ĐỀ CƯƠNG AN TOÀN BẢO MẬT THÔNG TIN ĐỀ CƯƠNG AN TOÀN BẢO MẬT THÔNG TIN - MỚI NHẤT ĐỀ CƯƠNG AN TOÀN BẢO MẬT THÔNG TIN ĐỀ CƯƠNG AN TOÀN BẢO MẬT THÔNG TIN - MỚI NHẤT ĐỀ CƯƠNG AN TOÀN BẢO MẬT THÔNG TIN ĐỀ CƯƠNG AN TOÀN BẢO MẬT THÔNG TIN - MỚI NHẤT ĐỀ CƯƠNG AN TOÀN BẢO MẬT THÔNG TIN ĐỀ CƯƠNG AN TOÀN BẢO MẬT THÔNG TIN - MỚI NHẤT ĐỀ CƯƠNG AN TOÀN BẢO MẬT THÔNG TIN ĐỀ CƯƠNG AN TOÀN BẢO MẬT THÔNG TIN - MỚI NHẤT ĐỀ CƯƠNG AN TOÀN BẢO MẬT THÔNG TIN ĐỀ CƯƠNG AN TOÀN BẢO MẬT THÔNG TIN - MỚI NHẤT ĐỀ CƯƠNG AN TOÀN BẢO MẬT THÔNG TIN ĐỀ CƯƠNG AN TOÀN BẢO MẬT THÔNG TIN - MỚI NHẤT
TOÀN PHÁT – 2K1 ĐỀ CƯƠNG AN TOÀN BẢO MẬT THƠNG TIN MỤC LỤC Câu 1.An tồn bảo mật thơng tin gì? Vì an tồn bảo mật thơng tin lại đóng vai trị quan trọng hoạt động doanh nghiệp nay? Câu 2.Trình bày ngắn gọn xu hướng cơng dự đốn năm ? Câu 3.Mục tiêu an toàn bảo mật thơng tin doanh nghiệp? Vì ln cần xác định mục tiêu trước ứng dụng biện pháp đảm bảo an toàn cho HTTT doanh nghiệp? .5 Câu 4.Các yêu cầu an toàn bảo mật hệ thống thơng tin doanh nghiệp gì? Câu 5.Những khó khăn doanh nghiệp thường gặp phải triển khai giải pháp an tồn cho HTTT gì? Lấy ví dụ minh họa Câu 6: Trình bày giải thích giải pháp phịng tránh phổ biến mà doanh nghiệp việt nam sử dụng nay? Câu 7: Khắc phục cố gì? Vì cần có chế khắc phục cố HTTT doanh nghiệp?Trình bày giải thích nhóm nguy an tồn thơng tin doanh nghiệp? Câu 8: Bảo mật hệ thống gì? VÌ cần bảo mật hệ thống thơng tin? Ví dụ? 10 Câu 9: Trong nguy an tồn thơng tin doanh nghiệp nguy để ý đến nhất? Vì sao? 10 Câu 10: Trình bày nguy an tồn HTTT TMĐT? Vì HTTT TMĐT lại dễ bị công hệ thống thông tin khác? 11 Câu 11: Hãy trình bày giải thích phương pháp xác định nguy an toàn hệ thống thơng tin nay? Ví dụ? 13 Câu 12: Mục tiêu an tồn bảo mật thơng tin doanh nghiệp gì? Ví dụ? .13 Câu 13: Hình thức công chủ động bị động? Biện pháp phòng tránh? VD? 13 Câu 14: Bảo mật kênh truyền gì? VÌ cần bảo mật kênh truyền tin? Những chế bảo mật kênh truyền? 15 TỒN PHÁT – 2K1 Câu 15: Khi máy tính bạn bị nhiễm mã độc, cần làm để loại bỏ chúng khỏi máy tính? Vì ngày khó phịng tránh loại mã độc? 15 Câu 16: Tấn công từ chối dịch vụ gì? Trình bày đặc trưng kiểu công từ chối dịch vụ phổ biến nay? Vì cơng từ chối dịch vụ lại khó phịng tránh? 16 Câu 17: Giả sử A gửi thơng điệp mã hố cho B Các hình thức cơng thủ động ảnh hưởng đến nội dung thông điệp A? Hãy giải thích? 18 Câu 18: Tường lửa gì? Trình bày loại tường lửa phổ biến nay? Trình bày đặc trung xu hướng phát triển loại tường lửa nay? .19 Câu 19:Tấn công thụ động gì? Tấn cơng chủ động gì? Cho ví dụ minh hoạ 20 Câu 20:Phân tích ưu điểm bảo mật kênh truyền giao dịch thương mại điện tử? Hãy so sánh giao thức SSL, SET WEB khả ứng dụng mức độ an toàn? 21 Câu 21 Bảo mật Website gì? Trình bày nguy an toàn loại Website? 22 Câu 22.Tường lửa phần mềm gì?Tại cần cài đặt tường lửa phần mềm cho máy tính cá nhân bạn ? 23 Câu 23.Mã hóa liệu gì?Khi cần mã hóa liệu? Trình bày ứng dụng mã hóa liệu 24 Câu 24.So sánh giao thức bảo mật kênh truyền SSL, SET WEP tiêu chí : tính phổ dụng độ an toàn sử dụng chúng ? 25 Câu 25.Phân quyền người dùng ? Vì trg HTTT doanh nghiệp cần phân quyền người dùng? .27 Câu 26: Chứng thực điện tử gì? Trình bày giải thích đặc điểm loại chứng thực điện tử phổ biến nay? Chứng thực điện tử xây dựng dựa hệ mã hóa nào? Lấy VD minh họa 27 Câu 27: Thế truyền tin an tồn? Trình bày mơ hình truyền tin an toàn .28 Câu 28: Trình bày ứng dụng mã hóa khóa cơng khai nay? Lấy VD minh họa Phân tích lợi ích mã hóa liệu 28 Câu 29: Trình bày sơ đồ mã hóa khóa đối xứng ứng dụng chúng? Lấy VD minh họa 29 TOÀN PHÁT – 2K1 Câu 30: Chữ ký điện tử gì? Trình bày ứng dụng chữ ký điện tử? Trình bày đặc điểm chữ ký điện tử? Lấy VD minh họa 30 Câu 31: Giả sử A muốn gửi thông điệp cho B kênh truyền biết trước Để tránh thơng điệp bị cơng chủ động A cần biện pháp phịng tránh nào? Giải thích 30 Câu 32: Khi thuật tốn mã hóa coi an tồn vơ điều kiện an tồn tính toán .30 Câu 33 Bạn sử dụng máy tính cá nhân (Personal Computer - PC) công việc 31 Câu 34 Bạn sử dụng máy tính văn phịng làm việc có kết nối mạng Internet 33 Câu 35 Bạn sử dụng tài khoản email văn phịng làm việc có kết nối mạng Internet để trao đổi thông tin với khách hàng 33 36 Công ty bạn sử dụng Website để quảng bá giới thiệu thông tin sản phẩm đến đối tác khách hàng .36 37 Công ty bạn sử dụng mạng LAN bao gồm 200 máy tính kết nối với để trao đổi thơng tin nội doanh nghiệp 38 Câu 38 Công ty bạn sử dụng số phần mềm ứng dụng (Applications) hỗ trợ cho hoạt động kinh doanh tổ chức 45 Câu 39 Công ty bạn sử dụng hệ quản trị sở liệu để quản trị sở liệu cho tổ chức 47 Câu 40:Nhân viên công ty sử dụng nhiều tài khoản gồm tên tài khoản mật để đăng nhập nhiều ứng dụng khác tổ chức 51 Câu 41: cơng ty bạn có sử dụng dịch vụ page/ account số trang mạng xã hội đẻ giới thiệu, quảng bá sản phẩm dịch vụ tới khách hàng 52 Câu 42: Giả sử Alice muốn trao đổi thông tin với Bob không muốn người khác xem thông tin cần trao đổi Theo bạn, Alice cần dùng biện pháp để trao đổi thông tin với Bob cho an tồn? Hãy giải thích .54 Câu 43 Cơng ty bạn có sử dụng dịch vụ ngân hàng trực tuyến e-banking để giao dịch toán cho nhà cung cấp khách hàng 54 TOÀN PHÁT – 2K1 Câu 44 Khách hàng bạn có sử dụng dịch vụ ngân hàng trực tuyến e-banking để toán giao dịch với website thương mại điện tử .56 Câu 45.Hãy so sánh ưu điểm nhược điểm máy tính điện tử với điện thoại di động phương diện an toàn t.tin, thực giao dịch toán trực tuyến 57 Câu 46: Giả sử A muốn gửi thông điệp cho B kênh truyền biết trước Để tránh thông điệp bị cơng chủ động A cần biện pháp phịng tránh nào? Giải thích 58 Câu 47: Hãy so sánh ưu điểm nhược điểm hệ mã hóa đại? Vì hệ mã hóa khơng thể thỏa mãn an tồn vơ điều kiện? Hãy giải thích .58 TỒN PHÁT – 2K1 MƠN ATBMTT Câu 1.An tồn bảo mật thơng tin gì? Vì an tồn bảo mật thơng tin lại đóng vai trị quan trọng hoạt động doanh nghiệp nay? BL An tồn thơng tin hành động ngăn cản, phòng ngừa sử dụng, truy cập, tiết lộ, chia sẻ, phát tán, ghi lại phá hủy thơng tin chưa có cho phép Bảo mật thông tin bảo vệ thông tin liệu cá nhân, tổ chức nhằm tránh khỏi đánh cắp, ăn cắp kẻ xấu tin tặc Như vậy, an tồn bảo mật thơng tin sử dụng phương pháp, phương tiện, công cụ dùng để bảo vệ cho hệ thống tránh khỏi sử dụng từ người khơng phép để đảm bảo an tồn thơng tin, đảm bảo hệ thống có khả hoạt động liên tục đảm bảo khả phục hồi ATBMTT lại đóng vai trị quan trọng hoạt động doanh nghiệp với lí sau: + Thứ nhất, Giá trị thơng tin: Thông tin tài sản vô giá doanh nghiệp Việc đảm bảo an tồn thơng tin vô quan trọng việc phát triển bền vững doanh nghiệp + Thứ hai, Lợi cạnh tranh doanh nghiệp: Rủi ro thơng tin doanh nghiệp gây thất thoát tiền bạc, tài sản, người gây thiệt hại đến hoạt động sản xuất kinh doanh doanh nghiệp, làm giảm lợi cảnh tranh doanh nghiệp với doanh nghiệp khác + Thứ ba, Đảm bảo niềm tin với khách hàng: Việc thông tin bị rỏ rỉ bên hay bị làm ảnh hưởng lớn doanh nghiệp đặc biệt vấn đề đảm bảo thông tin khách hàng Nếu khơng có biện pháp đảm bảo an tồn thơng tin khách hàng khả cao khách hàng quay lưng lại với doanh nghiệp gây nên hậu không mong muốn doanh nghiệp + Thứ tư, Uy tín thương hiệu phát triển: Đảm bảo an tồn thơng tin giúp khách hàng tin tưởng sử dụng dịch vụ doanh nghiệp, nâng cao vị cạnh tranh đối thủ khác nâng cao uy tín thương hiệu phát triển sau Câu 2.Trình bày ngắn gọn xu hướng cơng dự đốn năm ? TL Tấn công dựa thiết bị IoT: IoT thiết bị thông TOÀN PHÁT – 2K1 minh biết đến với hội, lợi ích doanh thu biết khai thác khả kết nối vạn vật chia sẻ thông tin nơi lúc thiết bị Sản phẩm IoT phát triển năm gần nên thường tồn nhiều lỗ hổng bảo mật Các hacker lợi dụng lỗ hổng để công thiết bị IoT Đây mối lo ngại lớn cho doanh nghiệp sử dụng thiết bị IoT Tội phạm mạng kiểm sốt tồn hệ thống mạng doanh nghiệp thông qua thiết bị IoT không bảo mật tham gia vào mạng TOÀN PHÁT – 2K1 Tấn cơng dựa cơng nghệ trí tuệ nhân tạo (AI attack): Trí tuệ nhân tạo dựa vào khả tự động hóa phân tích liệu mạnh mẽ để phát sửa lỗ hổng nhanh, xác Vì lý này, ngày có nhiều doanh nghiệp nhà cung cấp bắt đầu bảo mật trí tuệ nhân tạo để chống lại mối đe dọa an ninh mạng nâng cấp hệ thống bảo mật mạng Nhưng lí Những kẻ cơng bắt đầu triển khai Trí Tuệ Nhân Tạo, lợi dụng vào mục đích vụ lợi Điều đồng nghĩa với việc xuất cơng cụ hack tự động, có khả nghiên cứu tìm hiểu hệ thống nhắm đến làm mục tiêu xác định lỗ hổng Tấn công vào hệ thống lưu trữ liệu lớn (Risk BigData Management): Khi liệu lớn ngày trở nên dễ truy cập hơn, mối quan tâm bảo mật tính riêng tư ngày tăng Việc thu thập, khai thác chia sẻ liệu trở nên phổ biến hãng tiếp thị, nhà nghiên cứu tổ chức Vì chúng mục tiêu hấp dẫn tin tặc liệu lớn có chứa thơng tin cá nhân nhạy cảm cao Thực tế, liệu Lớn gây vụ vi phạm liệu lớn, gây thiệt hại lớn tài thời gian Câu 3.Mục tiêu an tồn bảo mật thơng tin doanh nghiệp? Vì ln cần xác định mục tiêu trước ứng dụng biện pháp đảm bảo an toàn cho HTTT doanh nghiệp? TL - Mục tiêu: + Phát nguy cơ: Phát lỗ hổng hệ thống dự đoán trước nguy công vào hệ thống + Nghiên cứu biện pháp ngăn chặn: đưa biện pháp phòng tránh, ngăn chặn hành động gây an toàn liệu từ bên bên để HTTT DN hoạt động liên tục + Nghiên cứu cài đặt biện pháp phục hồi: Phục hồi tổn thất tường hợp hệ thống bị công nhằm đưa hệ thống vào hoạt động thời gian sớm Cần xác định mục tiêu trước ứng dụng biện pháp đảm bảo an toàn cho HTTT doanh nghiệp: - Thứ nhất, Do HTTT quan trọng doanh nghiệp thời đại internet phát triển nhanh chóng nên DN cần phải đảm bảo an tồn cho HTTT TỒN PHÁT – 2K1 - Thứ hai, Do CNTT ngày phát triển, phương thức công ngày đa dạng, tinh