Câu hỏi và đáp án An toàn thông tin | An toàn thông tin | Đại học Công nghiệp Thành phố Hồ Chí Minh

Câu hỏi và đáp án An toàn thông tin của Trường Đại học Công nghiệp Thành phố Hồ Chí Minh. Hi vọng tài liệu này sẽ giúp các bạn học tốt, ôn tập hiệu quả, đạt kết quả cao trong các bài thi, bài kiểm tra sắp tới. Mời các bạn cùng tham khảo chi tiết bài viết dưới đây nhé.

40 20 lượt tải Tải xuống
Chia sẻ Báo cáo tài liệu

Môn: An toàn thông tin (2021-2022)

Trường: Đại học Công nghiệp Thành phố Hồ Chí Minh

Thông tin:

16 trang 2 tháng trước

Tác giả:

Profile Lê Phương
lOMoARcPSD|45470368
lOMoARcPSD| 45470368
Nội dung LO3 - Giải thích được các khái niệm cơ bản về An toàn thông tin, hệ mã hóa
1. Chữ ký điện tử là gì? Mục tiêu của chữ ký điện tử? Trình bày hiện trạng áp dụng
chữ ký điện tử ở Việt Nam.
- Chữ điện tử một trong ứng dụng quan trọng nhất của hóa khóa công khai.
không những giúp xác thực thông điệp mà còn bảo vê mỗi bên khỏi bên kia. Quy trìn
sử dụng chữ ký số như sau:
o Người gửi dùng một thuật toán tạo chữ ký (signing algorithm) để thông điệp.
Thông điệp và chữ ký được gửi cho người nhận.
o Người nhận dùng thuận toán thẩm tra chữ ký (Verifying algorithm) để thẩm tra.
o Nếu đúng, thông điệp được chấp nhận, ngược lại sẽ từ chối thông điệp.
- Mục tiêu: Nhằm bảo đảm vấn đề toàn vẹn dữ liệu, và chống sự chối bỏ trách nhiệm khi
đã ký. Chữ ký điện tử mở đường cho các dịch vụ có độ tin cậy cao.
- Hiện trạng: Theo Báo cáo tình nh phát triển ng dụng chữ ký số tại Việt Nam
năm 2018”, tính đến thời điểm 31/3/2019 có:
o 703.753 DN sử dụng chữ số trong lĩnh vực thuế trên tổng số 711.748 DN đang
hoạt động, đạt tỷ lệ 98,87%, tăng 55.623 tổ chức, doanh nghiệp so với năm 2018;
o 232.431 DN sử dụng chữ số trong hoạt động trong lĩnh vực hải quan, tăng
90.338 doanh nghiệp so với năm 2018 o 441.096 doanh nghiệp sử dụng chữ ký
số trong kê khai bảo hiểm xã hội, tăng
231.678 doanh nghiệp so với năm 2016. o 2.824 DN dùng chữ số trong
lĩnh vực chứng khoán, năm 2018 là 2.815.
2. Đưa ra một hệ thống thông tin hoặc một trang web thực tế ở Việt Nam mà có sử
dụng chữ ký điện tử? Nghiệp vụ nào trong hệ thống đó sử dụng chữ số? Trình
bày các bước cụ thể để người dùng trong hệ thống này thực hiện nghiệp vụ sử dụng
chữ ký số. (gợi ý: Website của cơ quan Thuế, Website của cơ quan Hải quan, Website
của cơ quan Bảo hiểm xã hội, ....)
- Một hệ thống thông tin hoặc một trang web thực tế Việt Nam: Website của quan
thuế: http://thuedientu.gdt.gov.vn.
- Nghiệp vụ trong hệ thống sử dụng chữ số: Sử dụng chữ số để khai thuế điện
tử và nộp thuế điện tử tại Trang thông tin điện tử của Tổng cục Thuế Việt Nam.
- Các bước cụ thể: Sau khi nhận được USB token và mật khẩu từ nhà cung cấp CKS, bạn
cần thực hiện các bước dưới đây để sử dụng chữ ký số kê khai Hải quan điện tử:
lOMoARcPSD|45470368
Bước 1 : Cài đặt USB Token chữ ký số
Cắm thiết bị Chữ ký số (USB Token) vào cổng USB của máy tính.
Sau khi cắm thiết bị USB Token vào máy tính cửa sổ cài đặt sẽ xuất hiện bạn chọn
“Run” để tiến hành cài đặt driver cho thiết bị
Bước 2 : Đăng ký Chữ ký số với cơ quan Hải quan
Truy cập vào Website của Tổng cục Hải quan Việt Nam tại địa chỉ:
http://www.customs.gov.vn, sau đó chọn mục “Đăng ký Doanh nghiệp sử dụng
chữ ký số”
Đăng nhập:
Mã doanh nghiệp: nhập mã số thuế của doanh nghiệp.
Số CMT: (Doanh nghiệp trong nước: số chứng minh nhân dân/ căn cước
công dân hoặc số hộ chiếu thể hiện trên Giấy Chứng nhận ĐKKD của doanh
nghiệp. Doanh nghiệp vốn đầu nước ngoài: số chứng minh nhân dân/ căn
cước công dân hoặc số hộ chiếu của người đại diện pháp luật) Nhập dãy số xác
nhận.
Bấm chọn mục “Xem thông tin”
Xem thông tin chứng thư số: Khi giao diện “Doanh nghiệp đăng ký chsố”
hiện ra, bạn chọn nút “Xem thông tin chứng thư số”, hệ thống sẽ tự động xuất
hiện các thông tin trong USB Token, sau đó bạn nhập lại đúng thời hạn sử
dụng chữ ký số vào 2 trường: Ngày hiệu lực đăng ký, Ngày hết hiệu lực đăng
ký. Trong đó:
Ngày hiệu lực đăng ký: Để ngày hiện tại hoặc để ngày mặc định đang
hiển thị trên hệ thống.
Ngày hết hiệu lực đăng ký: Nhập giống ngày hết hạn của Chữ số.
Lưu ý: USB Token phải được cắm vào máy tính trước khi chọn vào mục
“Xem thông tin Chứng thư số”
Sau khi điền đầy đủ các thông tin, bạn chọn “Đăng ký thông tin” để hoàn thành
thủ tục đăng ký Chữ ký số với Cơ quan Hải quan.
Thông báo Cập nhật thành công xuất hiện, bấm chọn “OK” để hoàn thành thủ
tục đăng chữ số với quan Hải quan trên Website của Tổng cục Hải
quan.
Bước 3 : Thiết lập chữ ký số trên phần mềm Hải quan điện tử
Thiết lập chữ ký số trên phần mềm hải quan điện tử ECUS
Trên giao diện phần mềm Hải quan điện tử ECUS, bạn lựa chọn menu “Hệ
thống”, sau đó chọn “Thiết lập thông skhai báo” để mở ra cửa sổ Thiết
lập thông số khai báo”
lOMoARcPSD|45470368
Khi cửa số “Thiết lập thông số khai báo” hiện ra bạn tick vào ô “Áp dụng
chữ ký số khi khai báo”. Tiếp theo chọn “Đồng ý” để hoàn tất việc thiết lập
chữ ký số trên phần mềm Hải quan điện tử ECUS.
Thiết lập chữ ký số trên phần mềm hải quan điện tử CDS Live+
Trên giao diện phần mềm Hải quan điện tử CDS Live+, bạn chọn mục “Hệ
thống”, sau đó chọn chức năng “Tài khoản Hải quan”, tiếp theo chọn “Danh
sách tài khoản”. Khi cửa sổ Danh sách tài khoản Hải quan hiện ra.
Phần Version khai TQĐT: bạn chọn Version 3.0
Phần Cấu hình chữ ký số: bạn chọn tên CKS đang sử dụng
Bước 4 : Sử dụng Chữ ký số để kê khai Hải quan điện tử
Bước y sẽ ớng dẫn bạn sử dụng Chữ số để khai Hải quan điện tử với
phần mềm ECUS (Các phần mềm khác sử dụng tương tự như phần mềm ECUS)
Tạo các tờ khai như cách thông thường
Sau khi tạo xong tờ khai, bạn bấm vào nút “Khai báo”, khi cửa sổ “Thông
báo” hiện ra bạn chọn “Yes” để đồng ý áp dụng Chữ ký số.
Cửa sổ Verify User PIN xuất hiện: bạn y nhập PIN USB Token vào 2
ô Mật khẩu và Nhập lại mật khẩu để tiến hành ký lên tờ khai
Sau khi ký điện tử, nhận kết quả cấp số và phân luồng của tờ khai
3. Chứng thư số là gì? Mục tiêu của chứng thư số? Hiện nay Việt Nam đã có các đơn vị
nào có thể cung cấp dịch vụ chứng thư số?
- Chứng thư số một văn bản cung cấp khóa công khai được cung cấp quản bởi
một tổ chức gọi nhà cung cấp chứng chỉ (certificate authority, hay viết tắt CA)
hoạt động nhờ vào nguyên lý bên thứ ba tin cậy.
- Mục tiêu của chứng thư số:
o Là chứng thực để gắn một chìa khóa công khai với một thực thể (cá nhân, máy chủ,
cty,...). Hay nói cách khác, chứng thư số giúp xác định chìa khóa công khai thuộc về
thực thể nào.
o Nhằm cung cấp PU của người sử dụng.
o Hỗ trợ ký số các loại văn bản, tài liệu, hợp đồng, hóa đơn,… dưới file doc, pdf hoặc
một tệp tài liệu
o Mã hóa thông tin để đảm bảo bí mật giữa người gửi và người nhận thông qua mạng
internet
o Thực hiện các kênh liên lạc trao đổi thông tin bí mật với các thực thể khác trên mạng
lOMoARcPSD|45470368
- Các đơn vị có thể cung cấp dịch vụ chứng thư số Việt Nam là: quan thuế, Văn
phòng Chính Phủ
1.VINA-CA
2.VIETTEL-CA
3.BKAV-CA
4.VNPT-CA
5.NEWTEL-CA
6.NACENCOMMSCT-CA
7.FPT-CA
8.CK-CA
9.SAFECERT-CA(?)
4. Chứng thư số là gì? Nội dung có trong chứng thư số là gồm những nội dung gì?
- Chứng thư số một văn bản cung cấp khóa công khai được cung cấp quản bởi
một tổ chức gọi nhà cung cấp chứng chỉ (certificate authority, hay viết tắt CA)
hoạt động nhờ vào nguyên lý bên thứ ba tin cậy.
- Nội dung của chứng thư số: Một chứng thư số thường gồm chìa khóa công khai và một
số thông tin khác về thực thể sở hữu chìa khóa đó. Cụ thể nội dung của chứng thư số
bao gồm: (chép 1 trong 2) o Tên của tổ chức cung cấp dịch vụ chứng thực chữ ký số.
o Tên của thuê bao. o Số hiệu chứng tsố. o Thời hạn có hiệu lực của chứng thư
số. o Khóa công khai của thuê bao. o Chữ ký số của tổ chức cung cấp dịch vụ chứng
thực chữ ký số. o Các hạn chế về mục đích, phạm vi sử dụng của chứng thư số.
o Các hạn chế về trách nhiệm pháp lý của tổ chức cung cấp dịch vụ chứng thực chữ
ký số.
o Thuật toán mật mã.
o Các nội dung cần thiết khác theo quy định của Bộ Thông tin và Truyền thông.
hoặc:
o
Version: Chỉ định phiên bản của chứng nhận X. 509
o
Serial Number: Số loạt phát hành được gán bởi CA. Mlo64i CA nên gán
một mã số loại duy nhất cho mỗi giấn chứng nhận mà nó phát hành
o
Signature Algorithm ID: Chỉ rõ thuật toán tạo chữ ký mà được CA sử
dụng để ký giấy chứng nhận
lOMoARcPSD|45470368
o
Issuer Name: Tên tổ chức CA phát hành chứng thư số. Hai CA khác nhau
không được dùng cùng một tên phát hành
o
Validity Period: Gồm hai giá trị chỉ định khoảng thời gian mà giấy chứng
nhận có hiệu lực
o
Subject Name: Tên chủ thể được cấp chứng thực
o
Public key: Khóa công khai của chủ thể được chứng thực
o
Signature: Chữ ký số được tổ chức CA áp dụng
5.
