Tài liệu được biên soạn bởi Đồng Thanh Tuấn, sinh viên lớp 72DCTT21, Khoa Công nghệ Thông tin. Tài liệu này là đề cương tổng hợp theo sát đề thi, với đáp án được giải thích dựa trên nội dung các slide bài giảng của thầy cô. Tài liệu bao gồm nhiều dạng câu hỏi lý thuyết và bài tập, giúp các bạn ôn luyện toàn diện cho kỳ thi cuối kỳ. Chúc các bạn có một kỳ thi thuận lợi và đạt kết quả cao!
Trang 1ĐỀ CƯƠNG: AN TOÀN BẢO MẬT HỆ THỐNG THÔNG TIN
1 - Câu 1 Anh chị hãy so sánh đặc điểm của hệ mật mã khóa đối xứng với hệmật mã khóa bất đối xứng?
- Giống nhau:Đều sử dụng các thuật toán và khóa toán học để mã hóa và giải mã dữ liệu- Khác nhau:
Hệ mật mã khóa đối xứng
Kích thước khóa: Ngắn (64, 128, 192 bit)Khóa sử dụng: Cùng một khóa được sử dụng cho cả mã hóa và giải mã.Tốc độ: Nhanh
Bảo mật: An toàn nếu khóa được giữ kín, nhưng việc phân phối khóa là điểmyếu
Ứng dụng: Thường được sử dụng trong việc mã hóa dữ liệu lớn (ví dụ: AES,DES)
Hệ mật mã khóa bất đối xứng
Kích thước khóa: Lớn (1024 – 3072 bit)Khóa sử dụng: Sử dụng cặp khóa (một khóa công khai để mã hóa và một khóariêng tư để giải mã)
Tốc độ: Chậm Bảo mật: An toàn hơn cho việc trao đổi khóa vì không cần chia sẻ khóa bí mật.Ứng dụng: Thường được sử dụng trong việc trao đổi khóa và xác thực (ví dụ:RSA, ElGamal)
Tóm lại, hệ mật mã khóa đối xứng thích hợp cho việc mã hóa dữ liệu lớndo tốc độ nhanh, trong khi hệ mật mã khóa bất đối xứng lại an toàn hơn choviệc trao đổi khóa và xác thực nhưng có tốc độ chậm hơn
2 - Câu 2: Anh chị hãy giải thích tại sao cần phải đảm bảo an toàn cho thông tinvà hệ thống thông tin?
Đảm bảo an toàn cho thông tin và hệ thống thông tin là rất cần thiết vì các lý dosau:
Trang 21 Bảo vệ thông tin nhạy cảm: Tránh lộ thông tin cá nhân, tài chính, và dữ
liệu quan trọng khác.2 Ngăn chặn truy cập trái phép: Ngăn chặn các cuộc tấn công từ hacker
và phần mềm độc hại.3 Đảm bảo tính toàn vẹn: Đảm bảo dữ liệu không bị thay đổi hoặc hỏng
hóc.4 Duy trì tính khả dụng: Đảm bảo hệ thống luôn hoạt động ổn định,
không bị gián đoạn.5 Tuân thủ quy định pháp luật: Đáp ứng các yêu cầu về bảo mật thông
tin theo quy định của pháp luật và tiêu chuẩn ngành.6 Bảo vệ uy tín và niềm tin: Giữ gìn uy tín của tổ chức và niềm tin của
khách hàng, đối tác.3 - Câu 3: Anh chị hãy giải thích các lớp phòng vệ điển hình trong mô hình đảmbảo an toàn hệ thống thông tin có chiều sâu Defence in Depth?
