Ôn Tập An Toàn Thông Tin CUỐI KỲ (2021-2022) – Câu 1: Chữ ký điện tử là gì? Mục tiêu của chữ ký điện – StuDocu

Câu 1: Chữ ký điện tử là gì? Mục tiêu của chữ ký điện tử? Trình bày hiện trạng áp
dụng chữ ký điện tử ở Việt Nam (gợi ý: Định nghĩa chữ ký điện tử: ứng dụng của mã
hóa khóa công khai, người dùng có (PUA, PRA); Tạo chữ ký: SAM=E(M,PRA) – giải
thích; Thẩm tra chữ ký D(SAM, PUA) –  Yes/No – Giải thích; Mục tiêu của chữ ký số;
Hiện trạng áp dụng chữ ký: 4 lĩnh vực đó là cơ quan Thuế, Bảo hiểm xã hội, Hải quan
và Chứng khoán).
Chữ ký điện tử là gì?

Chữ ký điện tử được định nghĩa tương đối rộng và trừu tượng. Theo Luật GDĐT 2005, “ chữ ký điện tử ” có các đặc tính sau : ( i ) được tạo lập dưới dạng từ, chữ, số, ký hiệu, âm thanh hoặc các hình thức khác bằng phương tiện đi lại điện tử ; ( ii ) được gắn liền hoặc phối hợp một cách lôgic với hợp đồng điện tử ( ví dụ, dưới định dạng PDF hoặc Word ) ; và ( iii ) có năng lực xác nhận người ký hợp đồng điện tử và xác nhận sự đồng ý chấp thuận của người đó so với nội dung của hợp đồng điện tử được ký. Chữ ký điện tử có giá trị pháp lý nếu thỏa mãn nhu cầu các điều kiện kèm theo về năng lực định danh và mức độ đáng tin cậy, đơn cử là : giải pháp tạo chữ ký điện tử được cho phép xác định được người ký và chứng tỏ được sự chấp thuận đồng ý của người ký so với nội dung của hợp đồng và giải pháp tạo chữ ký điện tử là đủ đáng tin cậy và tương thích với mục tiêu mà hợp đồng được tạo ra và gửi đi .

Mục tiêu của chữ ký điện tử?

• Giúp xác minh chủ thể là ai: Tăng khả năng bảo mật, chống giả mạo, cho phép chủ thẻ xác minh
  danh tính của mình trên các hệ thống khác nhau như xe bus, thẻ rút tiền ATM, hộ chiếu điện tử tại
  các cửa khẩu, kiểm soát hải quan … Dùng để kê khai, nộp thuế trực tuyến, khai báo hải quan và
  thông quan trực tuyến mà không phải mất thời gian in các tờ khai, trình ký đóng dấu đỏ của công ty
  rồi đến cơ quan thuế xếp hàng và ngồi đợi để nộp tờ khai này sẽ thuận tiện hơn

Một số ứng dụng chữ ký số điện tử điển hình:

• Ứng dụng trong Chính phủ điện tử. + Ứng dụng của Bộ Tài chính+ Ứng dụng của Bộ Công
  thương

+ Ứng dụng của Bộ KHCN, …

• Ứng dụng trong Thương mại điện tử. + Mua bán, đặt hàng trực tuyến + Thanh toán trực tuyến, …
• Ứng dụng trong thanh toán giao dịch trực tuyến. + Giao dịch qua email
• Hội nghị truyền hình và thao tác từ xa với Mega e-Meeting …

Làm thế nào để tạo ra một chữ ký điện tử?

Chữ ký điện tử nhu yếu phải sử dụng một mã hóa khóa công cộng ( public key ). Nếu muốn tạo chữ ký điện tử thì cần phải có thêm cả mã hóa khóa cá thể ( private key ). Bạn dùng khóa cá thể để ký

• chỉ là một dạng mã – sau đó chỉ cung cấp khóa công cộng cho người cần xác nhận chữ ký đó
  (chẳng hạn như ngân hàng, nơi bạn vay tiền).

Một số ví dụ có liên quan đến chữ kí điện tử:

