Nội dung LO3 Giải thích được các khái niệm cơ bản về An toàn thông tin, hệ mã hóa 1 Chữ ký điện tử là gì? Mục tiêu của chữ ký điện tử? Trình bày hiện trạng áp dụng chữ ký điện tử ở Việt Nam Chữ ký điệ.
Nội dung LO3 - Giải thích khái niệm An tồn thơng tin, hệ mã hóa Chữ ký điện tử gì? Mục tiêu chữ ký điện tử? Trình bày trạng áp dụng chữ ký điện tử Việt Nam - Chữ ký điện tử ứng dụng quan trọng mã hóa khóa cơng khai khơng giúp xác thực thơng điệp mà cịn bảo vệ bên khỏi bên Quy trình sử dụng chữ ký số sau: o Người gửi dùng thuật toán tạo chữ ký (signing algorithm) để ký thông điệp Thông điệp chữ ký gửi cho người nhận o Người nhận dùng thuận toán thẩm tra chữ ký (Verifying algorithm) để thẩm tra o Nếu đúng, thông điệp chấp nhận, ngược lại từ chối thông điệp - Mục tiêu: Nhằm bảo đảm vấn đề toàn vẹn liệu, chống chối bỏ trách nhiệm ký Chữ ký điện tử mở đường cho dịch vụ có độ tin cậy cao - Hiện trạng: Theo “Báo cáo tình hình phát triển ứng dụng chữ ký số Việt Nam năm 2018”, tính đến thời điểm 31/3/2019 có: o 703.753 DN sử dụng chữ ký số lĩnh vực thuế tổng số 711.748 DN hoạt động, đạt tỷ lệ 98,87%, tăng 55.623 tổ chức, doanh nghiệp so với năm 2018; o 232.431 DN sử dụng chữ ký số hoạt động lĩnh vực hải quan, tăng 90.338 doanh nghiệp so với năm 2018 o 441.096 doanh nghiệp sử dụng chữ ký số kê khai bảo hiểm xã hội, tăng 231.678 doanh nghiệp so với năm 2016 o 2.824 DN dùng chữ ký số lĩnh vực chứng khoán, năm 2018 2.815 Đưa hệ thống thông tin trang web thực tế Việt Nam mà có sử dụng chữ ký điện tử? Nghiệp vụ hệ thống có sử dụng chữ ký số? Trình bày bước cụ thể để người dùng hệ thống thực nghiệp vụ có sử dụng chữ ký số (gợi ý: Website quan Thuế, Website quan Hải quan, Website quan Bảo hiểm xã hội, ) - Một hệ thống thông tin trang web thực tế Việt Nam: Website quan thuế: http://thuedientu.gdt.gov.vn - Nghiệp vụ hệ thống sử dụng chữ kí số: Sử dụng chữ ký số để kê khai thuế điện tử nộp thuế điện tử Trang thông tin điện tử Tổng cục Thuế Việt Nam - Các bước cụ thể: Sau nhận USB token mật từ nhà cung cấp CKS, bạn cần thực bước để sử dụng chữ ký số kê khai Hải quan điện tử: Bước 1: Cài đặt USB Token chữ ký số Cắm thiết bị Chữ ký số (USB Token) vào cổng USB máy tính Sau cắm thiết bị USB Token vào máy tính cửa sổ cài đặt xuất bạn chọn “Run” để tiến hành cài đặt driver cho thiết bị Bước 2: Đăng ký Chữ ký số với quan Hải quan Truy cập vào Website Tổng cục Hải quan Việt Nam địa chỉ: http://www.customs.gov.vn, sau chọn mục “Đăng ký Doanh nghiệp sử dụng chữ ký số” Đăng nhập: Mã doanh nghiệp: nhập mã số thuế doanh nghiệp Số CMT: (Doanh nghiệp nước: số chứng minh nhân dân/ cước công dân số hộ chiếu thể Giấy Chứng nhận ĐKKD doanh nghiệp Doanh nghiệp có vốn đầu tư nước ngồi: số chứng minh nhân dân/ cước công dân số hộ chiếu người đại diện pháp luật) Nhập dãy số xác nhận Bấm chọn mục “Xem thông tin” Xem thông tin chứng thư số: Khi giao diện “Doanh nghiệp đăng ký chữ ký số” ra, bạn chọn nút “Xem thông tin chứng thư số”, hệ thống tự động xuất thông tin USB Token, sau bạn nhập lại thời hạn sử dụng chữ ký số vào trường: Ngày hiệu lực đăng ký, Ngày hết hiệu lực đăng ký Trong đó: Ngày hiệu lực đăng ký: Để ngày để ngày mặc định hiển thị hệ thống Ngày hết hiệu lực đăng ký: Nhập giống ngày hết hạn Chữ ký số Lưu ý: USB Token phải cắm vào máy tính trước chọn vào mục “Xem thông tin Chứng thư số” Sau điền đầy đủ thông tin, bạn chọn “Đăng ký thông tin” để hoàn thành thủ tục đăng ký Chữ ký số với Cơ quan Hải quan Thông báo Cập nhật thành cơng xuất hiện, bấm chọn “OK” để hồn thành thủ tục đăng ký chữ ký số với Cơ quan Hải quan Website Tổng cục Hải quan Bước 