Chứng thực thực thể gì? Trình này 2 phương pháp mà bạn biết thể
cài đặt
để chứng thực thực thể.
- Chứng thực thực thể một kthuật được thiết kế cho phép một bên (party) chứng minh
sự nhận dạng (identity) của một bên khác.
- Phương pháp thể i đặt chứng thực thực thể: o Chứng thực bằng Password:
phương pháp đơn giản lâu đời nhất, được gọi Password-based Authentication,
password một thứ người dùng biết. Khi đăng nhập o hệ thống, người dùng
được yêu cầu: Xác định danh tính một định danh người dùng (user identification)
công khai Cung cấp thông tin xác thực một password mật. o Chứng thực bằng
Sinh trắc học: Sinh trắc học (Biometric) phép đo ờng về các đặc tính sinh học
hoặc hành vi học nhận dạng một con người. đo lường các đặc tính không thể
đoán, ăn cắp hoặc chia sẻ. Chứng thực (Authentcation) được thực hiện bởi sự thẩm tra
(Verification) hoặc nhận dạng (identication). Chúng ta nên chọn kỹ thuật sinh trắc học
nào phù hợp cho ứng dụng.
Ưu điểm của loại chứng thực này là: không thể bị đánh cắp bỏ quên, chia sẻ
do các đặc tính sinh trắc học nhất quán vĩnh cữu, chứng thực này
không yêu cầu phải nhớ mà luôn luôn sẵn dùng cho mỗi cá nhân.
Nhược điểm là: Chi phí xây dựng thiết bị chứng thực và các thuật toán chứng
thực đắt đỏ, luôn luôn tồn tại những lỗi nhất định như từ chối người dùng hợp
lệ khi đặc tính sinh học của người đăng đó thay đổi hay do độ chính xác
của thuật toán sinh trắc không tối ưu, hay tệ hơn là chấp nhận người dùng hợp
lệ do độ chính xác của thuật toán chưa tốt.
6. Điều khiển truy cập là gì? Trình bày ít nhất 2 phương pháp mà bạn biết mà có thể
cài đặt điều khiển truy cập một hệ thống thông tin.
- Điều khiến truy cập cơ chế của hệ thống thông tin cho phép hoặc hạn chế truy
cập đến dữ liệu hoặc các thiết bị.
- Phương pháp có thể cài đặt điều khiển truy cập một hệ thống thông tin: o Phân
quyền cho người dùng: sinh viên tra điểm, GV nhập điểm.
lOMoARcPSD|45470368
o Phân quyền với đối tượng đó: dụ file hệ thống file được mở không được sửa đổi
và sao chép .
7. Mật khẩu (password) là gì? Mật khẩu cố định (fixed password) và mật khẩu dùng
một lần (one time password) khác nhau như thế nào? Trình bày điểm mạnh và điểm
yếu của 2 loại mật khẩu.
- Password hay mật khẩu một chuỗi tự được sử dụng rất phổ biến trong các dịch
vụ internet, hệ thống y tính hay phần mềm ứng dụng nào đó. giúp cho người
dùng bảo vệ sự riêng tư cũng như hạn chế tối đa khả năng truy cập bất hợp pháp từ
người khác
- Sự khác nhau giữa mật khẩu cố định và mật khẩu dùng một lần:
Mật khẩu cố định Mật khẩu dùng một lần
- Là một password được dùng lặp đi lặp - Là mật khẩu sử dụng một lần duy nhất lại mỗi
lần truy xuất. gồm một y các tự hoặc chsố ngẫu - Vẫn giữ nguyên cố định
nếu ta nhiên được gửi đến số điện thoại nhằm không thay đổi mật khẩu xác nhận giao
dịch.
- Mật khẩu cố định thường được dùng ở: - Mã OTP được dùng làm bảo mật 2 lớp
…. (KB) trong các giao dịch xác minh đăng nhập. - Rất thô sơ, User ID Password
được Sau 30s đến 2 phút, mã OPT lại bị thay lưu trong 1 tập tin đổi một lần.
- Mật khẩu dung một lần thường dung trong các giao dịch với tài khoản ngân hàng,…
- Được xác nhận bổ sung khi thực hiệngiao dịch, thanh toán qua Internet.
Điểm mạnh và điểm yếu của 2 loại mật khẩu:
Mật khẩu cố định (fixed password)
Điểm mạnh: Vì mât khẩu sử dụng lặp đi lặp lại mỗi lần truy xuất nên người
dụng có thể dễ dàng ghi nhớ. (KB)
Điểm yếu:
Yếu điểm của mật khẩu liên quan đền trí nhớ con người: Con người chỉ
có thể nhớ một số lượng mật khẩu nhất định. Nếu mật khẩu dài, phức tạp thì
đem lại hiệu quả tốt nhưng người ta lại khó nhớ.
Mỗi tài khoản có mật khẩu khác nhau
Chính sách an toàn mật khẩu đòi hỏi mật khẩu chỉ hiệu lực trong một
khoảng thời gian: Người dùng ghi nhớ mật khẩu nhiều lần
Người dùng thường chọn đường tắc như là: Dùng mật khẩu yếu hay sử dùng
một mật khẩu cho nhiều tài khoản.
Kẻ xấu có thể tấn công mật gây nên các hậu quả nặng nề như:
lOMoARcPSD|45470368
Kỹ nghệ xã hội: Lừa đảo, nhìn trôm, lục lọi.
Chụp lén
Trình theo dõi thao tác bàn phím, phân tích giao thức
Tấn công “man in the middle
Dò và vét cạn
Tấn công dùng tự điển
Mật khẩu dùng một lần (one time password) (KB) Điểm mạnh:
OTP được dùng làm bảo mật 2 lớp trong các giao dịch xác minh đăng
nhập nên nó sẽ giảm thiểu tối đa rủi ro bị tấn công khi lộ mật khẩu hay tin tặc
tấn công.
khả năng bổ sung thêm lớp bảo mật cho tài khoản thanh toán
Cách sử dụng đơn giản, dễ hiểu, tiện lợi
Mức phí dịch vụ thấp
Phổ biến trong nhiều hình thức xác minh chủ thể như giao dịch ngân hàng,
tạo tài khoản mạng xã hội, tạo tài khoản email…
Điểm yếu:
Mã OTP có thể bị lộ nếu chủ tài khoản không giữ thông tin cẩn thận
Giao dịch thông qua hệ thống internet có thể bị hacker tấn công
Với hình thức OTP Token, bảo mật hơn nhưng phải trả thêm chi phí làm máy
Token.
8.
Những loại mã OTP phổ biến hiện nay: SMS OTP, TOKEN KEY (TOKEN CARD),
SMART OTP SMART TOKEN.
SMS OTP
Ưu điểm:
o Làm lớp thứ 2 bảo vệ khi đăng nhập hay thanh toán giao dịch nào đó. o Thời
gian tích hợp dịch SMS OTP nhanh chóng, chỉ từ 30 60 phút. o Tốc độ gửi
SMS OTP nhanh (từ 5-10s/SMS).
o Hệ thống ổn định trên nền tảng Cloud
o Hình thức này không chỉ được các ngân hàng sử dụng mà cả các công ty công
nghệ lớn trên thế giới như Google, Facebook cũng áp dụng để tạo lớp bảo mật
lOMoARcPSD|45470368
thứ hai cho tài khoản. lớp bảo vệ này sẽ xuất hiện khi phát hiện bất kỳ hoạt
động không rõ ràng nào từ tài khoản của bạn.
o Vừa nhanh, vừa tiện lợi. Người dùng có thể copyOTP trực tiếp từ tin nhắn
sang mục OTP trong tài khoản để thực hiện giao dịch.
Nhược điểm: o Người dùng không thể sử dụng được nơi không sóng di động,
hoặc di chuyển ra nước ngoài.
TOKEN KEY (TOKEN CARD)
Ưu điểm o Đây là thiết bị có thể giúp tạo mã OTP, nó có thể sinh ra tự động sau
mỗi phút không cần kết nối internet. Đây cũng cách hạn chế việc lộ thông
tin tài khoản.
o Đây một thiết bị rời, nhỏ gọn cho nên thể luôn luôn mang đi bên mình o
Cách sử dụng máy Token rất dễ dàng. Nhược điểm
o Mã Token thường chỉ có hiệu lực trong 60 giây và Bắt buộc phải có máy Token
thì bạn mới có thể giao dịch được. o Cần phải bảo quản cẩn thận vì dễ đánh mất.
o Cá nhân bình thường thì ít sử dụng Token hơn vì để có thiết bị token sẽ phải trả
phí làm máy cho ngân hàng.
SMART OTP SMART TOKEN
Ưu điểm:
o Đây được coi là hình thức kết hợp hoàn hảo giữa SMS OTP và Token Key
o Smart OTP có thể được sử dụng mọi lúc mọi nơi vì nó được tích hợp sẳn trên
ứng dụng của điện thoại. Khi phiên giao dịch trực tuyến thì Smart OTP sẽ
được gửi về ứng dụng trên smartphone.
o Cung cấp mã xác thực kể cả ở những nơi không có sóng điện thoại và
Internet o An toàn và bảo mật hơn với nhiều lớp bảo mật (mật khẩu điện
thoại, mật khẩu ứng dụng, bàn phím hiển thị ngẫu nhiên …).
Nhược điểm:
o SMS OTP còn bị lệ thuộc vào bảo mật của các nhà mạng, đòi hỏi khách hàng
phải roaming khi đi nước ngoài...
9. Đưa ra một hệ thống mà bạn biết có sử dụng mật khẩu cố định (fixed password) và
mô tả các bước thực hiện để bạn có thể được chứng thực người dùng trong hệ thống
đó. Nêu mục tiêu của việc chứng thực này.
Hệ thống sử dụng mật khẩu cố định (fixed password): dụ như các tài khoản
nhân như tài khoản Gmail, Facebook, Instagram, tài khoản ngân hàng,...
lOMoARcPSD|45470368
Các bước để thực hiện để bạn thể được chứng thực người dùng trong hệ thống
facebook:
Bước 1: Truy cập website Facebook, nhập email/sđt người dùng
Bước 2: Nhấn nút đăng nhập
Nếu truy cập đúng i khoản email/sdt mật khẩu thì đăng nhập được. Còn nếu
tài khoản email/sdt hoặc mật khẩu sai thì hệ thống sẽ thông báo trên màn hình là:
“email/sdt/mật khẩu của bạn không đúng, vui lòng nhập lại” hoặc “Vui lòng kiểm
tra mã trong email của bạn. Mã này gồm 6 số.”
Trường hợp người dùng cài đặt mã xác thực hai yếu tố thì hệ thống sẽ gửi một mã
xác thực 2 yếu tố trên facebook về điện thoại của bạn. Sau khi nhập mã đó vào máy
tính thì sẽ đăng nhập được.
Mục tiêu của việc chứng thực: nhằm mục đích giúp xác định người dùng đó có phải
chủ tài khoản hay không, tránh tình trạng nhìn lén và đăng nhập, ăn cắp tài khoản,…
10.Đưa ra một hệ thống mà bạn biết có sử dụng mật khẩu dùng một lần (one time
password) ttình huống bạn sử dụng mật khẩu để chứng thực người
dùng/giao dịch. Nêu mục tiêu của việc chứng thực này.
