Nội dung ôn cuối kì An toàn thông tin | An toàn thông tin | Đại học Công nghiệp Thành phố Hồ Chí Minh

lOMoARcPSD| 45470368 OMoARcPSD| 45470368
Câu 1: Chữ ký số (digital signitures) là gì? Mục tiêu của chữ ký số? Trình bày hiện
trạng áp dụng chữ ký số ở Việt Nam.
Gợi ý: Khái niệm chữ ký số: ứng dụng của mã hóa khóa công khai, người dùng có
(KUa, KRa); Tạo chữ ký: S , M) hoặc S AM = E(KRA
AM =E(KRa, H(M)) – giải thích;
Thẩm tra chữ ký D(KUa, Sam Yes/No – Giải thích; Mục tiêu của chữ ký số; Hiện
trạng áp dụng chữ ký: 4 lĩnh vực đó là cơ quan Thuế, Bảo hiểm xã hội, Hải quan và Chứng khoán.
Khái niệm: Chữ ký số là ứng dụng điện hình của mã hóa công khai. chữ ký số là
một dạng của chữ ký điện tử được tạo ra bằng sự biến đổi một thông điệp dữ liệu sử
dụng hệ thống mật mã không đối xứng, theo đó, người có được thông điệp dữ liệu
ban đầu và khóa công khai của người ký có thể được xác định chính xác. Người
dùng sẽ có khóa riêng tư trong đó KU sẽ là mã sẽ là mã A khóa công khai và KRA khóa bí mật.
Tạo chữ ký số: chữ ký số có thể được khởi tạo ra từ hàm S , M) hoặc AM = E(KRA S
, H(M)) và thẩm tra chữ ký bằng hàm D(KUa, S AM =E(KRa am Yes/No) Giải thích:
Mục tiêu: Chữ ký số được tạo ra nhằm mục tiêu thay thế cho chữ ký viết tay đối
với các trường hợp giao dịch thương mại điện tử trong môi trường số. Chữ ký số
giúp tăng khả năng bảo mật, chống giả mạo, cho phép chủ thể xác minh danh tính
của mình trên các hệ thống khác nhau
Hiện trạng áp dụng: Hiện nay, chữ ký số được sử dụng rộng rãi trong nhiều lĩnh
vực và ngành nghề khác nhau. Điển hình như trong lĩnh vực như là cơ quan thuế,
bảo hiểm xã hội, hải quan, chứng khoán.
Câu 2: Đưa ra một hệ thống thông tin hoặc một trang web thực tế ở Việt Nam có sử
dụng chữ ký điện tử? Nghiệp vụ nào trong hệ thống đó có sử dụng chữ ký số? Trình
bày các bước cụ thể để người dùng trong hệ thống này thực hiện nghiệp vụ có sử dụng chữ ký số.
Gợi ý: Website của cơ quan Thuế, Website của cơ quan Hải quan, Website của cơ
quan Bảo hiểm xã hội,...
Nghiệp vụ nào trong hệ thống đó có sử dụng chữ ký số: Nộp thuế điện tử(trực tuyến)
Trình bày các bước cụ thể để người dùng trong hệ thống này thực hiện nghiệp
vụ có sử dụng chữ ký số:
Hướng dẫn cá nhân, doanh nghiệp sử dụng chữ ký số để nộp thuế điện tử:
Bước1: Đăng nhập vào Trang thông tin điện tử của Tổng cục Thuế tại http://thuedientu.gdt.gov.vn
Bước2: Lập giấy nộp tiền
- Sau khi đăng nhập thành công, doanh nghiệp lập giấy nộp tiền theo các bướcdưới đây:
- Tại mục “Nộp thuế” nhấn chọn “Lập giấy nộp tiền”
- Lựa chọn “Ngân hàng nộp thuế” và nhấn "Tiếp tục" lOMoARcPSD| 45470368
Bước 3: Khai báo thông tin trên tờ khai
- Trong quá trình hoàn tất thủ tục nộp thuế điện tử, doanh nghiệp cần khai báo đầyđủ
và chính xác những nội dung sau trong tờ khai thuế:
+ Thông tin loại tiền: Chọn “VND” nếu đơn vị thuộc diện nộp thuế bằng đồng Việt
Nam, trường hợp thuộc diện nộp thuế ngoại tệ thì đơn vị chọn đúng loại ngoại tệ mình sử dụng.
+ Thông tin ngân hàng: Chọn ngân hàng và số tài khoản để trích tiền
+ Thông tin cơ quan quản lý thu: Chính là thông tin cơ quan thuế quản lý đơn vị. +
Thông tin nơi phát sinh khoản thu: Điền địa chỉ nơi phát sinh khoản thu theo quy định của từng
Cục Thuế hoặc Chi cục thuế địa phương.
+ Thông tin kho bạc nhận tiền.
+ Loại thuế: Chọn tương ứng theo mục đích nộp thuế của đơn vị.
- Tại mục “Nội dung các khoản nộp NSNN” bạn tích chọn vào ô vuông 3 chấm
đểchọn loại thuế muốn nộp
- Tại mục Nội dung các khoản nộp danh sách: Nhập mã NDKTLưu ý:
+ Căn cứ vào vốn điều lệ ghi trong Giấy Đăng ký kinh doanh. Trường hợp không
có vốn điều lệ thì căn cứ vào vốn đầu tư ghi trong giấy chứng nhận đăng ý đầu tư.
