Professional Documents
Culture Documents
- Đề thi cuối kỳ đánh giá dựa lên 2 chuẩn đầu ra LO3 & LO4
- Thời gian: 60 phút
- Được phép sử dụng tài liệu
LO3: Giải thích được các khái niệm cơ bản về An toàn thông tin, hệ mã hóa
Cho ít nhất 2 câu hỏi liên quan đến các khái niệm ở các chương
- Chương 5: Mật mã học
- Chương 6: Chữ ký điện tử
- Chương 7: Chứng thực và điều khiển truy cập
- Chương 8: Duy trì an toàn thông tin
LO4: Mô tả được cơ chế/giao thức để thiết lập và nâng cao tính an toàn thông tin cho một tình
huống cụ thể
Cho sinh viên một tình huống có thể áp dụng các cơ chế/giao thức/phương thức để thiết
lập và nâng cao an toàn thông tin. Yêu cầu sinh viên đưa ra (mô tả) cơ chế / giao thức để thiết lập
và nâng cao tính an toàn thông tin trong tình huống đó. Các cơ chế/giao thức có thể là: chữ ký số,
xác thực và điều khiển truy cập bằng mật khẩu (fixed password, OTP), thẻ từ, camera, sinh trắc
học (vân tay hoặc khuôn mặt, võng mạc,…)
Tình huống 1:
Để phục vụ cho nhu cầu học tập và tra cứu của cán bộ, giảng viên và sinh viên của trường, nhà
trường đã xây dựng một hệ thống thư viện trực tuyến www.thuviendientu.iuh.edu.vn, hệ thống
giúp độc giả (cán bộ, giảng viên và sinh viên của trường) có thể tìm kiếm các loại sách, báo, tạp
chí,… Đối với tài liệu điện tử thì độc giả có thể đọc trực tuyến hoặc tải về, đối với sách trong thư
viện thì độc giả có thể đăng ký mượn. Độc giả cũng có thể yêu cầu mua các loại tài liệu điện tử
và thanh toán phí mua trực tuyến. Hệ thống cũng giúp cho các thủ thư có thể quản lý thông tin
mượn và trả sách của độc giả, hệ thống còn có tính năng thông báo nhắc nhở đến hạn trả sách
bằng email, tạo báo cáo, thống kê.
Yêu cầu: Với tình huống đã cho, bạn hãy
1. Chỉ ra ít nhất 2 loại thông tin/dữ liệu/chức năng nào cần thiết lập, nâng cao tính an toàn
và nêu lý do tại sao
Hướng dẫn:
Nhóm 1: thông tin cá nhân của độc giả cần nâng cao tính bảo mật, toàn vẹn. Thông tin
bao gồm: ........ – Lý do: những thông tin này là nhưng thông tin riêng tư, chỉ có chính
độc giả/thủ thư mới có thể được truy xuất/thêm bớt xóa sửa. Ngoài ra thông tin cá nhân
của thủ thư cũng cần nâng cao tính bảo mật và toàn vẹn. Nếu thông tin cá nhân độc
giả/thủ thư mất tính bảo mật thì sao?????. Nếu thông tin này mất tính toàn vẹn thì
sao????????? phân tích hậu quả.
Nhóm 2: Thông tin thanh toán phí mua trực tuyến. Thông tin đó bao gồm: thông tin thẻ
ngân hàng/ví điện tử, thông tin về đơn hàng,... – tính bảo mật, toàn vẹn. Lý do....????
Nhóm 3: Chức năng thanh toán phí mua trực tuyến cần tính xác thực/chóng thoái thác –
Lý do: cần xác thực chủ nhân tài khoản/ví thanh toán, tại sao cần xác thực???????? phân
tích hậu quả nếu tính xác thực ko đảm bảo????????
2. Đưa ra giải pháp nào (chữ ký số, xác thực và điều khiểu truy cập bằng mật khẩu (fixed
password, OTP), thẻ từ, camera, sinh trắc học (vân tay hoặc khuôn mặt, võng mạc,…))
để cài đặt nâng cao tính an toàn cho từng loại thông tin/dữ liệu/chức năng ở trên và nêu lý
do tại sao phương pháp pháp này là hữu hiệu để thiết lập và nâng cao tính an toàn thông
tin.
