Tải bản đầy đủ (.docx) (14 trang)
  1. Trang chủ
    2. >>
  2. Đề thi
    3. >>
  3. Đề thi dành cho sinh viên

Đáp án nội dung kiểm tra An toàn thông tin cuối kỳ IUH

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (276.23 KB, 14 trang )

Cấu trúc & nội dung đề thi cuối kỳ (dành cho giáo
-

Đề thi cuối kỳ đánh giá dựa lên 2 chuẩn đầu ra LO3 & LO4
Thời gian: 60 phút
LO3: Giải thích được các khái niệm cơ bản về An tồn thơng tin, hệ mã hóa
Cho ít nhất 2 câu hỏi liên quan đến các khái niệm ở các chương

-

Chương 5: Mật mã học
Chương 6: Chữ ký điện tử
Chương 7: Chứng thực và điều khiển truy cập
Chương 8: Duy trì an tồn thơng tin
LO4: Mơ tả được cơ chế/giao thức để thiết lập và nâng cao tính an tồn thơng tin
cho một tình huống cụ thể
Cho sinh viên một tình huống mà có thể áp dụng các cơ chế/giao thức để an
tồn thơng tin. u cầu sinh viên đưa ra (mơ tả) cơ chế / giao thức mà có thể thiết
lập để nâng cao tính an tồn cho thơng tin dữ liệu có trong tình huống. Các cơ
chế/giao thức có thể là: chữ ký số, xác thực và điều khiểu truy cập bằng mật khẩu
(fixed password, OTP), thẻ từ, camera, sinh trắc học (vân tay hoặc khuôn mặt, con
ngơi,…)
Câu hỏi ôn tập LO3 (gợi ý dành cho sinh viên)
1. Chữ ký điện tử là gì? Mục tiêu của chữ ký điện tử? Trình bày hiện trạng áp

dụng chữ ký điện tử ở Việt Nam (gợi ý: Định nghĩa chữ ký điện tử: ứng
dụng của mã hóa khóa cơng khai, người dùng có (PU A, PRA); Tạo chữ ký:
SAM=E(M,PRA) – giải thích; Thẩm tra chữ ký D(S AM, PUA) - Yes/No – Giải
thích; Mục tiêu của chữ ký số; Hiện trạng áp dụng chữ ký: 4 lĩnh vực đó là
cơ quan Thuế, Bảo hiểm xã hội, Hải quan và Chứng khoán)
Chữ ký điện tử (electronic signature)




❖ Là dạng chữ ký được tạo lập dưới dạng từ, chữ, số, ký hiệu, âm thanh hoặc các
hình thức khác bằng phương tiện điện tử, gắn liền hoặc kết hợp một cách logic với
thơng điệp dữ liệu.
❖ Có khả năng xác nhận người ký thông điệp dữ liệu và xác nhận sự chấp thuận
của người đó đối với nội dung thông điệp dữ liệu được ký
❖ Là một trong ứng dụng quan trọng nhất của mã hóa khóa cơng khai.
Mục tiêu của chữ ký số:
- Giúp xác minh chủ thể là ai: Tăng khả năng bảo mật, chống giả mạo, cho phép
chủ thẻ xác minh danh tính của mình trên các hệ thống khác nhau như xe bus, thẻ
rút tiền ATM, hộ chiếu điện tử tại các cửa khẩu, kiểm soát hải quan … Dùng để kê
khai, nộp thuế trực tuyến, khai báo hải quan và thông quan trực tuyến mà không
phải mất thời gian in các tờ khai, trình ký đóng dấu đỏ của cơng ty rồi đến cơ quan
thuế xếp hàng và ngồi đợi để nộp tờ khai này sẽ thuận tiện hơn
Hiện trạng áp dụng chữ ký: 4 lĩnh vực đó là cơ quan Thuế, Bảo hiểm xã hội, Hải
quan và Chứng khốn)
Theo “Báo cáo tình hình phát triển và ứng dụng chữ ký số tại Việt Nam năm 2019”
vừa được Bộ Thông tin và Truyền thông công bố, chữ ký số hiện đang được sử
dụng hiệu quả trong các hoạt động của ngành Tài chính như thuế, hải quan, chứng
khốn, kho bạc nhà nước.
❑ Tính đến thời điểm 31/3/2019, doanh nghiệp và các đơn vị trực thuộc, các chi
nhánh sử dụng chữ ký số trong lĩnh vực thuế 703.753 DN (không bao gồm các đơn
vị chi nhánh, trực thuộc) trên tổng số 711.748 DN đang hoạt động, đạt tỷ lệ
98,87%.
2. Đưa ra một hệ thống thông tin hoặc một trang web thực tế ở Việt Nam mà có