Hệ thống có sử dụng mật khẩu dùng một lần (one time password). VD: thanh toán trực
tuyến qua ví điện tử momo, E-Mobile Banking,...
Các bước để thực hiện để bạn thđược chứng thực người dùng trong hệ thống tài
khoản ngân hàng AGRIBANK thanh toán trực tuyến qua ví điện tử momo
Bước 1: Khách hàng truy cập Website/Ứng dụng của nhà cung cấp hàng hóa, dịch vụ
và lựa chọn hàng hóa, dịch vụ có nhu cầu.
Bước 2: Lựa chọn hình thức thanh toán trực tuyến.
Bước 3: Khách hàng nhập mật khẩu OTP (nếu có) để chứng thực hoàn tất giao dịch.
Bước 4: Thông báo kết quả giao dịch và thanh toán.
Một số lưu ý khi sử dụng dịch vụ thanh toán trực tuyến (?)
Đối với máy tính dùng để giao dịch thanh toán trực tuyến
Cài đặt phần mềm chống virus thường xuyên thực hiện quét virus y
tính bằng các chương trình diệt virus có bản quyền được cập nhật liên tục.
Không truy cập vào Website có địa chỉ truy cập (đường link) lạ gửi qua email,
mạng xã hội và thận trọng với những quảng cáo khi truy cập Internet.
Chỉ cài đặt phần mềm ứng dụng từ những đường link tin cậy, không chấp nhận
các chương trình đính kèm các email không rõ nguồn gốc, v.v…
lOMoARcPSD|45470368
Thận trọng khi thực hiện giao dịch trên Website tại y tính dùng chung hay
máy tính tại điểm truy cập Internet công cộng.
Bảo mật tên truy cập và mật khẩu ngân hàng điện tử
Quý khách khi được cấp tên truy cập mật khẩu truy cập vào các ng dụng
như E-Mobile Banking, Internet Banking thì cần thay đổi ngay mật khẩu,
không nên đặt mật khẩu quá dễ đoán và nên thay đổi mật khẩu định kỳ.
Quý khách cần bảo mật tên truy cập và đặc biệt là mật khẩu truy cập, tuyệt đối
không tiết lộ cho người khác biết bất k Website nào trừ Website của
Agribank.
Thoát khỏi tài khoản truy cập ứng dụng nếu không sử dụng các dịch vụ liên
quan đến thanh toán bằng thẻ trên Internet.
Không click vào các link Website được đính kèm email, đáng tin cậy thế
nào.
Tuyệt đối không được tiết lộ OTP cho bất kai khác qua bất kỳ phương tiện
nào (Chat, email, nhập vào Website, điện thoại di động, mạng xã hội, v.v…).
Nên giữ điện thoại di động (Số đã đăng với ngân hàng để nhận tin nhắn
SMS cung cấp OTP) bên mình. Trường hợp bị mất điện thoại di động tthông
báo ngay với Agribank để tạm dừng dịch vụ thanh toán trực tuyến. Sau đó đến
Agribank để thay đổi số điện thoại di động nhận OTP.
Mục tiêu xác thực OTP: chứng thực 2 lớp, chứng thực lớp thứ 2, khi người dùng giao
dịch cần xác thực người dùng lại 1 lần nữa để giảm rủi ro bị giả mạo.
11. Sinh trắc học (biometric) là gì? Nêu các lĩnh vực mà có thể áp dụng sinh trắc học?
Sinh trắc học (Biometric) phép đo lường về các đặc tính sinh học hoặc hành vi
học mà nhận dạng một con người. Sinh trắc học đo lường các đặc tính mà không thể
đoán, ăn cắp hoặc chia sẻ.
Các lĩnh vực có thể áp dụng sinh trắc học:
o Lĩnh vực khoa học, công nghệ: cảm biến vân tay, Tính năng nhận diện khuôn
mặt (Ví dụ: Tính ng nhận diện khuôn mặt động gợi ý gắn thbạn
của Facebook là một ví dụ gần gũi nhất cho công nghệ y. Khi bạn đăng hình
ảnh của mình và bạn bè lên Facebook, Facebook sẽ tự động nhận diện bạn
của bạn gợi ý gắn thẻ nhờ những hình ảnh bạn của bạn đã đăng,
hoặc những lần bạn đã gắn thẻ họ trước đây.), Công nghệ xác thực về hành vi,
Cơ chế nhận diện mống mắt của thiết bị (hoặc bộ cảm biến).
o Lĩnh vực tài chính: quét tĩnh mạch FingoPay thực hiện việc thanh toán đơn
giản, dụ hình quét tĩnh mạch FingoPay được kết nối với thẻ tín dụng
hoặc tài khoản ngân hàng của người sử dụng, cho phép họ thực hiện việc thanh
lOMoARcPSD|45470368
toán chỉ đơn giản bằng cách đặt ngón tay vào một chiếc máy quét kích thước
nhỏ gọn mà không cần dùng tới tiền mặt hay thẻ tín dụng.
o Các cửa khẩu hải quan
o Hợp đồng công chứng giao dịch điện tử
12.Nêu ưu điểm và nhược điểm của việc áp dụng chứng thực bằng sinh trắc học.
Ưu điểm
o Biometrics không thể bị mất, đánh cấp, bỏ quên. Nó nhất quán và vĩnh cửu
o Nó không thể được chia sẻ hoặc dùng bởi người khác o Không đòi hỏi
phải ghi nhớ như mật khẩu, mã Pin o Biometric luôn luôn sẳn dùng cho cá
nhân và duy nhất
Nhược điểm:
Chi phí cho thiết bị phần cứng
Đòi hỏi hệ thống hạ tầng hoạt động liên tục: đường truyền mạng, điện,...
Các bộ đọc luôn đặc tính của sinh trắc học có những lỗi nhất định
Từ chối người dùng hợp lệ
Chấp nhận người dùng không hợp lệ
Lo ngại của người dùng liên quan đến sức khỏe
13.Hệ thống quản lý an toàn thông tin (ISMS) là gì? Mục tiêu của hệ thống an toàn
toàn thông tin?
Hệ thông quản an toàn thông tin là công cụ để các nhà lãnh đạo quản thực hiện giám
sát, quản lý hệ thống thông tin, tăng cường mức độ an toàn, bảo mật, giảm thiểu rủi ro
cho hệ thống thông tin, đáp ứng được mục tiêu của doanh nghiệp, tổ chức.
Mục tiêu của hệ thống an toàn thông tin:
Đảm bảo ATTT của tổ chức, đối tác và khách hàng, giúp cho hoạt động của tổ chức
luôn thông suốt và an toàn.
Giúp nhân viên tuân thủ việc đảm bảo ATTT trong hoạt động nghiệp vụ thường
ngày; Các sự cố ATTT do người dùng y ra sẽ được hạn chế tối đa khi nhân viên
được đào tạo, nâng cao nhận thức ATTT.
Giúp hoạt động đảm bảo ATTT luôn được duy trì cải tiến. Các biện pháp k
thuật chính sách tuân thủ được xem xét, đánh giá, đo lường hiệu quả cập
nhật định kỳ.Bộ môn Hệ thống thông tin10
lOMoARcPSD|45470368
Đảm bảo hoạt động nghiệp vụ của tổ chức không bị gián đoạn bởi các sự cố liên
quan đến ATTT.
Nâng cao uy tín của tổ chức, tăng sức cạnh tranh, tạo lòng tin với khách hàng,
đối tác, thúc đẩy quá trình toàn cầu hóa và tăng cơ hội hợp tác quốc tế
Nội dung LO4 - Mô tả được tổng quan cơ chế/giao thức để thiết lập và nâng cao tính an
toàn thông tin cho một tình huống cụ thể
Tình huống 1:
Để phục vụ cho nhu cầu học tập tra cứu của cán bộ, giảng viên và sinh viên của trường, nhà
trường đã xây dựng một hệ thống thư viện trực tuyến www.thuviendientu.iuh.edu.vn, hệ thống
giúp độc giả (cán bộ, giảng viên sinh viên của trường) thể tìm kiếm các loại sách, báo,
tạp chí,… Đối với tài liệu điện tử thì độc giả thể đọc trực tuyến hoặc tải về, đối với sách
trong thư viện thì độc giả có thể đăng ký mượn. Độc giả cũng có thể yêu cầu mua các loại tài
liệu điện tử và thanh toán phí mua trực tuyến. Hệ thống cũng giúp cho các thủ thư có thể quản
lý thông tin mượn và trả sách của độc giả, hệ thống còn có tính năng thông báo nhắc nhở đến
hạn trả sách bằng email, tạo báo cáo, thống kê. Yêu cầu: Với tình huống đã cho, bạn hãy
1. Chỉ ra ít nhất 2 loại thông tin/dữ liệu/chức năng nào cần nâng cao tính an toàn và nêu lý do
tại sao
2. Đưa ra giải pháp nào (chữ số, xác thực điều khiểu truy cập bằng mật khẩu (fixed
password, OTP), thẻ từ, camera, sinh trắc học (vân tay hoặc khuôn mặt, con ngươi,…)) để
cài đặt nâng cao tính an toàn cho từng loại thông tin/dữ liệu/chức năng ở trên và nêu lý do
tại sao phương pháp pháp này là hữu hiệu nhất.
GIẢI
1. Hai loại thông tin/ dữ liệu/ chức năng cần nâng cao tính an toàn và lý do là:
Thông tin/ dữ liệu thanh toán pmua trực tuyến. thanh toán phí mua trực tuyến
loại thông tin dữ liệu quan trọng đối với hệ thống thư viện. phương thức giao dịch
thanh toán giữa độc giả và hệ thống tviện khi độc giả có nhu cầu mua các loại tài liệu
điện tử. Thông qua phương thức giao dịch thanh toán trực tuyến độc giả thể mua
được các loại tài liệu mình cần. dữ liệu thanh toán trực tuyến được lưu lại qua đó
giúp thư viện thể hệ thống, thống kê được bao nhiêu độc giả đã mua tài liệu điện
tử thanh toán cho thư viện. Cung cấp thông tin dữ liệu thanh toán của độc giả, giúp
thư viện thquản việc thanh toán giải quyết xử giao dịch dễ dàng.Nếu việc
thanh toán phí mua trực tuyến không được đảm bảo an toàn bị tấn công bởi các kẻ tấn
công thì thư viện sẽ bị mất thông tin dữ liệu về việc quản những người độc giả đã
thanh toán việc mua tài liệu điện tử hay chưa,Việc thanh toán trực tuyến còn liên quan
đến giao dịch ngân hàng,để đảm bảo thông tin về người dùng thẻ ngân hàng không bị
rỉ thông tin nếu không được đảm bảo an toàn kẻ tấn công sẽ dùng website gimạo thư
viện để lừa độc giả nhập user name, mật khẩu tài khoản internet banking hay xác
lOMoARcPSD|45470368
thực OTP để lừa độc giả nhằm mục đích lừa đảo đánh cắp tiền.Vì vậy cần phải đảm bảo
an toàn thông tin/dữ liệu thanh toán phí mua trực tuyến nhằm đảm bảo lợi ích của độc
giả và thư viện khi tham gia giao dịch.
Thông tin/ dữ liệu mượn trả sách của độc giả. Đảm bảo tính an toàn của thông tin nhằm
đảm bảo tính toàn vẹn tính an toàn của thông tin.Nhằm chỉ đáp ng nhu cầu mượn tr
sách của những độc giquyền truy cập o hệ thống thư viện. Giúp thư viện thể
lưu giữ những thông tin độc giả (họ tên, MSSV, sđt, địa chỉ ( nếu có) ,..) đã mượn trả
sách qua đó quản lí, kiểm soát tài liệu sách báo của thư viện thông tin mượn trả sách của
độc giả, nhắc nhở độc giả trả sách đúng hẹn nhằm tránh khỏi những rủi ro mất mát thất
thoát tài liệu, sách của thư viện.
