lOMoARcPSD|10225100 Ơn Tập An Tồn Thơng Tin CUỐI KỲ (2021-2022) An tồn thơng tin (Trường Đại học Cơng nghiệp Thành phố Hồ Chí Minh) StuDocu is not sponsored or endorsed by any college or university Downloaded by H?u Nguy?n (nguyenhoanhuu8668@gmail.com) lOMoARcPSD|10225100 Câu 1: Chữ ký điện tử gì? Mục tiêu chữ ký điện tử? Trình bày trạng áp dụng chữ ký điện tử Việt Nam (gợi ý: Định nghĩa chữ ký điện tử: ứng dụng mã hóa khóa cơng khai, người dùng có (PU A, PRA); Tạo chữ ký: SAM=E(M,PRA) – giải thích; Thẩm tra chữ ký D(SAM, PUA) - Yes/No – Giải thích; Mục tiêu chữ ký số; Hiện trạng áp dụng chữ ký: lĩnh vực quan Thuế, Bảo hiểm xã hội, Hải quan Chứng khoán) Chữ ký điện tử gì? Chữ ký điện tử định nghĩa tương đối rộng trừu tượng Theo Luật GDĐT 2005, “chữ ký điện tử” có đặc tính sau: (i) tạo lập dạng từ, chữ, số, ký hiệu, âm hình thức khác phương tiện điện tử; (ii) gắn liền kết hợp cách lơgic với hợp đồng điện tử (ví dụ, định dạng PDF Word); (iii) có khả xác nhận người ký hợp đồng điện tử xác nhận chấp thuận người nội dung hợp đồng điện tử ký.Chữ ký điện tử có giá trị pháp lý thỏa mãn điều kiện khả định danh mức độ tin cậy, cụ thể là: phương pháp tạo chữ ký điện tử cho phép xác minh người ký chứng tỏ chấp thuận người ký nội dung hợp đồng phương pháp tạo chữ ký điện tử đủ tin cậy phù hợp với mục đích mà hợp đồng tạo gửi Mục tiêu chữ ký điện tử? - Giúp xác minh chủ thể ai: Tăng khả bảo mật, chống giả mạo, cho phép chủ thẻ xác minh danh tính hệ thống khác xe bus, thẻ rút tiền ATM, hộ chiếu điện tử cửa khẩu, kiểm soát hải quan … Dùng để kê khai, nộp thuế trực tuyến, khai báo hải quan thông quan trực tuyến mà thời gian in tờ khai, trình ký đóng dấu đỏ cơng ty đến quan thuế xếp hàng ngồi đợi để nộp tờ khai thuận tiện Một số ứng dụng chữ ký số điện tử điển hình: - Ứng dụng Chính phủ điện tử.+ Ứng dụng Bộ Tài chính+ Ứng dụng Bộ Cơng thương + Ứng dụng Bộ KHCN, … - Ứng dụng Thương mại điện tử.+ Mua bán, đặt hàng trực tuyến+ Thanh toán trực tuyến, … - Ứng dụng giao dịch trực tuyến.+ Giao dịch qua email - Hội nghị truyền hình làm việc từ xa với Mega e-Meeting Downloaded by H?u Nguy?n (nguyenhoanhuu8668@gmail.com) lOMoARcPSD|10225100 Làm để tạo chữ ký điện tử? Chữ ký điện tử yêu cầu phải sử dụng mã hóa khóa công cộng (public key) Nếu muốn tạo chữ ký điện tử cần phải có thêm mã hóa khóa cá nhân (private key) Bạn dùng khóa cá nhân để ký - dạng mã - sau cung cấp khóa cơng cộng cho người cần xác nhận chữ ký (chẳng hạn ngân hàng, nơi bạn vay tiền) Một số ví dụ có liên quan đến chữ kí điện tử: - Mặc dù chưa có án lệ tòa án giải cụ thể vấn đề hiệu lực hợp đồng ký chữ ký điện tử, có án lệ án cho thấy tòa án Việt Nam thiên cách tiếp cận trọng nội dung (tức xem xét ý chí thực bên giao dịch) hình thức thể chấp thuận nội dung (tức xem xét hình thức hợp đồng chữ ký) Trong số án lệ án, Tòa án nhân dân tối cao phán rằng, hành vi bên trình giao kết thực hợp đồng có giá trị quan trọng để xác định ý chí bên hợp đồng cho dù hợp đồng không ký bên có liên quan, hợp đồng khơng bị vô hiệu - Án lệ số 07/2016/AL ngày 17/10/2016 công nhận hợp đồng mua bán nhà xác lập trước ngày tháng năm 1991(tranh chấp Nguyễn Đình Sơng, Nguyễn Thị Hồng, Nguyễn Thị Hương với Đỗ Trọng Thành, Đỗ Thị Nguyệt, Vương Chí Tường, Vương Chí Thắng, Vương Bích Vân, Vương Bích Hợp - Án lệ 07) Câu 2: Đưa hệ thống thông tin trang web thực tế Việt Nam mà có sử dụng chữ ký điện tử? Nghiệp vụ hệ thống có sử dụng chữ ký số? Trình bày bước cụ thể để người dùng hệ thống thực nghiệp vụ có sử dụng chữ ký số (gợi ý: Website quan Thuế, Wibsite quan Hải quan, Website quan Bảo hiểm xã hội, ) Đưa hệ thống thông tin trang web thực tế Việt Nam mà có sử dụng chữ ký điện tử? Website quan Hải quan, Website quan Bảo hiểm xã hội, ) Trình bày bước cụ thể để người dùng hệ thống thực nghiệp vụ có sử dụng chữ ký số? Hướng dẫn cá nhân, doanh nghiệp