3: Thiết lập chữ ký số phần mềm Hải quan điện tử Thiết lập chữ ký số phần mềm hải quan điện tử ECUS Trên giao diện phần mềm Hải quan điện tử ECUS, bạn lựa chọn menu “Hệ thống”, sau chọn “Thiết lập thông số khai báo” để mở cửa sổ “Thiết lập thông số khai báo” Khi cửa số “Thiết lập thông số khai báo” bạn tick vào ô “Áp dụng chữ ký số khai báo” Tiếp theo chọn “Đồng ý” để hoàn tất việc thiết lập chữ ký số phần mềm Hải quan điện tử ECUS Thiết lập chữ ký số phần mềm hải quan điện tử CDS Live+ Trên giao diện phần mềm Hải quan điện tử CDS Live+, bạn chọn mục “Hệ thống”, sau chọn chức “Tài khoản Hải quan”, chọn “Danh sách tài khoản” Khi cửa sổ Danh sách tài khoản Hải quan Phần Version khai TQĐT: bạn chọn Version 3.0 Phần Cấu hình chữ ký số: bạn chọn tên CKS sử dụng Bước 4: Sử dụng Chữ ký số để kê khai Hải quan điện tử Bước hướng dẫn bạn sử dụng Chữ ký số để kê khai Hải quan điện tử với phần mềm ECUS (Các phần mềm khác sử dụng tương tự phần mềm ECUS) Tạo tờ khai cách thông thường Sau tạo xong tờ khai, bạn bấm vào nút “Khai báo”, cửa sổ “Thông báo” bạn chọn “Yes” để đồng ý áp dụng Chữ ký số Cửa sổ Verify User PIN xuất hiện: bạn nhập mã PIN USB Token vào ô Mật Nhập lại mật để tiến hành ký lên tờ khai Sau ký điện tử, nhận kết cấp số phân luồng tờ khai Chứng thư số gì? Mục tiêu chứng thư số? Hiện Việt Nam có đơn vị cung cấp dịch vụ chứng thư số? - - - Chứng thư số văn cung cấp khóa cơng khai cung cấp quản lý tổ chức gọi nhà cung cấp chứng (certificate authority, hay viết tắt CA) hoạt động nhờ vào nguyên lý bên thứ ba tin cậy Mục tiêu chứng thư số: o Là chứng thực để gắn chìa khóa cơng khai với thực thể (cá nhân, máy chủ, cty, ) Hay nói cách khác, chứng thư số giúp xác định chìa khóa cơng khai thuộc thực thể o Nhằm cung cấp PU người sử dụng o Hỗ trợ ký số loại văn bản, tài liệu, hợp đồng, hóa đơn,… file doc, pdf tệp tài liệu o Mã hóa thơng tin để đảm bảo bí mật người gửi người nhận thông qua mạng internet o Thực kênh liên lạc trao đổi thông tin bí mật với thực thể khác mạng Các đơn vị cung cấp dịch vụ chứng thư số Việt Nam là: Cơ quan thuế, Văn phòng Chính Phủ 1.VINA-CA 2.VIETTEL-CA 3.BKAV-CA 4.VNPT-CA 5.NEWTEL-CA 6.NACENCOMMSCT-CA 7.FPT-CA 8.CK-CA 9.SAFECERT-CA(?) Chứng thư số gì? Nội dung có chứng thư số gồm nội dung gì? - Chứng thư số văn cung cấp khóa cơng khai cung cấp quản lý tổ chức gọi nhà cung cấp chứng (certificate authority, hay viết tắt CA) hoạt động nhờ vào nguyên lý bên thứ ba tin cậy - Nội dung chứng thư số: Một chứng thư số thường gồm chìa khóa cơng khai số thơng tin khác thực thể sở hữu chìa khóa Cụ thể nội dung chứng thư số bao gồm: (chép 2) o Tên tổ chức cung cấp dịch vụ chứng thực chữ ký số o Tên thuê bao o Số hiệu chứng thư số o Thời hạn có hiệu lực chứng thư số o Khóa công khai thuê bao o Chữ ký số tổ chức cung cấp dịch vụ chứng thực chữ ký số o Các hạn chế mục đích, phạm vi sử dụng chứng thư số o Các hạn chế trách nhiệm pháp lý tổ chức cung cấp dịch vụ chứng thực chữ ký số o Thuật toán mật mã o Các nội dung cần thiết khác theo quy định Bộ Thông tin Truyền thông hoặc: o Version: Chỉ định phiên chứng nhận X 509 o Serial Number: Số loạt phát hành gán CA Mlo64i CA nên gán mã số loại cho giấn chứng nhận mà phát hành o Signature Algorithm ID: Chỉ rõ thuật toán tạo chữ ký mà CA sử dụng để ký giấy chứng nhận o Issuer Name: Tên tổ chức CA phát hành chứng thư số Hai CA khác không dùng tên phát hành o Validity Period: Gồm hai giá trị định khoảng thời gian mà giấy chứng nhận có hiệu lực o Subject Name: Tên chủ thể cấp chứng thực o Public key: Khóa cơng khai chủ thể chứng thực o Signature: Chữ ký số tổ chức CA