Tính Cần Thiết của An Toàn Hệ Thống Thông Tin | Nhập môn An toàn máy tính | Trường Đại học Khoa học Tự nhiên, Đại học Quốc gia Hà Nội
Giải thích: Hệ thống phải đảm bảo rằng các thông tin cá nhân của sinh viên (như họ tên, địa chỉ, số điện thoại, thông tin thẻ ngân hàng) được bảo vệ, chỉ cho phép những người có quyền truy cập. Điều này ngăn chặn rủi ro rò rỉ thông tin nhạy cảm, đảm bảo rằng sinh viên và giáo viên đều yên tâm khi sử dụng hệ thống. Tài liệu được sưu tầm và soạn thảo dưới dạng file PDF để gửi tới các bạn cùng tham khảo, ôn tập đầy đủ kiến thức, chuẩn bị cho các buổi học thật tốt. Mời bạn đọc đón xem!
Môn: Nhập môn An toàn máy tính 10 tài liệu
Trường: Trường Đại học Khoa học tự nhiên, Đại học Quốc gia Hà Nội 0.9 K tài liệu
Tác giả:
Preview text:
Giữa kì Nhập môn An Toàn Thông Tin Tình huống 1
Trung tâm tin học của khoa công nghệ thông tin có nhiệm vụ đào tạo các khóa học
ngắn hạn về CNTT cho các sinh viên của trường. Hiện nay trung tâm có một website
http://www.ttth_iuh.edu.vn để sinh viên xem, đăng ký và thanh toán học phí các
khóa học qua website. Sau khi thi xong sinh viên cũng có thể xem kết quả của các
khóa học qua website này. Khi đăng ký học các khóa học sinh viên phải cung cấp
đầy đủ thông tin cá nhân để trung tâm lưu trữ quản lý. Khi thanh toán học phí trực
tuyến sinh viên phải cung cấp thông tin về thẻ ngân hàng thanh toán. Thông tin các
khóa học cũng được website cung cấp cho sinh viên tham khảo và chọn lựa. Giáo
viên sau khi giảng dạy thì nhập các kết quả thi của sinh viên thông qua website.
Hãy nêu và giải thích ít nhất 3 tính cần thiết của an toàn HTTT đối với website của trung tâm.
Dưới đây là 3 tính chất cần thiết của an toàn hệ thống thông tin (HTTT) đối với
website của trung tâm tin học:
1. Tính bảo mật (Confidentiality): o
Giải thích: Hệ thống phải đảm bảo rằng các thông tin cá nhân của sinh
viên (như họ tên, địa chỉ, số điện thoại, thông tin thẻ ngân hàng) được
bảo vệ, chỉ cho phép những người có quyền truy cập. Điều này ngăn
chặn rủi ro rò rỉ thông tin nhạy cảm, đảm bảo rằng sinh viên và giáo
viên đều yên tâm khi sử dụng hệ thống. o
Ví dụ: Khi sinh viên đăng ký khóa học hoặc thanh toán học phí, thông
tin thẻ ngân hàng của họ phải được mã hóa để ngăn chặn hành vi truy cập trái phép.
2. Tính toàn vẹn (Integrity): o
Giải thích: Đảm bảo dữ liệu của sinh viên và kết quả học tập phải chính
xác, không bị sửa đổi trái phép. Mọi sự thay đổi về dữ liệu phải được
thực hiện bởi người có thẩm quyền (giáo viên, quản trị hệ thống) và
phải đảm bảo tính chính xác của dữ liệu trong suốt quá trình lưu trữ và truyền tải. o
Ví dụ: Kết quả thi của sinh viên phải được bảo vệ, không ai có thể thay
đổi điểm số một cách trái phép sau khi giáo viên đã nhập dữ liệu vào hệ thống.
3. Tính xác thực (Authenticity): o
Giải thích: Xác thực đảm bảo rằng người sử dụng hệ thống là đúng
người được ủy quyền, ngăn chặn việc giả mạo danh tính hay thông tin.
Điều này rất quan trọng khi sinh viên truy cập thông tin cá nhân hoặc
giáo viên nhập kết quả thi, nhằm tránh những truy cập bất hợp pháp. o
Ví dụ: Sinh viên khi đăng nhập vào hệ thống để xem kết quả học tập
cần được xác thực một cách chính xác để tránh tình trạng người khác
truy cập trái phép vào tài khoản của họ.
Vì sao không chọn các tính chất khác?
1. Tính chống thoái thác (Non-repudiation): o
Lý do không chọn: Trong tình huống này, không có nhiều yêu cầu cần
ngăn chặn việc từ chối trách nhiệm. Chủ yếu là các hoạt động của giáo
viên và sinh viên đều có thể được theo dõi và lưu trữ lại dễ dàng, do đó
không cần tập trung quá nhiều vào tính chống thoái thác.
2. Tính sẵn dùng (Availability): o
Lý do không chọn: Mặc dù việc đảm bảo hệ thống hoạt động liên tục và
truy cập được mọi lúc là quan trọng, nhưng trong trường hợp này, số
lượng sinh viên và yêu cầu truy cập không quá cao, nên hệ thống có
thể xử lý tốt mà không cần ưu tiên tính sẵn dùng quá mức. Tình huống 2:
Nhà ăn của trường Đại học Công nghiệp Tp. HCM có một Website ĐẶT THỰC
ĐƠN CÁC MÓN ĂN TRỰC TUYẾN (http://www.cantin_iuh.edu.vn) nhằm giúp
cho các nhân viên, giáo viên và sinh viên (gọi chung là khách hàng) của
trường có thể tìm và đặt thực đơn các món ăn cho bữa ăn sáng/trưa/tối thông
qua website và thức ăn sẽ được giao tới tận phòng/khoa của khách hàng mà
khách hàng yêu cầu. Website có hiển thị danh mục và giá cả của các món ăn
để khách hàng tham khảo. Để có thể đặt các món ăn, khách hàng phải đăng
ký làm thành viên của Website. Để đăng ký thành viên thì khách hàng phải
cung cấp thông tin cá nhân như họ tên, số điện thoại, địa chỉ email, mã số
giáo viên/mã sinh viên để hệ thống lưu trữ và quản lý. Khi đặt món khách
hàng có thể thanh toán đơn đặt hàng trực tuyến hoặc trả tiền mặt ngay khi
nhận các món ăn. Khi thanh toán thực đơn trực tuyến khách hàng phải cung
cấp thông tin về thẻ ngân hàng thanh toán
Hãy nêu và giải thích ít nhất 3 tính cần thiết của an toàn HTTT đối với website nhà ăn.
1.Tính bảo mật (Confidentiality)
Giải thích: Tính bảo mật đảm bảo rằng thông tin cá nhân của khách hàng
(như họ tên, số điện thoại, địa chỉ email, mã số giáo viên/mã sinh viên) và
thông tin thẻ ngân hàng khi thanh toán trực tuyến được bảo vệ khỏi việc truy cập trái phép.
Lý do cần thiết: Thông tin cá nhân và tài chính của khách hàng rất nhạy cảm,
do đó nếu không đảm bảo bảo mật, các dữ liệu này có thể bị lộ ra ngoài, dẫn
đến các cuộc tấn công đánh cắp thông tin, gây thiệt hại về tài chính và uy tín
cho cả khách hàng lẫn nhà ăn.
Ví dụ: Khi khách hàng cung cấp thông tin thẻ ngân hàng để thanh toán trực
tuyến, hệ thống cần mã hóa thông tin này để ngăn chặn kẻ xấu truy cập và sử dụng.
2. Tính sẵn sàng (Availability)
Giải thích: Tính sẵn sàng đảm bảo rằng website luôn hoạt động, không bị gián
đoạn, và khách hàng có thể truy cập vào bất cứ lúc nào để đặt món ăn hoặc thanh toán.
