78. 1. Các hành vi truy xuất bất hợp pháp Phân loại đối tượng Unauthorized Access 2004 Survey by Computer Security Institute 07-79
  79. 5. Virus máy tính Mã phá hoại + nhân bản Viruses • Khả năng nhân bản • Hành vi: xóa hoặc phá hủy tập tin • Boot Sector viruses – tấn công boot sector • File Infector viruses – tấn công tập tin như .doc, .exe, • Attachment viruses – lây theo tập tin đính kèm Worms • Không phá hủy tập tin • Được thiết kế để sao chép và truyền gửi • Làm chậm hệ thống 07-82
  80. 5. Virus máy tính Mã phá hoại + nhân bản 07-83
  81. 5. Virus máy tính Mã phá hoại + không có khả năng nhân bản Trojan Horses Các chương trình này không có khả năng nhân bản nhưng có thể gây nguy hại bằng cách chạy ẩn các chương trình trên máy bị nhiểm (i.e một số game tự tạo account trên máy để truy cập trái phép) Logic or Time Bombs Biến thể Trojan Horse (không nhân bản và ẩn mình) được thiết kế để chờ sự kiện kích hoạt. (i.e. nhân viên lập trình sẽ phá hoại khi họ nghĩ việc) • Time Bombs – kích hoạt bởi thời gian (e.g. sinh nhật) • Logic Bombs – kích hoạt bởi tác vụ nào đó (e.g. nhập mật khẩu nào đó) 07-84
  82. a. Firewall Kiến trúc Firewall - “gia đình” Internet Service Provider (ISPs) always-on connection broadband modem (DSL/ cable) 07-85
  83. a. Firewall Kiến trúc Firewall – LAN Internet Service Provider (ISPs) 07-86
  84. a. Firewall Kiến trúc Firewall đa lớp – mạng doanh nghiệp Internet Service Provider (ISPs) 07-87
  85. 2. Các hiểm họa về an ninh và Kỹ thuật phòng chống b. Spyware, Spam, Cookies Spyware Các phần mềm thu thập thông tin cá nhân về 1 người dùng nào đó qua kết nối Internet một cách bí mật • Vấn đề: chiếm dụng tài nguyên bộ nhớ, băng thông, có khả năng gây làm máy tính hoạt động mất ổn định • Bảo vệ: Firewalls và các phần mềm chống Spyware Spam Thư điện tử hoặc bản tin với ―khối lượng lớn‖ gửi nhằm mục đích quảng cáo sản phẩm/ dịch vụ nào đó • Vấn đề: phiền hà, mất thời gian xóa bỏ, chiếm đĩa • Bảo vệ: phần mềm ―Spam Blocker‖ Cookies Thông điệp web server gửi tới trình duyệt lưu trữ thông tin và trạng thái người dùng • Vấn đề: có thể lợi dụng để theo dõi hành vi người dùng • Bảo vệ: thiết lập trình duyệt, firewall 07-88
  86. 2. Các hiểm họa về an ninh và Kỹ thuật phòng chống c. Biometrics Sinh trắc học – Biometrics • Kỹ thuật nhận dạng phức tạp dùng để hạn chế truy xuất hệ thống, dữ liệu, hoặc các phương tiện • Sử dụng các đặc tính sinh học khó làm giả để nhận dạng cá nhân như vân tay, võng mạc, • Có khả năng an ninh cao 07-89
  87. 2. Các hiểm họa về an ninh và Kỹ thuật phòng chống d. Wireless LAN Truy xuất mạng không dây trái phép Vấn đề: khả năng xâm nhập mạng, lấy dữ liệu, hoặc dùng các dịch vụ mạng để tấn công mà không cần phải vào trong khu vực Bảo vệ: Mã hóa 07-90
  88. 2. Các hiểm họa về an ninh và Kỹ thuật phòng chống e. VPN và Mã hóa VPN (Virtual Private Network) • Còn gọi là secure tunnel • Tạo kết nối động cho các người dùng và các nodes • Sử dụng 2 kỹ thuật xác thực (authentication) và mã hóa encryption • Sử dụng phổ biến để cho truy cập từ xa (remote access) Mã hóa – Encryption • Quá trình mã hóa dữ liệu trước khi truyền lên mạng và giãi mã ở bên nhận • Public Key – biết trước và dùng để gửi thông điệp • Private Key – không biết và dùng để mở thông điệp • Certificate Authority – tổ chức trung gian phát hành khóa 07-91