Các lớp phòng vệ điển hình: - Lớp an ninh cơ quan/tổ chức (Plant Security) + Lớp bảo vệ vật lý
+ Lớp chính sách & thủ tục đảm bảo ATTT - Lớp an ninh mạng (Network Security) + Lớp an ninh cho từng thành phần mạng + Tường lửa, mạng riêng ảo (VPN)
Trang 3- Lớp an ninh hệ thống (System Security) + Lớp tăng cường an ninh hệ thống
+ Lớp quản trị tài khoản và phân quyền người dùng + Lớp quản lý các bản vá và cập nhật phần mềm + Lớp phát hiện và ngăn chặn phần mềm độc hại4 - Câu 4: Anh chị hãy giải thích các thuộc tính an ninh an toàn của hệ thốngthông tin theo mô hình CIA?
Mô hình CIA (Confidentiality, Integrity, Availability) gồm các thuộc tính:- Tính bí mật (Confidentiality): Đảm bảo thông tin chỉ được truy cập bởi nhữngngười, quy trình hoặc thiết bị được ủy quyền
- Tính toàn vẹn (Integrity): Đảm bảo thông tin không bị thay đổi, xóa bỏ, hoặclàm sai lệch bởi các yếu tố không được ủy quyền Dữ liệu phải chính xác vànhất quán trong suốt quá trình lưu trữ, truyền tải, và sử dụng
- Tính khả dụng (Availability): Đảm bảo thông tin và các dịch vụ hệ thống luônsẵn sàng cho những người dùng được ủy quyền khi cần thiết
5 - Câu 5+6: Anh chị hãy giải thích quan hệ giữa mối đe dọa và lỗ hổng tronghệ thống thông tin và liệt kê các mối đe dọa thường gặp ?
* Mối quan hệ giữa mối đe dọa và lỗ hổng:- Các mối đe dọa thường khai thác một hoặc một số lỗ hổng đã biết để thực hiệncác cuộc tấn công phá hoại;
- Nếu tồn tại một lỗ hổng trong hệ thống, sẽ có khả năng một mối đe dọa trởthành hiện thực;
- Không thể triệt tiêu được hết các mối đe dọa, nhưng có thể giảm thiểu các lỗhổng, qua đó giảm thiểu khả năng bị tận dụng để tấn công
* Các mối đe dọa thường gặp:- Phần mềm độc hại
- Hư hỏng phần cứng hoặc phần mềm
Trang 4- Kẻ tấn công ở bên trong- Mất trộm các thiết bị- Kẻ tấn công ở bên ngoài- Tai họa thiên nhiên- Gián điệp công nghiệp- Khủng bố phá hoại.6 - Câu 7: Anh chị hãy vẽ sơ đồ cấp và sử dụng chứng chỉ số, giải thích sơ đồ?Sơ đồ cấp và sử dụng chứng chỉ số trong hệ thống hạ tầng khóa công khai (PKI)thường bao gồm các thành phần chính như sau:
1 Certificate Authority (CA) - Tổ chức phát hành chứng chỉ: Đơn vị
đáng tin cậy có nhiệm vụ phát hành, quản lý, thu hồi chứng chỉ số.2 Registration Authority (RA) - Tổ chức đăng ký: Xác minh thông tin
người dùng trước khi CA cấp chứng chỉ.3 User - Người dùng: Cá nhân hoặc tổ chức yêu cầu và sử dụng chứng chỉ
số.4 Repository - Kho lưu trữ: Lưu trữ và phân phối chứng chỉ số cũng như
danh sách thu hồi chứng chỉ (CRL)
Trang 5Giải thích sơ đồ:
User gửi yêu cầu chứng chỉ đến RA. RA xác minh thông tin và gửi yêu cầu đến CA. CA phát hành chứng chỉ và gửi lại cho User qua RA. User sử dụng chứng chỉ để xác thực khi giao tiếp với đối tác hoặc hệ thống
khác. Đối tác/Hệ thống kiểm tra tính hợp lệ của chứng chỉ thông qua VA. VA liên hệ với CA để xác nhận và kiểm tra chứng chỉ
Tóm tắt quy trình
- Người dùng: Gửi yêu cầu chứng chỉ số đến RA.- RA: Xác minh thông tin, gửi yêu cầu đến CA.- CA: Phát hành chứng chỉ số, gửi lại cho người dùng qua RA.- Người dùng: Sử dụng chứng chỉ số để xác thực danh tính.- Đối tác/Hệ thống: Kiểm tra tính hợp lệ của chứng chỉ số thông qua VA.- VA: Liên hệ với CA để xác nhận và kiểm tra chứng chỉ số.