vi Đảm bảo ATTT - Thứ ba, Đảm bảo ATTT làm tăng lợi ích cạnh tranh DN TOÀN PHÁT – 2K1 Câu 4.Các yêu cầu an toàn bảo mật hệ thống thơng tin doanh nghiệp gì? TL + Tính bí mật (Confidentiality): bảo vệ liệu khơng bị lộ ngồi cách trái phép Ví dụ: Trong hệ thống ngân hàng, khách hàng phép xem thông tin số dư tài khoản khơng phép xem thơng tin khách hàng khác + Tính toàn vẹn (Integrity): Chỉ người dùng ủy quyền phép chỉnh sửa liệu Ví dụ: Trong hệ thống ngân hàng, không cho phép khách hàng tự thay đối thông tin số dư tài khoản + Tính sẵn sàng (Availability): Đảm bảo liệu sẵn sàng người dùng ứng dụng ủy quyền yêu cầu Ví dụ: Trong hệ thống ngân hàng, cần đảm bảo khách hàng truy vấn thông tin số dư tài khoản lúc theo quy định Câu 5.Những khó khăn doanh nghiệp thường gặp phải triển khai giải pháp an tồn cho HTTT gì? Lấy ví dụ minh họa TL - Về tài chính-Nguồn vốn: Đối với doanh nghiệp vừa nhỏ nguồn tài đầu tư cho HTTT gặp nhiều hạn chế Hằng năm, doanh nghiệp phải trích nguồn lợi nhuận đầu tư cho việc nâng cấp hệ thống phải bảo mật, số tiền khơng đáp ứng Chính vậy, cơng tác bảo mật thường bị bỏ ngỏ - Về nhận thức: DN chưa có nhận thức cơng tác đảm bảo ATBMTT cho hệ thống nên chưa có sách, định hướng để xây dựng hệ thống chống lại công từ tội phạm công nghệ cao - Về nhân lực: Việc thiếu nhân viên doanh nghiệp vơ xảy ra, đặc biệt nhân viên có trình độ hiểu biết ATTT, CNTT, Hơn đào tạo nhân viên có kĩ năng, hiểu biết ATTT nhiều thời gian Vì việc thiếu nhân lực doanh nghiệp mảng ATBMTT, CNTT lớn - Về hiểu biết nhân viên: Nhân viên doanh nghiệp cần phải hiểu biết vấn đề ATBMTT doanh nghiệp tránh khỏi liệu bị rỏ rỉ bên ngồi gây khó khăn cho doanh nghiệp - Ví dụ: TỒN PHÁT – 2K1 Câu 6: Trình bày giải thích giải pháp phịng tránh phổ biến mà doanh nghiệp việt nam sử dụng nay? Giải pháp phần cứng + Doanh nghiệp cần có đầu tư đắn trước mua phần mềm cơng cụ phục vụ cho việc bảo mật + Nếu cần nâng cấp hệ thống, bạn chọn nhà cung cấp dịch vụ chuyên nghiệp có kinh nghiệm lâu năm + Sử dụng có phí + Tăng cường bảo mật cho thiết bị đầu vào đầu Ví dụ USB, ổ cứng, ổ đĩa,… + Tăng thêm lớp bảo mật cho hệ thống tường lửa Giải pháp bảo mật hệ thống qua Firewall Firewall hay gọi tường lửa giúp ngăn chặn nguy cơng mạng xâm nhập từ bên ngồi hệ thống, ngăn chặn virus Tuy nhiên, hacker giỏi hoàn toàn vượt qua hệ thống tường lửa doanh nghiệp bạn cách dễ dàng Nhưng việc thực giải pháp bảo mật tốt không thực Tăng cường bảo vệ phần mềm độc hại Doanh nghiệp nên triển khai giải pháp phòng chống, bảo vệ liệu trước nguy mã độc Hiện có nhiều giải pháp phịng chống nguy lây nhiễm mã độc cấp độ khác nhau: giải pháp phòng chống mã độc riêng lẻ cho người dùng, giải pháp phòng chống mã độc tập trung hay giải pháp phòng chống mã độc gateway v.v Tuy vào điều kiện tài quy mơ mà doanh nghiệp để bạn lựa chọn giải pháp hợp lý cho doanh nghiệp Kiểm sốt truy cập Các sách phân quyền, kiểm sốt truy cập việc khơng thể thiếu hệ thống mạng doanh nghiệp Người dùng cung cấp quyền truy cập cần thiết để thực công việc họ Nếu hoạt động người dùng liên quan đến thơng tin nhạy cảm liệu tài khoản người dùng phải lưu lại quản lý nghiêm ngặt Đồng thời bạn cần phải ghi nhớ – Hãy đặt mật mạnh để bảo vệ liệu Cập nhật vá lỗi thường xuyên Ngày có nhiều phương thức cơng mới, đó, khơng hệ thống nói ln an tồn Vì vậy, việc cập nhật vá lỗi hệ điều hành phần mềm việc làm thiếu, giúp bảo vệ liệu doanh nghiệp, phịng tránh tối đa nguy cơng vào hệ thống doanh nghiệp 10 TOÀN PHÁT – 2K1 Là thuật ngữ để lỗ hổng phần mềm phần cứng chưa biết đến chưa khắc phục Đôi người tạo sản phần mềm khơng thể phát lỗ hổng Hacker tận dụng lỗ hổng để cơng xâm nhập vào hệ thống máy tính doanh nghiệp, tổ chức để đánh cắp thay đổi liệu Giải pháp cho việc hãng lớn thường tổ chức thi khai thác lỗ hổng sản phẩm mình, đồng thời tuyển mộ nhân lực từ thi c.Hãy trình bày giải thích biện pháp đảm bảo an tồn cho ứng dụng - Nâng cao nhận thức nhân viên - Sử dụng phần mềm quét lỗ hổng thường xuyên - Thuê chuyên gia bảo mât, chiêu mộ hacker có khả phát lỗ hổng, lỗi phần mềm để khắc phục d Hãy trình bày giải thích biện pháp phịng tránh cho lỗ hổng bảo mật có ứng dụng - Tăng cường an ninh chu trình phát triển phần mềm: ngày vấn đề ATTT trọng từ giai đoạn đầu phát triển sản phẩm với tham gia chuyên gia ATTT Tất cải tiến SDLC ngày trở nên cần thiết, bao gồm phát triển số lượng ứng dụng dịch vụ dựa đám mây, ứng dụng Dữ liệu lớn (Big Data) Giao diện lập trình ứng dụng Vì vậy, mức độ đó, số lượng lỗ hổng sản phẩm phần mềm đưa thị trường khống chế - Sử dụng thêm phần mềm quét lỗ hổng thường xuyên: Hiện có nhiều phần mềm cung cấp để phát lỗ hổng tồn hệ thống khắc phục - Lỗ hổng Zero Day: Doanh nghiệp cần chủ động việc tìm kiếm lỗ hổng Cách tiếp cận bao gồm việc thuê chuyên gia bảo mật, hacker có tài để thực phát