  89. 2. Các hiểm họa về an ninh và kỹ thuật phòng chống Cơ chế hoạt động của mã khóa công khai 07-92
  90. 2. Các hiểm họa về an ninh và Kỹ thuật phòng chống f. Virus Virus Các chương trình tấn công máy tính hoặc mạng và hủy bỏ thông tin, làm hư phần mềm, sử dụng cạn kiệt các nguồn lực ,,, ,,, Phòng chống 1. Sử dụng các phần mềm Antivirus 2. Cấm disk sharing 3. Xóa các email ―nghi ngờ‖ Đừng mở mà xóa ngay lập tức các email ―có khả năng chứa virus‖ 4. Thông báo sự xuất hiện của virus mới cho quản trị hệ thống mạng 07-93
  91. 1. Các biện pháp quản trị an toàn Xử lý khi bị sự cố (% đvị khảo sát) 07-94
  92. III. An ninh Hệ thống Thông tin 2. Các hiểm họa về an ninh và Kỹ thuật phòng chống Hiểm họa an ninh • Mạo danh (Identity Theft) • Từ chối phục vụ (Denial of Service) – tấn công các websites qua các máy ―zombie‖ làm tràn site shuts down không hoạt động • Khác: Spyware, Spam, Wireless Access, Viruses Kỹ thuật phòng chống Phổ biến gồm: • Bức tường lửa – Firewalls • Sinh trắc học (Biometrics) • Mạng riêng ảo và mã hóa 07-95
  93. 2. Các hiểm họa về an ninh và Kỹ thuật phòng chống a. Firewall Firewalls Một hệ thống phần mềm, cứng hoặc cả hai được thiết kế để phát hiện các xâm nhập và ngăn chận các truy xuất trái phép đến một hệ thống mạng riêng Kỹ thuật được dùng • Lọc gói tin (Packet Filter) – kiểm tra từng gói tin vào và ra mạng và xử lý nhận hoặc từ chối theo các luật đã xác định • Kiểm soát mức ứng dụng – Thực hiện các biện pháp an ninh theo ứng dụng cụ thể (e.g. file transfer) • Kiểm soát mức mạch nối (Circuit Level Control) – phát hiện các kết nối cụ thể hoặc mạch nối ở 2 phía firewall • Proxy Server – hoạt động như là máy chủ đại diện cho phép dấu địa chỉ mạng thực sự 07-96
  94. Managing Information Systems Security • Non-technical safeguards – Management of people’s use of IS • Acceptable use policies – Trustworthy employees – Well-treated employees 7-97
  95. Responding to a Security Breach • 1988—Computer Emergency Response Team (CERT) – Started after Morris worm disabled 10% of all computers connected to the Internet • Computer Security Division (CSD) – Raising of awareness of IT risks – Research and advising about IT vulnerabilities – Development of standards – Development of guidelines to increase secure IT planning, implementation, management, and operation 7-98
  96. Learning Objectives Ethics (Chapter 11 + 4) IS Hôm nay 1. Mô tả tác động và ảnh hưởng của kỷ nguyên thông tin đến vấn đề đạo đức trong hệ thống thông tin. 2. Thảo luận về vấn đề về quyền riêng tư, tính chính xác, quyền sở hữu, và quyền tiếp cận thông tin 3. Định nghĩa và liệt kê một số loại tội phạm máy tính. 4. Mô tả và giải thích sự khác biệt giữa chiến tranh mạng và chủ nghĩa khủng bố trên mạng 07-99
  97. Learning Objectives Security (Chapter 7 + 8) 1. Giải thích được ý nghĩa của từ ―an 1. Giải thích tại sao hệ thống thông tin ninh hệ thống thông tin" và mô tả các dễ bị phá hủy, mắc lỗi, và lạm dụng. mối đe dọa chính và làm tổn hại đến 2. Mô tả các giá trị kinh doanh của an hệ thống thông tin. ninh và kiểm soát. 2. Mô tả cả hai biện pháp bảo vệ dựa 3. Mô tả các thành phần khung của cơ trên công nghệ và dựa trên con cấu an ninh và kiểm soát của tổ chức người đối với hệ thống thông tin. 4. Mô tả các công cụ và công nghệ 3. Thảo luận làm thế nào để quản lý an được sử dụng để bảo vệ nguồn tài ninh hệ thống thông tin tốt hơn và giải nguyên thông tin. thích quá trình hoạch định an ninh hệ thống thông tin. 4. Mô tả cách thức các tổ chức có thể thiết lập việc kiểm soát IS để đảm bảo an ninh tốt hơn. 07-100