• Mặc dù chưa có bất kể án lệ nào của tòa án nhân dân xử lý đơn cử yếu tố về hiệu lực hiện hành của các hợp đồng được ký bằng chữ ký điện tử, đã có các án lệ và bản án cho thấy các TANDTC Nước Ta thiên về cách tiếp cận chú trọng nội dung ( tức là xem xét ý chí thực sự của các bên trong thanh toán giao dịch ) hơn là hình thức bộc lộ sự chấp thuận đồng ý so với nội dung đó ( tức là xem xét hình thức hợp đồng và chữ ký ). Trong 1 số ít án lệ và bản án, Tòa án nhân dân tối cao đã ra phán quyết rằng, hành vi của các bên trong quy trình giao kết và thực thi hợp đồng có giá trị quan trọng để xác lập ý chí của các bên trong hợp đồng và mặc dầu hợp đồng không được ký bởi các bên có tương quan, hợp đồng đó vẫn không bị vô hiệu .
• Án lệ số 07/2016 / AL ngày 17/10/2016 về công nhận hợp đồng mua và bán nhà được xác lập trước ngày 1 tháng 7 năm 1991 ( tranh chấp giữa Nguyễn Đình Sông, Nguyễn Thị Hồng, Nguyễn Thị Hương với Đỗ Trọng Thành, Đỗ Thị Nguyệt, Vương Chí Tường, Vương Chí Thắng, Vương Bích Vân, Vương Bích Hợp – Án lệ 07 )

Câu 2: Đưa ra một hệ thống thông tin hoặc một trang web thực tế ở Việt Nam mà có sử dụng
chữ ký điện tử? Nghiệp vụ nào trong hệ thống đó có sử dụng chữ ký số? Trình bày các bước
cụ thể để người dùng trong hệ thống này thực hiện nghiệp vụ có sử dụng chữ ký số. (gợi ý:
Website của cơ quan Thuế, Wibsite của cơ quan Hải quan, Website của cơ quan Bảo hiểm xã
hội, ….)

Đưa ra một hệ thống thông tin hoặc một trang web thực tế ở Việt Nam mà có sử dụng chữ ký
điện tử?

Website của cơ quan Hải quan, Website của cơ quan Bảo hiểm xã hội, … )

Trình bày các bước cụ thể để người dùng trong hệ thống này thực hiện nghiệp vụ có sử dụng
chữ ký số?

Hướng dẫn cá thể, doanh nghiệp sử dụng chữ ký số để nộp thuế điện tửthời hạn 6 tháng cuối năm ( từ ngày 1/7 đến 31/12 ) thì nộp 50 % mức lệ phí môn bài cho năm tiên phong .

• Sau khi nhập xong giá trị vào ô Mã “ NDKT ”, mạng lưới hệ thống sẽ tự sinh các thông tin tương ứng theo lao lý của pháp lý .
• Người dùng khai báo thông tin khá đầy đủ và đúng chuẩn, nhấn “ Hoàn thành ” để tạo lập xong tờ khai .

Bước 4 : Ký số

• Bước ở đầu cuối để triển khai xong thủ tục nộp thuế điện tử là ký số. Doanh nghiệp cần kiểm tra lại thông tin vừa khai báo trong Giấy nộp tiền vào ngân sách nhà nước. Nếu thông tin đã đúng chuẩn, người dùng cắm chữ ký số của doanh nghiệp và liên tục nhấn “ Ký và nộp ” .
• Sau đó, nhập mã PIN và nhấn “ OK ” .

Như vậy, doanh nghiệp đã hoàn thành xong xong việc nộp tiền một mục thuế, trường hợp cần nộp nhiều mục thì đơn vị chức năng thực thi lặp lại từ bước Lập giấy nộp tin

Câu 3: Chứng thư số là gì? Mục tiêu của chứng thư số? Hiện nay Việt Nam đã có các
đơn vị nào có thể cung cập dịch vụ chứng thư số?
Chứng thư số là gì?

Căn cứ theo quy định luật thanh toán giao dịch điện tử 2005, chứng từ số là một dạng chứng thư điện tử do tổ chức triển khai phân phối dịch vụ xác nhận chữ ký số cấp. Nhằm cung ứng thông tin định danh cho khóa công khai minh bạch của một cơ quan, tổ chức triển khai, cá thể. Từ đó xác nhận cơ quan, tổ chức triển khai, cá thể là người ký chữ ký số bằng việc sử dụng khóa bí hiểm tương ứng .Chứng thư số hoàn toàn có thể được coi là “ chứng minh thư ” để sử dụng trong môi trường tự nhiên của máy tính và internet. Chứng thư số được sử dụng để nhận diện một cá thể, một sever, hay là một vài đối tượng người tiêu dùng khác. Và gắn định danh của đối tượng người dùng đó với một public key ( khóa công khai minh bạch ). Được cấp bởi những tổ chức triển khai có thẩm quyền xác lập nhận danh và cấp chứng từ số .

Hiện nay Việt Nam đã có các đơn vị nào có thể cung cấp dịch vụ chứng thư số?