Lý do cần thiết: Vì website cung cấp dịch vụ đặt món ăn trực tuyến cho nhiều
khách hàng trong các khoảng thời gian nhất định (sáng, trưa, tối), việc
website hoạt động liên tục là cần thiết để đảm bảo rằng khách hàng có thể
đặt món và nhà ăn có thể tiếp nhận và xử lý đơn hàng đúng thời gian. Nếu hệ
thống không sẵn sàng, khách hàng sẽ không thể đặt món, gây khó khăn trong vận hành dịch vụ.
Ví dụ: Nếu một sinh viên cần đặt bữa trưa nhưng website bị gián đoạn vào giờ
cao điểm, họ sẽ không thể đặt món ăn, gây ra sự bất tiện lớn. Do đó, hệ
thống cần phải đảm bảo tính sẵn sàng cao trong suốt thời gian vận hành.
3. Tính xác thực (Authenticity)
Giải thích: Tính xác thực đảm bảo rằng người dùng đăng nhập vào hệ thống là
người thật và đúng với thông tin mà họ đã cung cấp khi đăng ký. Hệ thống
cần xác minh danh tính của khách hàng trước khi họ có thể đặt món và thanh toán.
Lý do cần thiết: Để tránh việc gian lận hoặc giả mạo, website phải đảm bảo
rằng thông tin khách hàng (như mã số sinh viên/mã số giáo viên) là chính xác
và đúng người dùng. Điều này giúp ngăn chặn việc ai đó sử dụng thông tin
người khác để đặt món hoặc thực hiện thanh toán trái phép.
Ví dụ: Khi một giáo viên đăng nhập vào hệ thống để đặt món ăn, hệ thống
cần kiểm tra và xác thực mã số giáo viên để đảm bảo rằng người đang đặt
hàng chính là chủ tài khoản.
Vì sao không chọn 2 tính chất còn lại?
1. Tính toàn vẹn (Integrity): o
Lý do không chọn: Mặc dù tính toàn vẹn quan trọng để đảm bảo dữ liệu
không bị thay đổi trái phép, nhưng trong trường hợp này, nó không
phải là tính chất hàng đầu. Website của nhà ăn chủ yếu liên quan đến
các giao dịch nhỏ lẻ (đặt món ăn, thanh toán), nên việc giữ nguyên
tính chính xác của dữ liệu không có mức độ nghiêm trọng như các giao
dịch tài chính lớn hoặc thông tin y tế.
2. Tính chống thoái thác (Non-repudiation): o
Lý do không chọn: Tính chống thoái thác không quan trọng trong bối
cảnh này. Nhà ăn không cần yêu cầu bằng chứng xác nhận hành động
đã thực hiện trong các giao dịch đặt món hoặc thanh toán nhỏ, vì rủi ro
từ việc một ai đó từ chối hành động của mình là không quá lớn như
trong các giao dịch tài chính hoặc pháp lý phức tạp. Tình huống 3:
Đường sắt Việt Nam sử dụng website www.dsvn.vn để giúp hành khách đặt và mua
vé trực tuyến. Thông qua website, các nhà ga quản lý được quá trình bán, mua vé
của người dân cũng như thể hiện các tính ưu việt khác thông qua các nghiệp vụ điều
hành. Website hiển thị các thông tin cần thiết mà khách hàng mong muốn: tuyến
tàu, giá vé, thời gian chạy, thời gian đến, tình trạng số chỗ cho mỗi toa ... Để có thể
đặt vé, hành khách truy cập vào website và tra cứu thông tin: chọn ngày đi, ga đi,
ga đến, thời gian phù hợp, loại ghế ... cũng như bắt buộc phải cung cấp đúng thông
tin cá nhân: họ tên người đi, thông tin giấy tờ tùy thân (số CMND hoặc thẻ căn cước,
số hộ chiếu ...), năm sinh và một số thông tin bổ sung khác. Khách hàng cũng có thể
thanh toán trực tuyến hoặc thanh toán tại các địa điểm chỉ định (ngân hàng, nhà ga,
đại lý, các điểm thu hộ ...). Quản lý ga/nhân viên tùy theo chức năng, nhiệm vụ được
giao thực hiện các thao tác nghiệp vụ liên quan đến quy định đặt chỗ, bán vé, hủy
vé, đổi ngày, cập nhật thông tin liên quan đến giá vé, giảm giá, các ưu đãi, khuyến
cáo ... cũng thông qua cổng thông tin này.
Hãy nêu và giải thích ít nhất 3 tính cần thiết của an toàn HTTT đối với website Đường sắt Việt Nam.
1.Tính bảo mật (Confidentiality)
Giải thích: Tính bảo mật đảm bảo rằng các thông tin cá nhân của hành khách
(họ tên, số CMND, thẻ căn cước, năm sinh, thông tin thanh toán...) được bảo
vệ và không bị rò rỉ hay truy cập trái phép.
Lý do cần thiết: Vì hệ thống yêu cầu khách hàng cung cấp nhiều thông tin cá
nhân quan trọng khi đặt vé, việc bảo mật thông tin là cần thiết để ngăn chặn
hành vi đánh cắp danh tính, lạm dụng dữ liệu hoặc truy cập trái phép vào hệ thống.
Ví dụ: Nếu thông tin cá nhân của hành khách bị lộ, kẻ xấu có thể sử dụng
thông tin này để thực hiện các hành vi lừa đảo hoặc tấn công tài chính.
2. Tính xác thực (Authenticity)
Giải thích: Tính xác thực đảm bảo rằng những người sử dụng hệ thống là
những người đã đăng ký hợp pháp và có quyền truy cập thông tin cũng như
thực hiện các giao dịch trong hệ thống. Đối với khách hàng, tính xác thực là
việc kiểm tra danh tính (số CMND/thẻ căn cước) của người mua vé. Đối với
nhân viên quản lý, đó là đảm bảo rằng họ có đủ thẩm quyền để thực hiện các thao tác quản trị.
Lý do cần thiết: Website phải đảm bảo rằng hành khách cung cấp đúng danh
tính, thông tin cá nhân để tránh việc người khác mua vé thay hoặc sử dụng
thông tin giả. Đối với nhân viên, việc xác thực quyền truy cập giúp đảm bảo
rằng chỉ có những người được cấp phép mới có thể thao tác các nghiệp vụ quản lý vé.
Ví dụ: Khi một khách hàng thanh toán vé, hệ thống cần xác thực rằng người
đang thực hiện thanh toán chính là người đặt vé để ngăn chặn hành vi gian lận.
3. Tính sẵn sàng (Availability)
Giải thích: Tính sẵn sàng đảm bảo rằng website luôn hoạt động liên tục,
không bị gián đoạn, để người dân có thể truy cập và đặt vé mọi lúc mọi nơi,
đặc biệt trong các thời điểm cao điểm như lễ, Tết.
Lý do cần thiết: Khả năng hoạt động liên tục của hệ thống là cực kỳ quan
trọng, bởi người dân cần có thể đặt vé và thanh toán trực tuyến một cách
thuận tiện. Đặc biệt vào các thời gian cao điểm, số lượng truy cập lớn, nếu
website không đảm bảo tính sẵn sàng, người dùng có thể gặp khó khăn trong
việc mua vé, gây ảnh hưởng tới trải nghiệm và hoạt động của ngành đường sắt.
Ví dụ: Trong các dịp lễ, nếu hệ thống bị quá tải và ngưng hoạt động, người
dân sẽ không thể đặt vé, gây nên tình trạng bất tiện và giảm uy tín của dịch vụ.
Vì sao không chọn 2 tính chất còn lại?
1. Tính toàn vẹn (Integrity): o
Lý do không chọn: Tính toàn vẹn quan trọng trong việc đảm bảo dữ liệu
không bị thay đổi trái phép, nhưng đối với hệ thống này, việc ngăn
chặn truy cập trái phép vào dữ liệu quan trọng hơn là việc duy trì tính
toàn vẹn. Các hệ thống của đường sắt có thể có cơ chế kiểm tra lại
thông tin và làm việc trực tiếp với hành khách nếu cần chỉnh sửa hoặc
xác minh lại thông tin đặt vé. Mặc dù tính toàn vẹn vẫn cần thiết,
nhưng nó không ưu tiên bằng tính bảo mật, xác thực và sẵn sàng trong trường hợp này.