+ Đối với công ty, doanh nghiệp, tổ chức mới thành lập cần nộp Thuế môn bài: Nếu được cấp đăng
ký thuế và mã số thuế, mã số doanh nghiệp trong thời gian của 6 tháng đầu năm thì nộp mức lệ phí
môn bài cả năm; Nếu thành lập, được cấp đăng ký thuế và mã số thuế, mã số doanh
nghiệp trong thời gian 6 tháng cuối năm ( từ ngày 1/7 đến 31/12) thì nộp
50% mức lệ phí môn bài cho năm đầu tiên. -
Sau khi nhập xong giá trị vào ô Mã “NDKT”, hệ thống sẽ tự sinh các thông
tintương ứng theo quy định của pháp luật. -
Người dùng khai báo thông tin đầy đủ và chính xác, nhấn “Hoàn thành” để tạolập xong tờ khai. Bước 4: Ký số -
Bước cuối cùng để hoàn thành thủ tục nộp thuế điện tử là ký số. Doanh
nghiệpcần kiểm tra lại
thông tin vừa khai báo trong Giấy nộp tiền vào ngân sách nhà nước. Nếu thông tin
đã chính xác, người dùng cắm chữ ký số của doanh nghiệp và tiếp tục nhấn “Ký và
nộp”. - Sau đó, nhập mã PIN và nhấn “OK”.
Như vậy, doanh nghiệp đã hoàn thành xong việc nộp tiền một mục thuế, trường hợp
cần nộp nhiều mục thì đơn vị thực hiện lặp lại từ bước Lập giấy nộp tin.
Câu 3: Chứng thư số là gì? Mục tiêu của chứng thư số ? Nội dung có trong chứng
thư số là gồm những nội dung gì ?
Chứng thư số là gì? Khái niệm
Chứng thư số là một dạng chứng thư điện tử được cấp bởi tổ chức cung cấp dịch
vụ chứng thực chữ ký số.
Chứng thư số có thể coi như giấy chứng minh nhân nhân (CMND) được sử dụng
trong thế giới điện tử và mạng internet. lOMoARcPSD| 45470368
Mục tiêu của chứng thư số
Loại chứng thư này được dùng như một công cụ điện tử giúp nhận diện cá nhân,
máy chủ hoặc một số đối tượng khác. Nó gắn định danh đối tượng đó với một
“khóa công khai” được cấp bởi tổ chức có thẩm quyền
Nội dung của chứng thư số
Trong chứng minh thư của bạn luôn có những thông tin như họ tên, ngày tháng
năm sinh, quê quán, hộ khẩu thường trú… đúng không?
Chứng thư số cũng vậy, tuy nhiên dữ liệu trên chứng thư số không phải những
thông tin như trên mà bao gồm các nội dung dữ liệu sau đây: 1. Tên thuê bao.
2. Số hiệu của chứng thư số (Serial).
3. Thời hạn hiệu lực của chứng thư số.
4. Tên tổ chức chứng thực chữ ký số (EASYCA, VNPT-CA, CA2, BKAV-CA, VIETTEL-CA…).
Theo đó tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng EASYCA lưu
khóa bí mật của thuê bao trong USB Token đáp ứng tiêu chuẩn FIPS PUB 140 – 2 tối thiểu mức 2.
5. Chữ ký số của tổ chức chứng thực chữ ký số.
6. Thư hạn chế mục đích và phạm vi sử dụng của chứng thư số.
7. Những hạn chế về trách nhiệm của tổ chức cung cấp dịch vụ chứng thực chữ ký số.
8. Các nội dung cần thiết khác theo quy định của Bộ Thông tin& Truyền
thôngĐến đây có lẽ các bạn cũng hiểu kha khá về chứng thư số rồi. Tuy nhiên,
sự khác biệt giữa chứng thư số và chữ ký số là gì? Hãy tham khảo phần cuối
nhé Câu 4: Chứng thực thực thể là gì? Trình này 2 phương pháp mà bạn biết mà
có thể cài đặt để chứng thực thực thể.
Chứng thực thực thể:
Là một kỹ thuật cho phép một bên (party) chứng minh sự nhận dạng (identify) của một bên khác.
– Trong đó thực thể (entity) có thể là một người hoặc tiến trình hoặc server. Thực
thể mà idenity cần chứng mình được gọi là người thỉnh cầu (Claimant). Bên mà cố
gắng chứng minh identity của cliamant được gọi là người thẩm định (verifier) Trình
này 2 phương pháp mà bạn biết mà có thể cài đặt để chứng thực thực thể: Có 4 phương pháp:
+ Chứng thực bằng Password.
+ Chứng thực bằng Sinh trắc học.
+ Chứng thực bằng Challenge – Response. +
Chứng thực bằng Zero – Knowledge.
Chứng thực thực thể bằng sinh trắc học ( Biometrics) hay Công nghệ sinh trắc
học (tiếng Anh: Biometric) là công nghệ sử dụng những thuộc tính vật lý, đặc
điểm sinh học riêng của mỗi cá nhân như vân tay, khuôn mặt, mống mắt, tĩnh
mạch,…để nhận diện, xác thực bảo mật. Ưu điểm + Có độ chính xác cao
+ thời gian chứng thực rất nhanh ( nhỏ hơn 1s) lOMoARcPSD| 45470368
+ Sự tác động của người dùng thấp
+ Có sự kết hợp nhiều yếu tố: vân tay, võng mạc, giọng nói. Nhược điểm:
+ Giá thành: triển khai hệ thống sinh trắc học đòi hỏi chi phí cao cho cả phần cứng
( thiết bị thu/quét, và nhận dạng) với các phần mềm hiện đại.
+Có thể nhận diện sai: do hư hỏng phần cứng, lỗi phần mềm làm cho hệ thống từ
chối người dùng mặc dù đúng người.