Hiện nay trên thị trường có gần 20 đơn vị chức năng cung ứng chữ ký số điện tử, khiến doanh nghiệp tuy có nhiều sự lựa chọn phong phú hơn nhưng lại gặp khó khăn vất vả trong việc đưa ra quyết định hành động mua của đơn vị chức năng nào. Có thể kể đến một vài loại chữ ký số được các doanh nghiệp tin dùng lúc bấy giờ như :1 ữ ký số điện tử MISA eSign của nhà sản xuất MISA2 ữ ký số Viettel – CA của nhà sản xuất Viettel3 ữ ký số VNPT – CA của nhà sản xuất VNPT4 ữ ký số BKAV – CA của nhà sản xuất BKAV

Câu 4: Chứng thư số là gì? Nội dung có trong chứng thư số là gồm những nội dung gì?
Chứng thư số là: Chứng thư số là một dạng chứng thư điện tử do tổ chức cung cấp dịch vụ chứng
thực chữ ký số cấp. Chứng thư số có thể được xem như là “chứng minh thư” để sử dụng trong môi
trường của máy tính và Internet. Chứng thư số được sử dụng để nhận diện một cá nhân, một máy
chủ, hay là một vài đối tượng khác và gắn định danh của đối tượng đó với một public key, được cấp
bởi những tổ chức có thẩm quyền xác định nhận danh và cấp chứng thư số. Chứng thu số được tạo
bởi nhà cung cấp dịch vụ chứng thực trong đó chứa public key và các thông tin của người dùng theo
chuẩn X. Khóa bí mật của chữ ký số bắt buộc phải lưu trữ trong một thiết bị phần cứng chuyên
dụng là USB Token hoặc SmartCard được cung cấp bởi nhà cung cấp. Các thiết bị này đảm bảo
khóa bí mật không bị copy hay bị virus phá hỏng.

Chứng thư số chứa những nội dung gì?

1. Tên của thuê bao .
2. Số hiệu của chứng từ số ( số seri )
3. Thời hạn có hiệu lực hiện hành của chứng từ số
4. Tên của tổ chức triển khai xác nhận chữ ký số ( Ví du : VIETTEL CA )
5. Chữ ký số của tổ chức triển khai xác nhận chữ ký số .
6. Các thư hạn chế về mục tiêu, khoanh vùng phạm vi sử dụng của chứng số .
7. Các hạn chế về nghĩa vụ và trách nhiệm của tổ chức triển khai cung ứng dịch vụ xác nhận chữ ký số .
8. Các nội dung thiết yếu khác theo lao lý của Bộ Thông Tin Truyền Thông .
9. Chứng thư số là cặp khóa đã được mã hóa dữ liệu gồm thông tin công ty và mã số thuế của Doanh Nghiệp, dùng để ký thay cho chữ ký thường thì, được ký trên các loại văn bản và tài liệu số như : word, excel, pdf ….., những tài liệu này dùng để nộp thuế qua mạng, khai hải quan điện tử và triển khai các thanh toán giao dịch điện tử khác .

• Chứng thực thực thể bằng sinh trắc học (biometrics) là gì, nêu ưu điểm và nhược điểm của
  phương pháp này, phương pháp này thường được áp dụng ở đâu.

Chứng thực thực thể bằng sinh trắc học ( Biometrics ) là sử dụng các phép đo lường về các đặc tính sinh lí học hoặc hành vi học mà nhận dạng một con người, các đặc trưng của sinh trắc học không hề đoán, đánh cắp hay san sẻ. ví dụ như vân tay, vân lòng bàn tay, võng mạc, móng mắt, khuôn mặt, giọng nói …

• Ưu điểm:

• Có độ đúng mực cao
• Thời gian xác nhận rất nhanh ( nhỏ hơn 1 s )
• Sự ảnh hưởng tác động của người dùng thấp
• Có sự tích hợp nhiều yếu tố : vân tay, võng mạc, giọng nói .

• Nhược điểm:

• Giá thành : tiến hành mạng lưới hệ thống sinh trắc học đòi hỏi ngân sách cao cho cả phần cứng ( thiết bị thu / quét, và nhận dạng ) với các ứng dụng văn minh .
• hoàn toàn có thể nhận diện sai : do hư hỏng phần cứng, lỗi ứng dụng làm cho mạng lưới hệ thống phủ nhận người dùng mặc dầu đúng người .

• Hiện nay: công nghệ chứng thực bằng sinh trắc học được áp dụng rộng rãi hơn ở những ngân
  hang, các công ty ( dùng chấm công, điểm danh) hay thực hiện bảo mật dữ liệu cá nhân trên các
  thiết bị di động cao cấp …

Câu 6: Điều khiển truy cập là gì? Trình bày ít nhất 2 phương pháp mà bạn biết mà có
thể cài đặt điều khiển truy cập một hệ thống thông tin?
6. Điều khiển truy cập là gì?