2. Giải pháp cài đặt nâng cao tính an toàn:
(Thực hiện liên kết thanh toán với các dịch vụ mà thanh toán được công nhận ATTT có giấy
phép hy chứng chỉ ATTT-đặt mua online,thẻ thanh toán,ví điện tử,tk thanh toán) (Mã hóa dữ
liệu lưu trữ - thông tin cá nhân ).
Thông tin dữ liệu thanh toán phí mua trực tuyến: dùng bảo mật 2 lớp dùng user name +
password để đăng nhập vào website của trường thì mới có thể thực hiện mua và thực hiện
thanh toán và khi thực hiện thanh toán sẽ sử dụng mã OTP ( sms otp, email otp...)
Quy trình: Sử dụng bảo mật 2 lớp user name + password để đăng nhập vào tài khoản
user name thể địa chỉ mail, số tài khoản y vào tài khoản ngân hàng dùng
password để đăng nhập vào, sau khi lựa chọn được tài liệu điện tử cần mua thì độc giả
sẽ xác nhận việc thanh toán. Ngân hàng sẽ gửi mã OTP về cho độc giả hình thức nhận
OTP có thể qua sms otp hay mail otp người dùng khi nhận được OTP sẽ dùng
OTP để đăng nhập xác thực và giao dịch thành công.
Thông tin/ dữ liệu mượn trả sách của độc giả: dùng user name + password
Qui trình: để thực hiện đăng kí mượn trả sách độc giả phải đăng nhập vào hệ thống, để
quản lí việc mượn trả của độc giả vậy phải tài khoản trên hệ thống sử dụng user
name + password, password phải mạnh thường xuyên thay đổi khoảng 2-3 tuần thay
đổi 1 lần.
Tình huống 2:
Để phục vụ nhu cầu học tập và nghiên cứu của cán bộ, giảng viên và sinh viên của trường (gọi
chung là độc giả), nhà trường đã trang bị một phòng đọc sách cho các độc giả. Phòng này có
trang bị máy lạnh, n ghế, wifi, 100 chiếc y tính để bàn. Sinh viên thể tự vào ra
phòng đọc sách trong khoảng thời gian thư viện mở để ngồi đọc sách, học tập nghiên cứu
dùng các y tính. Các máy tính chỉ dùng để học tập/nghiên cứu chkhông cho phép chơi
game.
Yêu cầu:
lOMoARcPSD|45470368
1. Theo bạn để thể kiểm soát, chứng thực theo dõi sự vào ra phòng đọc sách của các
độc giả một cách tự động thì chúng ta có thể dùng phương pháp nào (chữ ký số, xác thực
và điều khiểu truy cập bằng mật khẩu (fixed password, OTP), sinh trắc học (vân tay hoặc
khuôn mặt, con ngươi,…)) để kiểm soát nêu do tại sao phương pháp y hữu
hiệu nhất?
2. Theo bạn để thể chứng thức, kiểm soát theo dõi việc sử dụng wifi thiết bị y
móc ở phòng đọc sách thì chúng ta dùng những phương pháp nào (chữ ký số, xác thực
điều khiểu truy cập bằng mật khẩu (fixed password, OTP), thẻ từ, camera, sinh trắc học
(vân tay hoặc khuôn mặt, con ngươi,…)) nêu do tại sao phương pháp y hữu
hiệu nhất?
GIẢI
- Giải pháp cài đặt để kiểm soát sự ra vào phòng đọc sách của các độc giả một cách tự động:
dùng thẻ từ ,tài khoản user đăng nhập máy để nhận diện và kiểm soát truy cập. Khái niệm
thẻ từ là một thẻ nhựa có gắn một dải băng từ ở mặt sau của thẻ. Dải băng từ này có từ tính
và các thiết bị đọc ghi thẻ, lưu trữ thông tin của chủ thẻ. Các thông tin chỉ được mã hóa một
lần và khi quẹt thẻ qua máy thanh toán, thông tin được giải mã. Mô tả giải pháp khi sinh
viên muốn vào phòng đọc sách của thư viện thì yêu cầu mỗi sinh viên đều phải có thẻ từ
của cá nhân, dùng thẻ từ để quẹt mở của ra để vào phòng đọc sách tuy nhiên nếu chỉ dùng
thẻ từ để kiểm soát việc ra vào của sinh viên thì có khả năng xảy ra trường hợp người khác
mượn thẻ từ của sinh viên để vào ra phòng đọc sách vì vậy nên kết hợp kiểm soát sự ra vào
của sinh viên bằng cách dùng thẻ từ kết hợp với truy cập user đăng nhập máy và có cả
camera để giám sát được ai đã vào ra thư viện trong khoảng thời gian xác định
- Hoặc chúng ta có thể sử dụng sinh trắc học bằng vân tay để kiểm soát việc ra vào phòng
đọc sách của thư viện tuy nhiên trên thực tế giải pháp này còn hạn chế sử dụng trong phạm
vi thư viện vì việc lắp đặt sinh trắc học sẽ mất nhiều chi phí hơn thẻ từ và cá nhân mỗi sinh
viên vào ra phòng đọc sách phải đi đăng kí danh sách lấy mẫu vân tay. Vì vậy sử dụng thẻ
từ kết hợp với camera vẫn được xem là giải pháp tối ưu và hiệu quả nhất.
- Lý do sử dụng giải pháp: Nhằm quản lí việc ra vào phòng đọc sách, kiểm soát, biết được
những ai đã ra vào phòng trong khoảng thời gian xác định để tránh những trường hợp
những người vào thư viện nhưng không phải là sinh viên và vào vì những mục đích khác vì
phòng đọc sách có nhiều thiết bị điện tử như máy tính …để tránh những rủi ro mất mát tài
sản có thể xảy ra thì chúng ta nên thực hiện kiểm soát việc ra vào phòng để giám sát, quản
lí và bảo quản tài sản vật chất của thư viện cùng với tài liệu sách báo.
- Đưa và mô tả giải pháp kiểm soát việc sử dụng wifi:
+ Dùng user name + password. Sinh viên muốn đăng nhập vào wifi phòng đọc sách của thư
viện thì phải biết user name + password mà thư viện cung cấp để đăng nhập vào mạng. wifi
của phòng đọc sách chỉ được sử dụng cho việc học tập và nghiên cứu. Vì vậy chỉ những sinh
viên có nhu cầu sử dụng cho việc học tập nghiên cứu mới được nhân viên thư viện cung cấp
lOMoARcPSD|45470368
cho user name + password tránh cho những sinh viên kết nối wifi của thư viện không vì mục
đích học tập, nghiên cứu mà vì mục đích chơi game, lướt fb, mạng xã hội
+ Đưa và mô tả giải pháp kiểm soát việc sử dụng thiết bị máy móc ở phòng đọc sách: dùng
username + password. Mô tả: cụ thể là thiết bị máy tính muốn đăng nhập vào máy tính của
phòng đọc sách người dùng phải có tài khoản đăng nhập user name + password ( ví dụ user
name + là mã số sinh viên của người đăng nhập), muốn sử dụng y tính người dùng sẽ sử
dụng user name + password để đăng nhập để mở máy tính và sử dụng nhằm mục đích kiểm
soát việc truy cập máy tính phòng khi người sử dụng máy tính làm hư hỏng thiết bị thì
chúng ta có thể truy xuất để biết ai đã sử dụng máy tính này, và dùng để quản lí những người
sử dụng máy tính cho mục đích học tập, ai dùng sai mục đích như để chơi game, lướt mạng
xã hội sẽ bị nhắc nhở.
Tình huống 3:
Giả sử khoa Kế toán của trường IUH trang bị một ‘Phòng phỏng thực hành quy trình
nghiệp vụ Kế toán – Tài chính Tín dụng’ (gồm 30 máy tính) dùng để phục vụ cho việc học
tập nghiên cứu của các thành viên trong câu lạc bộ Kế_Tài_Ngân_Club. Phòng y y
gồm một máy chủ (server), nhiều máy trạm (work station) một y in (printer) được cài
đặt các phần mềm về kế toán, tài chính & ngân hàng để cho các thành viên trong câu lạc bộ
vào sử dụng để nghiên cứu và học tập. Khoa mong muốn phòng máy được cài đặt và cấu hình
làm sao mà các thành viên có thể ra vào và sử dụng các tài nguyên một cách thuận tiện nhưng
vẫn có cơ chế theo dõi một cách tự động.
1. Theo bạn, phòng máy nên dùng phương pháp nào (chữsố, xác thực và điều khiểu truy
cập bằng mật khẩu (fixed password, OTP), thẻ từ, camera, sinh trắc học (vân tay hoặc
khuôn mặt, con ngơi,…)) mà các thành viên có thể vào ra một cách thuận tiện nhưng vẫn
kiểm soát được khi cần thiết. Bạn y mô tả giải pháp một cách chi tiết nhất và nêu lý do
tại sao đây là giải pháp hợp lý nhất.
2. Theo bạn, để thể kiểm soát việc sử dụng thiết bị, ứng dụng được cài đặt trong phòng mô
phỏng chúng ta thể ng phương pháp nào (chữ số, xác thực điều khiểu truy cập
bằng mật khẩu (fixed password, OTP), thẻ từ, camera, sinh trắc học (vân tay hoặc khuôn
mặt, con ngơi,…)) và nêu lý do tại sao đây là giải pháp hợp lý nhất?
GIẢI
1. Giải pháp để các thành viên thể vào ra một cách thuận tiện nhưng vẫn kiểm soát được
khi cần thiết: Dùng thẻ từ + tài khoản user truy cập được cấp cho mỗi người camera để
nhận diện và kiểm soát truy cập. Khái niệm thẻ từ là một thẻ nhựa có gắn một dải băng từ
mặt sau của thẻ. Dải băng từ y có từ tính các thiết bị đọc ghi thẻ, lưu trữ thông tin
của chủ thẻ. Các thông tin chỉ được hóa một lần khi quẹt thẻ qua máy thanh toán,
thông tin được giải mã. Mô tả giải pháp khi sinh viên muốn vào phòng y mô phỏng
thực hành thì yêu cầu mỗi sinh viên đều phải có thẻ từ của nhân, dùng thẻ từ để quẹt mở
cửa ra để vào phòng y tuy nhiên nếu chỉ dùng thẻ từ để kiểm soát việc ra vào của sinh
lOMoARcPSD|45470368
viên thì khả năng xảy ra trường hợp người khác mượn thẻ từ của sinh viên để vào ra
phòng máy vì vậy nên kết hợp kiểm soát sự ra vào của sinh viên bằng cách dùng thẻ từ kết
hợp với camera để giám sát được ai đã vào ra phòng máy trong khoảng thời gian xác định.
2. Giải pháp kiểm soát việc sử dụng thiết bị, ứng dụng được cài đặt trong phòng phỏng:
dùng user name + password. tả: cụ thể thiết bị khi muốn đăng nhập thì người dùng
phải tài khoản đăng nhập user name + password (ví dụ user name số sinh viên
của người đăng nhập) nhằm mục đích kiểm soát việc truy cập y tính. Đây giải pháp
hợp nhất mục đích kiểm soát việc truy cập y tính phòng khi người sử dụng máy
tính làm hư hỏng thiết bị thì chúng ta có thể truy xuất để biết ai đã sử dụng y tính y,
và dùng để quản những người sử dụng y tính cho mục đích học tập, ai dùng sai mục
đích như để chơi game, lướt mạng xã hội sẽ bị nhắc nhở.
| 1/16
| | Tải xuống

Có thể bạn quan tâm:

Preview text:

lOMoARcPSD| 45470368 lOMoAR cPSD| 45470368
Nội dung LO3 - Giải thích được các khái niệm cơ bản về An toàn thông tin, hệ mã hóa
1. Chữ ký điện tử là gì? Mục tiêu của chữ ký điện tử? Trình bày hiện trạng áp dụng
chữ ký điện tử ở Việt Nam.