sử dụng chữ ký số để nộp thuế điện tử Downloaded by H?u Nguy?n (nguyenhoanhuu8668@gmail.com) lOMoARcPSD|10225100 Bước1: Đăng nhập vào Trang thông tin điện tử Tổng cục Thuế http://thuedientu.gdt.gov.vn Bước2: Lập giấy nộp tiền - Sau đăng nhập thành công, doanh nghiệp lập giấy nộp tiền theo bước đây: - Tại mục “Nộp thuế” nhấn chọn “Lập giấy nộp tiền” - Lựa chọn “Ngân hàng nộp thuế” nhấn "Tiếp tục" Bước 3: Khai báo thông tin tờ khai - Trong q trình hồn tất thủ tục nộp thuế điện tử, doanh nghiệp cần khai báo đầy đủ xác nội dung sau tờ khai thuế: + Thông tin loại tiền: Chọn “VND” đơn vị thuộc diện nộp thuế đồng Việt Nam, trường hợp thuộc diện nộp thuế ngoại tệ đơn vị chọn loại ngoại tệ sử dụng + Thơng tin ngân hàng: Chọn ngân hàng số tài khoản để trích tiền + Thơng tin quan quản lý thu: Chính thông tin quan thuế quản lý đơn vị + Thông tin nơi phát sinh khoản thu: Điền địa nơi phát sinh khoản thu theo quy định Cục Thuế Chi cục thuế địa phương + Thông tin kho bạc nhận tiền + Loại thuế: Chọn tương ứng theo mục đích nộp thuế đơn vị - Tại mục “Nội dung khoản nộp NSNN” bạn tích chọn vào vng chấm để chọn loại thuế muốn nộp - Tại mục Nội dung khoản nộp danh sách: Nhập mã NDKT Lưu ý: + Căn vào vốn điều lệ ghi Giấy Đăng ký kinh doanh Trường hợp khơng có vốn điều lệ vào vốn đầu tư ghi giấy chứng nhận đăng ý đầu tư + Đối với công ty, doanh nghiệp, tổ chức thành lập cần nộp Thuế môn bài: Nếu cấp đăng ký thuế mã số thuế, mã số doanh nghiệp thời gian tháng đầu năm nộp mức lệ phí mơn năm; Nếu thành lập, cấp đăng ký thuế mã số thuế, mã số doanh nghiệp Downloaded by H?u Nguy?n (nguyenhoanhuu8668@gmail.com) lOMoARcPSD|10225100 thời gian tháng cuối năm ( từ ngày 1/7 đến 31/12) nộp 50% mức lệ phí mơn cho năm - Sau nhập xong giá trị vào ô Mã “NDKT”, hệ thống tự sinh thông tin tương ứng theo quy định pháp luật - Người dùng khai báo thơng tin đầy đủ xác, nhấn “Hoàn thành” để tạo lập xong tờ khai Bước 4: Ký số - Bước cuối để hoàn thành thủ tục nộp thuế điện tử ký số Doanh nghiệp cần kiểm tra lại thông tin vừa khai báo Giấy nộp tiền vào ngân sách nhà nước Nếu thông tin xác, người dùng cắm chữ ký số doanh nghiệp tiếp tục nhấn “Ký nộp” - Sau đó, nhập mã PIN nhấn “OK” Như vậy, doanh nghiệp hoàn thành xong việc nộp tiền mục thuế, trường hợp cần nộp nhiều mục đơn vị thực lặp lại từ bước Lập giấy nộp tin Câu 3: Chứng thư số gì? Mục tiêu chứng thư số? Hiện Việt Nam có đơn vị cung cập dịch vụ chứng thư số? Chứng thư số gì? Căn theo quy định luật giao dịch điện tử 2005, chứng thư số dạng chứng thư điện tử tổ chức cung cấp dịch vụ chứng thực chữ ký số cấp Nhằm cung cấp thông tin định danh cho khóa cơng khai quan, tổ chức, cá nhân Từ xác nhận quan, tổ chức, cá nhân người ký chữ ký số việc sử dụng khóa bí mật tương ứng Chứng thư số coi “chứng minh thư” để sử dụng mơi trường máy tính internet Chứng thư số sử dụng để nhận diện cá nhân, máy chủ, vài đối tượng khác Và gắn định danh đối tượng với public key (khóa cơng khai) Được cấp tổ chức có thẩm quyền xác định nhận danh cấp chứng thư số Hiện Việt Nam có đơn vị cung cấp dịch vụ chứng thư số? Hiện thị trường có gần 20 đơn vị cung cấp chữ ký số điện tử, khiến doanh nghiệp có nhiều lựa chọn đa dạng lại gặp khó khăn việc đưa định mua đơn vị Có thể kể đến vài loại chữ ký số doanh nghiệp tin dùng như: Downloaded by H?u Nguy?n (nguyenhoanhuu8668@gmail.com) lOMoARcPSD|10225100 Chữ ký số điện tử MISA eSign nhà cung cấp MISA Chữ ký số Viettel – CA nhà cung cấp Viettel Chữ ký số VNPT – CA nhà cung cấp VNPT Chữ ký số BKAV – CA nhà cung cấp BKAV Câu 4: Chứng thư số gì? Nội dung có chứng thư số gồm nội dung gì? Chứng thư số là: Chứng thư số dạng chứng thư điện tử tổ chức cung cấp dịch vụ chứng thực chữ ký số cấp Chứng thư số xem “chứng minh thư” để sử dụng mơi trường máy tính Internet Chứng thư số sử dụng để nhận diện cá nhân, máy chủ, vài đối tượng khác