Tải bản đầy đủ (.docx) (26 trang)
  1. Trang chủ
    2. >>
  2. Cao đẳng - Đại học
    3. >>
  3. Công nghệ thông tin

ôn tập môn an toàn thông tin

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (238.29 KB, 26 trang )

- chữ ký số: là một dạng chữ ký điện tử được tạo ra bằng sự biến đổi một thông điệp dữ liệu sử dụng hệ
thống mật mã không đối xứng. Theo đó, người có được thơng điệp dữ liệu ban đầu và khóa cơng khai của
người ký có thể xác định được chính xác: Việc biến đổi nêu trên được tạo ra bằng đúng khóa bí mật tương
ứng với khóa cơng khai trong cùng một cặp khóa. Sự tồn vẹn nội dung của thông điệp dữ liệu kể từ khi
thực hiện việc biến đổi nêu trên. Hiểu một cách đơn giản, chữ ký số (Token) là một thiết bị được mã hóa
tất cả các dữ liệu, thơng tin của một doanh nghiệp/cá nhân dùng thay cho chữ ký trên các loại văn bản và
tài liệu số thực hiện đối với các giao dịch điện tử qua mạng internet.
- thẻ từ: Thẻ từ là loại mà trên đó được gắn các dải băng từ kim loại trên bề mặt. Thẻ từ có khả năng ghi
và lưu thơng tin lên trên dải từ. Nên những thẻ từ được ứng dụng cho các hệ thống nhân dạng như là. Ứng
dụng quản lý tự động, thanh toán điện tử, kiểm soát ra vào, chấm cơng nhân viên. Mở khóa phịng khách
sạn, mở khóa cửa nhà, kiểm soát ra vào thang máy.
- camera: là hệ thống truyền hình mạch kín, là việc sử dụng các máy quay video để truyền tín hiệu đến
một địa điểm cụ thể, trên một bộ màn hình giới hạn, camera còn được gọi là hệ thống video giám sát.
- sinh tắc học (vân tay hoặc khuôn mặt, võng mạc,...): Xác thực sinh trắc học là một hình thức bảo mật
đo lường và đối sánh các tính năng sinh trắc học của người dùng để xác minh rằng một người đang cố
gắng truy cập vào một thiết bị cụ thể được phép làm như vậy. Đặc điểm sinh trắc học là các đặc điểm vật
lý và sinh học dành riêng cho một cá nhân và có thể dễ dàng so sánh với các đặc điểm được phép lưu trong
cơ sở dữ liệu. Nếu các tính năng sinh trắc học của một người dùng đang cố gắng truy cập vào một thiết bị
khớp với các tính năng của một người dùng được phê duyệt thì quyền truy cập vào thiết bị sẽ được cấp.
Xác thực sinh trắc học cũng có thể được cài đặt trong mơi trường vật lý, kiểm sốt các điểm truy cập như
cửa ra vào và cổng.
+ vân tay: Máy quét dấu vân tay, phiên bản kỹ thuật số của dấu vân tay trên giấy và mực kiểu cũ, dựa vào
việc ghi lại các kiểu xoáy và đường gờ độc đáo tạo nên dấu vân tay của một cá nhân. Máy quét vân tay là
một trong những phương thức xác thực sinh trắc học phổ biến và dễ tiếp cận nhất, mặc dù các phiên bản
dành cho người tiêu dùng, chẳng hạn như trên điện thoại thông minh, vẫn có khả năng dương tính giả. Các
phiên bản mới hơn của quét vân tay vượt ra ngoài các đường vân tay và bên dưới da để đánh giá các mơ
hình mạch máu trên ngón tay của mọi người và có thể chứng minh độ tin cậy cao hơn. Mặc dù đơi khi
khơng chính xác, máy qt vân tay là một trong những công nghệ sinh trắc học phổ biến và được sử dụng
nhiều nhất cho người tiêu dùng hàng ngày.
+ khuôn mặt: Công nghệ nhận dạng khuôn mặt dựa trên việc so khớp hàng chục phép đo khác nhau từ
khuôn mặt đã được phê duyệt với khuôn mặt của người dùng đang cố gắng truy cập, tạo ra cái được gọi là


khuôn mặt. Tương tự như máy quét vân tay, nếu đủ số lượng phép đo từ người dùng khớp với khuôn mặt
đã được phê duyệt, quyền truy cập sẽ được cấp. Tính năng nhận dạng khn mặt đã được thêm vào một số
điện thoại thông minh và các thiết bị phổ biến khác, mặc dù nó có thể khơng nhất qn khi so sánh các
khn mặt khi nhìn từ các góc độ khác nhau hoặc khi cố gắng phân biệt giữa những người trông giống
nhau, chẳng hạn như họ hàng gần.
Câu hỏi ôn tập LO3 (gợi ý dành cho sinh viên)
13Hệ thống quản lý an tồn thơng tin là gì? Mục tiêu của hệ thống an tồn tồn thơng tin?
14Mã hóa đối xứng (mã hóa khóa bí mật) là gì? Nếu ứng dụng của mã hóa đối xứng
Mã hóa đối xứng là một kỹ thuật cho phép sử dụng chỉ một khóa để thực hiện cả mã hóa và giải mã được
chia sẻ qua internet. Nó cịn được gọi là phương pháp thông thường được sử dụng để mã hóa. Trong mã

1


hóa đối xứng, đồng bằng được mã hóa và được chuyển đổi thành mật mã bằng khóa và thuật tốn mã hóa.
Mặc dù mật mã được chuyển đổi trở lại thành đơn giản bằng cách sử dụng cùng khóa được sử dụng để mã
hóa và thuật tốn giải mã.
Ứng dụng: Thuật tốn mã hóa đối xứng thực thi nhanh hơn và là Ít phức tạp hơn vì thế; chúng được sử
dụng cho truyền dữ liệu số lượng lớn. Các thuật tốn mã hóa đối xứng thường được sử dụng là DES, 3
DES, AES, RC4.
Nhờ có các ưu điểm vượt trội về tốc độ, tính giản đơn và bảo mật tốt, mã hóa đối xứng hiện được sử dụng
rộng rãi trong rất nhiều ứng dụng từ bảo mật lưu lượng truy cập internet cho tới bảo vệ dữ liệu lưu trữ trên
các máy chủ điện toán đám mây. Mặc dù thường phải được kết hợp với mã hóa bất đối xứng để giải quyết
các vấn đề về chuyển tiếp các khóa được an tồn thì các sơ đồ mã hóa đối xứng vẫn giữ được vai trò làm
một thành tố quyết định đối với bảo mật trong máy tính hiện tại.
Thuật tốn AES có thể dùng nhiều kích thước ơ nhớ khác nhau để mã hóa dữ liệu, thường thấy là 128-bit
và 256-bit, có một số lên tới 512-bit và 1024-bit. Kích thước ơ nhớ càng lớn thì càng khó phá mã hơn, bù
lại việc giải mã và mã hóa cũng cần nhiều năng lực xử lý hơn.
Hiện chế độ mã hóa mặc định của Android 5.0 đang xài là AES 128-bit. Điều này có nghĩa là mỗi khi bạn
chuẩn bị ghi dữ liệu xuống bộ nhớ máy thì hệ điều hành sẽ mã hóa nó rồi mới tiến hành ghi.

Tương tự, mỗi khi OS chuẩn bị đọc dữ liệu thì Android phải giải mã trước rồi mới chuyển ra ngoài, khi đó
thì hình ảnh mới hiện ra được, các tập tin nhạc mới chơi được và tài liệu mới có thể đọc được. Bằng cách
này, nếu bạn có lỡ làm mất máy thì người lượm được cũng khơng thể xem trộm dữ liệu của bạn (giả sử
bạn đã lock màn hình). Nếu người đó có gỡ chip nhớ ra để đọc thì dữ liệu cũng đã mã hóa hết. Tất nhiên,
Android cũng xài key dạng symmetric (tạo ra dựa vào password của bạn), và key đó cịn được băm thêm
một lần nữa bằng SHA 256-bit để tăng tính an tồn.
Nhiều bút nhớ USB ngày nay cũng cung cấp phần mềm AES đi kèm để bạn có thể mã hóa dữ liệu của
mình thơng qua password, nếu lỡ có làm rớt mất USB thì cũng khơng lo bị ai đó lấy trộm dữ liệu chứa bên
trong. Ngay cả khi kẻ xấu cố gắng gỡ chip ra, gắn vào một phần cứng khác để đọc thì cũng chỉ thấy dữ
liệu đã mã hóa mà thơi.
15 Mã hóa bất đối xứng (mã hóa khóa cơng khai) là gì? Nêu úng dụng của hệ mã hóa bất đối xứng.
Mã hóa bất đối xứng là: Mã hóa bất đối xứng là một kỹ thuật mã hóa sử dụng một cặp khóa (khóa riêng và
khóa cơng khai) để mã hóa và giải mã. Mã hóa bất đối xứng sử dụng khóa cơng khai để mã hóa và khóa
riêng để giải mã. Khóa cơng khai có sẵn miễn phí cho bất cứ ai quan tâm đến ing. Khóa riêng được giữ bí
mật với người nhận của. Bất kỳ thứ gì được mã hóa bởi khóa cơng khai và thuật toán, đều được giải mã
bằng cùng một thuật tốn và khóa riêng phù hợp của khóa cơng khai tương ứng.
Ứng dụng: Diffie-Hellman và RSA là thuật toán phổ biến nhất được sử dụng để mã hóa bất đối xứng, Mã
hóa bất đối xứng thường được sử dụng để trao đổi các khóa bí mật trong khi đó, mã hóa đối xứng được sử
dụng để trao đổi một lượng lớn dữ liệu.
Chúng ta cũng hay nghe đến “chữ kí điện tử”, thứ mà các doanh nghiệp hay sử dụng để đính kèm vào tài
liệu để chứng minh rằng chính họ là người soạn thảo tài liệu chứ không phải là ai khác giả mạo. “Chữ kí”
đó cũng được tạo ra dựa trên những phương pháp bảo mật nói trên. Thời sơ khai người ta xài RSA, sau
này có những thứ tiên tiến hơn, an toàn hơn được phát triển thêm và nhanh chóng phổ biến ra tồn thế
giới.

