1. Trang chủ
  2. » Giáo Dục - Đào Tạo

ĐỀ CƯƠNG AN TOÀN BẢO MẬT THÔNG TIN - TMU (mới 2020)

50 896 25

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 50
Dung lượng 417,5 KB

Nội dung

ĐỀ CƯƠNG AN TOÀN BẢO MẬT THÔNG TIN - TMU (mới 2020) ĐỀ CƯƠNG AN TOÀN BẢO MẬT THÔNG TIN - TMU (mới 2020) ĐỀ CƯƠNG AN TOÀN BẢO MẬT THÔNG TIN - TMU (mới 2020) ĐỀ CƯƠNG AN TOÀN BẢO MẬT THÔNG TIN - TMU (mới 2020) ĐỀ CƯƠNG AN TOÀN BẢO MẬT THÔNG TIN - TMU (mới 2020) ĐỀ CƯƠNG AN TOÀN BẢO MẬT THÔNG TIN - TMU (mới 2020) ĐỀ CƯƠNG AN TOÀN BẢO MẬT THÔNG TIN - TMU (mới 2020) ĐỀ CƯƠNG AN TOÀN BẢO MẬT THÔNG TIN - TMU (mới 2020)

FB: Thư Viện Tài Liệu Năm 2020 ĐỀ CƯƠNG AN TỒN BẢO MẬT THƠNG TIN MỤC LỤC ĐỀ CƯƠNG AN TỒN BẢO MẬT THƠNG TIN MỤC LỤC Câu 1: An tồn & bảo mật thơng tin gì? Vì an tồn & bảo mật thơng tin lại đóng vai trò quan trọng DN nay? Câu 2: Trình bày ngắn gọn xu hướng cơng dự đốn vào năm nay? .4 Câu 3: Mục tiêu của an tồn & bảo mật thơng tin DN? Vì ln cần xác định mục tiệu trước ứng dụng biện pháp đảm bảo an toàn cho HTTT DN? Câu 4: Các yêu cầu an toàn bảo mật HTTT DN gì? Một HTTT DN có yêu cầu sau: Câu 5: Những khó khăn DN thường gặp phải triển khai giải pháp an tồn cho HTTT gì? Lấy ví dụ minh họa? Câu 6: Trình bày giải thích giải pháp phòng tránh phổ biến mà doanh nghiệp VN sử dụng nay? 10 Câu 7: Khắc phục cố gì? Vì cần có chế khắc phục cố HTTT DN? Trình bày giải thích nhóm nguy an tồn thông tin DN nay? 12 Câu 9: Trong nguy ATTT DN nguy để ý đến nhất? Vì sao? 14 Câu 10: Trình bày nguy an tồn HTTT TMĐT? Vì HTTT TMĐT lại dễ bị công HTTT khác? .15 Câu 11: Hãy trình bày giải thích phương pháp xác định nguy an toàn HTTT nay? Lấy ví dụ minh họa? 16 Câu 14: Bảo mật kênh truyền gì? Vì cần bảo mật kênh truyền tin? Có chế bảo mật kênh truyền nào? 19 Câu 16: Tấn công từ chối dịch vụ gì? Trình bày đặc trưng kiểu công từ chối dịch vụ phổ biến nay? Vì cơng từ chối dịch vụ khó phòng tránh? 20 Câu 17: Giả sử A gửi thông điệp mã hóa cho B Các hình thức cơng thụ động ảnh hưởng đến nội dung thông điệp A? Hãy giải thích? .23 Câu 18: Tường lửa gì? Trình bày loại tường lửa phổ biến nay? Trình bày đặc trưng xu hướng phát triển loại tường lửa nay? 23 Câu 19: Tấn cơng thụ/chủ động gì? Cho ví dụ minh họa? 24 Câu 20: Phân tích ưu điểm bảo mật kênh truyền giao dịch TMĐT? Hãy so sánh giao thức SSL, SET WEP khả ứng dụng mức độ an toàn? 25 Câu 21: Bảo mật website gì? Trình bày nguy an toàn loại website 26 Chúc Em ôn thi tốt! FB: Thư Viện Tài Liệu Năm 2020 Câu 22: Tường lửa phần mềm gì? Tại cần cài đặt tường lửa phần mềm cho máy tính cá nhân bạn? 27 Câu 23: Mã hóa liệu gì? Khi cần mã hóa liệu? Trình bày ứng dụng mã hóa liệu? 28 Câu 24: So sánh giao thức bảo mật kênh truyền SSL, SET WEP tiêu chí: Tính phổ dụng độ an toàn sử dụng chúng? 29 Câu 25: Phân quyền người dùng gì? Vì HTTT DN cần phân quyền người dùng? 30 Câu 26: Chứng thực điện tử gì? Trình bày giải thích đặc điểm loại chứng thực điện tử sử dụng phổ biến nay? Chứng thực điện tử xây dựng dựa hệ mã hóa nào? Lấy ví dụ minh họa? 30 Câu 27: Thế truyền tin an tồn? Trình bày mơ hình truyền tin an tồn? .32 Câu 28: Trình bày ứng dụng mã hóa khóa cơng khai nay? Lấy ví dụ minh họa? Phân tích lợi ích mã hóa liệu? 33 Câu 29: Trình bày sơ đồ mã hóa khóa đối xứng ứng dụng chúng? Lấy ví dụ minh họa?34 Câu 30: Chữ ký điện tử điện tử gì? Trình bày ứng dụng chữ ký điện tử? Trình bày đặc điểm chữ ký điện tử? Lấy ví dụ minh họa? .34 Câu 31: Giả sử A muốn gửi thông điệp cho B kênh truyền biết trước Để tránh thơng điệp dễ bị cơng chủ động A cần biện pháp phòng tránh nào? Giải thích? .36 Chúc Em ôn thi tốt! FB: Thư Viện Tài Liệu Năm 2020 Câu 1: An toàn & bảo mật thơng tin gì? Vì an tồn & bảo mật thơng tin lại đóng vai trò quan trọng DN nay? Khái niệm • An tồn thơng tin: Một HTTT coi an tồn thơng tin khơng bị làm hỏng hóc, khơng bị sửa đổi, thay đổi, chép xóa bỏ người khơng phép HTTT an tồn hệ thống: Đảm bảo an tồn thơng tin Đảm bảo hệ thống có khả hoạt động liên tục Đảm bảo khả phục hồi • Bảo mật thơng tin là: Đảm bảo tính bí mật: Thơng tin tiếp cận với người cấp quyền tương xứng Tính bí mật thơng tin đạt cách giới hạn truy cập mặt vật lý, ví dụ tiếp cận trực tiếp tới thiết bị lưu trữ thơng tin logic, ví dụ truy cập thơng tin từ xa qua mơi trường mạng Đảm bảo tính tồn vẹn: Thơng tin bảo vệ xác, hồn chỉnh lưu trữ hay chuyển thay đổi người cấp quyền Ví dụ: Thay đổi giao diện trang chủ website Chặn đứng thay đổi gói tin gửi qua mạng.l Đảm bảo tính sẵn sàng: thơng tin truy xuất người phép vào họ muốn Ví dụ, server bị ngưng hoạt động hay ngừng cung cấp dịch vụ vòng phút năm độ sẵn sàng 99,999% An tồn & bảo mật thơng tin đóng vai trò quan trọng DN Vì: An tồn & bảo mật thơng tin có vai trò quan trọng phát triển bền vững DN Thông tin tài sản vơ giá DN Đó thơng tin nhân viên, khách hàng, hay chí thông tin việc nghiên cứu thị trường hay sản phẩm Việc nắm bắt thông tin cách nhanh chóng kịp thời giúp cho tổ chức, cá nhân có chiến lược hoạt động đắn, giúp họ đứng vững phát triển Rủi ro thông tin DN gây thất tiền bạc, tài sản, người gây thiệt hại đến uy tín, hoạt động kinh doanh sản xuất DN Rủi ro thơng tin doanh nghiệp ảnh hưởng đến uy tín & phát triển DN lại vấn đề khó tránh khỏi Thật vậy, xây dựng HTTT an toàn giúp cho việc quản lý hệ thống trở nên dễ Dàng minh bạch Một môi trường thông tin an tồn, có tác động khơng Nhỏ đến giảm thiểu chi phí quản lý hoạt động DN, nâng cao uy tín DN, tạo điều kiện thuận lợi cho hội nhập môi trường thông tin lành mạnh Điều tác động Chúc Em ôn thi tốt! FB: Thư Viện Tài Liệu Năm 2020 mạnh đến ưu cạnh tranh tổ chức Ngược lại, để lọt thông tin đặc biệt vào tay đối thủ cạnh tranh thực nguy hiểm với DN Chính vậy, an tồn & bảo mật thơng tin trở thành yêu cầu thiếu doanh nghiệp thời đại kinh tế số Và công việc trách nhiệm riêng người làm CNTT mà cá nhân đơn vị tổ chức doanh nghiệp Câu 2: Trình bày ngắn gọn xu hướng cơng dự đốn vào năm nay? Yếu tố lừa đảo thay chiến dịch công phần mềm: Hình thức lừa đảo trực tuyến khơng sử dụng qua email mà xuất qua hệ thống tin nhắn SMS khung hội thoại ứng dụng Các chiến dịch công