Đáp án nội dung kiểm tra An toàn thông tin cuối kỳ trường Đại học Công nghiệp TP Hồ Chí Minh mới nhất. Đề thi cuối kỳ đánh giá dựa lên 2 chuẩn đầu ra LO3 LO4Thời gian: 60 phútLO3: Giải thích được các khái niệm cơ bản về An toàn thông tin, hệ mã hóaCho ít nhất 2 câu hỏi liên quan đến các khái niệm ở các chươngChương 5: Mật mã họcChương 6: Chữ ký điện tửChương 7: Chứng thực và điều khiển truy cậpChương 8: Duy trì an toàn thông tinLO4: Mô tả được cơ chếgiao thức để thiết lập và nâng cao tính an toàn thông tin cho một tình huống cụ thểCho sinh viên một tình huống mà có thể áp dụng các cơ chếgiao thức để an toàn thông tin. Yêu cầu sinh viên đưa ra (mô tả) cơ chế giao thức mà có thể thiết lập để nâng cao tính an toàn cho thông tin dữ liệu có trong tình huống. Các cơ chếgiao thức có thể là: chữ ký số, xác thực và điều khiểu truy cập bằng mật khẩu (fixed password, OTP), thẻ từ, camera, sinh trắc học (vân tay hoặc khuôn mặt, con ngơi,…)
Cấu trúc & nội dung đề thi cuối kỳ (dành cho giáo - Đề thi cuối kỳ đánh giá dựa lên chuẩn đầu LO3 & LO4 Thời gian: 60 phút LO3: Giải thích khái niệm An tồn thơng tin, hệ mã hóa Cho câu hỏi liên quan đến khái niệm chương - Chương 5: Mật mã học Chương 6: Chữ ký điện tử Chương 7: Chứng thực điều khiển truy cập Chương 8: Duy trì an tồn thơng tin LO4: Mơ tả chế/giao thức để thiết lập nâng cao tính an tồn thơng tin cho tình cụ thể Cho sinh viên tình mà áp dụng chế/giao thức để an tồn thơng tin u cầu sinh viên đưa (mô tả) chế / giao thức mà thiết lập để nâng cao tính an tồn cho thơng tin liệu có tình Các chế/giao thức là: chữ ký số, xác thực điều khiểu truy cập mật (fixed password, OTP), thẻ từ, camera, sinh trắc học (vân tay khuôn mặt, ngơi,…) Câu hỏi ôn tập LO3 (gợi ý dành cho sinh viên) Chữ ký điện tử gì? Mục tiêu chữ ký điện tử? Trình bày trạng áp dụng chữ ký điện tử Việt Nam (gợi ý: Định nghĩa chữ ký điện tử: ứng dụng mã hóa khóa cơng khai, người dùng có (PU A, PRA); Tạo chữ ký: SAM=E(M,PRA) – giải thích; Thẩm tra chữ ký D(S AM, PUA) - Yes/No – Giải thích; Mục tiêu chữ ký số; Hiện trạng áp dụng chữ ký: lĩnh vực quan Thuế, Bảo hiểm xã hội, Hải quan Chứng khoán) Chữ ký điện tử (electronic signature) ❖ Là dạng chữ ký tạo lập dạng từ, chữ, số, ký hiệu, âm hình thức khác phương tiện điện tử, gắn liền kết hợp cách logic với thông điệp liệu ❖ Có khả xác nhận người ký thơng điệp liệu xác nhận chấp thuận người nội dung thơng điệp liệu ký ❖ Là ứng dụng quan trọng mã hóa khóa cơng khai Mục tiêu chữ ký số: - Giúp xác minh chủ thể ai: Tăng khả bảo mật, chống giả mạo, cho phép chủ thẻ xác minh danh tính hệ thống khác xe bus, thẻ rút tiền ATM, hộ chiếu điện tử cửa khẩu, kiểm soát hải quan … Dùng để kê khai, nộp thuế trực tuyến, khai báo hải quan thông quan trực tuyến mà thời gian in tờ khai, trình ký đóng dấu đỏ cơng ty đến quan thuế xếp hàng ngồi đợi để nộp tờ khai thuận tiện Hiện trạng áp dụng chữ ký: lĩnh vực quan Thuế, Bảo hiểm xã hội, Hải quan Chứng khốn) Theo “Báo cáo tình hình phát triển ứng dụng chữ ký số Việt Nam năm 2019” vừa Bộ Thông tin Truyền thông công bố, chữ ký số sử dụng hiệu hoạt động ngành Tài thuế, hải quan, chứng