An ninh công nghệ thông tin

GS John Vu14/01/2026 13:00
An ninh công nghệ thông tin

Theo báo cáo an ninh mới nhất của Viện Kĩ nghệ phần mềm Carnegie Mellon, năm ngoái đã có hơn mười nghìn trường hợp tấn công máy tính, xâm nhập, và cấy mã độc từ “những người không biết” trên khắp thế giới.

Điều đó lên tới 86 phần trăm so với năm trước và 146 phần trăm so với hai năm trước. Việc tăng vụ tấn công máy tính đã nâng tầm quan trọng của quản lí rủi ro an ninh trong mọi công ti cũng như ở mức cá nhân. Mọi người đều có thể là mục tiêu của tấn công, từ giám đốc thông tin của một công ti lớn tới học sinh phổ thông trong một thành phố nhỏ, bất kì ai với máy tính cá nhân hay điện thoại thông minh đều có thể là nạn nhân.

Vài tuần trước, chủ tịch một ngân hàng lớn ở Mĩ đã thấy rằng máy tính của mình tự động gửi đi dữ liệu tài chính quan trọng cho các máy tính ở nhiều nước trên khắp thế giới. Nói cách khác, ông ấy đã là nạn nhân của “tấn công giả mạo” bởi hacker. Một lần chúng lọt vào bên trong máy tính của ông ấy, chúng có thể dùng máy tính cá nhân của ông ấy như công cụ để bắt lấy bất kì thông tin nào chúng muốn và truy nhập vào máy tính của những người làm việc cho ngân hàng của ông ấy, bởi vì sau rốt, ông ấy là ở mức quản lí cao nhất. Bao nhiêu tổn hại thế nào không được biết vào lúc này, điều hacker đang làm với thông tin cũng là chưa được xác định nhưng nó có thể là nghiêm trọng.

Có những vấn đề tương tự xảy ra cho các quan chức chính phủ trên khắp thế giới khi họ tới thăm những websites nào đó hay mở các email được tự gửi tới từ người không biết. Tất nhiên, các quan chức chính phủ không bao giờ phơi bày thông tin về điều đã xảy ra cho máy tính của họ nhưng đây là những vấn đề nghiêm trọng do bản chất của thông tin nhạy cảm được lưu trong máy tính của họ. Ngày nay, không còn chỉ là chuyện các hacker muốn chứng minh rằng họ có thể gây hại gì đó, hay những kẻ tội phạm muốn đánh cắp tài khoản ngân hàng cá nhân và buôn bán cổ phần, mà cả các cơ quan chính phủ của các quốc gia nước ngoài cũng muốn thu thập thông tin nhạy cảm nữa.

Theo báo cáo an ninh, mọi năm hàng nghìn hệ thông tin bị truy nhập bởi những người không có thẩm quyền bởi vì người phát triển phần mềm của họ đã tạo ra lỗi lập trình. Phần lớn các vấn đề an ninh đều là kết quả từ những khiếm khuyết được đưa vào một cách bất cẩn trong khi phát triển phần mềm. Để giảm bớt vấn đề an ninh, điều quan trọng là tổ chức phải giảm số lỗi trong phần mềm nhưng đào tạo hiện thời, đặc biệt trong chương trình khoa học máy tính lại chỉ hội tụ vào vòng đời phát triển phần mềm thay vì dựa vào kiểm thử sau khi phần mềm đã được xây dựng. Vấn đề khác là ngày nay, nhiều người phát triển phần mềm được đào tạo trong “trường huấn luyện” chứ KHÔNG ở đại học, các trường này thậm chí KHÔNG dạy cấu trúc lập trình cơ bản mà chỉ “cách viết mã” để đáp ứng nhu cầu thị trường. Sinh viên được dạy nhiều về “công cụ và thủ thuật” cho nên họ có thể viết mã mà không hiểu điều nền tảng.