2. Tính chống thoái thác (Non-repudiation): o
Lý do không chọn: Tính chống thoái thác có thể không phải là tính chất
quá quan trọng trong hệ thống đặt vé đường sắt. Hành khách có thể có
bằng chứng mua vé qua biên lai hoặc mã đặt vé, và việc từ chối hành
động như mua vé hoặc hủy vé không gây ra thiệt hại nghiêm trọng như
trong các giao dịch tài chính hay pháp lý phức tạp. Trong trường hợp có
sai sót, hành khách vẫn có thể giải quyết qua các kênh hỗ trợ hoặc phòng vé. Tình huống 4
Công ty VCCloud là một trong nhiều công ty viễn thông, cung cấp các dịch vụ CDN
cho các cá nhân và doanh nghiệp tại Việt Nam. Dịch vụ CDN là mạng lưới gồm
nhiều máy chủ lưu trữ đặt tại nhiều vị trí địa lý khác nhau, cùng làm việc chung để
phân phối nội dung, truyền tải hình ảnh, CSS, Javascript, Video clip, Real-time media
streaming, File download đến người dùng cuối. Cơ chế hoạt động của CDN giúp cho
khách hàng truy cập nhanh vào dữ liệu máy chủ web gần họ nhất thay vì phải truy
cập vào dữ liệu máy chủ web tại trung tâm dữ liệu.
Hãy nêu và giải thích ít nhất 4 tính cần thiết của an toàn HTTT đối với công
ty/doanh nghiệp được mô tả ở trên.
1. Tính bảo mật (Confidentiality)
Giải thích: Tính bảo mật đảm bảo rằng thông tin nhạy cảm của khách hàng,
bao gồm nội dung được phân phối và thông tin thanh toán, không bị lộ ra
ngoài hoặc truy cập trái phép.
Lý do cần thiết: Trong môi trường cung cấp dịch vụ CDN, dữ liệu được
truyền tải từ nhiều nguồn khác nhau. Nếu thông tin không được bảo mật, kẻ
xấu có thể đánh cắp dữ liệu của khách hàng, gây thiệt hại nghiêm trọng cho
cả công ty và khách hàng.
Ví dụ: Một công ty sử dụng dịch vụ CDN để phát video trực tuyến sẽ không
muốn nội dung của mình bị đánh cắp hoặc phát tán trái phép.
2. Tính toàn vẹn (Integrity)
Giải thích: Tính toàn vẹn đảm bảo rằng dữ liệu được lưu trữ và truyền tải
không bị thay đổi, sửa chữa hoặc xóa bởi những người không được phép.
Lý do cần thiết: Đối với dịch vụ CDN, sự chính xác của dữ liệu là rất quan
trọng. Nếu dữ liệu bị thay đổi một cách trái phép, khách hàng có thể nhận
được nội dung sai lệch, ảnh hưởng đến trải nghiệm người dùng và uy tín của công ty.
Ví dụ: Nếu một tệp tin hình ảnh được cung cấp qua CDN bị thay đổi mà
không có sự cho phép của chủ sở hữu, điều đó có thể gây ra sự nhầm lẫn
hoặc khiếu nại từ phía khách hàng.
3. Tính sẵn sàng (Availability)
Giải thích: Tính sẵn sàng đảm bảo rằng dịch vụ luôn hoạt động, và người
dùng có thể truy cập dữ liệu một cách liên tục và kịp thời.
Lý do cần thiết: Khách hàng phụ thuộc vào dịch vụ CDN để truy cập nội
dung nhanh chóng và ổn định. Nếu dịch vụ bị gián đoạn, điều này không chỉ
gây khó chịu cho người dùng mà còn có thể dẫn đến mất doanh thu cho công ty.
Ví dụ: Trong trường hợp một sự kiện trực tiếp diễn ra, nếu hệ thống CDN
không thể xử lý lưu lượng truy cập, người dùng sẽ không thể xem nội dung,
dẫn đến mất mát lớn về khách hàng và doanh thu cho công ty.
4. Tính xác thực (Authenticity)
Giải thích: Tính xác thực đảm bảo rằng thông tin và người dùng trong hệ
thống là hợp pháp và đến từ nguồn đáng tin cậy.
Lý do cần thiết: Để duy trì độ tin cậy của dịch vụ, công ty cần xác thực danh
tính của khách hàng và đảm bảo rằng nội dung mà họ cung cấp không bị giả
mạo. Điều này giúp ngăn chặn việc cung cấp nội dung xấu hoặc độc hại.
Ví dụ: Một công ty phải đảm bảo rằng nội dung mà họ đang phát sóng qua
CDN là hợp pháp và không vi phạm bản quyền.
Lý do không chọn tính chống thoái thác (Non-repudiation)
Giải thích: Mặc dù tính chống thoái thác quan trọng trong việc bảo vệ quyền
lợi của các bên trong các giao dịch, trong bối cảnh của dịch vụ CDN, tính xác
thực lại có vai trò quan trọng hơn trong việc đảm bảo nguồn gốc và tính hợp
pháp của nội dung và người dùng.
Ví dụ: Trong một số tình huống, việc chứng minh một hành động đã được
thực hiện (chống thoái thác) không quan trọng bằng việc xác thực rằng thông
tin đang được xử lý là chính xác và đến từ nguồn đáng tin cậy. Điều này đặc
biệt cần thiết khi nội dung được phát trực tuyến hoặc tải xuống bởi hàng triệu người dùng. Tình huống 5
Ngân hàng Vietcombank là một ngân hàng chuyên cung cấp cho khách hàng đầy đủ
các dịch vụ tài chính hàng đầu trong lĩnh vực thương mại quốc tế; trong các hoạt
động truyền thống như kinh doanh vốn, huy động vốn, tín dụng, tài trợ dự án…cũng
như mảng dịch vụ ngân hàng hiện đại: kinh doanh ngoại tệ và các công vụ phái
sinh, dịch vụ thẻ, ngân hàng điện tử…
Sở hữu hạ tầng kỹ thuật ngân hàng hiện đại, Vietcombank có nhiều lợi thế trong
việc ứng dụng công nghệ tiên tiến vào xử lý tự động các dịch vụ ngân hàng, phát
triển các sản phẩm, dịch vụ ngân hàng điện tử dựa trên nền tảng công nghệ cao.
Không gian giao dịch công nghệ số (Digital lab) cùng các dịch vụ: VCB Internet
Banking, VCB Money, SMS Banking, Phone Banking,…đã, đang và sẽ tiếp tục thu hút
đông đảo khách hàng bằng sự tiện lợi, nhanh chóng, an toàn, hiệu quả, tạo thói
quen thanh toán không dùng tiền mặt•cho đông đảo khách hàng.
Hãy nêu và giải thích ít nhất 4 tính cần thiết của an toàn HTTT đối với công ty/doanh
nghiệp được mô tả ở trên
1. Tính bảo mật (Confidentiality)
Giải thích: Tính bảo mật đảm bảo rằng thông tin nhạy cảm của khách hàng
(bao gồm thông tin cá nhân, thông tin tài khoản, thông tin giao dịch…) không
bị lộ ra ngoài hoặc truy cập trái phép.
Lý do cần thiết: Trong môi trường ngân hàng điện tử, thông tin khách hàng
là cực kỳ quan trọng. Nếu bị lộ hoặc đánh cắp, không chỉ khách hàng mà
chính ngân hàng cũng sẽ đối diện với rủi ro lớn về tài chính và uy tín.