gắn định danh đối tượng với public key, cấp tổ chức có thẩm quyền xác định nhận danh cấp chứng thư số Chứng thu số tạo nhà cung cấp dịch vụ chứng thực chứa public key thông tin người dùng theo chuẩn X.509 Khóa bí mật chữ ký số bắt buộc phải lưu trữ thiết bị phần cứng chuyên dụng USB Token SmartCard cung cấp nhà cung cấp Các thiết bị đảm bảo khóa bí mật khơng bị copy hay bị virus phá hỏng Chứng thư số chứa nội dung gì? Tên thuê bao Số hiệu chứng thư số (số seri) Thời hạn có hiệu lực chứng thư số Tên tổ chức chứng thực chữ ký số (Ví du: VIETTEL CA) Chữ ký số tổ chức chứng thực chữ ký số Các thư hạn chế mục đích, phạm vi sử dụng chứng số Các hạn chế trách nhiệm tổ chức cung cấp dịch vụ chứng thực chữ ký số Các nội dung cần thiết khác theo quy định Bộ Thông Tin Truyền Thông Chứng thư số cặp khóa mã hóa liệu gồm thông tin công ty & mã số thuế DN, dùng để ký thay cho chữ ký thông thường , ký loại văn tài liệu số : word, excel, pdf… , tài liệu dùng để nộp thuế qua mạng, khai hải quan điện tử thực giao dịch điện tử khác Downloaded by H?u Nguy?n (nguyenhoanhuu8668@gmail.com) lOMoARcPSD|10225100 Câu 5: Chứng thực thực thể gì? Trình phương pháp mà bạn biết mà cài đặt để chứng thực thực thể? Chứng thực thực thể: kỹ thuật thiết kế cho phép bên chứng minh nhận dạng bên khác Các phương pháp Chứng thực thực thể : Chứng thực Passwords Chứng thực sinh trắc học Biometrics - Hiện phương pháp chứng thực Passwords sử dụng chủ yếu, nhiên, công nghệ ngày phát triển, việc chứng thực sinh trắc học dần sử dụng nhiều mang lại hiệu cao Vì: Nhận dạng sinh trắc học (vân tay, móng mắt/võng mạc, DNA…) điểm đặc trưng nhận dạng người, nói khơng thể trùng nên việc chứng thực có độ xác cao, tin cậy, thời gian chứng thực nhanh (dưới 1s) trường hợp đụng độ khả thấp khơng đáng kể cần phải sử dụng thiết bị công nghệ cao nên giá thành đắt nhược điểm lớn làm cho phương pháp thực chưa phổ biến phương pháp chứng thực truyền thống * Mô tả: Phương pháp chứng thực vân tay, võng mac/móng mắt + Sử dụng thiết bị thu nhận ( quét) lưu trữ đặc tính sinh trắc học + Quét đặc tính sinh trắc chủ thể ( đặc điểm vân tay, móng mắt, ) đưa dạng liệu biểu diễn dạng bit lưu trữ sở liệu + Chứng thực: Chủ thể muốn giao dịch cần phải chứng thực danh tính/định danh cần tiến hành quét lại thông tin bảo mật lưu trước qua thiết bị quét vân tay, móng mắt, sau quét, tiến hành đưa chuỗi bit so sánh sở liệu: Nếu (trùng với liệu lưu)→Xác thực thành cơng Nếu khơng trùng với liệu trước đó, hệ thống từ chối giao dịch đến chủ thể chứng thực thành công Downloaded by H?u Nguy?n (nguyenhoanhuu8668@gmail.com) lOMoARcPSD|10225100 + Chứng thực thực thể sinh trắc học (biometrics) gì, nêu ưu điểm nhược điểm phương pháp này, phương pháp thường áp dụng đâu Chứng thực thực thể sinh trắc học ( Biometrics) sử dụng phép đo lường đặc tính sinh lí học hành vi học mà nhận dạng người, đặc thù sinh trắc học khơng thể đốn , ăn cắp hay chia sẻ ví dụ vân tay, vân lịng bàn tay, võng mạc, móng mắt, khn mặt, giọng nói… - Ưu điểm: + Có độ xác cao + Thời gian chứng thực nhanh (nhỏ 1s) + Sự tác động người dùng thấp + Có kết hợp nhiều yếu tố: vân tay, võng mạc, giọng nói - Nhược điểm: + Giá thành: triển khai hệ thống sinh trắc học địi hỏi chi phí cao cho phần cứng ( thiết bị thu/quét, nhận dạng) với phần mềm đại + nhận diện sai: hư hỏng phần cứng, lỗi phần mềm làm cho hệ thống từ chối người dùng người - Hiện nay: công nghệ chứng thực sinh trắc học áp dụng rộng rãi ngân hang, công ty ( dùng chấm công, điểm danh) hay thực bảo mật liệu cá nhân thiết bị di động cao cấp Câu 6: Điều khiển truy cập gì? Trình bày phương pháp mà bạn biết mà cài đặt điều khiển truy cập hệ thống thông tin? 6.1 Điều khiển truy cập gì? Thuật ngữ điểu khiển truy cập (access control) ám đến thi hành nhằm hạn chế thâm nhập vào sở, tòa nhà, phòng làm việc, cho phép người ủy quyền tiếp