Đưa ra giải pháp: nêu tên giải pháp, mô tả sơ lược về giải pháp, mô tả cách cài đặt cấu
hình.
Hướng dẫn:
Nhóm 1: Thông tin cá nhân của độc giả/thủ thư, thông tin mượn trả sách cần nâng cao
tính bảo mật/toàn vẹn
Biện pháp: xác thực và điều khiển truy cập bằng username/pw. Mỗi độc giả/thủ thư có 1
tài khoản người dùng để xuất vào hệ thống và chỉ truy xuất được những thông riêng tư
của bản thân hoặc được gán quyền truy xuất......
Phương pháp này là phương pháp đơn giản, ít tốn chi phí và hửu hiệu nhất để xác thực
người dùng và gán quyền truy xuất dữ liệu. Chỉ có chủ nhân/thủ thư/quản lý mới có thể
truy xuất (đọc/thêm/xóa/sửa) được thông tin cá nhân của độc giả. Chỉ có chủ nhân/ quản
lý có thể truy xuất được thông của thủ thư/thông tin mượn trả sách.
Nhóm 2: Chức năng thanh toán trực tuyến – xác thực/chóng thoái thác – lý do – phân tích hậu
quả
PP: Bảo mật 2 lớp xác thực. Lớp thứ 1: username/pw; Lớp 2: mã OTP (Mart/SMS). Lý do tại sao
dùng lớp 1????; tại sao dùng lớp 2????. Tăng độ an toàn cho giao dịch thanh toán như thế
nào??????????. Bảo mật 2 lớp tăng an toàn, pp username/pw: thông dụng, đơn giản, ít tốn chi
phí; OTP: xác thực được người đang thực hiện là chủ tài khoản….
Tài sao phương pháp này hữu hiệu nhất????????
Tình huống 2:
Để phục vụ nhu cầu học tập và nghiên cứu của cán bộ, giảng viên và sinh viên của trường (gọi
chung là độc giả), nhà trường đã trang bị một phòng đọc sách cho các độc giả. Phòng này có
trang bị máy lạnh, bàn ghế, wifi, và 100 chiếc máy tính để bàn. Sinh viên có thể tự vào ra phòng
đọc sách trong khoảng thời gian thư viện mở cửa để ngồi đọc sách, học tập nghiên cứu và dùng
các máy tính. Các máy tính chỉ dùng để học tập/nghiên cứu chứ không cho phép chơi game.
Yêu cầu:
1. Theo bạn để có thể kiểm soát, chứng thực và theo dõi sự vào ra phòng đọc sách của các
độc giả một cách tự động thì chúng ta có thể dùng phương pháp nào (chữ ký số, xác thực
và điều khiểu truy cập bằng mật khẩu (fixed password, OTP), thẻ từ, camera, sinh trắc
học (vân tay hoặc khuôn mặt, võng mạc…)) để kiểm soát và nêu lý do tại sao phương
pháp này là hữu hiệu để thiết lập và nâng cao tính an toàn thông tin.
PP1: Xác thực bằng thẻ từ, kết hợp kiểm soát bằng camera
PP2: Xác thực bằng sinh trắc học, kết hợp kiểm soát bằng camera
Chọn PP nào? Tại sao? (ưu điểm vượt trội của PP mình chọn, nhược điểm của PP không
chọn)
Cấu hình hệ thống kiểm soát và theo dõi như thế nào?
- Cấu hình 1 cửa ra vào có kiểm soát chứng thực bằng PP đã chọn...... ra làm sao???
Độc giả làm gì để ra vào phòng đọc sách???
- Carame ra dùng làm gì? Gắn ở đâu? Tại sao phải có camera??
2. Theo bạn để có thể chứng thức, kiểm soát và theo dõi việc sử dụng wifi và thiết bị máy
móc ở phòng đọc sách thì chúng ta dùng những phương pháp nào (chữ ký số, xác thực và
điều khiểu truy cập bằng mật khẩu (fixed password, OTP), thẻ từ, camera, sinh trắc học
(vân tay hoặc khuôn mặt, con ngơi,…)) và nêu lý do tại sao phương pháp này là hữu hiệu
để thiết lập và nâng cao tính an toàn thông tin.