nhắm mục tiêu vào thơng tin tài khoản ngân hàng trực tuyến người dùng, tiếp sau tài khoản lưu trữ dịch vụ đám mây trực tuyến Sau lấy thông tin quan trọng từ người dùng, tội phạm mạng giả dạng cố gắng thuyết phục phận hỗ trợ chăm sóc khách hàng bên phía nhà mạng cấp lại thẻ SIM số điện thoại nạn nhân Từ đó, tội phạm mạng kiểm sốt tài khoản trực tuyến xác thực qua số điện thoại nạn nhân Các chatbot bị tội phạm mạng lạm dụng: Tận dụng tảng tin nhắn thiết kế sẵn hệ thống phản hồi tương tác giọng nói, kẻ cơng tạo nên chatbot bắt đầu hội thoại quen thuộc với người dùng, từ lừa đảo họ qua liên kết độc hại đánh cắp thông tin cá nhân Những kẻ công gửi đến người dùng phần mềm độc hại, cài đặt trojan truy cập từ xa (RAT) máy tính nạn nhân để đánh cắp liệu tống tiền họ Watering Hole Attack: Là tên thủ đoạn cơng hình thức lừa đảo trực tuyến, tận dụng lòng tin mức độ tiếng tổ chức, cá nhân để qua mắt người dùng Tội phạm mạng tìm kiếm tài khoản có vài triệu người theo dõi, cơng họ sử dụng tài khoản để lừa đảo người dùng Trong khoảng thời gian từ bị công lúc chủ tài khoản nhân lấy lại tài khoản, tội phạm mạng gửi đến người theo dõi liên kết độc hại, yêu cầu người theo dõi nhấn vào tải Máy tính người theo dõi bị lây nhiễm mã độc bị tội phạm mạng công, khai thác thông tin cá nhân ví điện tử Khai thác danh tính người dùng giới thật Tấn cơng Sextortion: Sextortion chiến thuật công người dùng ảnh đoạn phim nhạy cảm nạn nhân việc tiếp cận người dùng qua ứng dụng hẹn hò trực tuyến Đánh mạnh vào đối tượng thiếu niên niên Ngoài xu hướng nêu trên, có ba xu hướng mạng khác năm 2018 phù hợp năm 2019: Chúc Em ôn thi tốt! FB: Thư Viện Tài Liệu Năm 2020 Cách tiếp cận ransomware nhắm mục tiêu trở nên phổ biến năm 2018 chứng minh có hiệu vào năm 2019; khơng phải tuần trơi qua mà khơng có số loại công ransomware phá hủy phù hợp đánh vào tiêu đề Một vectơ công bật sử dụng phân phối rộng lớn sở nạn nhân Emotet để chọn mục tiêu sinh lợi Emotet sử dụng để truyền bá trickbot mạng cơng ty bị xâm nhập, đến lượt nó, triển khai Ryuk ransomware khác tải trọng cuối Từ vơ số thực thể quyền địa phương thơng qua đám mây nhà cung cấp dịch vụ lưu trữ, tập đồn cơng nghiệp sân bay, năm tổ chức mục tiêu tiềm cho thảm họa ransomware mục tiêu, dẫn đầu Ryuk lockergoga Các khét tiếng cryptominers loại phần mềm độc hại phổ biến nửa đầu phong cảnh mối đe dọa 2019 Điều bất chấp việc đóng cửa dịch vụ khai thác khét tiếng 'coinhive' vào tháng này, dẫn đầu đến giảm mức độ phổ biến tiền điện tử số tác nhân đe dọa Kết là, để trì thịnh hành vào năm 2019, tác nhân đe dọa áp dụng cách tiếp cận liên quan đến tiền điện tử, nhằm mục đích nhiều mục tiêu bổ ích PC tiêu dùng thiết kế hoạt động mạnh mẽ Trong số nạn nhân mới, tìm tập đồn, nhà máy, máy chủ mạnh mẽ chí tài nguyên đám mây Và điều khơng đủ, chúng tơi chí thấy họ tích hợp tiền điện tử phần mạng botnet ddos để kiếm lợi nhuận phụ Tấn công DNS nhắm vào chế quan trọng chi phối internet Tên miền.Hệ thống (DNS) DNS chịu trách nhiệm phân giải tên miền thành địa IP tương ứng họ phần quan trọng chuỗi tin cậy internet Những công nhắm vào nhà cung cấp DNS, đăng ký tên cục Các máy chủ DNS thuộc tổ chức nhắm mục tiêu dựa thao tác ghi DNS.Việc tiếp quản DNS làm tổn hại tồn mạng cho phép nhiều vectơ cơng: kiểm sốt email thơng tin liên lạc, chuyển hướng nạn nhân đến trang web lừa đảo, nhiều Một lợi lớn DNS công cung cấp tùy chọn để cấp chứng tìm kiếm hợp pháp Cơ quan Chứng nhận dựa DNS để xác minh bạn chủ sở hữu hợp pháp tên miền đề cập.Sự phổ biến ngày tăng công DNS thúc đẩy Bộ An ninh Nội địa Internet Công ty cho Tên số gán (ICANN) để phát hành thức cảnh báo rủi ro đáng kể để thành phần quan trọng sở hạ tầng Internet Các cố lớn liên quan đến công DNS bao gồm công vào sở hạ tầng phủ internet viễn thông, mô tả thời gian gần dnspionage Các chiến dịch seaturtle High profile global vulnerabilities Danh sách công hàng đầu sau dựa liệu thu thập Check Point Intrusion Prevention System (IPS) mạng cảm biến chi tiết số kỹ thuật Chúc Em ôn thi tốt! FB: Thư Viện Tài Liệu Năm 2020 công phổ biến thú vị quan sát nhà nghiên cứu Check Point nửa đầu năm 2019 Lỗ hổng bluekeep Microsoft RDP (Giao thức máy tính từ xa) (CVE-2019-0708) - Khai thác từ xa Giao thức máy tính để bàn (RDP) vectơ công phổ biến thiết lập cho phép tội phạm mạng truy cập máy nhắm mục tiêu chí cài đặt cửa hậu cho hoạt động độc hại Bản vá gần quan trọng, sâu, lỗ hổng Windows RDP, đặt tên bluekeep, lấy cộng đồng bảo mật mạng cách bão có khả lây lan tự động mạng không bảo vệ, có khả dẫn đến công Wannacryscale Ngay sau Microsoft phát hành vá mình, diễn viên bắt đầu quét internet để tìm lỗ hổng thiết bị tiết lộ triệu máy dễ bị công Tuy nhiên, chưa có trường hợp biết đến lỗ hổng bị diễn viên đe dọa khai thác phần cơng ngồi tự nhiên Lỗ hổng máy chủ Oracle weblogic (CVE-2017-10271, CVE-2019-2725) - Điều khiển từ xa quan trọng khác lỗ hổng thực thi mã nằm Máy chủ weblogic Oracle cho phép kẻ công trái phép thực thi từ xa mã tùy ý ảnh hưởng đến nhiều ứng dụng cổng doanh nghiệp web cách sử dụng may chủ Năm nay, tội phạm mạng khai thác lỗ hổng Oracle weblogic Server, bao gồm phát vá vào tháng Tư này, để cung cấp phần mềm ransomware Sodinokibi, ransomware Satan cài đặt Phần mềm độc hại tiền điện tử Monero Các lỗ hổng dos Linux freebsd - TCP SACK Panic (CVE-2019-11477, CVE2019-11478,CVE-2019-5599, CVE-2019-11479) - Một lỗ hổng nghiêm trọng tiết lộ vào năm 2019 ảnh hưởng Hệ điều hành freebsd Linux Ba lỗ hổng tìm thấy xử lý TCP hạt nhân Linux mạng Khai thác thành công lỗ hổng có khả đánh sập máy chủ từ xa làm gián đoạn thông tin liên lạc Nặng lỗ hổng cho phép kẻ cơng từ xa kích hoạt hoảng loạn hạt nhân hệ thống chạy phần mềm bị ảnh hưởng đó, ảnh hưởng đến Hệ thống sẵn có Thật thú vị, theo Check Point toàn cầu cảm biến công, suốt nửa đầu Năm 2019, 90% cơng quan sát đòn bẩy lỗ hổng đăng ký vào năm 2017 trở trước 20% công sử dụng lỗ hổng bảy tuổi Câu 3: Mục tiêu của an tồn & bảo mật thơng tin DN? Vì ln cần xác định mục tiệu trước ứng dụng biện pháp đảm bảo an toàn cho HTTT DN? Mục tiêu AT&BMTT: Phát nguy