Ví dụ: Dịch vụ Internet Banking của Vietcombank cho phép khách hàng thực
hiện các giao dịch trực tuyến, và nếu tính bảo mật không được đảm bảo, kẻ
tấn công có thể chiếm đoạt tài khoản hoặc thông tin giao dịch của khách hàng.
2. Tính toàn vẹn (Integrity)
Giải thích: Tính toàn vẹn đảm bảo rằng dữ liệu của khách hàng không bị
thay đổi, sửa chữa hoặc xóa một cách trái phép.
Lý do cần thiết: Đối với các dịch vụ ngân hàng điện tử như Internet Banking
hay SMS Banking, tính toàn vẹn của dữ liệu là vô cùng quan trọng. Việc thay
đổi trái phép dữ liệu (ví dụ như số dư tài khoản, giao dịch) có thể dẫn đến các
hậu quả nghiêm trọng cho cả khách hàng và ngân hàng.
Ví dụ: Trong các giao dịch tài chính, nếu thông tin số dư tài khoản bị thay đổi
hoặc giao dịch bị sửa đổi, khách hàng có thể mất tiền và ngân hàng sẽ phải
chịu trách nhiệm lớn về sự cố này.
3. Tính xác thực (Authenticity)
Giải thích: Tính xác thực đảm bảo rằng thông tin và người dùng trong hệ
thống là hợp pháp và đến từ nguồn đáng tin cậy.
Lý do cần thiết: Ngân hàng phải đảm bảo rằng các giao dịch đến từ đúng
khách hàng và thông tin không bị giả mạo. Tính xác thực giúp bảo vệ khách
hàng khỏi các hành vi gian lận, như việc ai đó giả danh để thực hiện các giao dịch tài chính.
Ví dụ: Khi sử dụng dịch vụ VCB Internet Banking, khách hàng phải xác thực
thông tin qua mã OTP hoặc vân tay để đảm bảo rằng giao dịch được thực
hiện bởi chính chủ tài khoản.
4. Tính sẵn sàng (Availability)
Giải thích: Tính sẵn sàng đảm bảo rằng các dịch vụ ngân hàng điện tử luôn
hoạt động và có thể truy cập mọi lúc.
Lý do cần thiết: Ngân hàng cần đảm bảo rằng khách hàng có thể truy cập
các dịch vụ như Internet Banking, Phone Banking hay SMS Banking bất kỳ lúc
nào, đặc biệt là trong các giao dịch tài chính quan trọng. Sự gián đoạn dịch vụ
sẽ gây ảnh hưởng lớn đến khách hàng và làm giảm uy tín của ngân hàng.
Ví dụ: Nếu hệ thống ngân hàng điện tử bị sập trong thời gian dài, khách hàng
sẽ không thể thực hiện các giao dịch như chuyển tiền hoặc thanh toán trực
tuyến, gây ra nhiều phiền toái.
Lý do không chọn tính chống thoái thác (Non-repudiation)
Giải thích: Mặc dù tính chống thoái thác quan trọng trong việc ngăn chặn
khách hàng phủ nhận các giao dịch đã thực hiện, trong ngữ cảnh này, tính
xác thực, bảo mật, toàn vẹn và sẵn sàng được xem là quan trọng hơn. Tính
chống thoái thác thường liên quan đến việc chứng minh một hành động đã
được thực hiện, nhưng với sự hiện diện của các cơ chế xác thực mạnh mẽ
(như mã OTP, chữ ký số), ngân hàng có thể dễ dàng quản lý các tranh chấp
mà không cần ưu tiên tính chống thoái thác.
Ví dụ: Trong các giao dịch tài chính, việc khách hàng phủ nhận rằng họ đã
thực hiện một giao dịch là điều ít gặp nếu có các biện pháp xác thực mạnh
như OTP hay chữ ký điện tử. Do đó, tính chống thoái thác không quan trọng
bằng các yếu tố bảo vệ tính an toàn và liên tục của hệ thống. Tình huống 6
Công ty cổ phần đầu tư và Du Lịch Viễn Đông được thành lập và đi vào hoạt động
từ tháng 11 năm 2007, là doanh nghiệp chuyên về tổ chức các tour lữ hành Du Lịch
Trong Nước & Nước Ngoài. Ngoài ra công ty đã mở rộng hoạt động theo sự phát
triển chung của thị trường như tham gia đầu tư vào các dự án Bất Động Sản, cho
thuê nhà xưởng trong các
của tỉnh Bình Dương và kinh doanh Khu Công Nghiệp Xăng Dầu...
Các dịch vụ của công ty:
A. Du lịch trong và ngoài nước 1. Tổ chức tour du lịch. 2. Cho thuê xe du lịch. 3. Đặt phòng khách sạn
4. Cung cấp các sản phẩm du lịch theo nhu cầu của khách hàng B. Bất động sản
1. Tham gia đầu tư vào các dự án bất động sản.
2. Cho thuê nhà xưởng trong các khu công nghiệp.
3. Môi giới bất động sản. C. Kinh doanh xăng dầu 1. Mua và bán xăng dầu
Bạn hãy nêu và giải thích ít nhất 4 tính cần thiết của an toàn hệ thống thông tin
đối với Công ty cổ phần đầu tư và Du Lịch Viễn Đông được mô tả ở trên.
1. Tính bảo mật (Confidentiality)
Giải thích: Tính bảo mật đảm bảo rằng thông tin nhạy cảm của khách hàng
và đối tác (như thông tin cá nhân, thông tin hợp đồng, thông tin giao dịch)
không bị tiết lộ ra ngoài một cách trái phép.
Lý do cần thiết: Công ty tổ chức các dịch vụ như đặt phòng khách sạn, tổ
chức tour du lịch và giao dịch bất động sản. Thông tin cá nhân của khách
hàng và các giao dịch kinh doanh có tính bảo mật cao. Nếu bị rò rỉ thông tin,
uy tín của công ty sẽ bị ảnh hưởng và gây ra tổn thất lớn về kinh tế.
Ví dụ: Khi khách hàng đặt phòng khách sạn hoặc tour du lịch, họ cung cấp
các thông tin cá nhân và thanh toán trực tuyến. Công ty cần đảm bảo thông
tin này không bị rò rỉ ra ngoài.
2. Tính sẵn sàng (Availability)
Giải thích: Tính sẵn sàng đảm bảo rằng các dịch vụ trực tuyến của công ty
(đặt tour du lịch, môi giới bất động sản) luôn hoạt động ổn định và sẵn có khi
khách hàng hoặc đối tác cần.
Lý do cần thiết: Khách hàng mong muốn truy cập và sử dụng dịch vụ của
công ty mọi lúc mọi nơi. Nếu hệ thống bị gián đoạn hoặc không hoạt động, sẽ
gây mất uy tín và mất khách hàng.
Ví dụ: Khi khách hàng muốn đặt tour du lịch hoặc sử dụng dịch vụ thuê xe du
lịch thông qua website, công ty cần đảm bảo hệ thống luôn sẵn sàng để xử lý
yêu cầu của họ kịp thời.
3. Tính toàn vẹn (Integrity)
Giải thích: Tính toàn vẹn đảm bảo rằng dữ liệu của công ty (bao gồm thông
tin khách hàng, giao dịch, hợp đồng) không bị thay đổi hoặc chỉnh sửa trái phép.
Lý do cần thiết: Công ty hoạt động trong nhiều lĩnh vực khác nhau, từ du
lịch đến bất động sản và kinh doanh xăng dầu. Các thông tin về hợp đồng và
giao dịch cần được bảo vệ để tránh tình trạng bị thay đổi hoặc mất mát dữ
liệu, gây thiệt hại về kinh tế và uy tín.
Ví dụ: Trong giao dịch bất động sản, thông tin hợp đồng, giá trị tài sản và
điều khoản giao dịch cần phải được lưu giữ chính xác và không bị thay đổi.
4. Tính xác thực (Authenticity)
Giải thích: Tính xác thực đảm bảo rằng thông tin truy cập vào hệ thống đến
từ người dùng hợp pháp và đáng tin cậy.
