Câu 1 Chữ ký điện tử là gì? Mục tiêu của chữ ký điện tử? Trình bày hiện trạng áp dụng chữ ký điện tử ở Việt Nam (gợi ý Định nghĩa chữ ký điện tử ứng dụng của mã hóa khóa công khai, người dùng có (PUA,.
Câu 1: Chữ ký điện tử gì? Mục tiêu chữ ký điện tử? Trình bày trạng áp dụng chữ ký điện tử Việt Nam (gợi ý: Định nghĩa chữ ký điện tử: ứng dụng mã hóa khóa cơng khai, người dùng có (PUA, PRA); Tạo chữ ký: SAM=E(M,PRA) – giải thích; Thẩm tra chữ ký D(SAM, PUA) --> Yes/No – Giải thích; Mục tiêu chữ ký số;Hiện trạng áp dụng chữ ký: lĩnh vực quan Thuế, Bảo hiểm xã hội, Hải quan Chứng khoán) Chữ ký điện tử gì? Chữ ký điện tử định nghĩa tương đối rộng trừu tượng Theo Luật GDĐT 2005, “chữ ký điện tử” có đặc tính sau: (i) tạo lập dạng từ, chữ, số, ký hiệu, âm hình thức khác phương tiện điện tử; (ii) gắn liền kết hợp cách lôgic với hợp đồng điện tử (ví dụ, định dạng PDF Word); (iii) có khả xác nhận người ký hợp đồng điện tử xác nhận chấp thuận người nội dung hợp đồng điện tử ký.Chữ ký điện tử có giá trị pháp lý thỏa mãn điều kiện khả định danh mức độ tin cậy, cụ thể là: phương pháp tạo chữ ký điện tử cho phép xác minh người ký chứng tỏ chấp thuận người ký nội dung hợp đồng phương pháp tạo chữ ký điện tử đủ tin cậy phù hợp với mục đích mà hợp đồng tạo gửi Mục tiêu chữ ký điện tử? - Giúp xác minh chủ thể ai: Tăng khả bảo mật, chống giả mạo, cho phép chủ thẻ xác minh danh tính hệ thống khác xe bus, thẻ rút tiền ATM, hộ chiếu điện tử cửa khẩu, kiểm soát hải quan … Dùng để kê khai, nộp thuế trực tuyến, khai báo hải quan thông quan trực tuyến mà thời gian in tờ khai, trình ký đóng dấu đỏ công ty đến quan thuế xếp hàng ngồi đợi để nộp tờ khai thuận tiện Một số ứng dụng chữ ký số điện tử điển hình: - Ứng dụng Chính phủ điện tử.+ Ứng dụng Bộ Tài chính+ Ứng dụng Bộ Công thương + Ứng dụng Bộ KHCN, … - Ứng dụng Thương mại điện tử.+ Mua bán, đặt hàng trực tuyến+ Thanh toán trực tuyến, … - Ứng dụng giao dịch trực tuyến.+ Giao dịch qua email - Hội nghị truyền hình làm việc từ xa với Mega e-Meeting… Làm để tạo chữ ký điện tử? Chữ ký điện tử yêu cầu phải sử dụng mã hóa khóa công cộng (public key) Nếu muốn tạo chữ ký điện tử cần phải có thêm mã hóa khóa cá nhân (private key) Bạn dùng khóa cá nhân để ký- dạng mã sau cung cấp khóa cơng cộng cho người cần xác nhận chữ ký (chẳng hạn ngân hàng, nơi bạn vay tiền) Một số ví dụ có liên quan đến chữ kí điện tử: - Mặc dù chưa có án lệ tòa án giải cụ thể vấn đề hiệu lực hợp đồng ký chữ ký điện tử, có án lệ án cho thấy tòa án Việt Nam thiên cách tiếp cận trọng nội dung (tức xem xét ý chí thực bên giao dịch) hình thức thể chấp thuận nội dung (tức xem xét hình thức hợp đồng chữ ký).Trong số án lệ án, Tòa án nhân dân tối cao phán rằng, hành vi bên trình giao kết thực hợp đồng có giá trị quan trọng để xác định ý chí bên hợp đồng cho dù hợp đồng khơng ký bên có liên quan, hợp đồng khơng bị vơ hiệu - Án lệ số 07/2016/AL ngày 17/10/2016 công nhận hợp đồng mua bán nhà xác lập trước ngày tháng năm 1991(tranh chấp Nguyễn Đình Sơng, Nguyễn Thị Hồng, Nguyễn Thị Hương với Đỗ Trọng Thành, Đỗ Thị Nguyệt, Vương Chí Tường, Vương Chí Thắng, Vương Bích Vân, Vương Bích Hợp - Án lệ 07) Câu 2: Đưa hệ thống thông tin trang web thực tế Việt Nam mà có sử dụng chữ ký điện tử? Nghiệp vụ hệ thống có sử dụng chữ ký số? Trình bày bước cụ thể để người dùng hệ thống thực nghiệp vụ có sử dụng chữ ký số (gợi ý: Website quan Thuế, Wibsite quan Hải quan, Website quan Bảo hiểm xã hội, ) Đưa hệ thống thông tin trang web thực tế Việt Nam mà có sử dụng chữ ký điện tử? Website Thuế Nghiệp vụ hệ thống có sử dụng chữ ký số? Kê khai, nộp thuế Trình bày bước cụ thể để người dùng hệ thống thực nghiệp vụ có sử dụng chữ ký số (gợi ý: Website quan Thuế, Website quan Hải quan, Website quan Bảo hiểm xã hội, ) Bước1: Đăng nhập vào Trang thông tin điện tử Tổng cục Thuế http://thuedientu.gdt.gov.vn Bước2: Lập giấy nộp tiền - Sau đăng nhập thành công, doanh nghiệp lập giấy nộp tiền theo bước đây: - Tại mục “Nộp thuế” nhấn chọn “Lập giấy nộp tiền” - Lựa chọn “Ngân hàng nộp thuế” nhấn "Tiếp tục" Bước 3: Khai báo thông tin tờ khai - Trong q trình hồn tất thủ tục nộp thuế điện tử, doanh nghiệp cần khai báo đầy đủ xác nội dung sau tờ khai thuế: + Thông tin loại tiền: Chọn “VND” đơn vị thuộc diện nộp thuế đồng Việt Nam, trường hợp thuộc diện nộp thuế ngoại tệ đơn vị chọn loại ngoại tệ sử dụng + Thơng tin ngân hàng: Chọn ngân hàng số tài khoản để trích tiền + Thơng tin quan quản lý thu: Chính thơng tin quan thuế quản lý đơn vị + Thông tin nơi phát sinh khoản thu: Điền địa nơi phát sinh khoản thu theo quy định Cục Thuế Chi cục thuế địa phương + Thông tin kho bạc nhận tiền + Loại thuế: Chọn tương ứng theo mục đích nộp thuế đơn vị - Tại mục “Nội dung khoản nộp NSNN” bạn tích chọn vào vng chấm để chọn loại thuế muốn nộp - Tại mục Nội dung khoản nộp danh sách: Nhập mã NDKT Lưu ý: + Căn vào vốn điều lệ ghi Giấy Đăng ký kinh doanh Trường hợp khơng có vốn điều lệ vào vốn đầu tư ghi giấy chứng nhận đăng ý đầu tư + Đối với công ty, doanh nghiệp, tổ chức thành lập cần nộp Thuế môn bài: Nếu cấp đăng ký thuế mã số thuế, mã số doanh nghiệp thời gian tháng đầu năm nộp mức lệ phí mơn năm; Nếu thành lập, cấp đăng ký thuế mã số thuế, mã số doanh nghiệp thời gian tháng cuối năm ( từ ngày 1/7 đến 31/12) nộp 50% mức lệ phí môn cho năm - Sau nhập xong giá trị vào ô Mã “NDKT”, hệ thống tự sinh thông tin tương ứng theo quy định pháp luật - Người dùng khai báo thông tin đầy đủ xác, nhấn “Hồn thành” để tạo lập xong tờ khai Bước 4: Ký số -Bước cuối để hoàn thành thủ tục nộp thuế điện tử ký số Doanh nghiệp cần kiểm tra lại thông tin vừa khai báo Giấy nộp tiền vào ngân sách nhà nước Nếu thơng tin xác, người dùng cắm chữ ký số doanh nghiệp tiếp tục nhấn “Ký nộp” - Sau đó, nhập mã PIN nhấn “OK” Như vậy, doanh nghiệp hoàn thành xong việc nộp tiền mục thuế, trường hợp cần nộp nhiều mục đơn vị thực lặp lại từ bước Lập giấy nộp tin Câu 3: Chứng thư số gì? Mục tiêu chứng thư số? Nội dung có chứng thư số gồm nội dung gì? Hiện Việt Nam có đơn vị cung cập dịch vụ chứng thư số? Chứng thư số gì? Là chứng thực để gắn chìa khóa cơng khai với thực thể (cá nhân, máy chủ, cty,…) Hay nói cách khác, CTS giúp xác định chìa khóa cơng khai thuộc thực thể • Một CTS thường gồm chìa khóa công khai số thông tin khác thực thể sở hữu chìa khóa • Chứng thư số thuộc sở hữu nhà cung cấp chứng thư số, viết tắt CA (certificate authority) Mục tiêu chứng thư số? Sử dụng nhiều hoạt động giao dịch thương mại điện tử, đặc biệt toán trực tuyến ngân hàng • Chứng thực số giúp ngân hàng đảm bảo khách hàng chối bỏ giao dịch • Chứng thư số sử dụng dạng chứng minh thư nhân dân Tại nước phát triển, chứng thư số (CA ) tích hợp vào chíp nhớ nằm thẻ tín dụng để tăng khả bảo mật, chống giả mạo, cho phép chủ thẻ xác minh danh tính hệ thống khác xe bus, thẻ rút tiền ATM, hộ chiếu điện tử cửa khẩu, kiểm soát hải quan … Nội dung có chứng thư số gồm nội dung gì? Những nội dung thơng tin theo chuẩn X.509 Version: Chỉ định phiên chứng nhận X.509 Seral Number: Số loạt phát hành gán CA Mỗi CA nên gắn mã số loạt cho giấy chứng nhận mà phát hành Sgnature Algorilihm: Thuật tốn chữ ký rõ thuật tốn mã hóa CA sử dụng để kỷ giấy chứng nhận Trong chứng nhận X.509 thường kết hợp thuật toán băm (chẳng hạn MD5) thuật tốn khóa cơng cộng (chẳng hạn RSA) Issuer Name: Tên tổ chức CA phát hành chứng thực( Theo chuẩn X.500 gọi Tên phân biệt -X.500 Distinguised Name, X.500 DN) Hai CA khác không sử dụng tên phát hành .Validity Period: gồm hai giá trí định khoảng