1. Trang chủ
  2. » Giáo Dục - Đào Tạo

ôn tập môn an toàn thông tin

26 7 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 26
Dung lượng 69,87 KB

Nội dung

chữ ký số là một dạng chữ ký điện tử được tạo ra bằng sự biến đổi một thông điệp dữ liệu sử dụng hệ thống mật mã không đối xứng Theo đó, người có được thông điệp dữ liệu ban đầu và khóa công khai của người ký có thể xác định được chính xác Việc biến đổi nêu trên được tạo ra bằng đúng khóa bí mật tương ứng với khóa công khai trong cùng một cặp khóa Sự toàn vẹn nội dung của thông điệp dữ liệu kể từ khi thực hiện việc biến đổi nêu trên Hiểu một cách đơn giản, chữ ký số (Token) là một thiết bị được.

- chữ ký số: dạng chữ ký điện tử tạo biến đổi thông điệp liệu sử dụng hệ thống mật mã không đối xứng Theo đó, người có thơng điệp liệu ban đầu khóa cơng khai người ký xác định xác: Việc biến đổi nêu tạo khóa bí mật tương ứng với khóa cơng khai cặp khóa Sự tồn vẹn nội dung thơng điệp liệu kể từ thực việc biến đổi nêu Hiểu cách đơn giản, chữ ký số (Token) thiết bị mã hóa tất liệu, thông tin doanh nghiệp/cá nhân dùng thay cho chữ ký loại văn tài liệu số thực giao dịch điện tử qua mạng internet - thẻ từ: Thẻ từ loại mà gắn dải băng từ kim loại bề mặt Thẻ từ có khả ghi lưu thông tin lên dải từ Nên thẻ từ ứng dụng cho hệ thống nhân dạng Ứng dụng quản lý tự động, toán điện tử, kiểm soát vào, chấm cơng nhân viên Mở khóa phịng khách sạn, mở khóa cửa nhà, kiểm soát vào thang máy - camera: hệ thống truyền hình mạch kín, việc sử dụng máy quay video để truyền tín hiệu đến địa điểm cụ thể, hình giới hạn, camera gọi hệ thống video giám sát - sinh tắc học (vân tay khuôn mặt, võng mạc, ): Xác thực sinh trắc học hình thức bảo mật đo lường đối sánh tính sinh trắc học người dùng để xác minh người cố gắng truy cập vào thiết bị cụ thể phép làm Đặc điểm sinh trắc học đặc điểm vật lý sinh học dành riêng cho cá nhân dễ dàng so sánh với đặc điểm phép lưu sở liệu Nếu tính sinh trắc học người dùng cố gắng truy cập vào thiết bị khớp với tính người dùng phê duyệt quyền truy cập vào thiết bị cấp Xác thực sinh trắc học cài đặt mơi trường vật lý, kiểm sốt điểm truy cập cửa vào cổng + vân tay: Máy quét dấu vân tay, phiên kỹ thuật số dấu vân tay giấy mực kiểu cũ, dựa vào việc ghi lại kiểu xoáy đường gờ độc đáo tạo nên dấu vân tay cá nhân Máy quét vân tay phương thức xác thực sinh trắc học phổ biến dễ tiếp cận nhất, phiên dành cho người tiêu dùng, chẳng hạn điện thoại thơng minh, có khả dương tính giả Các phiên quét vân tay vượt đường vân tay bên da để đánh giá mơ hình mạch máu ngón tay người chứng minh độ tin cậy cao Mặc dù khơng xác, máy qt vân tay công nghệ sinh trắc học phổ biến sử dụng nhiều cho người tiêu dùng hàng ngày + khuôn mặt: Công nghệ nhận dạng khuôn mặt dựa việc so khớp hàng chục phép đo khác từ khuôn mặt phê duyệt với khuôn mặt người dùng cố gắng truy cập, tạo gọi khuôn mặt Tương tự máy quét vân tay, đủ số lượng phép đo từ người dùng khớp với khuôn mặt phê duyệt, quyền truy cập cấp Tính nhận dạng khuôn mặt thêm vào số điện thoại thông minh thiết bị phổ biến khác, khơng qn so sánh khn mặt nhìn từ góc độ khác cố gắng phân biệt người trông giống nhau, chẳng hạn họ hàng gần Câu hỏi ôn tập LO3 (gợi ý dành cho sinh viên) 13Hệ thống quản lý an tồn thơng tin gì? Mục tiêu hệ thống an tồn tồn thơng tin? 14Mã hóa đối xứng (mã hóa khóa bí mật) gì? Nếu ứng dụng mã hóa đối xứng Mã hóa đối xứng kỹ thuật cho phép sử dụng khóa để thực mã hóa giải mã chia sẻ qua internet Nó cịn gọi phương pháp thông thường sử dụng để mã hóa Trong mã hóa đối xứng, đồng mã hóa chuyển đổi thành mật mã khóa thuật tốn mã hóa Mặc dù mật mã chuyển đổi trở lại thành đơn giản cách sử dụng khóa sử dụng để mã hóa thuật tốn giải mã Ứng dụng: Thuật tốn mã hóa đối xứng thực thi nhanh Ít phức tạp thế; chúng sử dụng cho truyền liệu số lượng lớn Các thuật tốn mã hóa đối xứng thường sử dụng DES, DES, AES, RC4 Nhờ có ưu điểm vượt trội tốc độ, tính giản đơn bảo mật tốt, mã hóa đối xứng sử dụng rộng rãi nhiều ứng dụng từ bảo mật lưu lượng truy cập internet bảo vệ liệu lưu trữ máy chủ điện toán đám mây Mặc dù thường phải kết hợp với mã hóa bất đối xứng để giải vấn đề chuyển tiếp khóa an tồn sơ đồ mã hóa đối xứng giữ vai trò làm thành tố định bảo mật máy tính Thuật tốn AES dùng nhiều kích thước nhớ khác để mã hóa liệu, thường thấy 128-bit 256-bit, có số lên tới 512-bit 1024-bit Kích thước nhớ lớn khó phá mã hơn, bù lại việc giải mã mã hóa cần nhiều lực xử lý Hiện chế độ mã hóa mặc định Android 5.0 xài AES 128-bit Điều có nghĩa bạn chuẩn bị ghi liệu xuống nhớ máy hệ điều hành mã hóa tiến hành ghi Tương tự, OS chuẩn bị đọc liệu Android phải giải mã trước chuyển ngồi, hình ảnh được, tập tin nhạc chơi tài liệu đọc Bằng cách này, bạn có lỡ làm máy người lượm xem trộm liệu bạn (giả sử bạn lock hình) Nếu người có gỡ chip nhớ để đọc liệu mã hóa hết Tất nhiên, Android xài key dạng symmetric (tạo dựa vào password bạn), key cịn băm thêm lần SHA 256-bit để tăng tính an tồn Nhiều bút nhớ USB ngày cung cấp phần mềm AES kèm để bạn mã hóa liệu thơng qua password, lỡ có làm rớt USB khơng lo bị lấy trộm liệu chứa bên Ngay kẻ xấu cố gắng gỡ chip ra, gắn vào phần cứng khác để đọc thấy liệu mã hóa mà thơi 15 Mã hóa bất đối xứng (mã hóa khóa cơng khai) gì? Nêu úng dụng hệ mã hóa bất đối xứng Mã hóa bất đối xứng là: Mã hóa bất đối xứng kỹ thuật mã hóa sử dụng cặp khóa (khóa riêng khóa cơng khai) để mã hóa giải mã Mã hóa bất đối xứng sử dụng khóa cơng khai để mã hóa khóa riêng để giải mã Khóa cơng khai có sẵn miễn phí cho quan tâm đến ing Khóa riêng giữ bí mật với người nhận Bất kỳ thứ mã hóa khóa cơng khai thuật tốn, giải mã thuật tốn khóa riêng phù hợp khóa cơng khai tương ứng Ứng dụng: Diffie-Hellman RSA thuật toán phổ biến sử dụng để mã hóa bất đối xứng, Mã hóa bất đối xứng thường sử dụng để trao đổi khóa bí mật đó, mã hóa đối xứng sử dụng để trao đổi lượng lớn liệu Chúng ta hay nghe đến “chữ kí điện tử”, thứ mà doanh nghiệp hay sử dụng để đính kèm vào tài liệu để chứng minh họ người soạn thảo tài liệu khơng phải khác giả mạo “Chữ kí” tạo dựa phương pháp bảo mật nói Thời sơ khai người ta xài RSA, sau có thứ tiên tiến hơn, an tồn phát triển thêm nhanh chóng phổ biến toàn giới Các đặc điểm mã hóa cơng khai cịn có ích cho nhiều ứng dụng khác như: tiền điện tử, thỏa thuận khóa… TL: 1.Chữ ký điện tử gì? Mục tiêu chữ ký điện tử? Trình bày trạng áp dụng chữ ký điện tử Việt Nam Khái niệm chữ ký điện tử : thông tin kèm theo liệu (văn bản, hình ảnh, video ) nhằm mục đích xác định người chủ liệu Chữ ký điện tử sử dụng giao dịch điện tử Xuất phát từ thực tế, chữ ký điện tử cần đảm bảo chức xác định người chủ liệu đó: Văn bản, ảnh, video liệu