Cấu trúc & nội dung đề thi cuối kỳ

- Đề thi cuối kỳ đánh giá dựa lên 2 chuẩn đầu ra LO3 & LO4
- Thời gian: 60 phút
- Được phép sử dụng tài liệu

LO3: Giải thích được các khái niệm cơ bản về An toàn thông tin, hệ mã hóa
Cho ít nhất 2 câu hỏi liên quan đến các khái niệm ở các chương
- Chương 5: Mật mã học
- Chương 6: Chữ ký điện tử
- Chương 7: Chứng thực và điều khiển truy cập
- Chương 8: Duy trì an toàn thông tin
LO4: Mô tả được cơ chế/giao thức để thiết lập và nâng cao tính an toàn thông tin cho một tình
huống cụ thể
Cho sinh viên một tình huống có thể áp dụng các cơ chế/giao thức/phương thức để thiết
lập và nâng cao an toàn thông tin. Yêu cầu sinh viên đưa ra (mô tả) cơ chế / giao thức để thiết lập
và nâng cao tính an toàn thông tin trong tình huống đó. Các cơ chế/giao thức có thể là: chữ ký số,
xác thực và điều khiển truy cập bằng mật khẩu (fixed password, OTP), thẻ từ, camera, sinh trắc
học (vân tay hoặc khuôn mặt, võng mạc,…)

Câu hỏi ôn tập LO3 gợi ý:

1. Chữ ký số là gì? Mục tiêu của chữ ký số? Trình bày hiện trạng áp dụng chữ ký số ở Việt
Nam
Gợi ý: Định nghĩa chữ ký số: ứng dụng của mã hóa khóa công khai, người dùng có (PUA,
PRA); Tạo chữ ký: SAM = E(KRA, M) hoặc SAM=E(KRA, H(M)) – giải thích; Thẩm tra chữ
ký D(KUA, SAM)  Yes/No – Giải thích; Mục tiêu của chữ ký số; Hiện trạng áp dụng chữ
ký số: 4 lĩnh vực đó là cơ quan Thuế, Bảo hiểm xã hội, Hải quan và Chứng khoán.
2. Đưa ra một hệ thống thông tin hoặc một trang web thực tế ở Việt Nam có sử dụng chữ ký
số? Nghiệp vụ nào trong hệ thống đó có sử dụng chữ ký số? Trình bày các bước cụ thể để
người dùng trong hệ thống này thực hiện nghiệp vụ có sử dụng chữ ký số.
Gợi ý: Website của cơ quan Thuế, Website của cơ quan Hải quan, Website của cơ quan
Bảo hiểm xã hội,...
3. Chứng thư số là gì? Mục tiêu của chứng thư số? Hiện nay Việt Nam đã có các đơn vị nào
có thể cung cập dịch vụ chứng thư số?
4. Chứng thư số là gì? Nội dung có trong chứng thư số là gồm những nội dung gì?
5. Chứng thực thực thể là gì? Trình này 2 phương pháp mà bạn biết mà có thể cài đặt để
chứng thực thực thể.
6. Điều khiển truy cập là gì? Trình bày ít nhất 2 phương pháp mà bạn biết mà có thể cài đặt
điều khiển truy cập một hệ thống thông tin.
7. Mật khẩu (password) là gì? Mật khẩu cố định (fixed password) và mật khẩu dùng một lần
(one time password) khác nhau như thế nào? Trình bày điểm mạnh và điểm yếu của 2
loại mật khẩu.
 8. Trình bày các loại mã OPT, nêu ưu điểm và nhược điểm của từng loại.
9. Đưa ra một hệ thống mà bạn biết có sử dụng mật khẩu cố định (fixed password) và mô tả
các bước thực hiện để bạn có thể được chứng thực người dùng trong hệ thống đó. Nêu
mục tiêu của việc chứng thực này.
10. Đưa ra một hệ thống mà bạn biết có sử dụng mật khẩu dùng một lần (one time password)
và mô tả tình huống mà bạn có sử dụng mật khẩu để chứng thực người dùng/giao dịch.
Nêu mục tiêu của việc chứng thực này.
11. Sinh trắc học (biometric) là gì? Nêu các lĩnh vực có thể áp dụng sinh trắc học?
12. Nêu ưu điểm và nhược điểm của việc áp dụng chứng thực bằng sinh trắc học.
13. Hệ thống quản lý an toàn thông tin là gì? Mục tiêu của hệ thống an toàn toàn thông tin?