cơ, lỗ hổng HTTT chí dự đốn trước nguy cơng Nghiên cứu biện pháp ngăn chặn để ngăn chặn hành động gây ATTT từ bên bên ngồi Chúc Em ơn thi tốt! FB: Thư Viện Tài Liệu Năm 2020 Nghiên cứu cài đặt biện pháp phục hồi để HTTT khắc phục kịp thời bị công Luôn cần xđ mục tiêu trước ứng dụng biện pháp đảm bảo an tồn cho HTTT DN Vì: Mục tiêu kim nam, thứ định hướng DN Khi có mục tiêu, xđ mục tiêu, đề trước mục tiêu DN dễ dàng vạch kế hoạch tìm kiếm, đề xuất biện pháp nhìn bước để thực công việc bảo mật cơng việc khác Có mục tiêu giúp DN biết cần áp dụng biện pháp nào, ứng dụng để việc bảo mật đạt hiệu tối ưu Không vậy, có mục tiêu giúp DN rút ngắn thời gian nghiên cứu, thi hành nhanh chóng hồn tất cơng việc khơng phải mò mẫm đến đâu tìm đến => khả thành cơng cao Ngược lại, khơng có mục tiêu, hay đề mục tiêu sau áp dụng chả có nghĩa lý Thậm chí, khiến DN rơi vào vòng luẩn quẩn, mơ hồ khơng biết áp dụng có đạt hiệu mong muốn hay khơng tốn nhiều thời gian, tiền bạc cơng sức để tìm biện pháp phù hợp với DN => khả thành công thấp Câu 4: Các yêu cầu an toàn bảo mật HTTT DN gì? Một HTTT DN có u cầu sau: Tính bí mật: Đảm bảo liệu người sử dụng bảo vệ, không bị xâm phạm người khơng phép Tính tồn vẹn: Dữ liệu khơng bị tạo ra, sửa đổi hay xóa người khơng sở hữu Tính sẵn sàng: Dữ liệu phải ln trạng thái sẵn sàng Tính tin cậy: thông tin người dùng nhận Cụ thể: Yêu cầu thiết bị phần cứng Ngoài yêu cầu thiết bị phần cứng như: máy tính, máy in, máy fax, thiết bị đường truyền mạng phải hoạt động tốt, ổn định DN nên sử dụng thiết bị bảo mật: bảo mật đa chức firebox, thiết bị tối ưu mạng WAN Exinda, thiết bị bảo mật thư điện tử chuyên dụng,… Yêu cầu phần mềm Các phần mềm ứng dụng có vai trò quan trọng trở thành phần thiếu hoạt động DN Để đảm bảo ATTT phần mềm phải tức khơng chứa virus, mã độc Ngồi phải phần mềm có quyền, nâng cấp, cập nhật thường xuyên nhà sản xuất nhằm giảm bớt nguy từ lỗ hổng bảo mật Chúc Em ôn thi tốt! FB: Thư Viện Tài Liệu Năm 2020 Bên cạnh phần mềm ứng dụng, DN phải chủ động việc cài đặt phần mềm bảo mật như: phần mềm chống virus, phần mềm mã hóa liệu,… Yêu cầu mạng Cùng với thiết bị bảo mật trang bị DN cần xây dựng mơ hình, giao thức mạng an toàn như: giao thức bảo mật SSL, SET… Cài đặt, cấu hình, tổ chức hệ thống mạng theo mơ hình Clients/Server; hạn chế sử dụng mơ hình ngang hàng thiết lập dịch vụ môi trường mạng internet, cung cấp chức thiết yếu đảm bảo trì hoạt động HTTT; hạn chế sử dụng chức năng, cổng giao tiếp mạng, giao thức dịch vụ không cần thiết Đối với hệ thống mạng khơng dây định kì tháng đổi mật nhằm tăng cường công tác bảo mật Yêu cầu sở liệu Thiết lập cấu hình CSDL an tồn, ln cập nhập vá lỗi cho hệ quản trị CSDL, sử dụng cơng cụ để đánh giá, tìm kiếm lỗ hổng máy chủ CSDL Gỡ bỏ CSDL không sử dụng, có chế lưu liệu, tài liệu hóa q trình thay đổi cấu trúc cách xây dựng nhật kí CSDL với nội dung: nội dung thay đổi, lý thay đổi, thời gian, vị trí thay đổi Thường xuyên kiểm tra, giám sát chức chia sẻ thông tin Tổ chức cấp phát tài nguyên máy chủ theo danh mục, thư mục cho phòng/đơn vị trực thuộc Yêu cầu người Những người sử dụng, làm việc trực tiếp với thông tin cần phải có kiến thức ATTT Cần bố trí cán quản lý, cán kỹ thuật phù hợp, chịu trách nhiệm đảm bảo an toàn cho HTTT liệu, có kế hoạch đào tạo, bồi dưỡng nghiệp vụ cho đội ngũ cán ATTT, đào tạo, phổ biến kiến thức, kỹ cho người dùng máy tính phòng chống nguy ATTT sd internet Câu 5: Những khó khăn DN thường gặp phải triển khai giải pháp an toàn cho HTTT gì? Lấy ví dụ minh họa? Khó khăn: Tốn nhiều thời gian, công sức, tiền của DN + Chi phí để triển khai lớn khơng triển khai xong xong mà thường xuyên bảo trì, sửa chữa, nâng cấp hệ thống + Triển khai tốn nhiều thời gian DN, gây trì trệ cho hệ thống thời gian ổn định lại trước + Nhân cơng tham gia vào quy trình nhỏ Cần nhiều nhân công có trình độ cao, có kiến thức chun sâu Đánh giá khơng trạng DN gây khó khăn cho việc tìm, áp dụng triển khai giải pháp Chúc Em ôn thi tốt! FB: Thư Viện Tài Liệu Năm 2020 Lập kế hoạch xây dựng giải pháp sơ sài, khơng đáp ứng, khơng cải thiện tình trạng mà DN gặp phải Xây dựng, thiết kế, triển khai phụ thuộc vào chiến lược, mục tiêu yêu cầu ATTT cần phải đạt quy trình vận hành, quy mô, cấu tổ chức Nền tảng sở hạ tầng khơng đáp ứng Có thể tìm giải pháp tốt lúc sở vật chất, tảng hệ thống DN không cho phép tân tiến, tốt đến đâu khơng giải vấn đề Trách nhiệm xây dựng, trì hệ thống phân cơng khơng phù hợp, phòng ban giao không nhận phối hợp, cộng tác phòng ban khác DN Chủ yếu nhận thức người dùng tổ chức tầm quan trọng việc đảm bảo ATTT Việc xây dựng nâng cấp hệ thống chưa có quan tâm lãnh đạo đầu tư nguồn lực thích đáng Ví dụ: Tập đồn Bảo Việt Áp dụng ISO 27001 Năm 2013, Tập đoàn Bảo Việt đơn vị hoạt động lĩnh vực tài chính, bảo hiểm đạt chứng nhận Hệ thống quản lý an tồn thơng theo tiêu chuẩn ISO 27001:2005 Năm 2015, theo yêu cầu tổ chức công nhận quốc tế, Tập đoàn Bảo Việt chuyển đổi đánh giá tái cấp chứng nhận thành công Hệ thống quản lý an tồn thơng tin theo phiên tiêu chuẩn ISO 27001:2013 Việc áp dụng, triển khai xây dựng ISMS gặp nhiều khó khăn ISMS kết hợp tổng thể người, quy trình cơng nghệ, nên phải thực triển khai biện pháp từ phi kỹ thuật đến biện pháp kỹ thuật Mức độ ATTT hệ thống phụ thuộc vào tất yếu tố trên, nên phận Tập đoàn phải nắm rõ, ủng hộ tham gia vào trình chiến lược Quá trình thực triển khai ISO 27001 thực từ việc bảo đảm an toàn máy trạm cho người dùng cuối, với mục đích chuẩn hóa việc cài đặt, thiết lập cấu hình máy trạm để đảm bảo an tồn trước bàn giao cho người sử dụng (joint AD, cài đặt AV, khóa tài khoản Admin local, khóa tính copy liệu, ) Mỗi phận có tính chất cơng việc khác nhau, mặt khác thói quen người sử dụng, nên có nhiều vướng mắc thực triển khai Tuy nhiên, ủng hộ Lãnh đạo Tập đoàn, với phối hợp phận, đồng thời áp dụng đơn vị thực công tác triển khai thử nghiệm, tuyên truyền, đào tạo có đội hỗ trợ kỹ thuật theo sát thực hiện, nên kết bước đầu tương đối khả quan Các máy trạm phận Tập đoàn Bảo Việt triển khai điều khoản theo quy định sử dụng máy trạm Việc