thời gian mà giấy chứng nhận có hiệu lực: not-before not-after Not-before: thời gian chứng nhận bắt đầu có hiệu lực; Not-after: thời gian chứng nhận hết hiệu lực; Các giá trị thời gian đo theo chuẩn thời gian Quốc tế, xác đến giây Subject Name: Tên chủ thể cấp chứng thực Public Key: Chìa khố cơng khai chủ thể cấp chứng thực Issuer Unique ID&Subject Unique ID: Được đưa vào sử dụng từ X.509 phiên 2,dùng để xác định hai tổ chức CA hai chủ thể chúng có DN RFC 2459 đề nghị không nên sử dụng hai trường này: Extensions: Chứa thông tin bỗ sung cần thiết mà người thao tác CA muỗn đặt vào chứng nhận (Mới đưa X.509 phiên 3) Signature: chữ ký số tổ chức CA áp dụng Tổ chức CA tạo chữ trường thuật tốn chữ ký khóa bí mật với kiểu thuật tốn mã quy định trường toán chữ ký Chữ ký bao gồm tất phần khác giấy chứng nhận (Qua thể CA chứng nhận cho tất thông tin khác giấy chứng thực, không cho tên chủ thể khóa cơng khai) Hiện Việt Nam có đơn vị cung cập dịch vụ chứng thư số? Hiện có nhà cung cấp dịch vụ chứng thực chữ ký số cơng cộng VNPT/VDC, Viettel, Bkis, Nacencomm FPT • Các đơn vị đưa thị trường đầy đủ loại chữ ký số phục vụ kê khai thuế qua mạng, giao dịch ngân hàng, chứng khoán, hải quan điện tử, ký mã hóa email, văn đáp ứng cho đối tượng cá nhân, tổ chức, doanh nghiệp trang web • Thủ tục đăng ký tương tự đăng ký dịch vụ viễn thông, nhiên đặc thù pháp lý chữ ký số, tương đương với chữ ký tay, nên phải cần thêm số giấy tờ xác thực nguồn gốc thông tin doanh nghiệp hay người sử dụng cá nhân chặt chẽ (ví dụ giấy tờ có cơng chứng doanh nghiệp ) Câu 4: Mật (password) gì? Mật cố định (fixed password) mật dùng lần (one time password) khác nào? Trình bày điểm mạnh điểm yếu loại mật khẩu? Mật (password) gì? Mật khẩu: chuỗi ký tự nhóm từ sử dụng để xác thực thực thể ˗ Thực thể(entity): cần xác thực (người dùng, thiết bị, ứng dụng, ) ˗ Người thẩm định(Verifier): kiểm tra tính hợp lệ mật Mật cố định (fixed password) mật dùng lần (one time password) khác nào? Mật cố định Mật dùng lần dùng lặp lặp lại lần truy sử dụng lần xuất Trình bày điểm mạnh điểm yếu loại mật khẩu? - Mật cố định: + Điểm mạnh: sử dụng mật mạnh tạo lớp bảo mật chắn + Điểm yếu: người dùng sử dụng mật phổ biến, mật chứa thông tin cá nhân,… điều tạo lỗ hỏng bảo mật - Mật dùng lần: + Điểm mạnh: khó bị cơng, có tính bảo mật cao, nhận mật nhanh chóng, tiện lợi, yêu cầu lấy mật nhiều lần, chi phí thấp Thẻ thơng minh hay thiết bị tạo mật cầm tay (token) nhờ vào kết nối internet với máy chủ dịch vụ cung cấp OTP thơng qua thẻ OTP in sẵn thay điện thoại di động mà không cần đến kết nối internet + Điểm yếu: hạn chế thời gian hiệu lực, khơng thể sử dụng nơi khơng có sóng di động OTP SMS Câu 5: Đưa hệ thống mà bạn biết có sử dụng mật cố định (fixed password) ? Mô tả bước thực để bạn chứng thực người dùng hệ thống đó.?Nêu mục đích việc chứng thực Đưa hệ thống mà bạn biết có sử dụng mật cố định (fixed password) ? Teamviewer Mơ tả bước thực để bạn chứng thực người dùng hệ thống đó.? Bước 1: Tại giao diện Teamviewer, người dùng nhấn chọn vào mục Extras bên chọn tiếp Options Bước 2: Chuyển sang giao diện nhấn vào mục quản lý Security góc bên trái hình Nhìn sang bên phải phần Personal password (For unattended access), nhập mật muốn đặt cho Teamviewer vào Nhấn OK để lưu lại mật xong Ngoài phần Random password người dùng điều chỉnh độ dài mật từ ký tự sang 6, 8, 10 ký tự Disabled để vơ hiệu hóa mật cần kết nối máy tính Bây giờ, bạn sử dụng mật vừa tạo để tạo kết nối cho người khác Cách tiện bạn thường xuyên nhờ người, họ ghi nhớ ID mật cho lần trợ giúp mà không cần hỏi lại mật đăng nhập Tuy nhiên, để kẻ gian phát lợi dụng, mối nguy hiểm lớn cho tài khoản người dùng Vì vậy, cân nhắc thật kỹ trước tiến hành sử dụng, mật có ưu nhược điểm