áp dụng Chứng thực thực thể gì? Trình phương pháp mà bạn biết mà cài đặt để chứng thực thực thể - Chứng thực thực thể kỹ thuật thiết kế cho phép bên (party) chứng minh nhận dạng (identity) bên khác - Phương pháp cài đặt chứng thực thực thể: o Chứng thực Password: Là phương pháp đơn giản lâu đời nhất, gọi Password-based Authentication, password thứ mà người dùng biết Khi đăng nhập vào hệ thống, người dùng yêu cầu: Xác định danh tính – định danh người dùng (user identification) công khai Cung cấp thông tin xác thực password bí mật o Chứng thực Sinh trắc học: Sinh trắc học (Biometric) phép đo lường đặc tính sinh lý học hành vi học mà nhận dạng người đo lường đặc tính mà khơng thể đốn, ăn cắp chia sẻ Chứng thực (Authentcation) thực thẩm tra (Verification) nhận dạng (identication) Chúng ta nên chọn kỹ thuật sinh trắc học phù hợp cho ứng dụng Ưu điểm loại chứng thực là: bị đánh cắp bỏ quên, chia sẻ đặc tính sinh trắc học quán vĩnh cữu, chứng thực không yêu cầu phải nhớ mà luôn sẵn dùng cho cá nhân Nhược điểm là: Chi phí xây dựng thiết bị chứng thực thuật tốn chứng thực đắt đỏ, ln tồn lỗi định từ chối người dùng hợp lệ đặc tính sinh học người đăng ký thay đổi hay độ xác thuật tốn sinh trắc khơng tối ưu, hay tệ chấp nhận người dùng hợp lệ độ xác thuật tốn chưa tốt Điều khiển truy cập gì? Trình bày phương pháp mà bạn biết mà cài đặt điều khiển truy cập hệ thống thông tin - Điều khiến truy cập chế hệ thống thông tin cho phép hạn chế truy cập đến liệu thiết bị - Phương pháp cài đặt điều khiển truy cập hệ thống thông tin: o Phân quyền cho người dùng: sinh viên tra điểm, GV nhập điểm o Phân quyền với đối tượng đó: ví dụ file hệ thống file mở không sửa đổi chép Mật (password) gì? Mật cố định (fixed password) mật dùng lần (one time password) khác nào? Trình bày điểm mạnh điểm yếu loại mật - Password hay mật chuỗi ký tự sử dụng phổ biến dịch vụ internet, hệ thống máy tính hay phần mềm ứng dụng Nó giúp cho người dùng bảo vệ riêng tư hạn chế tối đa khả truy cập bất hợp pháp từ người khác - Sự khác mật cố định mật dùng lần: Mật cố định - Là password dùng lặp lặp lại lần truy xuất - Vẫn giữ nguyên cố định ta không thay đổi mật - Mật cố định thường dùng ở: … (KB) - Rất thô sơ, User ID Password lưu tập tin Mật dùng lần - Là mật sử dụng lần gồm dãy ký tự chữ số ngẫu nhiên gửi đến số điện thoại nhằm xác nhận giao dịch - Mã OTP dùng làm bảo mật lớp giao dịch xác minh đăng nhập Sau 30s đến phút, mã OPT lại bị thay đổi lần - Mật dung lần thường dung giao dịch với tài khoản ngân hàng,… - Được xác nhận bổ sung thực giao dịch, toán qua Internet Điểm mạnh điểm yếu loại mật khẩu: Mật cố định (fixed password) Điểm mạnh: Vì mât sử dụng lặp lặp lại lần truy xuất nên người dụng dễ dàng ghi nhớ (KB) Điểm yếu: Yếu điểm mật có liên quan đền trí nhớ người: Con người nhớ số lượng mật định Nếu mật dài, phức tạp đem lại hiệu tốt người ta lại khó nhớ Mỗi tài khoản có mật khác Chính sách an tồn mật địi hỏi mật có hiệu lực khoảng thời gian: Người dùng ghi nhớ mật nhiều lần Người dùng thường chọn đường tắc là: Dùng mật yếu hay sử dùng mật cho nhiều tài khoản Kẻ xấu cơng mật gây nên hậu nặng nề như: Kỹ nghệ xã hội: Lừa đảo, nhìn trơm, lục lọi Chụp Trình theo dõi thao tác bàn phím, phân tích giao thức Tấn cơng “man in the middle Dị vét cạn Tấn công dùng tự điển Mật dùng lần (one time password) (KB) Điểm mạnh: Mã OTP dùng làm bảo mật lớp giao dịch xác minh đăng nhập nên giảm thiểu tối đa rủi ro bị công lộ mật hay tin tặc công khả bổ sung thêm lớp bảo mật cho tài khoản toán Cách sử dụng đơn giản, dễ hiểu, tiện lợi Mức phí dịch vụ thấp Phổ biến nhiều hình