Hiện nay: công nghệ chứng thực bằng sinh trắc học được áp dụng rộng rãi hơn ở
những ngân hàng, các công ty ( dùng chấm công, điểm danh) hay thực hiện bảo mật
dữ liệu cá nhân trên các thiết bị di động cao cấp…
Hệ xác thực bằng mật khẩu
Phương pháp sử dụng mật khẩu chính là một ví dụ điển hình của cơ chế xác thực
dựa trên điều mà thực thể biết: NSD (người sử dụng) đưa ra một mật khẩu và hệ
thống sẽ xác minh nó. Nếu mật khẩu quả thật là cái được đăng ký trước với NSD,
danh tính của NSD sẽ được xác thực. Ngược lại, mật khẩu sẽ bị từ chối và thủ tục
xác thực thất bại. Thông thường mật khẩu là một chuỗi ký tự có độ dài xác định; ký
tự mật khẩu phải được chọn từ một bộ (bảng) ký tự qui định trước. Không gian mật
khẩu là tập tất cả các mật khẩu có thể xây dựng được từ qui ước mật khẩu. -Ưu điểm: +Tiện lợi + Chi phí thấp - Khuyết điểm :
+Mức độ bảo mật phụ thuộc vào độ phức tạp của password
+Sự chứng thực bằng giao thức chứng thực bằng mật khẩu chưa đủ sự an toàn và
tin cậy vì thông tin chứng thực được trao đổi không an toàn trong môi trường mạng
công cộng Internet nên các tội phạm tin học có thể nghe trôm, đánh cắp thông tin
để từ đó đoán ra được mật khẩu truy nhập vào hệ thống.
Câu 5: Điều khiển truy cập là gì? Trình bày ít nhất 2 phương pháp mà bạn biết mà
có thể cài đặt điều khiển truy cập một hệ thống thông tin.
Điều khiển truy cập là gì?
Điều khiển truy cập là gì?
Điều khiển truy cập ( access control) là thuật ngữ sử dụng trong các lĩnh vực kiểm
soát bảo mật và an ninh. Nó ám chỉ đến sự hạn chế về quyền tiếp cận, truy cập, xâm
nhập vào một địa chỉ có thực như một ngôi nhà, văn phòng làm việc, công ty…tác
dụng chính của Access Control là để phân quyền người dùng ( chỉ cho phép những
người nào được truy cập vào địa chỉ nào). Còn được gọi là hệ thống kiểm soát vào
ra, AC có nhiều cách thực hiện. Có thể bằng sức người như bảo vệ, an ninh tòa nhà,
hay kiểm soát bằng các loại máy móc như barrier tự động, khóa cửa điện tử.
Trình bày ít nhất 2 phương pháp mà bạn biết mà có thể cài đặt điều khiển truy
cập một hệ thống thông tin
Điều khiển truy cập bắt buộc MAC
- Điều khiển truy cập bắt buộc (Mandatory Access Control - MAC):
• Là mô hình điều khiển truy cập nghiêm ngặt nhất, lOMoARcPSD| 45470368
• Thường bắt gặp trong các thiết lập của quân đội
• Hai thành phần: Nhãn và Cấp độ
- Mô hình MAC cấp quyền bằng cách đổi chiều nhân của đối tượng vớinhân của chủ thể
Nhãn cho biết cấp độ quyền hạn
- Để xác định có mở một file hay không: So sánh nhân của đối tượng vớinhân của chủ thể
Chủ thể phải có cấp độ tương đương hoặc cao hơn: đối tượng được cấp phép truy cập
- Hai mô hình thực thi của MAC: Mô hình mạng lưới (Lattice model) &Mô hình Bell-LaPadula
+ Mô hình mạng lưới Các chủ thể và đối tượng được gán một "cấp bậc” trong
mạng lưới Nhiều mạng lưới có thể được đặt cạnh nhau.
+Mô hình Bell-LaPadula: Tương tự mô hình mạng lưới Các chủ thể không
thể tạo một đối tượng mới hay thực hiện một số chức năng nhất định đối với
cácđối tượng có cấp thấp hơn
- Ví dụ về việc thực thi mô hình MAC: Windows 7/Vista có bốn cấp bảomật
Các thao tác cụ thể của một chủ thể đối với phân hạng thấp hơn phải được sự
phê duyệt của quản trịviên - Hộp thoại User Account Control (UAC) trong Windows
Điều khiển truy cập tùy ý (DAC)
- Điều khiển truy cập tùy ý (DAC)
• Mô hình ít hạn chế nhất
• Mọi đối tượng đều có một chủ sở hữu
• Chủ sở hữu có toàn quyền điều khiển đối với đối tượng của họ
• Chủ sở hữu có thể cấp quyền đối với đối tượng của mình cho một chủ thể khác
• Được sử dụng trên các hệ điều hành như Microsoft Windows và hầu
hết các hệ điều hành UNIX
- Nhược điểm của DAC
• Phụ thuộc vào quyết định của người dùng để thiết lập cấp độ bảo mật phù hợp
• Việc cấp quyền có thể không chính xác
• Quyền của chủ thể sẽ được "thừa kế” bởi các chương trình mà chủ thể
thực thiTrojan là một vấn đề đặc biệt của DAC
Điều khiển truy cập dựa trên vai trò (RBAC)
- Điều khiển truy cập dựa trên vai trò (Role Based Access Control - RBAC)
Còn được gọi là Điều khiển Truy cập không tùy ý
Quyền truy cập dựa trên chức năng công việc
- RBAC gần các quyền cho các vai trò cụ thể trong tổ chức lOMoARcPSD| 45470368
Các vai trò sau đó được gắn cho người dùng
Điều khiển truy cập dựa trên quy tắc (RBAC)
- Điều khiển truy cập dựa trên quy tắc (Rule Based Access Control - RBAC)
- Tự động gán vai trò cho các chủ thể dựa trên một tập quy tắc do ngườigiám sát xác định
- Mỗi đối tượng tài nguyên chứa các thuộc tính truy cập dựa trên quy tắc-
Khi người dùng truy cập tới tài nguyên, hệ thống sẽ kiểm tra các quy tắc
của đối tượng để xácđịnh quyền truy cập
- Thường được sử dụng để quản lý truy cập người dùng tới một hoặc nhiềuhệ thống
Những thay đổi trong doanh nghiệp có thể làm cho việc áp dụng các quy tắc thay đổi Trường hợp 2:
Điều khiển truy cập tùy quyền (DAC) là một loại kiểm soát truy cập bảo
mật tài trợ hoặc hạn chế đối tượng truy cập thông qua một chính sách truy
cập xác định bởi nhóm chủ sở hữu của một đối tượng và / hoặc đối tượng.