Trang 67 - Câu 8: Trong hệ mã hóa DES, anh/chị hãy vẽ sơ đồ thuật toán các bước sinhkhóa phụ của hệ mã, giải thích sơ đồ đó?
Giải thích sơ đồ:
Khóa chính 64 bit: Bắt đầu từ khóa chính 64 bit.
PC1 (Permutation Choice 1): Hoán vị khóa chính để giảm từ 64 bit xuống 56
bit (loại bỏ các bit chẵn lẻ). Chia đôi khóa: Chia khóa 56 bit thành hai phần C0 và D0, mỗi phần 28 bit.
Dịch vòng trái và hoán vị PC2 (16 vòng lặp):
Dịch vòng trái: Dịch vòng trái Cn và Dn một số bit cố định (1 hoặc 2 bit tùy
theo vòng lặp). PC2 (Permutation Choice 2): Hoán vị và chọn 48 bit từ 56 bit để tạo khóa con
Kn
Trang 7 Lặp lại 16 lần: Quá trình này lặp lại cho tất cả 16 vòng để tạo ra 16 khóa con
K1 đến K16, mỗi khóa con 48 bit.8 - Câu 10: Anh chị hãy trình bày về biện pháp điều khiển truy nhập DAC vàcho ví dụ?
Biện pháp điều khiển truy nhập DAC (Discretionary Access Control) làmột phương thức kiểm soát truy cập dựa trên quyền hạn được xác định bởi chủsở hữu tài nguyên hoặc dữ liệu Trong hệ thống điều khiển truy cập tùy ý(DAC), người sở hữu tài nguyên (tập tin, thư mục, hoặc các tài nguyên khác) cóquyền quyết định ai có thể truy cập vào tài nguyên đó và các mức độ truy cậpnào (đọc, ghi, thực thi)
Các đặc điểm chính của DAC:1 Quyền sở hữu: Chủ sở hữu tài nguyên có toàn quyền kiểm soát và có thể gánquyền truy cập cho các người dùng khác
2 Quản lý linh hoạt: DAC cho phép thay đổi quyền truy cập một cách linh hoạtvà tùy ý dựa trên quyết định của chủ sở hữu
3 Sử dụng danh sách điều khiển truy cập (ACL): Các quyền truy cập thườngđược lưu trữ trong một danh sách gọi là Access Control List (ACL), xác địnhcác quyền cho từng người dùng hoặc nhóm người dùng
Ví dụ về DAC:Tình huống: Trong một hệ thống máy tính, người dùng Alice tạo ra một tập tindữ liệu quan trọng gọi là important_data.txt
1 Chủ sở hữu tài nguyên: A là chủ sở hữu của tập tin “important_data.txt”.2 Quyền truy cập ban đầu: A có quyền đọc, ghi và thực thi trên tập tinimportant_data.txt
3 Gán quyền truy cập:A quyết định rằng B cần quyền đọc tập tin này để thực hiện công việc của mình.Vì vậy, A gán quyền đọc cho B
A cũng quyết định rằng C cần quyền đọc và ghi tập tin này để có thể chỉnh sửanội dung khi cần thiết A gán quyền đọc và ghi cho C
4 Thay đổi quyền truy cập:
Trang 8Nếu A quyết định rằng B không còn cần quyền truy cập vào tập tin nữa, A cóthể gỡ quyền đọc của B khỏi important_data.txt.
Nếu C cần thêm quyền thực thi tập tin, A có thể cập nhật quyền của C để baogồm quyền thực thi
9 - Câu 11: Anh chị hãy phân tích các kỹ thuật kiểm soát truy nhập trên tưởnglửa? Liệt kế các hạn chế của tượng lửa?