Viện Kĩ nghệ phần mềm (SEI) đã phân tích hàng nghìn chương trình trên khắp thế giới và thấy rằng ngay cả những người phát triển có kinh nghiệm cũng vẫn đưa vào nhiều khiếm khuyết khi họ phát triển phần mềm. Về căn bản người phát triển phần mềm trung bình đưa vào một lỗi trong 10 dòng mã. Mặc dầu nhiều lỗi bị bắt và loại bỏ bởi trình biên dịch và kiểm thử nhưng một số vẫn còn lại. Nghiên cứu phần mềm của Carnegie Mellon tiến hành trên hàng nghìn dự án phần mềm chỉ ra rằng nội dung khiếm khuyết trung bình của phần mềm được đưa ra biến thiên từ 1 tới 7 khiếm khuyết trong một nghìn dòng mã. Sự kiện thú vị là trên 90% vấn đề an ninh phần mềm bị gây ra bởi các kiểu khiếm khuyết đã biết và mười nguyên nhân hàng đầu chiếm tới 75% của tất cả những điểm mong manh. Một số vấn đề bị gây ra bởi vấn đề thiết kế và kiến trúc phúc tạp như xác thực không thích hợp, thẩm quyền không hợp thức, dùng không đúng mật mã, không bảo vệ dữ liệu, và không phân hoạch cẩn thận các ứng dụng. Nhưng phần lớn bị gây ra bởi việc bỏ quên đơn giản dẫn tới các kiểu khiếm khuyết như lỗi khai báo, lỗi logic, lỗi kiểm soát chu trình, lỗi biểu thức điều kiện, lỗi hợp thức cái vào, lỗi đặc tả giao diện, lỗi cấu hình, và không hiểu vấn đề an ninh cơ sở. Rõ ràng là thực hành phát triển phần mềm ngày nay dẫn tới phần mềm khiếm khuyết cho nên điều quan trọng là người phát triển phải được đào tạo trong lập trình an ninh nhưng thay đổi trong đào tạo đại học lại rất chậm và đó là lí do tại sao an ninh vẫn là vấn đề chính.

Để quản lí các rủi ro an ninh này, người quản lí hệ thông tin phải tiến hành các cuộc kiểm điển an ninh thường xuyên. Họ phải biết cách thiết lập bảo vệ nào đó chống lại các mối đe doạ của người ngoài và đảm bảo rằng người của họ có hiểu biết về thực hành an ninh. Sai lầm thông thường nhất của người dùng là mở email được tự nhiên gửi tới không có quan hệ hay bấm vào thông tin quảng cáo không biết cho nên điều bản chất là người quản lí hệ thông tin tiến hành đào tạo để nhắc nhở người dùng về nguy hiểm của những kiểu sai lầm này. Cách khác tốt hơn là cải tiến qui trình phát triển phần mềm và xây dựng phần mềm tốt hơn và an ninh hơn, bởi vì nó sẽ tạo ra phần mềm với ít khiếm khuyết hơn và ít mong manh cho hacker tấn công. Điều cũng quan trọng là nhận diện bất kì cấu phần phần mềm cốt yếu nào kiểm soát các chức năng liên kết với an ninh. Những cấu phần đó phải được giám sát chặt chẽ qua phát triển và kiểm thử.

Hơn bao giờ hết, đào tạo “lập trình an ninh” cho mọi nhân viên và có người quản lí hệ thông tin có hiểu biết về an ninh có thể là đầu tư tốt nhất mà công ti có thể làm.

English version

IT security

According to the latest Carnegie Mellon’s Software Engineering Institute security report, last year there were more than ten thousand cases of computer attacks, intrusions, and plantings of malicious code from “unknown people” around the world. That’s up 86 percent from the previous year and 146 percent from two years ago. The increase of computer attack has raised the importance of managing security risk in every company as well as at the individual level. Everybody could be the target of attack, from the Chief Information Officer (CIO) of a large company to a highschool student in a small city, anyone with a personal computer or a smart-phone could be victim.

Few weeks ago, a president of a large bank in the U.S found that his computer was automatically sending important financial data to computers located in several countries around the world. In other word, he had been the victim of a “phishing attack” by hackers. Once they got inside his computer, they can use his personal computer as an instrument to capture any information they wanted and access to computers of people who work for his bank, because after all, he is at the highest level of management. How much damage is not known at this time, what hackers are doing with the information is also not determined yet but it could be severe.