có bị thay đổi hay không Chữ ký điện tử chứng thực tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử Mục tiêu chữ ký điện tử: +Giúp xác minh chủ thể ai: Tăng khả bảo mật, chống giả mạo, cho phép chủ thẻ xác minh danh tính hệ thống khác xe bus, thẻ rút tiền ATM, hộ chiếu điện tử cửa khẩu, kiểm soát hải quan… +Chữ ký số sử dụng để kê khai hồ sơ nộp thuế trực tuyến, tiến hành kê khai hải quan điện tử thực giao dịch chứng khoán điện tử… Khi sử dụng chữ ký điện tử công ty, doanh nghiệp in tờ kê khai, đóng dấu đỏ trước mà cần sử dụng chữ ký số thực kê khai phần mềm + Chữ ký số đảm bảo tính an ninh tốt, an tồn xác tính bảo mật cao, thơng qua chữ ký số thơng tin toàn vẹn liệu chứng chống chối bỏ trách nhiệm nội dung ký kết Việc ký chữ ký số giúp cho tổ chức, cá nhân yên tâm với giao dịch điện tử + Chữ ký số giúp việc trao đổi liệu quan nhà nước cá nhân, tổ chức đơn giản hóa thủ tục hành chính, việc trao đổi thuận tiện dễ dàng, nhanh chóng, vừa tiết kiệm thời gian, chi phí lại mà lại vừa đảm bảo tính pháp lý + Ngồi chữ ký số cịn sử dụng phổ biến hoạt động doanh nghiệp, doanh nghiệp sử dụng để ký kết hợp đồng với đối tác thông qua mạng trực tuyến 02 bên xa mà xếp để gặp Như chữ ký số có vai trò quan trọng với hoạt động quan, doanh nghiệp, tình trạng thời đại công nghệ 4.0 ngày phát triển Ngày nay, đời chữ ký số vừa đảm bảo tuyệt đối giá trị pháp lý, vừa đảm bảo tính an tồn bảo mật Đồng thời chữ ký số cịn giúp người sử dụng thuận lợi giao dịch thư điện tử, hoạt động mua sắm, hay thực thủ tục với quan thuế, quan bảo hiểm xã hội, ngân hàng… Trình bày trạng áp dụng chữ ký điện tử Việt Nam Một số ứng dụng chữ ký số điện tử điển hình: - Ứng dụng Chính phủ điện tử + Ứng dụng Bộ Tài + Ứng dụng Bộ Công thương + Ứng dụng Bộ KHCN, … - Ứng dụng Thương mại điện tử + Mua bán, đặt hàng trực tuyến + Thanh toán trực tuyến, … - Ứng dụng giao dịch trực tuyến + Giao dịch qua email - Hội nghị truyền hình làm việc từ xa với Mega e-Meeting Hiện Việt Nam ,chữ ký số áp dụng lĩnh vực: quan Thuế, Bảo hiểm xã hội, Hải quan Chứng khoán Nếu bạn thường xuyên sử dụng dịch vụ toán liên ngân hàng hay toán điện tử liên kho bạc ngành tài số quan Nhà nước Bộ Cơng thương, Sở Bưu Viễn thơng TP Hồ Chí Minh, bạn nên biết giao dịch nội bắt đầu sử dụng chữ ký điện tử ngày thông dụng Ngồi ra, chữ ký điện tử cịn sử dụng ứng dụng giao dịch điện tử với nhà mạng Internet Viettel, VNPT, bạn an tâm chúng bảo đảm độ an toàn giao dịch liên quan đến tài Theo “Báo cáo tình hình phát triển ứng dụng chữ ký số Việt Nam năm 2018”, tính đến thời điểm 31/3/2019 có:  703.753 DN sử dụng chữ ký số lĩnh vực thuế tổng số 711.748 DN hoạt động, đạt tỷ lệ 98,87%, tăng 55.623 tổ chức, doanh nghiệp so với năm 2018;  232.431 DN sử dụng chữ ký số hoạt động lĩnh vực hải quan, tăng 90.338 doanh nghiệp so với năm 2018  441.096 doanh nghiệp sử dụng chữ ký số kê khai bảo hiểm xã hội, tăng 231.678 doanh nghiệp so với năm 2016  2.824 DN dùng chữ ký số lĩnh vực chứng khoán, năm 2018 2.815 Làm để tạo chữ ký điện tử? Chữ ký điện tử yêu cầu phải sử dụng mã hóa khóa cơng cộng (public key) Nếu muốn tạo chữ ký điện tử cần phải có thêm mã hóa khóa cá nhân (private key) Bạn dùng khóa cá nhân để ký - dạng mã - sau cung cấp khóa cơng cộng cho người cần xác nhận chữ ký (chẳng hạn ngân hàng, nơi bạn vay tiền) Một số ví dụ có liên quan đến chữ kí điện tử: - Mặc dù chưa có án lệ tòa án giải cụ thể vấn đề hiệu lực hợp đồng ký chữ ký điện tử, có án lệ án cho thấy tòa án Việt Nam thiên cách tiếp cận trọng nội dung (tức xem xét ý chí thực bên giao dịch) hình thức thể chấp thuận nội dung (tức xem xét hình thức hợp đồng chữ ký) Trong số án lệ án, Tòa án nhân dân tối cao phán rằng, hành vi bên trình giao kết thực hợp đồng có giá trị quan trọng để xác định ý chí bên hợp đồng cho dù hợp đồng khơng ký bên có liên quan, hợp đồng khơng bị vơ hiệu - Án lệ số 07/2016/AL ngày 17/10/2016 công nhận hợp đồng mua bán nhà xác lập trước ngày tháng năm 1991(tranh chấp Nguyễn Đình Sơng, Nguyễn Thị Hồng, Nguyễn Thị Hương với Đỗ Trọng Thành, Đỗ Thị Nguyệt, Vương Chí Tường, Vương Chí Thắng, Vương Bích Vân, Vương Bích Hợp - Án lệ 07 2.Đưa hệ thống thông tin trang web thực tế Việt Nam mà có sử dụng chữ ký điện tử? Nghiệp vụ hệ thống có sử dụng chữ ký số? Trình bày bước cụ thể để người dùng hệ thống thực nghiệp vụ có sử dụng chữ ký số (gợi ý: Website quan Thuế, Wibsite quan Hải quan, Website quan Bảo hiểm xã hội, ) Một trang web thực tế Việt Nam mà có sử dụng chữ ký điện tử? Website quan Thuế Nghiệp vụ hệ thống có sử dụng chữ ký số? Nộp thuế điện tử(trực tuyến) Trình bày bước cụ thể để người dùng hệ thống thực nghiệp vụ có sử dụng chữ ký số? Hướng dẫn cá nhân, doanh nghiệp sử dụng chữ ký số để nộp thuế điện tử: Bước1: Đăng nhập vào Trang thông tin điện tử Tổng cục Thuế http://thuedientu.gdt.gov.vn Bước2: Lập giấy nộp tiền - Sau đăng nhập thành công, doanh nghiệp lập giấy nộp tiền theo bước đây: - Tại mục “Nộp thuế” nhấn chọn “Lập giấy nộp tiền” - Lựa chọn “Ngân hàng nộp thuế” nhấn "Tiếp tục" Bước 3: Khai báo thông tin tờ khai - Trong q trình hồn tất thủ tục nộp thuế điện tử, doanh nghiệp cần khai báo đầy đủ xác nội dung sau tờ khai thuế: + Thông tin loại tiền: Chọn “VND” đơn vị thuộc diện nộp thuế đồng Việt Nam, trường hợp thuộc diện nộp thuế ngoại tệ đơn vị chọn loại ngoại tệ sử dụng + Thơng tin ngân hàng: Chọn ngân hàng số tài khoản để trích tiền + Thơng tin quan quản lý thu: Chính thông tin quan thuế quản lý đơn vị + Thông tin nơi phát sinh khoản thu: Điền địa nơi phát sinh khoản thu theo quy định Cục Thuế Chi cục thuế địa phương + Thông tin kho bạc nhận tiền + Loại thuế: Chọn tương ứng theo mục đích nộp thuế đơn vị - Tại mục “Nội dung khoản nộp NSNN” bạn tích chọn vào vng chấm để chọn loại thuế muốn nộp - Tại mục Nội dung khoản nộp danh sách: Nhập mã NDKT Lưu ý: + Căn vào vốn điều lệ ghi Giấy Đăng ký kinh doanh Trường hợp khơng có vốn điều lệ vào vốn đầu tư ghi giấy chứng nhận đăng ý đầu tư + Đối với công ty, doanh nghiệp, tổ chức thành lập cần nộp Thuế môn bài: Nếu cấp đăng ký thuế mã số thuế, mã số doanh nghiệp thời gian tháng đầu năm nộp mức lệ phí mơn năm; Nếu thành lập, cấp đăng ký thuế mã số thuế, mã số doanh nghiệp thời gian tháng cuối năm ( từ ngày 1/7 đến 31/12) nộp 50% mức lệ phí mơn cho năm - Sau nhập xong giá trị vào ô Mã “NDKT”, hệ thống tự sinh thông tin tương ứng theo quy định pháp luật - Người dùng khai báo thông tin đầy đủ xác, nhấn “Hồn thành” để tạo lập xong tờ khai Bước 4: Ký số - Bước cuối để hoàn thành thủ tục nộp thuế điện tử ký số Doanh nghiệp cần kiểm tra lại thông tin vừa khai báo Giấy nộp tiền vào ngân sách nhà nước Nếu thơng tin xác, người dùng cắm chữ ký số doanh nghiệp tiếp