Nội dung 1: LO1- Nhận dạng được các mối đe dọa ảnh hưởng đến ATTT của một tổ

chức / cá nhân
Đưa ra một tình huống mang tính thực tiễn của một hệ thống thông tin. Yêu cầu sinh viên chỉ
ra các mối đe dọa, nêu ra được lý do, phân tích hậu quả và đưa ra các giải pháp khắc phục.
Ví dụ:

Tình huống 1:
Bạn A là một nhân viên thu ngân phí bảo hiểm của công ty bảo hiểm ANZ. Bạn A được cấp
một máy tính của công ty có kết nối Internet và phần mềm để thực hiện công việc hàng ngày
của mình. Do ít khách hàng nên bạn A cũng khá nhàn rỗi và hay dùng máy tính làm việc lên
Internet để tải game, nhạc, phim về để giải trí. Các trang web bạn A vào hầu như là các
trang web không an toàn. Bạn hãy:
(1) Chỉ ra 3 mối đe dọa mà bạn A có thể gặp phải trong tình huống trên;
(2) Nêu ra được lý do tại sao có những mối đe dọa đó
(3) Phân tích hậu quả nếu các mối đe dọa đó thật sự xảy ra
(4) Nêu một vài giải pháp khắc phục

Bài làm:

1. 3 mối đe dọa mà bạn A có thể gặp phải trong tình huống trên
- Adware
- Virus máy tính
- Mã độc hại Trojan Horse
2. Lý do xảy ra những mối đe dọa đó:
- Adware là mã chương trình nhúng vào phần mềm mà người dùng không nhận thức được
rằng nó sẽ hiển thị quảng cáo. Thông thường, adware được nhúng vào phần mềm được phát tán
miễn phí.
- Hành động vô ý từ nhân viên, không biết đã truy cập các trang web không an toàn. Hành động
này là mối đe dọa nội bộ hệ thống
- Virus là loại chương trình máy tính có thể tạo ra các nhân bản của nó,
- Trojan Horse là loại chương trình thực hiện các hành động độc hại, nhưng không có khả năng
nhân bản. Nó có thể xâm nhập vào máy tính dưới dạng một tập tin vô hại hoặc ứng dụng có ẩn đoạn mã
độc hại.
3. Hậu quả:
- Đánh cắp thông tin, gây mất dữ liệu
- Gây thiệt hại cho thiết bị, hiển thị những thông điệp và các hình ảnh không mong đợi hay thậm
chí là có thể phá hủy các tập tin, định dạng lại (format) ổ cứng của bạn gây mất dữ liệu. Chiếm không gian
lưu trữ và bộ nhớ khiến thiết bị của bạn (đặc biệt là máy tính hoặc smartphone dùng Android) của bạn trở
nên chậm chạp
- Người dùng sẽ bị mất thông tin được lưu trên máy tính.
4. Giải pháp khắc phục:
- Cẩn trọng khi mở email, tải file: Tuyệt đối không mở file lạ, và luôn kiểm tra địa chỉ email
người gửi xem có chính xác không.
- Chỉ cài đặt các phần mềm tin cậy và đảm bảo đã bật tường lửa (firewall) trên thiết bị (firewall có
thể ngăn chặn các cuộc tấn công backdoor, hạn chế lưu lượng truyền qua các cổng mở)
- Cần tránh nhấp vào bài đăng, tải lên tệp đính kèm hoặc cài đặt ứng dụng từ các nguồn không xác
định. Các cuộc tấn công man-in-the-middle (MitM) cũng có thể được hỗ trợ bởi các email lừa đảo và phần
mềm độc hại. Tránh nhấp vào liên kết trong email và suy nghĩ kỹ trước khi cài đặt tệp đính kèm, đặc biệt
nếu email trông kỳ lạ và tiêu đề thư chưa được kiểm tra.
- Để ngăn chặn các cuộc tấn công giả mạo, hãy sử dụng phần mềm chống giả mạo ARP và luôn
lướt qua một liên kết ổn định, đáng tin cậy
- Giữ cho các ứng dụng và chương trình luôn cập nhật các bản vá mới để tránh các lỗi bảo mật có
thể cho phép mã độc hại xâm nhập vào từng ổ đĩa.