đạt chứng nhận ISO 27001 khẳng định an toàn bảo mật cao hệ thống công nghệ thông tin Bảo Việt theo tiêu chuẩn quốc tế Qua đó, đảm bảo hoạt động hệ thống vận hành liên tục, giảm thiểu rủi ro gây an tồn thơng tin từ cố không mong muốn Chúc Em ôn thi tốt! FB: Thư Viện Tài Liệu Năm 2020 Câu 6: Trình bày giải thích giải pháp phòng tránh phổ biến mà doanh nghiệp VN sử dụng nay? Đầu tư vào giải pháp phát sớm hệ thống bị xâm nhập quan trọng để phản ứng nhanh nhất, kịp thời đối phó cơng mã độc mà phương thức phòng thủ truyền thống dựa antivirus tỏ bất lực Nhưng cần đảm bảo công cụ giúp giảm thiểu rủi ro phải hoạt động đồng Các giải pháp: Phân quyền người dùng: biện pháp giúp phân chia rõ ràng quyền hạn, cách thức thao tác HT theo yêu cầu khác nhằm đảm bảo đc an toàn HT đảm bảo tính riêng tư người Bảo mật kênh truyền DL việc bảo mật DL chúng đc truyền kênh truyền thông giao thức SSL, SET,WEP, tường lửa - Giao thức SSL: sử dụng rộng rãi giao dịch yêu cầu toán qua mạng; hỗ trợ hầu hết trình duyệt phầm mềm phía server; thiết kế độc lập với tầng ứng dụng nên sử dụng cho nhiều ứng dụng khác nhau; hđ SSL suốt với NSD - Giao thức SET: đảm bảo tính xác thơng tin cho hai bên gửi nhận; đảm bảo tính tồn vẹn thơng tin có sử dụng phương pháp mã hóa liệu để che dấu thơng tin; khóa dùng để mã hóa giải mã mã phương pháp khóa cơng khai nên khả bị bẻ khóa khó xảy ra; có chế xác thực cho hai phía gửi nhận tin thơng qua chứng thực điện tử nên giảm tình trạng chối cãi lừa đảo mạng; xác nhận thông tin tài khoản ngân hàng trung gian thực nên người dùng không sợ lộ thông tin tài khoản tiến hành giao dịch mạng - Giao thức WEP: cung cấp tính bảo mật tồn vẹn thông tin mạng không dây; xem phương pháp kiểm soát truy cập - Tường lửa: bảo vệ HT khỏi dịch vụ không cần thiết mạng internet; điều khiển việc truy cập vào tài nguyên hệ thống; tạo chế bảo vệ tập trung; thống kê lại lưu lượng giao dịch bên ngồi kiểm sốt giao dịch đó; bảo vệ mạng nội khỏi bị xác định bên ngồi; tạo sách bảo mật toàn HT mạng yêu cầu người phải tuân theo Khắc phục cố: khơi phục file liệu bị xóa; lưu để đảm bảo ATDLS Áp dụng bảo mật thông tin theo quy chuẩn quốc tế: ISO/IEC 27001:2013 Đảm bảo ATTT tổ chức, đối tác khách hàng giúp cho hoạt động tổ chức thông suốt an toàn Giúp nhân viên tuân thủ việc đảm bảo ATTT hoạt động nghiệp vụ thường ngày; ATTT người dùng gây hạn chế tối đa nhân viên đào tạo, nâng cao nhận thức ATTT 10 Chúc Em ôn thi tốt! FB: Thư Viện Tài Liệu Năm 2020 -Giao dịch qua email Hội nghị truyền hình làm việc từ xa với Mega e-Meeting ví dụ minh họa Hiện cơng nghệ chữ ký số Việt Nam sử dụng giao dịch để mua bán hàng trực tuyến, đầu tư chứng khoán trực tuyến, chuyển tiền ngân hàng, tốn trực tuyến Ngồi ra, Bộ Tài áp dụng chữ ký số vào kê khai, nộp thuế trực tuyến qua mạng Internet thủ tục hải quan điện tử khai báo hải quan thông quan trực tuyến mà in tờ khai, đóng dấu đỏ cơng ty chạy đến quan thuế xếp hàng ngồi đợi vài tiếng đồng hồ, có đến ngày để nộp tờ khai Trong tương lai Việt Nam chữ ký số sử dụng với ứng dụng phủ điện tử quan nhà nước tới làm việc với người dân hoàn toàn trực tuyến cửa Khi cần làm thủ tục hành hay xác nhận quan nhà nước, người dân cần ngồi nhà khai vào mẫu đơn ký số để gửi xong Câu 31: Giả sử A muốn gửi thông điệp cho B kênh truyền biết trước Để tránh thơng điệp dễ bị cơng chủ động A cần biện pháp phòng tránh nào? Giải thích? Bảo mật kênh truyền liệu:Thông tin dễ bị cơng chủ động q trình truyền người nhận người gửi Trên môi trường Internet, liệu trước truyền từ máy chủ đến máy người sử dụng phải trải qua nhiều router trung gian, hacker thường đột nhập vào đánh cắp thơng tin dễ dàng Vì để tránh công chủ động nên sử dụng bảo mật kênh truyền liệu Một vài giao thức bảo mật kênh truyền thông như: SSL, SET, WEP, Hoặc Sử dụng tường lửa: giúp ngăn cấm người không phép từ bên cập vào mạng máy tính tổ chức Mã hóa thơng tin: mã hóa thông tin nhằm giấu đo nội dung thực tế thơng điệp mà ta muốn truyền q trình truyền tin, giúp tránh tình trạng thơng tin bị ăn cắp sử dụng vào mục đích khơng tốt Câu 32:Khi thuật tốn mã hóa coi an tồn vơ điều kiện an tồn tính tốn? Một thuật tốn coi an tồn vơ điều kiện mã không chứa đủ thông tin để xác định nguyên tương ứng Nói cách khác giải mã với thời gian giải mã nào, với tốc độ máy tính vơ hạn Trên thực tế có hệ mã hóa độn lần an tồn vơ điều kiện Một hệ thống coi an toàn tính tốn thỏa mãn hai điều kiện sau: 36 Chúc Em ôn thi tốt! FB: Thư Viện Tài Liệu Năm 2020 Chi phí để phá mã vượt qua giá trị thông tin mang lại Chẳng hạn để ăn cắp tỷ đồng ngân hàng mà chi phí bỏ để phá mã tỷ đồng khơng có tác dụng Thời gian phá mã vượt qua tuổi thọ thơng tin Chẳng hạn, thơng báo có giá trị vòng tháng mà thời gian phá mã hai tháng có giải mã xong khơng giải vấn đề 37 Chúc Em ơn thi tốt! FB: Thư Viện Tài Liệu Năm 2020 NHÓM CÂU HỎI Câu 33: Bạn sử dụng máy tính cá nhân (PC) công việc Hãy liệt kê phân tích nguy an tồn thơng tin máy tính đó? Hãy liệt kê phân tích lỗ hổng bảo có máy tính đó? Hãy đề xuất giải thích giải pháp đảm bảo an tồn thơng tin cho máy tính đó? Hãy đề xuất giải thích giải pháp phòng tránh lỗ hổng bảo mật cho máy tính đó? Câu 34: Bạn sử dụng máy tính văn phòng làm việc có kết nối mạng Internet Hãy liệt kê phân tích nguy an tồn thơng tin máy tính đó? Thơng tin, liệu hệ thống bị lộ lọt, truy nhập, lấy cắp, nghe sử dụng trái phép (thơng tin bị rò rỉ, lộ bí mật); Thơng tin, liệu hệ thống bị thay sửa đổi làm sai lệch nội dung (thơng tin thiếu xác thực, tồn vẹn thiếu tin cậy); Thông tin, liệu không đảm bảo không cam kết pháp lý người cung cấp; thông tin, liệu không mong muốn bị tán phát hệ thống bị công mà không được, khơng thể kiểm sốt (tính pháp lý an ninh hệ thống…); Thơng tin, liệu khơng đảm bảo tính thời gian thực, hệ thống hay bị cố, ngưng trệ, hỏng hóc; truy cập, khai thác khó khăn (tính sẵn sàng hệ thống 38 Chúc Em ôn thi tốt! FB: Thư Viện Tài Liệu Năm 2020 Hãy liệt kê phân tích lỗ hổng bảo mật có máy tính đó? Các cổng mở mạng máy in Máy in hoạt động khơng khác máy tính Nó có hệ điều hành, ổ cứng, kết nối mạng, nhớ, đảm nhận