Thuật ngữ điểu khiển truy vấn ( access control ) ám chỉ đến các thi hành nhằm mục đích hạn chế sự xâm nhập vào một cơ sở, một tòa nhà, hoặc một phòng thao tác, chỉ được cho phép những người đã được ủy quyền tiếp cận mà thôi. An ninh trên hiện trường hoàn toàn có thể thực thi được bằng sức người – ví dụ điển hình dùng người canh gác, người gác cổng thuê ( bouncer ), hoặc một người tiếp tân – hoặc bằng sức máy – khóa và chìa khóa – hay bằng việc vận dụng khoa học kỹ thuật như việc sử dụng một mạng lưới hệ thống truy vấn dùng thẻ .

6. Phương pháp có thể cài đặt điều khiển truy cập một hệ thống thông tin

Điều khiển truy cập bắt buộc MAC

• Điều khiển truy cập bắt buộc (Mandatory Access Control – MAC)

Là quy mô tinh chỉnh và điều khiển truy vấn khắt khe nhất Thường phát hiện trong các thiết lập của quân đội Hai thành phần : Nhãn và Cấp độ

• Mô hình MAC cấp quyền bằng cách đổi chiều nhân của đối tượng với nhân của chủ thể
  Nhãn cho biết cấp độ quyền hạn
• Để xác định có mở một file hay không:

So sánh nhân của đối tượng người tiêu dùng với nhân của chủ thể Chủ thể phải có Lever tương tự hoặc cao hơn : đối tượng người tiêu dùng được cấp phép truy vấn

• Hai mô hình thực thi của MAC

Mô hình mạng lưới ( Lattice model ) Mô hình Bell-LaPadula

• Mô hình mạng lưới

Các chủ thể và đối tượng người dùng được gán một ” cấp bậc ” trong mạng lưới Nhiều mạng lưới hoàn toàn có thể được đặt cạnh nhau

• Mô hình Bell-LaPadula

Tương tự quy mô mạng lưới Các chủ thể không hề tạo một đối tượng người dùng mới hay thực thi 1 số ít công dụng nhất định so với các đối tượng người dùng có cấp thấp hơn

• Ví dụ về việc thực thi mô hình MAC

Windows 7 / Vista có bốn cấp bảo mật Các thao tác đơn cử của một chủ thể so với phân hạng thấp hơn phải được sự phê duyệt của quản trị viên

• Hộp thoại User Account Control (UAC) trong Windows

Điều khiển truy cập tùy ý (DAC)

• Điều khiển truy cập tùy ý (DAC)

Mật khẩu (tiếng Anh: Password) thường là một xâu, chuỗi, loạt các ký tự mà dịch vụ internet phần
mềm hệ thống máy tính yêu cầu người sử dụng nhập vào bằng bàn phím trước khi có thể tiếp tục sử
dụng một số tính năng nhất định.
Khác nhau giữa mật khẩu cố định và mật khẩu dùng một lần:

Mật khẩu cố định Mật khẩu dùng một lần

Được dùng lặp đi lặp lại. Chỉ dùng được 1 lần và không sử dụng lại.

Dễ tiến công. Khó tiến công .Tính bảo mật thấp Tính bảo mật cao

Điểm mạnh và điểm yếu của mật khẩu cố định và mật khẩu dùng một lần:

• Mật khẩu cố định:

• Điểm mạnh : khi sử dụng những mật khẩu mạnh hoàn toàn có thể tạo một lớp bảo mật chắc như đinh .
• Điểm yếu : người dùng sử dụng những mật khẩu quá thông dụng, mật khẩu chứa thông tin cá thể, … điều này tạo ra lỗ hỏng bảo mật .

• Mật khẩu dùng một lần:

• Điểm mạnh: khó bị tấn công, có tính bảo mật rất cao, nhận được mật khẩu nhanh chóng, tiện lợi,
  được yêu cầu lấy mật khẩu nhiều lần, chi phí thấp. Thẻ thông minh hay thiết bị tạo mật khẩu cầm
  tay (token) nhờ vào kết nối internet với máy chủ của dịch vụ cung cấp OTP hoặc cũng có thể thông
  qua thẻ OTP in sẵn thay điện thoại di động mà không cần đến kết nối internet
• Điểm yếu: hạn chế thời gian hiệu lực, không thể sử dụng những nơi không có sóng di động đối
  với OTP SMS.
  Câu 8: Trình bày các loại mã OPT, nêu ưu điểm và nhược điểm của từng loại?
  Các hình thức cung cấp mã OTP và ưu nhược điểm

Hiện nay có 3 hình thức phân phối mã OTP hầu hết. Bao gồm :