cận mà thơi An ninh trường thực sức người - chẳng hạn dùng người canh gác, người gác cổng thuê (bouncer), người tiếp tân - sức máy khóa chìa khóa - hay việc áp dụng khoa học kỹ thuật việc sử dụng hệ thống truy cập dùng thẻ Downloaded by H?u Nguy?n (nguyenhoanhuu8668@gmail.com) lOMoARcPSD|10225100 6.2 Phương pháp cài đặt điều khiển truy cập hệ thống thông tin Điều khiển truy cập bắt buộc MAC - Điều khiển truy cập bắt buộc (Mandatory Access Control - MAC) Là mơ hình điều khiển truy cập nghiêm ngặt Thường bắt gặp thiết lập quân đội Hai thành phần: Nhãn Cấp độ - Mơ hình MAC cấp quyền cách đổi chiều nhân đối tượng với nhân chủ thể Nhãn cho biết cấp độ quyền hạn - Để xác định có mở file hay không: So sánh nhân đối tượng với nhân chủ thể Chủ thể phải có cấp độ tương đương cao hơn: đối tượng cấp phép truy cập - Hai mơ hình thực thi MAC Mơ hình mạng lưới (Lattice model) Mơ hình Bell-LaPadula - Mơ hình mạng lưới Các chủ thể đối tượng gán "cấp bậc” mạng lưới Nhiều mạng lưới đặt cạnh - Mơ hình Bell-LaPadula Tương tự mơ hình mạng lưới Các chủ thể tạo đối tượng hay thực số chức định đối tượng có cấp thấp - Ví dụ việc thực thi mơ hình MAC Windows 7/Vista có bốn cấp bảo mật Các thao tác cụ thể chủ thể phân hạng thấp phải phê duyệt quản trị viên - Hộp thoại User Account Control (UAC) Windows Điều khiển truy cập tùy ý (DAC) - Điều khiển truy cập tùy ý (DAC) Downloaded by H?u Nguy?n (nguyenhoanhuu8668@gmail.com) lOMoARcPSD|10225100 Mơ hình hạn chế Mọi đối tượng có chủ sở hữu Chủ sở hữu có tồn quyền điều khiển đối tượng họ Chủ sở hữu cấp quyền đối tượng cho chủ thể khác Được sử dụng hệ điều hành Microsoft Windows hầu hết hệ điều hành UNIX - Nhược điểm DAC Phụ thuộc vào định người dùng để thiết lập cấp độ bảo mật phù hợp Việc cấp quyền khơng xác Quyền chủ thể "thừa kế” chương trình mà chủ thể thực thi Trojan vấn đề đặc biệt DAC Điều khiển truy cập dựa vai trò (RBAC) - Điều khiển truy cập dựa vai trò (Role Based Access Control - RBAC) Còn gọi Điều khiển Truy cập không tùy ý Quyền truy cập dựa chức công việc - RBAC gần quyền cho vai trò cụ thể tổ chức Các vai trị sau gắn cho người dùng Điều khiển truy cập dựa quy tắc (RBAC) - Điều khiển truy cập dựa quy tắc (Rule Based Access Control - RBAC) - Tự động gán vai trò cho chủ thể dựa tập quy tắc người giám sát xác định - Mỗi đối tượng tài nguyên chứa thuộc tính truy cập dựa quy tắc - Khi người dùng truy cập tới tài nguyên, hệ thống kiểm tra quy tắc đối tượng để xác định quyền truy cập - Thường sử dụng để quản lý truy cập người dùng tới nhiều hệ thống Những thay đổi doanh nghiệp làm cho việc áp dụng quy tắc thay đổi Câu 7: Mật (password) gì? Mật cố định (fixed password) mật dùng lần (one time password) khác nào? Trình bày điểm mạnh điểm yếu loại mật khẩu? Password (mật khẩu) gì? Downloaded by H?u Nguy?n (nguyenhoanhuu8668@gmail.com) lOMoARcPSD|10225100 Mật (tiếng Anh: Password) thường xâu, chuỗi, loạt ký tự mà dịch vụ internet phần mềm hệ thống máy tính yêu cầu người sử dụng nhập vào bàn phím trước tiếp tục sử dụng số tính định Khác mật cố định mật dùng lần: Mật cố định Mật dùng lần Được dùng lặp lặp lại Chỉ dùng lần không sử dụng lại Dễ cơng Khó cơng Tính bảo mật thấp Tính bảo mật cao Điểm mạnh điểm yếu mật cố định mật dùng lần: - Mật cố định: + Điểm mạnh: sử dụng mật mạnh tạo lớp bảo mật chắn + Điểm yếu: người dùng sử dụng mật phổ biến, mật chứa thông tin cá nhân, … điều tạo lỗ hỏng bảo mật - Mật dùng lần: + Điểm mạnh: khó bị cơng, có tính bảo mật cao, nhận mật nhanh chóng, tiện lợi, yêu cầu lấy mật nhiều lần, chi phí thấp Thẻ thông minh hay thiết bị tạo mật cầm tay (token) nhờ vào kết nối internet với máy chủ dịch vụ cung cấp OTP thơng qua thẻ OTP in sẵn thay điện thoại di động mà không cần đến kết nối internet + Điểm yếu: hạn chế thời gian hiệu lực, sử dụng nơi khơng có sóng di động OTP SMS Câu 8: Trình bày loại mã OPT, nêu