There were similar problems happened to government officials around the world when they visited certain websites or opened an unsolicited emails from unknown persons. Of course, government officers never disclosed information about what happened to their computers but theses were all serious problems due to the nature of sensitive information stored in their computers. Today, it is no longer just hackers want to prove that they can do some damages, or criminals who want to steal personal bank and stock trading accounts, but also government agencies of foreign nationals who want to collect sensitive information too.

According to the security reports, every year thousands of information systems are accessed by unauthorized persons because their software developers have made programming errors. Most security issues are resulting from defects that are unintentionally introduced during software development. To reduce security problems, it is important that organization must reduce number of defects in software but current training, especially in computer science program is only focusing on teaching programming not “secured programming” where security is integrated into the software development life cycle rather than rely on testing after software already being built. Another problem is today, many software developers are trained in “training school” NOT university, these schools do NOT even teach basic programming structure but only on “how to code” to meet market demand. Students are taught a lot of “Tools and tricks” so they can code without any understanding of the fundamental.

The Software Engineering Institute (SEI) have analyzed thousands of programs all over the world and found that even experienced developers still inject many defects as they develop software. Typically an average developer injects one defect for every 10 lines of code. Although many are caught and removed by compilers and tests but some are still remain. Carnegie Mellon’s software studies conducted on thousands of software projects show that the average defect content of released software varies from about 1 to 7 defects per thousand lines of code. The interesting fact is over 90% of software security issues are caused by known defect types and the top ten causes account for about 75% of all vulnerabilities. Some problems are caused by sophisticated architectural and design issues such as inadequate authentication, invalid authorization, incorrect use of cryptography, failure to protect data, and failure to carefully partition applications. But most are caused by simple oversight that leads to defect types such as declaration errors, logic errors, loop control errors, conditional expressions errors, failure to validate input, interface specification errors, configuration errors, and failure to understand basic security issues. It is clear that software development practices today lead to defective software so it is important that developers must be trained in security programming but change in university training is very slow and that is why security is still a major issue.

To manage these security risks, information system manager must conduct security reviews often. They must know how to set up certain protection against threats by outsiders and ensure that their people is knowledgeable about security practices. The most common mistake of users is opening of unsolicited emails or click into unknown advertising information so it is essential that information system managers conduct trainings to remind users about the dangerous of these mistakes. The other better ways are improving the software development process and building better and more secured software, because it will produce software with fewer defects and less vulnerable to hackers attack. It is also important to identify any critical software components that control functions associated with security. Those components must be monitored closely throughout development and testing.

More than ever, “secured programming” training for all employees and having a security knowledgeable Information System Manager could be the best investment a company could make.

 


Gửi bình luận
(0) Bình luận
1

Vòng đời kiểm thử

Nhiều người trong các bạn đã hỏi tôi về kiểm thử và mối quan hệ của nó với vòng đời phát triển phần mềm. Về căn bản kiểm thử tuân theo vòng đời tương ứng với mọi pha của vòng đời phát triển.
2

Một dòng mã

Khi tôi là sinh viên khoa học máy tính, tôi chưa bao giờ học về Quản lí cấu hình phần mềm Software Configuration Management (SCM).
3

Cách đo và độ đo

Tôi nhận được một email người gửi viết: “Cái gì là khác biệt giữa cách đo và độ đo và có bao nhiêu cách đo hay độ đo phần mềm?”
4

Thành công ở đại học

Thành công nghĩa là đạt tới mục đích của bạn, dù chúng là bất kì cái gì.
5

Cách đo

Tôi nhận được một email từ một sinh viên: “Tại sao chúng ta phải đo công việc của mình? Đo là khó và phí thời gian vì nó không cung cấp cho tôi giá trị. Nếu chúng ta có lỗi, chúng ta có thể sửa chúng về sau bất kể chúng có bao nhiêu. Tôi không biết tại sao chúng ta cần đo?”

Robot trong thế kỉ 21

Nếu trước đây ai đó bảo bạn rằng trong mười năm nữa kể từ giờ, bạn sẽ có nhiều robot làm việc cho bạn, từ lau chùi nhà cửa tới nấu bữa tối cho bạn, bạn nghĩ sao? Bạn có tin vào điều đó hay nghĩ rằng đó chỉ là tưởng tượng?