1. SMS OTP

Đây là hình thức phân phối mã OTP thông dụng nhất lúc bấy giờ. Mã OTP sẽ được gửi bằng tin nhắn SMS về số điện thoại cảm ứng đã ĐK. Để thực thi được thanh toán giao dịch bạn cần phải nhập mã OTP được gửi về số điện thoại thông minh đã ĐK. Đa số các ngân hàng nhà nước tại Nước Ta lúc bấy giờ đều có sử dụng mã OTP theo hình thức này .Hình thức này không riêng gì được các ngân hàng nhà nước sử dụng mà cả các công ty công nghệ tiên tiến lớn trên quốc tế như Google, Facebook cũng vận dụng để tạo lớp bảo mật thứ hai cho thông tin tài khoản của bạn. Và lớp bảo vệ này sẽ Open khi phát hiện bất kể hoạt động giải trí không rõ ràng nào từ thông tin tài khoản của bạn .Ưu điểm : Thời gian tích hợp dịch SMS OTP nhanh gọn, chỉ từ 30 – 60 phút.  Hỗ trợ ĐK nhanh tên thương hiệu riêng ( SMS Brand ) cho từng doanh nghiệp để gửi SMS OTP và chăm nom người mua.  Hệ thống không thay đổi trên nền tảng Cloud.  Hỗ trợ cả HTTP và SMPP và App.  Hỗ trợ API, code mẫu và tài liệu hướng dẫn tích hợp không lấy phí.  Cách sử dụng đơn thuần, dễ hiểu, thuận tiện. ( Người dùng hoàn toàn có thể copy mã OTP trực tiếp từ tin nhắn sang mục OTP trong thông tin tài khoản để thực thi thanh toán giao dịch. )  Mức phí dịch vụ thấp.  Phổ biến trong nhiều hình thức xác định chủ thể như thanh toán giao dịch ngân hàng nhà nước, tạo thông tin tài khoản mạng xã hội, tạo thông tin tài khoản email …  Tốc độ gửi SMS OTP nhanh ( từ 5-10 s / SMS ).  Ưu điểm lớn nhất chính là năng lực bổ trợ thêm lớp bảo mật cho thông tin tài khoản giao dịch thanh toán. Nhược điểm : – Người dùng không hề sử dụng được ở nơi không có sóng di động hoặc vận động và di chuyển ra quốc tế

2. Token Key – Tokey Card

Hiện này thì Token có hai loại : hard token và soft token :

• Hard token: Là một máy cầm tay dạng như USB để bạn mang theo và sử dụng khi cần.
• Soft token: Là các phần mềm được tích hợp vào máy tính hoặc điện thoại của người sử
  dụng để cung cấp mã số khi cần thiết.
  Token là một thiết bị điện tử mà chủ tài khoản được cấp khi mở tài khoản thanh toán tại Ngân
  hang, có thể tự động sinh ra mã OTP mà không cần đến kết nối mạng.

Bạn muốn sử dụng hình thức này sẽ phải trả thêm phí làm máy Token .Một số ngân hàng nhà nước vận dụng hình thức bảo mật Token như Ngân Hàng Á Châu, HSBC, Sacombank, …Ưu điểm :

• Ứng dụng cung ứng mã OTP nên người mua sẽ dữ thế chủ động lấy khi có nhu yếu thanh toán giao dịch điện tử .
• Được sinh ra ngay trên điện thoại thông minh của người mua và được mã hóa với mạng lưới hệ thống bảo vệ nhiều lớp phức tạp và khó hoàn toàn có thể can thiệp được .
• Thiết bị di động thiết lập Smart OTP cũng không nhu yếu phải liên kết internet hay liên kết mạng viễn thông sau khi đã kích hoạt. ( Khách hàng không phải roaming khi đi quốc tế như nhận OTP qua SMS ) .
• Là giải pháp có mức độ bảo mật cao nhất lúc bấy giờ ( so với nhận OTP qua SMS / email truyền thống cuội nguồn ) .
• Chủ động lấy OTP bằng việc nhập mã PIN 4 số của Smart OTP
• Mã OTP sẽ tự động hóa hiển thị vào ô xác nhận thanh toán giao dịch sau khi điền mã PIN ( để đăng nhập ứng dụng Smart OTP ) thành công xuất sắc. Vì thế, hành khách tuyệt đối không san sẻ mã PIN đăng nhập Smart OTP cho bất kể ai, gồm có người ” tự xưng ” là nhân viên cấp dưới ngân hàng nhà nước hay cơ quan chức năng. Nhược điểm :
• Để sử dụng Smart OTP người dùng cần phải ĐK với ngân hang hoặc các nhà ĐK dịch vụ. Ngoài ra, không hề có nhiều thiết bị sử dụng chung một ứng dụng tạo mã OTP

Câu 9: Đưa ra một hệ thống mà bạn biết có sử dụng mật khẩu cố định (fixed password) và
mô tả các bước thực hiện để bạn có thể được chứng thực người dùng trong hệ thống đó. Nêu
mục tiêu của việc chứng thực này.