thức xác minh chủ thể giao dịch ngân hàng, tạo tài khoản mạng xã hội, tạo tài khoản email… Điểm yếu: Mã OTP bị lộ chủ tài khoản không giữ thông tin cẩn thận Giao dịch thông qua hệ thống internet bị hacker cơng Với hình thức OTP Token, bảo mật phải trả thêm chi phí làm máy Token Trình bày loại mã OTP, nêu ưu điểm nhược điểm loại Những loại mã OTP phổ biến nay: SMS OTP, TOKEN KEY (TOKEN CARD), SMART OTP – SMART TOKEN SMS OTP Ưu điểm: o Làm lớp thứ bảo vệ đăng nhập hay tốn giao dịch o Thời gian tích hợp dịch SMS OTP nhanh chóng, từ 30 – 60 phút o Tốc độ gửi SMS OTP nhanh (từ 5-10s/SMS) o Hệ thống ổn định tảng Cloud o Hình thức khơng ngân hàng sử dụng mà công ty công nghệ lớn giới Google, Facebook áp dụng để tạo lớp bảo mật thứ hai cho tài khoản Và lớp bảo vệ xuất phát hoạt động không rõ ràng từ tài khoản bạn o Vừa nhanh, vừa tiện lợi Người dùng copy mã OTP trực tiếp từ tin nhắn sang mục OTP tài khoản để thực giao dịch Nhược điểm: o Người dùng sử dụng nơi khơng có sóng di động, di chuyển nước TOKEN KEY (TOKEN CARD) Ưu điểm o Đây thiết bị giúp tạo mã OTP, sinh tự động sau phút mà không cần kết nối internet Đây cách hạn chế việc lộ thông tin tài khoản o Đây thiết bị rời, nhỏ gọn ln ln mang bên o Cách sử dụng máy Token dễ dàng Nhược điểm o Mã Token thường có hiệu lực 60 giây Bắt buộc phải có máy Token bạn giao dịch o Cần phải bảo quản cẩn thận dễ đánh o Cá nhân bình thường sử dụng Token để có thiết bị token phải trả phí làm máy cho ngân hàng SMART OTP – SMART TOKEN Ưu điểm: o Đây coi hình thức kết hợp hoàn hảo SMS OTP Token Key o Smart OTP sử dụng lúc nơi tích hợp sẳn ứng dụng điện thoại Khi có phiên giao dịch trực tuyến Smart OTP gửi ứng dụng smartphone o Cung cấp mã xác thực kể nơi khơng có sóng điện thoại Internet o An toàn bảo mật hơn với nhiều lớp bảo mật (mật điện thoại, mật ứng dụng, bàn phím hiển thị ngẫu nhiên …) Nhược điểm: o SMS OTP bị lệ thuộc vào bảo mật nhà mạng, địi hỏi khách hàng phải roaming nước ngồi Đưa hệ thống mà bạn biết có sử dụng mật cố định (fixed password) mơ tả bước thực để bạn chứng thực người dùng hệ thống Nêu mục tiêu việc chứng thực Hệ thống có sử dụng mật cố định (fixed password): Ví dụ tài khoản cá nhân tài khoản Gmail, Facebook, Instagram, tài khoản ngân hàng, Các bước để thực để bạn chứng thực người dùng hệ thống facebook: Bước 1: Truy cập website Facebook, nhập email/sđt người dùng Bước 2: Nhấn nút đăng nhập Nếu truy cập tài khoản email/sdt mật đăng nhập Cịn tài khoản email/sdt mật sai hệ thống thơng báo hình là: “email/sdt/mật bạn khơng đúng, vui lịng nhập lại” “Vui lịng kiểm tra mã email bạn Mã gồm số.” Trường hợp người dùng cài đặt mã xác thực hai yếu tố hệ thống gửi mã xác thực yếu tố facebook điện thoại bạn Sau nhập mã vào máy tính đăng nhập Mục tiêu việc chứng thực: nhằm mục đích giúp xác định người dùng có phải chủ tài khoản hay khơng, tránh tình trạng nhìn đăng nhập, ăn cắp tài khoản,… 10 Đưa hệ thống mà bạn biết có sử dụng mật dùng lần (one time password) mơ tả tình mà bạn có sử dụng mật để chứng thực người dùng/giao dịch Nêu mục tiêu việc chứng thực Hệ thống có sử dụng mật dùng lần (one time password) VD: tốn trực tuyến qua ví điện tử momo, E-Mobile Banking, Các bước để thực để bạn chứng thực người dùng hệ thống tài khoản ngân hàng AGRIBANK toán trực tuyến qua ví điện tử momo Bước 1: Khách hàng truy cập Website/Ứng dụng của nhà cung cấp hàng hóa, dịch vụ lựa chọn hàng hóa, dịch vụ có nhu cầu Bước 2: Lựa chọn hình thức tốn trực tuyến Bước 3: Khách hàng nhập mật OTP (nếu có) để chứng thực hồn tất giao dịch Bước 4: Thơng báo kết giao dịch toán Một số lưu ý sử dụng dịch vụ toán trực tuyến (?) Đối với máy tính dùng để giao dịch toán trực tuyến Cài đặt phần mềm chống virus thường xuyên thực quét virus máy tính chương trình diệt virus có quyền cập nhật liên tục Không truy cập vào Website có địa truy cập (đường link) lạ gửi qua email, mạng xã hội thận trọng với quảng cáo truy cập Internet Chỉ cài đặt phần mềm ứng dụng từ đường link tin cậy, khơng chấp nhận chương trình đính kèm email không rõ nguồn gốc, v.v… Thận trọng thực giao dịch Website máy tính dùng chung hay máy tính điểm truy cập Internet cơng cộng Bảo mật tên truy cập mật ngân hàng điện tử Quý khách cấp tên truy cập mật truy cập vào ứng dụng E-Mobile Banking, Internet Banking cần thay đổi mật khẩu, khơng nên đặt mật q dễ đốn nên thay đổi mật định kỳ Quý khách cần bảo mật tên truy cập đặc biệt mật truy cập, tuyệt đối không tiết lộ cho người khác biết Website trừ Website Agribank Thoát khỏi tài khoản truy cập ứng dụng không sử dụng dịch vụ liên quan đến toán thẻ Internet Khơng click vào link Website đính kèm email, dù có đáng tin cậy Tuyệt đối không tiết lộ OTP cho khác qua phương tiện (Chat, email, nhập vào Website, điện thoại di động, mạng xã hội, v.v…) Nên giữ điện thoại di động (Số đăng ký với ngân hàng để nhận tin nhắn SMS cung cấp OTP) bên Trường hợp bị điện thoại di động thơng báo với Agribank để tạm dừng dịch vụ tốn trực tuyến Sau đến Agribank để thay đổi số điện thoại di động nhận OTP Mục tiêu xác thực OTP: chứng thực lớp, chứng thực lớp thứ 2, người dùng giao dịch cần xác thực người dùng lại lần để giảm rủi ro bị giả mạo 11 Sinh trắc học (biometric) gì? Nêu lĩnh vực mà áp dụng sinh trắc học? Sinh trắc học (Biometric) phép đo lường đặc tính sinh lý học hành vi học mà nhận dạng người Sinh trắc học đo lường đặc tính mà khơng thể đốn, ăn cắp chia sẻ Các lĩnh vực áp dụng sinh trắc học: o Lĩnh vực khoa học, công nghệ: cảm biến vân tay, Tính nhận diện khn mặt (Ví dụ: Tính nhận diện khuôn mặt tư động gợi ý gắn thẻ bạn bè Facebook ví dụ gần gũi cho cơng nghệ Khi bạn đăng hình ảnh bạn bè lên Facebook, Facebook tự động nhận diện bạn bè bạn gợi ý gắn thẻ nhờ hình ảnh cũ mà bạn bè bạn đăng, lần bạn gắn thẻ họ trước đây.), Công nghệ xác thực hành vi, Cơ chế nhận diện mống mắt thiết bị (hoặc cảm biến) o Lĩnh vực tài chính: quét tĩnh mạch FingoPay thực việc toán đơn giản, Ví dụ mơ hình qt tĩnh mạch FingoPay kết nối với thẻ tín dụng tài khoản ngân hàng người sử dụng, cho phép họ thực việc tốn đơn giản cách đặt ngón tay vào máy qt có kích thước nhỏ gọn mà khơng cần dùng tới tiền mặt hay thẻ tín dụng o Các cửa hải quan o Hợp đồng công chứng giao dịch điện tử 12 Nêu ưu điểm nhược điểm việc áp dụng chứng thực sinh trắc học Ưu điểm o Biometrics bị mất, đánh cấp, bỏ quên Nó quán vĩnh cửu o Nó khơng thể chia sẻ dùng người khác o Khơng địi hỏi phải ghi nhớ mật khẩu, mã Pin o Biometric luôn sẳn dùng cho cá nhân Nhược điểm: Chi phí cho thiết bị phần cứng Đòi hỏi hệ thống hạ tầng hoạt động liên tục: đường truyền mạng, điện, Các đọc đặc tính sinh trắc học có lỗi định Từ chối người dùng hợp lệ Chấp nhận người dùng không hợp lệ Lo ngại người dùng liên quan đến sức khỏe 13 Hệ thống quản lý an tồn thơng tin (ISMS) gì? Mục tiêu hệ thống an tồn tồn thơng tin? Hệ thơng quản lý an tồn thơng tin cơng cụ để nhà lãnh đạo quản lý thực giám sát, quản lý hệ thống thông tin, tăng cường mức độ an toàn, bảo mật, giảm thiểu rủi ro cho hệ thống thông tin, đáp ứng mục tiêu doanh nghiệp, tổ chức Mục tiêu hệ thống an tồn thơng tin: Đảm bảo ATTT tổ chức, đối tác khách hàng, giúp cho hoạt động tổ chức ln thơng suốt an tồn Giúp nhân viên tuân thủ việc đảm bảo ATTT hoạt