- Chữ ký điện tử là một trong ứng dụng quan trọng nhất của mã hóa khóa công khai.
không những giúp xác thực thông điệp mà còn bảo vê mỗi bên khỏi bên kia. Quy trìnḥ
sử dụng chữ ký số như sau:
o Người gửi dùng một thuật toán tạo chữ ký (signing algorithm) để ký thông điệp.
Thông điệp và chữ ký được gửi cho người nhận.
o Người nhận dùng thuận toán thẩm tra chữ ký (Verifying algorithm) để thẩm tra.
o Nếu đúng, thông điệp được chấp nhận, ngược lại sẽ từ chối thông điệp.
- Mục tiêu: Nhằm bảo đảm vấn đề toàn vẹn dữ liệu, và chống sự chối bỏ trách nhiệm khi
đã ký. Chữ ký điện tử mở đường cho các dịch vụ có độ tin cậy cao.
- Hiện trạng: Theo “Báo cáo tình hình phát triển và ứng dụng chữ ký số tại Việt Nam
năm 2018”, tính đến thời điểm 31/3/2019 có:
o 703.753 DN sử dụng chữ ký số trong lĩnh vực thuế trên tổng số 711.748 DN đang
hoạt động, đạt tỷ lệ 98,87%, tăng 55.623 tổ chức, doanh nghiệp so với năm 2018;
o 232.431 DN sử dụng chữ ký số trong hoạt động trong lĩnh vực hải quan, tăng
90.338 doanh nghiệp so với năm 2018 o 441.096 doanh nghiệp sử dụng chữ ký
số trong kê khai bảo hiểm xã hội, tăng
231.678 doanh nghiệp so với năm 2016. o 2.824 DN dùng chữ ký số trong
lĩnh vực chứng khoán, năm 2018 là 2.815.
2. Đưa ra một hệ thống thông tin hoặc một trang web thực tế ở Việt Nam mà có sử
dụng chữ ký điện tử? Nghiệp vụ nào trong hệ thống đó có sử dụng chữ ký số? Trình
bày các bước cụ thể để người dùng trong hệ thống này thực hiện nghiệp vụ có sử dụng
chữ ký số. (gợi ý: Website của cơ quan Thuế, Website của cơ quan Hải quan, Website
của cơ quan Bảo hiểm xã hội, ....)
- Một hệ thống thông tin hoặc một trang web thực tế ở Việt Nam: Website của cơ quan
thuế: http://thuedientu.gdt.gov.vn.
- Nghiệp vụ trong hệ thống sử dụng chữ kí số: Sử dụng chữ ký số để kê khai thuế điện
tử và nộp thuế điện tử tại Trang thông tin điện tử của Tổng cục Thuế Việt Nam.
- Các bước cụ thể: Sau khi nhận được USB token và mật khẩu từ nhà cung cấp CKS, bạn
cần thực hiện các bước dưới đây để sử dụng chữ ký số kê khai Hải quan điện tử: lOMoARcPSD| 45470368
Bước 1 : Cài đặt USB Token chữ ký số
Cắm thiết bị Chữ ký số (USB Token) vào cổng USB của máy tính.
Sau khi cắm thiết bị USB Token vào máy tính cửa sổ cài đặt sẽ xuất hiện bạn chọn
“Run” để tiến hành cài đặt driver cho thiết bị
Bước 2 : Đăng ký Chữ ký số với cơ quan Hải quan
Truy cập vào Website của Tổng cục Hải quan Việt Nam tại địa chỉ:
http://www.customs.gov.vn, sau đó chọn mục “Đăng ký Doanh nghiệp sử dụng chữ ký số” Đăng nhập:
Mã doanh nghiệp: nhập mã số thuế của doanh nghiệp.
Số CMT: (Doanh nghiệp trong nước: số chứng minh nhân dân/ căn cước
công dân hoặc số hộ chiếu thể hiện trên Giấy Chứng nhận ĐKKD của doanh
nghiệp. Doanh nghiệp có vốn đầu tư nước ngoài: số chứng minh nhân dân/ căn
cước công dân hoặc số hộ chiếu của người đại diện pháp luật) Nhập dãy số xác nhận.
Bấm chọn mục “Xem thông tin”
Xem thông tin chứng thư số: Khi giao diện “Doanh nghiệp đăng ký chữ ký số”
hiện ra, bạn chọn nút “Xem thông tin chứng thư số”, hệ thống sẽ tự động xuất
hiện các thông tin trong USB Token, sau đó bạn nhập lại đúng thời hạn sử
dụng chữ ký số vào 2 trường: Ngày hiệu lực đăng ký, Ngày hết hiệu lực đăng ký. Trong đó:
• Ngày hiệu lực đăng ký: Để là ngày hiện tại hoặc để ngày mặc định đang
hiển thị trên hệ thống.
• Ngày hết hiệu lực đăng ký: Nhập giống ngày hết hạn của Chữ ký số.
Lưu ý: USB Token phải được cắm vào máy tính trước khi chọn vào mục
“Xem thông tin Chứng thư số”
Sau khi điền đầy đủ các thông tin, bạn chọn “Đăng ký thông tin” để hoàn thành
thủ tục đăng ký Chữ ký số với Cơ quan Hải quan.
Thông báo Cập nhật thành công xuất hiện, bấm chọn “OK” để hoàn thành thủ
tục đăng ký chữ ký số với Cơ quan Hải quan trên Website của Tổng cục Hải quan.
Bước 3 : Thiết lập chữ ký số trên phần mềm Hải quan điện tử
Thiết lập chữ ký số trên phần mềm hải quan điện tử ECUS
Trên giao diện phần mềm Hải quan điện tử ECUS, bạn lựa chọn menu “Hệ
thống”, sau đó chọn “Thiết lập thông số khai báo” để mở ra cửa sổ “Thiết
lập thông số khai báo” lOMoARcPSD| 45470368
Khi cửa số “Thiết lập thông số khai báo” hiện ra bạn tick vào ô “Áp dụng
chữ ký số khi khai báo”. Tiếp theo chọn “Đồng ý” để hoàn tất việc thiết lập
chữ ký số trên phần mềm Hải quan điện tử ECUS.
Thiết lập chữ ký số trên phần mềm hải quan điện tử CDS Live+
Trên giao diện phần mềm Hải quan điện tử CDS Live+, bạn chọn mục “Hệ
thống”, sau đó chọn chức năng “Tài khoản Hải quan”, tiếp theo chọn “Danh
sách tài khoản”. Khi cửa sổ Danh sách tài khoản Hải quan hiện ra.
• Phần Version khai TQĐT: bạn chọn Version 3.0
• Phần Cấu hình chữ ký số: bạn chọn tên CKS đang sử dụng
Bước 4 : Sử dụng Chữ ký số để kê khai Hải quan điện tử
Bước này sẽ hướng dẫn bạn sử dụng Chữ ký số để kê khai Hải quan điện tử với
phần mềm ECUS (Các phần mềm khác sử dụng tương tự như phần mềm ECUS)
Tạo các tờ khai như cách thông thường
Sau khi tạo xong tờ khai, bạn bấm vào nút “Khai báo”, khi cửa sổ “Thông
báo” hiện ra bạn chọn “Yes” để đồng ý áp dụng Chữ ký số.
Cửa sổ Verify User PIN xuất hiện: bạn hãy nhập mã PIN USB Token vào 2
ô Mật khẩu và Nhập lại mật khẩu để tiến hành ký lên tờ khai
Sau khi ký điện tử, nhận kết quả cấp số và phân luồng của tờ khai
3. Chứng thư số là gì? Mục tiêu của chứng thư số? Hiện nay Việt Nam đã có các đơn vị
nào có thể cung cấp dịch vụ chứng thư số?
- Chứng thư số là một văn bản cung cấp khóa công khai được cung cấp và quản lý bởi
một tổ chức gọi là nhà cung cấp chứng chỉ (certificate authority, hay viết tắt là CA)
hoạt động nhờ vào nguyên lý bên thứ ba tin cậy.
- Mục tiêu của chứng thư số:
o Là chứng thực để gắn một chìa khóa công khai với một thực thể (cá nhân, máy chủ,
cty,...). Hay nói cách khác, chứng thư số giúp xác định chìa khóa công khai thuộc về thực thể nào.
o Nhằm cung cấp PU của người sử dụng.
o Hỗ trợ ký số các loại văn bản, tài liệu, hợp đồng, hóa đơn,… dưới file doc, pdf hoặc một tệp tài liệu
o Mã hóa thông tin để đảm bảo bí mật giữa người gửi và người nhận thông qua mạng internet
o Thực hiện các kênh liên lạc trao đổi thông tin bí mật với các thực thể khác trên mạng lOMoARcPSD| 45470368
- Các đơn vị có thể cung cấp dịch vụ chứng thư số ở Việt Nam là: Cơ quan thuế, Văn phòng Chính Phủ 1.VINA-CA 2.VIETTEL-CA 3.BKAV-CA 4.VNPT-CA 5.NEWTEL-CA 6.NACENCOMMSCT-CA 7.FPT-CA 8.CK-CA 9.SAFECERT-CA(?)
4. Chứng thư số là gì? Nội dung có trong chứng thư số là gồm những nội dung gì?
- Chứng thư số là một văn bản cung cấp khóa công khai được cung cấp và quản lý bởi
một tổ chức gọi là nhà cung cấp chứng chỉ (certificate authority, hay viết tắt là CA)
hoạt động nhờ vào nguyên lý bên thứ ba tin cậy.
- Nội dung của chứng thư số: Một chứng thư số thường gồm chìa khóa công khai và một
số thông tin khác về thực thể sở hữu chìa khóa đó. Cụ thể nội dung của chứng thư số
bao gồm: (chép 1 trong 2) o Tên của tổ chức cung cấp dịch vụ chứng thực chữ ký số.
o Tên của thuê bao. o Số hiệu chứng thư số. o Thời hạn có hiệu lực của chứng thư
số. o Khóa công khai của thuê bao. o Chữ ký số của tổ chức cung cấp dịch vụ chứng
thực chữ ký số. o Các hạn chế về mục đích, phạm vi sử dụng của chứng thư số.
o Các hạn chế về trách nhiệm pháp lý của tổ chức cung cấp dịch vụ chứng thực chữ ký số. o Thuật toán mật mã.
o Các nội dung cần thiết khác theo quy định của Bộ Thông tin và Truyền thông. hoặc:
o Version: Chỉ định phiên bản của chứng nhận X. 509
o Serial Number: Số loạt phát hành được gán bởi CA. Mlo64i CA nên gán
một mã số loại duy nhất cho mỗi giấn chứng nhận mà nó phát hành
o Signature Algorithm ID: Chỉ rõ thuật toán tạo chữ ký mà được CA sử
dụng để ký giấy chứng nhận lOMoARcPSD| 45470368
o Issuer Name: Tên tổ chức CA phát hành chứng thư số. Hai CA khác nhau
không được dùng cùng một tên phát hành
o Validity Period: Gồm hai giá trị chỉ định khoảng thời gian mà giấy chứng nhận có hiệu lực
o Subject Name: Tên chủ thể được cấp chứng thực
o Public key: Khóa công khai của chủ thể được chứng thực
o Signature: Chữ ký số được tổ chức CA áp dụng
5. Chứng thực thực thể là gì? Trình này 2 phương pháp mà bạn biết mà có thể cài đặt
để chứng thực thực thể.