tục nhấn “Ký nộp” - Sau đó, nhập mã PIN nhấn “OK” Như vậy, doanh nghiệp hoàn thành xong việc nộp tiền mục thuế, trường hợp cần nộp nhiều mục đơn vị thực lặp lại từ bước Lập giấy nộp tin 3.Chứng thư số gì? Mục tiêu chứng thư số? Hiện Việt Nam có đơn vị cung cập dịch vụ chứng thư số? Chứng thư số gì? Chứng thư số loại chứng thư điện tử tổ chức dịch vụ chứng thực chữ ký số cung cấp Chứng thư số coi “chứng minh nhân dân/ cuốc công dân hộ chiếu” doanh nghiệp với vai trò xác nhận danh tính doanh nghiệp mơi trường máy tính Internet với public key, cấp tổ chức có thẩm quyền xác định nhận danh có quyền cấp chứng thư số Chứng thư số hiểu chứng minh tính hợp lệ, hợp pháp đích danh chữ ký số cá nhân hay tổ chức Thông thường, chứng thư số cặp khóa mã hóa liệu gồm thông tin như: Công ty, mã số thuế doanh nghiệp… Các tài liệu sử dụng để nộp thuế qua mạng, khai báo hải quan thực giao dịch điện tử khác hóa đơn điện tử Mục tiêu chứng thư số: Với chứng thư số người dùng có thể: + Xác định danh tính người dùng đăng nhập vào hệ thống (xác thực) Đảm bảo an toàn thương mại điện tử + Hỗ trợ ký số loại văn bản, tài liệu, hợp đồng, hóa đơn,… file doc, pdf tệp tài liệu +Mã hóa thơng tin để đảm bảo bí mật người gửi người nhận thông qua mạng internet + Thực kênh liên lạc trao đổi thơng tin bí mật với thực thể khác mạng, ví dụ thực kênh liên lạc bí mật người dùng với webserver Các đơn vị Việt Nam cung cấp chứng thư số: Công ty Cổ phần Đầu tư Công nghệ Thương mại Softdreams (EASYCA) 2.Tập đồn Bưu Viễn thơng Việt Nam (VNPT-CA) Công ty cổ phần Công nghệ thẻ Nacencomm (CA2) Công ty cổ phần BKAV (BKAV-CA) Tập đồn Viễn thơng qn đội Viettel (VIETTEL-CA) 6.Cơng ty cổ phần Hệ thống Thông tin FPT (FPT-CA) 7.Công ty Cổ phần Viễn thông New-Telecom (NEWTEL-CA) Công ty Cổ phần Chứng số an tồn (SAFE-CA) Cơng ty Cổ phần Chữ ký số ViNa (Smartsign) 10 Công ty Cổ phần Công nghệ Tin học EFY Việt Nam (EFY-CA) 11 Công ty Cổ phần Công nghệ SAVIS (TrustCA) 12 Công ty Cổ phần MISA (MISA-CA) 13 Công ty Cổ phần Tập đồn Cơng nghệ CMC (CMC-CA) 14 Cơng ty Cổ phần hỗ trợ doanh nghiệp đầu tư Hà Nội(NC-CA) 15 Công ty TNHH L.C.S(LCS-CA) 16.Công ty Cổ phần chữ ký số FastCA(FASTCA) Chứng thư số gì? Nội dung có chứng thư số gồm nội dung gì? Chứng thư số gì? Chứng thư số loại chứng thư điện tử tổ chức dịch vụ chứng thực chữ ký số cung cấp Chứng thư số coi “chứng minh nhân dân/ cuốc công dân hộ chiếu” doanh nghiệp với vai trò xác nhận danh tính doanh nghiệp mơi trường máy tính Internet với public key, cấp tổ chức có thẩm quyền xác định nhận danh có quyền cấp chứng thư số Chứng thư số hiểu chứng minh tính hợp lệ, hợp pháp đích danh chữ ký số cá nhân hay tổ chức Thơng thường, chứng thư số cặp khóa mã hóa liệu gồm thơng tin như: Công ty, mã số thuế doanh nghiệp… Các tài liệu sử dụng để nộp thuế qua mạng, khai báo hải quan thực giao dịch điện tử khác hóa đơn điện tử Nội dung chứng thư số: -Hiện nay, chứng thư số Tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng, tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng Chính phủ, tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng quan, tổ chức cấp phải bao gồm đầy đủ nội dung sau: Tên tổ chức cung cấp dịch vụ chứng thực chữ ký số Tên thuê bao Số hiệu chứng thư số Thời hạn có hiệu lực chứng thư số Khóa cơng khai th bao Chữ ký số tổ chức cung cấp dịch vụ chứng thực chữ ký số Các hạn chế mục đích, phạm vi sử dụng chứng thư số Các hạn chế trách nhiệm pháp lý tổ chức cung cấp dịch vụ chứng thực chữ ký số Thuật toán mật mã Các nội dung cần thiết khác theo quy định Bộ Thông tin Truyền thông Theo quy định, chứng thư số đáp ứng đầy đủ nội dung u cầu có đủ tính pháp lý 5.Chứng thực thực thể gì? Trình phương pháp mà bạn biết mà cài đặt để chứng thực thực thể Chứng thực thực thể: Là kỹ thuật cho phép bên (party) chứng minh nhận dạng (identify) bên khác – Trong thực thể (entity) người tiến trình server Thực thể mà idenity cần chứng gọi người thỉnh cầu (Claimant) Bên mà cố gắng chứng minh identity cliamant gọi người thẩm định (verifier) Trình phương pháp mà bạn biết mà cài đặt để chứng thực thực thể: Có phương pháp: + Chứng thực Password + Chứng thực Sinh trắc học + Chứng thực Challenge – Response + Chứng thực Zero – Knowledge Chứng thực thực thể sinh trắc học ( Biometrics) sử dụng phép đo lường đặc tính sinh lí học hành vi học mà nhận dạng người, đặc thù sinh trắc học khơng thể đốn , ăn cắp hay chia sẻ ví dụ vân tay, vân lịng bàn tay, võng mạc, móng mắt, khn mặt, giọng nói… Ưu điểm + Có độ xác cao + thời gian chứng thực nhanh ( nhỏ 1s) + Sự tác động người dùng thấp + Có kết hợp nhiều yếu tố: vân tay, võng mạc, giọng nói Nhược điểm: + Giá thành: triển khai hệ thống sinh trắc học địi hỏi chi phí cao cho phần cứng ( thiết bị thu/quét, nhận dạng) với phần mềm đại +Có thể nhận diện sai: hư hỏng phần cứng, lỗi phần mềm làm cho hệ thống từ chối người dùng người Hiện nay: công nghệ chứng thực sinh trắc học áp dụng rộng rãi ngân hàng, công ty ( dùng chấm công, điểm danh) hay thực bảo mật liệu cá nhân thiết bị di động cao cấp… Hệ xác thực mật Phương pháp sử dụng mật ví dụ điển hình chế xác thực dựa điều mà thực thể biết: NSD (người sử dụng) đưa mật hệ thống xác minh Nếu mật thật đăng ký trước với NSD, danh tính NSD xác thực Ngược lại, mật bị từ chối thủ tục xác thực thất bại Thông thường mật chuỗi ký tự có độ dài xác định; ký tự mật phải chọn từ (bảng) ký tự qui định trước Không gian mật tập tất mật xây dựng từ qui ước mật Ví dụ, có hệ thống u cầu mật phải chuỗi chữ số (tức ký tự ‘0’-‘9’); không gian mật tập tất chuỗi chữ số (“00000000” đến “99999999”), khơng gian có 108 mật -Ưu điểm: +Tiện lợi + Chi phí thấp - Khuyết điểm : +Mức độ bảo mật phụ thuộc vào độ phức tạp password +Sự chứng thực giao thức chứng thực mật chưa đủ an tồn tin cậy thơng tin chứng thực trao đổi khơng an tồn mơi trường mạng công cộng Internet nên tội phạm tin học nghe trơm, đánh cắp thơng tin để từ đốn mật truy nhập vào hệ thống 6.Điều khiển truy cập gì? Trình bày phương pháp mà bạn biết mà cài đặt điều khiển truy cập hệ thống thơng tin Điều khiển truy cập gì? Điều khiển truy cập ( access control) thuật ngữ sử dụng lĩnh vực kiểm soát bảo mật an ninh Nó ám đến hạn chế quyền tiếp cận, truy cập, xâm nhập vào địa có thực ngơi nhà, văn phịng làm việc, cơng ty…tác dụng Access Control để phân quyền người dùng ( cho phép người truy cập vào địa nào) Còn gọi hệ thống kiểm sốt vào ra, AC có nhiều cách thực Có thể sức người bảo vệ, an ninh tịa nhà, hay kiểm sốt loại máy móc barrier tự động, khóa cửa điện tử Hiện với trình độ khoa học kỹ thuật ngày đại Điều khiển truy cập phát triển lên tầm cao kiểm sốt vào hệ thống thẻ, vân tay, nhận dạng khn mặt Điển hình loại khóa cửa thơng minh khóa cửa vân tay, khóa thẻ từ, khóa cửa từ Trình bày phương pháp mà bạn biết mà cài đặt điều khiển truy cập hệ thống thông tin Điều khiển truy cập bắt buộc MAC - Điều khiển truy cập bắt buộc (Mandatory Access Control - MAC): Là mơ hình điều khiển truy cập nghiêm ngặt nhất, Thường bắt gặp thiết lập quân đội Hai thành phần: Nhãn Cấp độ - Mơ hình MAC cấp quyền cách đổi chiều nhân đối tượng với nhân chủ thể Nhãn cho biết cấp độ quyền hạn - Để xác định có mở file hay không: So sánh nhân đối tượng với nhân chủ thể Chủ thể phải có cấp độ tương đương cao hơn: đối tượng cấp phép truy cập - Hai mơ hình thực thi MAC: Mơ hình mạng lưới (Lattice model) & Mơ hình Bell-LaPadula + Mơ hình mạng lưới Các chủ thể đối tượng gán "cấp bậc” mạng lưới Nhiều mạng lưới đặt cạnh +Mơ hình Bell-LaPadula: Tương tự mơ hình mạng lưới Các chủ thể tạo đối tượng hay thực số chức định cácđối tượng có cấp thấp - Ví dụ việc thực thi mơ hình MAC: Windows 7/Vista có bốn cấp bảo mật Các thao tác cụ thể chủ thể phân hạng thấp phải phê duyệt quản trịviên Hộp thoại User Account Control (UAC) Windows Điều khiển truy cập tùy ý (DAC) 10 Điều khiển truy cập tùy quyền (discretionary access control - DAC) sách truy cập mà chủ nhân tập tin hay người chủ tài nguyên tự định đoạt Chủ nhân định người phép truy cập tập tin đặc quyền (privilege) đặc quyền người phép thi hành Điều khiển truy cập bắt buộc (Mandatory Access Control - MAC): Điều khiển truy cập bắt buộc (mandatory access control - MAC) sách truy cập khơng cá nhân sở hữu tài nguyên định, song hệ thống định MAC dùng hệ thống đa tầng cấp, hệ thống xử lý loại liệu nhạy cảm [4], thông tin phân hạng mức độ bảo mật phủ quân đội Một hệ thống đa tầng cấp hệ thống máy tính chịu trách nhiệm xử lý bội số phân loại nhiều tầng cấp chủ thể đối tượng - Được dùng để bảo vệ khối lượng liệu lớn cần bảo mật cao môi trường mà liệu người dùng phân loại rõ ràng -Là chế để thực mơ hình bảo mật nhiều mức (multiple level) Ưu điểm: - Là chế điều khiển truy xuất có tính bảo mật cao việc ngăn chặn dịng thơng tin bất hợp pháp -Thích hợp cho ứng dụng môi trường quân đội Khuyết điểm: -Không dễ áp dụng: đòi hỏi người dùng liệu phải phân loại rõ ràng - Chỉ ứng dụng số mơi trường 7.Mật (password) gì? Mật cố định (fixed password) mật dùng lần (one time password) khác nào? Trình bày điểm mạnh điểm yếu loại mật Password hay mật chuỗi ký tự sử dụng phổ biến dịch vụ internet, hệ thống máy tính hay phần mềm ứng dụng Nó giúp cho người dùng bảo vệ riêng tư hạn chế tối đa khả truy cập bất hợp pháp từ người khác Ví dụ: Bạn có tài khoản máy tính tài khoản yêu cầu bạn đăng nhập Để truy cập thành cơng vào tài khoản mình, bạn phải cung cấp tên người dùng mật hợp lệ Sự kết hợp thường gọi đăng nhập Trong tên người dùng nói chung thông tin công khai, mật riêng tư người dùng Mật cố định (fixed password) mật dùng lần (one time password) khác nào? Mật dùng lần (OTP) dùng để xác thực người dùng truy cập ứng dụng thực giao dịch internet banking/mobile banking Thông tin mật dùng lần (OTP) có giá trị sử dụng lần, có hiệu lực khoảng thời gian định Mật cố định loại mật dùng để bảo vệ tài khoản thuộc cá nhân người dùng,có hiệu lực lâu dài thay đổi người dùng định thay mật 12 Khác mật cố định mật dùng lần: Mật cố định Mật dùng lần Được dùng lặp lặp lại Chỉ dùng lần không sử dụng lại Dễ cơng Khó cơng Tính bảo mật thấp Tính bảo mật cao Trình bày điểm mạnh điểm yếu loại mật khẩu: -Điểm mạnh điểm yếu mật dùng lần: Ưu điểm: +Khả chống lại công: Xác thực OTP cung cấp lợi khác biệt so với việc sử dụng mật tĩnh Không giống mật truyền thống, OTP không dễ bị cơng — tin tặc chặn việc truyền liệu (như người dùng gửi mật họ), ghi lại sử dụng để truy cập vào hệ thống tài khoản họ Khi người dùng có quyền truy cập vào tài khoản họ OTP, mã trở nên không hợp lệ kẻ cơng khơng thể sử dụng lại +Khó đốn: OTP thường tạo thuật tốn sử dụng ngẫu nhiên Điều khiến kẻ cơng khó đốn sử dụng chúng thành cơng OTP có hiệu lực thời gian ngắn, yêu cầu người dùng có kiến thức OTP trước cung cấp cho người dùng thử thách (ví dụ: “vui lịng nhập số thứ hai thứ năm”) Tất biện pháp làm giảm thêm bề mặt công môi trường so sánh với xác thực mật +Giảm rủi ro mật bị xâm phạm: Người dùng không áp dụng biện pháp bảo mật mạnh mẽ có xu hướng tái chế thông tin đăng nhập giống tài khoản khác Nếu thông tin đăng nhập bị rò rỉ rơi vào tay kẻ xấu, liệu bị đánh cắp gian lận mối đe dọa đáng kể người dùng phương diện Bảo mật OTP giúp ngăn chặn vi phạm truy cập, kẻ cơng có thơng tin đăng nhập hợp lệ +Dễ dàng áp dụng: Mật mã dùng lần dễ dàng cho tổ chức tích hợp vào chiến lược xác thực họ Mặc dù chất khó hiểu mã khiến người khó ghi nhớ, điện thoại, mã thơng báo cơng nghệ khác truy cập rộng rãi để nhóm bảo mật sử dụng phân phối cho nhân viên họ Thẻ thông minh hay thiết bị tạo mật cầm tay (token) nhờ vào kết nối internet với máy chủ dịch vụ cung cấp OTP thơng qua thẻ OTP in sẵn thay điện thoại di động mà không cần đến kết nối internet Nhược điểm OTP gì? +Mã OTP bị lộ chủ tài khoản khơng giữ thông tin cẩn thận +Giao dịch thông qua hệ thống internet bị hacker cơng +Với hình thức OTP Token, bảo mật phải trả thêm chi phí làm máy Token +Hạn chế thời gian hiệu lực, khơng thể sử dụng nơi khơng có sóng di động OTP SMS - Mật cố định: 13 + Điểm mạnh: Khi sử dụng mật mạnh tạo lớp bảo mật chắn + Điểm yếu: Người dùng sử dụng mật phổ biến, mật chứa thông tin cá nhân,… điều tạo lỗ hỏng bảo mật 8.Trình bày loại mã OPT, nêu ưu điểm nhược điểm loại -Các loại mã OTP Hiện có hình thức cung cấp mã OTP chủ yếu Bao gồm: SMS OTP Đây hình thức cung cấp mã OTP phổ biến Mã OTP gửi tin nhắn SMS số điện thoại đăng ký Để thực giao dịch bạn cần phải nhập mã OTP gửi số điện thoại đăng ký Đa số ngân hàng Việt Nam có sử dụng mã OTP theo hình thức Hình thức khơng ngân hàng sử dụng mà công ty công nghệ lớn giới Google, Facebook áp dụng để tạo lớp bảo mật thứ hai cho tài khoản bạn Và lớp bảo vệ xuất phát hoạt động không rõ ràng từ tài khoản bạn Ưu điểm:- Dịch vụ gửi SMS OTP rẻ hợp túi tiền -Cần có phần cứng bổ sung để gửi SMS OTP -Một tỷ lệ cao dân số giới có điện thoại di động nhận -SMS Có thể nhận ứng dụng SMS không thiết phải liên kết đến thiết bị di động Một hạn chế SMS OTP người dùng khơng thể sử dụng nơi khơng có sóng di động, di chuyển nước ngồi Khi đó, hình thức OTP khác sử dụng -Nhiều số điện thoại để chế độ không làm phiền (DND) khơng nhận SMS -Đơi tin nhắn SMS OTP bị gửi trễ lưu lượng truy cập máy chủ nhà khai thác, hết thời gian chờ cổng ngừng dịch vụ -Đã có trường hợp SMS OTP bị chặn tội phạm cá nhân lừa đảo -Ngay SMS chưa gửi bạn bị tốn phí -SMS nhiều điện thoại xuất hình dạng thơng báo điện thoại bị khóa