Kỹ thuật kiểm soát truy nhập trên tường lửa1 Lọc gói (Packet Filtering):
o Mô tả: Kiểm tra các gói tin ra vào dựa trên địa chỉ IP nguồn và
đích, cổng nguồn và đích, và giao thức sử dụng.o Ưu điểm: Nhanh chóng, đơn giản.
o Nhược điểm: Không kiểm tra được nội dung gói tin, dễ bị vượt
qua nếu không thiết lập cẩn thận.2 Tường lửa trạng thái (Stateful Firewall):
o Mô tả: Theo dõi trạng thái kết nối, chỉ cho phép các gói tin thuộc
phiên kết nối hợp lệ đi qua.o Ưu điểm: Bảo mật cao hơn so với lọc gói thông thường, kiểm soát
tốt các kết nối phức tạp.o Nhược điểm: Tốn tài nguyên hệ thống hơn, có thể phức tạp để cấu
hình.3 Tường lửa ứng dụng (Application Firewall):
o Mô tả: Kiểm tra dữ liệu ở tầng ứng dụng, có thể phân tích và kiểm
tra nội dung gói tin.o Ưu điểm: Bảo mật cao, ngăn chặn được các cuộc tấn công ứng
dụng.o Nhược điểm: Chậm hơn do phải kiểm tra nội dung chi tiết, yêu cầu
cấu hình phức tạp.4 Tường lửa proxy (Proxy Firewall):
o Mô tả: Hoạt động như một trung gian giữa người dùng và internet,
kiểm tra và lọc yêu cầu trước khi chuyển tiếp.o Ưu điểm: Giấu địa chỉ IP nội bộ, bảo mật tốt hơn.
o Nhược điểm: Tăng độ trễ, yêu cầu cấu hình và quản lý phức tạp.
Hạn chế của tường lửa1 Không ngăn chặn được tất cả các mối đe dọa:
Trang 9o Tường lửa không thể chống lại các cuộc tấn công từ bên trongmạng hoặc các cuộc tấn công đã vượt qua được lớp bảo vệ.
2 Tốn tài nguyên hệ thống:
o Việc kiểm tra và lọc gói tin có thể làm giảm hiệu suất hệ thống, đặcbiệt khi xử lý lượng lớn dữ liệu
3 Yêu cầu cấu hình và quản lý phức tạp:
o Để tường lửa hoạt động hiệu quả, cần phải có cấu hình chính xácvà liên tục cập nhật, điều này đòi hỏi kiến thức chuyên sâu và kỹ năng
4 Không kiểm soát được lưu lượng mã hóa:
o Tường lửa khó kiểm tra nội dung của các gói tin đã được mã hóa,dễ dẫn đến bỏ sót các mối đe dọa tiềm ẩn
5 Hạn chế trong việc kiểm soát ứng dụng:
o Tường lửa truyền thống khó khăn trong việc nhận diện và kiểmsoát các ứng dụng hiện đại, đòi hỏi phải sử dụng thêm các giải pháp bảo mậtkhác
Trang 1010 - Câu 12: Anh chị hãy vẽ sơ đồ quá trình tạo và kiểm tra chữ ký số, giảithích sơ đồ?