Tình huống 2:
Bạn là trưởng phòng kinh doanh của một công ty lớn. Bạn thường xuyên phân công công
việc, theo dõi công việc các nhân viên thuộc cấp dưới của mình qua hệ thống website của
doanh nghiệp. Đồng thời thường xuyên giao dịch hợp đồng với khách hàng qua email, cũng
như báo cáo kết quả công việc cho sếp. Đợt vừa rồi bạn có một chuyến công tác 1 tuần ở các
một số tỉnh. Thật là không may mắn, máy laptop làm việc của bạn bị hư đột xuất và không
có nơi nào sữa chữa liền được. Để giải quyết các công việc hàng ngày, bạn phải dùng máy
tính công cộng tại các khách sạn mà bạn lưu trú tại nơi công tác.
Bạn hãy:
(1) Chỉ ra 3 mối đe dọa mà bạn có thể gặp phải trong tình huống trên;
(2) Nêu ra được lý do tại sao có những mối đe dọa đó
(3) Phân tích hậu quả nếu các mối đe dọa đó thật sự xảy ra
(4) Nêu một vài giải pháp khắc phục

Bài làm:
(1) Chỉ ra 3 mối đe dọa mà bạn có thể gặp phải trong tình huống trên;
-
-
-

(2) Nêu ra được lý do tại sao có những mối đe dọa đó

-
-
-
(3) Phân tích hậu quả nếu các mối đe dọa đó thật sự xảy ra
-
-
-
(4) Nêu một vài giải pháp khắc phục
-
-
-
 Nội dung 2: LO2- Giải thích một số vấn đề pháp lý liên quan đến an toàn HTTT
Đưa ra một tình huống mang tính thực tiễn liên quan đến việc vi phạm an toàn hệ thống
thông tin. Yêu cầu sinh viên chỉ ra điểm vi phạm cụ thể điều khoản nào của luật nào, gợi ý
để tránh vi phạm, nêu tình hình chung của tình huống vi phạm này. Ví dụ:
Tình huống 1:
Để kiếm thêm thu nhập, bạn A đã tự tạo ra một website thương mại điện tử để bán thêm các
quần áo, đồ dùng cá nhân, mỹ phẩm, thực phẩm chức năng, v.v. được chị của bạn A xách tay
từ Nhật. Bạn A không đăng ký giấy phép kinh doanh cũng như đăng ký website với cơ quan
có thẩm quyền. Ngoài ra, các hình ảnh quảng cáo các sản phẩm, bạn A vào các trang web
khác lấy về và đăng tải lên trang thương mại điện tử của mình.
(1) Dựa vào các bộ luật bạn đã học, hãy chỉ ra bạn A đã vi phạm khoản nào của điều
khoản nào trong bộ luật nào? Trình bày nội dung điều khoản luật đó
(2) Nếu bạn là bạn A thì bạn sẽ phải làm gì để không vi phạm các điều khoản luật mà vẫn
đạt được mục tiêu đặt ra.
(3) Bạn hãy cho nhận xét về tình hình chung về việc vi phạm tương tự A ở Việt Nam, đề
xuất một số giải pháp để giảm các hành vi vi phạm này.
Bài làm:

(1) Dựa vào các bộ luật bạn đã học, hãy chỉ ra bạn A đã vi phạm khoản nào của điều
khoản nào trong bộ luật nào? Trình bày nội dung điều khoản luật đó
- Dựa vào các bộ luật đã học, bạn A đã vi phạm khoản 2 điều 9 trong bộ luật CNTT và điều 21,
khoản 4, mục c
Điều 9. Trách nhiệm của tổ chức, cá nhân tham gia hoạt động ứng dụng và phát triển công nghệ
thông tin
2. Tổ chức, cá nhân khi hoạt động kinh doanh trên môi trường mạng phải thông báocông khai trên môi
trường mạng những thông tin có liên quan, bao gồm:
a. Tên, địa chỉ địa lý, số điện thoại, địa chỉ thư điện tử;
b. Thông tin về quyết định thành lập, giấy phép hoạt động hoặc giấy chứng nhận đăng ký kinh doanh (nếu
có);
c. Tên cơ quan quản lý nhà cung cấp (nếu có);
d. Thông tin về giá, thuế, chi phí vận chuyển (nếu có) của hàng hóa, dịch vụ.
Điều 21. Thu thập, xử lý và sử dụng thông tin cá nhân trên môi trường mạng
1. Tổchức, cá nhân thu thập, xửlý và sửdụng thông tin cá nhân của người khác trên môi trường mạng phải được
người đó đồng ý, trừtrường hợp pháp luật có quy định khác
(2) Nếu bạn là bạn A thì bạn sẽ phải làm gì để không vi phạm các điều khoản luật mà vẫn
đạt được mục tiêu đặt ra.
- Nếu tôi là A, tôi sẽ đăng ký giấy phép kinh doanh, website với cơ quan có thẩm quyền. Khi
lấy hình ảnh quảng cáo các sản phẩm từ các trang web khác để tải lên trang thương mại điện
tử của mình thì phải xin phép tổ chức của web đó và trích dẫn nguồn hình ảnh từ trang web
đó.