khốn, kho bạc nhà nước ❑ Tính đến thời điểm 31/3/2019, doanh nghiệp đơn vị trực thuộc, chi nhánh sử dụng chữ ký số lĩnh vực thuế 703.753 DN (không bao gồm đơn vị chi nhánh, trực thuộc) tổng số 711.748 DN hoạt động, đạt tỷ lệ 98,87% Đưa hệ thống thông tin trang web thực tế Việt Nam mà có sử dụng chữ ký điện tử? Nghiệp vụ hệ thống có sử dụng chữ ký số? Trình bày bước cụ thể để người dùng hệ thống thực nghiệp vụ có sử dụng chữ ký số (gợi ý: Website quan Thuế, Wibsite quan Hải quan, Website quan Bảo hiểm xã hội, ) Đưa hệ thống thông tin trang web thực tế Việt Nam mà có sử dụng chữ ký điện tử Website quan Hải quan: https://tongcuc.customs.gov.vn/ Trình bày bước cụ thể để người dùng hệ thống thực nghiệp vụ có sử dụng chữ ký số: Để đăng ký sử dụng chữ ký số website Tổng cục hải quan, trước tiên, người sử dụng cần cài đặt số cơng cụ hỗ trợ ký số sau: • Cài đặt kích hoạt USB token • Cài đặt Java Hải quan Trong trường hợp máy tính cài nhiều loại Java, người dùng cần gỡ bỏ cài đặt Java Hải quan Bước 1: Truy cập vào Tổng cục Hải quan theo địa chỉ: https://www.customs.gov.vn Chọn tab Dịch vụ công, nhấn vào mục Đăng ký Doanh nghiệp sử dụng chữ • ký số Bước 2: Nhập thông tin vào hình Đăng ký Doanh nghiệp sử dụng chữ ký số • Mã doanh nghiệp: Nhập mã số thuế doanh nghiệp • Số CMT: Nhập số CMND/CCCD/Hộ chiếu Người đại diện pháp luật thể Giấy chứng nhận Đăng ký kinh doanh Doanh nghiệp Bước 3: Trên hình Thơng tin chứng thư số, nhấn Xem Thơng tin chứng thư số Nhập thơng tin: • Ngày hiệu lực đăng ký: Nhập ngày để nguyên ngày mặc định thị hệ thống • Ngày hết hiệu lực đăng ký: Nhập Giống ngày hết hạn Chữ ký số Nhấn Đăng ký thông tin Bước 4: Khi cửa sổ yêu cầu nhập mã PIN USB Token xuất Nhập mã PIN nhấn Ok để hồn tất • Sau đó, tiếp tục nhấn Ok để hoàn thành đăng ký chữ ký số với quan Hải quan có thơng báo cập nhật thành cơng Chứng thư số gì? Mục tiêu chứng thư số? Hiện Việt Nam có đơn vị cung cập dịch vụ chứng thư số? Chứng thư số: văn cung cấp khóa cơng khai ❖ Chứng thư số cung cấp tổ chức cung cấp dịch vụ chứng thư số (certificate authority, hay viết tắt CA) ❖ Chứng thư số hoạt động nhờ vào nguyên lý bên thứ ba tin cậy (Trusted Third Party – TTP), bên thứ ba CA ❖ Thơng thường, bên giao tiếp với không tin nhau, nhiên, họ tin vào bên thứ ba (TTP), bên thứ ba xác thực bên này, bên tin tưởng lẫn Mục tiêu chứng thư số Chứng thư số coi “chứng minh thư” để sử dụng mơi trường máy tính vàinternet Chứng thư số sử dụng để nhận diện cá nhân, máy chủ, vài đối tượng khác Và gắn định danh đối tượng với public key (khóa cơng khai) Được cấp tổ chức có thẩm quyền xác định nhận danh cấp chứng thư số Hiện Việt Nam có đơn vị cung cấp dịch vụ chứng thư số? Hiện thị trường có gần 20 đơn vị cung cấp chữ ký số điện tử, khiến doanh nghiệp có nhiều lựa chọn đa dạng lại gặp khó khăn việc đưa định mua đơn vịnào Có thể kể đến vài loại chữ ký số doanh nghiệp tin dùng như: Chữ ký số điện tử MISA eSign nhà cung cấp MISA Chữ ký số Viettel – CA nhà cung cấp Viettel Chữ ký số VNPT – CA nhà cung cấp VNPT Chữ ký số BKAV – CA nhà cung cấp BKAV ❑ Nội dung có chứng thứ thư số Tên tổ chức cung cấp dịch