ưu điểm nhược điểm loại? Các hình thức cung cấp mã OTP ưu nhược điểm Hiện có hình thức cung cấp mã OTP chủ yếu Bao gồm: 1) SMS OTP Đây hình thức cung cấp mã OTP phổ biến Mã OTP gửi tin nhắn SMS số điện thoại đăng ký Để thực giao dịch bạn cần phải nhập mã OTP gửi số điện thoại đăng ký Đa số ngân hàng Việt Nam có sử dụng mã OTP theo hình thức Downloaded by H?u Nguy?n (nguyenhoanhuu8668@gmail.com) lOMoARcPSD|10225100 Hình thức khơng ngân hàng sử dụng mà công ty công nghệ lớn giới Google, Facebook áp dụng để tạo lớp bảo mật thứ hai cho tài khoản bạn Và lớp bảo vệ xuất phát hoạt động không rõ ràng từ tài khoản bạn Ưu điểm:  Thời gian tích hợp dịch SMS OTP nhanh chóng, từ 30 – 60 phút  Hỗ trợ đăng ký nhanh thương hiệu riêng (SMS Brand) cho doanh nghiệp để gửi SMS OTP chăm sóc khách hàng  Hệ thống ổn định tảng Cloud  Hỗ trợ HTTP SMPP App  Hỗ trợ API, code mẫu tài liệu hướng dẫn tích hợp miễn phí  Cách sử dụng đơn giản, dễ hiểu, tiện lợi ( Người dùng copy mã OTP trực tiếp từ tin nhắn sang mục OTP tài khoản để thực giao dịch.)  Mức phí dịch vụ thấp  Phổ biến nhiều hình thức xác minh chủ thể giao dịch ngân hàng, tạo tài khoản mạng xã hội, tạo tài khoản email…  Tốc độ gửi SMS OTP nhanh (từ 5-10s/SMS)  Ưu điểm lớn khả bổ sung thêm lớp bảo mật cho tài khoản toán Nhược điểm: - Người dùng khơng thể sử dụng nơi khơng có sóng di động di chuyển nước ngồi 2) Token Key – Tokey Card Hiện Token có hai loại: hard token soft token : - Hard token: Là máy cầm tay dạng USB để bạn mang theo sử dụng cần - Soft token: Là phần mềm tích hợp vào máy tính điện thoại người sử dụng để cung cấp mã số cần thiết Token thiết bị điện tử mà chủ tài khoản cấp mở tài khoản tốn Ngân hang, tự động sinh mã OTP mà không cần đến kết nối mạng Bạn muốn sử dụng hình thức phải trả thêm phí làm máy Token Một số ngân hàng áp dụng hình thức bảo mật Token ACB, HSBC, Sacombank,… Downloaded by H?u Nguy?n (nguyenhoanhuu8668@gmail.com) lOMoARcPSD|10225100 Mỗi tài khoản cần đăng ký Tokey Key riêng cho tài khoản, sau thời gian quy định ngân hàng đổi Tokey Key bạn Ưu điểm: - Máy Token thiết bị rời có kích thước nhỏ gọn, giúp bạn dễ dàng mang theo bên người dễ dàng cho vào chùm chìa khóa cá nhân - Giúp bảo vệ giao dịch khách hàng, Tránh bị kẻ gian hack thông tin sử dụng thông tin để thực giao dịch - Nếu chẳng may bị lộ mã OTP sử dụng khách hàng khơng cần lo lằng mã có hiệu lực lần - Các sử dụng thiết bị Token đơn giản phù hợp cho nhiều đối tượng Nhược điểm: - Để sử dụng, bạn bỏ chi phí mua máy Token từ 200.000-400.000đ - Mã Token thường có hiệu lực 60 giây - Bắt buộc phải có máy Token bạn giao dịch - Đây thiết bị rời , nhỏ gọn luôn mang theo bên Tuy nhiên cần bảo quản cẩn thận dễ bị 3) Smart OTP – Smart Token Smart OTP nói đến ứng dụng tạo mã OTP cài điện thoại/máy tính bảng có hệ điều hành Android hay iOS Sau đăng kí tài khoản ứng dụng kích hoạt thành cơng ứng dụng hoạt động tương tự Token Smart OTP phương thức xác thực sử dụng công nghệ tiên tiến, bảo mật, thuận tiện cho Doanh nghiệp sử dụng tiện ích F@st EBank Nó coi hình thức kết hợp hoàn hảo SMS OTP Token Key Smart OTP gửi ứng dụng xuất yêu cầu giao dịch Tại Việt Nam ngân hàng: Vietcombank TPBank sử dụng hình thức xác thực Smart OTP hoạt động song song SMS OTP Để sử dụng Smart OTP người dùng cần phải đăng ký với ngân hàng nhà cung cấp dịch vụ Đặc biệt nên nhớ khơng thể có nhiều thiết bị sử dụng chung ứng dụng tạo mã OTP Downloaded by H?u Nguy?n (nguyenhoanhuu8668@gmail.com) lOMoARcPSD|10225100 Ưu điểm: - Ứng dụng cung cấp mã OTP nên khách hàng chủ động lấy có nhu cầu giao dịch điện tử - Được sinh điện thoại khách hàng mã hóa với hệ thống bảo vệ nhiều lớp phức tạp khó can thiệp - Thiết bị di động cài đặt Smart OTP không yêu cầu phải kết nối internet hay kết nối mạng viễn thơng sau kích hoạt ( Khách hàng khơng phải roaming nước ngồi nhận OTP qua SMS) - Là