(3) Bạn hãy cho nhận xét về tình hình chung về việc vi phạm tương tự A ở Việt Nam, đề
xuất một số giải pháp để giảm các hành vi vi phạm này.
 Tình huống 2:
Hơn 14.000 điện thoại ở Việt Nam đã bị một công ty tư nhân nghe lén. Các điện thoại này bị
theo dõi tin nhắn, danh bạ, ghi âm cuộc gọi, định vị điện thoại, quay phim, chụp ảnh...
Nghiêm trọng hơn, toàn bộ dữ liệu được gửi về máy chủ của công ty này. Kết quả thanh tra
đã khiến người sử dụng điện thoại ở Việt Nam cảm thấy lo lắng.
Đoàn thanh tra liên ngành gồm thanh tra Sở Thông tin và Truyền thông Hà Nội, phòng Cảnh
sát phòng chống tội phạm sử dụng công nghệ cao - PC50 của Công an Hà Nội đã thanh tra
tại công ty TNHH công nghệ Việt Hồng ở quận Thanh Xuân, Hà Nội và phát hiện công ty
này kinh doanh phần mềm Ptracker.
Đây là phần mềm giúp người dùng có thể xem tin nhắn, danh bạ, ghi âm cuộc gọi, định vị
điện thoại, quay phim, chụp ảnh, bật - tắt 3G/GPRS của điện thoại bị giám sát. Thậm chí
người sử dụng còn có thể ra lệnh điều khiển từ xa điện thoại bị cài Ptracker bằng cách nhắn
tin tới điện thoại này.
(1) Dựa vào các bộ luật bạn đã học, hãy chỉ ra công ty trên đã vi phạm khoản nào của
điều khoản nào trong bộ luật nào? Trình bày nội dung điều khoản luật đó.
(2) Hãy bạn hiểu như thế nào về điều khoản luật này? Nếu bạn là chủ doanh nghiệp thì
bạn sẽ giải quyết định gì về phần mềm này.
(3) Bạn hãy tìm hiểu và trình bày hiện nay có những phần mềm/trang mạng xã hội nào
mà thông tin cá nhân người dùng có thể bị sử dụng bất hợp pháp?
Bài làm:

(1) Dựa vào các bộ luật bạn đã học, hãy chỉ ra công ty trên đã vi phạm khoản nào của
điều khoản nào trong bộ luật nào? Trình bày nội dung điều khoản luật đó.
- Việc Công ty Việt Hồng lập trình, cài đặt và phát tán phần mềm Ptracker để thực hiện thu thập
thông tin riêng của người sử dụng điện thoại và lưu giữ tại máy chủ đã vi phạm khoản 2 điều 71 - luật
Công nghệ thông tin. Việc ngăn chặn khả năng của người dùng điện thoại xóa bỏ hoặc hạn chế sử dụng
phần mềm Ptracker cũng vi phạm khoản 4 điều 71 - luật CNTT; hành vi chiếm đoạt quyền điều khiển thiết
bị số vi phạm khoản 5 điều 71 - luật CNTT; hành vi làm mất an toàn, bí mật thông tin của người sử dụng
điện thoại vi phạm điểm đ, khoản 2 điều 72 - luật CNTT.
- Điều 71. Chống vi rút máy tính và phần mềm gây hại
Tổ chức, cá nhân không được tạo ra, cài đặt, phát tán vi rút máy tính, phần mềm gây hại vào thiết
bị số của người khác để thực hiện một trong những hành vi sau đây:
2. Thu thập thông tin của người khác;
4. Ngăn chặn khả năng của người sử dụng xóa bỏ hoặc hạn chế sử dụng những phần mềm
không cần thiết;
5. Chiếm đoạt quyền điều khiển thiết bị số;
- Điều 72. Bảo đảm an toàn, bí mật thông tin
2. Tổ chức, cá nhân không được thực hiện một trong những hành vi sau đây:
a) Xâm nhập, sửa đổi, xóa bỏ nội dung thông tin của tổ chức, cá nhân khác trên môi trường mạng;
b) Cản trở hoạt động cung cấp dịch vụ của hệ thống thông tin;
c) Ngăn chặn việc truy nhập đến thông tin của tổ chức, cá nhân khác trên môi trường mạng, trừ
trường hợp pháp luật cho phép;
d) Bẻ khóa, trộm cắp, sử dụng mật khẩu, khóa mật mã và thông tin của tổ chức, cá nhân khác trên
môi trường mạng;
 đ) Hành vi khác làm mất an toàn, bí mật thông tin của tổ chức, cá nhân khác được trao đổi, truyền
đưa, lưu trữ trên môi trường mạng.
(2) Hãy bạn hiểu như thế nào về điều khoản luật này? Nếu bạn là chủ doanh nghiệp thì
bạn sẽ giải quyết định gì về phần mềm này.

(3) Bạn hãy tìm hiểu và trình bày hiện nay có những phần mềm/trang mạng xã hội nào
mà thông tin cá nhân người dùng có thể bị sử dụng bất hợp pháp?
- Khi tham gia vào mạng xã hội Facebook, Youtube,…hay các ứng dụng kết nối dịch vụ gọi xe,
thuê phòng,…, người sử dụng thường bị bắt buộc cung cấp một số thông tin cá nhân để có thể
cài đặt ứng dụng hoặc vào trang web sử dụng miễn phí. Thống kê cho thấy, có tới 80% nguyên
nhân lộ, lọt thông tin cá nhân là xuất phát từ chính sự bất cẩn của người sử dụng. Hầu hết các
thông tin cá nhân của người sử dụng hiện nay ở Việt Nam đều do chính người sử dụng tự đưa
lên. Thông tin về ngày tháng năm sinh, trường học, nơi làm việc, nơi ở... kê khai trong các ứng
dụng mạng xã hội được để ở chế độ mở. Thêm vào đó, nhiều người có thói quen cập nhật rất
nhiều hoạt động trong ngày lên mạng xã hội. Điều này đồng nghĩa với việc ai cũng có thể thu
thập được thông tin của họ, có thể dễ dàng lập tài khoản giả mạo và tiến hành các hành vi lừa
đảo.

Nội dung LO4 - Mô tả được tổng quan cơ chế / biện pháp để thiết lập và nâng cao tính
an toàn thông tin cho một tình huống cụ thể
Cho một tình huống có thể áp dụng các cơ chế / biện pháp an toàn thông tin. Yêu cầu sinh
viên đưa ra và mô tả các cơ chế / biện pháp / giải pháp có thể thiết lập và nâng cao an toàn
thông tin phù hợp với tình huống đó. Các cơ chế / biện pháp / giải pháp có thể là: Chữ ký
số, xác thực và điều khiển truy cập bằng mật khẩu (fixed password, OTP), thẻ từ, camera,
sinh trắc học (vân tay, khuôn mặt, con ngươi, ). Ví dụ:

Tình huống 1:
Để phục vụ cho nhu cầu học tập và tra cứu của cán bộ, giảng viên và sinh viên của trường,
nhà trường đã xây dựng một hệ thống thư viện trực tuyến www.thuviendientu.iuh.edu.vn,
hệ thống giúp độc giả (cán bộ, giảng viên và sinh viên của trường) có thể tìm kiếm các loại
sách, báo, tạp chí,… Đối với tài liệu điện tử thì độc giả có thể đọc trực tuyến hoặc tải về, đối
với sách trong thư viện thì độc giả có thể đăng ký mượn. Độc giả cũng có thể yêu cầu mua
các loại tài liệu điện tử và thanh toán phí mua trực tuyến. Hệ thống cũng giúp cho các thủ thư
có thể quản lý thông tin mượn và trả sách của độc giả, hệ thống còn có tính năng thông báo
nhắc nhở đến hạn trả sách bằng email, tạo báo cáo, thống kê.
Yêu cầu: Với tình huống đã cho, bạn hãy
1. Chỉ ra ít nhất 2 loại thông tin / dữ liệu / chức năng nào cần nâng cao tính an toàn
thông tin và nêu lý do tại sao?
2. Đưa ra giải pháp nào (chữ ký số, xác thực và điều khiểu truy cập bằng mật khẩu
(fixed password, OTP), thẻ từ, camera, sinh trắc học (vân tay hoặc khuôn mặt, con
ngươi,…)) để cài đặt nâng cao tính an toàn cho từng loại thông tin/dữ liệu/chức năng
ở trên và nêu lý do tại sao phương pháp pháp này là hữu hiệu.