DAC điều khiển cơ chế được định nghĩa bởi người sử dụng xác định với các
thông tin cung cấp trong quá xác thực, chẳng hạn như tên người dùng và mật
khẩu. DACs là tùy tiện vì chủ thể (chủ sở hữu) có thể chuyển đối tượng đã
xác thực hoặc truy cập thông tin cho người dùng khác. Nói cách khác, chủ
sở hữu quyết định quyền truy cập đối tượng.
Điều khiển truy cập tùy quyền (discretionary access control - DAC) là một
chính sách truy cập mà chủ nhân của tập tin hay người chủ của một tài nguyên
nào đấy tự định đoạt. Chủ nhân của nó quyết định ai là người được phép truy
cập tập tin và những đặc quyền (privilege) nào là những đặc quyền người đó được phép thi hành.
Điều khiển truy cập bắt buộc (Mandatory Access Control - MAC):
Điều khiển truy cập bắt buộc (mandatory access control - MAC) là một chính
sách truy cập không do cá nhân sở hữu tài nguyên quyết định, song do hệ
thống quyết định. MAC được dùng trong các hệ thống đa tầng cấp, là những
hệ thống xử lý các loại dữ liệu nhạy cảm[4], như các thông tin được phân hạng
về mức độ bảo mật trong chính phủ và trong quân đội. Một hệ thống đa tầng
cấp là một hệ thống máy tính duy nhất chịu trách nhiệm xử lý bội số các phân
loại dưới nhiều tầng cấp giữa các chủ thể và các đối tượng. - Được dùng để
bảo vệ một khối lượng dữ liệu lớn cần được bảo mật cao trong một môi
trường mà các dữ liệu và người dùng đều có thể được phân loại rõ ràng.
-Là cơ chế để hiện thực mô hình bảo mật nhiều mức (multiple level). Ưu điểm:
- Là cơ chế điều khiển truy xuất có tính bảo mật cao trong việc ngăn
chặndòng thông tin bất hợp pháp.
-Thích hợp cho các ứng dụng trong môi trường quân đội. Khuyết điểm: lOMoARcPSD| 45470368
-Không dễ áp dụng: đòi hỏi cả người dùng và dữ liệu phải được phân loại rõ ràng
- Chỉ được ứng dụng trong một số ít môi trường
Câu 6 : Mật khẩu (password) là gì? Mật khẩu cố định (fixed password) và mật khẩu
dùng một lần (one time password) khác nhau như thế nào? Trình bày điểm mạnh và
điểm yếu của 2 loại mật khẩu.
Password hay mật khẩu là một chuỗi ký tự được sử dụng rất phổ biến trong các
dịch vụ internet, hệ thống máy tính hay phần mềm ứng dụng nào đó. Nó giúp cho
người dùng bảo vệ sự riêng tư cũng như hạn chế tối đa khả năng truy cập bất hợp pháp từ người khác.
Ví dụ: Bạn có một tài khoản trên máy tính của mình và tài khoản này yêu cầu bạn
đăng nhập. Để truy cập thành công vào tài khoản của mình, bạn phải cung cấp tên
người dùng và mật khẩu hợp lệ. Sự kết hợp này thường được gọi là đăng nhập.
Trong khi tên người dùng nói chung là thông tin công khai, mật khẩu là riêng tư đối với mỗi người dùng.
Mật khẩu cố định (fixed password) và mật khẩu dùng một lần (one time
password) khác nhau như thế nào?
Mật khẩu dùng một lần (OTP) dùng để xác thực người dùng truy cập ứng dụng
hoặc thực hiện giao dịch trên internet banking/mobile banking.
Thông tin mật khẩu dùng một lần (OTP) có giá trị sử dụng 1 lần, có hiệu lực trong
1 khoảng thời gian nhất định là đúng.
Mật khẩu cố định là loại mật khẩu được dùng để bảo vệ các tài khoản thuộc về cá
nhân người dùng, có hiệu lực lâu dài và thay đổi khi người dùng quyết định thay mật khẩu mới.
Khác nhau giữa mật khẩu cố định và mật khẩu dùng một lần:
Mật khẩu cố định Mật khẩu dùng một lần
Được dùng lặp đi lặp lại. Chỉ dùng được 1 lần và không sử dụng lại.
Dễ tấn công. Khó tấn công. Tính
bảo mật thấp Tính bảo mật cao
Trình bày điểm mạnh và điểm yếu của 2 loại mật khẩu:
-Điểm mạnh và điểm yếu của mật khẩu dùng 1 lần: Ưu điểm:
+Khả năng chống lại các cuộc tấn công: Xác thực OTP cung cấp những lợi thế khác
biệt so với việc chỉ sử dụng mật khẩu tĩnh. Không giống như mật khẩu truyền thống,
OTP không dễ bị tấn công — trong đó tin tặc chặn việc truyền dữ liệu (như người
dùng gửi mật khẩu của họ), ghi lại và sử dụng nó để truy cập vào hệ thống hoặc tài
khoản của chính họ. Khi người dùng có quyền truy cập vào tài khoản của họ bằng
OTP, mã sẽ trở nên không hợp lệ và do đó kẻ tấn công không thể sử dụng lại.