Lý do cần thiết: Công ty cần đảm bảo rằng khách hàng và đối tác truy cập
vào hệ thống thông tin của công ty là những người có quyền truy cập. Điều
này giúp tránh các hành vi lừa đảo hoặc giả mạo, đặc biệt là trong lĩnh vực
kinh doanh bất động sản và giao dịch tài chính.
Ví dụ: Khi khách hàng hoặc đối tác đăng nhập để truy cập vào thông tin hợp
đồng hoặc thực hiện thanh toán, cần có biện pháp xác thực như OTP (mã xác
thực) hoặc mã hóa để đảm bảo thông tin đến từ nguồn đáng tin cậy.
Lý do không chọn tính chống thoái thác (Non-repudiation)
Giải thích: Mặc dù tính chống thoái thác quan trọng trong việc chứng minh
một hành vi đã được thực hiện và ngăn chặn các bên liên quan phủ nhận
hành động của mình, nhưng trong trường hợp này, các lĩnh vực như du lịch và
bất động sản thường có những chứng từ, hợp đồng chính thức được ký kết
giữa các bên. Điều này làm cho tính xác thực, bảo mật, toàn vẹn và sẵn sàng
quan trọng hơn trong việc duy trì hoạt động liên tục và bảo vệ dữ liệu.
Ví dụ: Trong giao dịch du lịch, các thông tin đặt tour có thể dễ dàng được xác
minh qua hệ thống thanh toán và thông tin khách hàng. Việc chứng minh
hành động đặt tour đã được thực hiện ít gây tranh cãi hơn so với bảo mật hay
tính sẵn sàng của hệ thống. Tình huống 7
Bệnh viện Hồng Đức là một trong những bệnh viện tốt nhất tại Việt Nam.
Hàng năm, Hồng Đức khám và điều trị cho hàng trăm ngàn bệnh nhân, hơn
5.000 bệnh nhân nội trú và phẫu thuật nội soi hơn 2.000 ca. Tính đến thời
điểm hiện tại Hồng Đức đã đạt được nhiều thành tựu trong việc khám và điều
trị bệnh cho bệnh nhân. Không ngừng nỗ lực để phục vụ cộng đồng tốt hơn và
để đáp ứng nhu cầu của xã hội. Bệnh viện được trang bị đồng bộ với kỹ thuật
và công nghệ y khoa hiện đại nhất, đáp ứng các yêu cầu chẩn đoán, điều trị
theo phương pháp mới cũng như các kỹ thuật cao cấp. Đặc biệt bệnh viện đã
áp dụng tối đa hệ thống thông tin vào tất cả các hoạt động của bệnh viện từ
việc quản lý nhân viên, bệnh nhân, thiết bị đến việc xử lý các quy trình
nghiệp vụ như đăng ký khám bệnh trực tuyến, khám bệnh và điều trị bệnh từ
xa, điều trị bệnh, mổ, xét nghiệm, nội soi, thanh toán viện phí trực tuyến, liên
kết với các công ty bảo hiểm trong việc điều trị cho các bệnh nhân có mua bảo hiểm…
Từ mô tả trên, bạn hãy nhận dạng và giải thích được ít nhất 3 tính cần thiết
của HTTT đối với doanh nghiệp ở trên.
1. Tính bảo mật (Confidentiality)
Giải thích: Tính bảo mật đảm bảo rằng thông tin cá nhân của bệnh nhân và
dữ liệu y tế không bị truy cập trái phép. Điều này đặc biệt quan trọng trong
môi trường y tế, nơi các thông tin như tiền sử bệnh, kết quả xét nghiệm, và
thông tin thanh toán là những dữ liệu nhạy cảm.
Lý do cần thiết: Thông tin bệnh nhân, bao gồm thông tin về bệnh lý và lịch
sử điều trị, cần được bảo mật tuyệt đối để đảm bảo quyền riêng tư của bệnh
nhân và tránh các hành vi xâm phạm dữ liệu. Việc rò rỉ thông tin có thể gây
ra hậu quả nghiêm trọng cho cá nhân và ảnh hưởng đến uy tín của bệnh viện.
Ví dụ: Khi bệnh nhân đăng ký khám bệnh trực tuyến hoặc thanh toán viện
phí qua hệ thống, thông tin cá nhân và dữ liệu tài chính của họ cần phải được
mã hóa và bảo vệ nghiêm ngặt.
2. Tính sẵn sàng (Availability)
Giải thích: Tính sẵn sàng đảm bảo rằng hệ thống thông tin của bệnh viện
luôn hoạt động ổn định và đáp ứng được nhu cầu truy cập của nhân viên y tế
và bệnh nhân bất cứ lúc nào, đặc biệt trong trường hợp cấp cứu hoặc các ca
phẫu thuật cần phản ứng nhanh.
Lý do cần thiết: Hệ thống thông tin của bệnh viện cần phải sẵn sàng để hỗ
trợ các quy trình nghiệp vụ như đăng ký khám bệnh, xét nghiệm, và thanh
toán viện phí trực tuyến. Bất kỳ sự gián đoạn nào trong hệ thống có thể ảnh
hưởng đến việc điều trị bệnh nhân và gây mất lòng tin.
Ví dụ: Trong tình huống cấp cứu, bác sĩ cần truy cập nhanh vào hồ sơ y tế
của bệnh nhân để có những quyết định điều trị chính xác và kịp thời.
3. Tính toàn vẹn (Integrity)
Giải thích: Tính toàn vẹn đảm bảo rằng dữ liệu của bệnh viện (bao gồm hồ
sơ bệnh nhân, thông tin chẩn đoán và kết quả xét nghiệm) không bị thay đổi,
xóa bỏ hoặc làm sai lệch trái phép. Dữ liệu cần duy trì tính chính xác trong
suốt quá trình lưu trữ và trao đổi thông tin.
Lý do cần thiết: Độ chính xác của dữ liệu y tế là vô cùng quan trọng. Nếu
thông tin về bệnh nhân bị thay đổi hoặc sai lệch, sẽ dẫn đến việc chẩn đoán
sai hoặc điều trị sai lầm, gây nguy hiểm đến sức khỏe bệnh nhân và trách
nhiệm pháp lý cho bệnh viện.
Ví dụ: Một bệnh nhân có thể có nhiều xét nghiệm hoặc chẩn đoán khác nhau,
và thông tin này phải được cập nhật chính xác và đầy đủ để tránh sai sót
trong quá trình điều trị.
Lý do không chọn các tính chất còn lại:
1. Tính xác thực (Authenticity):
Mặc dù tính xác thực rất quan trọng để đảm bảo rằng chỉ những người có quyền
truy cập hợp lệ (như bác sĩ, nhân viên y tế, và bệnh nhân) mới có thể truy cập vào
dữ liệu, nhưng trong trường hợp của bệnh viện, tính bảo mật, toàn vẹn và sẵn sàng
là các yếu tố ưu tiên cao hơn để đảm bảo dữ liệu an toàn và hệ thống hoạt động liên
tục. Các biện pháp xác thực như đăng nhập bằng mật khẩu hoặc hệ thống OTP vẫn
có thể được tích hợp nhưng không phải là yếu tố quyết định hàng đầu.