sử dụng chữ ký điện tử? Nghiệp vụ nào trong hệ thống đó có sử dụng chữ ký
số? Trình bày các bước cụ thể để người dùng trong hệ thống này thực hiện



nghiệp vụ có sử dụng chữ ký số. (gợi ý: Website của cơ quan Thuế, Wibsite
của cơ quan Hải quan, Website của cơ quan Bảo hiểm xã hội, ....)
Đưa ra một hệ thống thông tin hoặc một trang web thực tế ở Việt Nam mà có sử
dụng chữ ký điện tử
Website của cơ quan Hải quan: />Trình bày các bước cụ thể để người dùng trong hệ thống này thực hiện nghiệp vụ
có sử dụng chữ ký số:
Để đăng ký sử dụng được chữ ký số trên website của Tổng cục hải quan, trước
tiên, người sử dụng cần cài đặt một số cơng cụ hỗ trợ ký số sau:


Cài đặt và kích hoạt USB token



Cài đặt Java Hải quan. Trong trường hợp máy tính đã cài nhiều loại Java,
người dùng cần gỡ bỏ và cài đặt Java Hải quan
Bước 1: Truy cập vào Tổng cục Hải quan theo địa chỉ:
Chọn tab Dịch vụ công, nhấn vào mục Đăng ký Doanh nghiệp sử dụng chữ



ký số.
Bước 2: Nhập các thơng tin vào màn hình Đăng ký Doanh nghiệp sử dụng chữ ký
số


Mã doanh nghiệp: Nhập mã số thuế của doanh nghiệp




Số CMT: Nhập số CMND/CCCD/Hộ chiếu của Người đại diện pháp luật thể
hiện trên Giấy chứng nhận Đăng ký kinh doanh của Doanh nghiệp
Bước 3: Trên màn hình Thơng tin chứng thư số, nhấn Xem Thông tin chứng thư số.
Nhập thông tin:




Ngày hiệu lực đăng ký: Nhập ngày hiện tại hoặc để nguyên ngày mặc định
đang hiện thị trên hệ thống.



Ngày hết hiệu lực đăng ký: Nhập Giống ngày hết hạn của Chữ ký số
Nhấn Đăng ký thông tin.
Bước 4: Khi đó cửa sổ yêu cầu nhập mã PIN của USB Token xuất hiện. Nhập mã
PIN và nhấn Ok để hoàn tất.



Sau đó, tiếp tục nhấn Ok để hồn thành đăng ký chữ ký số với cơ quan Hải
quan khi có thông báo cập nhật thành công.
3. Chứng thư số là gì? Mục tiêu của chứng thư số? Hiện nay Việt Nam đã có

các đơn vị nào có thể cung cập dịch vụ chứng thư số?
Chứng thư số: là một văn bản cung cấp khóa cơng khai
❖ Chứng thư số được cung cấp bởi một tổ chức cung cấp dịch vụ chứng thư số
(certificate authority, hay viết tắt là CA).
❖ Chứng thư số hoạt động nhờ vào nguyên lý bên thứ ba tin cậy (Trusted Third

Party – TTP), bên thứ ba chính là CA.
❖ Thơng thường, 2 bên giao tiếp với nhau không tin nhau, tuy nhiên, nếu họ cùng
tin vào một bên thứ ba (TTP), và bên thứ ba đã xác thực 2 bên này, thì 2 bên này sẽ
tin tưởng lẫn nhau.
Mục tiêu của chứng thư số
Chứng thư số có thể được coi là “chứng minh thư” để sử dụng trong mơi trường
của máy tính vàinternet. Chứng thư số được sử dụng để nhận diện một cá nhân,
một máy chủ, hay là một vài đối tượng khác. Và gắn định danh của đối tượng đó
với một public key (khóa cơng khai). Được cấp bởi những tổ chức có thẩm quyền
xác định nhận danh và cấp chứng thư số.
Hiện nay Việt Nam đã có các đơn vị nào có thể cung cấp dịch vụ chứng thư số?