hiện, kiểm tra, đánh giá lỗ hổng ATTT dựa liệu thu Các công ty hàng đầu Facebook, Google hay Yahoo nỗ lực để phát triển hoạt động Câu 39 Công ty bạn sử dụng hệ quản trị sở liệu để quản trị sở liệu cho tổ chức a Hãy liệt kê phân tích nguy an tồn gặp phải sở liệu tổ chức 62 TOÀN PHÁT – 2K1 - Lạm dụng quyền vượt mức Khi người dùng gán đặc quyền truy nhập sở liệu vượt yêu cầu chức công việc họ, đặc quyền bị lạm dụng cho mục đích xấu Ví dụ, người phụ trách sở liệu trường đại học với công việc thay đổi thông tin liên lạc sinh viên, người lạm dụng quyền với quyền cập nhật sở liệu để sửa đổi điểm sinh viên (trái phép) Giải pháp cho hiểm họa sở liệu này, sử dụng chế kiểm sốt truy nhập mức truy vấn (Query-level) Cơ chế hạn chế đặc quyền sở liệu toán tử SQL (SELECT, UPDATE,…) liệu yêu cầu cách tối thiểu - Lạm dụng quyền hợp pháp Người dùng lạm dụng đặc quyền hợp pháp để thực mục đích khơng hợp pháp Ví dụ: Một người phụ trách sở liệu công ty thông tin khách hàng, người sử dụng quyền truy cập vào liệu khách hàng bán lại cho bên khác Giải pháp cho hiểm họa kiểm soát truy nhập sở liệu cần áp dụng cho không truy vấn cụ thể mơ tả trên, mà cịn áp dụng cho bối cảnh xung quanh truy nhập sở liệu Bằng cách bắt buộc tuân thủ sách cho ứng dụng khách, thời gian ngày, vị trí,… nhận dạng người dùng sử dụng quyền truy nhập hợp pháp với hành động mờ ám, đáng nghi - Lợi dụng điểm yếu tảng Các điểm yếu hệ điều hành bên (Windows 2000, UNIX, …) điểm yếu dịch vụ cài đặt máy chủ sở liệu dẫn tới truy nhập bất hợp pháp, sửa đổi liệu hay từ chối dịch vụ Chẳng hạn, sâu Blaster lợi dụng điểm yếu Windows 2000 để tạo điều kiện cho công từ chối dịch vụ Để bảo vệ tài nguyên sở liệu tránh khỏi công tảng, cần thiết phải kết hợp việc cập nhật (các vá) phần mềm thường xuyên sử dụng hệ thống ngăn chặn xâm nhập (IPS) để kiểm tra lưu lượng sở liệu xác định công nhắm vào điểm yếu biết - Tấn công SQL Injection Trong công SQL Injection, kẻ công thường chèn mệnh đề sở liệu bất hợp pháp vào nguồn liệu SQL dễ bị 63 TỒN PHÁT – 2K1 tổn thương, sau chúng truyền tới sở liệu xử lý Với SQL Injection, kẻ công đạt truy nhập khơng giới hạn tới tồn sở liệu Có thể sử dụng kết hợp ba kỹ thuật để chống SQL Injection là: IPS, kiểm soát truy nhập mức truy vấn tương quan kiện - Tấn công từ chối dịch vụ Tấn công từ chối dịch vụ (DoS) loại cơng truy nhập người dùng hợp pháp vào ứng dụng mạng hay vào liệu bị từ chối Các điều kiện từ chối dịch vụ tạo qua nhiều kỹ thuật Ví dụ, cơng D0S dựa điểm yếu tảng sở liệu để phá hủy máy chủ Ngồi cịn có số kỹ thuật DoS phổ biến khác như: sửa đổi liệu, làm lụt mạng (network flooding), làm tải tài nguyên máy chủ (bộ nhớ, CPU,…) Trong đó, làm tải tài nguyên kỹ thuật phổ biến môi trường sở liệu Để ngăn chặn công này, cần yêu cầu bảo vệ nhiều mức khác nhau, như: mức mạng, mức ứng dụng mức sở liệu Trong đó, số kỹ thuật bảo vệ mức sở liệu để chống cơng DOS bao gồm: kiểm sốt tốc độ kết nối, kiểm soát giao thức, kiểm soát truy nhập truy vấn, kiểm soát thời gian phản hồi - Lợi dụng xác thực yếu Trong hệ thống chứa lược đồ xác thực yếu, kẻ công dễ dàng chiếm lấy định danh người dùng sở liệu hợp pháp cách lấy cắp thẻ đăng nhập họ Kẻ công sử dụng nhiều chiến lược khác để lấy thẻ đăng nhập người dùng hợp pháp Để phịng chống loại cơng này, cần thực số chế: + Xác thực mạnh: Nên sử dụng bảo mật hai lớp xác thực mạnh cho username/password (như: độ dài tối thiểu, đa dạng ký tự, khó đốn,…) + Tích hợp danh bạ: Cơ sở danh bạ cho phép người dùng sử dụng tập thẻ đăng nhập cho nhiều cở liệu ứng dụng Từ làm cho hệ thống xác thực hai nhân tố sử dụng hiệu người dùng dễ dàng ghi nhớ việc cần phải thay đổi mật thường xuyên b Hãy liệt kê phân tích lỗ hổng có hệ thống quản trị sở liệu tổ chức Số lỗ hổng bảo mật hệ thống quản trị CSDL phát ngày nhiều Một số chuyên gia chứng tỏ 64 TOÀN PHÁT – 2K1 hacker hồn tồn tạo loại virus chun lây lan qua hệ quản trị CSDL chí rootkit thân hệ quản trị CSDL Những mối đe doạ khơng thể ngăn chặn biện pháp phòng vệ “cổ điển” tường lửa hệ thống phát xâm nhập (IDS) hay hệ thống ngăn ngừa xâm nhập (IPS) cung cấp, lỗ hổng bảo mật CSDL thường liên quan đến phiên cụ thể hệ quản trị CSDL thay đổi liên tục Nhưng điều khơng có nghĩa CSDL bị công kỹ thuật cao cấp Các lỗ hổng máy chủ CSDL có lỗ hổng thường gặp là: - Dùng cấu hình chuẩn với tên người dùng mật mặc định - Tấn công SQL Injection qua công cụ CSDL, ứng dụng thứ ba hay ứng dụng web người dùng - Dùng mật dễ dị tìm cho tài khoản cao cấp - Các lỗi tràn đệm tiến trình “lắng nghe” cổng phổ biến - Bên cạnh đó, nhiều lỗ hổng hệ thống CSDL người tự tạo Dữ liệu doanh nghiệp nằm rải rác điểm khác bên ngồi máy chủ chính, đĩa/băng lưu trữ, máy chủ dự phòng hay máy chủ phục vụ nhu cầu báo cáo hay chí máy chủ dành cho phát triển/kiểm thử ứng dụng Trong hệ thống lưu trữ, dự phịng