2. Tính chống thoái thác (Non-repudiation):
Tính chống thoái thác giúp đảm bảo rằng một hành động đã thực hiện (như đăng ký
khám bệnh hoặc thanh toán) không thể bị từ chối sau đó. Tuy nhiên, trong bối cảnh
của bệnh viện, việc ghi nhận và theo dõi hành vi trong hệ thống là cần thiết, nhưng
không quan trọng bằng việc bảo vệ tính toàn vẹn, bảo mật và sẵn sàng của dữ liệu
y tế để đảm bảo an toàn và chất lượng chăm sóc bệnh nhân. Tình huống 8
FPT Software là một công ty phần mềm gia công phần mềm hàng đầu tại Việt
Nam.•Với các công ty con và văn phòng tại chín quốc gia trên toàn thế giới (Nhật
Bản, Hoa Kỳ, Pháp, Đức, Singapore, Malaysia, Úc, Thái Lan, và Philippines). FPT
Software được phục vụ hơn 150 khách hàng toàn cầu. FPT là công ty số 1 tại Việt
Nam trong các lĩnh vực Phần mềm, Tích hợp hệ thống, Dịch vụ CNTT, Phân phối và
Sản xuất các sản phẩm CNTT, Bán lẻ sản phẩm CNTT... Ở lĩnh vực viễn thông, FPT là
một trong 3 nhà cung cấp dịch vụ viễn thông cố định và Internet lớn nhất Việt Nam.
Ở lĩnh vực nội dung số, FPT hiện là đơn vị Quảng cáo trực tuyến số 1 tại Việt Nam và
tự hào sở hữu hệ thống báo điện tử có 42 triệu lượt truy cập mỗi ngày. Ngoài ra, FPT
còn sở hữu khối giáo dục đại học và dạy nghề với tổng số gần 16.000 sinh viên và là
một trong những đơn vị đào tạo về CNTT tốt nhất tại Việt Nam.
Bạn hãy nêu và giải thích ít nhất 4 tính cần thiết của an toàn hệ thống thông tin
đối với công ty FPT Software được mô tả ở trên.
1. Tính bảo mật (Confidentiality)
Giải thích: FPT Software xử lý khối lượng lớn dữ liệu nhạy cảm từ các khách
hàng toàn cầu. Tính bảo mật đảm bảo rằng thông tin quan trọng của khách
hàng và các dự án phần mềm không bị truy cập trái phép.
Lý do cần thiết: FPT Software phục vụ nhiều khách hàng lớn, bao gồm các
công ty tài chính, y tế, và viễn thông, nơi mà dữ liệu cần được bảo vệ nghiêm
ngặt để tránh vi phạm pháp luật và ảnh hưởng đến uy tín của cả FPT và khách hàng.
Ví dụ: Các dự án phần mềm có liên quan đến dữ liệu tài chính hoặc thông tin
cá nhân cần được mã hóa và bảo vệ nghiêm ngặt để ngăn chặn việc rò rỉ thông tin.
2. Tính toàn vẹn (Integrity)
Giải thích: Tính toàn vẹn đảm bảo rằng dữ liệu và phần mềm do FPT phát
triển không bị thay đổi trái phép hoặc bị can thiệp từ bên ngoài. Điều này
giúp duy trì tính chính xác của các hệ thống và ứng dụng mà công ty cung cấp cho khách hàng.
Lý do cần thiết: Đối với các phần mềm và hệ thống phức tạp mà FPT phát
triển, bất kỳ sự thay đổi nào trong mã nguồn hoặc dữ liệu mà không có sự
cho phép đều có thể gây lỗi hoặc rủi ro bảo mật lớn.
Ví dụ: Trong các dự án lớn về ngân hàng hoặc chính phủ, việc đảm bảo tính
toàn vẹn của phần mềm và dữ liệu là bắt buộc để đảm bảo độ chính xác và
an toàn của các giao dịch tài chính.
3. Tính sẵn sàng (Availability)
Giải thích: Tính sẵn sàng đảm bảo rằng các hệ thống và dịch vụ phần mềm
của FPT Software luôn hoạt động liên tục và ổn định. Khách hàng cần truy cập
vào các dịch vụ này một cách liên tục mà không gặp sự cố.
Lý do cần thiết: FPT cung cấp dịch vụ toàn cầu cho khách hàng ở nhiều múi
giờ khác nhau, do đó tính sẵn sàng của hệ thống là rất quan trọng để đáp ứng
nhu cầu kinh doanh của khách hàng.
Ví dụ: Các dịch vụ viễn thông và phần mềm cần phải duy trì mức độ sẵn
sàng cao để không làm gián đoạn hoạt động của khách hàng khi cần sử dụng dịch vụ 24/7.
4. Tính xác thực (Authenticity)
Giải thích: Tính xác thực đảm bảo rằng thông tin và phần mềm mà FPT cung
cấp đến từ nguồn đáng tin cậy, và các nhân viên hoặc khách hàng truy cập
hệ thống đều được xác thực để tránh các truy cập trái phép.
Lý do cần thiết: Với các dịch vụ như ngân hàng điện tử, tích hợp hệ thống,
và phát triển phần mềm, việc xác thực người dùng là cần thiết để ngăn chặn
các truy cập bất hợp pháp và bảo vệ dữ liệu.
Ví dụ: FPT phải sử dụng các biện pháp xác thực mạnh mẽ, như mã OTP hoặc
xác thực hai yếu tố (2FA), để đảm bảo rằng chỉ những nhân viên hoặc khách
hàng hợp pháp mới được truy cập hệ thống.
Lý do không chọn các tính chất còn lại:
Tính chống thoái thác (Non-repudiation):
Tính chống thoái thác giúp ngăn ngừa việc từ chối các hành động đã thực hiện. Tuy
nhiên, trong trường hợp của FPT, việc ghi nhận và theo dõi các hành vi trong hệ
thống là cần thiết, nhưng không ưu tiên hơn các yếu tố như bảo mật, toàn vẹn, sẵn
sàng và xác thực. Đối với môi trường phát triển phần mềm, ưu tiên là bảo vệ dữ liệu
và đảm bảo tính chính xác và hoạt động ổn định của hệ thống. Tình huống 9
Công ty Kế Toán ABC chuyên cung cấp dịch vụ :
1. Thực hiện kê khai, đăng ký thuế ban đầu.
2. Thiết lập và xây dựng hệ thống sổ sách kế toán ban đầu.
3. Làm các thủ tục đóng thuế môn bài, đăng ký mua/In hóa đơn lần đầu.
4. Đứng tên nhân viên làm kế toán, kế toán trưởng cho doanh nghiệp.
5. Kiểm tra các chứng từ đầu vào, đầu ra cho phù hợp với quy định của pháp luật.
6. Phân loại, sắp xếp, đóng chứng từ kế toán.
7. Thực hiện hạch toán và ghi sổ kế toán các chứng từ, các giao dịch theo quy định.
8. Lập các báo cáo thuế gửi cho cơ quan thuế hàng tháng, hàng quý và hàng năm theo quy định.
9. Lập báo cáo tài chính, báo cáo quyết toán thuế hàng năm.
10. Lập và in các lọai sổ sách kế toán theo quy định.
11. Thực hiện việc giao nhận chứng từ và sổ sách kế tóan với cơ quan thuế và quý công ty;
12. Tư vấn kế toán, thuế, lao động và hóa đơn chứng từ cho quý doanh nghiệp.
13. Làm việc và giải trình với cơ quan thuế thay cho doanh nghiệp trong phạm vi công việc đã thực hiện.
14. Thông báo cho quý doanh nghiệp số tiền thuế phải nộp khi có phát sinh.
Bạn hãy nêu và giải thích ít nhất 4 tính cần thiết của an toàn hệ thống thông tin đối
với công ty ABC được mô tả ở trên.
1. Tính bảo mật (Confidentiality)
Giải thích: Tính bảo mật đảm bảo rằng các thông tin tài chính, thuế và kế
toán của khách hàng được bảo vệ, không bị truy cập bởi những người không
được phép. Đây là yếu tố quan trọng nhất đối với công ty kế toán vì dữ liệu này rất nhạy cảm.
Lý do cần thiết: Công ty ABC xử lý các thông tin về thuế, báo cáo tài chính,
và các giao dịch kinh doanh của khách hàng, đây là những dữ liệu phải được
bảo mật tuyệt đối để tránh bị rò rỉ hoặc bị sử dụng trái phép.
Ví dụ: Thông tin về số tiền thuế phải nộp, các giao dịch tài chính của doanh
nghiệp nếu bị lộ ra ngoài có thể gây tổn thất tài chính hoặc rủi ro pháp lý cho khách hàng.