+Khó đoán: OTP thường được tạo bằng các thuật toán sử dụng sự ngẫu nhiên. Điều
này khiến những kẻ tấn công khó đoán và sử dụng chúng thành công. OTP có thể
chỉ có hiệu lực trong thời gian ngắn, yêu cầu người dùng có kiến thức về OTP trước
đó hoặc cung cấp cho người dùng một thử thách (ví dụ: “vui lòng nhập số thứ hai lOMoARcPSD| 45470368
và thứ năm”). Tất cả các biện pháp này làm giảm thêm bề mặt tấn công của môi
trường khi so sánh với xác thực chỉ bằng mật khẩu. +Giảm rủi ro khi mật khẩu bị
xâm phạm: Người dùng không áp dụng các biện pháp bảo mật mạnh mẽ có xu hướng
tái chế các thông tin đăng nhập giống nhau trên các tài khoản khác nhau. Nếu những
thông tin đăng nhập này bị rò rỉ hoặc rơi vào tay kẻ xấu, dữ liệu bị đánh cắp và gian
lận là những mối đe dọa đáng kể đối với người dùng trên mọi phương diện. Bảo mật
OTP giúp ngăn chặn vi phạm truy cập, ngay cả khi kẻ tấn công đã có được bộ thông tin đăng nhập hợp lệ.
+Dễ dàng áp dụng: Mật mã dùng một lần cũng dễ dàng cho các tổ chức tích hợp vào
chiến lược xác thực của họ. Mặc dù bản chất khó hiểu của những mã này khiến mọi
người khó ghi nhớ, nhưng điện thoại, mã thông báo và các công nghệ khác có thể
truy cập rộng rãi để các nhóm bảo mật sử dụng và phân phối cho nhân viên của họ.
Thẻ thông minh hay thiết bị tạo mật khẩu cầm tay (token) nhờ vào kết nối internet
với máy chủ của dịch vụ cung cấp OTP hoặc cũng có thể thông qua thẻ OTP in sẵn
thay điện thoại di động mà không cần đến kết nối internet Nhược điểm OTP là gì?
+Mã OTP có thể bị lộ nếu chủ tài khoản không giữ thông tin cẩn thận
+Giao dịch thông qua hệ thống internet có thể bị hacker tấn công
+Với hình thức OTP Token, bảo mật hơn nhưng phải trả thêm chi phí làm máy Token
+Hạn chế thời gian hiệu lực, không thể sử dụng những nơi không có sóng di động
đối với OTP SMS. - Mật khẩu cố định:
+ Điểm mạnh: Khi sử dụng những mật khẩu mạnh có thể tạo một lớp bảo mật chắc chắn. + Điểm yếu:
Người dùng sử dụng những mật khẩu quá phổ biến, mật khẩu chứa thông tin cá
nhân,… điều này tạo ra lỗ hỏng bảo mật.
Câu 7. Trình bày các loại mã OTP, nêu ưu điểm và nhược điểm của từng loại.
Hiện nay có 3 hình thức cung cấp mã OTP chủ yếu. Bao gồm:
Các ngân hàng thường xem đây là một dịch vụ tiện ích thêm cho khách hàng sử
dụng những sản phẩm của ngân hàng khi giao dịch. Đồng nghĩa là để sử dụng
được dịch vụ này, bạn cần trả thêm phí nhỏ. Hiện nay, có 3 hình thức cung ứng mã OTP là:
SMS OTP: Bạn sẽ nhận được tin nhắn gửi mã OTP đến số điện thoại mà bạn
đăng ký khi mở tài khoản tại ngân hàng. Chẳng hạn như thẻ ATM nội địa, khi bạn
thanh toán trực tuyến bằng tài khoản này. Phải nhập mã trong tin nhắn được gửi
đến điện thoại thì bạn mới tiến hành giao dịch được. Đa số các ngân hàng như
Timo, Vietcombank, VP Bank,… đều có dịch vụ SMS OTP.
Tin nhắn SMS sẽ được gửi đến điện thoại của bạn để thông báo mã OTP (Nguồn: Timo)
Token: Là một thiết bị điện tử mà chủ tài khoản được cấp khi mở tài khoản thanh
toán tại Ngân hàng. Nó có thể tự động sinh ra mà không cần đến kết nối mạng.
Nếu bạn sử dụng hình thức này sẽ phải trả thêm phí làm máy Token. Giới thiệu
một số ngân hàng đang có dịch vụ bảo mật Token như ACB, HSBC, Sacombank, … lOMoARcPSD| 45470368
Smart OTP: Đây là ứng dụng tạo mã OTP mà bạn có thể cài trên điện thoại có hệ
điều hành Android hay iOS. Sau khi đăng kí tài khoản trên ứng dụng và kích hoạt
thành công thì ứng dụng này sẽ hoạt động tương tự như Token.
Ưu và nhược điểm của các loại mã OTP hiện nay: -SMS OTP
Ưu điểm của SMS OTP
+Dịch vụ gửi SMS OTP khá rẻ và hợp túi tiền.
+Cần có ít phần cứng bổ sung để gửi SMS OTP
+Một tỷ lệ cao dân số thế giới có điện thoại di động có thể nhận
+SMS Có thể nhận được trên các ứng dụng SMS không nhất thiết phải được liên
kết đến thiết bị di động
Nhược điểm của SMS OTP
+ Người dùng không thể sử dụng được ở nơi không có sóng di động, hoặc di chuyển ra nước ngoài.
+Nhiều số điện thoại để chế độ không làm phiền (DND) và do đó không nhận được SMS
+Đôi khi tin nhắn SMS OTP bị gửi trễ do lưu lượng truy cập trên máy chủ của nhà
khai thác, hết thời gian chờ cổng hoặc ngừng dịch vụ. Ngay cả SMS chưa được gửi
bạn cũng sẽ bị tốn phí.
+SMS trên nhiều điện thoại xuất hiện trên màn hình dưới dạng thông báo ngay cả
khi điện thoại bị khóa và có thể dễ dàng bị đánh cắp bởi ai đó nhìn qua màn hình điện thoại của mình.