- Chứng thực thực thể là một kỹ thuật được thiết kế cho phép một bên (party) chứng minh
sự nhận dạng (identity) của một bên khác.
- Phương pháp có thể cài đặt chứng thực thực thể: o Chứng thực bằng Password: Là
phương pháp đơn giản và lâu đời nhất, được gọi là Password-based Authentication,
password là một thứ mà người dùng biết. Khi đăng nhập vào hệ thống, người dùng
được yêu cầu: Xác định danh tính – một định danh người dùng (user identification)
công khai và Cung cấp thông tin xác thực một password bí mật. o Chứng thực bằng
Sinh trắc học: Sinh trắc học (Biometric) là phép đo lường về các đặc tính sinh lý học
hoặc hành vi học mà nhận dạng một con người. đo lường các đặc tính mà không thể
đoán, ăn cắp hoặc chia sẻ. Chứng thực (Authentcation) được thực hiện bởi sự thẩm tra
(Verification) hoặc nhận dạng (identication). Chúng ta nên chọn kỹ thuật sinh trắc học
nào phù hợp cho ứng dụng.
Ưu điểm của loại chứng thực này là: không thể bị đánh cắp bỏ quên, chia sẻ
do các đặc tính sinh trắc học là nhất quán và vĩnh cữu, và chứng thực này
không yêu cầu phải nhớ mà luôn luôn sẵn dùng cho mỗi cá nhân.
Nhược điểm là: Chi phí xây dựng thiết bị chứng thực và các thuật toán chứng
thực đắt đỏ, luôn luôn tồn tại những lỗi nhất định như từ chối người dùng hợp
lệ khi đặc tính sinh học của người đăng ký đó thay đổi hay do độ chính xác
của thuật toán sinh trắc không tối ưu, hay tệ hơn là chấp nhận người dùng hợp
lệ do độ chính xác của thuật toán chưa tốt.
6. Điều khiển truy cập là gì? Trình bày ít nhất 2 phương pháp mà bạn biết mà có thể
cài đặt điều khiển truy cập một hệ thống thông tin.
- Điều khiến truy cập là cơ chế của hệ thống thông tin cho phép hoặc hạn chế truy
cập đến dữ liệu hoặc các thiết bị.
- Phương pháp có thể cài đặt điều khiển truy cập một hệ thống thông tin: o Phân
quyền cho người dùng: sinh viên tra điểm, GV nhập điểm. lOMoARcPSD| 45470368
o Phân quyền với đối tượng đó: ví dụ file hệ thống file được mở không được sửa đổi và sao chép .
7. Mật khẩu (password) là gì? Mật khẩu cố định (fixed password) và mật khẩu dùng
một lần (one time password) khác nhau như thế nào? Trình bày điểm mạnh và điểm
yếu của 2 loại mật khẩu.
- Password hay mật khẩu là một chuỗi ký tự được sử dụng rất phổ biến trong các dịch
vụ internet, hệ thống máy tính hay phần mềm ứng dụng nào đó. Nó giúp cho người
dùng bảo vệ sự riêng tư cũng như hạn chế tối đa khả năng truy cập bất hợp pháp từ người khác
- Sự khác nhau giữa mật khẩu cố định và mật khẩu dùng một lần:
Mật khẩu cố định
Mật khẩu dùng một lần
- Là một password được dùng lặp đi lặp - Là mật khẩu sử dụng một lần duy nhất lại mỗi
lần truy xuất. gồm một dãy các ký tự hoặc chữ số ngẫu - Vẫn giữ nguyên và cố định
nếu ta nhiên được gửi đến số điện thoại nhằm không thay đổi mật khẩu xác nhận giao dịch.
- Mật khẩu cố định thường được dùng ở: - Mã OTP được dùng làm bảo mật 2 lớp
…. (KB) trong các giao dịch xác minh đăng nhập. - Rất thô sơ, User ID và Password
được Sau 30s đến 2 phút, mã OPT lại bị thay lưu trong 1 tập tin đổi một lần.
- Mật khẩu dung một lần thường dung trong các giao dịch với tài khoản ngân hàng,…
- Được xác nhận bổ sung khi thực hiệngiao dịch, thanh toán qua Internet.
Điểm mạnh và điểm yếu của 2 loại mật khẩu:
Mật khẩu cố định (fixed password)
Điểm mạnh: Vì mât khẩu sử dụng lặp đi lặp lại mỗi lần truy xuất nên người
dụng có thể dễ dàng ghi nhớ. (KB) Điểm yếu:
Yếu điểm của mật khẩu có liên quan đền trí nhớ con người: Con người chỉ
có thể nhớ một số lượng mật khẩu nhất định. Nếu mật khẩu dài, phức tạp thì
đem lại hiệu quả tốt nhưng người ta lại khó nhớ.
Mỗi tài khoản có mật khẩu khác nhau
Chính sách an toàn mật khẩu đòi hỏi mật khẩu chỉ có hiệu lực trong một
khoảng thời gian: Người dùng ghi nhớ mật khẩu nhiều lần
Người dùng thường chọn đường tắc như là: Dùng mật khẩu yếu hay sử dùng
một mật khẩu cho nhiều tài khoản.
Kẻ xấu có thể tấn công mật gây nên các hậu quả nặng nề như: lOMoARcPSD| 45470368
Kỹ nghệ xã hội: Lừa đảo, nhìn trôm, lục lọi. Chụp lén
Trình theo dõi thao tác bàn phím, phân tích giao thức
Tấn công “man in the middle Dò và vét cạn
Tấn công dùng tự điển
Mật khẩu dùng một lần (one time password) (KB) Điểm mạnh:
Mã OTP được dùng làm bảo mật 2 lớp trong các giao dịch xác minh đăng
nhập nên nó sẽ giảm thiểu tối đa rủi ro bị tấn công khi lộ mật khẩu hay tin tặc tấn công.
khả năng bổ sung thêm lớp bảo mật cho tài khoản thanh toán
Cách sử dụng đơn giản, dễ hiểu, tiện lợi
Mức phí dịch vụ thấp
Phổ biến trong nhiều hình thức xác minh chủ thể như giao dịch ngân hàng,
tạo tài khoản mạng xã hội, tạo tài khoản email… Điểm yếu:
Mã OTP có thể bị lộ nếu chủ tài khoản không giữ thông tin cẩn thận
Giao dịch thông qua hệ thống internet có thể bị hacker tấn công
Với hình thức OTP Token, bảo mật hơn nhưng phải trả thêm chi phí làm máy Token.
8. Trình bày các loại mã OTP, nêu ưu điểm và nhược điểm của từng loại.
Những loại mã OTP phổ biến hiện nay: SMS OTP, TOKEN KEY (TOKEN CARD), SMART OTP – SMART TOKEN. SMS OTP Ưu điểm:
o Làm lớp thứ 2 bảo vệ khi đăng nhập hay thanh toán giao dịch nào đó. o Thời
gian tích hợp dịch SMS OTP nhanh chóng, chỉ từ 30 – 60 phút. o Tốc độ gửi
SMS OTP nhanh (từ 5-10s/SMS).
o Hệ thống ổn định trên nền tảng Cloud
o Hình thức này không chỉ được các ngân hàng sử dụng mà cả các công ty công
nghệ lớn trên thế giới như Google, Facebook cũng áp dụng để tạo lớp bảo mật lOMoARcPSD| 45470368
thứ hai cho tài khoản. Và lớp bảo vệ này sẽ xuất hiện khi phát hiện bất kỳ hoạt
động không rõ ràng nào từ tài khoản của bạn.
o Vừa nhanh, vừa tiện lợi. Người dùng có thể copy mã OTP trực tiếp từ tin nhắn
sang mục OTP trong tài khoản để thực hiện giao dịch.
Nhược điểm: o Người dùng không thể sử dụng được ở nơi không có sóng di động,
hoặc di chuyển ra nước ngoài. TOKEN KEY (TOKEN CARD)
Ưu điểm o Đây là thiết bị có thể giúp tạo mã OTP, nó có thể sinh ra tự động sau
mỗi phút mà không cần kết nối internet. Đây cũng là cách hạn chế việc lộ thông tin tài khoản.
o Đây là một thiết bị rời, nhỏ gọn cho nên có thể luôn luôn mang đi bên mình o
Cách sử dụng máy Token rất dễ dàng. Nhược điểm
o Mã Token thường chỉ có hiệu lực trong 60 giây và Bắt buộc phải có máy Token
thì bạn mới có thể giao dịch được. o Cần phải bảo quản cẩn thận vì dễ đánh mất.
o Cá nhân bình thường thì ít sử dụng Token hơn vì để có thiết bị token sẽ phải trả
phí làm máy cho ngân hàng. SMART OTP – SMART TOKEN Ưu điểm:
o Đây được coi là hình thức kết hợp hoàn hảo giữa SMS OTP và Token Key
o Smart OTP có thể được sử dụng mọi lúc mọi nơi vì nó được tích hợp sẳn trên
ứng dụng của điện thoại. Khi có phiên giao dịch trực tuyến thì Smart OTP sẽ
được gửi về ứng dụng trên smartphone.
o Cung cấp mã xác thực kể cả ở những nơi không có sóng điện thoại và
Internet o An toàn và bảo mật hơn với nhiều lớp bảo mật (mật khẩu điện
thoại, mật khẩu ứng dụng, bàn phím hiển thị ngẫu nhiên …). Nhược điểm:
o SMS OTP còn bị lệ thuộc vào bảo mật của các nhà mạng, đòi hỏi khách hàng
phải roaming khi đi nước ngoài...
9. Đưa ra một hệ thống mà bạn biết có sử dụng mật khẩu cố định (fixed password) và
mô tả các bước thực hiện để bạn có thể được chứng thực người dùng trong hệ thống
đó. Nêu mục tiêu của việc chứng thực này.
Hệ thống có sử dụng mật khẩu cố định (fixed password): Ví dụ như các tài khoản cá
nhân như tài khoản Gmail, Facebook, Instagram, tài khoản ngân hàng,... lOMoARcPSD| 45470368
Các bước để thực hiện để bạn có thể được chứng thực người dùng trong hệ thống facebook:
Bước 1: Truy cập website Facebook, nhập email/sđt người dùng
Bước 2: Nhấn nút đăng nhập
Nếu truy cập đúng tài khoản email/sdt và mật khẩu thì đăng nhập được. Còn nếu
tài khoản email/sdt hoặc mật khẩu sai thì hệ thống sẽ thông báo trên màn hình là:
“email/sdt/mật khẩu của bạn không đúng, vui lòng nhập lại” hoặc “Vui lòng kiểm
tra mã trong email của bạn. Mã này gồm 6 số.”
Trường hợp người dùng cài đặt mã xác thực hai yếu tố thì hệ thống sẽ gửi một mã
xác thực 2 yếu tố trên facebook về điện thoại của bạn. Sau khi nhập mã đó vào máy
tính thì sẽ đăng nhập được.
Mục tiêu của việc chứng thực: nhằm mục đích giúp xác định người dùng đó có phải là
chủ tài khoản hay không, tránh tình trạng nhìn lén và đăng nhập, ăn cắp tài khoản,…
10.Đưa ra một hệ thống mà bạn biết có sử dụng mật khẩu dùng một lần (one time
password) và mô tả tình huống mà bạn có sử dụng mật khẩu để chứng thực người
dùng/giao dịch. Nêu mục tiêu của việc chứng thực này.
Hệ thống có sử dụng mật khẩu dùng một lần (one time password). VD: thanh toán trực
tuyến qua ví điện tử momo, E-Mobile Banking,...
