1 Trình bày các khái niệm về tính bí mật, tính sẵn sàng và tính an toàn trong ATTT? Cho ví dụ minh họa Tính bí mật bảo vệ dữ liệu không bị lộ ra ngoài 1 cách trái phép VD Trong hệ thông quản lí sinh viên
1 Trình bày khái niệm tính bí mật, tính sẵn sàng tính an tồn ATTT? Cho ví dụ minh họa - Tính bí mật : bảo vệ liệu khơng bị lộ ngồi cách trái phép VD : Trong hệ thơng quản lí sinh viên, sinh viên xem kết học tập khơng xem thơng tin sinh viên khác - Tính tồn vẹn : có ngi dùng ủy quyền chỉnh sửa thơng tin liệu mục đích : + Ngăn cản biến dạng thông tin người sử dụng không phép + Ngăn cản làm biến dạng nội dung thông tin không phép không chủ tâm nhưcng người sử dụng phép + Duy trì tồn vẹn liệu nội bên VD : Trong hệ thống quản lí sinh viên, khơng cho phép sinh viên chỉnh sửa thơng tin kết học tập - Tính sẵn sàng : đảm bảo liệu trạng thái sẵn sàng có yêu cầu người dùng ứng dụng yêu cầu VD : Trong công ty, cần đảm bảo nhân viên ln truy vấn thơng tin lúc Trình bày số kiểu cơng mạng? - Tấn công chủ động (Active attack) : công ngăn chặn thông tin, công chặn bắt thông tin, công sửa đổi thông tin, chèn thông tin giả mạo - Tấn công bị động (Passive attack) : công chặn bắt thông tin( nghe lén, khai thác nội dung thông điệp, phân tích dịng liệu) Trình bày phân tích nguy ATTT? Cho ví dụ minh họa - Cơ sở hạ tầng mạng : sở hạ tầng không đồng bộ, không đảm bảo yêu cầu thơng tin truyền hệ thống an tồn thông suốt - Thông tin : liệu chưa mơ hình hóa chuẩn hóa theo tiêu chuẩn mặt tổ chức kỹ thuật Yếu tố pháp lý chưa trọng truyền đưa liệu mạng, nghĩa liệu truyền mạng phải đảm bảo tính hợp pháp mặt tổ chức kỹ thuật - Công nghệ : chưa chuẩn hóa loại cơng nghệ, mơ hình kiến trúc tham chiếu nhằm đảm bảo cho tính tương hợp, tính sử dụng lại được, tính mở, an ninh, mở rộng theo phạm vi, tính riêng tư vào HTTT - Con người : hiểu biết người quản lí trực tiếp, vận hành HTTT, xây dựng phát triển hệ thống phần mềm, hệ thống thơng tin cịn chưa đồng chưa theo quy chuẩn quan tổ chức Trình bày phân tích giải pháp bảo đảm ATTT? Cho ví dụ minh họa - Các biện pháp công nghệ (Technology) : bao hàm tất cản cácn biện pháp phần cứng, phần mềm, phần lõi cúng ký thuật công nghệ liên quan áp dụng nhằm đảm bảo u cầu an tồn thơng tin trạng thái - Các biện pháp đào tạo, tập huấn, nâng cao nhận thức (Education, training & Awarenness) : biện pháp công nghệ hay biện pháp tổ chức thích hợp phải dựa biện pháp đào tạo, tập huấn tăng cường nhận thức để triển khai đảm bảo an tồn thơng tin từ nhiều hướng khác Các nhà nghiên cứu, kỹ sư cúng cần hiểu rõ ngun lý an tồn thơng tin, sản phẩm hệ thống mà họ tạo phải đáp ứng yêu cầu độ an toàn sống đặt - Biện phấp hợp tác quốc tế : hợp tác với quốc gia có kinh nghiệm, kế thừa thành tựu khoa học quốc gia trước vấn đề ATTT VD : Trong sống chúng ta, biện pháp ATTT an toàn hiệu đặt mật mạnh, mã hóa liệu, cập nhật phần mềm, cài phầm mềm diệt virut, sử dụng phần mềm có nguồn gốc rõ ràng, kiểm sốt quyền thiết bị Trình bày tổng quan thực trạng ATTT giới Việt Nam? - Việt Nam : Hiện nay, công mạng Việt Nam có xu hướng tăng nhẹ Việt Nam ngày phát triển, hòa nhập giới cách mạng 4.0 Nhưng Việt Nam cịn xem nhẹ chưa có nhiều kỹ sư ATTT, nhiều người dân chưa tiếp xúc nhiều với internet người thiếu hiểu biết internet Do tội phạm thường hay lợi dụng điều để phạm tội.Các công thương nhằm vào hệ thống thông tin,… phần nhỏ đánh cắp trái phép thông tin người dùng Kết luận, thực trạng ATTT Việt Nam đáng báo động - Thế giới : công ngày tăng hết đa phần nhắm vào liệu người dùng Trình bày khái niệm tin tặc tội phạm kỹ thuật - Tin tặc : người hiểu rõ hoạt động hệ thống máy tính, mạng máy tính, viết hay chỉnh sửa phần mềm, phần cứng máy tính