Ưu và nhược điểm của Tokey Key (Tokey Card)
Ưu điểm của Token
+ Máy Token có kích thước khá là nhỏ gọn, giúp bạn dễ dàng mang theo bên người
cũng như dễ dàng cho vào chùm chìa khóa cá nhân
+ Giúp bảo vệ các giao dịch của khách hàng, Tránh bị kẻ gian hack thông tin cũng
như sử dụng những thông tin để thực hiện giao dịch
+ Các sử dụng thiết bị Token khá là đơn giản phù hợp cho rất nhiều đối tượng
Nhược điểm của Token
+ Bạn có thể dễ dàng nhận ra để sử dụng dịch vụ này thì khách hàng cần phải trả
một khoản phí không nhỏ từ 200.000 - 400.000 đồng cho mỗi thiết bị Token
+ Thời hạn sống của mỗi mã OTP chỉ có 60s
+ Bạn cần phải có máy Token thì mới có thể thực hiện giao dịch được
Ưu điểm của Smart OTP
- Tính an toàn và bảo mật ở mức độ cao nhất hiện nay giúp người dùng an tâm khi
sử dụng nhất là với các giao dịch chuyển tiền với số tiền lớn.
-Tiện dụng khi được sử dụng mọi lúc, mọi nơi, mọi thiết bị và kể cả khi không có kết nối internet lOMoARcPSD| 45470368
-Dễ dàng sử dụng với nhiều hình thức như tích hợp vào ứng dụng của ngân hàng
hoặc tải app trên điện thoại
-Đơn giản hóa thao tác với những mã OTP được tự động điền sẵn vào ô xác thực - Dịch vụ miễn phí
Nhược điểm của Smart OTP:
-Smart OTP được sinh ra ngay trên điện thoại của khách hàng và được mã hóa với
hệ thống bảo vệ nhiều lớp phức tạp và khó có thể can thiệp được. Tuy nhiên, Smart
OTP cũng có thể rủi ro đối với những khách hàng sử dụng điện thoại bị bẻ khóa
máy hoặc tự ý cài thêm các phần mềm độc hại, không rõ nguồn gốc
-Để sử dụng Smart OTP người dùng cần phải đăng ký với ngân hàng hoặc các nhà
cung cấp dịch vụ. Ngoài ra, không thể có nhiều thiết bị sử dụng chung một ứng dụng tạo ra mã OTP.
Câu 8: Đưa ra một hệ thống mà bạn biết có sử dụng mật khẩu cố định (fixed
password) và mô tả các bước thực hiện để bạn có thể được chứng thực người dùng
trong hệ thống đó. Nêu mục tiêu của việc chứng thực này.
Hệ thống có sử dụng mật khẩu cố định (fixed password)
- Teamviewer Các
bước thực hiện Bước 1:
Tại giao diện trên Teamviewer, người dùng nhấn chọn vào mục Extras
bên trên rồi chọn tiếp Options. Bước 2:
Chuyển sang giao diện mới nhấn vào mục quản lý Security ở góc bên trái màn hình.
Nhìn sang bên phải phần Personal password (For unattended access), hãy nhập
mật khẩu muốn đặt cho Teamviewer vào. Nhấn OK để lưu lại mật khẩu là xong.
Ngoài ra trong phần Random password người dùng cũng có thể điều chỉnh độ dài
mật khẩu từ 4 ký tự sang 6, 8, 10 ký tự. Disabled để vô hiệu hóa mật khẩu khi cần
kết nối 2 máy tính. Bây giờ, bạn sẽ sử dụng mật khẩu mình vừa tạo để tạo kết nối
cho người khác. Cách này rất tiện nếu bạn thường xuyên nhờ một người, họ sẽ ghi
nhớ ID và mật khẩu cho lần trợ giúp tiếp theo mà không cần hỏi lại mật khẩu đăng
nhập. Tuy nhiên, nếu để kẻ gian phát hiện và lợi dụng, đây sẽ là mối nguy hiểm lớn
cho tài khoản của người dùng. Vì vậy, hãy cân nhắc thật kỹ trước khi tiến hành sử
dụng, bởi mỗi mật khẩu đều có những ưu - nhược điểm riêng.
* Mục tiêu của chứng thực
- Tăng cường an toàn cho hệ xác thực dựa trên mật khẩu
- Xây dựng giao thức an toàn
- Đảm bảo nội dung thông tin trao đổi giữa các thực thể là chính xác không bịthêm, sửa, xóa hay
phát lại (đảm bảo tính toàn vẹn về nội dung)
- Đảm bảo đối tượng tạo ra thông tin (nguồn gốc thông tin) đúng là đối tượng hợplệ
đã được khai báo (đảm bảo tính toàn vẹn về nguồn gốc thông tin)
- Đảm bảo an toàn đối với thông tin xác thực (tên đặng nhập và mật khẩu khôngđược
truyền đi trực tiếp trên mạng)
- Xác thực ai đang giao dịch lOMoARcPSD| 45470368
- Đảm bảo bảo mật thông tin (không thẩm quyền => không đọc được)
- Đảm bảo tính toàn vẹn - Chống thoái thoát
- Sử dụng thay cho bản chính trong các giấy tờ
- Chứng minh người yêu cầu chứng thực đã ký chữ ký đó và là căn cứ để xác
địnhtrách nhiệm của người ký giấy tờ, văn bản.
- Chứng minh về thời gian, địa điểm các bên đã ký kết hợp đồng, giao dịch; nănglực hành vi dân
sự, ý chí tự nguyện, chữ ký hoặc dấu điểm chỉ của các bên tham gia hợp đồng, giao dịch.
Câu 9: Đưa ra một hệ thống mà bạn biết có sử dụng mật khẩu dùng một lần (one
time password) và mô tả tình huống mà bạn có sử dụng mật khẩu để chứng thực
người dùng/giao dịch. Nêu mục tiêu của việc chứng thực này.
Một trong những hệ thống hiện nay có sử dụng mật khẩu dùng 1 lần là hệ thống
internet banking của MB bank (Ngân hàng Thương mại Cổ phần Quân đội)
Mô tả tình huống mà bạn có sử dụng mật khẩu để chứng thực người dùng/giao dịch.
Chuyển tiền qua Internet Banking của MB bank:
Các bước thực hiện giao dịch chuyển tiền qua Internet Banking sẽ như sau: Bước 1:
Đăng nhập Internet Banking trên máy tính hoặc điện thoại di động được kết nối Internet.
Bước 2: Giao diện mở ra, khách hàng lựa chọn mục chuyển tiền cùng hệ thống hoặc ngoài ngân hàng MB.
Bước 3: Điền đầy đủ thông tin chuyển tiền bao gồm: Tên người nhận, số tài khoản,
số tiền chuyển, nội dung chuyển, ngân hàng nhận…
Bước 4: Xác nhận lại thông tin giao dịch, hệ thống ngân hàng sẽ gửi mã OTP về tin nhắn điện thoại.
Bước 5: Khách hàng nhập mã OTP xác nhận giao dịch. Màn hình hiển thị kết quả giao dịch.
Nêu mục tiêu của việc chứng thực này.
-Tại hệ thống internet banking của MB bank , OTP được dùng làm bảo mật 2 lớp để
xác nhận giao dịch giúp nâng cao tính bảo mật của các dịch vụ thanh toán online và
dịch vụ ngân hàng điện tử.
-Bên cạnh đó mã OTP thường được dùng chỉ 1 lần duy nhất ,bạn không thể sử dụng
mã này cho bất kỳ giao dịch nào khác và mã OTP của MB bank cũng có hiệu lực
trong thời gian rất ngắn (1 phút 43 giây) sẽ giúp giảm thiểu, ngăn chặn rủi ro hacker
hay lộ thông tin tài khoản, nhờ đó mà người dùng cảm thấy an tâm hơn rất nhiều.
Câu 10: Sinh trắc học (biometric) là gì? Nêu các lĩnh vực có thể áp dụng sinh trắc học?
Sinh trắc học là gì?
-Sinh trắc học hay Công nghệ sinh trắc học (tiếng Anh: Biometric) là công nghệ sử
dụng những thuộc tính vật lý, đặc điểm sinh học riêng của mỗi cá nhân như vân tay, lOMoARcPSD| 45470368
khuôn mặt, mống mắt, tĩnh mạch,…để nhận diện, xác thực bảo mật. -Sinh trắc học
đã được phát triển trong một thời gian dài và đã được sử dụng nhiều từ lâu. Vậy nên,
những hiệu quả của nó đã được chứng minh và ngày càng được nâng cấp để hiện
đại hơn và cũng xuất hiện nhiều hơn trong những vật dụng thường ngày. Trước đây
thường những dụng cụ sinh trắc học rất lớn và được cố định ở một cánh cửa hay
một chiếc tủ sắt, nhưng gần đây nó đã được áp dụng nhiều vào những thiết bị thông
minh như điện thoại hay Ipad.Cũng giống như các công nghệ bảo mật khác, sinh
trắc học không có giải pháp quá hoàn hảo. Tuy nhiên nó đang có những bước phát triển đáng kinh ngạc.
Các lĩnh vực mà có thể áp dụng sinh trắc học:
-Sinh trắc học ngày càng được ứng dụng nhiều trong đời sống hằng ngày:
+Ứng dụng trong các sản phẩm công nghệ: Có thể nói ứng dụng rộng rãi nhất của
công nghệ sinh trắc học hiện nay trong cuộc sống là các sản phẩm công nghệ như
smart phone, khóa điện tử, máy chấm công vân tay, máy chấm công khuôn mặt…
điểm chung giữa các thiết bị này là việc nó có thể thay thế mật khẩu truyền thống
với độ bảo mật cao hơn rất nhiều và hiện tại thì nó đã khẳng định được vị trí của nó.
+Ứng dụng trong việc chứng thực các đối tượng khác như khách hàng, sinh viên, ….
+Ứng dụng trong lĩnh vực hình sự: Sử dụng trong việc xác nhận về từng đối tượng
+Ứng dụng trong lĩnh vực ngân hàng: Thanh toán thẻ ATM có sử dụng máy đọc vân tay
+Ứng dụng trong y học: Dấu vân tay giúp phát hiện ra bệnh do bị sai lệch gen như:
hội chứng ba nhiễm sắc thể 18, ba nhiễm sắc thể 13, hội chứng Down, sai lệch nhiễm
sắc thể giới tính XXX, XXY…
+Ứng dụng trong lĩnh vực giáo dục: Sinh trắc vân tay hỗ trợ cho việc phân tích trí
thông minh của mỗi cá nhân, điểm mạnh, điểm hạn chế để từ đó giúp mỗi người có
thể định hướng cho sự nghiệp của mình.
Câu 11: Nêu ưu điểm và nhược điểm của việc áp dụng chứng thực bằng sinh trắc học *Ưu điểm:
-Có khả năng cải thiện tính bảo mật, kiểm soát truy cập an toàn, thoải mái, tránh để
lộ thông tin người dùng cho tội phạm mạng
-Là một giải pháp bảo mật hiện đại và phức tạp nhất, có độ chính xác gần như là
tuyệt đối trong quá trình xác thực
-So với phương pháp xác thực truyền thống, bảo mật sinh trắc học có thao tác thực
hiện nhanh hơn, người dùng hạn chế tình trạng quên chuỗi mật khẩu dài và phức tạp như trước kia
-Khắc phục hiện tượng quá tải thông tin đăng nhập trên các ứng dụng hoặc thiết bị khác nhau
-Xác thực sinh trắc học có tính linh hoạt, dễ đăng ký và triển khai sử dụng *Nhược điểm
-Các thiết bị xác thực sinh trắc học thường có chi phí đắt hơn so với thiết bị nhập mật khẩu truyền thống
-Nhận dạng sinh trắc học không chính xác 100%. Ví dụ: Máy xác thực sinh trắc học
sẽ không nhận diện được giọng nói khi người dùng bị cảm cúm hoặc không nhận
diện được khuôn mặt khi người dùng tăng/giảm cân
-Gây ảnh hưởng đến quyền riêng tư của người sử dụng lOMoARcPSD| 45470368
Câu 12: Hệ thống quản lý an toàn thông tin là gì? Mục tiêu của hệ thống an toàn toàn thông tin?