riêng Nêu mục đích việc chứng thực - Tăng cường an toàn cho hệ xác thực dựa mật - Xây dựng giao thức an toàn - Đảm bảo nội dung thông tin trao đổi thực thể xác khơng bị thêm, sửa, xóa hay phát lại (đảm bảo tính tồn vẹn nội dung) - Đảm bảo đối tượng tạo thông tin (nguồn gốc thông tin) đối tượng hợp lệ khai báo (đảm bảo tính tồn vẹn nguồn gốc thơng tin) - Đảm bảo an tồn thơng tin xác thực (tên đặng nhập mật không truyền trực tiếp mạng) - Xác thực giao dịch - Đảm bảo bảo mật thông tin (không thẩm quyền => không đọc được) - Đảm bảo tính tồn vẹn - Chống thối - Sử dụng thay cho giấy tờ - Chứng minh người yêu cầu chāng thực ký chữ ký để xác định trách nhiệm người ký giấy tờ, văn - Chứng minh thời gian, địa điểm bên ký kết hợp đồng, giao dịch; lực hành vi dân sự, ý chí tự nguyện, chữ ký dấu điểm bên tham gia hợp đồng, giao dịch Câu 6: Trình bày loại mã OTP? Nêu ưu điểm nhược điểm loại?Đưa hệ thống mà bạn biết có sử dụng mật dùng lần (one time password) ?Mơ tả tình mà bạn có sử dụng mật để chứng thực người dùng/giao dịch.?Nêu mục tiêu việc chứng thực Trình bày loại mã OTP? Nêu ưu điểm nhược điểm loại? Hiện có hình thāc cung cấp mã OTP chủ yếu Bao gồm: 1) SMS OTP Đây hình thāc cung cấp mã OTP phổ biến Mã OTP gửi tin nhắn SMSvề số điện thoại đăng ký Để thực giao dịch bạn cần phải nhập mã OTP gửi số điện thoại đăng ký Đa số ngân hàng Việt Nam có sử dụng mã OTP theo hình thức Hình thức không ngân hàng sử dụng mà công ty công nghệ lớn giới Google, Facebook áp dụng để tạo lớp bảo mật thứ hai cho tài khoản bạn Và lớp bảo vệ xuất phát hoạt động không rõ ràng từ tài khoản bạn Ưu điểm: • Thời gian tích hợp dịch SMS OTP nhanh chóng, từ 30 – 60 phút • Hỗ trợ đăng ký nhanh thương hiệu riêng (SMS Brand) cho doanh nghiệp để gửi SMS OTP chăm sóc khách hàng • Hệ thống ổn định tảng Cloud • Hỗ trợ HTTP SMPP App • Hỗ trợ API, code mẫu tài liệu hướng dẫn tích hợp miễn phí • Cách sử dụng đơn giản, dễ hiểu, tiện lợi ( Người dùng copy mã OTP trực tiếp từ tin nhắn sang mục OTP tài khoản để thực giao dịch.) • Mức phí dịch vụ thấp • Phổ biến nhiều hình thức xác minh chủ thể giao dịch ngân hàng, tạo tài khoản mạng xã hội, tạo tài khoản email… • Tốc độ gửi SMS OTP nhanh (từ 5-10s/SMS) • Ư u điểm lớn khả bổ sung thêm lớp bảo mật cho tài khoản tốn Nhược điểm: - Người dùng khơng thể sử dụng nơi khơng có sóng di động di chuyển nước 2) Token Key – Tokey Card Hiện Token có hai loại: hard token soft token : - Hard token: Là máy cầm tay dạng USB để bạn mang theo sử dụng cần - Soft token: Là phần mềm tích hợp vào máy tính điện thoại người sử dụng để cung cấp mã số cần thiết Token thiết bị điện tử mà chÿ tài khoản cấp mở tài khoản tốn Ngân hang, tự động sinh mã OTP mà không cần đến kết nối mạng Bạn muốn sử dụng hình thức phải trả thêm phí làm máy Token Một số ngân hàng áp dụng hình thức bảo mật Token ACB, HSBC, Sacombank,… Mỗi tài khoản cần đăng ký Tokey Key riêng cho tài khoản, sau thời gian quy định ngân hàng đổi Tokey Key củaa bạn Ưu điểm: - Máy Token thiết bị rời có kích thước nhỏ gọn, giúp bạn dễ dàng mang theo bên người dễ dàng cho vào chùm chìa khóa cá nhân - Giúp bảo vệ giao dịch khách hàng, Tránh bị kẻ gian hack thông tin sử dụng thông tin để thực giao dịch - Nếu chẳng may bị lộ mã OTP sử dụng khách hàng khơng cần q lo lắng mã có hiệu lực lần - Các sử dụng thiết bị Token đơn giản phù hợp cho nhiều đối tượng Nhược điểm: - Để sử dụng, bạn bỏ chi phí mua máy Token từ 200.000-400.000đ - Mã Token thường có hiệu lực 60 giây - Bắt buộc phải có máy Token bạn giao dịch - Đây thiết bị rời , nhỏ gọn luôn mang theo bên Tuy nhiên cần bảo quản cẩn thận dễ bị 3) Smart OTP – Smart Token Smart OTP nói đến ứng dụng tạo mã OTP cài điện thoại/máy tính bảng có hệ điều hành Android hay iOS Sau đăng kí tài khoản