bảo vệ nghiêm ngặt gần hệ thống CSDL cho phát triển kiểm thử ứng dụng thường khơng quan tâm nhiều Đó lỗ hổng lớn CSDL thường chứa thông tin nhạy cảm số dư, giao dịch thực tế khách hàng lại bị nhóm người dùng đơng đảo khơng có thẩm quyền truy cập c.Hãy trình bày giải thích biện pháp đảm bảo an toàn cho sở liệu tổ chức Cũng công tác bảo mật nói chung, phịng ngự theo chiều sâu (defense-in-depth) bảo vệ có trọng điểm nguyên tắc bảo mật CSDL Để thực điều này, doanh nghiệp cần biết rõ họ triển khai CSDL nào, chúng sử dụng để lưu thơng tin gì, chúng có điểm yếu - Gỡ bớt mô-đun không cần thiết để Hầu hết hệ quản trị CSDL chứa nhiều môđun hay tuỳ chọn với công dụng mà bình thường doanh nghiệp dùng tới Càng có nhiều chức khả có lỗ hổng bị lợi dụng để cơng lớn Vì vậy, rà sốt cấu hình 65 TỒN PHÁT – 2K1 CSDL theo định kỳ để loại bỏ thành phần không cần thiết - Áp dụng vá, nâng cấp phần mềm: Khi CSDL có lỗ hỏng việc cập nhập vá điều cần thiết Đối với hệ quản trị CSDL, việc áp vá phức tạp nhiều so với thiết bị mạng hay ứng dụng phần mềm khác Vì CSDL yếu tố sống hệ thống ứng dụng Trước cài đặt vá cần phải thử nghiệm thật cẩn thận lên kế hoạch để đảm bảo hệ thống hoạt động ổn định sau triển khai giảm thiểu thời gian dừng (downtime) - Kiểm soát truy nhập: + Được thực dựa nguyên tắc quyền tối thiểu Mỗi người dùng hay ứng dụng phép có quyền đủ để phục vụ cho cơng việc Điều khơng áp dụng cho q trình phân quyền mà cần phải kiểm tra định kỳ + Có biện pháp kiểm sốt theo dõi việc truy cập từ phương tiện lưu trữ liệu hạn chế mối đe doạ bảo mật CSDL từ trình phát triển kiểm thử phần mềm - Mã hoá CSDL: Đây lớp bảo vệ trường hợp biện pháp kiểm soát truy cập bị vượt qua Việc mã hoá phải thực cách đắn để đảm bảo người dùng có tồn quyền hệ điều hành đọc liệu không thơng qua kiểm sốt ứng dụng d Hãy trình bày phân tích quyền người dùng sử dụng hệ thống quản trị sở liệu - Lạm dụng quyền vượt mức (ý a) - Lạm dụng quyền hợp pháp (ý a) - Nâng cấp quyền bất hợp pháp Kẻ cơng dựa điểm yếu phần mềm sở liệu để biến đặc quyền truy nhập người dùng bình thường thành quyền truy nhập người quản trị Những điểm yếu tìm thấy thủ tục lưu, hàm xây dựng bên trong, việc thực thi giao thức, chí câu lệnh SQL Hiểm họa bị ngăn chặn việc kết hợp hệ thống ngăn chặn xâm nhập (IPS) kiểm soát truy nhập mức truy vấn IPS kiểm tra lưu lượng sở liệu để nhận mẫu phù hợp với điểm yếu biết Chẳng hạn, với hàm có điểm yếu biết, IPS chặn tất truy nhập tới hàm đó, (nếu có thể) chặn truy nhập (của công) tới 66 TOÀN PHÁT – 2K1 hàm Câu 40:Nhân viên công ty sử dụng nhiều tài khoản gồm tên tài khoản mật để đăng nhập nhiều ứng dụng khác tổ chức a Hãy liệt kê phân tích nguy an tồn gặp phải tài khoản b Hãy trình bày giải thích biện pháp phòng tránh nguy cho người dùng sử dụng tài khoản Trả lời: a Nguy an tồn gặp phải là: - Nguy bị mất, hỏng, sửa đổi thông tin Một ngun nhân làm thơng tin liệu người quản trị không phân quyền rõ ràng cho thành viên Lợi dụng điều này, nhân viên nội đánh cắp, tráo đổi, thay đổi thơng tin công ty - Nguy xâm nhập bị cơng cách phá mật Q trình truy cập vào hệ điều hành bảo vệ khoản mục người dùng mật Đôi người dùng khoản mục lại làm mục đích bảo vệ cách chia sẻ mật với người khác, ghi mật để cơng khai để nơi cho dễ tìm khu vực làm việc Những kẻ cơng có nhiều cách khác phức tạp để tìm mật truy nhập Những kẻ cơng có trình độ biết ln có khoản mục người dùng quản trị Kẻ cơng sử dụng phần mềm dị thử mật khác Phần mềm tạo mật cách kết hợp tên, từ từ điển số Ta dễ dàng tìm kiếm số ví dụ chương trình đốn mật mạng Internet như: Xavior, Authforce Hypnopaedia Các chương trình dạng làm việc tương đối nhanh ln có tay kẻ công - Nguy xâm nhập từ lỗ hổng bảo mật Do lỗi lập trình, lỗi cố phần mềm, nằm nhiều thành phần tạo nên hệ điều hành chương trình cài đặt máy tính Hiện, lỗ hổng bảo mật phát ngày nhiều hệ điều hành, web server hay phần mềm khác, Và hãng sản xuất cập nhật lỗ hổng đưa phiên sau vá lại lỗ hổng phiên trước - Nguy từ việc giả mạo tài khoản 67 TOÀN PHÁT – 2K1 Do sử dụng nhiều tài khoản để đăng nhập nhiều ứng dụng hệ thống nên việc kiểm soát tài khoản khó khăn với người dùng Chính dễ bị hacker giả mạo để thay đổi, lấy cắp thơng tin b Biện pháp phịng tránh - Bước việc giảm thiểu rủi ro khai thác tài khoản đặc quyền xác định tất tài khoản thông tin đặc quyền xố tài khoản khơng cịn sử dụng kết nối với nhân viên khơng cịn cơng ty - Sử dụng phương thức chứng thực tên truy cập mật phương pháp dùng phổ biến hệ thống xây dựng sách sử dụng mật tốt đạt hiệu cao như: Tạo quy tắc đặt mật riêng cho mình, khơng nên dùng lại mật sử dụng, tránh mật dễ đoán ngày sinh, tên người thân,… thường xuyên thay đổi mật đăng nhập hệ thống để tránh trường hợp người dùng vơ tình làm lộ mật kẻ xấu cố tình lấy cắp mật - Người dùng nên thường xuyên cài đặt cập nhật (updates) bảo vệ hệ thống Việc cài đặt cập nhật vá lỗi (patches) cách hiệu để chống lại công hệ điều hành - Cung cấp hướng dẫn, quy tắc, quy trình để thiết lập mơi trường thơng tin an tồn Các sách hệ thống có tác dụng tốt người dùng tham gia vào xây dựng chúng, làm cho họ biết rõ tầm quan trọng an tồn Câu 41: cơng ty bạn có sử dụng dịch vụ page/ account số trang mạng xã hội đẻ giới thiệu, quảng bá sản phẩm dịch vụ tới khách hàng a Hãy liệt kê phân tích nguy an tồn gặp phải việc sử dụng dịch vụ b Hãy trình bày giải thích giải pháp đảm bảo an tồn cho cơng ty sử dụng dịch vụ Trả lời: a Các nguy an toàn đối việc sử dụng dịch vụ page/ account - Nguy giả mạo accout/ page Lập accout/ page tương tự accout/page cơng ty Lợi dụng uy tín có cơng ty để lừa đảo, chiếm đoạt tài sản 68 TOÀN PHÁT – 2K1 người dùng thay đổi nội dung page/ accout - Nguy bị công phần mềm độc hại Một công phần mềm độc hại mạng xã hội dễ dàng so với dịch vụ trực tuyến khác cấu trúc tương tác người dùng Trường hợp phần mềm độc hại truy cập người dùng lấy thông tin đăng nhập mạo danh họ để gửi tin nhắn cho đồng nghiệp họ Ví dụ: phần mềm độc hại Koobface lan truyền MySpace, Facebook Twitter Nó sử dụng để thu thập thơng tin đăng nhập thông tin đăng nhập làm cho máy tính bị nhiễm mục tiêu trở thành phần mạng botnet - Nguy từ công thư rác Tin nhắn rác tin nhắn không mong muốn Thư rác xuất dạng đăng tường thư rác tức thơng điệp Thư rác mạng xã hội nguy hiểm so với thư rác truyền thống Tin nhắn rác thường chứa quảng cáo liên kết độc hại dẫn đến trang web lừa đảo phần mềm độc hại khiến cho page hay accout công ty uy tín niềm tin khách hàng - Nguy công ẩn danh Ẩn danh mạng xã hội cho phép người dùng ẩn thông tin Lý cho ẩn danh để đảm bảo người dùng bảo vệ khỏi nhà quảng cáo, nhà phát triển ứng dụng liệu nhà nghiên cứu khai thác, người xâm phạm quyền riêng tư người dùng Tuy nhiên, việc ẩn danh trở thành kẻ công khác mạng xã hội Những tài khoản ẩn danh vu khống thông tin sai lệch cho doanh nghiệp b Giải pháp để đảm bảo an toàn - Quản lý chặt chẽ thông tin account/page Các thông tin đưa lên mạng xã hội dễ dàng bị kẻ xấu lợi dụng Những thông tin dễ bị lợi dụng thông tin cá nhân chia sẻ công khai mạng xã hội như: hình ảnh, sở thích, email, số điện thoại, địa nhà riêng quan, danh sách người thân,… Vì vậy, cần cẩn thận chia sẻ thông tin mạng xã hội - Lưu ý cấp quyền cho trò chơi/ứng dụng Các trị chơi/ứng dụng đơi u cầu quyền truy cập khơng hợp lý, có nguy xâm phạm đến quyền riêng tư cá nhân Người dùng cần phải đọc kỹ quyền mà trò chơi/ứng dụng yêu cầu Lưu ý, quyền truy cập vào danh bạ, tin nhắn, quyền 69 TOÀN PHÁT – 2K1 đăng bài,… ảnh hưởng trực tiếp đến quyền riêng tư người dùng Việc gỡ bỏ trò chơi/ứng dụng rác tham gia vào mạng xã hội giúp khơng bị làm phiền bị gắn thẻ vào viết không liên quan; tránh nhận thông báo tin nhắn rác gây phiền hà; tiết kiệm lưu lượng truy cập mạng lợi ích lớn tránh bị tài khoản - Sử dụng mật mạnh Việc đặt mật đủ dài phức tạp yêu cầu cần thiết Người dùng tuyệt đối khơng đặt mật đơn giản, dễ đốn hay dùng chung mật cho nhiều tài khoản mạng xã hội Thực đổi mật định kỳ biện pháp để đảm bảo an tồn - Kích hoạt xác thực bước Nếu mạng xã hội người dùng tham gia có hỗ trợ việc xác thực hai bước người dùng cần kích hoạt tính Đây tính giúp người dùng tăng cường khả bảo mật cho tài khoản, gây khó khăn cho tin tặc cố gắng chiếm đoạt tài khoản Câu 42: Giả sử Alice muốn trao đổi thông tin với Bob không muốn người khác xem thông tin cần trao đổi Theo bạn, Alice cần dùng biện pháp để trao đổi thông tin với Bob cho an tồn? Hãy giải thích - Alice nên dùng phương pháp mã hố cơng khai ngun lí hệ người tham gia truyền thơng có cặp khố khố cơng khai khố bí mật, Alice dùng khố bí mật, mã hố thơng điệp cần gửi cho Bob gửi cho Bob Bob sử dụng khố cơng khai Alice để giải mã, sau Bob sử dụng khố cơng khai Alice mã hoá tin nhắn trả lời, Alice sử dụng khố bí mật để giải mã người khác khơng sử dụng khố cơng khai để giải mã - Alice nên chắn phần mềm diệt vius ln cập nhật để ý tới thơng báo trình duyệt chương trình quản lí thư điện tử - Chỉ nên trao đổi thông tin với Bob kênh thông tin bảo mật, ví dụ nhắn tin bảo mật hay hội thoại mã hố - Nếu Alice nên tạo tài khoản thư điện tử Riseup cách truy cập http://mail.riseupp.net , riseup cung cấp dịch vụ thư điển tử miễn phí cho nhà hoạt động giới quan tâm đến việc bảo vệ thông tin lưu trữ máy chủ họ - Nên sử dụng phần mềm ẩn danh TOR số 70 TỒN PHÁT – 2K1 cơng cụ vượt rào chặn khác để truy cập thư điện tử để giúp Alice ẩn dịch vụ thư điện tử mà bạn chọn dùng khỏi kẻ muốn kiểm soát kết nối internet Alice Khi gửi thông điệp cho Bob, Alice nên gửi thêm đoạn thông điệp nhắc nhở Bob ý cảnh giác mở tệp đính kèm theo thư mà Alice gửi, đến từ người mà Alice Bob khơng biết có tiêu đề đáng ngờ Câu 43 Cơng