động nghiệp vụ thường ngày; Các cố ATTT người dùng gây hạn chế tối đa nhân viên đào tạo, nâng cao nhận thức ATTT Giúp hoạt động đảm bảo ATTT ln trì cải tiến Các biện pháp kỹ thuật sách tuân thủ xem xét, đánh giá, đo lường hiệu cập nhật định kỳ.Bộ môn Hệ thống thông tin10 Đảm bảo hoạt động nghiệp vụ tổ chức không bị gián đoạn cố liên quan đến ATTT Nâng cao uy tín tổ chức, tăng sức cạnh tranh, tạo lòng tin với khách hàng, đối tác, thúc đẩy q trình tồn cầu hóa tăng hội hợp tác quốc tế Nội dung LO4 - Mô tả tổng quan chế/giao thức để thiết lập nâng cao tính an tồn thơng tin cho tình cụ thể Tình 1: Để phục vụ cho nhu cầu học tập tra cứu cán bộ, giảng viên sinh viên trường, nhà trường xây dựng hệ thống thư viện trực tuyến www.thuviendientu.iuh.edu.vn, hệ thống giúp độc giả (cán bộ, giảng viên sinh viên trường) tìm kiếm loại sách, báo, tạp chí,… Đối với tài liệu điện tử độc giả đọc trực tuyến tải về, sách thư viện độc giả đăng ký mượn Độc giả yêu cầu mua loại tài liệu điện tử tốn phí mua trực tuyến Hệ thống giúp cho thủ thư quản lý thơng tin mượn trả sách độc giả, hệ thống cịn có tính thơng báo nhắc nhở đến hạn trả sách email, tạo báo cáo, thống kê Yêu cầu: Với tình cho, bạn Chỉ loại thông tin/dữ liệu/chức cần nâng cao tính an tồn nêu lý Đưa giải pháp (chữ ký số, xác thực điều khiểu truy cập mật (fixed password, OTP), thẻ từ, camera, sinh trắc học (vân tay khuôn mặt, ngươi,…)) để cài đặt nâng cao tính an tồn cho loại thơng tin/dữ liệu/chức nêu lý phương pháp pháp hữu hiệu GIẢI Hai loại thơng tin/ liệu/ chức cần nâng cao tính an tồn lý là: Thơng tin/ liệu tốn phí mua trực tuyến Vì tốn phí mua trực tuyến loại thơng tin liệu quan trọng hệ thống thư viện Là phương thức giao dịch toán độc giả hệ thống thư viện độc giả có nhu cầu mua loại tài liệu điện tử Thông qua phương thức giao dịch tốn trực tuyến độc giả mua loại tài liệu cần Và liệu tốn trực tuyến lưu lại qua giúp thư viện hệ thống, thống kê có độc giả mua tài liệu điện tử tốn cho thư viện Cung cấp thơng tin liệu toán độc giả, giúp thư viện quản lí việc tốn giải xử lí giao dịch dễ dàng.Nếu việc tốn phí mua trực tuyến khơng đảm bảo an tồn bị cơng kẻ cơng thư viện bị thông tin liệu việc quản lí người độc giả tốn việc mua tài liệu điện tử hay chưa,Việc toán trực tuyến liên quan đến giao dịch ngân hàng,để đảm bảo thông tin người dùng thẻ ngân hàng không bị rị rỉ thơng tin khơng đảm bảo an tồn kẻ cơng dùng website giả mạo thư viện để lừa độc giả nhập user name, mật tài khoản internet banking hay mã xác thực OTP để lừa độc giả nhằm mục đích lừa đảo đánh cắp tiền.Vì cần phải đảm bảo an tồn thơng tin/dữ liệu tốn phí mua trực tuyến nhằm đảm bảo lợi ích độc giả thư viện tham gia giao dịch Thông tin/ liệu mượn trả sách độc giả Đảm bảo tính an tồn thơng tin nhằm đảm bảo tính tồn vẹn tính an tồn thơng tin.Nhằm đáp ứng nhu cầu mượn trả sách độc giả có quyền truy cập vào hệ thống thư viện Giúp thư viện lưu giữ thông tin độc giả (họ tên, MSSV, sđt, địa ( có) , ) mượn trả sách qua quản lí, kiểm sốt tài liệu sách báo thư viện thông tin mượn trả sách độc giả, nhắc nhở độc giả trả sách hẹn nhằm tránh khỏi rủi ro mát thất thoát tài liệu, sách thư viện Giải pháp cài đặt nâng cao tính an tồn: (Thực liên kết toán với dịch vụ mà tốn cơng nhận ATTT có giấy phép hy chứng ATTT-đặt mua online,thẻ tốn,ví điện tử,tk tốn) (Mã hóa liệu lưu trữ - thơng tin cá nhân ) Thơng tin liệu tốn phí mua trực tuyến: dùng bảo mật lớp dùng user name + password để đăng nhập vào website trường thực mua thực toán thực toán sử dụng mã OTP ( sms otp, email otp ) Quy trình: Sử dụng bảo mật lớp user name + password