giải pháp có mức độ bảo mật cao (so với nhận OTP qua SMS/email truyền thống) - Chủ động lấy OTP việc nhập mã PIN số Smart OTP - Mã OTP tự động hiển thị vào ô xác thực giao dịch sau điền mã PIN (để đăng nhập phần mềm Smart OTP) thành cơng Vì thế, q khách tuyệt đối không chia sẻ mã PIN đăng nhập Smart OTP cho ai, bao gồm người "tự xưng" nhân viên ngân hàng hay quan chức Nhược điểm: - Để sử dụng Smart OTP người dùng cần phải đăng ký với ngân hang nhà đăng ký dịch vụ Ngồi , khơng thể có nhiều thiết bị sử dụng chung ứng dụng tạo mã OTP Câu 9: Đưa hệ thống mà bạn biết có sử dụng mật cố định (fixed password) mô tả bước thực để bạn chứng thực người dùng hệ thống Nêu mục tiêu việc chứng thực Hệ thống có sử dụng mật cố định (fixed password) - Teamviewer Các bước thực Bước 1: Tại giao diện Teamviewer, người dùng nhấn chọn vào mục Extras bên chọn tiếp Options Bước 2: Downloaded by H?u Nguy?n (nguyenhoanhuu8668@gmail.com) lOMoARcPSD|10225100 Chuyển sang giao diện nhấn vào mục quản lý Security góc bên trái hình Nhìn sang bên phải phần Personal password (For unattended access), nhập mật muốn đặt cho Teamviewer vào Nhấn OK để lưu lại mật xong Ngồi phần Random password người dùng điều chỉnh độ dài mật từ ký tự sang 6, 8, 10 ký tự Disabled để vô hiệu hóa mật cần kết nối máy tính Bây giờ, bạn sử dụng mật vừa tạo để tạo kết nối cho người khác Cách tiện bạn thường xuyên nhờ người, họ ghi nhớ ID mật cho lần trợ giúp mà không cần hỏi lại mật đăng nhập Tuy nhiên, để kẻ gian phát lợi dụng, mối nguy hiểm lớn cho tài khoản người dùng Vì vậy, cân nhắc thật kỹ trước tiến hành sử dụng, mật có ưu - nhược điểm riêng * Mục tiêu chứng thực - Tăng cường an toàn cho hệ xác thực dựa mật - Xây dựng giao thức an toàn - Đảm bảo nội dung thông tin trao đổi thực thể xác khơng bị thêm, sửa, xóa hay phát lại (đảm bảo tính tồn vẹn nội dung) - Đảm bảo đối tượng tạo thông tin (nguồn gốc thông tin) đối tượng hợp lệ khai báo (đảm bảo tính tồn vẹn nguồn gốc thơng tin) - Đảm bảo an tồn thông tin xác thực (tên đặng nhập mật không truyền trực tiếp mạng) - Xác thực giao dịch - Đảm bảo bảo mật thông tin (không thẩm quyền => không đọc được) - Đảm bảo tính tồn vẹn - Chống thối - Sử dụng thay cho giấy tờ - Chứng minh người yêu cầu chứng thực ký chữ ký để xác định trách nhiệm người ký giấy tờ, văn Downloaded by H?u Nguy?n (nguyenhoanhuu8668@gmail.com) lOMoARcPSD|10225100 - Chứng minh thời gian, địa điểm bên ký kết hợp đồng, giao dịch; lực hành vi dân sự, ý chí tự nguyện, chữ ký dấu điểm bên tham gia hợp đồng, giao dịch Câu 10: Đưa hệ thống mà bạn biết có sử dụng mật dùng lần (one time password) mô tả tình mà bạn có sử dụng mật để chứng thực người dùng/giao dịch Nêu mục tiêu việc chứng thực Câu 11: Sinh trắc học (biometric) gì? Nêu lĩnh vực mà áp dụng sinh trắc học? Câu 12: Nêu ưu điểm nhược điểm việc áp dụng chứng thực sinh trắc học Downloaded by H?u Nguy?n (nguyenhoanhuu8668@gmail.com) lOMoARcPSD|10225100 Câu 13 Hệ thống quản lí an tồn thơng tin ? Mục tiêu hệ thơng an tồn thơng tin?  Khái niệm -ISMS từ viết tắt information security management system Đây hệ thống quản lí an ninh thông tin, khái niệm sử dụng nhiều Doang Nghiệp công nghệ thông tin đơn vị có ứng dụng hệ thống CNTT vào quản lí sản xuất -Hệ thống quản lí an tồn thơng tin phần hệ thống quản lí tồn diện, dựa rủi ro xuất doang nghiệp để xây dựng, điều hành, triển khai, sốt xét, trì cải tiến thơng tin  Mục tiêu Gồm mục tiêu chính: -Confidentiality: Đảm bảo tính bí mật thơng tin, tức thơng tin phép truy cập (đọc) đối tượng (người, chương trình máy tính…) cấp phép Tính bí mật thơng tin đạt cách giới hạn truy cập mặt vật lý, ví dụ tiếp cận trực tiếp tới thiết bị lưu trữ thơng tin logic, ví dụ truy cập thơng tin từ xa qua mơi trường mạng Sau số cách thức vậy: +Khóa kín niêm phong thiết bị +Yêu cầu đối tượng cung cấp credential, ví dụ, cặp username + password hay đặc điểm sinh trắc để xác thực Downloaded by H?u Nguy?n (nguyenhoanhuu8668@gmail.com) lOMoARcPSD|10225100 +Sử dụng firewall ACL router để ngăn chặn truy cập trái phép +Mã hóa thơng tin sử dụng giao thức thuật tốn mạnh SSL/TLS, AES, v.v -Integrity: Đảm bảo tính tồn vẹn thông tin, tức thông tin phép xóa sửa đối tượng phép phải đảm bảo thơng tin cịn xác lưu trữ hay truyền Về điểm này, nhiều người thường hay nghĩ tính “integrity” đơn giản đảm bảo thông tin không bị thay đổi (modify) chưa đẩy đủ Ngoài ra, giải pháp “data integrity” bao gồm thêm việc xác thực nguồn gốc thông tin (thuộc sở hữu đối tượng nào) để đảm bảo thông tin đến từ nguồn đáng tin cậy ta gọi tính “authenticity” thơng tin Sau số trường hợp tính “integrity” thơng tin bị phá vỡ: +Thay đổi giao diện trang chủ website +Chặn đứng thay đổi gói tin gửi qua mạng +Chỉnh sửa trái phép file lưu trữ máy tính +Do có cố đường truyền mà tín hiệu bị nhiễu suy hao dẫn đến thơng tin bị sai lệch -Availability: Đảm bảo độ sẵn sàng thơng tin, tức thơng tin truy xuất người phép vào họ muốn Ví dụ, server bị ngưng hoạt động hay ngừng cung cấp dịch vụ vịng phút năm độ sẵn sàng 99,999% Ví dụ sau cho thấy hacker cản trở tính sẵn sàng hệ thống nào: Máy hacker gửi hàng loạt gói tin có MAC nguồn giả tạo đến switch làm nhớ lưu trữ MAC address table switch nhanh chóng bị đầy khiến switch khơng thể hoạt động bình thường Đây thuộc hình thức công từ chối dịch vụ (DoS) Để tăng khả chống trọi với công trì độ sẵn sàng hệ thống ta áp dụng số kỹ thuật như: Load Balancing, Clustering, Redudancy, Failover… Như vậy, vấn đề bảo mật thông tin không đơn việc chống lại công từ hacker, ngăn chặn malware để đảm bảo thông tin không bị phá hủy bị tiết lộ ngoài… Hiểu rõ mục tiêu bảo mật bước q trình xây dựng hệ thống thơng tin an tồn Ba mục tiêu cịn gọi tam giác bảo mật C-I-A Downloaded by H?u Nguy?n (nguyenhoanhuu8668@gmail.com) lOMoARcPSD|10225100 TÌNH HUỐNG Tình 1: Để phục vụ cho nhu cầu học tập tra cứu cán bộ, giảng viên sinh viên trường, nhà trường xây dựng hệ thống thư viện trực tuyến www.thuviendientu.iuh.edu.vn, hệ thống giúp độc giả (cán bộ, giảng viên sinh viên trường) tìm kiếm loại sách, báo, tạp chí,… Đối với tài liệu điện tử độc giả đọc trực tuyến tải về, sách thư viện độc giả đăng ký mượn Độc giả yêu cầu mua loại tài liệu điện tử tốn phí mua trực tuyến Hệ thống giúp cho thủ thư quản lý thông tin mượn trả sách độc giả, hệ thống cịn có tính thơng báo nhắc nhở đến hạn trả sách email, tạo báo cáo, thống kê Yêu cầu: Với tình cho, bạn Chỉ loại thơng tin/dữ liệu/chức cần nâng cao tính an tồn nêu lý sao? Đưa giải pháp (chữ ký số, xác thực điều khiểu truy cập mật (fixed password, OTP), thẻ từ, camera, sinh trắc học (vân tay khuôn mặt, ngơi,…)) để cài đặt nâng cao tính an tồn cho loại thông tin/dữ liệu/chức nêu lý phương pháp pháp hữu hiệu Tình 2: Để phục vụ nhu cầu học tập nghiên cứu cán bộ, giảng viên sinh viên trường (gọi chung độc giả), nhà trường trang bị phòng đọc sách cho độc giả Phịng có trang bị máy lạnh, bàn ghế, wifi, 100 máy tính để bàn Sinh viên tự vào phịng đọc sách khoảng thời gian thư viện mở để ngồi đọc sách, học tập nghiên cứu dùng máy tính Các máy tính dùng để học tập/nghiên cứu khơng cho phép chơi game Yêu cầu: Theo bạn để kiểm soát, chứng thực theo dõi vào phòng đọc sách độc giả cách tự động dùng phương pháp (chữ ký số, xác thực điều khiển truy cập mật (fixed password, OTP), thẻ từ, camera, sinh trắc học (vân tay khuôn mặt, ngơi,…)) để kiểm soát nêu lý phương pháp hữu hiệu nhất? Downloaded by H?u Nguy?n (nguyenhoanhuu8668@gmail.com) lOMoARcPSD|10225100 Theo bạn để chứng thức, kiểm soát theo dõi việc sử dụng wifi thiết bị máy móc phịng đọc sách dùng phương pháp (chữ ký số, xác thực điều khiển truy cập mật (fixed password, OTP), thẻ từ, camera, sinh trắc học (vân tay khuôn mặt, ngơi,…)) nêu lý phương