vụ chứng thực chữ ký số Tên thuê bao Số hiệu chứng thư số Thời hạn có hiệu lực chứng thư số Khóa công khai thuê bao Chữ ký số tổ chức cung cấp dịch vụ chứng thực chữ ký số Các hạn chế mục đích, phạm vi sử dụng chứng thư số Các hạn chế trách nhiệm pháp lý tổ chức cung cấp dịch vụ chứng thực chữ ký số Thuật toán mật mã 10.Các nội dung cần thiết khác theo quy định Bộ Thông tin Truyền thông Chứng thực thực thể gì? Trình phương pháp mà bạn biết mà cài đặt để chứng thực thực thể Chứng thực thực thể kỹ thuật thiết kế cho phép bên (party) chứng minh nhận dạng (identity) bên khác phương pháp mà bạn biết mà cài đặt để chứng thực thực thể Chứng thực Passwords Chứng thực sinh trắc học Biometrics Điều khiển truy cập gì? Trình bày phương pháp mà bạn biết mà cài đặt điều khiển truy cập hệ thống thông tin Cấp phép từ chối phê duyệt sử dụng tài nguyên xác định Là chế hệ thống thông tin cho phép hạn chế truy cập đến liệu thiết bị phương pháp mà bạn biết mà cài đặt điều khiển truy cập hệ thống thông tin Điều khiển truy cập bắt buộc (Mandatory Access Control - MAC) Điều khiển truy cập tùy ý (DAC) Mật (password) gì? Mật cố định (fixed password) mật dùng lần (one time password) khác nào? Trình bày điểm mạnh điểm yếu loại mật Mật (tiếng Anh: Password) thường xâu, chuỗi, loạt ký tự mà dịch vụ internet phần mềm hệ thống máy tính yêu cầu người sử dụng nhập vào bàn phím trước tiếp tục sử dụng số tính định Trình bày loại mã OPT, nêu ưu điểm nhược điểm loại Những loại mã OTP phổ biến SMS OTP TOKEN KEY (TOKEN CARD) SMART OTP – SMART TOKEN Đưa hệ thống mà bạn biết có sử dụng mật cố định (fixed password) mô tả bước thực để bạn chứng thực người dùng hệ thống Nêu mục tiêu việc chứng thực Hệ thống có sử dụng mật cố định (fixed password) - Teamviewer Các bước thực Bước 1: Tại giao diện Teamviewer, người dùng nhấn chọn vào mục Extras bên chọn tiếp Options Bước 2: Chuyển sang giao diện nhấn vào mục quản lý Security góc bên trái hình Nhìn sang bên phải phần Personal password (For unattended access), nhập mật muốn đặt cho Teamviewer vào Nhấn OK để lưu lại mật xong Ngoài phần Random password người dùng điều chỉnh độ dài mật từ ký tự sang 6, 8, 10 ký tự Disabled để vơ hiệu hóa mật cần kết nối máy tinh * Mục tiêu chứng thực - Tăng cường an toàn cho hệ xác thực dựa mật - Xây dựng giao thức an tồn - Đảm bảo nội dung thơng tin trao đổi thực thể xác khơng bị thêm, sửa, xóa hay phát lại (đảm bảo tính toàn vẹn nội dung) - Đảm bảo đối tượng tạo thông tin (nguồn gốc thông tin) đối tượng hợp lệ khai báo (đảm bảo tính tồn vẹn nguồn gốc thơng tin) - Đảm bảo an tồn thơng tin xác thực (tên đặng nhập mật không truyền trực tiếp mạng) - Xác thực giao dịch - Đảm bảo bảo mật thông tin (không thẩm quyền => khơng đọc được) - Đảm bảo tính tồn vẹn - Chống thoái thoát - Sử dụng thay cho giấy tờ Việc đặt mật cố định Teamviewer giúp người dùng truy cập nhanh, cách nhấn ID mật đặt Tuy nhiên cách làm khuyến khích bạn kết nối với máy tính thực tin cậy, vấn đề bảo mật liệu máy tính cá nhân Đưa hệ thống mà bạn biết có sử dụng mật dùng lần (one time password) mơ tả tình mà bạn có sử dụng mật để chứng thực người