Công nhân phần mềm nước ngoài ở Mỹ

Bởi vì thiếu hụt kĩ năng mấu chốt, chính phủ Mĩ ban hành chương trình visa di trú đặc biệt có tên là H1B và L-1 để cho phép công nhân nước ngoài có kĩ năng vào và làm việc ở Mĩ.

Cuộc sống và hạnh phúc

Khi ngày tốt nghiệp tới gần, tôi có một thảo luận thú vị về nghề nghiệp trong lớp phần mềm. Một sinh viên nói: “Tôi muốn có việc làm được trả lương cao vậy thì tôi sẽ hạnh phúc.”

Sự kiện thú vị về công nghệ phần mềm

Điều thú vị nhất về công nghiệp phần mềm là nhiều công ti hàng đầu đã do các sinh viên đại học sáng lập ra.

Ngôn ngữ lập trình

Một sinh viên hỏi tôi: “Ngày nay có bao nhiêu ngôn ngữ lập trình? Ngôn ngữ nào là tốt nhất? Liệu có thể dùng một ngôn ngữ máy tính cho mọi ứng dụng không? Tôi cần biết ngôn ngữ nào?”

Công nghiệp phần mềm ở Trung Quốc 2010

Tuần trước, tôi đã dạy kĩ nghệ phần mềm ở Trung Quốc. Sau đây là tóm tắt điều tôi đã quan sát năm nay.

Lời khuyên cho năm mới 2

Khi các bạn tiến bộ trong nghề nghiệp chuyên môn, bạn cần nghĩ về đại học và các giáo sư của mình.

Lời khuyên cho năm mới 1

Khi các sinh viên phần mềm mới tốt nghiệp và bắt đầu làm việc trong công nghiệp, họ sẽ thấy rằng có nhiều điều nữa cần học hơn là họ tưởng.

Kỹ năng của nhà doanh nghiệp

Blog GS John VU - GS John Vu - 14/07/2026 11:00
Tuần trước trong lớp, một sinh viên đã hỏi tôi: “Em muốn là một nhà doanh nghiệp như Steve Jobs hay Bill Gates và bắt đầu công ti riêng của em. Em cần làm gì để biết trước khi em tốt nghiệp?” Đột nhiên, vài sinh viên cũng muốn biết cách bắt đầu công ti riêng của họ. Dường như là mọi người đều muốn là ông chủ riêng của họ thay vì làm việc cho ai đó khác.

Những cải tiến quan trọng về AI và đồng bộ dữ liệu

Kỹ năng - 14/07/2026 10:00
Theo Zalo, các tính năng Dịch AI, AI Agent, đồng bộ dữ liệu hiện đang mở thử nghiệm cho người dùng từ tháng 7 và sẽ sớm được phổ biến đến toàn bộ người dùng.

AI tranh việc, đất sống nào cho người làm nghề thiết kế?

Phong cách sống - Đoàn Thủy - Việt Anh - 14/07/2026 09:00
Mất dự án vì khách chọn AI, bị khách dùng AI nhận xét sản phẩm, đó là những gì người làm thiết kế đang đối mặt. Trước làn sóng công nghệ, người làm nghề phải tìm lời giải cho giá trị của chính mình.

Không khóc giữa nhân gian - Khổ đau chỉ là ảo tưởng do chính mình tạo

Từ sách - Phim - PV - 14/07/2026 08:00
Tất cả chúng ta, không ngoại trừ bất kỳ ai trong đời này, đều đang bước vào một kỳ thi tâm linh.

Ưu tiên cho người quản lý dự án phần mềm

Blog GS John VU - GS John Vu - 13/07/2026 11:00
Phần lớn những người quản lí dự án được đào tạo để hội tụ vào lịch biểu nhưng theo kinh nghiệm của tôi, có lẽ điều quan trọng nhất là về đặt ưu tiên dự án.