ty bạn có sử dụng dịch vụ ngân hàng trực tuyến e-banking để giao dịch toán cho nhà cung cấp khách hàng a Hãy trình bày giải thích giải pháp đảm bảo an tồn cho cơng ty sử dụng dịch vụ ngân hàng trực tuyến b Hãy liệt kê phân tích nguy an tồn cho công ty sử dụng dịch vụ ngân hàng trực tuyến c Hãy xác định phân tích lỗ hổng gặp phải cho cơng ty sử dụng dịch vụ ngân hàng trực tuyến TL a) Các giải pháp đảm bảo an tồn cho cơng ty sử dụng dịch vụ ngân hàng trực tuyến : Đào tạo đội ngũ nhân viên thực nhiệm vụ toán qua ngân hàng trực tuyến để họ có kiến thức chuyên môn định, tranh xảy trường hợp xấu k mong muốn thiếu hiểu biết.Yêu cầu nhân viên có trách nhiệm với giao dịch thực qua ngân hàng trực tuyến.Kiểm tra kỹ lưỡng trước xác nhận giao dịch Truy cập vào trang web chuẩn ngân hàng trực tuyến mà doanh nghiệp sử dụng Thực giao dịch ngân hàng trực tuyến mạng nội doanh nghiệp, hạn chế sử dụng mạng công cộng tranh bị đánh cắp thông tin Nắm rõ tài khoản nhà cung cấp khách hàng để tránh chuyển nhầm tiền Không cung cấp thông tin cá nhân, mã OTP, mật truy cập ứng dụng loại dịch vụ cho ai, bạn bè người thân, nhân viên hay tổng đài chăm sóc KH ngân hàng trực tuyến khơng biết rõ lí Chủ động bảo vệ thiết bị sử dụng để thực giao dịch 71 TOÀN PHÁT – 2K1 ngân hàng trực tuyến máy tính công ty tránh bị công, nhiễm mã độc gây an toàn t.tin Liên hệ với ngân hàng cung cấp dịch vụ ngân hàng trực tuyến thấy có bất thường xảy vấn đề b) Các nguy an tồn cho công ty sử dụng dịch vụ ngân hàng trực tuyến : Nguời nhận,người chuyển tiền cho doanh nghiệp sử dụng thẻ toán ăn cắp hết thời gian sử dụng Doanh nghiệp bị lộ t.tin tài khoản toán ngân hàng trực tuyến, giao dịch với khách hàng, t.tin tài khoản khách hàng.Ngun nhân từ phía doanh nghiệp toán trực tuyến truy cập vào trang web giả mạo; hệ thống doanh nghiệp bị hacker cơng ăn cắp liệu;….Ngồi ngun nhân bắt nguồn từ phía nhà cung cấp dịch vụ ngân hàng trực tuyến để lộ t.tin khách hàng Do doanh nghiệp thường có giá trị giao dịch lớn nên điểm cơng hacker mục đích cạnh tranh doanh nghiệp Hệ thống máy chủ ngân hàng bị hỏng làm liệu Doanh nghiệp bị tiền oan hệ thống trục trặc c) Các lỗ hổng gặp phải cho cơng ty sử dụng dịch vụ ngân hàng trực tuyến : Điện thoại truy cập trái phép mạng wifi : nguyên nhân bắt nguồn từ điện thoại cá nhân nhân viên cơng ty có tích hợp bluetooth, GSM, wifi nên sử dụng nơi làm việc nguyên nhân trở thành đường dẫn cho vụ cơng.Qua bluetooth hacker truy cập vào điện thoại bạn truy cập vào mạng k dây quan.Từ chúng sử dụng thiết bị bắn tỉa bluetooth ăn cắp thông tin từ hệ thống công ty thực giao dịch ngân hàng trực tuyến Các cổng mở mạng máy in : cơng ty sử dụng máy in để in hóa đơn, lịc sử giao dịch ngân hàng trực tuyến.Trong máy in hoạt động khơng khác máy tính Nó có hệ điều hành, ổ cứng, kết nối mạng, nhớ, đảm nhận chức chia sẻ chung lại bảo vệ, thường phận không liên quan đến bảo mật mua quản lý hầu hết không nằm kế hoạch củng cố an ninh bảo mật doanh nghiệp Chúng trở thành kẽ hở cho kẻ xấu khai thác Vì máy in nối mạng có cổng mở cho tin tặc lợi dụng, phá vỡ lớp 72 TOÀN PHÁT – 2K1 tường lửa an ninh mà doanh nghiệp bỏ nhiều cơng sức thiết lập Nó bị cơng qua BIOS firmware Hacker cài cắm mã ẩn vào tác vụ in ấn, đồng thời đánh cắp thông tin từ tác vụ in ấn thơng qua mạng Email có gắn mã độc : hacker giả dạng ngân hàng gửi email đến cho doanh nghiệp muốn xác nhận giao dịch cung cấp t.tin cho doanh nghiệp.Với email mạo danh doanh nghiệp cảnh giác hacker cài cắm mã độc, link độc hại vào email yêu cầu nhân viên truy cập link cung cấp t.tin.Nếu không nhận giả mạo nhân viên dễ lầm tưởng ngân hàng làm theo lời hacker Công ty sử dụng ứng dụng web khơng an tồn để kết nối với đối tác, KH việc toán trực tuyến với họ.Chính lỗi lập trình web tạo điều kiện cho hacker công gây an tồn cho hệ thống cơng ty Câu 44 Khách hàng bạn có sử dụng dịch vụ ngân hàng trực tuyến e-banking để toán giao dịch với website thương mại điện tử a Hãy xác định phân tích lỗ hổng gặp phải khách hàng họ sử dụng dịch vụ ngân hàng trực tuyến thiết bị di động? b Hãy xác định phân tích nguy gặp phải khách hàng họ sử dụng dịch vụ ngân hàng trực tuyến máy tính điện tử? TL a) Các lỗ hổng gặp phải khách hàng họ sử dụng dịch vụ ngân hàng trực tuyến thiết bị di động Có thể lỗ hổng bảo mật thư viện, plugin, module, tảng sử dụng khơng kiểm sốt an ninh dẫn đến bị an toàn liệu Thiết bị di động thiết bị cá nhân nên người dùng thường lưu lại t.tin qtrong mà k có biện pháp bảo mật cao.Khi thực dịch vụ ngân hàng trực tuyến, người dùng lưu lại t.tin đăng nhập, ghi lại t.tin tài khoản thư mục đó.Nếu vơ tình để nguời khác thấy điện thoại việc lộ t.tin điều chắn Trên tbi di động thường cài đặt nhiều ứng dụng có ứng dụng k an tồn nhìn tg vô hại n cho phép chúng truy cập vào hình ảnh, ghi âm, vị trí chúng ắn