Các bước của quá trình ký một thông điệp (bên người gửi): - Tính toán chuỗi đại diện (message digest/hash value) của thông điệp sử dụngmột giải thuật băm (Hashing algorithm);
- Chuỗi đại diện được ký sử dụng khóa riêng (Private key) của người gửi và mộtgiải thuật tạo chữ ký (Signature/Encryption algorithm) Kết quả là chữ ký số(Digital signature) của thông điệp hay còn gọi là chuỗi đại diện được mã hóa(Encrypted message digest);
- Thông điệp ban đầu (message) được ghép với chữ ký số (Digital signature) tạothành thông điệp đã được ký (Signed message);
- Thông điệp đã được ký (Signed message) được gửi cho người nhận.Các bước của quá trình kiểm tra chữ ký (bên người nhận):
- Tách chữ ký số và thông điệp gốc khỏi thông điệp đã ký để xử lý riêng; - Tính toán chuỗi đại diện MD1 (message digest) của thông điệp gốc sử dụnggiải thuật băm (là giải thuật sử dụng trong quá trình ký);
Trang 11- Sử dụng khóa công khai (Public key) của người gửi để giải mã chữ ký số chuỗi đại diện thông điệp MD2;
- So sánh MD1 và MD2:
+ Nếu MD1 = MD2 chữ ký kiểm tra thành công Thông điệp đảm bảotính toàn vẹn và thực sự xuất phát từ người gửi (do khóa công khai được chứngthực)
+ Nếu MD1 <> MD2 chữ ký không hợp lệ Thông điệp có thể đã bị sửađổi hoặc không thực sự xuất phát từ người gửi
3 Thuật Toán Mã Hóa (Encryption Algorithm): Bản tóm tắt được mã hóa bằng
‘Khóa Riêng của Người Gửi’ để tạo thành ‘Bản Tóm Tắt Đã Mã Hóa’. Phía Người Nhận (Receiver):
1 Bản Tin (Message): Người nhận cũng có một bản tin giống như của người gửi.2 Thuật Toán Tạo Bản Tóm Tắt (Message Digest Algorithm): Bản tin của
người nhận cũng được đưa qua thuật toán tạo bản tóm tắt để tạo ra một giá trịbăm
3 Thuật Toán Giải Mã (Decryption Algorithm): Người nhận sử dụng ‘Khóa
Công Khai của Người Gửi’ để giải mã dữ liệu nhận được thành ‘Bản Tóm Tắt’
4 So Sánh Bản Tóm Tắt: Bản tóm tắt này được so sánh với bản tóm tắt gửi từ
người gửi Nếu bằng nhau (được ký hiệu bằng “=”), thì xác nhận ‘Bản tin đãđược truyền đúng’ Nếu không bằng nhau (được ký hiệu bằng ≠), thì xảy ra lỗi‘Lỗi! Bản tin đã bị thay đổi’
11 - Câu 13: Anh chị hãy giải thích tấn công kiểu Social Engineering và nếu cáccách phòng chống?
Trang 12Tấn công kiểu Social Engineering là dạng tấn công sử dụng các kỹ thuậtxã hội đã thuyết phục người dùng tiết lộ thông tin truy nhập hoặc các thông tincó giá trị cho kẻ tấn công
- Kẻ tấn công có thể giả danh làm người có vị trí cao hơn so với nạn nhân để cóđược sự tin tưởng;
- Kẻ tấn công có thể mạo nhận là người được ủy quyền của người có thẩmquyền để yêu cầu các nhân viên tiết lộ thông tin về cá nhân/tổ chức
- Kẻ tấn công có thể lập trang web giả để đánh lừa người dùng cung cấp cácthông tin cá nhân và thông tin tài khoản, thẻ tín dụng,…
Cách phòng chống:
- Giáo dục và đào tạo:
o Tăng cường nhận thức và kiến thức về các phương thức tấn côngSocial Engineering cho nhân viên
o Tổ chức các buổi tập huấn, diễn tập phòng chống tấn công
- Kiểm soát truy cập vật lý:
o Sử dụng thẻ từ, mã PIN hoặc các biện pháp xác thực khác để kiểmsoát việc truy cập vào các khu vực hạn chế
o Đảm bảo rằng cửa ra vào luôn được đóng và bảo vệ bởi các biệnpháp an ninh
- Thực hiện các biện pháp xác thực mạnh:
o Áp dụng xác thực hai yếu tố (2FA) để tăng cường bảo mật khi truycập hệ thống
Trang 13o Sử dụng mật khẩu mạnh và thay đổi thường xuyên.