dùng/giao dịch Nêu mục tiêu việc chứng thực Hệ thống ngân hàng điện tử Agribanl Khi giao dịch chuyển tiền bạn nhận mã OTP gửi sdt bạn đăng ký từ trước Mục tiêu: bảo mật lớp để xác nhận giao dịch Sử dụng OTP để xác nhận giao dịch giúp nâng cao tính bảo mật dịch vụ toán online dịch vụ ngân hàng điện tử Bên cạnh đó, OTP cịn giúp giảm thiểu, ngăn chặn rủi ro hacker hay lộ thông tin tài khoản, nhờ mà người dùng cảm thấy an tâm nhiều Sinh trắc học (biometric) gì? Sinh trắc học (Biometric) phép đo lường đặc tính sinh lý học hành vi học mà nhận dạng người Sinh trắc học đo lường đặc tính mà khơng thể đốn, ăn cắp chia sẻ Nêu lĩnh vực mà áp dụng sinh trắc học? Lĩnh vực kinh tế, linh vực giao dục, linh vực y tế, linh vực công nghệ - kỹ thuật Nêu ưu điểm nhược điểm việc áp dụng chứng thực sinh trắc học Ưu điểm: Biometrics bị mất, đánh cấp, bỏ quên Nó quán vĩnh cửu Nó khơng thể chia sẻ dùng người khác Khơng địi hỏi phải ghi nhớ mật khẩu, mã Pin Biometric luôn sẳn dùng cho cá nhân Nhược điểm: Chi phí cho thiết bị phần cứng Các đọc ln đặc tính sinh trắc học có lỗi định Từ chối người dùng hợp lệ Chấp nhận người dùng không hợp lệ Hệ thống quản lý an tồn thơng tin gì? ISMS từ viết tắt information security management system Đây hệ thống quản lí an ninh thơng tin, khái niệm sử dụng nhiều Doang Nghiệp công nghệ thơng tin đơn vị có ứng dụng hệ thống CNTT vào quản lí sản xuất Mục tiêu hệ thống an tồn tồn thơng tin? Hệ thống quản lý ATTT (ISMS): giúp tổ chức thực việc kiểm soát định hướng cho hoạt động đảm bảo ATTT Giám sát, quản lý hệ thống thơng tin Tăng cường mức độ an tồn, bảo mật Giảm thiểu rủi ro cho hệ thống thông tin, Đáp ứng mục tiêu doanh nghiệp, tổ chức Tình LO4 (gợi ý dành cho sinh viên, đề thi cho tình khác tương tự) Tình 1: Để phục vụ cho nhu cầu học tập tra cứu cán bộ, giảng viên sinh viên trường, nhà trường xây dựng hệ thống thư viện trực tuyến www.thuviendientu.iuh.edu.vn, hệ thống giúp độc giả (cán bộ, giảng viên sinh viên trường) tìm kiếm loại sách, báo, tạp chí,… Đối với tài liệu điện tử độc giả đọc trực tuyến tải về, sách thư viện độc giả đăng ký mượn Độc giả yêu cầu mua loại tài liệu điện tử toán phí mua trực tuyến Hệ thống giúp cho thủ thư quản lý thơng tin mượn trả sách độc giả, hệ thống cịn có tính thông báo nhắc nhở đến hạn trả sách email, tạo báo cáo, thống kê Yêu cầu: Với tình cho, bạn Chỉ loại thông tin/dữ liệu/chức cần nâng cao tính an tồn nêu lý + Chức tốn trực tuyến cần nâng cao tính an tồn gì? nêu lý do, an tồn (hậu quả: doanh nghiệp/khách hàng/xã hội ) + Đưa giải pháp (chữ ký số, xác thực điều khiểu truy cập mật (fixed password, OTP), thẻ từ, camera, sinh trắc học (vân tay khuôn mặt, ngơi,…)) để cài đặt nâng cao tính an tồn cho loại thơng tin/dữ liệu/chức nêu lý phương pháp pháp hữu hiệu Đưa giải pháp: nêu tên giải pháp, mô tả sơ lược giải pháp, mơ tả cách cài đặt - cấu hình + Chức toán trực tuyến Giải pháp: bảo mật lớp; lớp 1: user name + PW; Lớp 2: xác thực OPT Giải thích thêm user name + PW, OPT Giải thích: cách cài đặt, cách sử dụng Nêu lý hữu hiệu nhất: + Nêu ưu điểm giải pháp chọn + Nêu nhược điểm giải pháp khác + Dữ liệu: Tình 