dễ dàng bị đánh cắp nhìn qua hình điện thoại Tokey Key (Tokey Card) Đây thiết bị giúp tạo mã OTP, sinh tự động sau phút mà không cần kết nối internet Mỗi tài khoản cần đăng ký Tokey Key riêng cho tài khoản, sau thời gian quy định ngân hàng đổi Tokey Key bạn Đây thiết bị rời, nhỏ gọn ln ln mang bên Tuy nhiên cần phải bảo quản cẩn thận dễ đánh Ưu nhược điểm Tokey Key (Tokey Card) Ưu điểm Token 14 Máy Token có kích thước nhỏ gọn, giúp bạn dễ dàng mang theo bên người dễ dàng cho vào chùm chìa khóa cá nhân Giúp bảo vệ giao dịch khách hàng, Tránh bị kẻ gian hack thông tin sử dụng thông tin để thực giao dịch Nếu chẳng may bị lộ mã OTP sử dụng khách hàng khơng cần q lo lằng mã có hiệu lực lần Các sử dụng thiết bị Token đơn giản phù hợp cho nhiều đối tượng Nhược điểm Token Bạn dễ dàng nhận để sử dụng dịch vụ khách hàng cần phải trả khoản phí không nhỏ từ 200.000 - 400.000 đồng cho thiết bị Token Thời hạn sống mã OTP cho có 60s Bạn cần phải có máy Token thực giao dịch Smart OTP – Smart Token Đây coi hình thức kết hợp hoàn hảo SMS OTP Token Key Smart OTP tích hợp với ứng dụng smartphone Smart OTP gửi ứng dụng xuất yêu cầu giao dịch Hiện nay, Việt Nam có ngân hàng Vietcombank TPBank sử dụng hình thức xác thực Smart OTP hoạt động song song SMS OTP Ngoài ra, Google áp dụng Smart OTP tạo ứng dụng riêng mang tên Google Authenticator Để sử dụng Smart OTP người dùng cần phải đăng ký với ngân hàng nhà cung cấp dịch vụ Ngồi ra, khơng thể có nhiều thiết bị sử dụng chung ứng dụng tạo mã OTP Ưu điểm Smart OTP - Tính an tồn bảo mật mức độ cao giúp người dùng an tâm sử dụng với giao dịch chuyển tiền với số tiền lớn -Tiện dụng sử dụng lúc, nơi, thiết bị kể khơng có kết nối internet -Dễ dàng sử dụng với nhiều hình thức tích hợp vào ứng dụng ngân hàng tải app điện thoại -Đơn giản hóa thao tác với mã OTP tự động điền sẵn vào ô xác thực -Dịch vụ miễn phí Nhược điểm Smart OTP: -Smart OTP sinh điện thoại khách hàng mã hóa với hệ thống bảo vệ nhiều lớp phức tạp khó can thiệp Tuy nhiên, Smart OTP rủi ro khách hàng sử dụng điện thoại bị bẻ khóa máy tự ý cài thêm phần mềm độc hại, không rõ nguồn gốc 15 -Để sử dụng Smart OTP người dùng cần phải đăng ký với ngân hàng nhà cung cấp dịch vụ Ngồi ra, khơng thể có nhiều thiết bị sử dụng chung ứng dụng tạo mã OTP 9.Đưa hệ thống mà bạn biết có sử dụng mật cố định (fixed password) mô tả bước thực để bạn chứng thực người dùng hệ thống Nêu mục tiêu việc chứng thực Hệ thống có sử dụng mật cố định (fixed password) - Teamviewer Các bước thực Bước 1: Tại giao diện Teamviewer, người dùng nhấn chọn vào mục Extras bên chọn tiếp Options Bước 2: Chuyển sang giao diện nhấn vào mục quản lý Security góc bên trái hình Nhìn sang bên phải phần Personal password (For unattended access), nhập mật muốn đặt cho Teamviewer vào Nhấn OK để lưu lại mật xong Ngoài phần Random password người dùng điều chỉnh độ dài mật từ ký tự sang 6, 8, 10 ký tự Disabled để vơ hiệu hóa mật cần kết nối máy tính Bây giờ, bạn sử dụng mật vừa tạo để tạo kết nối cho người khác Cách tiện bạn thường xuyên nhờ người, họ ghi nhớ ID mật cho lần trợ giúp mà không cần hỏi lại mật đăng nhập Tuy nhiên, để kẻ gian phát lợi dụng, mối nguy hiểm lớn cho tài khoản người dùng Vì vậy, cân nhắc thật kỹ trước tiến hành sử dụng, mật có ưu - nhược điểm riêng * Mục tiêu chứng thực - Tăng cường an toàn cho hệ xác thực dựa mật - Xây dựng giao thức an tồn - Đảm bảo nội dung thơng tin trao đổi thực thể xác khơng bị thêm, sửa, xóa hay phát lại (đảm bảo tính tồn vẹn nội dung) - Đảm bảo đối tượng tạo thông tin (nguồn gốc thông tin) đối tượng hợp lệ khai báo (đảm bảo tính tồn vẹn nguồn gốc thông tin) - Đảm bảo an tồn thơng tin xác thực (tên đặng nhập mật không truyền trực tiếp mạng) 16 - Xác thực giao dịch - Đảm bảo bảo mật thông tin (không thẩm quyền => khơng đọc được) - Đảm bảo tính tồn vẹn - Chống thối - Sử dụng thay cho giấy tờ - Chứng minh người yêu cầu chứng thực ký chữ ký để xác định trách nhiệm người ký giấy tờ, văn - Chứng minh thời gian, địa điểm bên ký kết hợp đồng, giao dịch; lực hành vi dân sự, ý chí tự nguyện, chữ ký dấu điểm bên tham gia hợp đồng, giao dịch 10.Đưa hệ thống mà bạn biết có sử dụng mật dùng lần (one time password) mơ tả tình mà bạn có sử dụng mật để chứng thực người dùng/giao dịch Nêu mục tiêu việc chứng thực Một hệ thống có sử dụng mật dùng lần hệ thống internet banking MB bank (Ngân hàng Thương mại Cổ phần Quân đội) Mơ tả tình mà bạn có sử dụng mật để chứng thực người dùng/giao dịch chuyển tiền qua Internet Banking MB bank Các bước thực giao dịch chuyển tiền qua Internet Banking sau: Bước 1: Đăng nhập Internet Banking máy tính điện thoại di động kết nối Internet Bước 2: Giao diện mở ra, khách hàng lựa chọn mục chuyển tiền hệ thống ngân hàng MB Bước 3: Điền đầy đủ thông tin chuyển tiền bao gồm: Tên người nhận, số tài khoản, số tiền chuyển, nội dung chuyển, ngân hàng nhận… Bước 4: Xác nhận lại thông tin giao dịch, hệ thống ngân hàng gửi mã OTP tin nhắn điện thoại Bước 5: Khách hàng nhập mã OTP xác nhận giao dịch Màn hình hiển thị kết giao dịch Nêu mục tiêu việc chứng thực -Tại hệ thống internet banking MB bank , OTP dùng làm bảo mật lớp để xác nhận giao dịch giúp nâng cao tính bảo mật dịch vụ toán online dịch vụ ngân hàng điện tử -Bên cạnh mã OTP thường dùng lần ,bạn sử dụng mã cho giao dịch khác mã OTP MB bank có hiệu lực thời gian ngắn (1 phút 43 giây) giúp giảm thiểu, ngăn chặn rủi ro hacker hay lộ thơng tin tài khoản, nhờ mà người dùng cảm thấy an tâm nhiều 11.Sinh trắc học (biometric) gì? Nêu lĩnh vực mà áp dụng sinh trắc học? Sinh trắc học gì? 17 -Sinh trắc học hay Cơng nghệ sinh trắc học (tiếng Anh: Biometric) công nghệ sử dụng thuộc tính vật lý, đặc điểm sinh học riêng cá nhân vân tay, khuôn mặt, mống mắt, tĩnh mạch,…để nhận diện, xác thực bảo mật -Sinh trắc học phát triển thời gian dài sử dụng nhiều từ lâu Vậy nên, hiệu chứng minh ngày nâng cấp để đại xuất nhiều vật dụng thường ngày Trước thường dụng cụ sinh trắc học lớn cố định cánh cửa hay tủ sắt, gần áp dụng nhiều vào thiết bị thông minh điện thoại hay Ipad.Cũng giống công nghệ bảo mật khác, sinh trắc học khơng có giải pháp q hồn hảo Tuy nhiên có bước phát triển đáng kinh ngạc Các lĩnh vực mà áp dụng sinh trắc học: -Sinh trắc học ngày ứng dụng nhiều đời sống ngày: +Ứng dụng sản phẩm cơng nghệ: Có thể nói ứng dụng rộng rãi cơng nghệ sinh trắc học sống sản phẩm cơng nghệ smart phone, khóa điện tử, máy chấm công vân tay, máy chấm công khuôn mặt… điểm chung thiết bị việc thay mật truyền thống với độ bảo mật cao nhiều khẳng định vị trí +Ứng dụng việc chứng thực đối tượng khác khách hàng,sinh viên,… Ví dụ phịng tập gym thay đeo thẻ đưa cho nhân viên lễ tân kiểm tra cần