cắp liệu 73 TỒN PHÁT – 2K1 từ thiết bị chúng ta.Hoặc ứng dụng có chứa mã độc cho phép nghe lén, chụp ảnh hình từ thiết bị chúng ta.Từ bị lộ thơng tin, đặc biệt t.tin liên quan đến việc sử dụng dịch vụ ngân hàng trực tuyến Email, SMS có gắn mã độc : hacker giả dạng ngân hàng gửi email, SMS đến thiết bị di động bạn muốn xác nhận giao dịch cung cấp t.tin cho doanh nghiệp.Với email, SMS mạo danh cảnh giác hacker cài cắm mã độc, link độc hại vào email, SMS yêu cầu bạn truy cập link cung cấp t.tin thông tin xác nhận tài khoản, mã OTP.Nếu không nhận giả mạo dễ lầm tưởng ngân hàng làm theo lời hacker Kết nối tbi di động với mạng wifi k an toàn : thiết bị di động thường mang theo bên người tiện lợi với bao phủ wifi việc kết nối thiết bị di động với mạng wifi bên nhiều.Trong sử dụng dịch vụ ngân hàng trực tuyến dùng mạng wifi k an tồn mạng wifi cơng cộng qn café, sân bay, khách sạn hacker thiết lập mạng wifi giả với tên cửa hàng, công ty thu thập liệu, ăn cắp t.tin b) Các nguy gặp phải khách hàng họ sử dụng dịch vụ ngân hàng trực tuyến máy tính điện tử : Tương tự điện thoại di động sử dụng máy tính điện tử truy cập vào mạng wifi k an toàn tạo điều kiện cho hacker ăn cắp liệu trình truy cập vào trang web ngân hàng trực tuyến Có thể truy cập nhầm vào trang web giả mạo mà hacker tạo dựng điền t.tin gây lộ thơng tin chủ thẻ tốn.Các website thống bị cơng vào lỗ hổng chèn đoạn mã độc hại, có đường link xấu, Máy tính điện tử có nhiều nguy bị nhiễm mã độc làm lộ t.tin nên k biết máy tính an tồn sử dụng để truy cập vào trang web ngân hàng trực tuyến t.tin nhập bị ăn cắp sử dụng gây thiệt hại kinh tế Email có gắn mã độc : hacker giả dạng ngân hàng gửi email đến bạn muốn xác nhận giao dịch cung cấp 74 TOÀN PHÁT – 2K1 t.tin cho doanh nghiệp.Với email mạo danh bạn cảnh giác hacker cài cắm mã độc, link độc hại vào email yêu cầu bạn truy cập link cung cấp t.tin.Nếu không nhận giả mạo bạn dễ lầm tưởng ngân hàng làm theo lời hacker Câu 45.Hãy so sánh ưu điểm nhược điểm máy tính điện tử với điện thoại di động phương diện an toàn t.tin, thực giao dịch toán trực tuyến Máy tính điện tử : Ưu điểm : Khi thực giao dịch toán trực tuyến web lưu lại thơng tin tốn đtdđ Nhược điểm : Có thể truy cập nhầm vào trang web giả mạo gây lộ thông tin chủ thẻ tốn.Các website thống dễ bị công vào lỗ hổng chèn đoạn mã độc hại, có đường link xấu, Máy tính sử dụng để truy cập web nhiều đtdđ nên khả bị nhiễm mã độc cao Máy tính thường sử dụng liên kết với mạng internet thông qua wifi cap mạng dây cáp quang.Nếu sử dụng mạng wifi khơng an tồn dễ bị lộ t.tin trang web truy cập liệu gửi cho trang web t.tin thẻ toán, tài khoản ngân hàng Điện thoại di động : Ưu điểm : Trên điện thoại di động sử dụng app danh nghiệp app ngân hàng, app sàn tmđt shopee, lazada, app trung gian toán momo, vnpay nên toán app hạn chế việc giả mạo bị lấy cắp thông tin, tránh việc điều hướng sang trang web trung gian toán Nếu sử dụng mạng di động an toàn kết nối với wifi thực giao dịch tốn trực tuyến Có thể sử dụng bảo mật lớp việc gửi mã OTP điện thoại để xác thực dễ dàng Nhược điểm : Trên đtdđ thường hay lưu thơng tin tài khoản cá nhân 75 TỒN PHÁT – 2K1 tài khoản ngân hàng nên bị máy, có người sử dụng điện thoại bạn nguy hiểm, thông tin cá nhân hay liệu nhạy cảm bị lộ, chưa kể đến khả điện thoại bị lợi dụng để làm chuyện xâu danh nghĩa Các app đt thường yêu cầu quyền truy cập vào hình ảnh, danh bạ, ghi âm, vị trí Do sơ suất bạn bị lộ thông tin cá nhân bạn chụp ảnh hình trg q trình nhập thơng tin giao dịch, hay bị nghe trg trò chuyện Hacker gửi SMS đến điện thoại di động bạn với tên giả danh nghĩa ngân hàng yêu cầu bạn thực số việc truy cập vào đường link đính kèm điền t.tin xác thực tài khoản ngân hàng.Từ lấy cắp t.tin bạn Câu 46: Giả sử A muốn gửi thông điệp cho B kênh truyền biết trước Để tránh thông điệp bị công chủ động A cần biện pháp phịng tránh nào? Giải thích Để tránh thơng điệp bị cơng chủ động A cần biện pháp phịng tránh: - Mã hóa thơng điệp phương pháp mã hóa khóa cơng khai - Cài đặt phần mềm phịng chống công mạng tường lửa, diệt virus, Câu 47: Hãy so sánh ưu điểm nhược điểm hệ mã hóa đại? Vì hệ mã hóa khơng thể thỏa mãn an tồn vơ điều kiện? Hãy giải thích 76 ... VÌ cần bảo mật kênh truyền tin? Những chế bảo mật kênh truyền? Bảo mật kênh truyền việc bảo mật liệu chúng truyền kênh truyền thơng Phải bảo mật kênh truyền vì: An toàn liệu liên quan chặt... – 2K1 Câu 27: Thế truyền tin an tồn? Trình bày mơ hình truyền tin an tồn Truyền tin an toàn (secure transmission) phương pháp để truyền thông tin cần bảo mật cao thông tin ngân hàng, lịch sử tìm... đa dạng, tinh vi Đảm bảo ATTT - Thứ ba, Đảm bảo ATTT làm tăng lợi ích cạnh tranh DN TOÀN PHÁT – 2K1 Câu 4.Các yêu cầu an toàn bảo mật hệ thống thơng tin doanh nghiệp gì? TL + Tính bí mật (Confidentiality):