āng dụng kích hoạt thành cơng āng dụng hoạt động tương tự Token Smart OTP phương thức xác thực sử dụng công nghệ tiên tiến, bảo mật, thuận tiện cho Doanh nghiệp sử dụng tiện ích củaa F@st EBank Nó coi hình thức kết hợp hoàn hảo SMS OTP Token Key Smart OTP gửi ứng dụng xuất yêu cầu giao dịch Tại Việt Nam ngân hàng: Vietcombank TPBank sử dụng hình thāc xác thực Smart OTP hoạt động song song SMS OTP Để sử dụng Smart OTP người dùng cần phải đăng ký với ngân hàng nhà cung cấp dịch vụ Đặc biệt nên nhớ khơng thể có nhiều thiết bị sử dụng chung ứng dụng tạo mã OTP Ưu điểm: - Ứng dụng cung cấp mã OTP nên khách hàng chur động lấy có nhu cầu giao dịch điện tử - Được sinh điện thoại khách hàng mã hóa với hệ thống bảo vệ nhiều lớp phức tạp khó can thiệp - Thiết bị di động cài đặt Smart OTP không yêu cầu phải kết nối internet hay kết nối mạng viễn thông sau kích hoạt ( Khách hàng khơng phải roaming nước nhận OTP qua SMS) - Là giải pháp có māc độ bảo mật cao (so với nhận OTP qua SMS/email truyền thống) - Chủ động lấy OTP việc nhập mã PIN số Smart OTP - Mã OTP tự động hiển thị vào ô xác thực giao dịch sau điền mã PIN (để đăng nhập phần mềm Smart OTP) thành cơng Vì thế, q khách tuyệt đối khơng chia sẻ mã PIN đăng nhập Smart OTP cho ai, bao gồm người "tự xưng" nhân viên ngân hàng hay quan chức Nhược điểm: - Để sử dụng Smart OTP người dùng cần phải đăng ký với ngân hàng nhà đăng ký dịch vụ Ngồi , khơng thể có nhiều thiết bị sử dụng chung ứng dụng tạo mã OTP Đưa hệ thống mà bạn biết có sử dụng mật dùng lần (one time password) ? Mô tả tình mà bạn có sử dụng mật để chứng thực người dùng/giao dịch.? Nêu mục tiêu việc chứng thực Nêu ưu điểm nhược điểm loại? Câu 7: Sinh trắc học (biometric) gì?Nêu ưu điểm nhược điểm việc áp dụng chứng thực sinh trắc học? Nêu lĩnh vực mà áp dụng sinh trắc học? Sinh trắc học (biometric) gì? phép đo lường đặc tính sinh lý học hành vi học mà nhận dạng người Sinh trắc học đo lường đặc tính mà khơng thể đốn, ăn cắp chia sẻ Nêu ưu điểm nhược điểm việc áp dụng chứng thực sinh trắc học? ˗ Ưu điểm Có thể xác Nhanh: thời gian chứng thực nhỏ 1s Sự tác động người dùng thấp Kết hợp nhiều yếu tố: vân tay, võng mạc, giọng nói,… ˗ Nhược điểm Giá thành: triển khai hệ thống sinh trắc học địi hỏi chi phí cho phần cứng phần mềm Có thể nhận diện sai: người hệ thống không chấp nhận Nêu lĩnh vực mà áp dụng sinh trắc học? Ngân hàng, tổ chức tài sử dụng sinh trắc giọng nói để xác thực nhận diện khách hàng qua điện thoại Trong lĩnh vực chăm sóc sức khỏe, xác thực sinh trắc học sử dụng để xác định bệnh nhân Cơ quan thực thi pháp luật sử dụng sinh trắc như: vân tay, khuôn mặt, võng mạc,…, để xác định theo dõi người vào quay lại hệ thống tư pháp hình Câu : Điều khiển truy cập gì? Trình bày phương pháp mà bạn biết mà cài đặt điều khiển truy cập hệ thống thông tin? Là trình giới hạn quyền sử dụng người dùng chứng thực tài nguyên hệ thống, hạn chế tác động người dùng tài nguyên hệ thống đảm bảo người dùng tác động tài nguyên phạm vi cấp quyền *Điều khiển truy cập bắt buộc - Việc bảo vệ liệu không định người dùng thông thường - Hệ thống yêu cầu phải bảo vệ liệu - Ví dụ: Thư mục dùng chung máy chủ, người dùng thay đổi *Điều khiển truy cập tùy ý - Người dùng tự tạo quyền truy nhập - Ví dụ: Chia sẻ máy in cho người khác sử dụng *Điều khiển truy cập theo người dùng - Quyền truy cập định nghĩa theo vai trò người dùng: * Adminstrator * Power User * Dial-up User Câu :Hệ thống quản lý an tồn thơng tin ? Mục tiêu hệ thống an tồn thơng tin? Các tiêu chuẩn,chứng ATTT cho doanh nghiệp? Công ty cần chuẩn bị để đạt số chứng nhân ATTT ? Cơng ty có lợi ích đạt số chứng , tiêu chuẩn ATTT Hệ thống quản lý an tồn thơng tin ? -Là cơng cụ để nhà lãnh đạo quản lý thực việc giám sát, quản lý hệ thống