đưa ngón tay vào đầu đọc nhận nụ cười thật tươi từ cô lễ tân xinh đẹp… rõ ràng việc áp dụng công nghê sinh trắc học vào sống cơng việc có nhiều lợi ích, tạo đơn giản tiện lợi +Ứng dụng lĩnh vực hình sự: Sử dụng việc xác nhận đối tượng +Ứng dụng lĩnh vực ngân hàng:Thanh tốn thẻ ATM có sử dụng máy đọc vân tay +Ứng dụng y học:Dấu vân tay giúp phát bệnh bị sai lệch gen như: hội chứng ba nhiễm sắc thể 18, ba nhiễm sắc thể 13, hội chứng Down, sai lệch nhiễm sắc thể giới tính XXX, XXY… +Ứng dụng lĩnh vực giáo dục:Sinh trắc vân tay hỗ trợ cho việc phân tích trí thơng minh cá nhân, điểm mạnh, điểm hạn chế để từ giúp người định hướng cho nghiệp -Ngoài “Sự kết nối mạng lưới thần kinh tế bào não” tạo nên trí thơng minh người xem sinh trắc vân tay, bạn biết nào, sở hữu tiềm Biết biết nỗ lực phấn đấu, tin bạn thành công công việc sống 12.Nêu ưu điểm nhược điểm việc áp dụng chứng thực sinh trắc học *Ưu điểm: -Có khả cải thiện tính bảo mật, kiểm sốt truy cập an tồn, thoải mái, tránh để lộ thông tin người dùng cho tội phạm mạng -Là giải pháp bảo mật đại phức tạp nhất, có độ xác gần tuyệt đối trình xác thực 18 -So với phương pháp xác thực truyền thống, bảo mật sinh trắc học có thao tác thực nhanh hơn, người dùng hạn chế tình trạng quên chuỗi mật dài phức tạp trước -Khắc phục tượng tải thông tin đăng nhập ứng dụng thiết bị khác -Xác thực sinh trắc học có tính linh hoạt, dễ đăng ký triển khai sử dụng *Nhược điểm -Các thiết bị xác thực sinh trắc học thường có chi phí đắt so với thiết bị nhập mật truyền thống -Nhận dạng sinh trắc học khơng xác 100% Ví dụ: Máy xác thực sinh trắc học không nhận diện giọng nói người dùng bị cảm cúm khơng nhận diện khuôn mặt người dùng tăng/giảm cân -Gây ảnh hưởng đến quyền riêng tư người sử dụng 13 Hệ thống quản lý an tồn thơng tin gì? Mục tiêu hệ thống an tồn tồn thơng tin? -Hệ thống an tồn thơng tin gì? Hệ thống an tồn thơng tin (ISMS) phần hệ thống quản lý tổng thể, dựa cách tiếp cận theo rủi ro kinh doanh, để thiết lập, thực hiện, điều hành, giám sát, xem xét, trì cải tiến việc bảo mật thông tin Hệ thống quản lý bao gồm: cấu trúc tổ chức, sách, hoạt động hoạch định, trách nhiệm, việc thực hành, thủ tục, quy trình nguồn lực -Mục tiêu xây dựng hệ thống an tồn thơng tin: + Đảm bảo tính bảo mật thơng tin, tức thơng tin phép truy cập đối tượng cấp phép + Đảm bảo tính tồn vẹn thơng tin, tức thơng tin phép xóa sửa đối tượng phép phải đảm bảo thơng tin cịn xác lưu trữ hay truyền + Đảm bảo tính sẵn sàng thơng tin, tức thơng tin truy xuất người phép vào họ muốn Ví dụ, server bị ngưng hoạt động hay ngừng cung cấp dịch vụ vịng phút năm độ sẵn sàng 99,999% Lợi ích hệ thống attt: Đảm bảo ATTT tổ chức, đối tác khách hàng, giúp cho hoạt động tổ chức ln thơng suốt an tồn 2) Giúp nhân viên tuân thủ việc đảm bảo ATTT hoạt động nghiệp vụ thường ngày; Các cố ATTT người dùng gây hạn chế tối đa nhân viên đào tạo, nâng cao nhận thức ATTT 3) Giúp hoạt động đảm bảo ATTT trì cải tiến Các biện pháp kỹ thuật sách tuân thủ xem xét, đánh giá, đo lường hiệu cập nhật định kỳ 4) Đảm bảo hoạt động nghiệp vụ tổ chức không bị gián đoạn cố liên quan đến ATTT 5) Nâng cao uy tín tổ chức, tăng sức cạnh tranh, tạo lòng tin với khách hàng, đối tác, thúc đẩy q trình tồn cầu hóa tăng hội hợp tác quốc tế Cấu trúc Tiêu chuẩn ISO 27001: 2013 Gồm có 07 điều khoản (từ phần đến phần 10 Tiêu chuẩn) 19  Điều khoản - Phạm vi tổ chức: Đưa yêu cầu cụ thể để tổ chức quy mô, lĩnh vực hoạt động yêu cầu, kỳ vọng bên liên quan thiết lập phạm vi Hệ thống quản lý ATTT phù hợp  Điều khoản - Lãnh đạo: Quy định vấn đề trách nhiệm Ban lãnh đạo tổ chức Hệ thống ISMS, bao gồm yêu cầu cam kết, tâm Ban lãnh đạo việc xây dựng trì hệ thống; yêu cầu việc cung cấp nguồn lực, tài để vận hành hệ thống  Điều khoản - Lập kế hoạch: Tổ chức cần định nghĩa áp dụng quy trình đánh giá rủi ro, từ đưa quy trình xử lý Điều khoản đưa yêu cầu việc thiết lập mục tiêu ATTT kế hoạch để đạt mục tiêu  Điều khoản - Hỗ trợ: yêu cầu việc tổ chức đào tạo, truyền thông, nâng cao nhận thức cho toàn thể cán bộ, nhân viên tổ chức lĩnh vực ATTT ISMS, số hóa thơng tin  Điều khoản - Vận hành hệ thống: Tổ chức cần có kế hoạch vận hành quản lý để đạt mục tiêu đề Đồng thời cần định đánh giá rủi ro ATTT có kế hoạch xử lý  Điều khoản - Đánh giá hiệu hệ thống: Quy định trách nhiệm Ban lãnh đạo việc định kỳ xem xét, đánh giá Hệ thống ISMS tổ chức Phần đưa yêu cầu kỳ xem xét hệ thống, đảm bảo đánh giá toàn hoạt động hệ thống, đo lường hiệu biện pháp thực có kế hoạch khắc phục, nâng cấp hệ thống cho phù hợp với thay đổi hoạt động tổ chức  Điều khoản 10 - Cải tiến hệ thống: Giữ vững nguyên tắc Kế hoạch - Thực - Kiểm tra - Hành động (P-D-C-A), tiêu chuẩn đưa yêu cầu đảm bảo Hệ thống ISMS khơng ngừng cải tiến q trình hoạt động Gồm quy định việc áp dụng sách mới, hoạt động khắc phục, phòng ngừa điểm yếu xảy tiềm tàng để đảm bảo hiệu Hệ thống ISMS Quy trình triển khai tiêu chuẩn ISO 27001  Bước 1: Khảo sát lập kế hoạch  Bước 2: Xác định phương pháp quản lý rủi ro ATTT  Bước 3: Xây dựng hệ thống đảm bảo ATTT đơn vị  Bước 4: Triển khai áp dụng: biện pháp lựa chọn, đáp ứng sách, quy định, quy trình xây dựng yêu cầu tiêu chuẩn ISO 27001  Bước 5: Đánh giá nội bộ: khắc phục điểm không phù hợp với quy định tổ chức yêu cầu tiêu chuẩn Sau thực xong bước 5, tổ chức mời đơn vị độc lập để đánh giá cấp Chứng nhận phù hợp với tiêu chuẩn ISO 2701:2013 cho Hệ thống quản lý ATTT xây dựng DN nhận CC ATTT theo tiêu chuẩn ISO/IEC 27001:2013  Công ty Cổ phần Dịch vụ Công nghệ Tin học HPT – 12/05/2014  Ngân hàng VIETCOMBANK - 12/12/2014 (NH đầu tiên)  Tập đoàn Bảo Việt – 23/1/2016  Trung tâm Internet Việt Nam (VNNIC) - 02/7/2015  Ngân hàng TMCP Sài Gòn - Hà Nội (SHB) - 20/11/2015  Trung tâm liệu VNPT (VNPT Data) – 1/9/2016  Ngân hàng TMCP Quân đội (MB) - 04/2017  Tình LO4 (gợi ý dành cho sinh viên, đề thi cho tình khác tương tự) Tình 1: Để phục vụ cho nhu cầu học tập tra cứu cán bộ, giảng viên sinh viên trường, nhà trường xây dựng hệ thống thư viện trực tuyến www.thuviendientu.iuh.edu.vn, hệ thống giúp độc giả 20 (cán bộ, giảng viên sinh viên trường) tìm kiếm loại sách, báo, tạp chí,… Đối với tài liệu điện tử độc giả đọc trực tuyến tải về, sách thư viện độc giả đăng ký mượn Độc giả yêu cầu mua loại tài liệu điện tử tốn phí mua trực tuyến Hệ thống giúp cho thủ thư quản lý thông tin mượn trả sách độc giả, hệ thống cịn có tính thơng báo nhắc nhở đến hạn trả sách email, tạo báo cáo, thống kê Yêu cầu: Với tình cho, bạn Chỉ loại thơng tin/dữ liệu/chức cần nâng cao tính an tồn nêu lý + Chức toán trực tuyến cần nâng cao tính an tồn vì: thơng tin toán thường liên quan đến tài khoản ngân hàng, ví tốn điện tử, hội cho nhiều