2: Để phục vụ nhu cầu học tập nghiên cứu cán bộ, giảng viên sinh viên trường (gọi chung độc giả), nhà trường trang bị phòng đọc sách cho độc giả Phịng có trang bị máy lạnh, bàn ghế, wifi, 100 máy tính để bàn Sinh viên tự vào phịng đọc sách khoảng thời gian thư viện mở cửa để ngồi đọc sách, học tập nghiên cứu dùng máy tính Các máy tính dùng để học tập/nghiên cứu không cho phép chơi game Yêu cầu: Theo bạn để kiểm sốt, chứng thực theo dõi vào phòng đọc sách độc giả cách tự động dùng phương pháp (chữ ký số, xác thực điều khiểu truy cập mật (fixed password, OTP), thẻ từ, camera, sinh trắc học (vân tay khuôn mặt, ngơi,…)) để kiểm soát nêu lý phương pháp hữu hiệu nhất? Thẻ từ + camera Sinh trắc học vân tay + camera Mật (khóa số) + camera Cài đặt: Cửa vào đóng mở thẻ từ + camera cửa vào Lý do: SV, GV, CBCNV iuh có thẻ SV GV, CBCNV, có thẻ tử ln thuận tiện vừa thẻ để kiểm soát vừa thẻ để mở cử thư viện tốn chi phí Sinh trắc học an toàn thẻ từ tốn nhiều chi phí, nêu lý tốn nhiều Lý có camera Theo bạn để chứng thức, kiểm sốt theo dõi việc sử dụng wifi thiết bị máy móc phịng đọc sách dùng phương pháp (chữ ký số, xác thực điều khiểu truy cập mật (fixed password, OTP), thẻ từ, camera, sinh trắc học (vân tay khuôn mặt, ngơi,…)) nêu lý phương pháp hữu hiệu nhất? Username + PW, Camera Camera dùng làm gì? Gắn đâu Tình 3: Giả sử khoa Kế toán trường IUH trang bị ‘Phịng mơ thực hành quy trình nghiệp vụ Kế tốn – Tài – Tín dụng’ (gồm 30 máy tính) dùng để phục vụ cho việc học tập nghiên cứu thành viên câu lạc Kế_Tài_Ngân_Club Phòng máy gồm máy chủ (server), nhiều máy trạm (work station) máy in (printer) cài đặt phần mềm kế toán, tài & ngân hàng thành viên câu lạc vào sử dụng để nghiên cứu học tập Khoa mong muốn phòng máy cài đặt cấu hình mà thành viên vào sử dụng tài nguyên cách thuận tiện có chế theo dõi cách tự động 1 Theo bạn, phòng máy nên dùng phương pháp (chữ ký số, xác thực điều khiểu truy cập mật (fixed password, OTP), thẻ từ, camera, sinh trắc học (vân tay khuôn mặt, ngơi,…)) mà thành viên vào cách thuận tiện kiểm soát cần thiết Bạn mô tả giải pháp cách chi tiết nêu lý giải pháp hợp lý Sinh trắc học vân tay, camera Thẻ từ, camera Thiết kế cửa vào: kiểm soát Sinh trắc học vân tay, camera Theo bạn, để kiểm sốt việc sử dụng thiết bị, ứng dụng cài đặt phòng mô thể dùng phương pháp (chữ ký số, xác thực điều khiểu truy cập mật (fixed password, OTP), thẻ từ, camera, sinh trắc học (vân tay khuôn mặt, ngơi,…)) nêu lý giải pháp hợp lý nhất? Username PW, camera ... giao thức an tồn - Đảm bảo nội dung thơng tin trao đổi thực thể xác khơng bị thêm, sửa, xóa hay phát lại (đảm bảo tính toàn vẹn nội dung) - Đảm bảo đối tượng tạo thông tin (nguồn gốc thông tin) đối... (gợi ý: Website quan Thuế, Wibsite quan Hải quan, Website quan Bảo hiểm xã hội, ) Đưa hệ thống thông tin trang web thực tế Việt Nam mà có sử dụng chữ ký điện tử Website quan Hải quan: https://tongcuc.customs.gov.vn/... minh danh tính hệ thống khác xe bus, thẻ rút tiền ATM, hộ chiếu điện tử cửa khẩu, kiểm soát hải quan … Dùng để kê khai, nộp thuế trực tuyến, khai báo hải quan thông quan trực tuyến mà thời gian