PP1: xác thực và điều khiển truy cập bằng username và password, kết hợp kiểm bằng camera
PP2: Xác thực và điều khiển truy cập bằng thẻ từ, kết hợp kiểm soát bằng camera
PP3: Xác thực và điều khiển truy cập bằng sinh trắc học, kết hợp kiểm soát bằng camera
Chọn PP nào? Tại sao? (ưu điểm vượt trội của PP mình chọn, nhược điểm của PP không
chọn)
Cấu hình hệ thống kiểm soát và theo dõi như thế nào?
- Cấu hình các thiết bị máy tính, wifi bằng pp đã chọn .... Người dùng sẽ làm như thế
nào để sử dụng wifi và máy tính
- Carame ra dùng làm gì? Gắn ở đâu? Tại sao phải có camera
Tình huống 3:
Giả sử khoa Kế toán của trường IUH trang bị một ‘Phòng mô phỏng và thực hành quy trình
nghiệp vụ Kế toán – Tài chính – Tín dụng’ (gồm 30 máy tính) dùng để phục vụ cho việc học
tập và nghiên cứu của các thành viên trong câu lạc bộ Kế_Tài_Ngân_Club. Phòng máy này gồm
một máy chủ (server), nhiều máy trạm (work station) và một máy in (printer) được cài đặt các
phần mềm về kế toán, tài chính & ngân hàng để cho các thành viên trong câu lạc bộ vào sử dụng
để nghiên cứu và học tập. Khoa mong muốn phòng máy được cài đặt và cấu hình làm sao mà các
thành viên có thể ra vào và sử dụng các tài nguyên một cách thuận tiện nhưng vẫn có cơ chế theo
dõi một cách tự động.
1. Theo bạn, phòng máy nên dùng phương pháp nào (chữ ký số, xác thực và điều khiểu truy
cập bằng mật khẩu (fixed password, OTP), thẻ từ, camera, sinh trắc học (vân tay hoặc
khuôn mặt, võng mạc,…)) mà các thành viên có thể vào ra một cách thuận tiện nhưng
vẫn kiểm soát được khi cần thiết. Bạn hãy mô tả giải pháp một cách chi tiết nhất và nêu
lý do tại sao đây là giải pháp hợp lý để thiết lập và nâng cao tính an toàn thông tin.
PP1: Xác thực bằng thẻ từ, kết hợp kiểm soát bằng camera
PP2: Xác thực bằng sinh trắc học, kết hợp kiểm soát bằng camera
Chọn PP nào? Tại sao? (ưu điểm vượt trội của PP mình chọn, nhược điểm của PP không
chọn)
Cấu hình hệ thống kiểm soát và theo dõi như thế nào?
- Cấu hình 1 cửa ra vào có kiểm soát chứng thực bằng PP đã chọn......
- Carame ra dùng làm gì? Gắn ở đâu? Tại sao phải có camera
2. Theo bạn, để có thể kiểm soát việc sử dụng thiết bị, ứng dụng được cài đặt trong phòng
mô phỏng chúng ta thể dùng phương pháp nào (chữ ký số, xác thực và điều khiểu truy
cập bằng mật khẩu (fixed password, OTP), thẻ từ, camera, sinh trắc học (vân tay hoặc
khuôn mặt, võng mạc,…)) và nêu lý do tại sao đây là giải pháp hợp lý để thiết lập và
nâng cao tính an toàn thông tin.
PP2: Xác thực và điều khiển bằng thẻ từ, kết hợp kiểm soát bằng camera
PP3: Xác thực và điều khiển bằng sinh trắc học, kết hợp kiểm soát bằng camera
Chọn PP nào? Tại sao? (ưu điểm vượt trội của PP mình chọn, nhược điểm của PP không
chọn)
Chọn PP nào? Tại sao? (ưu điểm vượt trội của PP mình chọn, nhược điểm của PP không
chọn)
Cấu hình hệ thống kiểm soát và theo dõi như thế nào?
- Cấu hình các thiết bị máy tính, wifi bằng pp đã chọn .... Người dùng sẽ làm như thế
nào để sử dụng wifi và máy tính
- Carame ra dùng làm gì? Gắn ở đâu? Tại sao phải có camera