Câu hỏi ôn tập LO4 gợi ý:

Tình huống 1:
Để phục vụ cho nhu cầu học tập và tra cứu của cán bộ, giảng viên và sinh viên của trường, nhà
trường đã xây dựng một hệ thống thư viện trực tuyến www.thuviendientu.iuh.edu.vn, hệ thống
giúp độc giả (cán bộ, giảng viên và sinh viên của trường) có thể tìm kiếm các loại sách, báo, tạp
chí,… Đối với tài liệu điện tử thì độc giả có thể đọc trực tuyến hoặc tải về, đối với sách trong thư
viện thì độc giả có thể đăng ký mượn. Độc giả cũng có thể yêu cầu mua các loại tài liệu điện tử
và thanh toán phí mua trực tuyến. Hệ thống cũng giúp cho các thủ thư có thể quản lý thông tin
mượn và trả sách của độc giả, hệ thống còn có tính năng thông báo nhắc nhở đến hạn trả sách
bằng email, tạo báo cáo, thống kê.
Yêu cầu: Với tình huống đã cho, bạn hãy
1. Chỉ ra ít nhất 2 loại thông tin/dữ liệu/chức năng nào cần thiết lập, nâng cao tính an toàn
và nêu lý do tại sao
Hướng dẫn:
Nhóm 1: thông tin cá nhân của độc giả cần nâng cao tính bảo mật, toàn vẹn. Thông tin
bao gồm: ........ – Lý do: những thông tin này là nhưng thông tin riêng tư, chỉ có chính
độc giả/thủ thư mới có thể được truy xuất/thêm bớt xóa sửa. Ngoài ra thông tin cá nhân
của thủ thư cũng cần nâng cao tính bảo mật và toàn vẹn. Nếu thông tin cá nhân độc
giả/thủ thư mất tính bảo mật thì sao?????. Nếu thông tin này mất tính toàn vẹn thì
sao????????? phân tích hậu quả.

Nhóm 2: Thông tin thanh toán phí mua trực tuyến. Thông tin đó bao gồm: thông tin thẻ
ngân hàng/ví điện tử, thông tin về đơn hàng,... – tính bảo mật, toàn vẹn. Lý do....????

Nhóm 3: Chức năng thanh toán phí mua trực tuyến cần tính xác thực/chóng thoái thác –
Lý do: cần xác thực chủ nhân tài khoản/ví thanh toán, tại sao cần xác thực???????? phân
tích hậu quả nếu tính xác thực ko đảm bảo????????
2. Đưa ra giải pháp nào (chữ ký số, xác thực và điều khiểu truy cập bằng mật khẩu (fixed
password, OTP), thẻ từ, camera, sinh trắc học (vân tay hoặc khuôn mặt, võng mạc,…))
để cài đặt nâng cao tính an toàn cho từng loại thông tin/dữ liệu/chức năng ở trên và nêu lý
do tại sao phương pháp pháp này là hữu hiệu để thiết lập và nâng cao tính an toàn thông
tin.
Đưa ra giải pháp: nêu tên giải pháp, mô tả sơ lược về giải pháp, mô tả cách cài đặt cấu
hình.
 Hướng dẫn:

Nhóm 1: Thông tin cá nhân của độc giả/thủ thư, thông tin mượn trả sách cần nâng cao
tính bảo mật/toàn vẹn
Biện pháp: xác thực và điều khiển truy cập bằng username/pw. Mỗi độc giả/thủ thư có 1
tài khoản người dùng để xuất vào hệ thống và chỉ truy xuất được những thông riêng tư
của bản thân hoặc được gán quyền truy xuất......
Phương pháp này là phương pháp đơn giản, ít tốn chi phí và hửu hiệu nhất để xác thực
người dùng và gán quyền truy xuất dữ liệu. Chỉ có chủ nhân/thủ thư/quản lý mới có thể
truy xuất (đọc/thêm/xóa/sửa) được thông tin cá nhân của độc giả. Chỉ có chủ nhân/ quản
lý có thể truy xuất được thông của thủ thư/thông tin mượn trả sách.

Nhóm 2: Chức năng thanh toán trực tuyến – xác thực/chóng thoái thác – lý do – phân tích hậu
quả

PP: Bảo mật 2 lớp xác thực. Lớp thứ 1: username/pw; Lớp 2: mã OTP (Mart/SMS). Lý do tại sao
dùng lớp 1????; tại sao dùng lớp 2????. Tăng độ an toàn cho giao dịch thanh toán như thế
nào??????????. Bảo mật 2 lớp tăng an toàn, pp username/pw: thông dụng, đơn giản, ít tốn chi
phí; OTP: xác thực được người đang thực hiện là chủ tài khoản….
Tài sao phương pháp này hữu hiệu nhất????????

Tình huống 2:
Để phục vụ nhu cầu học tập và nghiên cứu của cán bộ, giảng viên và sinh viên của trường (gọi
chung là độc giả), nhà trường đã trang bị một phòng đọc sách cho các độc giả. Phòng này có
trang bị máy lạnh, bàn ghế, wifi, và 100 chiếc máy tính để bàn. Sinh viên có thể tự vào ra phòng
đọc sách trong khoảng thời gian thư viện mở cửa để ngồi đọc sách, học tập nghiên cứu và dùng
các máy tính. Các máy tính chỉ dùng để học tập/nghiên cứu chứ không cho phép chơi game.
Yêu cầu:
1. Theo bạn để có thể kiểm soát, chứng thực và theo dõi sự vào ra phòng đọc sách của các
độc giả một cách tự động thì chúng ta có thể dùng phương pháp nào (chữ ký số, xác thực
và điều khiểu truy cập bằng mật khẩu (fixed password, OTP), thẻ từ, camera, sinh trắc
học (vân tay hoặc khuôn mặt, võng mạc…)) để kiểm soát và nêu lý do tại sao phương
pháp này là hữu hiệu để thiết lập và nâng cao tính an toàn thông tin.

PP1: Xác thực bằng thẻ từ, kết hợp kiểm soát bằng camera
PP2: Xác thực bằng sinh trắc học, kết hợp kiểm soát bằng camera

Chọn PP nào? Tại sao? (ưu điểm vượt trội của PP mình chọn, nhược điểm của PP không
chọn)
Cấu hình hệ thống kiểm soát và theo dõi như thế nào?
- Cấu hình 1 cửa ra vào có kiểm soát chứng thực bằng PP đã chọn...... ra làm sao???
Độc giả làm gì để ra vào phòng đọc sách???
- Carame ra dùng làm gì? Gắn ở đâu? Tại sao phải có camera??

2. Theo bạn để có thể chứng thức, kiểm soát và theo dõi việc sử dụng wifi và thiết bị máy
móc ở phòng đọc sách thì chúng ta dùng những phương pháp nào (chữ ký số, xác thực và
điều khiểu truy cập bằng mật khẩu (fixed password, OTP), thẻ từ, camera, sinh trắc học
(vân tay hoặc khuôn mặt, con ngơi,…)) và nêu lý do tại sao phương pháp này là hữu hiệu
để thiết lập và nâng cao tính an toàn thông tin.