Bài làm:
 a. Chỉ ra ít nhất 2 loại thông tin / dữ liệu / chức năng nào cần nâng cao tính an toàn thông tin và
nêu lý do tại sao?
- Hai loại thông tin / dữ liệu / chức năng cần nâng cao tính an toàn thông tin:
+ Thông tin lịch sử giao dịch khi mua tài liêu điện tử và chức năng thanh toán trực tuyến cần
được nâng cao tính an toàn

 Vì đây là loại thông tin và dữ liệu dễ bị sai sót, chiếm đóng hoặc dễ bị đánh cắp nhất, những người
có ý định xấu sẽ đánh vào hệ thống thư viện trực tuyến để sửa đổi thông tin, dữ liệu thanh toán cũng
như lịch sử giao dịch

b. Đưa ra giải pháp nào (chữ ký số, xác thực và điều khiểu truy cập bằng mật khẩu (fixed
password, OTP), thẻ từ, camera, sinh trắc học (vân tay hoặc khuôn mặt, con người…)  để cài
đặt nâng cao tính an toàn cho từng loại thông tin/dữ liệu/chức năng ở trên và nêu lý do tại sao
phương pháp pháp này là hữu hiệu.
- Với thông tin lịch sử giao dịch cần cấp cho đọc giả mật khẩu để có thể truy cập xem lịch sử giao
dịch vì muốn truy cập vào lịch sử giao dịch phải cần có mật khẩu của người dùng vì thế nó có thể
gây khó khăn cho những người muốn truy cập trái phép
- Đối với chức năng thanh toán cần xác thực bằng mã OTP gởi về số điện thoại đăng ký với tài
khoản ngân hàng để có thể xác thực thanh toán vì có thể xác nhận chính xác chủ tài khoản thanh
toán chứ không phải ai khác. Để tăng sự bảo mật thì đọc giả không nên chia sẻ mã OTP này với
bất kỳ ai trong thời gian mã có hiệu lực. Người sử dụng có thể kích hoạt bảo mật 2 lớp bắng
SMS OTP nếu họ muốn bảo mật tài khoản của mình hơn. Người sử dụng chia làm 2 phần: một
phần người thích sự tiện dụng họ không cần tình bảo mật quá cao vì họ nghĩ tài khoàn của mình
không có gì quan trọng để người khác lấy. Một phần khác người ta lại rất chú trọng vào việc
bảo mật tài khoản cá nhân và họ muốn tài khoản của mình được bảo mật nhiều lớp. Thì xác
nhận 2 lớp bằng sms otp có thể khích hoạt cho người dùng có yêu cầu có thể đáp ứng nhu cầu
đó của tất các mọi người với thao tác đơn giản là hệ thống sẽ gửi về số điện thoại của người sử
dụng một mã để họ nhập vào. Nếu họ thích họ sẽ khích hoạt SMS OTP để bảo mật hơn thì
khích hoạt, nếu không thích thì học không cần kích hoạt.