chức chia sẻ chung lại bảo vệ, thường phận khơng liên quan đến bảo mật mua quản lý hầu hết không nằm kế hoạch củng cố an ninh bảo mật doanh nghiệp Chúng trở thành kẽ hở cho kẻ xấu khai thác Vì máy in nối mạng có cổng mở cho tin tặc lợi dụng, phá vỡ lớp tường lửa an ninh mà doanh nghiệp bỏ nhiều cơng sức thiết lập Nó bị cơng qua BIOS firmware Hacker cài cắm mã ẩn vào tác vụ in ấn, đồng thời đánh cắp thông tin từ tác vụ in ấn thơng qua mạng Do đó, việc xây dựng chiến lược an ninh thông tin doanh nghiệp chưa gọi toàn diện, bỏ qua việc bảo mật máy in kết nối mạng Nhân viên download không hợp pháp Mạng ngang hàng (Peer to peer- P2P) mạng mà hai hay nhiều máy tính chia sẻ tập tin truy cập thiết bị máy in mà không cần đến máy chủ hay phần mềm máy chủ Trong công ty lớn, dễ dàng để tìm nhân viên sử dụng hệ thống mạng ngang hàng để download sản phẩm bất hợp pháp tự cài đặt riêng cho máy chủ nhằm tăng khả chuyển liệu Và việc lây nhiễm mã độc vào file P2P khơng khó khăn chút Nó tạo lỗ hổng để thâm nhập vào bên tổ chức, dựa theo thiết kế code Các ứng dụng web phát triển với code tồi Rất nhiều doanh nghiệp sử dụng ứng dụng web để cung cấp dịch vụ thương mại trực tuyến, kết nối khách hàng, đối tác nhân viên cách hiệu Tuy nhiên, ứng dụng web đem đến rủi ro đáng kể đến an toàn hệ thống liệu Điều xảy ứng dụng web tạo thói quen lập trình ẩu Có nhiều lỗi lập trình gây an tồn hệ thống vài lỗ hổng phổ biến thường gặp : Dữ liệu đầu vào không kiểm tra Lưu trữ thiếu an tồn Lỗi liên quan đến q trình quản lý xác thực phiên truy cập 39 Chúc Em ôn thi tốt! FB: Thư Viện Tài Liệu Năm 2020 Câu 35: Bạn sử dụng tài khoản email văn phòng làm việc có kết nối mạng internet để trao đổi thông tin với khách hàng Hãy liệt kê phân tích nguy an tồn gặp phải tài khoản email đó? Dễ bị kẻ xấu mạo danh Việc sử dụng email cá nhân để trao đổi thông tin với khách hàng độ rủi ro cao Bất tạo tài khoản tương tự giả mạo bạn Sẽ gây ảnh hưởng xấu đến công việc kinh doanh vài vấn đề quan trọng tài chính, nội cơng ty Đối với kẻ có ý đồ từ đầu, bạn bị lọt vào danh sách mục tiêu email hồn tồn bị hack hacker chuyên nghiệp Cách tốt để bạn tránh khỏi nguy sử dụng email tên miền riêng công ty Email doanh nghiệp có khả bảo mật cao, đồng thời khơi phục liệu khơng may gặp cố Thiếu chuyên nghiệp, dễ đánh khách hàng tiềm Với email cá nhân bạn để đánh đối tác quan trọng email tên email cá nhân không thực nghiêm túc, phù hợp với cơng việc Ngồi ra, vài email với mục đích quảng cáo, khuyến dễ dàng bị xem tin nhắn rác không đủ độ tin cậy dùng email cá nhân Email theo tên miền riêng cơng ty có uy tín ln ln nhận tin tưởng lớn từ Dù khách hàng hay đối tác, bạn làm việc danh nghĩa nhân viên công ty họ dễ dàng tiếp nhận đánh giá cao chun nghiệp Khó quản lý thơng tin, dễ liệu vào tay đối thủ Sự cạnh tranh điều tránh khỏi ngày nhiều công ty, doanh nghiệp ngành nghề xuất Với trường hợp cạnh tranh lành mạnh khơng có q lo lắng ngồi việc khơng ngừng hồn thiện sản phẩm, dịch vụ Còn với trường hợp cạnh tranh khơng lành mạnh, email nhân viên kẽ hở khiến công ty bạn liệu Việc thiết lập email tên miền riêng giúp công ty đồng liệu quản lý nhân dễ dàng Đồng thời kiểm sốt thông tin làm việc qua email tạm ngưng hủy email dễ dàng có thay đổi nhân Cản trở cơng việc kinh doanh khơng tương thích với nhiều thiết bị Nhiều trường hợp cơng việc cần giải lập tức, loại email thơng thường khơng đủ khả tương thích nhiều thiết bị khiến cho công việc xử lý Chậm trễ gây ảnh hưởng lớn về kinh tế, đồng thời vài trường hợp nguy hiểm, cơng ty, doanh nghiệp rơi vào tình trạng điêu đứng, ngưng trệ kinh doanh, uy tín Hãy đề xuất giải thích biện pháp đảm bảo an toàn sử dụng tài khoản email đó? Sử dụng nhiều tài khoản email 40 Chúc Em ôn thi tốt! FB: Thư Viện Tài Liệu Năm 2020 Nếu bạn sử dụng tài khoản email cho tất hoạt động tin nhắn Facebook, đăng ký website an tồn khơng an tồn, nhân tin từ website đăng ký, quản lý nhiều tên miền Thì có nghĩa bạn đặt tất trứng vào giỏ Nếu chẳng may giỏ bị rơi bị trứng giỏ khơng Chính vậy, bạn nên sử dụng nhiều tài khoản email, giúp bảo mật email quan trọng mà giúp bạn an tâm hoạt động giới Internet Trong thị trường cung cấp địa email miễn phí có ba dịch vụ Gmail, Yahoo!, Outlook với khả bảo mật tốt, bạn đăng ký nhiều tài khoản email để phục vụ công việc sống Tạo mật an toàn Cùng với việc sử dụng nhiều tài khoản email, bạn nên tạo cho mật an tồn cho tài khoản email Nếu bạn định sử dụng tài khoản cho hoạt động nên tạo mật đủ khó độc Mỗi website cung cấp dịch ln có phần kiểm tra độ khó tài khoản, bạn cần đảm bảo mật mà đặt phải mức "strong" phải dễ nhớ bạn Theo nhiều báo cáo cho thấy số lượng người sử dụng chuỗi "123456" "password" làm mật cho tài khoản email họ nhiều, chứng tỏ họ chưa quan tâm đến mức độ phức tạp mật an tồn tài khoản email Đơi lúc, việc sử dụng mật cho tất tài khoản sai lầm Bởi tin tặc đột nhập vào tài khoản email bạn, lấy thông tin mật tin tặc hồn tồn đăng nhập vào tài khoản khác bạn Cảnh giác với Phishing lừa đảo Phishing cách thức mà tin tặc sử dụng để lừa lấy thông tin mật khẩu, tài khoản ngân hàng, tài liệu bí mật cơng ty , Khi nhận email u cầu nhập thơng tin tài khoản bạn đừng nên nhập thông tin cá nhân, mật tài khoản email Về tin tặc bắt chước mạo danh hồ sơ website danh tiếng ebay, Amazon, Facebook Để lừa gạt người dùng nhập vào thông tin quan trọng, thông tin gửi đến tin tặc Hình thức thực tác tin tặc ngày tinh vi, họ tạo website có giao diện giống với website thật Do đó, cảnh giác với email yêu cầu nhập thông tin cá nhân, luôn kiểm tra đường dẫn URL để chắn tên miền thức dịch vụ danh tiếng Hạn chế bấm vào liên kết thư Phishing lừa đảo thư rác nỗi kinh hồng cho người sử dụng thư điện tử Khi nhìn thấy email có liên kết bạn khơng nên bấm vào Bởi liên kết dẫn bạn đến website chứa mã độc, phần mềm độc hại, virus khiến bạn trở thành nạn nhân hệ thống thư rác Có số đường link mà bạn tin tưởng nhấp vào đường link từ diễn đàn bạn đăng ký kích hoạt tài 41 Chúc Em ôn thi tốt! FB: Thư Viện Tài Liệu Năm 2020 khoản, chẳng hạn liên kết đăng ký diễn đàn tài khoản game Nếu nhận email từ ngân hàng hay dịch vụ khác bạn truy cập vào từ trang chủ ngân hàng hay dịch vụ đó, khơng cần phải bấm trực tiếp vào liên kết thư Không nên mở tập tin đính kèm khơng biết người gửi Việc nhận file đính kèm với định dang tập tin phổ biến email từ người mà bạn quen biết an tồn bạn mở nhận Tuy nhiên, bạn nhận tập tin đính kèm lạ từ người khơng quen biết bạn khơng nên mở tập tin Các tập tin chứa mã độc tự động tải máy tính Cao tay kẻ phá hoại cài file có định dạng exe ngụy trang định dạng ảnh jpeg, chúng xâm nhập vào hệ thống mở tập tin Quét virút mã độc Khi lỡ tay bấm vào liên kết mở email nghi ngờ có virus, mã độc việc mà bạn nên làm sử dụng phần mềm diệt virus để quét lại toàn máy tính Việc trang bị cho máy tính phần mềm diệt virus mạnh mẽ cần thiết Đây giải pháp đơn giản có hiệu trình sử dụng quản lý tập tin Có thể sử dụng phần mềm diệt virút uy tín Norton Antivirus, Avira Premium Security Suite, bitdefender Total Security, Kaspersky Internet Security, Webroot secureanywhere Antivirus… Tránh sử dụng Wi-Fi công cộng Cuối cùng, bạn không nên đăng nhập vào tài khoản email dịch vụ Internet cơng cộng mạng khơng dây mức độ an tồn Wi-Fi nơi thấp Tin tặc cso thể sử dụng phần mềm đánh sniffer, virus, trojan,v.v truyền chúng vào môi trường mạng không dây để để giám sát thông dịch liệu di chuyển mạng không dây, từ tìm kiếm thơng tin người dùng, mật truyền tải Hãy trình bày kiểu mã hóa sử dụng để tạo mật cho email đảm bảo tính an tồn sử dụng? Câu 36: Công ty bạn sử dụng website để quảng bá giới thiệu thông tin sản phẩm đến đối tác khách hàng Hãy liệt kê phân tích nguy an tồn gặp phải website đó? Tấn cơng vào hệ thống máy tính người sử dụng phần mềm gián điệp nhằm ăn cắp thông tin người dùng nhận truyền tin Tấn công vào hệ thống máy chủ lấy cắp thông tin hệ thống Kẻ cơng trực tiếp truy nhập vào máy chủ theo tài khoản quản trị dùng phương thức điều khiển truy nhập từ xa để chiếm quyền điều khiển máy chủ qua ăn cắp liệu thực công việc phá hoại 42 Chúc Em ôn thi tốt! FB: Thư Viện Tài Liệu Năm 2020 Tấn công làm tê liệt hoạt động máy chủ Web Đây hình thức cơng DOS nhằm vào hệ thống máy chủ Web hình thức cơng phổ biến mạng nhằm vào hệ thống máy chủ Web Giả mạo người dùng để thực giao dịch giả Nghe thông tin đường truyền Hãy liệt kê phân tích lỗ hổng bảo mật có Website đó? Lỗ hổng XSS (Cross Site Scripting) Thơng qua lỗ hổng XSS, kẻ cơng chiếm quyền điều khiển phiên người dùng, gỡ bỏ trang web, đánh cắp thơng tin người dùng dựa trình duyệt Bản chất dạng cơng dựa vào trình duyệt Tin tặc chèn mã javascript vào trang web có lỗi XSS, người dùng truy cập vào trang web này, mã script tin tặc hoạt động lưu lại thông tin người dùng .Chèn mã độc hại (Injection flaws) Hacker sử dụng điểm yếu truy vấn đầu vào bên ứng dụng để chèn thêm liệu khơng an tồn, từ máy chủ bị cơng số dạng như: SQL Injection, Xpath Injection, XML Injection, Buffer overflow, LDAP lookups, Shell command Injection Hậu quả: Một số tất liệu quan trọng tổ chức bạn bị hacker truy cập trái pháp, chúng sửa đổi, xóa bỏ thơng tin chí lợi dụng để tống tiến Trong lỗ hổng trên, SQL Injejection phương thức công thường gặp ứng dụng web Tệp tin chứa mã độc Nguy bị cơng tiềm ẩn với việc mã hóa tích hợp tệp tin từ xa (RFI) cho phép kẻ công tạo thỏa hiệp máy chủ Dạng công tệp tin chứa mã độc ảnh hưởng đến PHP, XML tập tin từ người dùng CSRF (Cross-Site Request Fogery) Một lỗ hổng bảo mật thường gặp ứng dụng web lỗ hổng CSRF Lợi dụng chế tự động đăng nhập vào số website, tin tặc điều hướng người dùng thực đoạn chứa mã độc, nhúng vào website mà người dùng phiên làm việc Từ đó, mã độc chạy trình duyệt người dùng hacker thực hành vi gian lận Vì vậy, số diễn đàn website bạn đăng nhập tài khoản, tốt không nên lưu mật khẩu, tên người dùng Tham chiếu đối tượng trực tiếp khơng an tồn Mối đe dọa tiềm ẩn kẻ cơng lợi dụng tài liệu tham khảo để truy cập vào quyền đối tượng khác mà không cho phép Ví dụ: A mạo danh B để truy cập vào hệ thống 43 Chúc Em ôn thi tốt! FB: Thư Viện Tài Liệu Năm 2020 Việc tham chiếu đối tượng, tệp tin, file, ghi sở liệu cần thực gián tiếp thông tin nhạy cảm nên che giấu Bên cạnh đó, việc phân quyền nhà quản trị cần cài đặt bảo mật chế độ cao nhất, không cho phép người lạ truy cập trái phép Một hacker xác định cấu trúc thơng tin chuyển tới server, chúng thu thập liệu người dùng, ăn cắp tài khoản thẻ tín dụng,… Ví dụ: tham chiếu khơng an tồn Rò rỉ thơng tin xử lý lỗi không cách Mối đe dọa tiềm ẩn từ việc rò rỉ thơng tin xử lý lỗi không cách (Broken Authentication and Session Management) giúp tin tặc ăn cắp liệu nhạy cảm, tiến hành công nghiêm trọng Một ứng dụng web không bảo mật tốt vơ ý rò rỉ thơng tin cấu hình, hoạt động bên trong, vi phạm riêng tư thông qua loạt vấn đề ứng dụng Quản lý xác thực quản lý phiên yếu Khâu xác thực (authentication) trao quyền (authorisation) sử dụng phổ biến ứng dụng web Nếu khâu không bảo mật mạnh mẽ lỗ hổng tiềm ẩn giúp tin tặc xâm nhập vào hệ thống Mối đe dọa tiềm ẩn kẻ cơng thỏa hiệp mật khẩu, mã khóa danh tính người dùng Để hạn chế nguy công, quản trị viên nên thiết lập session thật tốt Không hạn chế truy nhập vào URL nội Một giải pháp nhằm hạn chế công từ bên nội mà nhà quản trị nên làm hạn chế truy cập vào URL quan trọng Bạn hạn chế địa IP, hạn chế sử dụng phân quyền, truy cập trực tiếp vào url Không kiểm tra điều hướng chuyển tiếp URL Lợi dụng sơ hở này, tin tặc điều hướng đường link gốc đến trang web ứng dụng lừa đảo trang web đen Khi click vào đường dẫn tới trang web lừa đảo, máy tính người dùng bị nhiễm mã độc hacker sau ép người dùng tiết lộ thơng tin cá nhân Sử dụng lỗ hổng có sẵn thư viện Thực tế nay, số tổ chức doanh nghiệp Việt Nam chưa cập nhật vá lỗi ứng dụng web mình, cá nhân Một số lỗi xuất phát từ thư viện ứng dụng, số nằm plugin cài thêm, số khác module ứng dụng Cũng điều mà hacker nhanh chóng khai thác lỗ hổng bảo mật hàng loạt người dùng, thiết bị bị ảnh hưởng Hãy trình bày biện pháp đảm bảo an tồn cho Website đó? Khơng dùng share hosting Hiện nay, nhiều website bị công hosting chung máy chủ với website khác Với trạng bảo mật