thơng tin, tăng cường mức độ an tồn, bảo mật, giảm thiểu rủi ro cho hệ thống thông tin, đáp ứng mục tiêu doanh nghiệp, tổ chức ˗ Là hệ thống đưa phương pháp đánh giá việc theo dõi; bảo vệ quản lý hệ thống thông tin, liệu Việc thông tin trường hợp nào; dù hay nhiều gây thiệt hại cho tổ chức.Thậm chí khiến tổ chức sụp đổ Mục tiêu hệ thống an tồn thơng tin? Các tiêu chuẩn,chứng ATTT cho doanh nghiệp? Tiêu chuẩn ISO/IEC 27001:2013 hay Tiêu chuẩn Cơng nghệ thơng tin -Các kĩ thuật an tồn - Hệ thống quản lí an tồn thơng tin - Các yêu cầu có tên tiếng Anh là: ISO/IEC 27001:2013 Information technology — Security techniques — Information security management systems — Requirements ˗ Tiêu chuẩn SO/IEC 27001:2013 tiêu chuẩn qui định yêu cầu hoạt động thiết lập triển khai, trì cải tiến liên tục hệ thống quản lí an tồn thơng tin bối cảnh tổ chức ˗ Tiêu chuẩn bao gồm yêu cầu cho việc đánh giá xử lí rủi ro an tồn thơng tin phù hợp với yêu cầu tổ chức Các yêu cầu đặt tiêu chuẩn mang tính chất tổng quan nhằm áp dụng cho tất tổ chức với loại hình, qui mơ hay chất Cơng ty cần chuẩn bị để đạt số chứng nhận ATTT ? Quy trình triển khai tiêu chuẩn ISO 27001 ˗ ISO-CERT đơn vị chuyên tư vấn Triển khai Hệ thống ISMS cho công ty, doanh nghiệp, tổ chức Chúng đề xuất tổ chức xây dựng ISMS theo bước để đáp ứng yêu cầu tiêu chuẩn ISO 27001: Bước 1: Khảo sát lập kế hoạch Bước 2: Xác định phương pháp quản lý rủi ro an tồn thơng tin Bước 3: Xây dựng hệ thống đảm bảo an toàn thông tin đơn vị Bước 4: Triển khai áp dụng: biện pháp lựa chọn, đáp ứng sách, quy định, quy trình xây dựng u cầu tiêu chuẩn ISO 27001 Bước 5: Đánh giá nội bộ: khắc phục điểm không phù hợp với yêu cầu tiêu chuẩn ˗ Sau thực xong bước Cơng ty/doanh nghiệp/tổ chức mời Áp dụng ISMS theo ISO 27001 doanh nghiệp Bước 1, khảo sát trạng tổ chức nhằm nắm bắt thực trạng quản lý ATTT tổ chức yêu cầu, mong muốn Lãnh đạo cho việc quản lý ATTT Bước 2, lập kế hoạch xây dựng ISMS: Trên sở kết khảo sát trạng tổ chức đề xuất kế hoạch để xây dựng ISMS cho phù hợp với thực tế tổ chức ˗ Bước 3, xây dựng hệ thống tài liệu triển khai áp dụng: Xây dựng sách, quy định, quy trình ATTT ban hành văn Sau ban hành, thực áp dụng yêu cầu, điều khoản sách, quy định vào hệ thống CNTT với phạm vi đưa văn ban hành ˗ Bước 4, thực đánh giá nội tổ chức: Đánh giá nội giúp phát điểm không phù hợp với yêu cầu tiêu chuẩn, sách, quy định Từ đó, tổ chức đưa kế hoạch khắc phục điểm không phù hợp Đồng thời, giai đoạn chuẩn bị cho việc đánh giá độc lập tổ chức đánh giá cấp chứng nhận chuyên nghiệp ˗ Bước 5, đánh giá chứng nhận: Tổ chức đánh giá độc lập thực đánh giá hệ thống ISO 27001 đơn vị kết luận đơn vị có đáp ứng đầy đủ yêu cầu bắt buộc tiêu chuẩn đưa hay không tiến hành cấp Chứng nhận Hệ thống quản lý ATTT đơn vị đáp ứng điều kiện Cơng ty có lợi ích đạt số chứng , tiêu chuẩn ATTT ˗ Lợi ích tổ chức, doanh nghiệp chứng nhận chứng ISO 27001 Lưu trữ, khai thác thông tin cách hiệu xác: Tăng cường khả quản lý cho doanh nghiệp Giảm chi phí, tăng lợi nhuận Liên tục cải tiến Lợi ích cho khách hàng bạn: ˗ Nhận tin tưởng khách hàng bạn toàn chuỗi cung ứng bạn ˗ Giảm thiểu khả vi phạm gây tốn chi phí ˗ Giảm chi phí cho nhà cung cấp ˗ Được bảo mật thông tin cách tối ưu Lợi ích cho tổ chức bạn: ˗ Bảo vệ IP, thương hiệu uy tín bạn ˗ Kiếm nhiều doanh nghiệp từ khách hang khách hang ˗ Giảm chi phí bán hang ˗ Giúp mối quan hệ bền chặt với nhiều doanh nghiệp cũ ˗ Cải tiến quy trình dẫn đến tiết kiệm chi phí thời gian ˗ Tránh phạt tiền từ việc không tuân thủ quy định (như GDPR) ˗ Tránh kiện dân vi phạm liệu ˗ Tránh chi phí cho hành động khắc phục hậu cố / vi phạm ˗ Thu hút nhân viên tốt Lợi ích cho nhân viên bạn: ˗ Tin tưởng vào bền vững tổ chức ˗ Đào tạo cho cơng việc (và an ninh