Hệ thống có sử dụng mật khẩu cố định (fixed password)

• Teamviewer
  Các bước thực hiện
  Bước 1:
  Tại giao diện trên Teamviewer, người dùng nhấn chọn vào mục Extras bên trên rồi chọn
  tiếp Options.

Bước 2:

Chuyển sang giao diện mới nhấn vào mục quản trị Security ở góc bên trái màn hình hiển thị. Nhìn sang bên phải phần Personal password ( For unattended access ), hãy nhập mật khẩu muốn đặt cho Teamviewer vào. Nhấn OK để lưu lại mật khẩu là xong. Ngoài ra trong phần Random password người dùng cũng hoàn toàn có thể kiểm soát và điều chỉnh độ dài mật khẩu từ 4 ký tự sang 6, 8, 10 ký tự. Disabled để vô hiệu mật khẩu khi cần liên kết 2 máy tính .Bây giờ, bạn sẽ sử dụng mật khẩu mình vừa tạo để tạo liên kết cho người khác. Cách này rất tiện nếu bạn tiếp tục nhờ một người, họ sẽ ghi nhớ ID và mật khẩu cho lần trợ giúp tiếp theo mà không cần hỏi lại mật khẩu đăng nhập. Tuy nhiên, nếu để kẻ tà đạo phát hiện và tận dụng, đây sẽ là mối nguy khốn lớn cho thông tin tài khoản của người dùng. Vì vậy, hãy xem xét thật kỹ trước khi triển khai sử dụng, bởi mỗi mật khẩu đều có những ưu – điểm yếu kém riêng .

• Mục tiêu của chứng thực

• Tăng cường an toàn cho hệ xác nhận dựa trên mật khẩu
• Xây dựng giao thức an toàn
• Đảm bảo nội dung thông tin trao đổi giữa các thực thể là đúng chuẩn không bị thêm, sửa, xóa hay phát lại ( bảo vệ tính toàn vẹn về nội dung )
• Đảm bảo đối tượng người dùng tạo ra thông tin ( nguồn gốc thông tin ) đúng là đối tượng người dùng hợp lệ đã được khai báo ( bảo vệ tính toàn vẹn về nguồn gốc thông tin )
• Đảm bảo an toàn so với thông tin xác nhận ( tên đặng nhập và mật khẩu không được truyền đi trực tiếp trên mạng )
• Xác thực ai đang thanh toán giao dịch
• Đảm bảo bảo mật thông tin ( không thẩm quyền => không đọc được )
• Đảm bảo tính toàn vẹn
• Chống thoái thoát
• Sử dụng thay cho bản chính trong các sách vở
• Chứng minh người nhu yếu xác nhận đã ký chữ ký đó và là địa thế căn cứ để xác lập nghĩa vụ và trách nhiệm của người ký sách vở, văn bản .

Câu 13. Hệ thống quản lí an toàn thông tin là gì? Mục tiêu của hệ thông an toàn thông tin?

 Khái niệm – ISMS là từ viết tắt của information security management system. Đây là mạng lưới hệ thống quản lí bảo mật an ninh thông tin, là khái niệm được sử dụng nhiều trong những Doang Nghiệp công nghệ thông tin và những đơn vị chức năng có ứng dụng mạng lưới hệ thống CNTT vào quản lí sản xuất- Hệ thống quản lí an toàn thông tin là một phần của mạng lưới hệ thống quản lí tổng lực, dựa trên các rủi ro đáng tiếc hoàn toàn có thể Open trong doang nghiệp để thiết kế xây dựng, quản lý, tiến hành, soát xét, duy trì và nâng cấp cải tiến thông tin . Mục tiêu Gồm 3 tiềm năng chính :

• Confidentiality: Đảm bảo tính bí mật của thông tin, tức là thông tin chỉ được phép truy cập (đọc)
  bởi những đối tượng (người, chương trình máy tính…) được cấp phép.

Tính bí hiểm của thông tin hoàn toàn có thể đạt được bằng cách số lượng giới hạn truy vấn về cả mặt vật lý, ví dụ như tiếp cận trực tiếp tới thiết bị tàng trữ thông tin đó hoặc logic, ví dụ như truy vấn thông tin đó từ xa qua môi trường tự nhiên mạng. Sau đây là 1 số ít phương pháp như vậy :+ Khóa kín và niêm phong thiết bị .+ Yêu cầu đối tượng người dùng cung ứng credential, ví dụ, cặp username + password hay đặc thù về sinh trắc để xác nhận .+ Sử dụng firewall hoặc ACL trên router để ngăn ngừa truy vấn trái phép .+ Mã hóa thông tin sử dụng các giao thức và thuật toán mạnh như SSL / TLS, AES, v ..