2


Các đặc điểm của mã hóa cơng khai cịn có ích cho nhiều ứng dụng khác như: tiền điện tử, thỏa thuận
khóa…

TL:
1.Chữ ký điện tử là gì? Mục tiêu của chữ ký điện tử? Trình bày hiện trạng áp dụng chữ ký điện tử ở
Việt Nam
Khái niệm chữ ký điện tử : là thông tin đi kèm theo dữ liệu (văn bản, hình ảnh, video...) nhằm mục đích
xác định người chủ của dữ liệu đó. Chữ ký điện tử được sử dụng trong các giao dịch điện tử. Xuất phát từ
thực tế, chữ ký điện tử cũng cần đảm bảo các chức năng xác định được người chủ của một dữ liệu nào đó:
Văn bản, ảnh, video... dữ liệu đó có bị thay đổi hay khơng. Chữ ký điện tử được chứng thực bởi tổ chức
cung cấp dịch vụ chứng thực chữ ký điện tử.
Mục tiêu của chữ ký điện tử:
+Giúp xác minh chủ thể là ai: Tăng khả năng bảo mật, chống giả mạo, cho phép chủ thẻ xác minh danh
tính của mình trên các hệ thống khác nhau như xe bus, thẻ rút tiền ATM, hộ chiếu điện tử tại các cửa khẩu,
kiểm soát hải quan….
+Chữ ký số được sử dụng để kê khai hồ sơ nộp thuế trực tuyến, tiến hành kê khai hải quan điện tử hoặc
thực hiện giao dịch chứng khoán điện tử… Khi sử dụng chữ ký điện tử các công ty, doanh nghiệp sẽ
khơng phải in các tờ kê khai, đóng dấu đỏ như trước mà chỉ cần sử dụng chữ ký số và thực hiện kê khai
trên phần mềm.
+ Chữ ký số đảm bảo tính an ninh tốt, an tồn và chính xác tính bảo mật cao, thơng qua chữ ký số thì các
thơng tin được tồn vẹn dữ liệu và là bằng chứng chống chối bỏ trách nhiệm trên nội dung đã ký kết. Việc
ký chữ ký số giúp cho các tổ chức, cá nhân yên tâm hơn với các giao dịch điện tử của mình.
+ Chữ ký số giúp việc trao đổi dữ liệu giữa cơ quan nhà nước và các cá nhân, tổ chức được đơn giản hóa
thủ tục hành chính, việc trao đổi cũng thuận tiện và dễ dàng, nhanh chóng, vừa tiết kiệm thời gian, chi phí
đi lại mà lại vừa đảm bảo tính pháp lý.
+ Ngồi ra chữ ký số còn được sử dụng khá phổ biến trong các hoạt động của doanh nghiệp, khi các doanh
nghiệp sử dụng để ký kết hợp đồng với các đối tác thông qua mạng trực tuyến khi 02 bên ở quá xa mà
không thể sắp xếp để gặp nhau được.
Như vậy chữ ký số có vai trị rất quan trọng với hoạt động của cơ quan, doanh nghiệp, nhất là trong tình
trạng thời đại cơng nghệ 4.0 ngày càng phát triển. Ngày nay, sự ra đời của chữ ký số vừa đảm bảo tuyệt
đối giá trị pháp lý, vừa đảm bảo được tính an tồn bảo mật.
Đồng thời chữ ký số còn giúp người sử dụng thuận lợi trong các giao dịch thư điện tử, trong các hoạt động
mua sắm, hay thực hiện các thủ tục với cơ quan thuế, cơ quan bảo hiểm xã hội, ngân hàng….

Trình bày hiện trạng áp dụng chữ ký điện tử ở Việt Nam
Một số ứng dụng chữ ký số điện tử điển hình:
- Ứng dụng trong Chính phủ điện tử.
+ Ứng dụng của Bộ Tài chính
+ Ứng dụng của Bộ Cơng thương

3


+ Ứng dụng của Bộ KHCN, …
- Ứng dụng trong Thương mại điện tử
.+ Mua bán, đặt hàng trực tuyến
+ Thanh toán trực tuyến, …
- Ứng dụng trong giao dịch trực tuyến.
+ Giao dịch qua email
- Hội nghị truyền hình và làm việc từ xa với Mega e-Meeting
Hiện nay tại Việt Nam ,chữ ký số được áp dụng trong 4 lĩnh vực: đó là cơ quan Thuế, Bảo hiểm xã hội,
Hải quan và Chứng khoán.
Nếu bạn thường xuyên sử dụng các dịch vụ thanh toán liên ngân hàng hay thanh tốn điện tử liên kho
bạc của ngành tài chính tại một số cơ quan Nhà nước như Bộ Công thương, Sở Bưu chính Viễn thơng TP.
Hồ Chí Minh,... thì bạn nên biết rằng các giao dịch nội bộ này cũng đang bắt đầu sử dụng chữ ký điện tử
ngày một thơng dụng hơn.
Ngồi ra, chữ ký điện tử cịn được sử dụng trong các ứng dụng giao dịch điện tử với các nhà mạng
Internet như Viettel, VNPT,... và bạn có thể an tâm bởi chúng bảo đảm độ an toàn đối với các giao dịch
liên quan đến tài chính.
Theo “Báo cáo tình hình phát triển và ứng dụng chữ ký số tại Việt Nam năm 2018”, tính đến thời điểm
31/3/2019 có:
 703.753 DN sử dụng chữ ký số trong lĩnh vực thuế trên tổng số 711.748 DN đang hoạt động, đạt tỷ lệ
98,87%, tăng 55.623 tổ chức, doanh nghiệp so với năm 2018;
 232.431 DN sử dụng chữ ký số trong hoạt động trong lĩnh vực hải quan, tăng 90.338 doanh nghiệp so

với năm 2018
 441.096 doanh nghiệp sử dụng chữ ký số trong kê khai bảo hiểm xã hội, tăng 231.678 doanh nghiệp so
với năm
2016.
 2.824 DN dùng chữ ký số trong lĩnh vực chứng khoán, năm 2018 là 2.815
Làm thế nào để tạo ra một chữ ký điện tử?
Chữ ký điện tử yêu cầu phải sử dụng một mã hóa khóa cơng cộng (public key). Nếu muốn tạo chữ
ký điện tử thì cần phải có thêm cả mã hóa khóa cá nhân (private key). Bạn dùng khóa cá nhân để ký
- chỉ là một dạng mã - sau đó chỉ cung cấp khóa cơng cộng cho người cần xác nhận chữ ký đó
(chẳng hạn như ngân hàng, nơi bạn vay tiền).
Một số ví dụ có liên quan đến chữ kí điện tử:
- Mặc dù chưa có bất kỳ án lệ nào của tòa án giải quyết cụ thể vấn đề về hiệu lực của các hợp đồng
được ký bằng chữ ký điện tử, đã có các án lệ và bản án cho thấy các tòa án Việt Nam thiên về cách
tiếp cận chú trọng nội dung (tức là xem xét ý chí thực sự của các bên trong giao dịch) hơn là hình

4


thức thể hiện sự chấp thuận đối với nội dung đó (tức là xem xét hình thức hợp đồng và chữ ký).
Trong một số án lệ và bản án, Tòa án nhân dân tối cao đã ra phán quyết rằng, hành vi của các bên
trong quá trình giao kết và thực hiện hợp đồng có giá trị quan trọng để xác định ý chí của các bên
trong hợp đồng và cho dù hợp đồng không được ký bởi các bên có liên quan, hợp đồng đó vẫn
khơng bị vơ hiệu.
- Án lệ số 07/2016/AL ngày 17/10/2016 về công nhận hợp đồng mua bán nhà được xác lập trước
ngày 1 tháng 7 năm 1991(tranh chấp giữa Nguyễn Đình Sơng, Nguyễn Thị Hồng, Nguyễn Thị
Hương với Đỗ Trọng Thành, Đỗ Thị Nguyệt, Vương Chí Tường, Vương Chí Thắng, Vương Bích
Vân, Vương Bích Hợp - Án lệ 07
2.Đưa ra một hệ thống thông tin hoặc một trang web thực tế ở Việt Nam mà có sử dụng chữ ký điện
tử? Nghiệp vụ nào trong hệ thống đó có sử dụng chữ ký số? Trình bày các bước cụ thể để người
dùng trong hệ thống này thực hiện nghiệp vụ có sử dụng chữ ký số. (gợi ý: Website của cơ quan

Thuế, Wibsite của cơ quan Hải quan, Website của cơ quan Bảo hiểm xã hội, ....)
Một trang web thực tế ở Việt Nam mà có sử dụng chữ ký điện tử? Website của cơ quan Thuế
Nghiệp vụ nào trong hệ thống đó có sử dụng chữ ký số? Nộp thuế điện tử(trực tuyến)
Trình bày các bước cụ thể để người dùng trong hệ thống này thực hiện nghiệp vụ có sử dụng
chữ ký số?
Hướng dẫn cá nhân, doanh nghiệp sử dụng chữ ký số để nộp thuế điện tử:
Bước1: Đăng nhập vào Trang thông tin điện tử của Tổng cục Thuế tại

Bước2: Lập giấy nộp tiền
- Sau khi đăng nhập thành công, doanh nghiệp lập giấy nộp tiền theo các bước dưới đây:
- Tại mục “Nộp thuế” nhấn chọn “Lập giấy nộp tiền”
- Lựa chọn “Ngân hàng nộp thuế” và nhấn "Tiếp tục"
Bước 3: Khai báo thông tin trên tờ khai
- Trong quá trình hồn tất thủ tục nộp thuế điện tử, doanh nghiệp cần khai báo đầy đủ và chính xác
những nội dung sau trong tờ khai thuế:
+ Thông tin loại tiền: Chọn “VND” nếu đơn vị thuộc diện nộp thuế bằng đồng Việt Nam, trường
hợp thuộc diện nộp thuế ngoại tệ thì đơn vị chọn đúng loại ngoại tệ mình sử dụng.
+ Thông tin ngân hàng: Chọn ngân hàng và số tài khoản để trích tiền
+ Thơng tin cơ quan quản lý thu: Chính là thơng tin cơ quan thuế quản lý đơn vị.

5


+ Thông tin nơi phát sinh khoản thu: Điền địa chỉ nơi phát sinh khoản thu theo quy định của từng
Cục Thuế hoặc Chi cục thuế địa phương.
+ Thông tin kho bạc nhận tiền.
+ Loại thuế: Chọn tương ứng theo mục đích nộp thuế của đơn vị.
- Tại mục “Nội dung các khoản nộp NSNN” bạn tích chọn vào ơ vuông 3 chấm để chọn loại thuế
muốn nộp
- Tại mục Nội dung các khoản nộp danh sách: Nhập mã NDKT

Lưu ý:
+ Căn cứ vào vốn điều lệ ghi trong Giấy Đăng ký kinh doanh. Trường hợp khơng có vốn điều lệ thì
căn cứ vào vốn đầu tư ghi trong giấy chứng nhận đăng ý đầu tư.
+ Đối với công ty, doanh nghiệp, tổ chức mới thành lập cần nộp Thuế môn bài: Nếu được cấp đăng
ký thuế và mã số thuế, mã số doanh nghiệp trong thời gian của 6 tháng đầu năm thì nộp mức lệ phí
mơn bài cả năm; Nếu thành lập, được cấp đăng ký thuế và mã số thuế, mã số doanh nghiệp trong thời gian
6 tháng cuối năm ( từ ngày 1/7 đến 31/12) thì nộp 50% mức lệ phí mơn bài cho năm đầu
tiên.
- Sau khi nhập xong giá trị vào ô Mã “NDKT”, hệ thống sẽ tự sinh các thông tin tương ứng theo quy
định của pháp luật.
- Người dùng khai báo thông tin đầy đủ và chính xác, nhấn “Hồn thành” để tạo lập xong tờ khai.
Bước 4: Ký số
- Bước cuối cùng để hoàn thành thủ tục nộp thuế điện tử là ký số. Doanh nghiệp cần kiểm tra lại
thông tin vừa khai báo trong Giấy nộp tiền vào ngân sách nhà nước. Nếu thơng tin đã chính xác,
người dùng cắm chữ ký số của doanh nghiệp và tiếp tục nhấn “Ký và nộp”.
- Sau đó, nhập mã PIN và nhấn “OK”.
Như vậy, doanh nghiệp đã hoàn thành xong việc nộp tiền một mục thuế, trường hợp cần nộp nhiều
mục thì đơn vị thực hiện lặp lại từ bước Lập giấy nộp tin

3.Chứng thư số là gì? Mục tiêu của chứng thư số? Hiện nay Việt Nam đã có các đơn vị nào có thể
cung cập dịch vụ chứng thư số?
Chứng thư số là gì?
Chứng thư số là một loại chứng thư điện tử do tổ chức dịch vụ chứng thực chữ ký số cung cấp. Chứng
thư số có thể được coi như một “chứng minh nhân dân/ căn cuốc công dân hoặc hộ chiếu” của doanh

6


nghiệp với vai trị xác nhận danh tính của doanh nghiệp trong mơi trường của máy tính và Internet với một
public key, được cấp bởi tổ chức có thẩm quyền xác định nhận danh và có quyền cấp chứng thư số.