10 câu trích dẫn ý nghĩa dành cho những ai đang cảm thấy lạc lối

Suy ngẫm - Trinh Quang - 13/07/2026 10:00
Khi bạn không thích những người xung quanh, cách tốt nhất để thể hiện sự không thích đó không phải là tranh cãi với họ, mà là chủ động rời bỏ họ.

Bức ảnh bữa cơm gia đình của tỷ phú Jensen Huang khiến nhiều người suy ngẫm

Truyền cảm hứng - Mi Vân - 13/07/2026 09:00
Một bữa cơm gia đình giản dị của Jensen Huang - CEO Nvidia và là một trong những tỷ phú giàu nhất thế giới - đang khiến nhiều người suy ngẫm về giá trị của gia đình giữa cuộc sống hiện đại.

Không khóc giữa nhân gian: Gặp lại chính mình trong vô lượng khổ đau

Từ sách - Phim - TĐ - 13/07/2026 08:00
"Không khóc giữa Nhân gian" không phải là một quyển sách chữa lành, mà là lời nhắn nhủ chánh niệm rằng chúng ta đừng sợ nỗi buồn. Nỗi buồn không đáng sợ, cái đáng sợ là hiểu sai và có thái độ chưa đúng với nỗi buồn mình đang trải qua.

Một dòng mã

Blog GS John VU - GS John Vu - 12/07/2026 10:00
Khi tôi là sinh viên khoa học máy tính, tôi chưa bao giờ học về Quản lí cấu hình phần mềm Software Configuration Management (SCM).

10 câu trích dẫn giúp bạn khi lạc lối

Suy ngẫm - Trinh Quang - 12/07/2026 09:00
Một khi đã đánh mất điều gì đó, bạn sẽ không bao giờ có thể lấy lại được. Có những việc, nếu bạn không làm ngay bây giờ, bạn sẽ không bao giờ làm lại được nữa.

Không khóc giữa nhân gian - Làm sao để hết khổ?

Từ sách - Phim - FN - 12/07/2026 08:00
Đau khổ vốn không trừ một ai, và nó có trăm hình vạn trạng: một sự mất mát, cảm giác cô độc giữa đám đông, hay đơn giản là nỗi thất vọng khi không đạt được thứ mà mình mong chờ. Vậy phải làm sao để ta hết khổ? Đau khổ có thực sự đáng sợ như người ta vẫn nghĩ? Hay chúng ta vẫn có thể nhìn đau khổ dưới một góc độ bao dung hơn?

Cách đo và độ đo

Blog GS John VU - GS John Vu - 11/07/2026 11:00
Tôi nhận được một email người gửi viết: “Cái gì là khác biệt giữa cách đo và độ đo và có bao nhiêu cách đo hay độ đo phần mềm?”

Không thích ai đó, cách khéo léo để xử lý việc này là thông qua "Phương pháp Sedona"

Suy ngẫm - PV - 11/07/2026 10:00
Trong cuộc sống, chúng ta sẽ luôn gặp những người mình không thích: đó có thể là một đồng nghiệp luôn nhắm vào bạn ở nơi làm việc, một người quen giả tạo và hay buôn chuyện, hoặc một người lạ có giá trị sống trái ngược với bạn và bạn không thể hòa hợp.

Mẹ tỷ phú Elon Musk chỉ cách nuôi dạy con thành tài: điều tuyệt đối không nên làm

Phong cách sống - Hân Ly - 11/07/2026 09:00
Mẹ của người giàu nhất thế giới cho rằng việc nuôi dạy con không nằm ở sự áp đặt, mà ở điều này cực kỳ quan trọng và cần thiết.

Sắp phát hành: Hồi ký của hy vọng

Tủ sách - PV - 11/07/2026 08:00
Hồi ký của hy vọng (Saving Five: A Memoir of Hope) thu hút sự chú ý của truyền thông quốc tế không chỉ bởi câu chuyện có thật của Amanda Ngọc Nguyễn, mà còn bởi cách cô kể lại cuộc đời mình vượt ra ngoài khuôn mẫu của một hồi ký về sang chấn.
HẠT GIỐNG TÂM HỒN
2019 Bản quyền thuộc về hatgiongtamhon.com.vn. Phát triển bởi ONECMS