để đăng nhập vào tài khoản user name địa mail, số tài khoản tùy vào tài khoản ngân hàng dùng password để đăng nhập vào, sau lựa chọn tài liệu điện tử cần mua độc giả xác nhận việc toán Ngân hàng gửi mã OTP cho độc giả hình thức nhận OTP qua sms otp hay mail otp người dùng nhận mã OTP dùng mã OTP để đăng nhập xác thực giao dịch thành công Thông tin/ liệu mượn trả sách độc giả: dùng user name + password Qui trình: để thực đăng kí mượn trả sách độc giả phải đăng nhập vào hệ thống, để quản lí việc mượn trả độc giả phải có tài khoản hệ thống sử dụng user name + password, password phải mạnh thường xuyên thay đổi khoảng 2-3 tuần thay đổi lần Tình 2: Để phục vụ nhu cầu học tập nghiên cứu cán bộ, giảng viên sinh viên trường (gọi chung độc giả), nhà trường trang bị phòng đọc sách cho độc giả Phòng có trang bị máy lạnh, bàn ghế, wifi, 100 máy tính để bàn Sinh viên tự vào phòng đọc sách khoảng thời gian thư viện mở để ngồi đọc sách, học tập nghiên cứu dùng máy tính Các máy tính dùng để học tập/nghiên cứu không cho phép chơi game u cầu: Theo bạn để kiểm sốt, chứng thực theo dõi vào phòng đọc sách độc giả cách tự động dùng phương pháp (chữ ký số, xác thực điều khiểu truy cập mật (fixed password, OTP), sinh trắc học (vân tay khn mặt, ngươi,…)) để kiểm sốt nêu lý phương pháp hữu hiệu nhất? Theo bạn để chứng thức, kiểm sốt theo dõi việc sử dụng wifi thiết bị máy móc phịng đọc sách dùng phương pháp (chữ ký số, xác thực điều khiểu truy cập mật (fixed password, OTP), thẻ từ, camera, sinh trắc học (vân tay khuôn mặt, ngươi,…)) nêu lý phương pháp hữu hiệu nhất? GIẢI - Giải pháp cài đặt để kiểm sốt vào phịng đọc sách độc giả cách tự động: dùng thẻ từ ,tài khoản user đăng nhập máy để nhận diện kiểm soát truy cập Khái niệm thẻ từ thẻ nhựa có gắn dải băng từ mặt sau thẻ Dải băng từ có từ tính thiết bị đọc ghi thẻ, lưu trữ thông tin chủ thẻ Các thông tin mã hóa lần quẹt thẻ qua máy tốn, thơng tin giải mã Mơ tả giải pháp sinh viên muốn vào phòng đọc sách thư viện yêu cầu sinh viên phải có thẻ từ cá nhân, dùng thẻ từ để quẹt mở để vào phòng đọc sách nhiên dùng thẻ từ để kiểm soát việc vào sinh viên có khả xảy trường hợp người khác mượn thẻ từ sinh viên để vào phịng đọc sách nên kết hợp kiểm soát vào sinh viên cách dùng thẻ từ kết hợp với truy cập user đăng nhập máy có camera để giám sát vào thư viện khoảng thời gian xác định - Hoặc sử dụng sinh trắc học vân tay để kiểm sốt việc vào phịng đọc sách thư viện nhiên thực tế giải pháp hạn chế sử dụng phạm vi thư viện việc lắp đặt sinh trắc học nhiều chi phí thẻ từ cá nhân sinh viên vào phịng đọc sách phải đăng kí danh sách lấy mẫu vân tay Vì sử dụng thẻ từ kết hợp với camera xem giải pháp tối ưu hiệu - Lý sử dụng giải pháp: Nhằm quản lí việc vào phịng đọc sách, kiểm sốt, biết vào phòng khoảng thời gian xác định để tránh trường hợp người vào thư viện khơng phải sinh viên vào mục đích khác phịng đọc sách có nhiều thiết bị điện tử máy tính …để tránh rủi ro mát tài sản xảy nên thực kiểm sốt việc vào phịng để giám sát, quản lí bảo quản tài sản vật chất thư viện với tài liệu sách báo - Đưa mơ tả giải pháp kiểm sốt việc sử dụng wifi: + Dùng user name + password Sinh viên muốn đăng nhập vào wifi phòng đọc sách thư viện phải biết user name + password mà thư viện cung cấp để đăng nhập vào mạng wifi phòng đọc sách sử dụng cho việc học tập nghiên cứu Vì sinh viên có nhu cầu sử dụng cho việc học tập nghiên cứu nhân viên thư viện cung cấp cho user name + password tránh cho sinh viên kết nối wifi thư viện khơng mục đích học tập, nghiên cứu mà mục đích chơi game, lướt fb, mạng xã hội + Đưa mô tả giải pháp kiểm