yếu, tin tặc cơng vào website 44 Chúc Em ôn thi tốt! FB: Thư Viện Tài Liệu Năm 2020 thực leo thang đặc quyền dùng website làm “bàn đạp” để công vào website khác máy chủ Đây lỗ hổng phổ biến mà tin tặc thường dùng để xâm nhập website hiệu Để tránh tình trạng nhà quản trị nên sử dụng máy chủ ảo (VPS) Với máy chủ ảo, website chạy máy chủ độc lập, tính bảo mật cao hơn, giảm thiểu khả bị công từ đối tượng khác Kiểm tra mã nguồn website thường xuyên Website công khai cho tất người truy cập, phải thường xuyên giám sát, kiểm tra mã nguồn Trong trường hợp phát tệp tin bất thường phải tiến hành kiểm tra, Trojan/Backdoor tin tặc cài vào hệ thống website Quá trình kiểm tra chống xâm nhập thực như: kiểm thử xâm nhập hộp đen (đánh giá từ bên hệ thống), kiểm thử xâm nhập hộp trắng (đánh giá từ bên hệ thống), sửa chữa lỗi tìm thấy, trang bị hệ thống phát phòng chống xâm nhập như: modsecurity, tường lửa Không cài thêm plugin “lạ” vào website Hiện nay, nhiều website phát triển mã nguồn mở miễn phí Joomla, Wordpress… mã nguồn cho phép cài thêm plugin để tăng tính website Tuy nhiên, nhiều plugin “lạ”, cung cấp miễn phí internet có chứa Trojan/Backdoor đính kèm Khi người sử dụng cài đặt plugin vào website Trojan/Backdoor cài đặt nằm “âm thầm” bên hệ thống để chờ lệnh Sao lưu liệu thường xuyên Dữ liệu phần quan trọng hệ thống website Dữ liệu bị tin tặc xâm nhập xóa mất, bị thiên tai, hỏa hoạn, lũ lụt Thực tế chứng minh rằng, nhiều doanh nghiệp toàn liệu, thiệt hại kinh tế lớn khơng thực quy trình lưu liệu Do đó, cơng việc phải đưa vào danh sách cơng việc thường xun, có phân cơng nhân đảm trách Nâng cao ý thức bảo mật, an ninh, an tồn Doanh nghiệp phải có ý thức bảo vệ, xây dựng đội ngũ nhân có chun mơn ATTT, trường hợp khơng đủ khả cần hợp tác với bên thứ ba có chun mơn ATTT Theo trung tâm ATHENA, doanh nghiệp (chủ yếu doanh nghiệp vừa nhỏ) không đủ điều kiện xây dựng riêng đội ngũ chuyên môn ATTT cho mình, chọn phương 45 Chúc Em ơn thi tốt! FB: Thư Viện Tài Liệu Năm 2020 án hợp tác với tổ chức cung cấp dịch cụ ATTT Với cách thức hợp tác này, doanh nghiệp tận dụng nguồn lực bên thứ ba tập trung hoạt động vào kinh doanh Hãy trình bày cách phân quyền người dùng website đó? nhóm người dùng mặc định để quy định quyền hạn nhóm người dùng này, bao gồm: Super Admin – Nhóm người dùng cao có quyền quản trị toàn hệ thống Ngoài ra, Super Admin có quyền xóa người dùng nhóm Administrator Administrator – Nhóm người dùng có quyền sử dụng tồn tính có website du lịch, khơng bao gồm chức quản lý xóa người dùng hệ thống Editor – Nhóm có quyền đăng viết lên website (publish) quản lý post khác người dùng khác Author – Nhóm có quyền đăng lên website quản lý post họ Bookingsys – Nhóm có quyền xem danh sách booking xử lý booking hệ thống, khơng có quyền post viết quyền khác khơng thêm nhóm vai trò Subscriber – Người dùng nhóm quản lý thơng tin cá nhân họ Câu 37: Công ty bạn sử dụng mạng LAN bao gồm 200 máy tính kết nối với để trao đổi thông tin nội DN? Hãy trình bày phân tích nguy an tồn mạng LAN đó? Các cơng khám phá thăm dò mạng: Trước thực hành động cơng thực sự, kẻ cơng thực khám phá mạng WLAN đích Có hai kiểu khám phá thăm dò Active Passive Trong kiểu thăm dò Active, kẻ cơng gửi gói tin thăm dò khơng có số hiệu SSID đến AP, để thu thập số hiệu SSID AP Kiểu công không thực AP cấu hình để bỏ qua gói tin khơng có SSID Trong kiểu cơng Passive, kẻ cơng thu tất gói tin gửi nhận mạng mà khơng có hành động gì, kiểu cơng khơng thể phát Một công cụ công khám phá mạng tương đối phổ biến netstumber Các công thu thập thơng tin: Mỗi mạng đích xác định, kẻ cơng tiếp tục thu thập thơng tin truyền mạng công cụ sniffer (như Kismet Airodump) Nếu dòng liệu khơng mã hóa, kẻ cơng thu thập thơng tin từ dòng liệu tham số liên quan đến mạng địa MAC, địa IP, Gateway,…Nếu dòng liệu mã hóa phương thức yếu giao thức WEP, kẻ cơng sử dụng cơng cụ Aircrack để phá mã Tấn công từ chối dịch vụ: Tấn cơng có hai mức khác Ở mức 1, kẻ cơng sử dụng cơng cụ phát sóng radio cực mạnh để làm nhiễu kênh sóng mạng không 46 Chúc Em ôn thi tốt! FB: Thư Viện Tài Liệu Năm 2020 dây hoạt động Ở mức 2, kẻ công thường thực việc làm “lụt” máy client dòng liệu giả để máy client khơng khả kết nối vào mạng Tấn công giả mạo địa MAC: Trong kiểu công này, kẻ công thường làm giả địa MAC client hợp lệ có quyền truy cập vào hệ thống mạng Mục đích cơng để đánh lừa AP có sử dụng dịch vụ lọc địa MAC Tấn công dễ thực địa MAC máy client hợp lệ dễ dàng khám phá cơng thu thập thơng tin Ngồi ra, địa MAC card mạng không dây dễ dàng thay đổi sử dụng phần mềm điều khiển Tấn cơng giả mạo AP: Trong kiểu công này, kẻ công cố gắng can thiệp vào dòng liệu truyền thơng hai thiết bị hợp lệ với mục đích thực việc sửa đổi phá hủy liệu người gửi Để thực công cần thực hai bước Thứ nhất, làm cho AP hợp lệ trở nên khơng khả phục vụ cơng từ chối dịch vụ, client khó kết nối đến Thứ hai, thiết lập AP giả mạo có tên giống tên AP hợp lệ để hướng client kết nối đến AP giả mạo Một công cụ phổ biến để thực cơng việc Monkey_jack Hãy trình bày phân tích lỗ hổng gặp phải mạng LAN đó? Hãy trình bày giải thích giải pháp đảm bảo an tồn cho mạng LAN đó? Xây dựng tài liệu sách cho WLAN: Chính sách phải định nghĩa rõ phạm vi hoạt động WLAN, chức mạng WLAN hoạt động nghiệp vụ, đối tượng phép sử dụng WLAN trách nhiệm họ sử dụng Tài liệu phải rõ biện pháp bảo mật, biện pháp xác thực, điều khiển truy cập,… cho mạng WLAN Nói tóm lại tài liệu phải thể định hướng quy định cụ thể việc thực bảo mật WLAN Xác định vị trí cho AP: Vị trí đặt AP nên đảm bảo khu vực phát sóng bao phủ khu vực làm việc thiết bị client, không bao phủ phạm vi khơng cần thiết khó kiểm sốt Tùy thuộc vào chức sử dụng, vị trí logic WLAN nên ngăn cách với mạng LAN thiết bị Firewall hay Router AP nên đổi tên phù hợp không nên ẩn chức Broadcast AP điều gây bất tiện cho người sử dụng khơng có tác dụng nhiều việc ngăn cản công Nên để phân vùng WLAN riêng cho người làm việc tạm thời quan khách hàng đến làm việc cần truy cập Internet Phân vùng phải bị hạn chế đến mức tối đa việc truy cập vào mạng LAN tổ chức Thực biện pháp điều khiển truy cập: Việc điều khiển truy cập nên thực Firewall AP Trên firewall cần định nghĩa sách phù hợp phép WLAN truy cập vào nguồn tài nguyên mạng LAN tổ chức, sử 47 Chúc Em ôn thi tốt! FB: Thư Viện Tài Liệu Năm 2020 dung chiến lược phân quyền cách Trên AP áp dụng phương pháp lọc địa MAC để bỏ qua truy cập bất hợp pháp Thực biện pháp xác thực mạnh: Về mạng WLAN, client nên xác thực trước chúng truy cập vào mạng Nên triển khai phương pháp xác thực truy vấn lẫn (nếu có điều kiện) Tuy nhiên, tùy thuộc vào mức độ quan trọng khả đáp ứng mặt công nghệ hệ thống mạng tổ chức Đối với doanh nghiệp nhỏ, triển khai phương pháp xác thực PSK Đối với tổ chức lớn sử dụng phương pháp xác thực 802.1 X có sử dụng đến RADIUS server, trí triển khai chứng số cho người dùng WLAN Việc triển khai đầu tư cơng nghệ sử dụng hạ tầng mạng LAN sẵn có Đặc biệt với hệ thống mạng thực mơi trường Mircosoft, hầu hết dịch vụ RADIUS server, CA sử dụng miễn phí Triển khai cơng nghệ mã hóa: Nếu hạ tầng WLAN hỗ trợ giao thức WPA2 nên kích hoạt để sử dụng thư viện AES cho q trình mã dòng liệu, phương thức mã hóa có độ an tồn cao Trong trường hợp hạ tầng khơng trợ giúp chuẩn WPA2 dụng WPA chí WEP Tuy nhiên dòng liệu WLAN quan trọng việc sử dụng WEP khơng thể an tồn Vì vậy, nên triển khai cơng nghệ mã hóa khác để giải vấn đề này, ví dụ VPN hay Ipsec Thực bảo vệ cho máy tính client: Để bảo vệ tài nguyên quan trọng máy tính client, nên triên khai cài đặt công cụ Firewall cá nhân, phần mềm diệt virus hay thiết lập sách nhóm để ngăn chặn nguy công từ Internet Phát nguy cơng: Sử dụng cơng cụ dò quét để phát kịp thời thiết bị không dây truy cập bất hợp pháp, thiết bị AP giả Có thể sử dụng thêm hệ thống WIDS để phát công thời gian thực Hãy đề xuất giải thích quy trình bảo mật nhiều lớp với đa phương thức để bảo mật cho mạng LAN trên? Hãy đề xuất giải thích quy trình bảo mật nhằm phòng tránh công vào hệ thống lưu trữ liệu mạng LAN trên? Câu 38: Công ty bạn sử dụng số phần mềm ứng dụng hỗ trợ cho hoạt động kinh doanh tổ chức Hãy liệt kê phân tích nguy an tồn gặp phải ứng dụng đó? Hãy liệt kê phân tích lỗ hổng bảo mật có ứng dụng đó? Hãy trình bày giải thích biện pháp đảm bảo an tồn cho ứng dụng đó? Hãy trình bày giải thích biện pháp phòng tránh cho lỗ hổng bảo mật có ứng dụng đó? 48 Chúc Em ơn thi tốt! FB: Thư Viện Tài Liệu Năm 2020 Câu 39: Công ty bạn sử dụng hệ quản trị CSDL để quản trị CSDL cho tổ chức? Hãy liệt kê phân tích nguy an tồn gặp phải CSDL tổ chức? Hãy liệt kê phân tích lỗ hổng có hệ thống quản trị CSDL tổ chức? Hãy trình bày giải thích biện pháp đảm bảo an toàn cho CSDL tổ chức? Câu 46: Giả sử A muốn gửi thông điệp cho B kênh truyền biết trước Để tránh thông điệp bị cơng bị động A cần biện pháp phòng tránh nào? Giải thích? Biện pháp phòng tránh: Với hình thức cơng nghe trộm đường truyền: Bảo mật kênh truyền liệu:Thông tin dễ bị cơng bị động q trình truyền người nhận người gửi Trên môi trường Internet, liệu trước truyền từ máy chủ đến máy người sử dụng phải trải qua nhiều router trung gian, hacker thường đột nhập vào đánh cắp thơng tin dễ dàng Vì để tránh công bị động nên sử dụng bảo mật kênh truyền liệu Một vài giao thức bảo mật kênh truyền thông như: SSL, SET, WEP, Mã hóa liệu: sử dụng phương pháp mã hóa chế dùng chữ kí điện tử Với hình thức cơng phân tích lưu lượng: Thường xun độn thêm liệu thừa vào luồng thông tin lưu mạng (dù có hay khơng thơng tin lưu lượng liệu truyền ổn định, không gây ý cho kể cơng ) Giải thích: Bởi vì: Khi thơng điệp truyền kênh biết trước, mục đích cơng bị động kẻ công nhằm thu thập lấy thông tin quan trọng cần thiết, kẻ công vào hệ thống mà không sửa, thay đổi sai lệch nội dung đường truyền.Vì biện pháp nêu nhằm tạo hạn chế cho hình thức công bị động 49 Chúc Em ôn thi tốt! FB: Thư Viện Tài Liệu Năm 2020 Câu 47: Hãy so sánh ưu điểm nhược điểm hệ mã hóa đại? Vì hệ mã hóa khơng thể thỏa mãn an tồn vơ điều kiện? Hãy giải thích Ưu điểm Mã Mơ hình đơn giản hóa đối Các thuật tốn mã hóa đối xứng xứng dễ cài đặt hoạt động hiệu Các thuật toán hoạt động nhanh hiệu qua nhiều tốc độ mã hóa giải mã cao Mã hóa cơng khai Nhược điểm Phải dùng khóa chung Việc bảo mật phân khối khóa khó khăn, phức tạp Mơi trường truyền tin dễ bị hóa giải ( bị “ bẻ khóa” ) Khơng thể gửi thơng tin mã hóa cho người khơng có khả gửi khóa cho họ số lượng khóa sử dụng lớn số người tham gia trao đổi thông tin lớn( n(n-1)/2 khóa cho n người) Đơn giản việc lưu Tốc độ xử lý chậm, khơng thích hợp cho chuyển khóa trường hợp mã hóa thơng thường, thường dùng trao Mỗi người cần cặp đổi khóa bí mật đầu phiên truyền tin khóa cơng khai – khóa bí mật Tính xác thực khóa cơng khai: trao đổi thơng tin + Có thể gặp tình khóa cơng khai bị với tất người giả mạo Là tiền đề cho +Bất tạo khóa cơng bố đời chữ ký điện tử người khác phương pháp chứng thực điện + Chừng việc giả mạo chưa bị phát tử sau đọc nội dung thơng báo gửi cho người +Cần có chế đảm bảo người đăng ký khóa đáng tin Một hệ thống mã hóa đánh giá an tồn vơ điều thỏa mãn hai điều kiện: Khơng có nhược điểm Khóa có q nhiều giá trị khơng thể thử hết Có hai phương pháp mã hóa phương pháp mã hóa đối xứng ( gọi mã hóa khóa bí mật ) phương pháp mã hóa bất đối xứng ( mã khóa cơng khai) Hai phương pháp có nhược điểm , đồng thời có giới hạn số lượng khóa sử dụng Ð Các hệ mã hóa khơng thể thỏa mãn an tồn vơ điều kiện 50 Chúc Em ôn thi tốt! ... sàng 99,999% An tồn & bảo mật thơng tin đóng vai trò quan trọng DN Vì: An tồn & bảo mật thơng tin có vai trò quan trọng phát triển bền vững DN Thông tin tài sản vơ giá DN Đó thông tin nhân viên,... người khơng phép HTTT an tồn hệ thống: Đảm bảo an tồn thơng tin Đảm bảo hệ thống có khả hoạt động liên tục Đảm bảo khả phục hồi • Bảo mật thơng tin là: Đảm bảo tính bí mật: Thơng tin tiếp cận với... Năm 2020 Câu 1: An tồn & bảo mật thơng tin gì? Vì an tồn & bảo mật thơng tin lại đóng vai trò quan trọng DN nay? Khái niệm • An tồn thơng tin: Một HTTT coi an tồn thơng tin khơng bị làm hỏng hóc,

Ngày đăng: 22/05/2020, 16:16

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w