Hiện nay trên thị trường có gần 20 đơn vị cung cấp chữ ký số điện tử, khiến doanh
nghiệp tuy có nhiều sự lựa chọn đa dạng hơn nhưng lại gặp khó khăn trong việc
đưa ra quyết định mua của đơn vịnào. Có thể kể đến một vài loại chữ ký số được
các doanh nghiệp tin dùng hiện nay như:
1. Chữ ký số điện tử MISA eSign của nhà cung cấp MISA
2. Chữ ký số Viettel – CA của nhà cung cấp Viettel
3. Chữ ký số VNPT – CA của nhà cung cấp VNPT
4. Chữ ký số BKAV – CA của nhà cung cấp BKAV
❑ Nội dung có trong chứng thứ thư số
1. Tên của tổ chức cung cấp dịch vụ chứng thực chữ ký số.
2. Tên của thuê bao.
3. Số hiệu chứng thư số.
4. Thời hạn có hiệu lực của chứng thư số.
5. Khóa cơng khai của th bao.
6. Chữ ký số của tổ chức cung cấp dịch vụ chứng thực chữ ký số.
7. Các hạn chế về mục đích, phạm vi sử dụng của chứng thư số.
8. Các hạn chế về trách nhiệm pháp lý của tổ chức cung cấp dịch vụ chứng thực

chữ ký số.
9. Thuật toán mật mã.
10.Các nội dung cần thiết khác theo quy định của Bộ Thông tin và Truyền thông
4. Chứng thực thực thể là gì? Trình này 2 phương pháp mà bạn biết mà có thể

cài đặt để chứng thực thực thể.
 Chứng thực thực thể là một kỹ thuật được thiết kế cho phép một bên
(party) chứng minh sự nhận dạng (identity) của một bên khác.
2 phương pháp mà bạn biết mà có thể cài đặt để chứng thực thực thể.
 Chứng thực bằng Passwords
 Chứng thực bằng sinh trắc học Biometrics


5. Điều khiển truy cập là gì? Trình bày ít nhất 2 phương pháp mà bạn biết mà

có thể cài đặt điều khiển truy cập một hệ thống thông tin.
Cấp phép hoặc từ chối phê duyệt sử dụng các tài nguyên xác định.
Là cơ chế của hệ thống thông tin cho phép hoặc hạn chế truy cập đến dữ liệu hoặc
các thiết bị.
2 phương pháp mà bạn biết mà có thể cài đặt điều khiển truy cập một hệ thống
thông tin.
Điều khiển truy cập bắt buộc (Mandatory Access Control - MAC)
Điều khiển truy cập tùy ý (DAC)
Mật khẩu (password) là gì? Mật khẩu cố định (fixed password) và mật khẩu dùng
một lần (one time password) khác nhau như thế nào? Trình bày điểm mạnh và
điểm yếu của 2 loại mật khẩu.
Mật khẩu (tiếng Anh: Password) thường là một xâu, chuỗi, loạt các ký tự mà dịch
vụ internet phần mềm hệ thống máy tính yêu cầu người sử dụng nhập vào bằng bàn
phím trước khi có thể tiếp tục sử dụng một số tính năng nhất định.



Trình bày các loại mã OPT, nêu ưu điểm và nhược điểm của từng loại.
 Những loại mã OTP phổ biến hiện nay
 SMS OTP
 TOKEN KEY (TOKEN CARD)


 SMART OTP – SMART TOKEN

Đưa ra một hệ thống mà bạn biết có sử dụng mật khẩu cố định (fixed
password) và mô tả các bước thực hiện để bạn có thể được chứng thực người dùng
trong hệ thống đó. Nêu mục tiêu của việc chứng thực này.
Hệ thống có sử dụng mật khẩu cố định (fixed password)
- Teamviewer
Các bước thực hiện
Bước 1:
Tại giao diện trên Teamviewer, người dùng nhấn chọn vào mục Extras
bên trên rồi chọn tiếp Options
Bước 2:
Chuyển sang giao diện mới nhấn vào mục quản lý Security ở góc bên trái màn
hình. Nhìn sang bên phải phần Personal password (For unattended access),
hãy nhập mật khẩu muốn đặt cho Teamviewer vào. Nhấn OK để lưu lại mật
khẩu là xong.