2. Tính toàn vẹn (Integrity)
Giải thích: Tính toàn vẹn đảm bảo rằng thông tin và dữ liệu kế toán không bị
chỉnh sửa hoặc bị thay đổi mà không có sự cho phép. Điều này rất quan trọng
trong môi trường kế toán, nơi sự chính xác của dữ liệu là cốt lõi.
Lý do cần thiết: Các báo cáo tài chính, báo cáo thuế và hồ sơ kế toán đều
phải duy trì tính chính xác và không bị thay đổi để đảm bảo tính đúng đắn
của các thông tin mà công ty ABC cung cấp cho khách hàng và cơ quan thuế.
Ví dụ: Việc chỉnh sửa sai lệch một số liệu nhỏ trong báo cáo tài chính có thể
dẫn đến sai sót lớn trong quá trình quyết toán thuế hoặc kiểm toán, gây tổn hại cho khách hàng.
3. Tính sẵn sàng (Availability)
Giải thích: Tính sẵn sàng đảm bảo rằng các hệ thống thông tin của công ty
luôn hoạt động và có thể truy cập được bất kỳ lúc nào khi cần để cung cấp
dịch vụ liên tục cho khách hàng.
Lý do cần thiết: Công ty ABC cần đảm bảo rằng các dịch vụ liên quan đến
thuế, báo cáo tài chính và kế toán luôn có sẵn, đặc biệt là vào các thời điểm
quan trọng như kỳ kê khai thuế hay báo cáo tài chính cuối năm.
Ví dụ: Trong các thời điểm quan trọng như kỳ hạn nộp thuế, hệ thống phải
luôn sẵn sàng để tránh việc chậm trễ hoặc không kịp thực hiện nghĩa vụ nộp thuế cho khách hàng.
4. Tính xác thực (Authenticity)
Giải thích: Tính xác thực đảm bảo rằng các nhân viên kế toán và khách hàng
đều được xác thực đúng danh tính trước khi truy cập hệ thống, từ đó ngăn
chặn các truy cập trái phép hoặc gian lận.
Lý do cần thiết: Vì công ty ABC liên quan đến việc quản lý thông tin kế toán,
thuế của nhiều doanh nghiệp, việc xác thực người dùng đảm bảo rằng chỉ
những người được ủy quyền mới có thể truy cập dữ liệu nhạy cảm.
Ví dụ: Công ty cần xác thực danh tính khách hàng khi họ gửi các tài liệu kế
toán hoặc thuế qua hệ thống để tránh rủi ro về giả mạo hoặc truy cập bất hợp pháp.
Lý do không chọn tính chất còn lại:
Tính chống thoái thác (Non-repudiation):
Lý do không chọn: Tính chống thoái thác đảm bảo rằng các hành động đã thực
hiện không thể bị từ chối. Tuy nhiên, trong môi trường kế toán, việc ghi nhận giao
dịch và bảo vệ tính chính xác của dữ liệu quan trọng hơn so với việc chứng minh
người thực hiện hành vi đã làm. Hệ thống kế toán chủ yếu tập trung vào bảo vệ tính
bảo mật, toàn vẹn, và xác thực người dùng. Tình huống 10
Manulife Việt Nam là thành viên của Manulife Financial, Manulife Việt Nam tự hào là doanh
nghiệp bảo hiểm nhân thọ nước ngoài đầu tiên có mặt tại Việt Nam từ năm 1999 và sở hữu tòa nhà trụ sở
riêng có với giá trị đầu tư hơn 10 triệu USD. Với bề dày kinh nghiệm và uy tín toàn cầu, Manulife hiện là
Công ty Bảo hiểm Nhân thọ lớn nhất Việt Nam, tính theo vốn điều lệ (Cập nhật đến tháng 05/2018).
Manulife Việt Nam hiện đang cung cấp một danh mục các sản phẩm đa dạng từ sản phẩm bảo hiểm
truyền thống đến sản phẩm bảo hiểm sức khoẻ, giáo dục, liên kết đầu tư, hưu trí… cho hơn 800.000 khách
hàng thông qua đội ngũ đại lý hùng hậu và chuyên nghiệp tại 61 văn phòng trên 45 tỉnh thành cả nước.
Bên cạnh kênh phân phối truyền thống qua đại lý, Manulife Việt Nam đa dạng hóa hoạt động kinh
doanh bằng việc cùng các đối tác ngân hàng triển khai kênh phân phối sản phẩm bảo hiểm qua ngân hàng
(bancassurance) nhằm đáp ứng nhu cầu ngày càng đa dạng của thị trường. Ngoài ra, Manulife Việt Nam
là doanh nghiệp bảo hiểm nhân thọ duy nhất phối hợp với Trung Ương Hội liên hiệp Phụ nữ Việt Nam
triển khai chương trình bảo hiểm vi mô dành cho phụ nữ có thu nhập thấp với mong muốn cùng Chính
phủ phổ cập bảo hiểm nhân thọ đến các gia đình Việt Nam, góp phần thực hiện các chính sách an sinh xã
hội, xóa đói giảm nghèo và tạo ý thức tiết kiệm cho người dân.
Hãy nêu và giải thích ít nhất 4 tính cần thiết của an toàn HTTT đối với công ty/doanh
nghiệp được mô tả ở trên
1. Tính bảo mật (Confidentiality)
Giải thích: Tính bảo mật đảm bảo rằng thông tin khách hàng, bao gồm dữ
liệu cá nhân, tài chính, và sức khỏe, được bảo vệ khỏi truy cập trái phép.
Manulife Việt Nam lưu trữ rất nhiều thông tin nhạy cảm liên quan đến khách hàng của mình.
Lý do cần thiết: Với hơn 800.000 khách hàng và việc cung cấp các sản
phẩm bảo hiểm nhân thọ, sức khỏe và đầu tư, bảo vệ tính bảo mật của dữ
liệu là ưu tiên hàng đầu để tránh rủi ro về mất mát hoặc lộ thông tin cá nhân.
Ví dụ: Nếu thông tin cá nhân, như tình trạng sức khỏe của khách hàng bị lộ,
điều này có thể gây tổn hại nghiêm trọng đến uy tín của Manulife cũng như
gây ra các vấn đề pháp lý.
2. Tính toàn vẹn (Integrity)
Giải thích: Tính toàn vẹn đảm bảo rằng các dữ liệu bảo hiểm, giao dịch và
thông tin hợp đồng không bị thay đổi hoặc chỉnh sửa mà không có sự ủy quyền hợp pháp.
Lý do cần thiết: Trong lĩnh vực bảo hiểm, việc duy trì tính chính xác của dữ
liệu là rất quan trọng để đảm bảo quyền lợi của khách hàng và tránh sai sót
trong việc thanh toán bồi thường, tính phí bảo hiểm, hoặc các giao dịch liên quan.
Ví dụ: Một sai sót nhỏ trong dữ liệu liên quan đến hợp đồng bảo hiểm hoặc
thông tin bồi thường có thể dẫn đến thiệt hại tài chính hoặc pháp lý cho cả khách hàng và công ty.
3. Tính sẵn sàng (Availability)
Giải thích: Tính sẵn sàng đảm bảo rằng các hệ thống và dịch vụ của
Manulife luôn hoạt động để khách hàng và đại lý có thể truy cập vào bất kỳ lúc nào cần.
Lý do cần thiết: Manulife phải đảm bảo rằng khách hàng có thể truy cập các
dịch vụ như tra cứu hợp đồng, thanh toán trực tuyến, và yêu cầu bồi thường
mà không gặp trở ngại. Nếu hệ thống không sẵn sàng, khách hàng có thể
mất niềm tin vào dịch vụ.
Ví dụ: Nếu hệ thống bị ngừng hoạt động vào thời điểm quan trọng như khi
khách hàng cần thanh toán phí bảo hiểm, điều này có thể dẫn đến việc mất
hợp đồng bảo hiểm hoặc chậm trễ trong bồi thường.