soát việc sử dụng thiết bị máy móc phịng đọc sách: dùng username + password Mơ tả: cụ thể thiết bị máy tính muốn đăng nhập vào máy tính phịng đọc sách người dùng phải có tài khoản đăng nhập user name + password ( ví dụ user name + mã số sinh viên người đăng nhập), muốn sử dụng máy tính người dùng sử dụng user name + password để đăng nhập để mở máy tính sử dụng nhằm mục đích kiểm sốt việc truy cập máy tính phịng người sử dụng máy tính làm hư hỏng thiết bị truy xuất để biết sử dụng máy tính này, dùng để quản lí người sử dụng máy tính cho mục đích học tập, dùng sai mục đích để chơi game, lướt mạng xã hội bị nhắc nhở Tình 3: Giả sử khoa Kế tốn trường IUH trang bị ‘Phịng mơ thực hành quy trình nghiệp vụ Kế tốn – Tài – Tín dụng’ (gồm 30 máy tính) dùng để phục vụ cho việc học tập nghiên cứu thành viên câu lạc Kế_Tài_Ngân_Club Phòng máy gồm máy chủ (server), nhiều máy trạm (work station) máy in (printer) cài đặt phần mềm kế tốn, tài & ngân hàng thành viên câu lạc vào sử dụng để nghiên cứu học tập Khoa mong muốn phịng máy cài đặt cấu hình mà thành viên vào sử dụng tài nguyên cách thuận tiện có chế theo dõi cách tự động Theo bạn, phòng máy nên dùng phương pháp (chữ ký số, xác thực điều khiểu truy cập mật (fixed password, OTP), thẻ từ, camera, sinh trắc học (vân tay khuôn mặt, ngơi,…)) mà thành viên vào cách thuận tiện kiểm soát cần thiết Bạn mô tả giải pháp cách chi tiết nêu lý giải pháp hợp lý 2 Theo bạn, để kiểm sốt việc sử dụng thiết bị, ứng dụng cài đặt phịng mơ thể dùng phương pháp (chữ ký số, xác thực điều khiểu truy cập mật (fixed password, OTP), thẻ từ, camera, sinh trắc học (vân tay khuôn mặt, ngơi,…)) nêu lý giải pháp hợp lý nhất? GIẢI Giải pháp để thành viên vào cách thuận tiện kiểm soát cần thiết: Dùng thẻ từ + tài khoản user truy cập cấp cho người camera để nhận diện kiểm soát truy cập Khái niệm thẻ từ thẻ nhựa có gắn dải băng từ mặt sau thẻ Dải băng từ có từ tính thiết bị đọc ghi thẻ, lưu trữ thông tin chủ thẻ Các thơng tin mã hóa lần quẹt thẻ qua máy tốn, thơng tin giải mã Mô tả giải pháp sinh viên muốn vào phịng máy mơ thực hành u cầu sinh viên phải có thẻ từ cá nhân, dùng thẻ từ để quẹt mở cửa để vào phòng máy nhiên dùng thẻ từ để kiểm soát việc vào sinh viên có khả xảy trường hợp người khác mượn thẻ từ sinh viên để vào phòng máy nên kết hợp kiểm sốt vào sinh viên cách dùng thẻ từ kết hợp với camera để giám sát vào phòng máy khoảng thời gian xác định Giải pháp kiểm soát việc sử dụng thiết bị, ứng dụng cài đặt phịng mơ phỏng: dùng user name + password Mô tả: cụ thể thiết bị muốn đăng nhập người dùng phải có tài khoản đăng nhập user name + password (ví dụ user name mã số sinh viên người đăng nhập) nhằm mục đích kiểm sốt việc truy cập máy tính Đây giải pháp hợp lí mục đích kiểm sốt việc truy cập máy tính phịng người sử dụng máy tính làm hư hỏng thiết bị truy xuất để biết sử dụng máy tính này, dùng để quản lí người sử dụng máy tính cho mục đích học tập, dùng sai mục đích để chơi game, lướt mạng xã hội bị nhắc nhở ... thơng tin? Hệ thơng quản lý an tồn thông tin công cụ để nhà lãnh đạo quản lý thực giám sát, quản lý hệ thống thơng tin, tăng cường mức độ an tồn, bảo mật, giảm thi? ??u rủi ro cho hệ thống thông tin, ... với Cơ quan Hải quan Website Tổng cục Hải quan Bước 3:? ?Thi? ??t lập chữ ký số phần mềm Hải quan điện tử Thi? ??t lập chữ ký số phần mềm hải quan điện tử ECUS Trên giao diện phần mềm Hải quan điện... trước chọn vào mục “Xem thông tin Chứng thư số” Sau điền đầy đủ thông tin, bạn chọn “Đăng ký thơng tin? ?? để hồn thành thủ tục đăng ký Chữ ký số với Cơ quan Hải quan Thông báo Cập nhật thành