Ngồi ra trong phần Random password người dùng cũng có thể điều chỉnh độ dài
mật khẩu từ 4 ký tự sang 6, 8, 10 ký tự. Disabled để vô hiệu hóa mật khẩu khi cần
kết nối 2 máy tinh
* Mục tiêu của chứng thực
- Tăng cường an toàn cho hệ xác thực dựa trên mật khẩu

- Xây dựng giao thức an tồn
- Đảm bảo nội dung thơng tin trao đổi giữa các thực thể là chính xác khơng bị
thêm, sửa, xóa hay phát lại (đảm bảo tính tồn vẹn về nội dung)
- Đảm bảo đối tượng tạo ra thông tin (nguồn gốc thông tin) đúng là đối tượng hợp
lệ đã được khai báo (đảm bảo tính tồn vẹn về nguồn gốc thơng tin)
- Đảm bảo an tồn đối với thơng tin xác thực (tên đặng nhập và mật khẩu không
được truyền đi trực tiếp trên mạng)
- Xác thực ai đang giao dịch
- Đảm bảo bảo mật thông tin (không thẩm quyền => khơng đọc được)
- Đảm bảo tính tồn vẹn
- Chống thối thốt
- Sử dụng thay cho bản chính trong các giấy tờ
Việc đặt mật khẩu cố định trên Teamviewer sẽ giúp người dùng truy cập nhanh,
bằng cách nhấn ID và mật khẩu đã đặt. Tuy nhiên cách làm này chỉ khuyến khích
khi bạn kết nối với máy tính thực sự tin cậy, do vấn đề bảo mật dữ liệu máy tính cá
nhân.
6. Đưa ra một hệ thống mà bạn biết có sử dụng mật khẩu dùng một lần (one

time password) và mơ tả tình huống mà bạn có sử dụng mật khẩu để chứng
thực người dùng/giao dịch. Nêu mục tiêu của việc chứng thực này.
Hệ thống ngân hàng điện tử Agribanl


Khi giao dịch chuyển tiền bạn sẽ nhận được mã OTP gửi về sdt bạn đã đăng ký từ
trước
Mục tiêu: bảo mật 2 lớp để xác nhận giao dịch. Sử dụng OTP để xác nhận giao
dịch sẽ giúp nâng cao tính bảo mật của các dịch vụ thanh tốn online và dịch vụ
ngân hàng điện tử. Bên cạnh đó, OTP còn giúp giảm thiểu, ngăn chặn rủi ro
hacker hay lộ thơng tin tài khoản, nhờ đó mà người dùng cảm thấy an tâm hơn rất
nhiều.

Sinh trắc học (biometric) là gì?
 Sinh trắc học (Biometric) là phép đo lường về các đặc tính sinh lý học hoặc
hành vi học mà nhận dạng một con người.
 Sinh trắc học đo lường các đặc tính mà khơng thể đốn, ăn cắp hoặc chia sẻ.
Nêu các lĩnh vực mà có thể áp dụng sinh trắc học?
Lĩnh vực kinh tế, linh vực giao dục, linh vực y tế, linh vực công nghệ - kỹ thuật
Nêu ưu điểm và nhược điểm của việc áp dụng chứng thực bằng sinh trắc học.
 Ưu điểm:
 Biometrics không thể bị mất, đánh cấp, bỏ quên. Nó nhất quán và vĩnh
cửu
 Nó khơng thể được chia sẻ hoặc dùng bởi người khác
 Khơng địi hỏi phải ghi nhớ như mật khẩu, mã Pin
 Biometric luôn luôn sẳn dùng cho cá nhân và duy nhất
 Nhược điểm:
 Chi phí cho thiết bị phần cứng
 Các bộ đọc ln đặc tính của sinh trắc học có những lỗi nhất định
 Từ chối người dùng hợp lệ
 Chấp nhận người dùng không hợp lệ
7. Hệ thống quản lý an tồn thơng tin là gì?

ISMS là từ viết tắt của information security management system. Đây là hệ thống
quản lí an ninh thơng tin, là khái niệm được sử dụng nhiều trong những Doang
Nghiệp công nghệ thơng tin và những đơn vị có ứng dụng hệ thống CNTT vào
quản lí sản xuất


Mục tiêu của hệ thống an tồn tồn thơng tin?
 Hệ thống quản lý ATTT (ISMS): giúp tổ chức thực hiện việc kiểm soát và
định hướng cho các hoạt động đảm bảo ATTT
 Giám sát, quản lý hệ thống thông tin

 Tăng cường mức độ an toàn, bảo mật
 Giảm thiểu rủi ro cho hệ thống thông tin,
 Đáp ứng được mục tiêu của doanh nghiệp, tổ chức.

Tình huống LO4 (gợi ý dành cho sinh viên, đề thi có thể cho tình huống khác
tương tự)
Tình huống 1:
Để phục vụ cho nhu cầu học tập và tra cứu của cán bộ, giảng viên và sinh viên của
trường, nhà trường đã xây dựng một hệ thống thư viện trực tuyến
www.thuviendientu.iuh.edu.vn, hệ thống giúp độc giả (cán bộ, giảng viên và sinh
viên của trường) có thể tìm kiếm các loại sách, báo, tạp chí,… Đối với tài liệu điện
tử thì độc giả có thể đọc trực tuyến hoặc tải về, đối với sách trong thư viện thì độc
giả có thể đăng ký mượn. Độc giả cũng có thể yêu cầu mua các loại tài liệu điện tử
và thanh tốn phí mua trực tuyến. Hệ thống cũng giúp cho các thủ thư có thể quản
lý thông tin mượn và trả sách của độc giả, hệ thống cịn có tính năng thơng báo
nhắc nhở đến hạn trả sách bằng email, tạo báo cáo, thống kê.
Yêu cầu: Với tình huống đã cho, bạn hãy
1. Chỉ ra ít nhất 2 loại thông tin/dữ liệu/chức năng nào cần nâng cao tính an tồn và

nêu lý do tại sao
+ Chức năng thanh tốn trực tuyến cần nâng cao tính an tồn gì? nêu lý do, nếu
mất an tồn thì sao (hậu quả: doanh nghiệp/khách hàng/xã hội..)
+


2. Đưa ra giải pháp nào (chữ ký số, xác thực và điều khiểu truy cập bằng mật khẩu

(fixed password, OTP), thẻ từ, camera, sinh trắc học (vân tay hoặc khn mặt, con
ngơi,…)) để cài đặt nâng cao tính an tồn cho từng loại thơng tin/dữ liệu/chức
năng ở trên và nêu lý do tại sao phương pháp pháp này là hữu hiệu nhất.

Đưa ra giải pháp: nêu tên giải pháp, mô tả sơ lược về giải pháp, mô tả cách cài đặt

-

cấu hình.
+ Chức năng thanh tốn trực tuyến
Giải pháp: bảo mật 2 lớp; lớp 1: user name + PW; Lớp 2: xác thực OPT
Giải thích thêm về user name + PW, OPT
Giải thích: cách cài đặt, cách sử dụng
Nêu lý do tại sao là hữu hiệu nhất:
+ Nêu ưu điểm của giải pháp được chọn
+ Nêu những nhược điểm của các giải pháp khác
+ Dữ liệu:
Tình huống 2:
Để phục vụ nhu cầu học tập và nghiên cứu của cán bộ, giảng viên và sinh viên của
trường (gọi chung là độc giả), nhà trường đã trang bị một phòng đọc sách cho các
độc giả. Phịng này có trang bị máy lạnh, bàn ghế, wifi, và 100 chiếc máy tính để
bàn. Sinh viên có thể tự vào ra phịng đọc sách trong khoảng thời gian thư viện mở
cửa để ngồi đọc sách, học tập nghiên cứu và dùng các máy tính. Các máy tính chỉ
dùng để học tập/nghiên cứu chứ khơng cho phép chơi game.
Yêu cầu:

1. Theo bạn để có thể kiểm soát, chứng thực và theo dõi sự vào ra phòng đọc sách của

các độc giả một cách tự động thì chúng ta có thể dùng phương pháp nào (chữ ký
số, xác thực và điều khiểu truy cập bằng mật khẩu (fixed password, OTP), thẻ từ,
camera, sinh trắc học (vân tay hoặc khn mặt, con ngơi,…)) để kiểm sốt và nêu
lý do tại sao phương pháp này là hữu hiệu nhất?



Thẻ từ + camera
Sinh trắc học vân tay + camera
Mật khẩu (khóa số) + camera
Cài đặt: Cửa ra vào được đóng mở bằng thẻ từ + camera ngay cửa ra vào
Lý do: SV, GV, CBCNV của iuh đều có thẻ SV. GV, CBCNV, có thẻ tử ln thuận
tiện hơn vừa là thẻ để kiểm soát vừa thẻ để mở cử thư viện  ít tốn chi phí
Sinh trắc học  mặc dù an toàn hơn thẻ từ nhưng tốn nhiều chi phí, nêu lý do tại
sao tốn nhiều
Lý do tại sao có camera
2. Theo bạn để có thể chứng thức, kiểm soát và theo dõi việc sử dụng wifi và thiết bị

máy móc ở phịng đọc sách thì chúng ta dùng những phương pháp nào (chữ ký số,
xác thực và điều khiểu truy cập bằng mật khẩu (fixed password, OTP), thẻ từ,
camera, sinh trắc học (vân tay hoặc khuôn mặt, con ngơi,…)) và nêu lý do tại sao
phương pháp này là hữu hiệu nhất?
Username + PW, Camera
Camera dùng làm gì? Gắn ở đâu

Tình huống 3:
Giả sử khoa Kế tốn của trường IUH trang bị một ‘Phịng mơ phỏng và thực hành
quy trình nghiệp vụ Kế tốn – Tài chính – Tín dụng’ (gồm 30 máy tính) dùng để
phục vụ cho việc học tập và nghiên cứu của các thành viên trong câu lạc bộ
Kế_Tài_Ngân_Club. Phòng máy này gồm một máy chủ (server), nhiều máy trạm
(work station) và một máy in (printer) được cài đặt các phần mềm về kế toán, tài
chính & ngân hàng để cho các thành viên trong câu lạc bộ vào sử dụng để nghiên
cứu và học tập. Khoa mong muốn phòng máy được cài đặt và cấu hình làm sao mà
các thành viên có thể ra vào và sử dụng cái tài nguyên một cách thuận tiện nhưng
vẫn có cơ chế theo dõi một cách tự động.



1. Theo bạn, phòng máy nên dùng phương pháp nào (chữ ký số, xác thực và điều

khiểu truy cập bằng mật khẩu (fixed password, OTP), thẻ từ, camera, sinh trắc học
(vân tay hoặc khuôn mặt, con ngơi,…)) mà các thành viên có thể vào ra một cách
thuận tiện nhưng vẫn kiểm sốt được khi cần thiết. Bạn hãy mơ tả giải pháp một
cách chi tiết nhất và nêu lý do tại sao đây là giải pháp hợp lý nhất.
Sinh trắc học vân tay, camera
Thẻ từ, camera
Thiết kế cửa ra vào: kiểm soát bằng Sinh trắc học vân tay, camera
2. Theo bạn, để có thể kiểm sốt việc sử dụng thiết bị, ứng dụng được cài đặt trong

phịng mơ phỏng chúng ta thể dùng phương pháp nào (chữ ký số, xác thực và điều
khiểu truy cập bằng mật khẩu (fixed password, OTP), thẻ từ, camera, sinh trắc học
(vân tay hoặc khuôn mặt, con ngơi,…)) và nêu lý do tại sao đây là giải pháp hợp
lý nhất?
Username PW, camera



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×