4. Tính xác thực (Authenticity)
Giải thích: Tính xác thực đảm bảo rằng cả khách hàng và nhân viên đều
được xác thực đúng danh tính khi truy cập vào hệ thống, từ đó ngăn chặn
truy cập trái phép hoặc gian lận.
Lý do cần thiết: Với khối lượng lớn các giao dịch bảo hiểm và thông tin nhạy
cảm, việc xác thực người dùng là quan trọng để ngăn ngừa các hành vi giả
mạo hoặc truy cập không hợp lệ vào thông tin khách hàng.
Ví dụ: Đảm bảo rằng chỉ các đại lý hoặc nhân viên được ủy quyền mới có
quyền thay đổi thông tin hợp đồng của khách hàng hoặc xử lý các yêu cầu bồi thường.
Lý do không chọn tính chất còn lại:
Tính chống thoái thác (Non-repudiation):
Lý do không chọn: Tính chống thoái thác đảm bảo rằng không ai có thể từ chối
những gì họ đã làm. Tuy nhiên, trong hệ thống bảo hiểm, các hoạt động thường
được ghi nhận và xác thực đầy đủ thông qua các biên bản giao dịch, hợp đồng và hệ
thống ghi lại. Tính chống thoái thác không quan trọng bằng các tính chất khác như
bảo mật, toàn vẹn và sẵn sàng vì nó chỉ là biện pháp bổ sung, không phải yếu tố cốt
lõi trong quá trình cung cấp dịch vụ bảo hiểm. Tình huống 1
Bạn là trưởng phòng kinh doanh của một công ty lớn. Bạn thường xuyên phân công
công việc, theo dõi công việc các nhân viên thuộc cấp dưới của mình qua hệ thống
website của doanh nghiệp. Đồng thời thường xuyên giao dịch hợp đồng với khách
hàng qua email, cũng như báo cáo kết quả công việc cho sếp. Đợt vừa rồi bạn có
một chuyến công tác 1 tuần ở các một số tỉnh. Thật là không may mắn, máy laptop
làm việc của bạn bị hư đột xuất và không có nơi nào sữa chữa liền được. Để giải
quyết các công việc hàng ngày, bạn phải dùng máy tính công cộng tại các khách
sạn mà bạn lưu trú tại nơi công tác. Bạn hãy:
(1) Chỉ ra 3 mối đe dọa mà bạn có thể gặp phải trong tình huống trên;
(2) Nêu ra được lý do tại sao có những mối đe dọa đó
(3) Phân tích hậu quả nếu các mối đe dọa đó thật sự xảy ra
(1) 3 mối đe dọa có thể gặp phải: 1. Mã độc (Malicious Code)
2. Kẻ tấn công nguy hiểm (Malicious Hackers)
3. Đánh cắp thông tin và gian lận (Fraud and Theft)
(2) Lý do có những mối đe dọa này:
1. Mã độc (Malicious Code): Máy tính công cộng thường có nhiều người sử dụng
và không được quản lý bảo mật kỹ lưỡng. Mã độc có thể được cài đặt sẵn trên
máy tính công cộng, ví dụ như keylogger để theo dõi các phím bấm và đánh
cắp thông tin đăng nhập hoặc các dữ liệu nhạy cảm mà bạn nhập vào máy.
2. Máy tính công cộng tại khách sạn có thể bị kẻ tấn công cài đặt sẵn các công
cụ gián điệp hoặc các phần mềm tấn công nhằm thu thập thông tin. Kẻ tấn
công nguy hiểm có thể lợi dụng các máy tính công cộng hoặc các mạng Wi-
Fi công cộng không an toàn để theo dõi hoặc xâm nhập vào hệ thống cá nhân và doanh nghiệp.
3. Đánh cắp thông tin và gian lận (Fraud and Theft): Máy tính công cộng có thể
bị thiết lập với các công cụ giám sát để ghi lại hoạt động của bạn, dẫn đến rủi
ro thông tin đăng nhập vào hệ thống công ty, email hay tài khoản khách hàng
bị đánh cắp và sử dụng vào mục đích xấu.
(3) Phân tích hậu quả nếu các mối đe dọa đó xảy ra:
1.Hậu quả của mã độc (Malicious Code): Nếu mã độc, đặc biệt là keylogger, ghi lại
thông tin đăng nhập vào hệ thống công ty hoặc email, kẻ tấn công có thể sử dụng
thông tin này để truy cập trái phép vào hệ thống của công ty, gây ra rò rỉ dữ liệu
quan trọng, mất hợp đồng kinh doanh, hoặc gian lận tài chính. 2.
Lộ thông tin bảo mật: Kẻ tấn công có thể lấy cắp thông tin nhạy cảm như
tài khoản email, dữ liệu về khách hàng, hợp đồng quan trọng hoặc thông tin nội bộ của công ty.
Xâm nhập hệ thống công ty: Nếu kẻ tấn công lấy được thông tin đăng
nhập của bạn, họ có thể truy cập vào hệ thống quản lý của công ty, thực hiện hành
vi phá hoại, sửa đổi hoặc xóa dữ liệu quan trọng.
Nguy cơ tống tiền: Những thông tin nhạy cảm có thể bị sử dụng để đe dọa
hoặc tống tiền công ty bạn, hoặc làm hại đến danh tiếng công ty với các khách hàng và đối tác.
3. Hậu quả của đánh cắp thông tin và gian lận: Nếu thông tin cá nhân hoặc
thông tin đăng nhập của bạn bị đánh cắp, nó có thể bị sử dụng để chiếm đoạt
hợp đồng, thực hiện các giao dịch không hợp pháp, hoặc xâm nhập vào các tài
khoản của công ty bạn. Điều này có thể dẫn đến mất niềm tin từ khách hàng,
thiệt hại về tài chính, hoặc gây mất mát dữ liệu quan trọng. Tình huống 2
Bạn là một nhân viên thu ngân phí bảo hiểm của công ty bảo hiểm ANZ. Bạn được
cấp một máy tính có kết nối internet và phần mềm để thực hiện công việc hàng
ngày của mình. Do ít khách hàng nên bạn cũng khá nhàn rỗi. Những lúc nhàn rỗi,
bạn hay dùng máy tính làm việc lên internet để tải game, nhạc, phim về để giải trí.
Các trang web bạn vào hầu như là các trang web không an toàn. Bạn hãy:
(1) Chỉ ra 3 mối đe dọa mà bạn có thể gặp phải trong tình huống trên;
(2) Nêu ra được lý do tại sao có những mối đe dọa đó
(3) Phân tích hậu quả nếu các mối đe dọa đó thật sự xảy ra
1. Mã độc (Malicious Code)
Lý do: Khi bạn truy cập vào các trang web không an toàn và tải xuống các
tệp không rõ nguồn gốc, máy tính của bạn có nguy cơ bị nhiễm các loại mã
độc như virus, trojan, hoặc spyware. Những phần mềm độc hại này có thể ẩn
nấp trong các tệp tải về và tự động cài đặt trên máy tính của bạn.
Hậu quả: Mã độc có thể gây ra nhiều thiệt hại như đánh cắp dữ liệu nhạy
cảm (chẳng hạn như thông tin khách hàng và tài khoản ngân hàng), phá hủy
dữ liệu, hoặc tạo ra lỗ hổng bảo mật để kẻ xấu xâm nhập vào hệ thống của
công ty. Điều này có thể dẫn đến mất mát tài chính, ảnh hưởng đến danh
tiếng của công ty và vi phạm các quy định bảo mật.
2. Kỹ nghệ xã hội (Social Engineering)
Lý do: Kỹ nghệ xã hội là hình thức mà kẻ tấn công lợi dụng lòng tin của người
dùng để lừa họ cung cấp thông tin nhạy cảm hoặc thực hiện các hành động