  98. I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi Mô hình PAPA – Richard O. Mason (1986) Đâu là đáp án của vấn đề NÊN hay KHÔNG NÊN PAPA • IS không nên quá mức xâm nhập sự riêng tư của một người để tránh tình huống xấu mà các sinh viên ở Tallahassee gặp Should phải Privacy Accuracy Property Accessibility • Tại Tallahassee Community College, màn hình đã được đóng ít nhất một ngày mỗi tuần trong mỗi bathoom Should NOTShould 07-101
  99. I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi Mô hình PAPA – Richard O. Mason (1986) Đâu là đáp án của vấn đề NÊN hay KHÔNG NÊN PAPA IS phải chính xác để tránh những tình huống xấu như Should Marches&Browns Privacy Accuracy Property Accessibility • Các khoản vay của Louis Marches từ Crocker National. Tất cả những gì các quan chức ngân hàng khai là "Máy tính tạo ra những sai lầm. Các ngân hàng cũng phạm sai lầm theo. " • Dự báo của Peter Brown đã dựa vào khi ông quyết định tiến vào North Atlantic đã bị lỗi bởi chỉ vì một sự kiện – trạm Should NOTShould 44.003 của Geoges Bank – không hoạt động. Trong sự hỗn loạn đó Gary Brown, một thành viên phi hành đoàn, đã bị 07-102 cuốn trôi.
  100. I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi Mô hình PAPA – Richard O. Mason (1986) • Quá trình "disemmiding" kiến thức từ một cá nhân, và sau đó "emmiding" nó vào máy tranfers quản lý tài sản cho những người sở hữu các phần cứng và phần mềm. Được trao đổi này của tài sản đảm bảo? Nếu kiểm tra xã hội về việc sử dụng mở rộng băng thông là không đủ, và một mức độ nhất định chế là không theo sau, chúng ta có thể thấy rằng gây nhiễu và tiếng ồn sẽ phá hủy các dòng chảy của thông tin rõ ràng trong không khí. Should Làm thế nào phân bổ nguồn tài nguyên băng thông hạn chế này? Privacy Accuracy Property Accessibility • Quá trình “phổ biến" kiến thức cá nhân, và sau đó "emmiding" nó vào máy đã chuyển giao việc kiểm soát tài sản cho những người sở hữu các phần cứng và phần mềm. Liệu việc trao đổi tài sản có được đảm bảo? Nếu xã hội kiểm tra việc mở rộng sử dụng băng thông là không thích hợp, và trong một chứng mực nào đó là không thể thực hiện, người ta có thấy rằng gây nhiễu và tiếng ồn sẽ phá hủy các dòng thông tin trong không khí. Should NOTShould Làm thế nào sẽ nguồn tài nguyên hạn chế về băng thông được phân bổ? 07-103
  101. I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi Mô hình PAPA – Richard O. Mason (1986) Đâu là đáp án của vấn đề NÊN hay KHÔNG NÊN PAPA • IS nên có thể truy cập để tránh các tình huống xấu do trình Should độ và mất quyền về thông tin Privacy Accuracy Property Accessibility • Để gọi là có văn hóa, một công dân trong kỹ nguyên TT phải có tối thiểu 3 nội dung sau: • Phải có kỹ năng trí tuệ để làm việc thông tin. Reading, Writing, aRithmeting và Reasoning • Phải có quyền khai thác tài nguyên ITs, được dùng lưu trữ, truyền tải và xử lý thông tin (thư viện, radio, TV, điện thoại và máy tính hoặc thiết bị đầu cuối Should NOTShould liên kết thông qua mạng máy tính lớn • Sau cùng, phải có quyền truy cập vào bản thân thông tin. Yêu cầu này quay trở lại với vấn đề tài sản và nó cũng là một vấn đề kinh tế xã hội 07-104