để làm thay đổi , chỉnh sửa với nhiều mục đích xấu khác - Tội phạm kỹ thuật : tội phạm cố ý sử dụng tri thức, kiến thức, kỹ năng, công cụ phương tiện công nghệ thông tin tác động trái pháp luật đến thơng tin, liệu, tín hiệu lưu trữ, sử lý , truyền tải thông tin hệ thống mạng máy tính Trình bày số vấn đề tội phạm tin học liên quan đến lạm dụng mạng - Mạo danh, xâm nhập máy tính trái phép để đánh cắp hủy hoại thông tin - Lừa đảo qua mạng (Phishing) : xây dựng hệ thống lừa đảo nhằm đánh cắp thơng tin có giá trị tên đăng nhập, mật khẩu, thông tin thẻ tín dụng, loại hình trở thành hiểm họa cho thương mại điện tử, làm giảm lòng tin giao dịch thương mại điện tử - Thư rác (Spamming) hình thức gửi bừa bãi thư khơng muốn hàng loạt đến người dùng Làm người dùng bị cản trở, khó khăn việc tiếp cận tài liệu công việc - Tấn công từ chối dịch vụ (Denial of Service) : kiểu công làm cho hệ thống máy tính, hệ thống mạng bị tải,… Dẫn đến hệ thống bị tải, hoạt động bình thường Khi đó, máy chủ dịch vụ bị tải có nhiều kết nối yêu cầu tri vấn làm cho khả truy vấn bị hạn chế Trình bày thay đổi mục đích công hệ thống thông tin qua giai đoạn Cho ví dụ minh họa Thời gian trước, cơng nhằm mục địch thí nghiệm, khám phá hệ thống an ninh Hiện nay, mụac đích cơng với nhiều lí khác tài chính, giả mạo , phá hủy, nguy hiểm hết nhằm mục đích trị, mà độ phức tạp công tăng lên tác hại lớn nhiều so với trước đây, cụ thể : 1985 – 1994 : virut máy tính, phát tán thơng qua ổ mềm (floppy disk) 1995 – 1999 : internet viruses, worms phát tán qua email, môi trường mạng Trong giai đoạn trên, động phá hoại chủ yếu mang tính chất cá nhân 2000 – 2006 : Worms, Spyware, Bots, Phishing… công thông qua email, môi trường mạng, wedsite 2007 – : Social networking, công ứng dụng, gián điệp,… Các giai đoạn cơng có mục đích rõ ràng thương hướng vào mục tiêu tài Trình bày số vấn đề sở hữu trí tuệ luật quyền? Nêu số biện pháp sinh viên thực việc tơn trọng quyền sở hữu trí tuệ học tập cơng việc Sở hữu trí tuệ hiểu tài sản trí tuệ, nhứng sản phẩm sáng tạo óc người Đó tác phẩm văn học, âm nhạc, phần mềm máy tính, phát minh, sáng chế, giải pháp hữu ích,… Các đối tượng quyền sở hữu trí tuệ : quyền, sáng chế, thương hiệu, kiểu dáng cơng nghiệp, dẫn địa lí, Một số biện pháp sinh viên làm để thể việc tôn trọng quyền sở hữu trí tuệ học tập cơng việc + Khi ta làm mà có sử dụng tác phẩm người khác ta phải trích nguồn tác giả + Không đem dự án, phần mềm người khác cơng bố hay thi mà chưa có đồng ý người khác + Không mạo danh sản phẩm người khác 10 Trưởng phòng Quản trị mạng máy tính cơng ty gọi điện thoại u cầu nhân viên phòng Quan hệ khách hàng cung cấp username password để làm báo cáo tổng hợp gởi Giám đốc Theo sinh viên, nhân viên phòng Quan hệ khách hàng có cung cấp thơng tin username password hay khơng? Giải thích lí do? Theo em, nhân viên phịng Quan hệ khách hàng khơng cung cấp thơng tin username password khách hàng cho Trưởng phòng Quản trị mạng máy tính vi phạm vấn đề an tồn thơng tin, cụ thể tính bảo mật Nhân viên phòng Quan hệ khách hàng cung cấp thơng tin mà có cho phép khách hàng không đưa cách trái phép mà chưa có đồng ý chủ tài khoản 11 Tuấn nhận email lạ chúc mừng sinh nhật từ người lạ, đính kèm thiệp Một người bạn Tuấn khun xóa email mà khơng cần hỏi ý kiến phận IT, lời khuyên hay sai? Vì sao? Người bạn Tuấn nói Vì nhứng email mà khơng biết nên xóa để bảo đảm an tồn email cơng hacker mà ta để q lâu cơng giành quyền sử dụng ưmail gây điều bất lợi với tài liệu nội công ty, thông tin cá nhân, đời tư,… 12 Màn hình desktop bạn đột ngột có di chuyển trỏ chuột, di chuyển khơng có tác động người sử dụng bất thường Sinh viên nghĩ đến vấn đề gì? Khi mà hình Desktop