gia đình) ˗ Rõ rang thơng qua sách thủ tục ˗ Tự hào tổ chức vai trò họ việc bảo vệ TÌNH HUỐNG Tình 1: Để phục vụ cho nhu cầu học tập tra cứu cán bộ, giảng viên sinh viên trường, nhà trường xây dựng hệ thống thư viện trực tuyến www.thuviendientu.iuh.edu.vn, hệ thống giúp độc giả (cán bộ, giảng viên sinh viên trường) tìm kiếm loại sách, báo, tạp chí,…Đối với tài liệu điện tử độc giả đọc trực tuyến tải về, sách thư viện độc giả đăng ký mượn Độc giả yêu cầu mua loại tài liệu điện tử tốn phí mua trực tuyến Hệ thống giúp cho thủ thư quản lý thông tin mượn trả sách độc giả, hệ thống cịn có tính thơng báo nhắc nhở đến hạn trả sách email, tạo báo cáo, thống kê Yêu cầu: Với tình cho, bạn Chỉ loại thơng tin/dữ liệu/chức cần nâng cao tính an tồn nêu lý sao? Nhóm 1: thơng tin cá nhân độc giả Giải pháp: xác thực điều khiển truy cập username + password Mô tả phương pháp Mỗi độc giả có tài khoản người dùng để xuất vào hệ thống truy xuất thông tin riêng tư thân gán quyền truy xuất Trước lúc thực công việc mượn sách, trả sách phải tiến hành thủ tục đăng ký tài khoản người dùng Tại bước đăng ký đó, độc giả, thủ thư nhập tất thơng tin cá nhân họ tên, ngày sinh, chứng minh thư, địa chỉ, số điện thoại, sau hệ thống tạo mật cho người dùng cách để người dùng tùy ý chọn tên username tùy theo người mật (thường mật mạnh với độ dài kí tự bao gồm chữ thường, chữ in hoa, số, ký tự đặc biệt, ) mật nhập lại lần để đảm bảo chắn, Sau điền hoàn thành tất bước nhập liệu bạn thành công việc cài đặt username + password cho tài khoản người dùng Lúc hệ thống lấy password đưa qua hàm băm tạo mã băm, sau user name với mã băm vừa tạo lưu trữ file Khi người dùng nhập user name/ID password, hệ thống lấy user name/id vừa nhập kiểm tra với sở liệu có hay khơng, có hệ thống bắt đầu tính tốn giá trị băm mật nhập so sánh với giá trị băm lưu tập tin Nếu trùng khớp, người dùng gán quyền truy cập vào hệ thống, ngược lại, quyền truy cập bị từ chối Lý lựa chọn Phương pháp phương pháp đơn giản, tốn chi phí hữu hiệu để xác thực người dùng gán quyền truy xuất liệu Chỉ có chủ nhân truy xuất (đọc/thêm/xóa/sửa) thơng tin cá nhân độc giả Bất kỳ người ngồi khơng thể truy cập vào tài khoản để xem đánh cắp thông tin Việc băm mật giúp cho trường hợp thông tin chứa mật bị đánh cắp có người khơng hợp pháp tiếp cận khó đốn mật ban đầu, việc khôi phục lại mật gốc từ bảng băm khó khăn tốn nhiều chi phí đảm bảo tính bảo mật tồn vẹn thơng tin Khơng sử dụng hình thức sinh trắc học chi phí đắt, tốn nhiều thời gian cho việc lấy khuôn mẫu tất sinh viên, cán bộ, giảng viên trường Trong trường hợp tay bị ướt, lạnh, bị mòn hay bị thương khó xác định dấu vân tay Nhóm 2: chức tốn phí mua trực tuyến Giải pháp: bảo mật hai lớp; lớp thứ user name + password, lớp thứ hai xác thực OTP Mô tả phương pháp Đối với lớp thứ username + password User name tên người sử dụng password (mật khẩu) thường xâu, chuỗi, loạt ký tự mà dịch vụ internet phần mềm hệ thống máy tính yêu cầu người sử dụng nhập vào bàn phím trước tiếp tục sử dụng số tính định.mật để đăng nhập vào website Đối với mật dạng cố định dùng lặp lặp lại lần truy xuất, xây dựng theo hướng Salting the password để đảm bảo độ an toàn cao Khi đăng ký tài khoản, hệ thống yêu cầu người dùng cung cấp user name password, sau hệ thống tiếp tục tạo cho người dùng chuỗi ngẫu nhiên gọi Salt Lúc hệ thống lấy password với Salt đưa vào hàm băm tạo mã băm Hệ thống lưu trữ thông tin chứa tài khoản vào tập tin bao gồm: user name, salt, giá trị băm Khi người dùng nhập user name/ID password, hệ thống lấy user name/id vừa nhập kiểm tra với sở liệu có hay khơng, có hệ thống trích chuỗi salt, ghép với password nhận được, thực băm, so sánh kết với giá trị lưu trữ Nếu trùng khớp, người dùng gán quyền truy cập vào