• Integrity: Đảm bảo tính toàn vẹn của thông tin, tức là thông tin chỉ được phép xóa hoặc sửa bởi
  những đối tượng được phép và phải đảm bảo rằng thông tin vẫn còn chính xác khi được lưu trữ hay
  truyền đi. Về điểm này, nhiều người thường hay nghĩ tính “integrity” đơn giản chỉ là đảm bảo thông
  tin không bị thay đổi (modify) là chưa đẩy đủ.

Ngoài ra, một giải pháp “ data integrity ” hoàn toàn có thể gồm có thêm việc xác nhận nguồn gốc của thông tin này ( thuộc chiếm hữu của đối tượng người dùng nào ) để bảo vệ thông tin đến từ một nguồn đáng đáng tin cậy và ta gọi đó là tính “ authenticity ” của thông tin .Sau đây là 1 số ít trường hợp tính “ integrity ” của thông tin bị phá vỡ :+ Thay đổi giao diện trang chủ của một website .+ Chặn đứng và đổi khác gói tin được gửi qua mạng .+ Chỉnh sửa trái phép các file được tàng trữ trên máy tính .+ Do có sự cố trên đường truyền mà tín hiệu bị nhiễu hoặc suy hao dẫn đến thông tin bị rơi lệch .

-Availability: Đảm bảo độ sẵn sàng của thông tin, tức là thông tin có thể được truy xuất bởi những
người được phép vào bất cứ khi nào họ muốn. Ví dụ, nếu một server chỉ bị ngưng hoạt động hay
ngừng cung cấp dịch vụ trong vòng 5 phút trên một năm thì độ sẵn sàng của nó là 99,999%.

Ví dụ sau cho thấy hacker hoàn toàn có thể cản trở tính chuẩn bị sẵn sàng của mạng lưới hệ thống như thế nào : Máy của hacker sẽ gửi hàng loạt các gói tin có các MAC nguồn giả tạo đến switch làm bộ nhớ tàng trữ MAC address table của switch nhanh gọn bị đầy khiến switch không hề hoạt động giải trí thông thường được nữa. Đây cũng thuộc hình thức tiến công khước từ dịch vụ ( DoS ) .Để tăng năng lực chống trọi với các cuộc tiến công cũng như duy trì độ chuẩn bị sẵn sàng của mạng lưới hệ thống ta hoàn toàn có thể vận dụng một số ít kỹ thuật như : Load Balancing, Clustering, Redudancy, Failover …Như vậy, yếu tố bảo mật thông tin không chỉ đơn thuần là việc chống lại các cuộc tiến công từ hacker, ngăn ngừa malware để bảo vệ thông tin không bị tàn phá hoặc bị bật mý ra ngoài … Hiểu rõ 3 tiềm năng của bảo mật ở trên là bước cơ bản tiên phong trong quy trình thiết kế xây dựng một mạng lưới hệ thống thông tin an toàn nhất hoàn toàn có thể. Ba tiềm năng này còn được gọi là tam giác bảo mật C-I-A * *. * *

2. Theo bạn để có thể chứng thức, kiểm soát và theo dõi việc sử dụng wifi và thiết bị máy móc ở
   phòng đọc sách thì chúng ta dùng những phương pháp nào (chữ ký số, xác thực và điều khiển truy
   cập bằng mật khẩu (fixed password, OTP), thẻ từ, camera, sinh trắc học (vân tay hoặc khuôn mặt,
   con ngơi,…)) và nêu lý do tại sao phương pháp này là hữu hiệu
   nhất?

• Thẻ từ là hữu hiệu nhất

• Số lượng thẻ từ quản lý được cực kỳ lớn tương ứng số người quản lý. Chúng cực kỳ hợp ở môi
  trường có số người ra vào lớn, nhà trường đông sinh viên
• Thông thường thời gian đọc thẻ chỉ diễn ra trong chưa đến 1s/ lượt quẹt thẻ. Tốc độ này nhanh
  hơn nhiều so với việc dùng vân tay hay khuôn mặt. Nhờ đó nếu như số người tập chung ra vào lớn
  trong cùng một thời điểm sẽ không phải xếp hàng chờ đợi lâu
• Chỉ cần dùng thẻ để quẹt mỗi khi đến nơi làm việc hoặc vào ra. Những thẻ sử dụng hoàn toàn
  không bị ảnh hưởng do môi trường hay thời tiết. Đây là một trong những điểm hạn chế của công
  nghệ nhận diện vân tay
• Mỗi thẻ có một ID riêng không trùng lặp nhau. Khi mất thẻ thì những thẻ này sẽ bị vô hiệu quá
  lập tức nên không cần lo lắng nếu kẻ xấu nhặt được

• Camera :

• Quản lý quyền truy cập và sử dụng phần mềm
• Quản lý toàn bộ thông tin sinh viên
• Theo dõi các thời gian của sinh viên nhanh chóng

• Sinh trắc học:
  Tăng hiệu quả bằng cách loại bỏ các lỗi hệ thống.
  Tăng cường trách nhiệm của sinh viên

Cung cấp năng lực đồng nhất hạng nhất .Cho phép xác nhận đa yếu tố bằng giọng nói cũng như nhận dạng khuôn mặt .Xác minh đa phương pháp với nhiều thông tin tuyển sinh .

Tình huống 3:

Giả sử khoa Kế toán của trường IUH trang bị một ‘ Phòng mô phỏng và thực hành thực tế quy trình tiến độ nhiệm vụ Kế toán – Tài chính – Tín dụng ’ ( gồm 30 máy tính ) dùng để ship hàng cho việc học tập và điều tra và nghiên cứu của các thành viên trong câu lạc bộ Kế_Tài_Ngân_Club. Phòng máy này gồm một sever

(server), nhiều máy trạm (work station) và một máy in (printer) được cài đặt các phần mềm về kế
toán, tài chính & ngân hàng để cho các thành viên trong câu lạc bộ vào sử dụng để nghiên cứu và
học tập. Khoa mong muốn phòng máy được cài đặt và cấu hình làm sao mà các thành viên có thể ra
vào và sử dụng cái tài nguyên một cách thuận tiện nhưng vẫn có cơ chế theo dõi một cách tự động.

1. Theo bạn, phòng máy nên dùng phương pháp nào (chữ ký số, xác thực và điều khiển truy cập
   bằng mật khẩu (fixed password, OTP), thẻ từ, camera, sinh trắc học (vân tay hoặc khuôn
   mặt, con ngơi,…)) mà các thành viên có thể vào ra một cách thuận tiện nhưng vẫn kiểm
   soát được khi cần thiết. Bạn hãy mô tả giải pháp một cách chi tiết nhất và nêu lý do tại sao
   đây là giải pháp hợp lý nhất.
   • Theo em phòng máy nên dùng phương pháp sinh trắc học vân tay để các thành viên có thể
     ra vào một cách thuận tiện nhưng vẫn kiểm soát được khi cần thiết.
     Nguyên lý hoạt động của giải pháp ứng dụng công nghệ tĩnh mạch ngón tay:

Ánh sáng hồng ngoại chiếu xuyên qua ngón tay, hồng huyết cầu hấp thu ánh sáng này, camera chụp lại cấu trúc mạng tĩnh mạch và số hóa nó, lưu lại và so sánh với mã hồ sơ định danh đã lưu trên mạng lưới hệ thống để nhận diện .Với nguyên tắc trên, công nghệ tiên tiến này có tính bảo mật và độ đúng chuẩn cao nhất trong bảo mật xác nhận danh tính lúc bấy giờ. Một so sánh đơn cử, giải pháp xác thực định danh qua tĩnh mạch có chỉ số FAR, False Acceptance Rate : tỷ suất nhận diện sai cỡ < 0,0001 %, FR, False Rejection Rate : tỷ suất phủ nhận sai cỡ 0 % trong khi đó, chiêu thức thông dụng lúc bấy giờ, nhận diện qua vân tay có chỉ số FAR cỡ 3 ~ 4 % .Công nghệ tĩnh mạch ngón tay đạt nhu yếu chống trá hình, nhờ chiêu thức sinh trắc học vô hình dung dưới những điều kiện kèm theo đặc biệt quan trọng. Nó bảo vệ các mạch máu sống hiện hữu, mà nhờ đó ngăn cản sự trá hình. Các kiểu dạng mạch máu tĩnh mạch rất rõ ràng và đặc trưng, đã lý giải đúng mực cho độ đúng mực cao của giải pháp. Các nghiên cứu và điều tra ghi nhận có sự độc lạ rất lớn giữa các mẫu hình về kiểu loại tĩnh mạch, làm cơ sở cho sự duy nhất và không trùng lặp của tĩnh mạch. Thêm vào đó kiểu dạng tĩnh mạch không đổi khác trong suốt thời hạn sống kể từ khi con người trưởng thành .

2. Theo bạn, để có thể kiểm soát việc sử dụng thiết bị, ứng dụng được cài đặt trong phòng mô phỏng
   chúng ta thể dùng phương pháp nào (chữ ký số, xác thực và điều khiển truy cập bằng mật khẩu
   (fixed password, OTP), thẻ từ, camera, sinh trắc học (vân tay hoặc khuôn mặt, con ngơi,…)) và nêu
   lý do tại sao đây là giải pháp hợp lý nhất?

Source: https://vh2.com.vn
Category: Bảo Mật