đối tượng xấu có hội trục lợi, thơng tin tên, số tk ngân hàng, số tiền tài khoản, thời điểm giao dịch tốn, thơng tin vô quan trọng bị đối tượng xấu lấy gặp nhiều phiền phức, chúng làm giả thẻ, đăng nhập tk, giả vờ chuyển nhằm tiền vào tài khoản chiếm đoạt tài sản, +dữ liệu: thông tin cá nhân người người đăng nhập vào hệ thống tên, email, mssv, mật khẩu, vì: Khi biết họ tên, mssv, mật khẩu, kẻ xấu dùng với mục đích phá hoại, lừa đảo làm uy tín danh dự người bị hại, biết số điện thoại hay email, kẻ xấu tìm từ Internet hình ảnh, ngày tháng năm sinh, nơi ở… mà cá nhân khai báo, để lại Website ứng dụng từ thơng tin thu thập được, kẻ xấu sử dụng để lừa đảo, mạo danh để chiếm đoạt tài sản từ bạn bè, gia đình, ngồi số điện thoại, email bị kẻ xấu bán cho bên thứ với mục đích quản cáo, gây ảnh hưởng tới sống Đưa giải pháp (chữ ký số, xác thực điều khiểu truy cập mật (fixed password, OTP), thẻ từ, camera, sinh trắc học (vân tay khn mặt, ngơi,…)) để cài đặt nâng cao tính an tồn cho loại thơng tin/dữ liệu/chức nêu lý phương pháp pháp hữu hiệu + Chức toán trực tuyến Giải pháp: bảo mật lớp; lớp 1: dùng fixed pass tên người dùng; Lớp 2: xác thực mã SMS OPT Fixed password: loại mật dùng để bảo vệ tài khoản thuộc cá nhân người dùng, có hiệu lực lâu dài thay đổi người dùng định thay mật Sms otp: Đây hình thức cung cấp mã OTP phổ biến Mã OTP gửi tin nhắn SMS số điện thoại đăng ký Để thực giao dịch bạn cần phải nhập mã OTP gửi số điện thoại đăng ký Đa số ngân hàng Việt Nam có sử dụng mã OTP theo hình thức Giải thích: Mật tên người dùng app ngân hàng ví điện tử người dùng đăng ký app trước đó, muốn mua tài liệu điện tử người mua cần đăng nhập vào ví, ngân hàng tên mật khẩu, chấp nhận tốn mã sms gửi sdt dk ngân hàng, ví điện tử, người mua nhập mã gửi để xác nhận hoàn thành việc mua tài liệu Ưu điểm fixed pass: Khi sử dụng mật mạnh tạo lớp bảo mật chắn 21 Ưu điểm sms otp: +Dịch vụ gửi SMS OTP rẻ hợp túi tiền +Cần có phần cứng bổ sung để gửi SMS OTP +Một tỷ lệ cao dân số có điện thoại di động nhận SMS otp Lý phương pháp bảo mật lớp hữu hiệu nhất: dễ dàng, nhanh chóng thực hiện, phổ biến rộng rãi, bảo mật lớp nâng cao tính bảo mật cho thơng tin tài khoản toán trực tuyến, fixed pass sms otp mang lại nhiều lợi ích, - Dữ liệu: Thơng tin người dùng Giải pháp: xác thực vân tay Vân tay: quét vân tay phương thức xác thực sinh trắc học phổ biến dễ tiếp cận nhất, quét vân tay công nghệ sinh trắc học phổ biến sử dụng nhiều cho người tiêu dùng hàng ngày Giải thích: lần đầu đăng nhập vào hệ thống người dùng đăng nhập mật mà trường cung cấp cho sinh viên, giảng viên, sau người dùng tiến hành cài đặt vân tay để thuận tiện cho lần đăng nhập sau Lợi ích: -Có khả cải thiện tính bảo mật, kiểm sốt truy cập an tồn, thoải mái, tránh để lộ thông tin người dùng cho tội phạm mạng -Là giải pháp bảo mật đại phức tạp, có độ xác gần tuyệt đối trình xác thực -So với phương pháp xác thực truyền thống, bảo mật sinh trắc học vân tay có thao tác thực nhanh hơn, người dùng hạn chế tình trạng quên chuỗi mật dài phức tạp trước -Khắc phục tượng tải thông tin đăng nhập ứng dụng thiết bị khác -Xác thực sinh trắc học vân tay có tính linh hoạt, dễ đăng ký triển khai sử dụng Lý pp bảo mật vân tay hữu hiệu nhất: dễ dàng, nhanh chóng thực nhiều lợi ích khác, biện pháp bảo mật ngày phổ biến, người có dấu vân tay riêng biệt nên tạo nên bảo mật gần tuyệt đối, đặc điểm sinh học nên khó chép, khơng có tình trạng qn vân tay, Tình 2: Để phục vụ nhu cầu học tập nghiên cứu cán bộ, giảng viên sinh viên trường (gọi chung độc giả), nhà trường trang bị phòng đọc sách cho độc giả Phịng có trang bị máy lạnh, bàn ghế, wifi, 100 máy tính để bàn Sinh viên tự vào phịng đọc sách khoảng thời gian thư viện mở cửa để ngồi đọc sách, học tập nghiên cứu dùng máy tính Các máy tính dùng để học tập/nghiên cứu khơng cho phép chơi game Yêu cầu: Theo bạn để kiểm soát, chứng thực theo dõi vào phòng đọc sách độc giả cách tự động dùng phương pháp (chữ ký số, xác thực điều khiểu truy cập mật (fixed password, OTP), thẻ từ, camera, sinh trắc học (vân tay khuôn mặt, ngơi,…)) để kiểm soát nêu lý phương pháp hữu hiệu nhất? 22 Phương pháp: kết hợp Thẻ từ + camera - thẻ từ: Thẻ từ loại mà gắn dải băng từ kim loại bề mặt Thẻ từ có khả ghi lưu thông tin lên dải từ Nên thẻ từ ứng dụng cho hệ thống nhân dạng Ứng dụng quản lý tự động, toán điện tử, kiểm soát vào, chấm cơng nhân viên Mở khóa phịng khách sạn, mở khóa cửa nhà, kiểm soát vào thang máy, trường học, - camera: hệ thống truyền hình mạch kín, việc sử dụng máy quay video để truyền tín hiệu đến địa điểm cụ thể, hình giới hạn, camera cịn gọi hệ thống video giám sát Cài đặt: Cửa vào đóng mở thẻ từ + camera cửa vào Lý do: SV, GV, CBCNV có thẻ SV GV, CBCNV, có thẻ tử ln thuận tiện vừa thẻ để kiểm soát vừa thẻ để mở cửa phịng đọc sách  tốn chi phí Cùng nhièu lợi ích khác: thẻ từ vừa làm thẻ vào phòng đọc sách, vào trường, minh chứng kỳ thi, hỗ trợ chi phí sử dụng phương tiện công cộng, + Số lượng thẻ từ quản lý lớn tương ứng số người quản lý Chúng hợp mơitrường có số người vào lớn, nhà trường đông sinh viên + Thông thường thời gian đọc thẻ diễn chưa đến 1s/ lượt quẹt thẻ Tốc độ nhanhhơn nhiều so với việc dùng vân tay hay khuôn mặt Nhờ số người tập chung vào lớntrong thời điểm xếp hàng chờ đợi lâu + Chỉ cần dùng thẻ để quẹt đến nơi làm việc vào Những thẻ sử dụng hồn tồnkhơng bị ảnh hưởng môi trường hay thời tiết Đây điểm hạn chế côngnghệ nhận diện vân tay + Mỗi thẻ có ID riêng khơng trùng lặp Khi thẻ thẻ bị vơ hiệu quálập tức nên không cần lo lắng kẻ xấu nhặt Sinh trắc họcmặc dù an toàn thẻ từ tốn nhiều chi phí, -Các thiết bị xác thực sinh trắc học thường có chi phí đắt so với thiết bị nhập mật truyền thống -Nhận dạng sinh trắc học khơng xác 100% Ví dụ: Máy xác thực sinh trắc học không nhận diện giọng nói người dùng bị cảm cúm không nhận diện khuôn mặt người dùng tăng/giảm cân, trang điểm, -Gây ảnh hưởng đến quyền riêng tư người sử dụng Lý có camera: thiết bi ngày đc sử dụng rộng rãi, giá thành hợp lý, đáp ứng nhu cầu giám sát hoạt động vào người sử dụng phịng đọc sách, xảy tình cần trích xuất camera để phát thời điểm vào đối tượng cần truy xuất, hạn chế xâm nhập kẻ xấu vào phòng đọc sách, giảm lo cho sinh viên, gv, đem lại đại, tiện dụng định, xác định thời gain vào người sử dụng Theo bạn để chứng thức, kiểm soát theo dõi việc sử dụng wifi thiết bị máy móc phịng đọc sách dùng phương pháp (chữ ký số, xác thực điều khiểu truy cập mật (fixed password, OTP), thẻ từ, camera, sinh trắc học (vân tay khuôn mặt, ngơi,…)) nêu lý phương pháp hữu hiệu nhất? 23 Kết hợp: Username + PW, Camera Username: tên người dùng, tên tên người dùng mssv, msgv, Password: Password hay mật chuỗi ký tự sử dụng phổ biến dịch vụ internet, hệ thống máy tính hay phần mềm ứng dụng Nó giúp cho người dùng bảo vệ riêng tư hạn chế tối đa khả truy cập bất hợp pháp từ người khác Pss thường trường cung cấp sau người dùng đăng ký đổi lại pass khác cho dễ nhớ Lợi ích pass: xác định danh tính người đăng nhập vào wf, máy tính, thiết bị, xác định thời gian đăng nhập xác, quản lý truy cập sử dụng phần mềm, - Camera : hệ thống truyền hình mạch kín, việc sử dụng máy quay video để truyền tín hiệu đến địa điểm cụ thể, hình giới hạn, camera gọi hệ thống video giám sát Lợi ích camera: giám sát q trình sử dụng máy tính, thiết bị, , kiểm sốt truy cập, làm minh chứng có cố xảy ra, ngăn chặn kịp thời hành vi phá hoại, sử dụng thiết bị, wifi với mục đích khơng lành mạnh, ảnh hưởng tới người khác thiết bị khác, Tình 3: Giả sử khoa Kế toán trường IUH trang bị ‘Phịng mơ thực hành quy trình nghiệp vụ Kế tốn – Tài – Tín dụng’ (gồm 30 máy tính) dùng để phục vụ cho việc học tập nghiên cứu thành viên câu lạc Kế_Tài_Ngân_Club Phòng máy gồm máy chủ (server), nhiều máy trạm (work station) máy in (printer) cài đặt phần mềm kế tốn, tài & ngân hàng thành viên câu lạc vào sử dụng để nghiên cứu học tập Khoa mong muốn phòng máy cài đặt cấu hình mà thành viên vào sử dụng tài nguyên cách thuận tiện có chế theo dõi cách tự động Theo bạn, phòng máy nên dùng phương pháp (chữ ký số, xác thực điều khiểu truy cập mật (fixed password, OTP), thẻ từ, camera, sinh trắc học (vân tay khn mặt, ngơi,…)) mà thành viên vào cách thuận tiện kiểm sốt cần thiết Bạn mơ tả giải pháp cách chi tiết nêu lý giải pháp hợp lý Sinh trắc học vân tay, camera Thẻ từ, camera Thiết kế cửa vào: kiểm soát Sinh trắc học vân tay, camera - Theo em phòng máy nên dùng phương pháp sinh trắc học vân tay để thành viên có thểra vào cách thuận tiện kiểm soát cần thiết Nguyên lý hoạt động giải pháp ứng dụng cơng nghệ tĩnh mạch ngón tay: Ánh sáng hồng ngoại chiếu xuyên qua ngón tay, hồng huyết cầu hấp thu ánh sáng này, camera chụplại cấu trúc mạng tĩnh mạch số hóa nó, lưu lại so sánh với mã hồ sơ định danh lưu hệthống để nhận diện Với nguyên lý trên, cơng nghệ có tính bảo mật độ xác cao bảo mật xác thựcdanh tính Một so sánh cụ thể, phương pháp xác thực định danh qua tĩnh mạch có sốFAR, False 24 Acceptance Rate: tỷ lệ nhận diện sai cỡ < 0,0001%, FR, False Rejection Rate: tỷ lệ từchối sai cỡ 0.01% đó, phương pháp phổ biến nay, nhận diện qua vân tay có sốFAR cỡ 3~4% Cơng nghệ tĩnh mạch ngón tay đạt u cầu chống giả mạo, nhờ phương pháp sinh trắc học vơ hìnhdưới điều kiện đặc biệt Nó đảm bảo mạch máu sống hữu, mà nhờ ngăn cản sựgiả mạo Các kiểu dạng mạch máu tĩnh mạch rõ ràng đặc trưng, giải thích xác cho độchính xác cao giải pháp Các nghiên cứu ghi nhận có khác biệt lớn mẫu hình vềkiểu loại tĩnh mạch, làm sở cho không trùng lặp tĩnh mạch Thêm vào kiểudạng tĩnh mạch khơng thay đổi suốt thời gian sống kể từ người trưởng thành Theo bạn, để kiểm sốt việc sử dụng thiết bị, ứng dụng cài đặt phịng mơ thể dùng phương pháp (chữ ký số, xác thực điều khiểu truy cập mật (fixed password, OTP), thẻ từ, camera, sinh trắc học (vân tay khuôn mặt, ngơi,…)) nêu lý giải pháp hợp lý nhất? Username PW, camera Để kiểm sốt việc sử dụng tiết bị, ứng dụng cài đặt phòng mơ phỏngchúng ta dùng phương pháp xác thực điều khiển truy cập mật - Đây giải pháp hợp lí Điều khiển truy nhập q trình mà người dùng đượcnhận dạng trao quyền truy nhập đến thông tin, hệ thống tài nguyên Điều khiển truycập tạo nên khả cho cấp phép từ chối chủ thể - thực thể chủđộng, chẳng hạn người hay quy trình - sử dụng đối tượng - thực thểthụ động, chẳng hạn hệ thống, tập tin - hệ thống Tình 4: Hiện ngân hàng lớn cung cấp dịch vụ Internet banking - dịch vụ mang lại nhiều tiện ích thiết thực như: tốn, gửi tiết kiệm online mua sắm trực tuyến đâu, mà không cần tới quầy giao dịch Tất Internet banking cấu hình cài đặt bảo mật hai lớp Bạn cho ví dụ internet banking ngân hàng mà bạn biết có bảo mật hai lớp Hai lớp bảo mật gì? Hãy mơ tả phương pháp bảo mật sử dụng lớp bảo mật internet banking ngân hàng Techcombank: Internet Banking Techcombank dịch vụ ngân hàng điện tử Techcombank Khách hàng sử dụng ứng dụng F@st Mobile website F@st iBank, thực cập nhật tài khoản quản lý thẻ ngân hàng, giao dịch Với Internet Banking, khách hàng thực giao dịch tốn trực tuyến mà khơng tốn thời gian di chuyển đến phòng giao dịch Lợi ích bảo mật lớp: Giúp cho liệu bạn khó bị “bẻ khóa” Giúp ngăn ngừa hậu liệu bị rò rĩ Cảnh báo nguy bị xâm nhập 25 2 lớp bảo mật: sinh trắc học vân tay, Smart OTP Sinh trắc học vân tay: quét vân tay phương thức xác thực sinh trắc học phổ biến dễ tiếp cận nhất, quét vân tay công nghệ sinh trắc học phổ biến sử dụng nhiều cho người tiêu dùng hàng ngày Mơ tả: vân tay đăng ký sau tải app Techcombank, đăng nhập app mật ngân hàng cung cấp thay đổi trước đó, nhấn vào đăng ký vân tay, sau tiến hành bước đăng ký, lần sau đăng nhập vào app vân tay cách nhanh chống, vào app đẻ thực bước đầu chuyển khoản, xem số dư tài khoản, thực mục đích khác, vân tay người khác nên tăng tính bảo mật sử dụng internet banking Smart OTP: Đây coi hình thức kết hợp hồn hảo SMS OTP Token Key Smart OTP tích hợp với ứng dụng smartphone Smart OTP gửi ứng dụng xuất yêu cầu giao dịch Hiện nay, techcombank sử dụng hình thức xác thực Smart OTP Ngoài ra, Google áp dụng Smart OTP tạo ứng dụng riêng mang tên Google Authenticator Để sử dụng Smart OTP người dùng cần phải đăng ký với ngân hàng Ngoài ra, khơng thể có nhiều thiết bị sử dụng chung ứng dụng tạo mã OTP Mô tả: muốn thực giao dịch qua internet banking, sau đăng nhập vân tay, nhập thông tin chuyển khoản số tk thụ hưởng, nhập số tièn cần chuyển, nội dung chuyển khoản, nhấn thực Sau nhấn thực app yêu cầu xác nhận vân tay cần nhập mã số đăng ký trước để mở khóa Smart OTP, mã OTP sinh tự động nhập vào để xác thực giao dịch, nhấn xác nhận hoàn thành giao dịch Smart otp giải pháp có mức độ bảo mật cao nay, khả bảo vệ giao dịch đảm bảo 26 ... bảo đối tượng tạo thông tin (nguồn gốc thông tin) đối tượng hợp lệ khai báo (đảm bảo tính tồn vẹn nguồn gốc thơng tin) - Đảm bảo an tồn thông tin xác thực (tên đặng nhập mật không truyền trực tiếp... 6.Công ty cổ phần Hệ thống Thông tin FPT (FPT-CA) 7.Công ty Cổ phần Viễn thông New-Telecom (NEWTEL-CA) Cơng ty Cổ phần Chứng số an tồn (SAFE-CA) Công ty Cổ phần Chữ ký số ViNa (Smartsign) 10 Công... loại ngoại tệ sử dụng + Thông tin ngân hàng: Chọn ngân hàng số tài khoản để trích tiền + Thơng tin quan quản lý thu: Chính thơng tin quan thuế quản lý đơn vị + Thông tin nơi phát sinh khoản thu:

Ngày đăng: 03/07/2022, 10:33

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w