Các bước để thực hiện để bạn có thể được chứng thực người dùng trong hệ thống tài
khoản ngân hàng AGRIBANK thanh toán trực tuyến qua ví điện tử momo
Bước 1: Khách hàng truy cập Website/Ứng dụng của nhà cung cấp hàng hóa, dịch vụ
và lựa chọn hàng hóa, dịch vụ có nhu cầu.
Bước 2: Lựa chọn hình thức thanh toán trực tuyến.
Bước 3: Khách hàng nhập mật khẩu OTP (nếu có) để chứng thực và hoàn tất giao dịch.
Bước 4: Thông báo kết quả giao dịch và thanh toán.
Một số lưu ý khi sử dụng dịch vụ thanh toán trực tuyến (?)
Đối với máy tính dùng để giao dịch thanh toán trực tuyến
Cài đặt phần mềm chống virus và thường xuyên thực hiện quét virus ở máy
tính bằng các chương trình diệt virus có bản quyền được cập nhật liên tục.
Không truy cập vào Website có địa chỉ truy cập (đường link) lạ gửi qua email,
mạng xã hội và thận trọng với những quảng cáo khi truy cập Internet.
Chỉ cài đặt phần mềm ứng dụng từ những đường link tin cậy, không chấp nhận
các chương trình đính kèm các email không rõ nguồn gốc, v.v… lOMoARcPSD| 45470368
Thận trọng khi thực hiện giao dịch trên Website tại máy tính dùng chung hay
máy tính tại điểm truy cập Internet công cộng.
Bảo mật tên truy cập và mật khẩu ngân hàng điện tử
Quý khách khi được cấp tên truy cập và mật khẩu truy cập vào các ứng dụng
như E-Mobile Banking, Internet Banking thì cần thay đổi ngay mật khẩu,
không nên đặt mật khẩu quá dễ đoán và nên thay đổi mật khẩu định kỳ.
Quý khách cần bảo mật tên truy cập và đặc biệt là mật khẩu truy cập, tuyệt đối
không tiết lộ cho người khác biết và ở bất kỳ Website nào trừ Website của Agribank.
Thoát khỏi tài khoản truy cập ứng dụng nếu không sử dụng các dịch vụ liên
quan đến thanh toán bằng thẻ trên Internet.
Không click vào các link Website được đính kèm email, dù có đáng tin cậy thế nào.
Tuyệt đối không được tiết lộ OTP cho bất kỳ ai khác qua bất kỳ phương tiện
nào (Chat, email, nhập vào Website, điện thoại di động, mạng xã hội, v.v…).
Nên giữ điện thoại di động (Số đã đăng ký với ngân hàng để nhận tin nhắn
SMS cung cấp OTP) bên mình. Trường hợp bị mất điện thoại di động thì thông
báo ngay với Agribank để tạm dừng dịch vụ thanh toán trực tuyến. Sau đó đến
Agribank để thay đổi số điện thoại di động nhận OTP.
Mục tiêu xác thực OTP: chứng thực 2 lớp, chứng thực lớp thứ 2, khi người dùng giao
dịch cần xác thực người dùng lại 1 lần nữa để giảm rủi ro bị giả mạo.
11. Sinh trắc học (biometric) là gì? Nêu các lĩnh vực mà có thể áp dụng sinh trắc học?
Sinh trắc học (Biometric) là phép đo lường về các đặc tính sinh lý học hoặc hành vi
học mà nhận dạng một con người. Sinh trắc học đo lường các đặc tính mà không thể
đoán, ăn cắp hoặc chia sẻ.
Các lĩnh vực có thể áp dụng sinh trắc học:
o Lĩnh vực khoa học, công nghệ: cảm biến vân tay, Tính năng nhận diện khuôn
mặt (Ví dụ: Tính năng nhận diện khuôn mặt và tư động gợi ý gắn thẻ bạn bè
của Facebook là một ví dụ gần gũi nhất cho công nghệ này. Khi bạn đăng hình
ảnh của mình và bạn bè lên Facebook, Facebook sẽ tự động nhận diện bạn bè
của bạn và gợi ý gắn thẻ nhờ những hình ảnh cũ mà bạn bè của bạn đã đăng,
hoặc những lần bạn đã gắn thẻ họ trước đây.), Công nghệ xác thực về hành vi,
Cơ chế nhận diện mống mắt của thiết bị (hoặc bộ cảm biến).
o Lĩnh vực tài chính: quét tĩnh mạch FingoPay thực hiện việc thanh toán đơn
giản, Ví dụ mô hình quét tĩnh mạch FingoPay được kết nối với thẻ tín dụng
hoặc tài khoản ngân hàng của người sử dụng, cho phép họ thực hiện việc thanh lOMoARcPSD| 45470368
toán chỉ đơn giản bằng cách đặt ngón tay vào một chiếc máy quét có kích thước
nhỏ gọn mà không cần dùng tới tiền mặt hay thẻ tín dụng.
o Các cửa khẩu hải quan
o Hợp đồng công chứng giao dịch điện tử
12.Nêu ưu điểm và nhược điểm của việc áp dụng chứng thực bằng sinh trắc học. Ưu điểm
o Biometrics không thể bị mất, đánh cấp, bỏ quên. Nó nhất quán và vĩnh cửu
o Nó không thể được chia sẻ hoặc dùng bởi người khác o Không đòi hỏi
phải ghi nhớ như mật khẩu, mã Pin o Biometric luôn luôn sẳn dùng cho cá nhân và duy nhất Nhược điểm:
Chi phí cho thiết bị phần cứng
Đòi hỏi hệ thống hạ tầng hoạt động liên tục: đường truyền mạng, điện,...
Các bộ đọc luôn đặc tính của sinh trắc học có những lỗi nhất định
Từ chối người dùng hợp lệ
Chấp nhận người dùng không hợp lệ
Lo ngại của người dùng liên quan đến sức khỏe
13.Hệ thống quản lý an toàn thông tin (ISMS) là gì? Mục tiêu của hệ thống an toàn toàn thông tin?
Hệ thông quản lý an toàn thông tin là công cụ để các nhà lãnh đạo quản lý thực hiện giám
sát, quản lý hệ thống thông tin, tăng cường mức độ an toàn, bảo mật, giảm thiểu rủi ro
cho hệ thống thông tin, đáp ứng được mục tiêu của doanh nghiệp, tổ chức.
Mục tiêu của hệ thống an toàn thông tin:
Đảm bảo ATTT của tổ chức, đối tác và khách hàng, giúp cho hoạt động của tổ chức
luôn thông suốt và an toàn.
Giúp nhân viên tuân thủ việc đảm bảo ATTT trong hoạt động nghiệp vụ thường
ngày; Các sự cố ATTT do người dùng gây ra sẽ được hạn chế tối đa khi nhân viên
được đào tạo, nâng cao nhận thức ATTT.
Giúp hoạt động đảm bảo ATTT luôn được duy trì và cải tiến. Các biện pháp kỹ
thuật và chính sách tuân thủ được xem xét, đánh giá, đo lường hiệu quả và cập
nhật định kỳ.Bộ môn Hệ thống thông tin10 lOMoARcPSD| 45470368
Đảm bảo hoạt động nghiệp vụ của tổ chức không bị gián đoạn bởi các sự cố liên quan đến ATTT.
Nâng cao uy tín của tổ chức, tăng sức cạnh tranh, tạo lòng tin với khách hàng,
đối tác, thúc đẩy quá trình toàn cầu hóa và tăng cơ hội hợp tác quốc tế
Nội dung LO4 - Mô tả được tổng quan cơ chế/giao thức để thiết lập và nâng cao tính an
toàn thông tin cho một tình huống cụ thể Tình huống 1:
Để phục vụ cho nhu cầu học tập và tra cứu của cán bộ, giảng viên và sinh viên của trường, nhà
trường đã xây dựng một hệ thống thư viện trực tuyến www.thuviendientu.iuh.edu.vn, hệ thống
giúp độc giả (cán bộ, giảng viên và sinh viên của trường) có thể tìm kiếm các loại sách, báo,
tạp chí,… Đối với tài liệu điện tử thì độc giả có thể đọc trực tuyến hoặc tải về, đối với sách
trong thư viện thì độc giả có thể đăng ký mượn. Độc giả cũng có thể yêu cầu mua các loại tài
liệu điện tử và thanh toán phí mua trực tuyến. Hệ thống cũng giúp cho các thủ thư có thể quản
lý thông tin mượn và trả sách của độc giả, hệ thống còn có tính năng thông báo nhắc nhở đến
hạn trả sách bằng email, tạo báo cáo, thống kê. Yêu cầu: Với tình huống đã cho, bạn hãy
1. Chỉ ra ít nhất 2 loại thông tin/dữ liệu/chức năng nào cần nâng cao tính an toàn và nêu lý do tại sao
2. Đưa ra giải pháp nào (chữ ký số, xác thực và điều khiểu truy cập bằng mật khẩu (fixed
password, OTP), thẻ từ, camera, sinh trắc học (vân tay hoặc khuôn mặt, con ngươi,…)) để
cài đặt nâng cao tính an toàn cho từng loại thông tin/dữ liệu/chức năng ở trên và nêu lý do
tại sao phương pháp pháp này là hữu hiệu nhất. GIẢI
1. Hai loại thông tin/ dữ liệu/ chức năng cần nâng cao tính an toàn và lý do là:
Thông tin/ dữ liệu thanh toán phí mua trực tuyến. Vì thanh toán phí mua trực tuyến là
loại thông tin dữ liệu quan trọng đối với hệ thống thư viện. Là phương thức giao dịch
thanh toán giữa độc giả và hệ thống thư viện khi độc giả có nhu cầu mua các loại tài liệu
điện tử. Thông qua phương thức giao dịch thanh toán trực tuyến độc giả có thể mua
được các loại tài liệu mình cần. Và dữ liệu thanh toán trực tuyến được lưu lại qua đó
giúp thư viện có thể hệ thống, thống kê được có bao nhiêu độc giả đã mua tài liệu điện
tử và thanh toán cho thư viện. Cung cấp thông tin dữ liệu thanh toán của độc giả, giúp
thư viện có thể quản lí việc thanh toán và giải quyết xử lí giao dịch dễ dàng.Nếu việc
thanh toán phí mua trực tuyến không được đảm bảo an toàn bị tấn công bởi các kẻ tấn
công thì thư viện sẽ bị mất thông tin dữ liệu về việc quản lí những người độc giả đã
thanh toán việc mua tài liệu điện tử hay chưa,Việc thanh toán trực tuyến còn liên quan
đến giao dịch ngân hàng,để đảm bảo thông tin về người dùng thẻ ngân hàng không bị rò
rỉ thông tin nếu không được đảm bảo an toàn kẻ tấn công sẽ dùng website giả mạo thư
viện để lừa độc giả nhập user name, mật khẩu tài khoản internet banking hay mã xác lOMoARcPSD| 45470368
thực OTP để lừa độc giả nhằm mục đích lừa đảo đánh cắp tiền.Vì vậy cần phải đảm bảo
an toàn thông tin/dữ liệu thanh toán phí mua trực tuyến nhằm đảm bảo lợi ích của độc
giả và thư viện khi tham gia giao dịch.
Thông tin/ dữ liệu mượn trả sách của độc giả. Đảm bảo tính an toàn của thông tin nhằm
đảm bảo tính toàn vẹn tính an toàn của thông tin.Nhằm chỉ đáp ứng nhu cầu mượn trả
sách của những độc giả có quyền truy cập vào hệ thống thư viện. Giúp thư viện có thể
lưu giữ những thông tin độc giả (họ tên, MSSV, sđt, địa chỉ ( nếu có) ,..) đã mượn trả
sách qua đó quản lí, kiểm soát tài liệu sách báo của thư viện thông tin mượn trả sách của
độc giả, nhắc nhở độc giả trả sách đúng hẹn nhằm tránh khỏi những rủi ro mất mát thất
thoát tài liệu, sách của thư viện.