pháp hữu hiệu nhất? - Thẻ từ hữu hiệu + Số lượng thẻ từ quản lý lớn tương ứng số người quản lý Chúng hợp mơi trường có số người vào lớn, nhà trường đông sinh viên + Thông thường thời gian đọc thẻ diễn chưa đến 1s/ lượt quẹt thẻ Tốc độ nhanh nhiều so với việc dùng vân tay hay khn mặt Nhờ số người tập chung vào lớn thời điểm xếp hàng chờ đợi lâu + Chỉ cần dùng thẻ để quẹt đến nơi làm việc vào Những thẻ sử dụng hồn tồn khơng bị ảnh hưởng môi trường hay thời tiết Đây điểm hạn chế công nghệ nhận diện vân tay + Mỗi thẻ có ID riêng khơng trùng lặp Khi thẻ thẻ bị vô hiệu nên không cần lo lắng kẻ xấu nhặt - Camera : + Quản lý quyền truy cập sử dụng phần mềm + Quản lý tồn thơng tin sinh viên + Theo dõi thời gian sinh viên nhanh chóng - Sinh trắc học: Tăng hiệu cách loại bỏ lỗi hệ thống Tăng cường trách nhiệm sinh viên Cung cấp khả đồng hóa hạng Cho phép xác thực đa yếu tố giọng nói nhận dạng khn mặt Xác minh đa phương thức với nhiều thơng tin tuyển sinh Tình 3: Giả sử khoa Kế toán trường IUH trang bị ‘Phịng mơ thực hành quy trình nghiệp vụ Kế tốn – Tài – Tín dụng’ (gồm 30 máy tính) dùng để phục vụ cho việc học tập nghiên cứu thành viên câu lạc Kế_Tài_Ngân_Club Phòng máy gồm máy chủ Downloaded by H?u Nguy?n (nguyenhoanhuu8668@gmail.com) lOMoARcPSD|10225100 (server), nhiều máy trạm (work station) máy in (printer) cài đặt phần mềm kế tốn, tài & ngân hàng thành viên câu lạc vào sử dụng để nghiên cứu học tập Khoa mong muốn phòng máy cài đặt cấu hình mà thành viên vào sử dụng tài nguyên cách thuận tiện có chế theo dõi cách tự động Theo bạn, phòng máy nên dùng phương pháp (chữ ký số, xác thực điều khiển truy cập mật (fixed password, OTP), thẻ từ, camera, sinh trắc học (vân tay khuôn mặt, ngơi,…)) mà thành viên vào cách thuận tiện kiểm soát cần thiết Bạn mô tả giải pháp cách chi tiết nêu lý giải pháp hợp lý - Theo em phòng máy nên dùng phương pháp sinh trắc học vân tay để thành viên vào cách thuận tiện kiểm soát cần thiết Nguyên lý hoạt động giải pháp ứng dụng cơng nghệ tĩnh mạch ngón tay: Ánh sáng hồng ngoại chiếu xuyên qua ngón tay, hồng huyết cầu hấp thu ánh sáng này, camera chụp lại cấu trúc mạng tĩnh mạch số hóa nó, lưu lại so sánh với mã hồ sơ định danh lưu hệ thống để nhận diện Với nguyên lý trên, công nghệ có tính bảo mật độ xác cao bảo mật xác thực danh tính Một so sánh cụ thể, phương pháp xác thực định danh qua tĩnh mạch có số FAR, False Acceptance Rate: tỷ lệ nhận diện sai cỡ < 0,0001%, FR, False Rejection Rate: tỷ lệ từ chối sai cỡ 0.01% đó, phương pháp phổ biến nay, nhận diện qua vân tay có số FAR cỡ 3~4% Cơng nghệ tĩnh mạch ngón tay đạt u cầu chống giả mạo, nhờ phương pháp sinh trắc học vơ hình điều kiện đặc biệt Nó đảm bảo mạch máu sống hữu, mà nhờ ngăn cản giả mạo Các kiểu dạng mạch máu tĩnh mạch rõ ràng đặc trưng, giải thích xác cho độ xác cao giải pháp Các nghiên cứu ghi nhận có khác biệt lớn mẫu hình kiểu loại tĩnh mạch, làm sở cho không trùng lặp tĩnh mạch Thêm vào kiểu dạng tĩnh mạch không thay đổi suốt thời gian sống kể từ người trưởng thành Theo bạn, để kiểm soát việc sử dụng thiết bị, ứng dụng cài đặt phịng mơ thể dùng phương pháp (chữ ký số, xác thực điều khiển truy cập mật (fixed password, OTP), thẻ từ, camera, sinh trắc học (vân tay khuôn mặt, ngơi,…)) nêu lý giải pháp hợp lý nhất? Downloaded by H?u Nguy?n (nguyenhoanhuu8668@gmail.com) lOMoARcPSD|10225100 - Để kiểm sốt việc sử dụng tiết bị, ứng dụng cài đặt phòng mơ dùng phương pháp xác thực điều khiển truy cập mật - Đây giải pháp hợp lí Điều khiển truy nhập q trình mà người dùng nhận dạng trao quyền truy nhập đến thông tin, hệ thống tài nguyên Điều khiển truy cập tạo nên khả cho cấp phép từ chối chủ thể - thực thể chủ động, chẳng hạn người hay quy trình - sử dụng đối tượng - thực thể thụ động, chẳng hạn hệ thống, tập tin - hệ thống Downloaded by H?u Nguy?n (nguyenhoanhuu8668@gmail.com)