PP1: xác thực và điều khiển truy cập bằng username và password, kết hợp kiểm bằng camera
 PP2: Xác thực và điều khiển truy cập bằng thẻ từ, kết hợp kiểm soát bằng camera
PP3: Xác thực và điều khiển truy cập bằng sinh trắc học, kết hợp kiểm soát bằng camera

Chọn PP nào? Tại sao? (ưu điểm vượt trội của PP mình chọn, nhược điểm của PP không
chọn)

Cấu hình hệ thống kiểm soát và theo dõi như thế nào?
- Cấu hình các thiết bị máy tính, wifi bằng pp đã chọn .... Người dùng sẽ làm như thế
nào để sử dụng wifi và máy tính
- Carame ra dùng làm gì? Gắn ở đâu? Tại sao phải có camera

Tình huống 3:
Giả sử khoa Kế toán của trường IUH trang bị một ‘Phòng mô phỏng và thực hành quy trình
nghiệp vụ Kế toán – Tài chính – Tín dụng’ (gồm 30 máy tính) dùng để phục vụ cho việc học
tập và nghiên cứu của các thành viên trong câu lạc bộ Kế_Tài_Ngân_Club. Phòng máy này gồm
một máy chủ (server), nhiều máy trạm (work station) và một máy in (printer) được cài đặt các
phần mềm về kế toán, tài chính & ngân hàng để cho các thành viên trong câu lạc bộ vào sử dụng
để nghiên cứu và học tập. Khoa mong muốn phòng máy được cài đặt và cấu hình làm sao mà các
thành viên có thể ra vào và sử dụng các tài nguyên một cách thuận tiện nhưng vẫn có cơ chế theo
dõi một cách tự động.
1. Theo bạn, phòng máy nên dùng phương pháp nào (chữ ký số, xác thực và điều khiểu truy
cập bằng mật khẩu (fixed password, OTP), thẻ từ, camera, sinh trắc học (vân tay hoặc
khuôn mặt, võng mạc,…)) mà các thành viên có thể vào ra một cách thuận tiện nhưng
vẫn kiểm soát được khi cần thiết. Bạn hãy mô tả giải pháp một cách chi tiết nhất và nêu
lý do tại sao đây là giải pháp hợp lý để thiết lập và nâng cao tính an toàn thông tin.

PP1: Xác thực bằng thẻ từ, kết hợp kiểm soát bằng camera
PP2: Xác thực bằng sinh trắc học, kết hợp kiểm soát bằng camera

Chọn PP nào? Tại sao? (ưu điểm vượt trội của PP mình chọn, nhược điểm của PP không
chọn)
Cấu hình hệ thống kiểm soát và theo dõi như thế nào?
- Cấu hình 1 cửa ra vào có kiểm soát chứng thực bằng PP đã chọn......
- Carame ra dùng làm gì? Gắn ở đâu? Tại sao phải có camera

2. Theo bạn, để có thể kiểm soát việc sử dụng thiết bị, ứng dụng được cài đặt trong phòng
mô phỏng chúng ta thể dùng phương pháp nào (chữ ký số, xác thực và điều khiểu truy
cập bằng mật khẩu (fixed password, OTP), thẻ từ, camera, sinh trắc học (vân tay hoặc
khuôn mặt, võng mạc,…)) và nêu lý do tại sao đây là giải pháp hợp lý để thiết lập và
nâng cao tính an toàn thông tin.
PP2: Xác thực và điều khiển bằng thẻ từ, kết hợp kiểm soát bằng camera
PP3: Xác thực và điều khiển bằng sinh trắc học, kết hợp kiểm soát bằng camera
Chọn PP nào? Tại sao? (ưu điểm vượt trội của PP mình chọn, nhược điểm của PP không
chọn)

Chọn PP nào? Tại sao? (ưu điểm vượt trội của PP mình chọn, nhược điểm của PP không
chọn)
Cấu hình hệ thống kiểm soát và theo dõi như thế nào?
- Cấu hình các thiết bị máy tính, wifi bằng pp đã chọn .... Người dùng sẽ làm như thế
nào để sử dụng wifi và máy tính
- Carame ra dùng làm gì? Gắn ở đâu? Tại sao phải có camera