2. Giải pháp cài đặt nâng cao tính an toàn:
(Thực hiện liên kết thanh toán với các dịch vụ mà thanh toán được công nhận ATTT có giấy
phép hy chứng chỉ ATTT-đặt mua online,thẻ thanh toán,ví điện tử,tk thanh toán) (Mã hóa dữ
liệu lưu trữ - thông tin cá nhân ).
Thông tin dữ liệu thanh toán phí mua trực tuyến: dùng bảo mật 2 lớp dùng user name +
password để đăng nhập vào website của trường thì mới có thể thực hiện mua và thực hiện
thanh toán và khi thực hiện thanh toán sẽ sử dụng mã OTP ( sms otp, email otp...)
• Quy trình: Sử dụng bảo mật 2 lớp user name + password để đăng nhập vào tài khoản
user name có thể là địa chỉ mail, số tài khoản tùy vào tài khoản ngân hàng và dùng
password để đăng nhập vào, sau khi lựa chọn được tài liệu điện tử cần mua thì độc giả
sẽ xác nhận việc thanh toán. Ngân hàng sẽ gửi mã OTP về cho độc giả hình thức nhận
OTP có thể qua sms otp hay mail otp người dùng khi nhận được mã OTP sẽ dùng mã
OTP để đăng nhập xác thực và giao dịch thành công.
Thông tin/ dữ liệu mượn trả sách của độc giả: dùng user name + password
• Qui trình: để thực hiện đăng kí mượn trả sách độc giả phải đăng nhập vào hệ thống, để
quản lí việc mượn trả của độc giả vì vậy phải có tài khoản trên hệ thống sử dụng user
name + password, password phải mạnh và thường xuyên thay đổi khoảng 2-3 tuần thay đổi 1 lần. Tình huống 2:
Để phục vụ nhu cầu học tập và nghiên cứu của cán bộ, giảng viên và sinh viên của trường (gọi
chung là độc giả), nhà trường đã trang bị một phòng đọc sách cho các độc giả. Phòng này có
trang bị máy lạnh, bàn ghế, wifi, và 100 chiếc máy tính để bàn. Sinh viên có thể tự vào ra
phòng đọc sách trong khoảng thời gian thư viện mở để ngồi đọc sách, học tập nghiên cứu và
dùng các máy tính. Các máy tính chỉ dùng để học tập/nghiên cứu chứ không cho phép chơi game. Yêu cầu: lOMoARcPSD| 45470368
1. Theo bạn để có thể kiểm soát, chứng thực và theo dõi sự vào ra phòng đọc sách của các
độc giả một cách tự động thì chúng ta có thể dùng phương pháp nào (chữ ký số, xác thực
và điều khiểu truy cập bằng mật khẩu (fixed password, OTP), sinh trắc học (vân tay hoặc
khuôn mặt, con ngươi,…)) để kiểm soát và nêu lý do tại sao phương pháp này là hữu hiệu nhất?
2. Theo bạn để có thể chứng thức, kiểm soát và theo dõi việc sử dụng wifi và thiết bị máy
móc ở phòng đọc sách thì chúng ta dùng những phương pháp nào (chữ ký số, xác thực và
điều khiểu truy cập bằng mật khẩu (fixed password, OTP), thẻ từ, camera, sinh trắc học
(vân tay hoặc khuôn mặt, con ngươi,…)) và nêu lý do tại sao phương pháp này là hữu hiệu nhất? GIẢI
- Giải pháp cài đặt để kiểm soát sự ra vào phòng đọc sách của các độc giả một cách tự động:
dùng thẻ từ ,tài khoản user đăng nhập máy để nhận diện và kiểm soát truy cập. Khái niệm
thẻ từ là một thẻ nhựa có gắn một dải băng từ ở mặt sau của thẻ. Dải băng từ này có từ tính
và các thiết bị đọc ghi thẻ, lưu trữ thông tin của chủ thẻ. Các thông tin chỉ được mã hóa một
lần và khi quẹt thẻ qua máy thanh toán, thông tin được giải mã. Mô tả giải pháp khi sinh
viên muốn vào phòng đọc sách của thư viện thì yêu cầu mỗi sinh viên đều phải có thẻ từ
của cá nhân, dùng thẻ từ để quẹt mở của ra để vào phòng đọc sách tuy nhiên nếu chỉ dùng
thẻ từ để kiểm soát việc ra vào của sinh viên thì có khả năng xảy ra trường hợp người khác
mượn thẻ từ của sinh viên để vào ra phòng đọc sách vì vậy nên kết hợp kiểm soát sự ra vào
của sinh viên bằng cách dùng thẻ từ kết hợp với truy cập user đăng nhập máy và có cả
camera để giám sát được ai đã vào ra thư viện trong khoảng thời gian xác định
- Hoặc chúng ta có thể sử dụng sinh trắc học bằng vân tay để kiểm soát việc ra vào phòng
đọc sách của thư viện tuy nhiên trên thực tế giải pháp này còn hạn chế sử dụng trong phạm
vi thư viện vì việc lắp đặt sinh trắc học sẽ mất nhiều chi phí hơn thẻ từ và cá nhân mỗi sinh
viên vào ra phòng đọc sách phải đi đăng kí danh sách lấy mẫu vân tay. Vì vậy sử dụng thẻ
từ kết hợp với camera vẫn được xem là giải pháp tối ưu và hiệu quả nhất.
- Lý do sử dụng giải pháp: Nhằm quản lí việc ra vào phòng đọc sách, kiểm soát, biết được
những ai đã ra vào phòng trong khoảng thời gian xác định để tránh những trường hợp
những người vào thư viện nhưng không phải là sinh viên và vào vì những mục đích khác vì
phòng đọc sách có nhiều thiết bị điện tử như máy tính …để tránh những rủi ro mất mát tài
sản có thể xảy ra thì chúng ta nên thực hiện kiểm soát việc ra vào phòng để giám sát, quản
lí và bảo quản tài sản vật chất của thư viện cùng với tài liệu sách báo.
- Đưa và mô tả giải pháp kiểm soát việc sử dụng wifi:
+ Dùng user name + password. Sinh viên muốn đăng nhập vào wifi phòng đọc sách của thư
viện thì phải biết user name + password mà thư viện cung cấp để đăng nhập vào mạng. wifi
của phòng đọc sách chỉ được sử dụng cho việc học tập và nghiên cứu. Vì vậy chỉ những sinh
viên có nhu cầu sử dụng cho việc học tập nghiên cứu mới được nhân viên thư viện cung cấp lOMoARcPSD| 45470368
cho user name + password tránh cho những sinh viên kết nối wifi của thư viện không vì mục
đích học tập, nghiên cứu mà vì mục đích chơi game, lướt fb, mạng xã hội
+ Đưa và mô tả giải pháp kiểm soát việc sử dụng thiết bị máy móc ở phòng đọc sách: dùng
username + password. Mô tả: cụ thể là thiết bị máy tính muốn đăng nhập vào máy tính của
phòng đọc sách người dùng phải có tài khoản đăng nhập user name + password ( ví dụ user
name + là mã số sinh viên của người đăng nhập), muốn sử dụng máy tính người dùng sẽ sử
dụng user name + password để đăng nhập để mở máy tính và sử dụng nhằm mục đích kiểm
soát việc truy cập máy tính phòng khi người sử dụng máy tính làm hư hỏng thiết bị thì
chúng ta có thể truy xuất để biết ai đã sử dụng máy tính này, và dùng để quản lí những người
sử dụng máy tính cho mục đích học tập, ai dùng sai mục đích như để chơi game, lướt mạng
xã hội sẽ bị nhắc nhở. Tình huống 3:
Giả sử khoa Kế toán của trường IUH trang bị một ‘Phòng mô phỏng và thực hành quy trình
nghiệp vụ Kế toán – Tài chính – Tín dụng’ (gồm 30 máy tính) dùng để phục vụ cho việc học
tập và nghiên cứu của các thành viên trong câu lạc bộ Kế_Tài_Ngân_Club. Phòng máy này
gồm một máy chủ (server), nhiều máy trạm (work station) và một máy in (printer) được cài
đặt các phần mềm về kế toán, tài chính & ngân hàng để cho các thành viên trong câu lạc bộ
vào sử dụng để nghiên cứu và học tập. Khoa mong muốn phòng máy được cài đặt và cấu hình
làm sao mà các thành viên có thể ra vào và sử dụng các tài nguyên một cách thuận tiện nhưng
vẫn có cơ chế theo dõi một cách tự động.
1. Theo bạn, phòng máy nên dùng phương pháp nào (chữ ký số, xác thực và điều khiểu truy
cập bằng mật khẩu (fixed password, OTP), thẻ từ, camera, sinh trắc học (vân tay hoặc
khuôn mặt, con ngơi,…)) mà các thành viên có thể vào ra một cách thuận tiện nhưng vẫn
kiểm soát được khi cần thiết. Bạn hãy mô tả giải pháp một cách chi tiết nhất và nêu lý do
tại sao đây là giải pháp hợp lý nhất.
2. Theo bạn, để có thể kiểm soát việc sử dụng thiết bị, ứng dụng được cài đặt trong phòng mô
phỏng chúng ta thể dùng phương pháp nào (chữ ký số, xác thực và điều khiểu truy cập
bằng mật khẩu (fixed password, OTP), thẻ từ, camera, sinh trắc học (vân tay hoặc khuôn
mặt, con ngơi,…)) và nêu lý do tại sao đây là giải pháp hợp lý nhất? GIẢI
1. Giải pháp để các thành viên có thể vào ra một cách thuận tiện nhưng vẫn kiểm soát được
khi cần thiết: Dùng thẻ từ + tài khoản user truy cập được cấp cho mỗi người camera để
nhận diện và kiểm soát truy cập. Khái niệm thẻ từ là một thẻ nhựa có gắn một dải băng từ
ở mặt sau của thẻ. Dải băng từ này có từ tính và các thiết bị đọc ghi thẻ, lưu trữ thông tin
của chủ thẻ. Các thông tin chỉ được mã hóa một lần và khi quẹt thẻ qua máy thanh toán,
thông tin được giải mã. Mô tả giải pháp khi sinh viên muốn vào phòng máy mô phỏng và
thực hành thì yêu cầu mỗi sinh viên đều phải có thẻ từ của cá nhân, dùng thẻ từ để quẹt mở
cửa ra để vào phòng máy tuy nhiên nếu chỉ dùng thẻ từ để kiểm soát việc ra vào của sinh lOMoARcPSD| 45470368
viên thì có khả năng xảy ra trường hợp người khác mượn thẻ từ của sinh viên để vào ra
phòng máy vì vậy nên kết hợp kiểm soát sự ra vào của sinh viên bằng cách dùng thẻ từ kết
hợp với camera để giám sát được ai đã vào ra phòng máy trong khoảng thời gian xác định.
2. Giải pháp kiểm soát việc sử dụng thiết bị, ứng dụng được cài đặt trong phòng mô phỏng:
dùng user name + password. Mô tả: cụ thể là thiết bị khi muốn đăng nhập thì người dùng
phải có tài khoản đăng nhập user name + password (ví dụ user name là mã số sinh viên
của người đăng nhập) nhằm mục đích kiểm soát việc truy cập máy tính. Đây là giải pháp
hợp lí nhất vì mục đích kiểm soát việc truy cập máy tính phòng khi người sử dụng máy
tính làm hư hỏng thiết bị thì chúng ta có thể truy xuất để biết ai đã sử dụng máy tính này,
và dùng để quản lí những người sử dụng máy tính cho mục đích học tập, ai dùng sai mục
đích như để chơi game, lướt mạng xã hội sẽ bị nhắc nhở.