Tình huống 2:
Để phục vụ nhu cầu học tập và nghiên cứu của cán bộ, giảng viên và sinh viên của trường
(gọi chung là độc giả), nhà trường đã trang bị một phòng đọc sách cho các độc giả. Phòng
này có trang bị máy lạnh, bàn ghế, wifi, và 100 chiếc máy tính để bàn. Sinh viên có thể tự
vào ra phòng đọc sách trong khoảng thời gian thư viện mở để ngồi đọc sách, học tập nghiên
cứu và dùng các máy tính. Các máy tính chỉ dùng để học tập/nghiên cứu chứ không cho phép
chơi game.
Yêu cầu:
1. Theo bạn để có thể kiểm soát, chứng thực và theo dõi sự vào ra phòng đọc sách của
các độc giả một cách tự động thì chúng ta có thể dùng phương pháp nào (chữ ký số,
xác thực và điều khiểu truy cập bằng mật khẩu (fixed password, OTP), thẻ từ, camera,
sinh trắc học (vân tay hoặc khuôn mặt, con ngươi,…)) để kiểm soát và nêu lý do tại
sao phương pháp này là hữu hiệu?
- Để có thể kiểm soát, chứng thực và theo dõi sự vào ra phòng đọc sách của các độc giả một
cách tự động thì chúng ta có thể dùng phương pháp chứng thực nhận diện khuôn mặt. Phương
pháp chứng thực nhận diện khuôn mặt sẽ giúp làm việc nhanh chóng, tránh ùn tắc khi ra vào
thư viện hơn khi sử dụng các phương pháp chứng thực khác. Độc giả chỉ cần đi vào và hệ thống
sẽ tự động nhận diện có phải là sinh viên của trường hay không, phòng các trường hợp người lạ
trà trộm vào trường.

2. Theo bạn để có thể chứng thực, kiểm soát và theo dõi việc sử dụng wifi và thiết bị
máy móc ở phòng đọc sách thì chúng ta dùng những phương pháp nào (chữ ký số, xác
thực và điều khiểu truy cập bằng mật khẩu (fixed password, OTP), thẻ từ, camera,
sinh trắc học (vân tay hoặc khuôn mặt, con ngươi,…)) và nêu lý do tại sao phương
pháp này là hữu hiệu?
- Để có thể chứng thực, kiểm soát và theo dõi việc sử dụng wifi và thiết bị máy móc ở phòng đọc sách
thì chúng ta dùng những phương pháp như điều khiển truy cập bằng mật khẩu (fixed password, OTP).
Đây là cách truyền thống và dễ sữ dụng nhất, người dùng chỉ cần nhập đúng ID và Password do nhà
trường cung cấp để đăng nhập vào hệ thống. Phương pháp này giúp nhà trường quản lý, theo dõi hiệu
quả hơn các hoạt động.

Tình huống 3:
Giả sử khoa Kế toán của trường IUH trang bị một ‘Phòng mô phỏng và thực hành quy trình
nghiệp vụ Kế toán – Tài chính – Tín dụng’ (gồm 30 máy tính) dùng để phục vụ cho việc học
tập và nghiên cứu của các thành viên trong câu lạc bộ Kế_Tài_Ngân_Club. Phòng máy này
gồm một máy chủ (server), nhiều máy trạm (work station) và một máy in (printer) được cài
đặt các phần mềm về kế toán, tài chính & ngân hàng để cho các thành viên trong câu lạc bộ
vào sử dụng để nghiên cứu và học tập. Khoa mong muốn phòng máy được cài đặt và cấu
hình làm sao mà các thành viên có thể ra vào và sử dụng các tài nguyên một cách thuận tiện
nhưng vẫn có cơ chế theo dõi một cách tự động.
1. Theo bạn, phòng máy nên dùng phương pháp nào (chữ ký số, xác thực và điều khiểu
truy cập bằng mật khẩu (fixed password, OTP), thẻ từ, camera, sinh trắc học (vân tay
hoặc khuôn mặt, con ngươi,…) mà các thành viên có thể vào ra một cách thuận tiện nhưng
vẫn kiểm soát được khi cần thiết. Bạn hãy mô tả giải pháp một cách chi tiết nhất và nêu lý do
tại sao đây là giải pháp hợp lý?
- Theo em, phòng máy nên dùng phương pháp điều khiểu truy cập bằng mật khẩu-OTP.
2. Theo bạn, để có thể kiểm soát việc sử dụng thiết bị, ứng dụng được cài đặt trong
phòng mô phỏng chúng ta thể dùng phương pháp nào (chữ ký số, xác thực và điều
khiểu truy cập bằng mật khẩu (fixed password, OTP), thẻ từ, camera, sinh trắc học
(vân tay hoặc khuôn mặt, con ngươi,…)) và nêu lý do tại sao đây là giải pháp hợp lý?
-