có di chuyển đột ngột trỏ chuột di chuyển khơng có tác động người sử dụng, bất thường máy tính bị hacker công chiếm quyền điều khiển máy tính Khi ta nên đem máy tiệm sửa đưa lên công an báo cáo vấn đề cơng máy tính vi phạm đời tư cá nhân 13 Việc trao đổi, chia sẻ facebook trào lưu niên, có việc chia sẻ thơng tin cá nhân thành viên gia đình, hoạt động thường nhật Sinh viên đánh hành động mặt an tồn thơng tin ? Hành động chia sẻ thông tin cá nhân thành viên gia đình nói vấn đề an tồn thơng tin vi phạm tính bí mật thông tin Chúng ta không nên chia sẻ thông tin cách bừa bãi không gian mạng, hacker lợi dụng điều gây bất lợi đến cho gia đình 14 Phương phát mật email cá nhân bị tiết lộ bên ngoài, theo sinh viên, việc làm Phương cần thực đầu tiên? Nếu email cá nhân Phương bị lộ mật cá nhân bên việc Phương phải vào email đổi lại mật khảu, kiểm tra xem hacker làm chưa Cịn email bị hacker chiếm Phương phải thông báo cho bạn bè đồng ngiệp cảnh giác không trả lời hay tin lời email 15 Trình bày lợi ích việc thực tiêu chuẩn an tồn thơng tin ISO/IEC 27001:2013 Lợi ích việc thực tiêu chuẩn an tồn thơng tin ISO//IEC 27001:2013 đảm bảo ATTT tổ chức, đối tác, khách hàng, giúp cho hoạt động tổ chức ln thơng suốt an tồn 16 Cho biết khác Hacker Cracker Sự khác Hacker Cracker : - Hacker mũ trắng hoạt động với mục đích tốt, phạm vi đạo đức pháp luật, Cracker ngược lại - Hacker mũ trắng chống lại mối đe dọa tiềm tàng mà Cracker gây cho hệ thống máy tính Internet Các Hacker chun nghiệp có đủ khả khôi phục thiết lập bảo mật hệ thống mạng bị phá hoại tìm cách nhận diện Cracker - Cracker có kiến thức cách bẻ khóa bảo mật máy tính mạng, họ thường không giỏi Hacker Họ thường tập trung vào kỹ bẻ khóa, xâm nhập, vào hệ thống - Hacker viết phần mềm, chương trình, biết ngơn ngữ kỹ lập trình, hiểu cách thức xây dựng hoạt động phần mềm Ngược lại, Cracker có kỹ để tạo cơng cụ phần mềm Vì vậy, Cracker thường tải chương trình tự động từ trang wed độc hại để thực hành vi 17 Một server cung cấp dịch vụ web internet Server nằm vùng DMZ Người quản trị hệ thống cần mở port tường lửa để bên truy cập vào server này? Khi sever cung cấp dịch vụ wed internet sever nằm vùng mạng DMZ người quản trị hệ thống cần mở port DeMilitary Zone tường lủa để bên truy cập vào sever 18 Liệt kê số u cầu tính an tồn hệ thống phân tán? - Mật mã (cryptography) - Xác thực (authentication) - Ủy quyền (authorization) - Kiểm tốn (auditing) 19 Trình bày cách sử dụng danh sách kiểm soát truy cập (access control lists) sử dụng đại diện cho kiểm soát truy cập ma trận (access control matrices) Liệt kê môi trường mà chúng sử dụng ưu, khuyết điểm 20 Trình bày nguyên tắc leo thang đặc quyền Leo thang đặc quyền định danh tài khoản để giành quyền truy cập cao trực tiếp vào tài ngun khơng có sẵn cho người dùng 21 Trong quan A thường xuyên làm việc với văn mật (bao gồm lưu trữ hồ sơ, công văn đi, đến) Anh/chị đề xuất biện pháp (kỹ thuật, phi kỹ thuật) để tăng mức độ an toàn cho hoạt động quan - Mã hóa tài liệu mà nội biết - Bảo mật token - Chứng thực đa yếu tố - Chứng số - Chứng thực sinh trắc học ... tiện công nghệ thông tin tác động trái pháp luật đến thông tin, liệu, tín hiệu lưu trữ, sử lý , truyền tải thơng tin hệ thống mạng máy tính Trình bày số vấn đề tội phạm tin học liên quan đến lạm... phịng Quan hệ khách hàng không cung cấp thông tin username password khách hàng cho Trưởng phòng Quản trị mạng máy tính vi phạm vấn đề an tồn thơng tin, cụ thể tính bảo mật Nhân viên phịng Quan hệ... hành động mặt an tồn thơng tin ? Hành động chia sẻ thơng tin cá nhân thành viên gia đình nói vấn đề an tồn thơng tin vi phạm tính bí mật thơng tin Chúng ta không nên chia sẻ thông tin cách bừa