Chứng thư số được hiểu là chứng minh tính hợp lệ, hợp pháp đích danh của chữ ký số của 1 cá nhân hay
tổ chức.
Thông thường, chứng thư số là cặp khóa và đã được mã hóa dữ liệu gồm các thông tin như: Công ty, mã số
thuế của doanh nghiệp… Các tài liệu này sẽ sử dụng để nộp thuế qua mạng, khai báo hải quan và thực
hiện giao dịch điện tử khác như hóa đơn điện tử
Mục tiêu của chứng thư số: Với chứng thư số người dùng có thể:
+ Xác định danh tính người dùng khi đăng nhập vào một hệ thống (xác thực). Đảm bảo sự an toàn trong
thương mại điện tử.
+ Hỗ trợ ký số các loại văn bản, tài liệu, hợp đồng, hóa đơn,… dưới file doc, pdf hoặc một tệp tài liệu
+Mã hóa thơng tin để đảm bảo bí mật giữa người gửi và người nhận thông qua mạng internet
+ Thực hiện các kênh liên lạc trao đổi thơng tin bí mật với các thực thể khác trên mạng, ví dụ như thực
hiện kênh liên lạc bí mật giữa người dùng với webserver
Các đơn vị tại Việt Nam cung cấp chứng thư số:
1. Công ty Cổ phần Đầu tư Công nghệ và Thương mại Softdreams (EASYCA)
2.Tập đồn Bưu chính Viễn thơng Việt Nam (VNPT-CA)
3. Công ty cổ phần Công nghệ thẻ Nacencomm (CA2)
4 Cơng ty cổ phần BKAV (BKAV-CA)
5 Tập đồn Viễn thơng quân đội Viettel (VIETTEL-CA)
6.Công ty cổ phần Hệ thống Thông tin FPT (FPT-CA)
7.Công ty Cổ phần Viễn thông New-Telecom (NEWTEL-CA)
8. Cơng ty Cổ phần Chứng số an tồn (SAFE-CA)
9. Cơng ty Cổ phần Chữ ký số ViNa (Smartsign)
10. Công ty Cổ phần Công nghệ Tin học EFY Việt Nam (EFY-CA)
11. Công ty Cổ phần Công nghệ SAVIS (TrustCA)
12. Công ty Cổ phần MISA (MISA-CA)
13. Cơng ty Cổ phần Tập đồn Công nghệ CMC (CMC-CA)
14. Công ty Cổ phần hỗ trợ doanh nghiệp và đầu tư Hà Nội(NC-CA)
15. Công ty TNHH L.C.S(LCS-CA)
16.Công ty Cổ phần chữ ký số FastCA(FASTCA)
4. Chứng thư số là gì? Nội dung có trong chứng thư số là gồm những nội dung gì?


7


Chứng thư số là gì?
Chứng thư số là một loại chứng thư điện tử do tổ chức dịch vụ chứng thực chữ ký số cung cấp. Chứng
thư số có thể được coi như một “chứng minh nhân dân/ căn cuốc cơng dân hoặc hộ chiếu” của doanh
nghiệp với vai trị xác nhận danh tính của doanh nghiệp trong mơi trường của máy tính và Internet với một
public key, được cấp bởi tổ chức có thẩm quyền xác định nhận danh và có quyền cấp chứng thư số.
Chứng thư số được hiểu là chứng minh tính hợp lệ, hợp pháp đích danh của chữ ký số của 1 cá nhân hay
tổ chức.
Thơng thường, chứng thư số là cặp khóa và đã được mã hóa dữ liệu gồm các thơng tin như: Công ty, mã số
thuế của doanh nghiệp… Các tài liệu này sẽ sử dụng để nộp thuế qua mạng, khai báo hải quan và thực
hiện giao dịch điện tử khác như hóa đơn điện tử.
Nội dung của chứng thư số:
-Hiện nay, chứng thư số do Tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia, tổ chức cung cấp
dịch vụ chứng thực chữ ký số công cộng, tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng
Chính phủ, tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng của cơ quan, tổ chức khi được
cấp sẽ phải bao gồm đầy đủ các nội dung sau:
Tên của tổ chức cung cấp dịch vụ chứng thực chữ ký số.
Tên của thuê bao.
Số hiệu chứng thư số.
Thời hạn có hiệu lực của chứng thư số.
Khóa cơng khai của th bao.
Chữ ký số của tổ chức cung cấp dịch vụ chứng thực chữ ký số.
Các hạn chế về mục đích, phạm vi sử dụng của chứng thư số.
Các hạn chế về trách nhiệm pháp lý của tổ chức cung cấp dịch vụ chứng thực chữ ký số.
Thuật toán mật mã.
Các nội dung cần thiết khác theo quy định của Bộ Thông tin và Truyền thông.
Theo đúng quy định, chỉ khi chứng thư số đáp ứng đầy đủ các nội dung yêu cầu trên thì mới có đủ tính

pháp lý.
5.Chứng thực thực thể là gì? Trình này 2 phương pháp mà bạn biết mà có thể cài đặt để chứng thực
thực thể.
Chứng thực thực thể:
Là một kỹ thuật cho phép một bên (party) chứng minh sự nhận dạng (identify) của một bên khác.
– Trong đó thực thể (entity) có thể là một người hoặc tiến trình hoặc server. Thực thể mà idenity cần
chứng mình được gọi là người thỉnh cầu (Claimant). Bên mà cố gắng chứng minh identity của cliamant
được gọi là người thẩm định (verifier)
Trình này 2 phương pháp mà bạn biết mà có thể cài đặt để chứng thực thực thể:

8


Có 4 phương pháp:
+ Chứng thực bằng Password.
+ Chứng thực bằng Sinh trắc học.
+ Chứng thực bằng Challenge – Response.
+ Chứng thực bằng Zero – Knowledge.
Chứng thực thực thể bằng sinh trắc học ( Biometrics) là sử dụng các phép đo lường về các đặc tính
sinh lí học hoặc hành vi học mà nhận dạng một con người, các đặc thù của sinh trắc học khơng thể đốn ,
ăn cắp hay chia sẻ. ví dụ như vân tay, vân lịng bàn tay, võng mạc, móng mắt, khn mặt, giọng nói…
Ưu điểm
+ Có độ chính xác cao
+ thời gian chứng thực rất nhanh ( nhỏ hơn 1s)
+ Sự tác động của người dùng thấp
+ Có sự kết hợp nhiều yếu tố: vân tay, võng mạc, giọng nói.
Nhược điểm:
+ Giá thành: triển khai hệ thống sinh trắc học địi hỏi chi phí cao cho cả phần cứng ( thiết bị thu/quét, và
nhận dạng) với các phần mềm hiện đại.
+Có thể nhận diện sai: do hư hỏng phần cứng, lỗi phần mềm làm cho hệ thống từ chối người dùng mặc dù

đúng người.
Hiện nay: công nghệ chứng thực bằng sinh trắc học được áp dụng rộng rãi hơn ở những ngân hàng, các
công ty ( dùng chấm công, điểm danh) hay thực hiện bảo mật dữ liệu cá nhân trên các thiết bị di động cao
cấp…
Hệ xác thực bằng mật khẩu
Phương pháp sử dụng mật khẩu chính là một ví dụ điển hình của cơ chế xác thực dựa trên điều mà thực
thể biết: NSD (người sử dụng) đưa ra một mật khẩu và hệ thống sẽ xác minh nó. Nếu mật khẩu quả thật là
cái được đăng ký trước với NSD, danh tính của NSD sẽ được xác thực. Ngược lại, mật khẩu sẽ bị từ chối
và thủ tục xác thực thất bại. Thông thường mật khẩu là một chuỗi ký tự có độ dài xác định; ký tự mật khẩu
phải được chọn từ một bộ (bảng) ký tự qui định trước. Không gian mật khẩu là tập tất cả các mật khẩu có
thể xây dựng được từ qui ước mật khẩu. Ví dụ, có một hệ thống u cầu mật khẩu phải là một chuỗi 8 chữ
số (tức là ký tự ‘0’-‘9’); như vậy không gian mật khẩu là tập tất cả các chuỗi 8 chữ số (“00000000” đến
“99999999”), và như vậy khơng gian này có 108 mật khẩu.
-Ưu điểm:
+Tiện lợi
+ Chi phí thấp
- Khuyết điểm :
+Mức độ bảo mật phụ thuộc vào độ phức tạp của password

9


+Sự chứng thực bằng giao thức chứng thực bằng mật khẩu chưa đủ sự an tồn và tin cậy vì thơng tin
chứng thực được trao đổi khơng an tồn trong môi trường mạng công cộng Internet nên các tội phạm tin
học có thể nghe trơm, đánh cắp thơng tin để từ đó đốn ra được mật khẩu truy nhập vào hệ thống.
6.Điều khiển truy cập là gì? Trình bày ít nhất 2 phương pháp mà bạn biết mà có thể cài đặt điều
khiển truy cập một hệ thống thông tin.
Điều khiển truy cập là gì?
Điều khiển truy cập ( access control) là thuật ngữ sử dụng trong các lĩnh vực kiểm sốt bảo mật và an
ninh. Nó ám chỉ đến sự hạn chế về quyền tiếp cận, truy cập, xâm nhập vào một địa chỉ có thực như một

ngơi nhà, văn phịng làm việc, cơng ty…tác dụng chính của Access Control là để phân quyền người dùng (
chỉ cho phép những người nào được truy cập vào địa chỉ nào). Cịn được gọi là hệ thống kiểm sốt vào ra,
AC có nhiều cách thực hiện. Có thể bằng sức người như bảo vệ, an ninh tịa nhà, hay kiểm sốt bằng các
loại máy móc như barrier tự động, khóa cửa điện tử.
Hiện nay với trình độ khoa học kỹ thuật ngày càng hiện đại. Điều khiển truy cập đang phát triển lên một
tầm cao mới đó là kiểm sốt vào ra bằng các hệ thống thẻ, vân tay, nhận dạng khn mặt. Điển hình nhất
hiện nay là các loại khóa cửa thơng minh như khóa cửa bằng vân tay, khóa thẻ từ, khóa cửa từ.
Trình bày ít nhất 2 phương pháp mà bạn biết mà có thể cài đặt điều khiển truy cập một hệ thống
thông tin
Điều khiển truy cập bắt buộc MAC
- Điều khiển truy cập bắt buộc (Mandatory Access Control - MAC):
Là mơ hình điều khiển truy cập nghiêm ngặt nhất,
Thường bắt gặp trong các thiết lập của qn đội
Hai thành phần: Nhãn và Cấp độ
- Mơ hình MAC cấp quyền bằng cách đổi chiều nhân của đối tượng với nhân của chủ thể
Nhãn cho biết cấp độ quyền hạn
- Để xác định có mở một file hay không: So sánh nhân của đối tượng với nhân của chủ thể
Chủ thể phải có cấp độ tương đương hoặc cao hơn: đối tượng được cấp phép truy cập
- Hai mơ hình thực thi của MAC: Mơ hình mạng lưới (Lattice model) & Mơ hình Bell-LaPadula
+ Mơ hình mạng lưới Các chủ thể và đối tượng được gán một "cấp bậc” trong mạng lưới Nhiều mạng lưới
có thể được đặt cạnh nhau.
+Mơ hình Bell-LaPadula: Tương tự mơ hình mạng lưới Các chủ thể không thể tạo một đối tượng mới hay
thực hiện một số chức năng nhất định đối với cácđối tượng có cấp thấp hơn
- Ví dụ về việc thực thi mơ hình MAC: Windows 7/Vista có bốn cấp bảo mật
Các thao tác cụ thể của một chủ thể đối với phân hạng thấp hơn phải được sự phê duyệt của quản trịviên Hộp thoại User Account Control (UAC) trong Windows
Điều khiển truy cập tùy ý (DAC)

10



- Điều khiển truy cập tùy ý (DAC)
Mơ hình ít hạn chế nhất
Mọi đối tượng đều có một chủ sở hữu
Chủ sở hữu có tồn quyền điều khiển đối với đối tượng của họ
Chủ sở hữu có thể cấp quyền đối với đối tượng của mình cho một chủ thể khác
Được sử dụng trên các hệ điều hành như Microsoft Windows và hầu hết các hệ điều hành UNIX
- Nhược điểm của DAC
Phụ thuộc vào quyết định của người dùng để thiết lập cấp độ bảo mật phù hợp
Việc cấp quyền có thể khơng chính xác
Quyền của chủ thể sẽ được "thừa kế” bởi các chương trình mà chủ thể thực thiTrojan là một vấn đề đặc
biệt của DAC
Điều khiển truy cập dựa trên vai trò (RBAC)
- Điều khiển truy cập dựa trên vai trò (Role Based Access Control - RBAC)
Cịn được gọi là Điều khiển Truy cập khơng tùy ý
Quyền truy cập dựa trên chức năng công việc
- RBAC gần các quyền cho các vai trò cụ thể trong tổ chức
Các vai trị sau đó được gắn cho người dùng
Điều khiển truy cập dựa trên quy tắc (RBAC)
- Điều khiển truy cập dựa trên quy tắc (Rule Based Access Control - RBAC)
- Tự động gán vai trò cho các chủ thể dựa trên một tập quy tắc do người giám sát xác định
- Mỗi đối tượng tài nguyên chứa các thuộc tính truy cập dựa trên quy tắc
- Khi người dùng truy cập tới tài nguyên, hệ thống sẽ kiểm tra các quy tắc của đối tượng để xácđịnh quyền
truy cập
- Thường được sử dụng để quản lý truy cập người dùng tới một hoặc nhiều hệ thống
Những thay đổi trong doanh nghiệp có thể làm cho việc áp dụng các quy tắc thay đổi
Trường hợp 2:
Điều khiển truy cập tùy quyền (DAC) là một loại kiểm soát truy cập bảo mật tài trợ hoặc hạn chế đối
tượng truy cập thơng qua một chính sách truy cập xác định bởi nhóm chủ sở hữu của một đối tượng và /
hoặc đối tượng. DAC điều khiển cơ chế được định nghĩa bởi người sử dụng xác định với các thông tin
cung cấp trong quá xác thực, chẳng hạn như tên người dùng và mật khẩu. DACs là tùy tiện vì chủ thể (chủ

sở hữu) có thể chuyển đối tượng đã xác thực hoặc truy cập thông tin cho người dùng khác. Nói cách khác,
chủ sở hữu quyết định quyền truy cập đối tượng.

11


Điều khiển truy cập tùy quyền (discretionary access control - DAC) là một chính sách truy cập mà chủ
nhân của tập tin hay người chủ của một tài nguyên nào đấy tự định đoạt. Chủ nhân của nó quyết định ai là
người được phép truy cập tập tin và những đặc quyền (privilege) nào là những đặc quyền người đó được
phép thi hành.
Điều khiển truy cập bắt buộc (Mandatory Access Control - MAC):
Điều khiển truy cập bắt buộc (mandatory access control - MAC) là một chính sách truy cập khơng do cá
nhân sở hữu tài nguyên quyết định, song do hệ thống quyết định. MAC được dùng trong các hệ thống đa
tầng cấp, là những hệ thống xử lý các loại dữ liệu nhạy cảm [4], như các thông tin được phân hạng về mức
độ bảo mật trong chính phủ và trong quân đội. Một hệ thống đa tầng cấp là một hệ thống máy tính duy
nhất chịu trách nhiệm xử lý bội số các phân loại dưới nhiều tầng cấp giữa các chủ thể và các đối tượng.
- Được dùng để bảo vệ một khối lượng dữ liệu lớn cần được bảo mật cao trong một môi trường mà các dữ
liệu và người dùng đều có thể được phân loại rõ ràng.
-Là cơ chế để hiện thực mơ hình bảo mật nhiều mức (multiple level).
Ưu điểm:
- Là cơ chế điều khiển truy xuất có tính bảo mật cao trong việc ngăn chặn dịng thơng tin bất hợp pháp.
-Thích hợp cho các ứng dụng trong môi trường quân đội.
Khuyết điểm:
-Không dễ áp dụng: đòi hỏi cả người dùng và dữ liệu phải được phân loại rõ ràng
- Chỉ được ứng dụng trong một số ít mơi trường
7.Mật khẩu (password) là gì? Mật khẩu cố định (fixed password) và mật khẩu dùng một lần (one
time password) khác nhau như thế nào? Trình bày điểm mạnh và điểm yếu của 2 loại mật khẩu.
Password hay mật khẩu là một chuỗi ký tự được sử dụng rất phổ biến trong các dịch vụ internet, hệ thống
máy tính hay phần mềm ứng dụng nào đó. Nó giúp cho người dùng bảo vệ sự riêng tư cũng như hạn chế
tối đa khả năng truy cập bất hợp pháp từ người khác.

Ví dụ: Bạn có một tài khoản trên máy tính của mình và tài khoản này yêu cầu bạn đăng nhập. Để truy cập
thành công vào tài khoản của mình, bạn phải cung cấp tên người dùng và mật khẩu hợp lệ. Sự kết hợp này
thường được gọi là đăng nhập. Trong khi tên người dùng nói chung là thơng tin cơng khai, mật khẩu là
riêng tư đối với mỗi người dùng.
Mật khẩu cố định (fixed password) và mật khẩu dùng một lần (one time password) khác nhau như
thế nào?
Mật khẩu dùng một lần (OTP) dùng để xác thực người dùng truy cập ứng dụng hoặc thực hiện giao dịch
trên internet banking/mobile banking.
Thông tin mật khẩu dùng một lần (OTP) có giá trị sử dụng 1 lần, có hiệu lực trong 1 khoảng thời gian nhất
định là đúng.
Mật khẩu cố định là loại mật khẩu được dùng để bảo vệ các tài khoản thuộc về cá nhân người dùng,có
hiệu lực lâu dài và thay đổi khi người dùng quyết định thay mật khẩu mới.

12


Khác nhau giữa mật khẩu cố định và mật khẩu dùng một lần:
Mật khẩu cố định

Mật khẩu dùng một lần

Được dùng lặp đi lặp lại.

Chỉ dùng được 1 lần và khơng sử dụng lại.

Dễ tấn cơng.

Khó tấn cơng.

Tính bảo mật thấp


Tính bảo mật cao

Trình bày điểm mạnh và điểm yếu của 2 loại mật khẩu:
-Điểm mạnh và điểm yếu của mật khẩu dùng 1 lần:
Ưu điểm:
+Khả năng chống lại các cuộc tấn công: Xác thực OTP cung cấp những lợi thế khác biệt so với việc chỉ sử
dụng mật khẩu tĩnh. Không giống như mật khẩu truyền thống, OTP không dễ bị tấn cơng — trong đó tin
tặc chặn việc truyền dữ liệu (như người dùng gửi mật khẩu của họ), ghi lại và sử dụng nó để truy cập vào
hệ thống hoặc tài khoản của chính họ. Khi người dùng có quyền truy cập vào tài khoản của họ bằng OTP,
mã sẽ trở nên không hợp lệ và do đó kẻ tấn cơng khơng thể sử dụng lại.
+Khó đốn: OTP thường được tạo bằng các thuật toán sử dụng sự ngẫu nhiên. Điều này khiến những kẻ
tấn cơng khó đốn và sử dụng chúng thành cơng. OTP có thể chỉ có hiệu lực trong thời gian ngắn, yêu cầu
người dùng có kiến thức về OTP trước đó hoặc cung cấp cho người dùng một thử thách (ví dụ: “vui lòng
nhập số thứ hai và thứ năm”). Tất cả các biện pháp này làm giảm thêm bề mặt tấn công của môi trường khi
so sánh với xác thực chỉ bằng mật khẩu.
+Giảm rủi ro khi mật khẩu bị xâm phạm: Người dùng không áp dụng các biện pháp bảo mật mạnh mẽ có
xu hướng tái chế các thơng tin đăng nhập giống nhau trên các tài khoản khác nhau. Nếu những thơng tin
đăng nhập này bị rị rỉ hoặc rơi vào tay kẻ xấu, dữ liệu bị đánh cắp và gian lận là những mối đe dọa đáng
kể đối với người dùng trên mọi phương diện. Bảo mật OTP giúp ngăn chặn vi phạm truy cập, ngay cả khi
kẻ tấn cơng đã có được bộ thơng tin đăng nhập hợp lệ.
+Dễ dàng áp dụng: Mật mã dùng một lần cũng dễ dàng cho các tổ chức tích hợp vào chiến lược xác thực
của họ. Mặc dù bản chất khó hiểu của những mã này khiến mọi người khó ghi nhớ, nhưng điện thoại, mã
thông báo và các công nghệ khác có thể truy cập rộng rãi để các nhóm bảo mật sử dụng và phân phối cho
nhân viên của họ.
Thẻ thông minh hay thiết bị tạo mật khẩu cầm tay (token) nhờ vào kết nối internet với máy chủ của dịch
vụ cung cấp OTP hoặc cũng có thể thơng qua thẻ OTP in sẵn thay điện thoại di động mà khơng cần đến
kết nối internet
Nhược điểm OTP là gì?
+Mã OTP có thể bị lộ nếu chủ tài khoản khơng giữ thông tin cẩn thận

+Giao dịch thông qua hệ thống internet có thể bị hacker tấn cơng
+Với hình thức OTP Token, bảo mật hơn nhưng phải trả thêm chi phí làm máy Token
+Hạn chế thời gian hiệu lực, không thể sử dụng những nơi khơng có sóng di động đối với OTP SMS.
- Mật khẩu cố định:

13


+ Điểm mạnh: Khi sử dụng những mật khẩu mạnh có thể tạo một lớp bảo mật chắc chắn.
+ Điểm yếu:
Người dùng sử dụng những mật khẩu quá phổ biến, mật khẩu chứa thông tin cá nhân,… điều này tạo ra lỗ
hỏng bảo mật.
8.Trình bày các loại mã OPT, nêu ưu điểm và nhược điểm của từng loại.
-Các loại mã OTP
Hiện nay có 3 hình thức cung cấp mã OTP chủ yếu. Bao gồm:
1. SMS OTP
Đây là hình thức cung cấp mã OTP phổ biến nhất hiện nay. Mã OTP sẽ được gửi bằng tin nhắn SMS về số
điện thoại đã đăng ký. Để thực hiện được giao dịch bạn cần phải nhập mã OTP được gửi về số điện thoại
đã đăng ký. Đa số các ngân hàng tại Việt Nam hiện nay đều có sử dụng mã OTP theo hình thức này.
Hình thức này khơng chỉ được các ngân hàng sử dụng mà cả các công ty công nghệ lớn trên thế giới như
Google, Facebook cũng áp dụng để tạo lớp bảo mật thứ hai cho tài khoản của bạn. Và lớp bảo vệ này sẽ
xuất hiện khi phát hiện bất kỳ hoạt động không rõ ràng nào từ tài khoản của bạn.
Ưu điểm:- Dịch vụ gửi SMS OTP khá rẻ và hợp túi tiền.
-Cần có ít phần cứng bổ sung để gửi SMS OTP
-Một tỷ lệ cao dân số thế giới có điện thoại di động có thể nhận
-SMS Có thể nhận được trên các ứng dụng SMS không nhất thiết phải được liên kết đến thiết
bị di động

Một hạn chế của SMS OTP chính là người dùng khơng thể sử dụng được ở nơi khơng có sóng di động,
hoặc di chuyển ra nước ngồi. Khi đó, các hình thức OTP khác sẽ được sử dụng.

-Nhiều số điện thoại để chế độ không làm phiền (DND) và do đó khơng nhận được SMS
-Đơi khi tin nhắn SMS OTP bị gửi trễ do lưu lượng truy cập trên máy chủ của nhà khai thác, hết thời gian
chờ cổng hoặc ngừng dịch vụ
-Đã có trường hợp SMS OTP bị chặn bởi tội phạm và các cá nhân lừa đảo.
-Ngay cả SMS chưa được gửi bạn cũng sẽ bị tốn phí.
-SMS trên nhiều điện thoại xuất hiện trên màn hình dưới dạng thơng báo ngay cả khi điện thoại bị khóa và
có thể dễ dàng bị đánh cắp bởi ai đó nhìn qua màn hình điện thoại của mình
2. Tokey Key (Tokey Card)
Đây là thiết bị có thể giúp tạo mã OTP, nó có thể sinh ra tự động sau mỗi phút mà không cần kết nối
internet. Mỗi tài khoản cần đăng ký Tokey Key riêng cho mỗi tài khoản, và sau một thời gian quy định thì
ngân hàng sẽ đổi Tokey Key của bạn.
Đây là một thiết bị rời, nhỏ gọn cho nên có thể ln ln mang đi bên mình. Tuy nhiên cũng cần phải bảo
quản cẩn thận vì dễ đánh mất.
Ưu và nhược điểm của Tokey Key (Tokey Card)
Ưu điểm của Token

14


Máy Token có kích thước khá là nhỏ gọn, giúp bạn dễ dàng mang theo bên người cũng như dễ dàng cho
vào chùm chìa khóa cá nhân
Giúp bảo vệ các giao dịch của khách hàng, Tránh bị kẻ gian hack thông tin cũng như sử dụng những thông
tin để thực hiện giao dịch
Nếu chẳng may bị lộ mã OTP đã sử dụng thì khách hàng cũng khơng cần q lo lằng bởi mã đó chỉ có
hiệu lực duy nhất một lần
Các sử dụng thiết bị Token khá là đơn giản phù hợp cho rất nhiều đối tượng
Nhược điểm của Token
Bạn có thể dễ dàng nhận ra để sử dụng dịch vụ này thì khách hàng cần phải trả một khoản phí khơng nhỏ
từ 200.000 - 400.000 đồng cho mỗi thiết bị Token
Thời hạn sống của mỗi mã OTP cho có 60s

Bạn cần phải có máy Token thì mới có thể thực hiện giao dịch được

3. Smart OTP – Smart Token
Đây được coi là hình thức kết hợp hồn hảo giữa SMS OTP và Token Key. Smart OTP được tích hợp với
ứng dụng trên smartphone. Smart OTP sẽ được gửi về ứng dụng khi xuất hiện yêu cầu giao dịch.
Hiện nay, tại Việt Nam thì có các ngân hàng như Vietcombank và TPBank đang sử dụng hình thức xác
thực bằng Smart OTP hoạt động song song SMS OTP. Ngoài ra, Google cũng áp dụng Smart OTP và tạo
ra một ứng dụng của riêng mình mang tên là Google Authenticator.
Để sử dụng Smart OTP người dùng cần phải đăng ký với ngân hàng hoặc các nhà cung cấp dịch vụ. Ngồi
ra, khơng thể có nhiều thiết bị sử dụng chung một ứng dụng tạo ra mã OTP.
Ưu điểm của Smart OTP
- Tính an toàn và bảo mật ở mức độ cao nhất hiện nay giúp người dùng an tâm khi sử dụng nhất là với các
giao dịch chuyển tiền với số tiền lớn.
-Tiện dụng khi được sử dụng mọi lúc, mọi nơi, mọi thiết bị và kể cả khi khơng có kết nối internet
-Dễ dàng sử dụng với nhiều hình thức như tích hợp vào ứng dụng của ngân hàng hoặc tải app trên điện
thoại
-Đơn giản hóa thao tác với những mã OTP được tự động điền sẵn vào ô xác thực
-Dịch vụ miễn phí
Nhược điểm của Smart OTP:
-Smart OTP được sinh ra ngay trên điện thoại của khách hàng và được mã hóa với hệ thống bảo vệ nhiều
lớp phức tạp và khó có thể can thiệp được. Tuy nhiên, Smart OTP cũng có thể rủi ro đối với những khách
hàng sử dụng điện thoại bị bẻ khóa máy hoặc tự ý cài thêm các phần mềm độc hại, không rõ nguồn gốc

15


-Để sử dụng Smart OTP người dùng cần phải đăng ký với ngân hàng hoặc các nhà cung cấp dịch vụ.
Ngồi ra, khơng thể có nhiều thiết bị sử dụng chung một ứng dụng tạo ra mã OTP.
9.Đưa ra một hệ thống mà bạn biết có sử dụng mật khẩu cố định (fixed password) và mô tả các bước
thực hiện để bạn có thể được chứng thực người dùng trong hệ thống đó. Nêu mục tiêu của việc

chứng thực này.
Hệ thống có sử dụng mật khẩu cố định (fixed password)
- Teamviewer
Các bước thực hiện
Bước 1:
Tại giao diện trên Teamviewer, người dùng nhấn chọn vào mục Extras bên trên rồi chọn
tiếp Options.
Bước 2:
Chuyển sang giao diện mới nhấn vào mục quản lý Security ở góc bên trái màn hình. Nhìn sang bên
phải phần Personal password (For unattended access), hãy nhập mật khẩu muốn đặt cho
Teamviewer vào. Nhấn OK để lưu lại mật khẩu là xong.
Ngoài ra trong phần Random password người dùng cũng có thể điều chỉnh độ dài mật khẩu từ 4 ký
tự sang 6, 8, 10 ký tự. Disabled để vơ hiệu hóa mật khẩu khi cần kết nối 2 máy tính.
Bây giờ, bạn sẽ sử dụng mật khẩu mình vừa tạo để tạo kết nối cho người khác. Cách này rất tiện nếu
bạn thường xuyên nhờ một người, họ sẽ ghi nhớ ID và mật khẩu cho lần trợ giúp tiếp theo mà
không cần hỏi lại mật khẩu đăng nhập. Tuy nhiên, nếu để kẻ gian phát hiện và lợi dụng, đây sẽ là
mối nguy hiểm lớn cho tài khoản của người dùng. Vì vậy, hãy cân nhắc thật kỹ trước khi tiến hành
sử dụng, bởi mỗi mật khẩu đều có những ưu - nhược điểm riêng.
* Mục tiêu của chứng thực
- Tăng cường an toàn cho hệ xác thực dựa trên mật khẩu
- Xây dựng giao thức an tồn
- Đảm bảo nội dung thơng tin trao đổi giữa các thực thể là chính xác khơng bị thêm, sửa, xóa hay
phát lại (đảm bảo tính tồn vẹn về nội dung)
- Đảm bảo đối tượng tạo ra thông tin (nguồn gốc thông tin) đúng là đối tượng hợp lệ đã được khai
báo (đảm bảo tính tồn vẹn về nguồn gốc thơng tin)
- Đảm bảo an tồn đối với thơng tin xác thực (tên đặng nhập và mật khẩu không được truyền đi trực
tiếp trên mạng)

16



- Xác thực ai đang giao dịch
- Đảm bảo bảo mật thông tin (không thẩm quyền => không đọc được)
- Đảm bảo tính tồn vẹn
- Chống thối thốt
- Sử dụng thay cho bản chính trong các giấy tờ
- Chứng minh người yêu cầu chứng thực đã ký chữ ký đó và là căn cứ để xác định trách nhiệm của
người ký giấy tờ, văn bản.
- Chứng minh về thời gian, địa điểm các bên đã ký kết hợp đồng, giao dịch; năng lực hành vi dân
sự, ý chí tự nguyện, chữ ký hoặc dấu điểm chỉ của các bên tham gia hợp đồng, giao dịch.
10.Đưa ra một hệ thống mà bạn biết có sử dụng mật khẩu dùng một lần (one time password) và mơ
tả tình huống mà bạn có sử dụng mật khẩu để chứng thực người dùng/giao dịch. Nêu mục tiêu của
việc chứng thực này.
Một trong những hệ thống hiện nay có sử dụng mật khẩu dùng 1 lần là hệ thống internet banking của MB
bank (Ngân hàng Thương mại Cổ phần Qn đội)
Mơ tả tình huống mà bạn có sử dụng mật khẩu để chứng thực người dùng/giao dịch.
chuyển tiền qua Internet Banking của MB bank
Các bước thực hiện giao dịch chuyển tiền qua Internet Banking sẽ như sau:
Bước 1: Đăng nhập Internet Banking trên máy tính hoặc điện thoại di động được kết nối Internet.
Bước 2: Giao diện mở ra, khách hàng lựa chọn mục chuyển tiền cùng hệ thống hoặc ngoài ngân hàng MB.
Bước 3: Điền đầy đủ thông tin chuyển tiền bao gồm: Tên người nhận, số tài khoản, số tiền chuyển, nội
dung chuyển, ngân hàng nhận…
Bước 4: Xác nhận lại thông tin giao dịch, hệ thống ngân hàng sẽ gửi mã OTP về tin nhắn điện thoại.
Bước 5: Khách hàng nhập mã OTP xác nhận giao dịch. Màn hình hiển thị kết quả giao dịch.
Nêu mục tiêu của việc chứng thực này.
-Tại hệ thống internet banking của MB bank , OTP được dùng làm bảo mật 2 lớp để xác nhận giao dịch
giúp nâng cao tính bảo mật của các dịch vụ thanh toán online và dịch vụ ngân hàng điện tử.
-Bên cạnh đó mã OTP thường được dùng chỉ 1 lần duy nhất ,bạn không thể sử dụng mã này cho bất kỳ
giao dịch nào khác và mã OTP của MB bank cũng có hiệu lực trong thời gian rất ngắn (1 phút 43 giây)
sẽ giúp giảm thiểu, ngăn chặn rủi ro hacker hay lộ thơng tin tài khoản, nhờ đó mà người dùng cảm thấy

an tâm hơn rất nhiều.
11.Sinh trắc học (biometric) là gì? Nêu các lĩnh vực mà có thể áp dụng sinh trắc học?
Sinh trắc học là gì?

17


-Sinh trắc học hay Công nghệ sinh trắc học (tiếng Anh: Biometric) là cơng nghệ sử dụng những thuộc tính
vật lý, đặc điểm sinh học riêng của mỗi cá nhân như vân tay, khuôn mặt, mống mắt, tĩnh mạch,…để nhận
diện, xác thực bảo mật.
-Sinh trắc học đã được phát triển trong một thời gian dài và đã được sử dụng nhiều từ lâu. Vậy nên,
những hiệu quả của nó đã được chứng minh và ngày càng được nâng cấp để hiện đại hơn và cũng xuất
hiện nhiều hơn trong những vật dụng thường ngày. Trước đây thường những dụng cụ sinh trắc học rất lớn
và được cố định ở một cánh cửa hay một chiếc tủ sắt, nhưng gần đây nó đã được áp dụng nhiều vào những
thiết bị thơng minh như điện thoại hay Ipad.Cũng giống như các công nghệ bảo mật khác, sinh trắc học
khơng có giải pháp q hồn hảo. Tuy nhiên nó đang có những bước phát triển đáng kinh ngạc.
Các lĩnh vực mà có thể áp dụng sinh trắc học:
-Sinh trắc học ngày càng được ứng dụng nhiều trong đời sống hằng ngày:
+Ứng dụng trong các sản phẩm cơng nghệ:
Có thể nói ứng dụng rộng rãi nhất của công nghệ sinh trắc học hiện nay trong cuộc sống là các sản phẩm
công nghệ như smart phone, khóa điện tử, máy chấm cơng vân tay, máy chấm công khuôn mặt… điểm
chung giữa các thiết bị này là việc nó có thể thay thế mật khẩu truyền thống với độ bảo mật cao hơn rất
nhiều và hiện tại thì nó đã khẳng định được vị trí của nó.
+Ứng dụng trong việc chứng thực các đối tượng khác như khách hàng,sinh viên,….
Ví dụ khi một phịng tập gym thay vì đeo một chiếc thẻ rồi đưa ra cho nhân viên lễ tân kiểm tra thì chỉ cần
đưa ngón tay vào đầu đọc là có thể nhận một nụ cười thật tươi từ cô lễ tân xinh đẹp… rõ ràng việc áp dụng
công nghê sinh trắc học vào cuộc sống cũng như cơng việc có rất nhiều lợi ích, nó tạo ra sự đơn giản và
tiện lợi.
+Ứng dụng trong lĩnh vực hình sự: Sử dụng trong việc xác nhận về từng đối tượng
+Ứng dụng trong lĩnh vực ngân hàng:Thanh tốn thẻ ATM có sử dụng máy đọc vân tay

+Ứng dụng trong y học:Dấu vân tay giúp phát hiện ra bệnh do bị sai lệch gen như: hội chứng ba nhiễm sắc
thể 18, ba nhiễm sắc thể 13, hội chứng Down, sai lệch nhiễm sắc thể giới tính XXX, XXY…
+Ứng dụng trong lĩnh vực giáo dục:Sinh trắc vân tay hỗ trợ cho việc phân tích trí thơng minh của mỗi cá
nhân, điểm mạnh, điểm hạn chế để từ đó giúp mỗi người có thể định hướng cho sự nghiệp của mình.
-Ngồi ra “Sự kết nối mạng lưới thần kinh các tế bào não” tạo nên trí thơng minh của mỗi người và khi
xem sinh trắc vân tay, bạn sẽ biết được mình như thế nào, mình đang sở hữu những tiềm năng gì. Biết
mình là ai và biết nỗ lực phấn đấu, tin chắc bạn sẽ thành công hơn trong công việc và cuộc sống.
12.Nêu ưu điểm và nhược điểm của việc áp dụng chứng thực bằng sinh trắc học
*Ưu điểm:
-Có khả năng cải thiện tính bảo mật, kiểm sốt truy cập an tồn, thoải mái, tránh để lộ thơng tin người
dùng cho tội phạm mạng
-Là một giải pháp bảo mật hiện đại và phức tạp nhất, có độ chính xác gần như là tuyệt đối trong quá trình
xác thực

18


-So với phương pháp xác thực truyền thống, bảo mật sinh trắc học có thao tác thực hiện nhanh hơn, người
dùng hạn chế tình trạng quên chuỗi mật khẩu dài và phức tạp như trước kia
-Khắc phục hiện tượng quá tải thông tin đăng nhập trên các ứng dụng hoặc thiết bị khác nhau
-Xác thực sinh trắc học có tính linh hoạt, dễ đăng ký và triển khai sử dụng
*Nhược điểm
-Các thiết bị xác thực sinh trắc học thường có chi phí đắt hơn so với thiết bị nhập mật khẩu truyền thống
-Nhận dạng sinh trắc học khơng chính xác 100%. Ví dụ: Máy xác thực sinh trắc học sẽ khơng nhận diện
được giọng nói khi người dùng bị cảm cúm hoặc không nhận diện được khuôn mặt khi người dùng
tăng/giảm cân
-Gây ảnh hưởng đến quyền riêng tư của người sử dụng
13. Hệ thống quản lý an tồn thơng tin là gì? Mục tiêu của hệ thống an tồn tồn thơng tin?
-Hệ thống an tồn thơng tin là gì?
Hệ thống an tồn thơng tin (ISMS) là một phần của hệ thống quản lý tổng thể, dựa trên cách tiếp cận theo

rủi ro của kinh doanh, để thiết lập, thực hiện, điều hành, giám sát, xem xét, duy trì và cải tiến việc bảo mật
thông tin. Hệ thống quản lý bao gồm: cấu trúc của tổ chức, chính sách, các hoạt động hoạch định, trách
nhiệm, việc thực hành, thủ tục, quy trình và nguồn lực.
-Mục tiêu xây dựng hệ thống an tồn thơng tin:
+ Đảm bảo tính bảo mật của thơng tin, tức là thông tin chỉ được phép truy cập bởi những đối tượng được
cấp phép.
+ Đảm bảo tính tồn vẹn của thông tin, tức là thông tin chỉ được phép xóa hoặc sửa bởi những đối tượng
được phép và phải đảm bảo rằng thơng tin vẫn cịn chính xác khi được lưu trữ hay truyền đi.
+ Đảm bảo tính sẵn sàng của thơng tin, tức là thơng tin có thể được truy xuất bởi những người được phép
vào bất cứ khi nào họ muốn. Ví dụ, nếu một server chỉ bị ngưng hoạt động hay ngừng cung cấp dịch vụ
trong vịng 5 phút trên một năm thì độ sẵn sàng của nó là 99,999%
Lợi ích của hệ thống attt:
Đảm bảo ATTT của tổ chức, đối tác và khách hàng, giúp cho hoạt động của tổ chức luôn thông suốt và an
toàn.
2) Giúp nhân viên tuân thủ việc đảm bảo ATTT trong hoạt động nghiệp vụ thường ngày; Các sự cố ATTT
do người dùng gây ra sẽ được hạn chế tối đa khi nhân viên được đào tạo, nâng cao nhận thức ATTT.
3) Giúp hoạt động đảm bảo ATTT luôn được duy trì và cải tiến. Các biện pháp kỹ thuật và chính sách tuân
thủ được xem xét, đánh giá, đo lường hiệu quả và cập nhật định kỳ.
4) Đảm bảo hoạt động nghiệp vụ của tổ chức không bị gián đoạn bởi các sự cố liên quan đến ATTT.
5) Nâng cao uy tín của tổ chức, tăng sức cạnh tranh, tạo lòng tin với khách hàng, đối tác, thúc đẩy q
trình tồn cầu hóa và tăng cơ hội hợp tác quốc tế
Cấu trúc Tiêu chuẩn ISO 27001: 2013
Gồm có 07 điều khoản chính (từ phần 4 đến phần 10 của Tiêu chuẩn)

19


 Điều khoản 4 - Phạm vi tổ chức: Đưa ra các yêu cầu cụ thể để tổ chức căn cứ trên quy mô, lĩnh vực
hoạt động và các yêu cầu, kỳ vọng của các bên liên quan thiết lập phạm vi Hệ thống quản lý ATTT phù
hợp.

 Điều khoản 5 - Lãnh đạo: Quy định các vấn đề về trách nhiệm của Ban lãnh đạo mỗi tổ chức trong Hệ
thống ISMS, bao gồm các yêu cầu về sự cam kết, quyết tâm của Ban lãnh đạo trong việc xây dựng và duy
trì hệ thống; các yêu cầu về việc cung cấp nguồn lực, tài chính để vận hành hệ thống.
 Điều khoản 6 - Lập kế hoạch: Tổ chức cần định nghĩa và áp dụng các quy trình đánh giá rủi ro, từ đó
đưa ra các quy trình xử lý. Điều khoản này cũng đưa ra các yêu cầu về việc thiết lập mục tiêu ATTT và kế
hoạch để đạt được mục tiêu đó.
 Điều khoản 7 - Hỗ trợ: yêu cầu đối với việc tổ chức đào tạo, truyền thơng, nâng cao nhận thức cho tồn
thể cán bộ, nhân viên của tổ chức về lĩnh vực ATTT và ISMS, số hóa thơng tin.
 Điều khoản 8 - Vận hành hệ thống: Tổ chức cần có kế hoạch vận hành và quản lý để đạt được các mục
tiêu đã đề ra. Đồng thời cần định kỳ thực hiện đánh giá rủi ro ATTT và có kế hoạch xử lý.
 Điều khoản 9 - Đánh giá hiệu năng hệ thống: Quy định trách nhiệm của Ban lãnh đạo trong việc định
kỳ xem xét, đánh giá Hệ thống ISMS của tổ chức. Phần này đưa ra yêu cầu đối với mỗi kỳ xem xét hệ
thống, đảm bảo đánh giá được toàn bộ hoạt động của hệ thống, đo lường hiệu quả của các biện pháp thực
hiện và có kế hoạch khắc phục, nâng cấp hệ thống cho phù hợp với những thay đổi trong hoạt động của tổ
chức.
 Điều khoản 10 - Cải tiến hệ thống: Giữ vững nguyên tắc Kế hoạch - Thực hiện - Kiểm tra - Hành động
(P-D-C-A), tiêu chuẩn cũng đưa ra các yêu cầu đảm bảo Hệ thống ISMS khơng ngừng được cải tiến trong
q trình hoạt động. Gồm các quy định trong việc áp dụng các chính sách mới, các hoạt động khắc phục,
phịng ngừa các điểm yếu đã xảy ra và tiềm tàng để đảm bảo hiệu quả của Hệ thống ISMS.
Quy trình triển khai tiêu chuẩn ISO 27001
 Bước 1: Khảo sát và lập kế hoạch
 Bước 2: Xác định phương pháp quản lý rủi ro ATTT
 Bước 3: Xây dựng hệ thống đảm bảo ATTT tại đơn vị
 Bước 4: Triển khai áp dụng: các biện pháp đã lựa chọn, đáp ứng chính sách, quy định, quy trình đã xây
dựng và u cầu của tiêu chuẩn ISO 27001.
 Bước 5: Đánh giá nội bộ: khắc phục các điểm không phù hợp với các quy định của tổ chức và yêu cầu
của tiêu chuẩn.
Sau khi thực hiện xong bước 5, tổ chức mời các đơn vị độc lập để đánh giá và cấp Chứng nhận phù hợp
với tiêu chuẩn ISO 2701:2013 cho Hệ thống quản lý ATTT đã xây dựng.
DN nhận CC ATTT theo tiêu chuẩn ISO/IEC 27001:2013

 Công ty Cổ phần Dịch vụ Công nghệ Tin học HPT –
12/05/2014
 Ngân hàng VIETCOMBANK - 12/12/2014 (NH đầu tiên)
 Tập đoàn Bảo Việt – 23/1/2016
 Trung tâm Internet Việt Nam (VNNIC) - 02/7/2015
 Ngân hàng TMCP Sài Gòn - Hà Nội (SHB) - 20/11/2015
 Trung tâm dữ liệu của VNPT (VNPT Data) – 1/9/2016
 Ngân hàng TMCP Quân đội (MB) - 04/2017


Tình huống LO4 (gợi ý dành cho sinh viên, đề thi có thể cho tình huống khác tương tự)
Tình huống 1:
Để phục vụ cho nhu cầu học tập và tra cứu của cán bộ, giảng viên và sinh viên của trường, nhà trường
đã xây dựng một hệ thống thư viện trực tuyến www.thuviendientu.iuh.edu.vn, hệ thống giúp độc giả

20


(cán bộ, giảng viên và sinh viên của trường) có thể tìm kiếm các loại sách, báo, tạp chí,… Đối với tài
liệu điện tử thì độc giả có thể đọc trực tuyến hoặc tải về, đối với sách trong thư viện thì độc giả có thể
đăng ký mượn. Độc giả cũng có thể yêu cầu mua các loại tài liệu điện tử và thanh tốn phí mua trực
tuyến. Hệ thống cũng giúp cho các thủ thư có thể quản lý thông tin mượn và trả sách của độc giả, hệ
thống cịn có tính năng thơng báo nhắc nhở đến hạn trả sách bằng email, tạo báo cáo, thống kê.
Yêu cầu: Với tình huống đã cho, bạn hãy
Chỉ ra ít nhất 2 loại thông tin/dữ liệu/chức năng nào cần nâng cao tính an tồn và nêu lý do tại sao
+ Chức năng thanh tốn trực tuyến cần nâng cao tính an tồn vì: thơng tin thanh tốn thường liên quan đến
tài khoản ngân hàng, ví thanh tốn điện tử,...là cơ hội cho nhiều đối tượng xấu có cơ hội trục lợi, khi thông
tin như tên, số tk ngân hàng, số tiền trong tài khoản, thời điểm giao dịch thanh tốn,...những thơng tin này
vô cùng quan trọng nếu bị đối tượng xấu lấy được thì sẽ gặp rất nhiều phiền phức, chúng có thể làm giả
thẻ, đăng nhập tk, giả vờ chuyển nhằm tiền vào tài khoản rồi chiếm đoạt tài sản,..

+dữ liệu: thông tin cá nhân của người của người đăng nhập vào hệ thống như tên, email, mssv, mật khẩu,..
vì: Khi biết họ tên, mssv, mật khẩu,.. những kẻ xấu có thể sẽ dùng với mục đích phá hoại, lừa đảo làm mất
uy tín danh dự của người bị hại, biết được số điện thoại hay email, kẻ xấu có thể tìm được từ Internet hình
ảnh, ngày tháng năm sinh, nơi ở… mà cá nhân đã khai báo, để lại ở một Website hoặc một ứng dụng nào
đó và từ các thơng tin thu thập được, kẻ xấu có thể sử dụng để lừa đảo, mạo danh để chiếm đoạt tài sản từ
bạn bè, gia đình, ngồi ra số điện thoại, email còn bị kẻ xấu bán cho bên thứ 3 với mục đích quản cáo, gây
ảnh hưởng tới cuộc sống.
Đưa ra giải pháp nào (chữ ký số, xác thực và điều khiểu truy cập bằng mật khẩu (fixed password,
OTP), thẻ từ, camera, sinh trắc học (vân tay hoặc khuôn mặt, con ngơi,…)) để cài đặt nâng cao tính
an tồn cho từng loại thông tin/dữ liệu/chức năng ở trên và nêu lý do tại sao phương pháp pháp này là
hữu hiệu nhất.
+ Chức năng thanh toán trực tuyến
Giải pháp: bảo mật 2 lớp; lớp 1: có thể dùng fixed pass và tên người dùng; Lớp 2: xác thực mã SMS
OPT
Fixed password: là loại mật khẩu được dùng để bảo vệ các tài khoản thuộc về cá nhân người dùng, có hiệu
lực lâu dài và thay đổi khi người dùng quyết định thay mật khẩu mới.
Sms otp: Đây là hình thức cung cấp mã OTP phổ biến nhất hiện nay. Mã OTP sẽ được gửi bằng tin nhắn
SMS về số điện thoại đã đăng ký. Để thực hiện được giao dịch bạn cần phải nhập mã OTP được gửi về số
điện thoại đã đăng ký. Đa số các ngân hàng tại Việt Nam hiện nay đều có sử dụng mã OTP theo hình thức
này.
Giải thích:
Mật khẩu và tên người dùng trên app của ngân hàng hoặc ví điện tử của người dùng đăng ký trên app
trước đó, khi muốn mua tài liệu điện tử người mua cần đăng nhập vào ví, ngân hàng bằng tên và mật khẩu,
nếu chấp nhận thanh tốn thì mã sms sẽ được gửi về sdt đã dk trong ngân hàng, ví điện tử, người mua
nhập mã được gửi để xác nhận và hoàn thành việc mua tài liệu.
Ưu điểm của fixed pass: Khi sử dụng những mật khẩu mạnh có thể tạo một lớp bảo mật chắc chắn.

21



Ưu điểm của sms otp: +Dịch vụ gửi SMS OTP khá rẻ và hợp túi tiền.
+Cần có ít phần cứng bổ sung để gửi SMS OTP
+Một tỷ lệ cao dân số có điện thoại di động có thể nhận SMS otp.
Lý do phương pháp bảo mật 2 lớp hữu hiệu nhất: dễ dàng, nhanh chóng thực hiện, được phổ biến rộng rãi,
bảo mật 2 lớp nâng cao tính bảo mật cho thơng tin tài khoản thanh tốn trực tuyến, fixed pass và sms otp
mang lại nhiều lợi ích,
- Dữ liệu: Thông tin người dùng
Giải pháp: xác thực vân tay.
Vân tay: quét vân tay là một trong những phương thức xác thực sinh trắc học phổ biến và dễ tiếp cận nhất,
quét vân tay là một trong những công nghệ sinh trắc học phổ biến và được sử dụng nhiều nhất cho người
tiêu dùng hàng ngày.
Giải thích: lần đầu đăng nhập vào hệ thống người dùng có thể đăng nhập bằng mật khẩu mà trường đã
cung cấp cho từng sinh viên, giảng viên,...sau đó người dùng tiến hành cài đặt vân tay để thuận tiện cho
những lần đăng nhập sau.
Lợi ích: -Có khả năng cải thiện tính bảo mật, kiểm sốt truy cập an tồn, thoải mái, tránh để lộ thơng tin
người dùng cho tội phạm mạng
-Là một giải pháp bảo mật hiện đại và phức tạp, có độ chính xác gần như là tuyệt đối trong quá trình xác
thực
-So với phương pháp xác thực truyền thống, bảo mật sinh trắc học vân tay có thao tác thực hiện nhanh
hơn, người dùng hạn chế tình trạng quên chuỗi mật khẩu dài và phức tạp như trước kia
-Khắc phục hiện tượng quá tải thông tin đăng nhập trên các ứng dụng hoặc thiết bị khác nhau
-Xác thực sinh trắc học vân tay có tính linh hoạt, dễ đăng ký và triển khai sử dụng
Lý do pp bảo mật vân tay là hữu hiệu nhất: dễ dàng, nhanh chóng thực hiện cùng nhiều lợi ích khác, biện
pháp bảo mật này ngày càng phổ biến, mỗi người có dấu vân tay riêng biệt nên tạo nên sự bảo mật gần
như tuyệt đối, đặc điểm sinh học nên khó sao chép, khơng có tình trạng quên mất vân tay,
Tình huống 2:
Để phục vụ nhu cầu học tập và nghiên cứu của cán bộ, giảng viên và sinh viên của trường (gọi chung
là độc giả), nhà trường đã trang bị một phòng đọc sách cho các độc giả. Phịng này có trang bị máy
lạnh, bàn ghế, wifi, và 100 chiếc máy tính để bàn. Sinh viên có thể tự vào ra phịng đọc sách trong
khoảng thời gian thư viện mở cửa để ngồi đọc sách, học tập nghiên cứu và dùng các máy tính. Các

máy tính chỉ dùng để học tập/nghiên cứu chứ không cho phép chơi game.
u cầu:
Theo bạn để có thể kiểm sốt, chứng thực và theo dõi sự vào ra phòng đọc sách của các độc giả một
cách tự động thì chúng ta có thể dùng phương pháp nào (chữ ký số, xác thực và điều khiểu truy cập
bằng mật khẩu (fixed password, OTP), thẻ từ, camera, sinh trắc học (vân tay hoặc khn mặt, con
ngơi,…)) để kiểm sốt và nêu lý do tại sao phương pháp này là hữu hiệu nhất?

22


Phương pháp: kết hợp Thẻ từ + camera
- thẻ từ: Thẻ từ là loại mà trên đó được gắn các dải băng từ kim loại trên bề mặt. Thẻ từ có khả năng ghi
và lưu thơng tin lên trên dải từ. Nên những thẻ từ được ứng dụng cho các hệ thống nhân dạng như là. Ứng
dụng quản lý tự động, thanh toán điện tử, kiểm soát ra vào, chấm cơng nhân viên. Mở khóa phịng khách
sạn, mở khóa cửa nhà, kiểm soát ra vào thang máy, trường học,...
- camera: là hệ thống truyền hình mạch kín, là việc sử dụng các máy quay video để truyền tín hiệu đến
một địa điểm cụ thể, trên một bộ màn hình giới hạn, camera còn được gọi là hệ thống video giám sát.
Cài đặt: Cửa ra vào được đóng mở bằng thẻ từ + camera ngay cửa ra vào
Lý do: SV, GV, CBCNV của đều có thẻ SV. GV, CBCNV, có thẻ tử ln thuận tiện hơn vừa là thẻ để kiểm
sốt vừa thẻ để mở cửa phịng đọc sách  ít tốn chi phí
Cùng nhièu lợi ích khác: thẻ từ vừa làm thẻ ra vào phòng đọc sách, ra vào trường, minh chứng trong các
kỳ thi, được hỗ trợ chi phí khi sử dụng phương tiện công cộng,..
+ Số lượng thẻ từ quản lý được cực kỳ lớn tương ứng số người quản lý. Chúng cực kỳ hợp ở mơitrường có
số người ra vào lớn, nhà trường đông sinh viên
+ Thông thường thời gian đọc thẻ chỉ diễn ra trong chưa đến 1s/ lượt quẹt thẻ. Tốc độ này nhanhhơn nhiều
so với việc dùng vân tay hay khn mặt. Nhờ đó nếu như số người tập chung ra vào lớntrong cùng một
thời điểm sẽ không phải xếp hàng chờ đợi lâu
+ Chỉ cần dùng thẻ để quẹt mỗi khi đến nơi làm việc hoặc vào ra. Những thẻ sử dụng hoàn tồnkhơng bị
ảnh hưởng do mơi trường hay thời tiết. Đây là một trong những điểm hạn chế của côngnghệ nhận diện vân
tay

+ Mỗi thẻ có một ID riêng khơng trùng lặp nhau. Khi mất thẻ thì những thẻ này sẽ bị vô hiệu quálập tức
nên không cần lo lắng nếu kẻ xấu nhặt được
Sinh trắc họcmặc dù an toàn hơn thẻ từ nhưng tốn nhiều chi phí,
-Các thiết bị xác thực sinh trắc học thường có chi phí đắt hơn so với thiết bị nhập mật khẩu truyền thống
-Nhận dạng sinh trắc học khơng chính xác 100%. Ví dụ: Máy xác thực sinh trắc học sẽ không nhận diện
được giọng nói khi người dùng bị cảm cúm hoặc khơng nhận diện được khuôn mặt khi người dùng
tăng/giảm cân, trang điểm,...
-Gây ảnh hưởng đến quyền riêng tư của người sử dụng.
Lý do tại sao có camera: thiết bi này ngày càng đc sử dụng rộng rãi, giá thành hợp lý, đáp ứng được nhu
cầu giám sát hoạt động ra vào của người sử dụng phịng đọc sách, nếu xảy ra tình huống chỉ cần trích xuất
camera để phát hiện thời điểm ra vào của đối tượng cần truy xuất, hạn chế sự xâm nhập của kẻ xấu vào
phòng đọc sách, giảm nổi lo cho sinh viên, gv, .đem lại sự hiện đại, tiện dụng nhất định, xác định đúng
thời gain ra vào của người sử dụng.
Theo bạn để có thể chứng thức, kiểm soát và theo dõi việc sử dụng wifi và thiết bị máy móc ở phịng
đọc sách thì chúng ta dùng những phương pháp nào (chữ ký số, xác thực và điều khiểu truy cập bằng
mật khẩu (fixed password, OTP), thẻ từ, camera, sinh trắc học (vân tay hoặc khuôn mặt, con ngơi,…))
và nêu lý do tại sao phương pháp này là hữu hiệu nhất?

23


Kết hợp: Username + PW, Camera
Username: là tên người dùng, tên này là tên người dùng hoặc mssv, msgv,...
Password: Password hay mật khẩu là một chuỗi ký tự được sử dụng rất phổ biến trong các dịch vụ
internet, hệ thống máy tính hay phần mềm ứng dụng nào đó. Nó giúp cho người dùng bảo vệ sự riêng tư
cũng như hạn chế tối đa khả năng truy cập bất hợp pháp từ người khác. Pss này thường được trường cung
cấp sau đó người dùng có thể đăng ký đổi lại pass khác cho dễ nhớ.
Lợi ích của pass: xác định danh tính người đăng nhập vào wf, máy tính, thiết bị, xác định thời gian đăng
nhập chính xác,...quản lý truy cập và sử dụng phần mềm,..
- Camera : là hệ thống truyền hình mạch kín, là việc sử dụng các máy quay video để truyền tín hiệu đến

một địa điểm cụ thể, trên một bộ màn hình giới hạn, camera cịn được gọi là hệ thống video giám sát.
Lợi ích của camera: giám sát q trình sử dụng máy tính, thiết bị,.., kiểm sốt truy cập,. làm minh chứng
khi có sự cố xảy ra, ngăn chặn kịp thời các hành vi phá hoại, sử dụng thiết bị, wifi với mục đích khơng
lành mạnh, ảnh hưởng tới người khác và thiết bị khác,..
Tình huống 3:
Giả sử khoa Kế tốn của trường IUH trang bị một ‘Phịng mơ phỏng và thực hành quy trình nghiệp
vụ Kế tốn – Tài chính – Tín dụng’ (gồm 30 máy tính) dùng để phục vụ cho việc học tập và nghiên
cứu của các thành viên trong câu lạc bộ Kế_Tài_Ngân_Club. Phòng máy này gồm một máy chủ
(server), nhiều máy trạm (work station) và một máy in (printer) được cài đặt các phần mềm về kế toán,
tài chính & ngân hàng để cho các thành viên trong câu lạc bộ vào sử dụng để nghiên cứu và học tập.
Khoa mong muốn phòng máy được cài đặt và cấu hình làm sao mà các thành viên có thể ra vào và sử
dụng cái tài nguyên một cách thuận tiện nhưng vẫn có cơ chế theo dõi một cách tự động.
Theo bạn, phòng máy nên dùng phương pháp nào (chữ ký số, xác thực và điều khiểu truy cập bằng
mật khẩu (fixed password, OTP), thẻ từ, camera, sinh trắc học (vân tay hoặc khuôn mặt, con ngơi,…))
mà các thành viên có thể vào ra một cách thuận tiện nhưng vẫn kiểm sốt được khi cần thiết. Bạn hãy
mơ tả giải pháp một cách chi tiết nhất và nêu lý do tại sao đây là giải pháp hợp lý nhất.
Sinh trắc học vân tay, camera
Thẻ từ, camera
Thiết kế cửa ra vào: kiểm soát bằng Sinh trắc học vân tay, camera
- Theo em phòng máy nên dùng phương pháp sinh trắc học vân tay để các thành viên có thểra vào một
cách thuận tiện nhưng vẫn kiểm soát được khi cần thiết .
Nguyên lý hoạt động của giải pháp ứng dụng cơng nghệ tĩnh mạch ngón tay:
Ánh sáng hồng ngoại chiếu xuyên qua ngón tay, hồng huyết cầu hấp thu ánh sáng này, camera chụplại cấu
trúc mạng tĩnh mạch và số hóa nó, lưu lại và so sánh với mã hồ sơ định danh đã lưu trên hệthống để nhận
diện.
Với nguyên lý trên, cơng nghệ này có tính bảo mật và độ chính xác cao nhất trong bảo mật xác thựcdanh
tính hiện nay. Một so sánh cụ thể, phương pháp xác thực định danh qua tĩnh mạch có chỉ sốFAR, False

24



Acceptance Rate: tỷ lệ nhận diện sai cỡ < 0,0001%, FR, False Rejection Rate: tỷ lệ từchối sai cỡ 0.01%
trong khi đó, phương pháp phổ biến hiện nay, nhận diện qua vân tay có chỉ sốFAR cỡ 3~4%.
Cơng nghệ tĩnh mạch ngón tay đạt yêu cầu chống giả mạo, nhờ phương pháp sinh trắc học vơ hìnhdưới
những điều kiện đặc biệt. Nó đảm bảo các mạch máu sống hiện hữu, mà nhờ đó ngăn cản sựgiả mạo. Các
kiểu dạng mạch máu tĩnh mạch rất rõ ràng và đặc trưng, đã giải thích chính xác cho độchính xác cao của
giải pháp. Các nghiên cứu ghi nhận có sự khác biệt rất lớn giữa các mẫu hình vềkiểu loại tĩnh mạch, làm
cơ sở cho sự duy nhất và không trùng lặp của tĩnh mạch. Thêm vào đó kiểudạng tĩnh mạch khơng thay đổi
trong suốt thời gian sống kể từ khi con người trưởng thành
Theo bạn, để có thể kiểm sốt việc sử dụng thiết bị, ứng dụng được cài đặt trong phòng mô phỏng
chúng ta thể dùng phương pháp nào (chữ ký số, xác thực và điều khiểu truy cập bằng mật khẩu (fixed
password, OTP), thẻ từ, camera, sinh trắc học (vân tay hoặc khuôn mặt, con ngơi,…)) và nêu lý do tại
sao đây là giải pháp hợp lý nhất?
Username PW, camera
Để có thể kiểm sốt việc sử dụng tiết bị, ứng dụng được cài đặt trong phịng mơ phỏngchúng ta có thể
dùng phương pháp xác thực và điều khiển truy cập bằng mật khẩu.
- Đây là giải pháp hợp lí nhất vì Điều khiển truy nhập là quá trình mà trong đó người dùng đượcnhận dạng
và trao quyền truy nhập đến các thông tin, các hệ thống và tài nguyên. Điều khiển truycập tạo nên khả
năng cho chúng ta có thể cấp phép hoặc từ chối một chủ thể - một thực thể chủđộng, chẳng hạn như một
người hay một quy trình nào đó - sử dụng một đối tượng - một thực thểthụ động, chẳng hạn như một hệ
thống, một tập tin - nào đó trong hệ thống
Tình huống 4:
Hiện nay các ngân hàng lớn đều cung cấp dịch vụ Internet banking - là dịch vụ mang lại nhiều tiện ích
thiết thực như: thanh toán, gửi tiết kiệm online và mua sắm trực tuyến ở bất kỳ đâu, bất kỳ khi nào mà
không cần tới quầy giao dịch. Tất cả các Internet banking đều được cấu hình cài đặt bảo mật hai lớp.
1. Bạn cho ví dụ một internet banking của ngân hàng mà bạn biết có bảo mật hai lớp
2. Hai lớp bảo mật đó là gì? Hãy mơ tả phương pháp bảo mật được sử dụng trong từng lớp bảo mật đó.

1 internet banking của ngân hàng Techcombank:
Internet Banking Techcombank là dịch vụ ngân hàng điện tử của Techcombank. Khách hàng có thể sử

dụng trên ứng dụng F@st Mobile hoặc trên website F@st iBank, thực hiện các cập nhật về tài khoản và
quản lý thẻ ngân hàng, giao dịch. Với Internet Banking, khách hàng có thể thực hiện các giao dịch và
thanh tốn trực tuyến mà khơng tốn thời gian di chuyển đến phịng giao dịch.
Lợi ích của bảo mật 2 lớp:
Giúp cho dữ liệu của bạn khó bị “bẻ khóa” hơn
Giúp ngăn ngừa hậu quả khi dữ liệu bị rò rĩ
Cảnh báo nguy cơ bị xâm nhập

25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×