- Validation Authority (VA): Cơ quan xác nhận thông tin nhận dạng của ngườidùng thay mặt CA;
- Central Directory (CD): Là nơi lưu danh mục và lập chỉ số các khóa; - Certificate Management System: Hệ thống quản lý chứng chỉ;
- Certificate Policy: Chính sách về chứng chỉ
Trang 1413 - Câu 15: Trong hệ mã hóa DES, anh chị hãy vẽ sơ đồ thuật toán các bướcxử lý chính của hệ mã, giải thích sơ đồ?
Giải thích sơ đồ các bước xử lý của hệ mã DES
Trang 151 Bước 1: Hoán vị ban đầu (Initial Permutation - IP):
o Dữ liệu đầu vào: Bản rõ (64 bit).
o Hoán vị IP: Hoán vị các bit của bản rõ theo một quy tắc nhất định
để chuẩn bị cho các bước xử lý tiếp theo.2 Bước 2: 16 vòng lặp Feistel:
o Chia khối dữ liệu: Sau khi hoán vị IP, khối dữ liệu được chia
thành hai phần: L0 (32 bit) và R0 (32 bit)
Mỗi vòng lặp i (từ 1 đến 16) thực hiện các bước sau:
Tính toán: Ri=Li−1⊕f(Ri−1,Ki), trong đó f là hàm
Feistel, Ki là khóa con cho vòng lặp i.o Mục đích: 16 vòng lặp Feistel giúp tạo ra một quá trình mã hóa
phức tạp và an toàn.3 Bước 3: Hoán vị ngược (Inverse Initial Permutation - IP^-1):
o Sau 16 vòng lặp, kết quả cuối cùng được hoán vị lại một lần nữabằng hoán vị ngược IP^-1 để tạo ra bản mã (64 bit)
Chi tiết hàm Feistel (f):
Hàm mở rộng (Expansion Function - E): Mở rộng Ri−1 từ 32 bit lên 48
bit. Khóa vòng (Key Mixing): XOR với khóa con Ki.
Hộp S (Substitution Boxes - S-boxes): Chia 48 bit thành 8 phần, mỗi
phần 6 bit và thay thế bằng 4 bit. Hàm hoán vị (Permutation Function - P): Hoán vị lại 32 bit từ S-boxes.
Tóm tắt:
Quá trình mã hóa DES gồm 3 bước chính: hoán vị ban đầu, 16 vòng lặp
Feistel, và hoán vị ngược. Mục đích: Đảm bảo dữ liệu được mã hóa an toàn và khó bị giải mã nếu
không có khóa phù hợp
Trang 1614 - Câu 17: Anh chị hãy giải thích cơ chế phát hiện xâm nhập dựa trên chữ kýcủa hệ thống IDS/IPS?
Cơ chế phát hiện xâm nhập dựa trên chữ ký (IDS/IPS) hoạt động như sau:1 IDS (Intrusion Detection System - Hệ thống phát hiện xâm nhập):
o IDS sử dụng cơ chế chữ ký để phát hiện các hành vi xâm nhập dựatrên các mẫu hoặc chữ ký đã biết trước
o Khi một gói tin mạng hoặc một chuỗi hành vi trên mạng khớp vớimột chữ ký đã được xác định trước đó (thường là các đặc điểm của các cuộc tấncông đã biết), IDS sẽ phát hiện và cảnh báo về sự kiện này
o Ví dụ: Nếu một gói tin đến mạng mà có dấu hiệu giống với mộtloại tấn công đã biết như mã độc hay quét cổng, IDS sẽ phát hiện và báo cáo.2 IPS (Intrusion Prevention System - Hệ thống ngăn chặn xâm nhập):
o IPS cũng sử dụng cơ chế chữ ký để phát hiện các mẫu tấn công, tuynhiên nó còn có khả năng ngăn chặn hành vi xâm nhập trước khi nó gây ra hạicho hệ thống
o Khi IPS phát hiện một mẫu tấn công được xác định, nó có thể tựđộng thực hiện các hành động như chặn gói tin xâm nhập, ngắt kết nối hay cảnhbáo người quản trị để thực hiện các biện pháp phòng ngừa