website, ngược lại, quyền truy cập bị từ chối Đối với lớp thứ hai xác thực mã OTP OTP từ viết tắt One Time Password, có nghĩa mật dùng lần Thậm chí người dùng chưa sử dụng sau khoảng 30 giây đến phút, mã xác nhận hiệu lực Và người dùng khơng cịn sử dụng cho giao dịch khác OTP giúp chặn đứng, giảm thiểu không may bị tiến công mật bị lộ hacker xâm nhập.Khi người dùng tiến hành đăng nhập website user password đăng ký Sau đăng nhập thành công, người dùng lựa chọn hình thức tốn, lúc website yêu cầu việc xác nhận lại thông tin tên, địa chỉ, số tiền, hình thức chuyển, người dùng cần bấm xác nhận nhấn thực giao dịch Ngay sau hệ thống website tự động gửi dãy số điện thoại đăng ký người dùng qua sms Lúc người dùng nhận mã OTP cần nhập mã xác nhận cho việc thực giao dịch hồn tất mà thơi Lý lựa chọn Dùng lớp thứ username + password để xác nhận chủ nhân tài khoản đó, có người đăng ký có username password, người ngồi khơng thể tùy ý truy cập vào Hình thức đơn giản nhanh chóng, thơng dụng tất người dùng Việc dùng salt làm cho kỹ thuật công mật trở nên khó khăn (trong hạn chế nhiều việc cơng từ điển) Ví dụ: mật gốc có ký số salt có ký số, việc băm thực giá trị có 10 ký số Điều làm cho kẻ cơng phải xử lý, dị tìm liệu gồm 10 số, dẫn đến tốn thời gian chi phí Việc thực salt hiệu chuỗi salt số ngẫu nhiên dài Dùng lớp thứ hai xác thực mã OTP mật thứ gửi tin nhắn điện thoại người dùng để xác thực chắn lần chủ nhân tài khoản mã OTP gửi đến số điện thoại đăng ký người dùng Nếu khơng mau người dùng bị kẻ gian đánh cắp tài khoản, mật kẻ gian khơng thể sử dụng thơng tin để tốn Một tài khoản xác nhận giao dịch mã OTP gửi đến SMS điện thoại, người dùng khơng thực giao dịch họ biết có kẻ cơng thực chức toán, lúc người dùng kịp thời có biện pháp để giải hạn chế rủi ro tiền, Đưa giải pháp (chữ ký số, xác thực điều khiểu truy cập mật (fixed password, OTP), thẻ từ, camera, sinh trắc học (vân tay khuôn mặt, ngơi,…)) để cài đặt nâng cao tính an tồn cho loại thơng tin/dữ liệu/chức nêu lý phương pháp pháp hữu hiệu 3.Đưa giải pháp : nêu tên giải pháp, mô tả sơ lược giả pháp, mô tả cách cài đặt cấu hình Tình 2: Để phục vụ nhu cầu học tập nghiên cứu cán bộ, giảng viên sinh viên trường (gọi chung độc giả), nhà trường trang bị phòng đọc sách cho độc giả Phịng có trang bị máy lạnh, bàn ghế, wifi, 100 máy tính để bàn Sinh viên tự vào phịng đọc sách khoảng thời gian thư viện mở để ngồi đọc sách, học tập nghiên cứu dùng máy tính Các máy tính dùng để học tập/nghiên cứu khơng cho phép chơi game Yêu cầu: Theo bạn để kiểm sốt, chứng thực theo dõi vào phòng đọc sách độc giả cách tự động dùng phương pháp (chữ ký số, xác thực điều khiển truy cập mật (fixed password, OTP), thẻ từ, camera, sinh trắc học (vân tay khuôn mặt,con ngơi,…)) để kiểm soát nêu lý phương pháp hữu hiệu để thiết lập nâng cao tính an tồn thơng tin 2.Theo bạn để chứng thức, kiểm soát theo dõi việc sử dụng wifi thiết bị máy móc phịng đọc sách dùng phương pháp (chữ ký số, xác thực điều khiển truy cập mật (fixed password, OTP), thẻ từ, camera, sinh trắc học (vân tay khuôn mặt, ngơi,…)) nêu lý phương pháp hữu hiệu để thiết lập nâng cao tính an tồn thơng tin ... thực nghiệp vụ có sử dụng chữ ký số (gợi ý: Website quan Thuế, Wibsite quan Hải quan, Website quan Bảo hiểm xã hội, ) Đưa hệ thống thông tin trang web thực tế Việt Nam mà có sử dụng chữ ký điện... nghiệp vụ có sử dụng chữ ký số (gợi ý: Website quan Thuế, Website quan Hải quan, Website quan Bảo hiểm xã hội, ) Bước1: Đăng nhập vào Trang thông tin điện tử Tổng cục Thuế http://thuedientu.gdt.gov.vn... loại ngoại tệ sử dụng + Thơng tin ngân hàng: Chọn ngân hàng số tài khoản để trích tiền + Thơng tin quan quản lý thu: Chính thơng tin quan thuế quản lý đơn vị + Thông tin nơi phát sinh khoản thu: