Câu 1: Chữ ký điện tử là gì? Mục tiêu của chữ ký điện tử? Trình bày hiện
trạng áp dụng chữ ký điện tử ở Việt Nam (gợi ý: Định nghĩa chữ ký điện
tử: ứng dụng của mã hóa khóa cơng khai, người dùng có (PUA, PRA);
Tạo chữ ký: SAM=E(M,PRA) – giải thích; Thẩm tra chữ ký D(SAM,
PUA) --> Yes/No – Giải thích; Mục tiêu của chữ ký số;Hiện trạng áp
dụng chữ ký: 4 lĩnh vực đó là cơ quan Thuế, Bảo hiểm xã hội, Hải quan
và Chứng khoán)
Chữ ký điện tử là gì?
Chữ ký điện tử được định nghĩa tương đối rộng và trừu tượng. Theo Luật
GDĐT 2005, “chữ ký điện tử” có các đặc tính sau: (i) được tạo lập dưới
dạng từ, chữ, số, ký hiệu, âm thanh hoặc các hình thức khác bằng phương
tiện điện tử; (ii) được gắn liền hoặc kết hợp một cách lôgic với hợp đồng
điện tử (ví dụ, dưới định dạng PDF hoặc Word); và (iii) có khả năng xác
nhận người ký hợp đồng điện tử và xác nhận sự chấp thuận của người đó
đối với nội dung của hợp đồng điện tử được ký.Chữ ký điện tử có giá trị
pháp lý nếu thỏa mãn các điều kiện về khả năng định danh và mức độ tin
cậy, cụ thể là: phương pháp tạo chữ ký điện tử cho phép xác minh được
người ký và chứng tỏ được sự chấp thuận của người ký đối với nội dung
của hợp đồng và phương pháp tạo chữ ký điện tử là đủ tin cậy và phù hợp
với mục đích mà hợp đồng được tạo ra và gửi đi.
Mục tiêu của chữ ký điện tử?
- Giúp xác minh chủ thể là ai: Tăng khả năng bảo mật, chống giả mạo,
cho phép chủ thẻ xác minh danh tính của mình trên các hệ thống khác
nhau như xe bus, thẻ rút tiền ATM, hộ chiếu điện tử tại các cửa khẩu,
kiểm soát hải quan … Dùng để kê khai, nộp thuế trực tuyến, khai báo hải
quan và thông quan trực tuyến mà không phải mất thời gian in các tờ
khai, trình ký đóng dấu đỏ của cơng ty rồi đến cơ quan thuế xếp hàng và
ngồi đợi để nộp tờ khai này sẽ thuận tiện hơn
Một số ứng dụng chữ ký số điện tử điển hình:
- Ứng dụng trong Chính phủ điện tử.+ Ứng dụng của Bộ Tài chính+ Ứng
dụng của Bộ Công thương

+ Ứng dụng của Bộ KHCN, …
- Ứng dụng trong Thương mại điện tử.+ Mua bán, đặt hàng trực tuyến+
Thanh toán trực tuyến, …
- Ứng dụng trong giao dịch trực tuyến.+ Giao dịch qua email
- Hội nghị truyền hình và làm việc từ xa với Mega e-Meeting…
Làm thế nào để tạo ra một chữ ký điện tử?
Chữ ký điện tử yêu cầu phải sử dụng một mã hóa khóa cơng cộng (public
key). Nếu muốn tạo chữ ký điện tử thì cần phải có thêm cả mã hóa khóa
cá nhân (private key). Bạn dùng khóa cá nhân để ký- chỉ là một dạng mã sau đó chỉ cung cấp khóa cơng cộng cho người cần xác nhận chữ ký đó
(chẳng hạn như ngân hàng, nơi bạn vay tiền).


Một số ví dụ có liên quan đến chữ kí điện tử:
- Mặc dù chưa có bất kỳ án lệ nào của tòa án giải quyết cụ thể vấn đề về
hiệu lực của các hợp đồng được ký bằng chữ ký điện tử, đã có các án lệ
và bản án cho thấy các tòa án Việt Nam thiên về cách tiếp cận chú trọng
nội dung (tức là xem xét ý chí thực sự của các bên trong giao dịch) hơn là
hình thức thể hiện sự chấp thuận đối với nội dung đó (tức là xem xét hình
thức hợp đồng và chữ ký).Trong một số án lệ và bản án, Tòa án nhân dân
tối cao đã ra phán quyết rằng, hành vi của các bên trong quá trình giao kết
và thực hiện hợp đồng có giá trị quan trọng để xác định ý chí của các bên
trong hợp đồng và cho dù hợp đồng khơng được ký bởi các bên có liên
quan, hợp đồng đó vẫn khơng bị vơ hiệu.
- Án lệ số 07/2016/AL ngày 17/10/2016 về công nhận hợp đồng mua bán
nhà được xác lập trước ngày 1 tháng 7 năm 1991(tranh chấp giữa Nguyễn
Đình Sơng, Nguyễn Thị Hồng, Nguyễn Thị Hương với Đỗ Trọng Thành,
Đỗ Thị Nguyệt, Vương Chí Tường, Vương Chí Thắng, Vương Bích Vân,
Vương Bích Hợp - Án lệ 07)
Câu 2: Đưa ra một hệ thống thông tin hoặc một trang web thực tế ở Việt
Nam mà có sử dụng chữ ký điện tử? Nghiệp vụ nào trong hệ thống đó có

sử dụng chữ ký số? Trình bày các bước cụ thể để người dùng trong hệ
thống này thực hiện nghiệp vụ có sử dụng chữ ký số. (gợi ý: Website của
cơ quan Thuế, Wibsite của cơ quan Hải quan, Website của cơ quan Bảo
hiểm xã hội, ....)
Đưa ra một hệ thống thông tin hoặc một trang web thực tế ở Việt
Nam mà có sử dụng chữ ký điện tử?
Website về Thuế
Nghiệp vụ nào trong hệ thống đó có sử dụng chữ ký số?
Kê khai, nộp thuế
Trình bày các bước cụ thể để người dùng trong hệ thống này thực
hiện nghiệp vụ có sử dụng chữ ký số. (gợi ý: Website của cơ quan
Thuế, Website của cơ quan Hải quan, Website của cơ quan Bảo hiểm
xã hội, ....)
Bước1: Đăng nhập vào Trang thông tin điện tử của Tổng cục Thuế tại

Bước2: Lập giấy nộp tiền
- Sau khi đăng nhập thành công, doanh nghiệp lập giấy nộp tiền theo các
bước dưới đây:
- Tại mục “Nộp thuế” nhấn chọn “Lập giấy nộp tiền”
- Lựa chọn “Ngân hàng nộp thuế” và nhấn "Tiếp tục"
Bước 3: Khai báo thông tin trên tờ khai
- Trong q trình hồn tất thủ tục nộp thuế điện tử, doanh nghiệp cần khai
báo đầy đủ và chính xác
những nội dung sau trong tờ khai thuế:


+ Thông tin loại tiền: Chọn “VND” nếu đơn vị thuộc diện nộp thuế bằng
đồng Việt Nam, trường
hợp thuộc diện nộp thuế ngoại tệ thì đơn vị chọn đúng loại ngoại tệ mình
sử dụng.

+ Thơng tin ngân hàng: Chọn ngân hàng và số tài khoản để trích tiền.
+ Thơng tin cơ quan quản lý thu: Chính là thơng tin cơ quan thuế quản lý
đơn vị.
+ Thông tin nơi phát sinh khoản thu: Điền địa chỉ nơi phát sinh khoản thu
theo quy định của từng
Cục Thuế hoặc Chi cục thuế địa phương.
+ Thông tin kho bạc nhận tiền.
+ Loại thuế: Chọn tương ứng theo mục đích nộp thuế của đơn vị.
- Tại mục “Nội dung các khoản nộp NSNN” bạn tích chọn vào ô vuông 3
chấm để chọn loại thuế
muốn nộp
- Tại mục Nội dung các khoản nộp danh sách: Nhập mã NDKT
Lưu ý:
+ Căn cứ vào vốn điều lệ ghi trong Giấy Đăng ký kinh doanh. Trường
hợp khơng có vốn điều lệ thì căn cứ vào vốn đầu tư ghi trong giấy chứng
nhận đăng ý đầu tư.
+ Đối với công ty, doanh nghiệp, tổ chức mới thành lập cần nộp Thuế
môn bài: Nếu được cấp đăng ký thuế và mã số thuế, mã số doanh nghiệp
trong thời gian của 6 tháng đầu năm thì nộp mức lệ phí mơn bài cả năm;
Nếu thành lập, được cấp đăng ký thuế và mã số thuế, mã số doanh nghiệp
trong thời gian 6 tháng cuối năm ( từ ngày 1/7 đến 31/12) thì nộp 50%
mức lệ phí mơn bài cho năm đầu tiên.
- Sau khi nhập xong giá trị vào ô Mã “NDKT”, hệ thống sẽ tự sinh các
thông tin tương ứng theo quy định của pháp luật.
- Người dùng khai báo thông tin đầy đủ và chính xác, nhấn “Hồn thành”
để tạo lập xong tờ khai.
Bước 4: Ký số
-Bước cuối cùng để hoàn thành thủ tục nộp thuế điện tử là ký số. Doanh
nghiệp cần kiểm tra lại
thông tin vừa khai báo trong Giấy nộp tiền vào ngân sách nhà nước. Nếu

thông tin đã chính xác,
người dùng cắm chữ ký số của doanh nghiệp và tiếp tục nhấn “Ký và
nộp”.
- Sau đó, nhập mã PIN và nhấn “OK”.
Như vậy, doanh nghiệp đã hoàn thành xong việc nộp tiền một mục thuế,
trường hợp cần nộp nhiều
mục thì đơn vị thực hiện lặp lại từ bước Lập giấy nộp tin


Câu 3: Chứng thư số là gì? Mục tiêu của chứng thư số? Nội dung có
trong chứng thư số là gồm những nội dung gì? Hiện nay Việt Nam đã có
các đơn vị nào có thể cung cập dịch vụ chứng thư số?
Chứng thư số là gì?
Là chứng thực để gắn một chìa khóa cơng khai với một thực thể (cá nhân,
máy chủ, cty,…). Hay nói cách khác, CTS giúp xác định chìa khóa cơng
khai thuộc về thực thể nào.
• Một CTS thường gồm chìa khóa cơng khai và một số thơng tin khác về
thực thể sở hữu chìa khóa đó.
• Chứng thư số thuộc sở hữu của nhà cung cấp chứng thư số, viết tắt CA
(certificate authority)
Mục tiêu của chứng thư số?
Sử dụng nhiều trong các hoạt động giao dịch thương mại điện tử, đặc biệt
trong thanh toán trực tuyến của ngân hàng.
• Chứng thực số sẽ giúp ngân hàng đảm bảo các khách hàng không thể
chối bỏ các giao dịch của mình.
• Chứng thư số hiện cịn được sử dụng như một dạng của chứng minh thư
nhân dân. Tại các nước phát triển, chứng thư số (CA ) được tích hợp vào
các con chíp nhớ nằm trong thẻ tín dụng để tăng khả năng bảo mật, chống
giả mạo, cho phép chủ thẻ xác minh danh tính của mình trên các hệ thống
khác nhau như xe bus, thẻ rút tiền ATM, hộ chiếu điện tử tại các cửa

khẩu, kiểm sốt hải quan …
Nội dung có trong chứng thư số là gồm những nội dung gì?
Những nội dung thơng tin cơ bản theo chuẩn X.509
Version: Chỉ định phiên bản của chứng nhận X.509
Seral Number: Số loạt phát hành được gán bởi CA. Mỗi CA nên gắn một
mã số loạt duy nhất cho mỗi giấy chứng nhận mà nó phát hành.
Sgnature Algorilihm: Thuật toán chữ ký chỉ rõ thuật toán mã hóa được
CA sử dụng để kỷ giấy chứng nhận. Trong chứng nhận X.509 thường là
sự kết hợp giữa thuật toán băm (chẳng hạn như MD5) và thuật tốn khóa
cơng cộng (chẳng hạn như RSA).
Issuer Name: Tên tổ chức CA phát hành chứng thực( Theo chuẩn X.500
thì gọi là Tên phân biệt -X.500 Distinguised Name, X.500 DN). Hai CA
khác nhau không được sử dụng cùng một tên phát hành.
.Validity Period: gồm hai giá trí chỉ định khoảng thời gian mà giấy chứng
nhận có hiệu lực: not-before và not-after


Not-before: thời gian chứng nhận bắt đầu có hiệu lực;
Not-after: thời gian chứng nhận hết hiệu lực;
Các giá trị thời gian này được đo theo chuẩn thời gian Quốc tế, chính xác
đến từng giây.
Subject Name: Tên chủ thể được cấp chứng thực.
Public Key: Chìa khố cơng khai của chủ thể được cấp chứng thực.
Issuer Unique ID&Subject Unique ID: Được đưa vào sử dụng từ X.509
phiên bản 2,dùng để xác định hai tổ chức CA hoặc hai chủ thể khi chúng
có cùng DN. RFC 2459 đề nghị không nên sử dụng hai trường này:
Extensions: Chứa các thông tin bỗ sung cần thiết mà người thao tác CA
muỗn đặt vào chứng nhận. (Mới được đưa ra trong X.509 phiên bản 3).
Signature: chữ ký số được tổ chức CA áp dụng
Tổ chức CA tạo chữ trường thuật tốn chữ ký bằng khóa bí mật với kiểu

thuật toán mã được quy định trong trường toán chữ ký.
Chữ ký bao gồm tất cả các phần khác trong giấy chứng nhận. (Qua đó thể
hiện CA chứng nhận cho tất cả các thông tin khác trong giấy chứng thực,
chứ khơng chỉ cho tên chủ thể và khóa cơng khai).
Hiện nay Việt Nam đã có các đơn vị nào có thể cung cập dịch vụ
chứng thư số?
Hiện nay có 5 nhà cung cấp dịch vụ chứng thực chữ ký số cơng cộng là
VNPT/VDC, Viettel, Bkis, Nacencomm và FPT.
• Các đơn vị này đã đưa ra thị trường đầy đủ các loại chữ ký số phục vụ
kê khai thuế qua mạng, giao dịch ngân hàng, chứng khoán, hải quan điện
tử, ký và mã hóa email, văn bản... đáp ứng cho các đối tượng cá nhân, tổ
chức, doanh nghiệp và các trang web.
• Thủ tục đăng ký tương tự như đăng ký các dịch vụ viễn thông, tuy nhiên
do đặc thù pháp lý của chữ ký số, tương đương với chữ ký tay, nên có thể
phải cần thêm một số giấy tờ xác thực nguồn gốc thông tin của doanh
nghiệp hay người sử dụng cá nhân chặt chẽ hơn (ví dụ bản sao giấy tờ có
cơng chứng của doanh nghiệp...)
Câu 4: Mật khẩu (password) là gì? Mật khẩu cố định (fixed password) và
mật khẩu dùng một lần (one time password) khác nhau như thế nào?
Trình bày điểm mạnh và điểm yếu của 2 loại mật khẩu?
Mật khẩu (password) là gì?
Mật khẩu: một chuỗi ký tự hoặc một nhóm từ được sử dụng để
xác thực thực thể
˗ Thực thể(entity): cần xác thực (người dùng, thiết bị, ứng dụng,..)
˗ Người thẩm định(Verifier): kiểm tra tính hợp lệ của mật khẩu


Mật khẩu cố định (fixed password) và mật khẩu dùng một lần (one
time password) khác nhau như thế nào?
Mật khẩu cố định

Mật khẩu dùng một lần
được dùng lặp đi lặp lại mỗi lần truy được sử dụng chỉ một lần
xuất
Trình bày điểm mạnh và điểm yếu của 2 loại mật khẩu?
- Mật khẩu cố định:
+ Điểm mạnh: khi sử dụng những mật khẩu mạnh có thể tạo một lớp bảo
mật chắc chắn.
+ Điểm yếu: người dùng sử dụng những mật khẩu quá phổ biến, mật khẩu
chứa thông tin cá nhân,… điều này tạo ra lỗ hỏng bảo mật.
- Mật khẩu dùng một lần:
+ Điểm mạnh: khó bị tấn cơng, có tính bảo mật rất cao, nhận được mật
khẩu nhanh chóng, tiện lợi, được yêu cầu lấy mật khẩu nhiều lần, chi phí
thấp. Thẻ thơng minh hay thiết bị tạo mật khẩu cầm tay (token) nhờ vào
kết nối internet với máy chủ của dịch vụ cung cấp OTP hoặc cũng có thể
thông qua thẻ OTP in sẵn thay điện thoại di động mà không cần đến kết
nối internet
+ Điểm yếu: hạn chế thời gian hiệu lực, không thể sử dụng những nơi
khơng có sóng di động đối
với OTP SMS.
Câu 5: Đưa ra một hệ thống mà bạn biết có sử dụng mật khẩu cố định
(fixed password) ? Mô tả các bước thực hiện để bạn có thể được chứng
thực người dùng trong hệ thống đó.?Nêu mục đích của việc chứng thực
này.
Đưa ra một hệ thống mà bạn biết có sử dụng mật khẩu cố định (fixed
password) ?
Teamviewer
Mô tả các bước thực hiện để bạn có thể được chứng thực người dùng
trong hệ thống đó.?
Bước 1:
Tại giao diện trên Teamviewer, người dùng nhấn chọn vào mục Extras

bên trên rồi chọn tiếp Options
Bước 2:
Chuyển sang giao diện mới nhấn vào mục quản lý Security ở góc bên trái
màn hình. Nhìn sang bên phải phần Personal password (For unattended
access), hãy nhập mật khẩu muốn đặt cho Teamviewer vào. Nhấn OK để
lưu lại mật khẩu là xong. Ngoài ra trong phần Random password người
dùng cũng có thể điều chỉnh độ dài mật khẩu từ 4 ký tự sang 6, 8, 10 ký
tự. Disabled để vô hiệu hóa mật khẩu khi cần kết nối 2 máy tính.


Bây giờ, bạn sẽ sử dụng mật khẩu mình vừa tạo để tạo kết nối cho người
khác. Cách này rất tiện nếu bạn thường xuyên nhờ một người, họ sẽ ghi
nhớ ID và mật khẩu cho lần trợ giúp tiếp theo mà không cần hỏi lại mật
khẩu đăng nhập. Tuy nhiên, nếu để kẻ gian phát hiện và lợi dụng, đây sẽ
là mối nguy hiểm lớn cho tài khoản của người dùng. Vì vậy, hãy cân nhắc
thật kỹ trước khi tiến hành sử dụng, bởi mỗi mật khẩu đều có những ưu nhược điểm riêng
Nêu mục đích của việc chứng thực này.
- Tăng cường an toàn cho hệ xác thực dựa trên mật khẩu
- Xây dựng giao thức an toàn
- Đảm bảo nội dung thông tin trao đổi giữa các thực thể là chính xác
khơng bị thêm, sửa, xóa hay phát lại (đảm bảo tính tồn vẹn về nội dung)
- Đảm bảo đối tượng tạo ra thông tin (nguồn gốc thông tin) đúng là đối
tượng hợp lệ đã được khai báo (đảm bảo tính tồn vẹn về nguồn gốc
thơng tin)
- Đảm bảo an tồn đối với thơng tin xác thực (tên đặng nhập và mật khẩu
không được truyền đi trực tiếp trên mạng)
- Xác thực ai đang giao dịch
- Đảm bảo bảo mật thông tin (không thẩm quyền => không đọc được)
- Đảm bảo tính tồn vẹn
- Chống thối thốt

- Sử dụng thay cho bản chính trong các giấy tờ
- Chứng minh người yêu cầu chāng thực đã ký chữ ký đó và là căn cứ để
xác định trách nhiệm của người ký giấy tờ, văn bản
- Chứng minh về thời gian, địa điểm các bên đã ký kết hợp đồng, giao
dịch; năng lực hành vi dân sự, ý chí tự nguyện, chữ ký hoặc dấu điểm chỉ
của các bên tham gia hợp đồng, giao dịch
Câu 6: Trình bày các loại mã OTP? Nêu ưu điểm và nhược điểm của
từng loại?Đưa ra một hệ thống mà bạn biết có sử dụng mật khẩu dùng
một lần (one time password) ?Mô tả tình huống mà bạn có sử dụng mật
khẩu để chứng thực người dùng/giao dịch.?Nêu mục tiêu của việc chứng
thực này
Trình bày các loại mã OTP? Nêu ưu điểm và nhược điểm của từng
loại?
Hiện nay có 3 hình thāc cung cấp mã OTP chủ yếu. Bao gồm:
1) SMS OTP
Đây là hình thāc cung cấp mã OTP phổ biến nhất hiện nay. Mã OTP sẽ
được gửi bằng tin nhắn SMSvề số điện thoại đã đăng ký. Để thực hiện
được giao dịch bạn cần phải nhập mã OTP được gửi về số điện thoại đã
đăng ký. Đa số các ngân hàng tại Việt Nam hiện nay đều có sử dụng mã
OTP theo hình thức này


Hình thức này khơng chỉ được các ngân hàng sử dụng mà cả các công ty
công nghệ lớn trên thế giới như Google, Facebook cũng áp dụng để tạo
lớp bảo mật thứ hai cho tài khoản của bạn. Và lớp bảo vệ này sẽ xuất hiện
khi phát hiện bất kỳ hoạt động không rõ ràng nào từ tài khoản của bạn.
Ưu điểm:
• Thời gian tích hợp dịch SMS OTP nhanh chóng, chỉ từ 30 – 60 phút.
• Hỗ trợ đăng ký nhanh thương hiệu riêng (SMS Brand) cho từng doanh
nghiệp để gửi SMS OTP và chăm sóc khách hàng.

• Hệ thống ổn định trên nền tảng Cloud.
• Hỗ trợ cả HTTP và SMPP và App.
• Hỗ trợ API, code mẫu và tài liệu hướng dẫn tích hợp miễn phí
• Cách sử dụng đơn giản, dễ hiểu, tiện lợi. ( Người dùng có thể copy mã
OTP trực tiếp từ tin nhắn sang mục OTP trong tài khoản để thực hiện giao
dịch.)
• Mức phí dịch vụ thấp.
• Phổ biến trong nhiều hình thức xác minh chủ thể như giao dịch ngân
hàng, tạo tài khoản mạng xã hội, tạo tài khoản email…
• Tốc độ gửi SMS OTP nhanh (từ 5-10s/SMS).
• Ư u điểm lớn nhất chính là khả năng bổ sung thêm lớp bảo mật cho tài
khoản thanh tốn.
Nhược điểm:
- Người dùng khơng thể sử dụng được ở nơi khơng có sóng di động hoặc
di chuyển ra nước ngoài
2) Token Key – Tokey Card
Hiện này thì Token có hai loại: hard token và soft token :
- Hard token: Là một máy cầm tay dạng như USB để bạn mang theo và
sử dụng khi cần.
- Soft token: Là các phần mềm được tích hợp vào máy tính hoặc điện
thoại của người sử dụng để cung cấp mã số khi cần thiết
Token là một thiết bị điện tử mà chÿ tài khoản được cấp khi mở tài khoản
thanh tốn tại Ngân hang, có thể tự động sinh ra mã OTP mà không cần
đến kết nối mạng.
Bạn muốn sử dụng hình thức này sẽ phải trả thêm phí làm máy Token.
Một số ngân hàng áp dụng hình thức bảo mật Token như ACB, HSBC,
Sacombank,…
Mỗi tài khoản cần đăng ký Tokey Key riêng cho mỗi tài khoản, và sau
một thời gian quy định thì ngân hàng sẽ đổi Tokey Key củaa bạn.
Ưu điểm:

- Máy Token là một thiết bị rời có kích thước khá là nhỏ gọn, giúp bạn dễ
dàng mang theo bên người cũng như dễ dàng cho vào chùm chìa khóa cá
nhân.
- Giúp bảo vệ các giao dịch của khách hàng, Tránh bị kẻ gian hack thông
tin cũng như sử dụng những thông tin để thực hiện giao dịch.


- Nếu chẳng may bị lộ mã OTP đã sử dụng thì khách hàng cũng khơng
cần q lo lắng bởi mã đó chỉ có hiệu lực duy nhất một lần.
- Các sử dụng thiết bị Token khá là đơn giản phù hợp cho rất nhiều đối
tượng
Nhược điểm:
- Để sử dụng, bạn bỏ ra chi phí mua máy Token từ 200.000-400.000đ.
- Mã Token thường chỉ có hiệu lực trong 60 giây.
- Bắt buộc phải có máy Token thì bạn mới có thể giao dịch được.
- Đây là một thiết bị rời , nhỏ gọn cho nên luôn luôn mang theo bên mình.
Tuy nhiên cần bảo quản cẩn thận vì nó dễ bị mất
3) Smart OTP – Smart Token
Smart OTP là đang nói đến một ứng dụng tạo mã OTP có thể cài trên điện
thoại/máy tính bảng có hệ điều hành Android hay iOS.
Sau khi đăng kí tài khoản trên āng dụng và kích hoạt thành cơng thì āng
dụng này cũng sẽ hoạt động tương tự như Token.
Smart OTP là phương thức xác thực sử dụng công nghệ tiên tiến, bảo
mật, thuận tiện cho Doanh nghiệp khi sử dụng các tiện ích củaa F@st
EBank. Nó được coi là hình thức kết hợp hoàn hảo giữa SMS OTP và
Token Key. Smart OTP sẽ được gửi về ứng dụng khi xuất hiện yêu cầu
giao dịch.
Tại Việt Nam các ngân hàng: Vietcombank và TPBank đang sử dụng hình
thāc xác thực bằng Smart OTP hoạt động song song SMS OTP.
Để sử dụng Smart OTP người dùng cần phải đăng ký với ngân hàng hoặc

các nhà cung cấp dịch vụ.
Đặc biệt nên nhớ khơng thể có nhiều thiết bị sử dụng chung một ứng
dụng tạo ra mã OTP.
Ưu điểm:
- Ứng dụng cung cấp mã OTP nên khách hàng sẽ chur động lấy khi có
nhu cầu giao dịch điện tử.
- Được sinh ra ngay trên điện thoại của khách hàng và được mã hóa với
hệ thống bảo vệ nhiều lớp phức tạp và khó có thể can thiệp được.
- Thiết bị di động cài đặt Smart OTP cũng không yêu cầu phải kết nối
internet hay kết nối mạng viễn thơng sau khi đã kích hoạt. ( Khách hàng
khơng phải roaming khi đi nước ngoài như nhận OTP qua SMS).
- Là giải pháp có māc độ bảo mật cao nhất hiện nay (so với nhận OTP
qua SMS/email truyền thống).
- Chủ động lấy OTP bằng việc nhập mã PIN 4 số của Smart OTP
- Mã OTP sẽ tự động hiển thị vào ô xác thực giao dịch sau khi điền mã
PIN (để đăng nhập phần mềm Smart OTP) thành công. Vì thế, q khách
tuyệt đối khơng chia sẻ mã PIN đăng nhập Smart OTP cho bất kỳ ai, bao
gồm người "tự xưng" là nhân viên
ngân hàng hay cơ quan chức năng.
Nhược điểm:


- Để sử dụng Smart OTP người dùng cần phải đăng ký với ngân hàng
hoặc các nhà đăng ký dịch vụ. Ngồi ra , khơng thể có nhiều thiết bị sử
dụng chung một ứng dụng tạo mã OTP
Đưa ra một hệ thống mà bạn biết có sử dụng mật khẩu dùng một lần
(one time password) ?
Mơ tả tình huống mà bạn có sử dụng mật khẩu để chứng thực người
dùng/giao dịch.?
Nêu mục tiêu của việc chứng thực này

Nêu ưu điểm và nhược điểm của từng loại?
Câu 7: Sinh trắc học (biometric) là gì?Nêu ưu điểm và nhược điểm của
việc áp dụng chứng thực bằng sinh trắc học? Nêu các lĩnh vực mà có thể
áp dụng sinh trắc học?
Sinh trắc học (biometric) là gì?
là phép đo lường về các đặc tính sinh lý học hoặc hành vi học mà nhận
dạng một con người . Sinh trắc học đo lường các đặc tính mà khơng thể
đốn, ăn cắp hoặc chia sẻ.
Nêu ưu điểm và nhược điểm của việc áp dụng chứng thực bằng sinh
trắc học?
˗ Ưu điểm
 Có thể rất chính xác
 Nhanh: thời gian chứng thực nhỏ hơn 1s
 Sự tác động của người dùng thấp
 Kết hợp nhiều yếu tố: vân tay, võng mạc, giọng nói,…
˗ Nhược điểm
 Giá thành: triển khai hệ thống sinh trắc học đòi hỏi chi phí cho phần
cứng và phần mềm.
 Có thể nhận diện sai: mặc dù đúng người nhưng hệ thống không chấp
nhận
Nêu các lĩnh vực mà có thể áp dụng sinh trắc học?
Ngân hàng, tổ chức tài chính sử dụng sinh trắc giọng nói để xác thực và nhận
diện khách hàng qua điện thoại.
Trong lĩnh vực chăm sóc sức khỏe, xác thực sinh trắc học được sử dụng để
xác định bệnh nhân.
Cơ quan thực thi pháp luật sử dụng các sinh trắc như: vân tay, khuôn mặt,
võng mạc,…, để xác định và theo dõi người vào hoặc quay lại hệ thống tư
pháp hình sự



Câu 8 : Điều khiển truy cập là gì? Trình bày ít nhất 2 phương pháp mà
bạn biết mà có thể cài đặt điều khiển truy cập một hệ thống thơng tin?
Là q trình giới hạn quyền sử dụng của người dùng đã được chứng thực
đối với tài nguyên hệ thống, cũng như hạn chế các tác động của người
dùng đối với tài nguyên hệ thống và đảm bảo người dùng chỉ tác động
được các tài nguyên trong phạm vi được cấp quyền đó
*Điều khiển truy cập bắt buộc
- Việc bảo vệ dữ liệu không được quyết định bởi người dùng thông
thường
- Hệ thống yêu cầu phải bảo vệ dữ liệu
- Ví dụ: Thư mục dùng chung trên máy chủ, người dùng không thể thay
đổi được
*Điều khiển truy cập tùy ý
- Người dùng tự mình tạo quyền truy nhập
- Ví dụ: Chia sẻ máy in cho người khác sử dụng
*Điều khiển truy cập theo người dùng
- Quyền truy cập được định nghĩa theo vai trò của người
dùng:
* Adminstrator
* Power User
* Dial-up User
Câu 9 :Hệ thống quản lý an tồn thơng tin là gì ? Mục tiêu của hệ thống
an tồn thông tin? Các tiêu chuẩn,chứng chỉ ATTT cho doanh nghiệp?
Công ty cần chuẩn bị gì để đạt được một số chứng nhân về ATTT ? Cơng
ty có lợi ích gì khi đạt được một số chứng chỉ , tiêu chuẩn về ATTT
Hệ thống quản lý an tồn thơng tin là gì ?
-Là cơng cụ để các nhà lãnh đạo quản lý thực hiện việc giám sát, quản lý
hệ thống thông tin, tăng cường mức độ an toàn, bảo mật, giảm thiểu rủi ro
cho hệ thống thông tin, đáp ứng được mục tiêu của doanh nghiệp, tổ
chức.

˗ Là một hệ thống đưa ra các phương pháp đánh giá việc theo dõi; bảo vệ
và quản lý hệ thống thông tin, dữ liệu. Việc mất thông tin trong bất cứ
trường hợp nào; dù ít hay nhiều cũng gây ra thiệt hại cho tổ chức.Thậm
chí có thể khiến tổ chức sụp đổ.
Mục tiêu của hệ thống an tồn thơng tin?
Các tiêu chuẩn,chứng chỉ ATTT cho doanh nghiệp?
Tiêu chuẩn ISO/IEC 27001:2013 hay Tiêu chuẩn Công nghệ thơng tin
-Các kĩ thuật an tồn - Hệ thống quản lí an tồn thơng tin - Các u
cầu có tên tiếng Anh là: ISO/IEC 27001:2013 Information technology —
Security techniques — Information security management systems —
Requirements.


˗ Tiêu chuẩn SO/IEC 27001:2013 là tiêu chuẩn qui định các yêu cầu đối
với hoạt động thiết lập triển khai, duy trì và cải tiến liên tục hệ thống
quản lí an tồn thơng tin trong bối cảnh của một tổ chức.
˗ Tiêu chuẩn này cũng bao gồm các yêu cầu cho việc đánh giá và xử lí
những rủi ro an tồn thơng tin phù hợp với u cầu của tổ chức. Các yêu
cầu đặt ra trong tiêu chuẩn này mang tính chất tổng quan và nhằm áp
dụng cho tất cả các tổ chức với bất kể loại hình, qui mơ hay bản chất.
Cơng ty cần chuẩn bị gì để đạt được một số chứng nhận về ATTT ?
Quy trình triển khai tiêu chuẩn ISO 27001
˗ ISO-CERT là một trong những đơn vị chuyên tư vấn. Triển khai Hệ
thống ISMS cho các công ty, doanh nghiệp, tổ chức. Chúng tôi đề xuất
các tổ chức xây dựng ISMS theo các bước dưới đây để đáp ứng các yêu
cầu của tiêu chuẩn ISO 27001:
 Bước 1: Khảo sát và lập kế hoạch.
 Bước 2: Xác định phương pháp quản lý rủi ro an tồn thơng tin.
 Bước 3: Xây dựng hệ thống đảm bảo an tồn thơng tin tại đơn vị.
 Bước 4: Triển khai áp dụng: các biện pháp đã lựa chọn, đáp ứng chính

sách, quy định, quy trình xây dựng và yêu cầu của tiêu chuẩn ISO 27001.
 Bước 5: Đánh giá nội bộ: khắc phục các điểm không phù hợp với yêu
cầu của tiêu chuẩn.
˗ Sau khi thực hiện xong bước 5. Cơng ty/doanh nghiệp/tổ chức có thể
mời
Áp dụng ISMS theo ISO 27001 tại doanh nghiệp
Bước 1, khảo sát hiện trạng của tổ chức nhằm nắm bắt được thực trạng
quản lý ATTT tại tổ chức đó cũng như yêu cầu, mong muốn của Lãnh đạo
cho việc quản lý ATTT.
Bước 2, lập kế hoạch xây dựng ISMS: Trên cơ sở kết quả khảo sát hiện
trạng của tổ chức sẽ đề xuất kế hoạch để xây dựng ISMS cho phù hợp
với thực tế của tổ chức.
˗ Bước 3, xây dựng hệ thống tài liệu và triển khai áp dụng: Xây dựng các
chính sách, quy định, quy trình về ATTT và ban hành các văn bản này.
Sau khi ban hành, sẽ thực hiện áp dụng các yêu cầu, điều khoản của
chính sách, quy định vào hệ thống CNTT với phạm vi đã được đưa ra
trong văn bản ban hành.
˗ Bước 4, thực hiện đánh giá nội bộ trong tổ chức: Đánh giá nội bộ giúp
phát hiện các điểm không phù hợp với yêu cầu của tiêu chuẩn, chính
sách, quy định. Từ đó, các tổ chức đưa ra kế hoạch khắc phục các điểm
không phù hợp này. Đồng thời, giai đoạn này cũng chuẩn bị cho việc
đánh giá độc lập của một tổ chức đánh giá cấp chứng nhận chuyên
nghiệp.
˗ Bước 5, đánh giá chứng nhận: Tổ chức đánh giá độc lập sẽ thực hiện
đánh giá hệ thống ISO 27001 của đơn vị và kết luận đơn vị này có đáp
ứng đầy đủ các yêu cầu bắt buộc của tiêu chuẩn đưa ra hay không và sẽ


tiến hành cấp Chứng nhận Hệ thống quản lý ATTT nếu đơn vị này đáp
ứng điều kiện.

Cơng ty có lợi ích gì khi đạt được một số chứng chỉ , tiêu chuẩn về
ATTT
˗ Lợi ích khi tổ chức, doanh nghiệp được chứng nhận chứng chỉ ISO
27001
1. Lưu trữ, khai thác thơng tin một cách hiệu quả và chính xác:
2. Tăng cường khả năng quản lý cho doanh nghiệp
3. Giảm chi phí, tăng lợi nhuận
4. Liên tục cải tiến
Lợi ích cho khách hàng của bạn:
˗ Nhận được sự tin tưởng của khách hàng của bạn trong toàn bộ chuỗi
cung ứng của bạn.
˗ Giảm thiểu khả năng vi phạm gây tốn chi phí
˗ Giảm chi phí cho các nhà cung cấp mới.
˗ Được bảo mật thông tin một cách tối ưu nhất
Lợi ích cho tổ chức của bạn:
˗ Bảo vệ IP, thương hiệu và uy tín của bạn.
˗ Kiếm được nhiều doanh nghiệp hơn từ khách hang mới và khách hang
hiện tại.
˗ Giảm chi phí bán hang
˗ Giúp các mối quan hệ bền chặt hơn với nhiều doanh nghiệp cũ
˗ Cải tiến quy trình dẫn đến tiết kiệm chi phí và thời gian
˗ Tránh phạt tiền từ việc không tuân thủ quy định (như GDPR)
˗ Tránh các sự kiện dân sự do vi phạm dữ liệu
˗ Tránh chi phí cho hành động khắc phục hậu quả do sự cố và / hoặc vi
phạm
˗ Thu hút nhân viên tốt hơn
Lợi ích cho nhân viên của bạn:
˗ Tin tưởng vào sự bền vững của tổ chức.
˗ Đào tạo cho công việc (và an ninh gia đình)
˗ Rõ rang thơng qua các chính sách và thủ tục.

˗ Tự hào về tổ chức và vai trò của họ trong việc bảo vệ nó
TÌNH HUỐNG
Tình huống 1:
Để phục vụ cho nhu cầu học tập và tra cứu của cán bộ, giảng viên và sinh
viên của trường, nhà trường đã xây dựng một hệ thống thư viện trực
tuyến www.thuviendientu.iuh.edu.vn, hệ thống giúp độc giả (cán bộ,
giảng viên và sinh viên của trường) có thể tìm kiếm các loại sách, báo,
tạp chí,…Đối với tài liệu điện tử thì độc giả có thể đọc trực tuyến hoặc tải
về, đối với sách trong thư viện thì độc giả có thể đăng ký mượn. Độc giả
cũng có thể yêu cầu mua các loại tài liệu điện tử và thanh tốn phí mua


trực tuyến. Hệ thống cũng giúp cho các thủ thư có thể quản lý thơng tin
mượn và trả sách của độc giả, hệ thống cịn có tính năng thơng báo nhắc
nhở đến hạn trả sách bằng email, tạo báo cáo, thống kê.
Yêu cầu: Với tình huống đã cho, bạn hãy
1. Chỉ ra ít nhất 2 loại thơng tin/dữ liệu/chức năng nào cần nâng cao tính
an tồn và nêu lý do tại sao?
Nhóm 1: thơng tin cá nhân của độc giả
Giải pháp: xác thực và điều khiển truy cập bằng username + password
Mơ tả phương pháp
Mỗi độc giả có 1 tài khoản người dùng để xuất vào hệ thống và chỉ truy
xuất được những thông tin riêng tư của bản thân hoặc được gán quyền
truy xuất. Trước lúc thực hiện các công việc mượn sách, trả sách sẽ phải
tiến hành một thủ tục đó là đăng ký tài khoản người dùng. Tại bước đăng
ký đó, độc giả, thủ thư sẽ nhập tất cả các thơng tin cá nhân của mình như
họ và tên, ngày sinh, chứng minh thư, địa chỉ, số điện thoại,...sau đó hệ
thống sẽ tạo mật khẩu cho người dùng bằng cách để người dùng tùy ý
chọn một tên username tùy theo mỗi người và một mật khẩu (thường sẽ là
mật khẩu mạnh với độ dài trên 8 kí tự bao gồm chữ thường, chữ in hoa,

số, ký tự đặc biệt,...) và mật khẩu sẽ được nhập lại 2 lần để đảm bảo chắc
chắn, Sau khi điền và hoàn thành tất cả các bước nhập dữ liệu đó là bạn
đã thành công trong việc cài đặt username + password cho tài khoản
người dùng của mình. Lúc này hệ thống sẽ lấy password đưa qua hàm
băm tạo ra một mã băm, sau đó user name cùng với mã băm vừa tạo sẽ
được lưu trữ trong một file. Khi người dùng nhập user name/ID và
password, hệ thống sẽ lấy user name/id vừa nhập kiểm tra với trong cơ sở
dữ liệu có hay khơng, nếu có hệ thống bắt đầu tính tốn giá trị băm của
mật khẩu được nhập và so sánh với giá trị băm đã được lưu trong tập tin.
Nếu trùng khớp, thì người dùng được gán quyền truy cập vào hệ thống,
ngược lại, quyền truy cập sẽ bị từ chối.
Lý do lựa chọn
Phương pháp này là phương pháp đơn giản, ít tốn chi phí và hữu hiệu
nhất để xác thực người dùng và gán quyền truy xuất dữ liệu. Chỉ có chủ
nhân mới có thể truy xuất (đọc/thêm/xóa/sửa) được thơng tin cá nhân của
độc giả. Bất kỳ người ngồi nào cũng không thể truy cập vào tài khoản để
xem và đánh cắp thông tin. Việc băm mật khẩu giúp cho trường hợp
thông tin chứa mật khẩu bị đánh cắp hoặc có người khơng hợp pháp tiếp
cận thì cũng khó có thể đốn được mật khẩu ban đầu, việc khơi phục lại
mật khẩu gốc từ bảng băm cũng rất khó khăn và tốn nhiều chi phí đảm
bảo tính bảo mật và tồn vẹn của thơng tin. Khơng sử dụng hình thức sinh
trắc học bởi vì chi phí khá đắt, tốn nhiều thời gian cho việc lấy khuôn
mẫu của tất cả sinh viên, cán bộ, giảng viên trong trường. Trong trường
hợp tay bị ướt, quá lạnh, bị mòn hay bị thương thì sẽ khó xác định được
dấu vân tay.


Nhóm 2: chức năng thanh tốn phí mua trực tuyến
Giải pháp: bảo mật bằng hai lớp; lớp thứ nhất là user name + password,
lớp thứ hai là xác thực bằng OTP

Mô tả phương pháp
Đối với lớp thứ nhất username + password.
User name là tên người sử dụng và password là (mật khẩu) thường là một
xâu, chuỗi, loạt các ký tự mà dịch vụ internet phần mềm hệ thống máy
tính yêu cầu người sử dụng nhập vào bằng bàn phím trước khi có thể tiếp
tục sử dụng một số tính năng nhất định.mật khẩu để đăng nhập vào
website. Đối với mật khẩu này là dạng cố định được dùng lặp đi lặp lại
mỗi lần truy xuất, xây dựng theo hướng đó là Salting the password để
đảm bảo độ an toàn cao nhất. Khi đăng ký tài khoản, hệ thống sẽ yêu cầu
người dùng cung cấp một user name và một password, sau đó hệ thống
tiếp tục tạo ra cho người dùng một chuỗi ngẫu nhiên gọi là Salt. Lúc này
hệ thống sẽ lấy password cùng với Salt đưa vào hàm băm tạo ra một mã
băm. Hệ thống sẽ lưu trữ thông tin chứa tài khoản vào tập tin bao gồm:
user name, salt, giá trị băm. Khi người dùng nhập user name/ID và
password, hệ thống sẽ lấy user name/id vừa nhập kiểm tra với trong cơ sở
dữ liệu có hay khơng, nếu có hệ thống sẽ trích chuỗi salt, ghép nó với
password nhận được, thực hiện băm, so sánh kết quả với giá trị đã lưu trữ.
Nếu trùng khớp, thì người dùng được gán quyền truy cập vào website,
ngược lại, quyền truy cập sẽ bị từ chối.
Đối với lớp thứ hai là xác thực bằng mã OTP
OTP là từ viết tắt của One Time Password, có nghĩa là mật khẩu chỉ dùng
một lần. Thậm chí khi người dùng chưa sử dụng thì sau khoảng 30 giây
đến 2 phút, mã xác nhận này cũng khơng thể hiệu lực. Và người dùng
cũng khơng cịn sử dụng nó cho bất kì giao dịch nào khác. OTP giúp chặn
đứng, giảm thiểu những không may bị tiến công khi mật khẩu bị lộ hoặc
hacker xâm nhập.Khi người dùng tiến hành đăng nhập trên website bằng
user và password đã đăng ký. Sau khi đăng nhập thành công, người dùng
lựa chọn về hình thức thanh tốn, lúc này website sẽ yêu cầu về việc xác
nhận lại thông tin như tên, địa chỉ, số tiền, hình thức chuyển, ... người
dùng chỉ cần bấm xác nhận và nhấn thực hiện giao dịch. Ngay sau đó hệ

thống website sẽ tự động gửi một dãy số về chính điện thoại đã đăng ký
của người dùng qua sms. Lúc này người dùng sẽ nhận được mã OTP và
chỉ cần nhập mã này xác nhận cho việc thực hiện giao dịch hồn tất mà
thơi.
Lý do lựa chọn
Dùng lớp thứ 1 là username + password để xác nhận chủ nhân của tài
khoản đó, vì chỉ có những người đăng ký mới có được username và
password, người ngồi khơng thể tùy ý truy cập vào được. Hình thức này
khá là đơn giản và nhanh chóng, thơng dụng đối với tất cả người dùng.
Việc dùng salt làm cho các kỹ thuật tấn cơng mật khẩu trở nên khó khăn


hơn (trong đó hạn chế rất nhiều việc tấn cơng từ điển). Ví dụ: nếu mật
khẩu gốc có 6 ký số và salt có 4 ký số, thì việc băm sẽ được thực hiện
trên giá trị có 10 ký số. Điều này làm cho kẻ tấn công phải xử lý, dị tìm
trên bộ dữ liệu gồm 10 số, dẫn đến tốn kém về thời gian và chi phí. Việc
thực hiện salt rất hiệu quả nếu chuỗi salt là một số ngẫu nhiên dài.
Dùng lớp thứ hai là xác thực mã OTP như một mật khẩu thứ 2 được gửi
về tin nhắn trong điện thoại của người dùng để xác thực chắc chắn một
lần nữa đó là chủ nhân tài khoản vì mã OTP thì chỉ gửi đến số điện thoại
đã đăng ký của chính người dùng đó. Nếu khơng mau người dùng bị kẻ
gian đánh cắp tài khoản, mật khẩu thì kẻ gian đó vẫn khơng thể sử dụng
các thơng tin này để thanh toán được. Một khi tài khoản xác nhận giao
dịch thì mã OTP sẽ được gửi đến SMS trong điện thoại, nếu người dùng
không thực hiện giao dịch đó thì họ sẽ biết được có kẻ đã tấn cơng thực
hiện chức năng thanh tốn, lúc này người dùng sẽ kịp thời có biện pháp
để giải quyết hạn chế rủi ro mất tiền,..
2. Đưa ra giải pháp nào (chữ ký số, xác thực và điều khiểu truy cập bằng
mật khẩu (fixed password, OTP), thẻ từ, camera, sinh trắc học (vân tay
hoặc khuôn mặt, con ngơi,…)) để cài đặt nâng cao tính an tồn cho từng

loại thơng tin/dữ liệu/chức năng ở trên và nêu lý do tại sao phương pháp
pháp này là hữu hiệu nhất
3.Đưa ra giải pháp : nêu tên giải pháp, mô tả sơ lược về giả pháp, mơ tả
cách cài đặt cấu hình
Tình huống 2:
Để phục vụ nhu cầu học tập và nghiên cứu của cán bộ, giảng viên và sinh
viên của trường (gọi chung là độc giả), nhà trường đã trang bị một phòng
đọc sách cho các độc giả. Phịng này có trang bị máy lạnh, bàn ghế, wifi,
và 100 chiếc máy tính để bàn. Sinh viên có thể tự vào ra phịng đọc sách
trong khoảng thời gian thư viện mở để ngồi đọc sách, học tập nghiên cứu
và dùng các máy tính. Các máy tính chỉ dùng để học tập/nghiên cứu chứ
khơng cho phép chơi game.
u cầu:
1. Theo bạn để có thể kiểm sốt, chứng thực và theo dõi sự vào ra
phòng đọc sách của các độc giả một cách tự động thì chúng ta có thể
dùng phương pháp nào (chữ ký số, xác thực và điều khiển truy cập bằng
mật khẩu (fixed password, OTP), thẻ từ, camera, sinh trắc học (vân tay
hoặc khuôn mặt,con ngơi,…)) để kiểm soát và nêu lý do tại sao phương
pháp này là hữu hiệu để thiết lập và nâng cao tính an tồn thơng tin
2.Theo bạn để có thể chứng thức, kiểm soát và theo dõi việc sử dụng
wifi và thiết bị máy móc ở phịng đọc sách thì chúng ta dùng những
phương pháp nào (chữ ký số, xác thực và điều khiển truy cập bằng mật
khẩu (fixed password, OTP), thẻ từ, camera, sinh trắc học (vân tay hoặc


khuôn mặt, con ngơi,…)) và nêu lý do tại sao phương pháp này là hữu
hiệu để thiết lập và nâng cao tính an tồn thơng tin