-Hệ thống an toàn thông tin là gì?
Hệ thống an toàn thông tin (ISMS) là một phần của hệ thống quản lý tổng thể, dựa
trên cách tiếp cận theo rủi ro của kinh doanh, để thiết lập, thực hiện, điều hành, giám
sát, xem xét, duy trì và cải tiến việc bảo mật thông tin. Hệ thống quản lý bao gồm:
cấu trúc của tổ chức, chính sách, các hoạt động hoạch định, trách nhiệm, việc thực
hành, thủ tục, quy trình và nguồn lực.
-Mục tiêu xây dựng hệ thống an toàn thông tin:
+ Đảm bảo tính bảo mật của thông tin, tức là thông tin chỉ được phép truy cập bởi
những đối tượng được cấp phép.
+ Đảm bảo tính toàn vẹn của thông tin, tức là thông tin chỉ được phép xóa hoặc sửa
bởi những đối tượng được phép và phải đảm bảo rằng thông tin vẫn còn chính xác
khi được lưu trữ hay truyền đi.
+ Đảm bảo tính sẵn sàng của thông tin, tức là thông tin có thể được truy xuất bởi
những người được phép vào bất cứ khi nào họ muốn. Ví dụ, nếu một server chỉ bị
ngưng hoạt động hay ngừng cung cấp dịch vụ trong vòng 5 phút trên một năm thì
độ sẵn sàng của nó là 99,999%
Tình huống 1: Để phục vụ cho nhu cầu học tập và tra cứu của cán bộ, giảng viên
và sinh viên của trường, nhà trường đã xây dựng một hệ thống thư viện trực tuyến
www.thuviendientu.iuh.edu.vn, hệ thống giúp độc giả (cán bộ, giảng viên và sinh
viên của trường) có thể tìm kiếm các loại sách, báo, tạp chí,… Đối với tài liệu điện
tử thì độc giả có thể đọc trực tuyến hoặc tải về, đối với sách trong thư viện thì độc
giả có thể đăng ký mượn. Độc giả cũng có thể yêu cầu mua các loại tài liệu điện tử
và thanh toán phí mua trực tuyến. Hệ thống cũng giúp cho các thủ thư có thể quản
lý thông tin mượn và trả sách của độc giả, hệ thống còn có tính năng thông báo
nhắc nhở đến hạn trả sách bằng email, tạo báo cáo, thống kê. Yêu cầu: Với tình
huống đã cho, bạn hãy:
1. Chỉ ra ít nhất 2 loại thông tin/dữ liệu/chức năng nào cần thiết lập, nâng cao
tính an toàn thông tin và nêu lý do tại sao -
Hai loai thông tin cần được nâng cấp là: thông tin cá nhân tài khoản người
dùng như (số điện thoại, địa chỉ, email,...) và thông tin tài khoản thanh toán của
khách hàng (số tài khoản, mã pin, số dư trong tài khoản....) -
Lý do: Cần nâng cấp thông tin cá nhân của tài khoản người dùng vì thông tin
cánhân của người dùng mang tính chất riêng tư và theo như quy định của luật an
ninh mạng quy định mọi thông tin của cá nhân của người dùng phải được bảo mật theo đúng qui định.
2. Đưa ra và mô tả giải pháp nào để cài đặt nâng cao tính an toàn cho từng loại
thông tin/dữ liệu/chức năng ở trên và nêu lý do tại sao phương pháp pháp này
là hữu hiệu để thiết lập và nâng cao tính an toàn thông tin.
- Để cài đặt nâng cao tính an toàn toàn cho các loại thông tin trên ta cần mã hóa
thông tin để người khác không xem được, không sửa được mà người dùng vẫn sử dụng được
Tình huống 2: Để phục vụ nhu cầu học tập và nghiên cứu của cán bộ, giảng viên
và sinh viên của trường (gọi chung là độc giả), nhà trường đã trang bị một phòng lOMoARcPSD| 45470368
đọc sách cho các độc giả. Phòng này có trang bị máy lạnh, bàn ghế, wifi, và 100
chiếc máy tính để bàn. Sinh viên có thể tự vào ra phòng đọc sách trong khoảng thời
gian thư viện mở cửa để ngồi đọc sách, học tập nghiên cứu và dùng các máy tính.
Các máy tính chỉ dùng để học tập/nghiên cứu chứ không cho phép chơi game. Yêu cầu:
1. Theo bạn để có thể kiểm soát, chứng thực và theo dõi sự vào ra phòng đọc
sách của các độc giả một cách tự động thì chúng ta có thể dùng phương pháp
nào để kiểm soát và nêu lý do tại sao phương pháp này là hữu hiệu để thiết lập
và nâng cao tính an toàn thông tin.
- Để có thể kiểm soát, chứng thực và theo dõi sự ra vào của các độc giả một cách tự
động thì chúng ta có thể sử dụng biện pháp sinh trắc học như vân tay, bóng mắt,
khuôn mặt...... Chúng ta nên sử dụng phương pháp này vì phương pháp này có tính
xác thực, chuẩn xác và tiện lợi, không mất nhiều thời gian và hiệu quả đem lại cao.
2. Theo bạn để có thể chứng thức, kiểm soát và theo dõi việc sử dụng wifi và
thiết bị máy móc ở phòng đọc sách thì chúng ta dùng những phương pháp nào
và nêu lý do tại sao phương pháp này là hữu hiệu để thiết lập và nâng cao tính an toàn thông tin.
- Để có thể chứng thực, kiểm soát và theo dõi việc sử dụng Wifi và thiệt bị máy móc
ở phòng đọc sách thì chúng ta nên dùng phần mền quản lý màn hình.