Professional Documents
Culture Documents
Tình Huống Nâng Cao Tính an Toàn Thông Tin -Môn an Toàn Thông Tin
Tình Huống Nâng Cao Tính an Toàn Thông Tin -Môn an Toàn Thông Tin
01 02
LO2 LO4
TÌNH HUỐNG 10 TÌNH HUỐNG 3
LO2
LO4
...
< >
LO2 : tình huống 10
Sinh viên A thực tập tại công ty chuyên cung cấp phần
mềm ERP cho doanh nghiệp, sinh viên này được giao
nhiệm vụ hỗ trợ một nhân viên chính thức của công ty
cùng tham gia bảo trì một hệ thống ERP cho một doanh
nghiệp hoạt động trong lĩnh vực sản xuất và cung cấp
thiết bị văn phòng. Do vậy, sinh viên A dễ dàng tiếp cận
danh sách các công ty cung cấp nguồn nguyên liệu cho
doanh nghiệp này. Trong một lần trò chuyện, sinh viên A
đã vô tình tiết lộ các công ty cung cấp nguồn nguyên liệu
với sinh viên B đang thực tập tại công ty đối thủ.
Câu hỏi:
1 2 3
2
Đóng góp cho xã hội
Tránh gây hậu Hãy trung thực và
và làm cho con người
quả tiêu cực đáng tin cậy.
hạnh phúc
3
4 5 6 7
Hãy công bằng Tôn trọng công việc cần Tôn trọng quyền Bảo mật danh dự
thiết để tạo ra các ý riêng tư
tưởng mới, sáng chế, tác
phẩm sáng tạo và các 4
tạo tác điện toán
Sinh viên A đã vi phạm nguyên tắc nào của
bộ quy tắc ứng xử ACM ?
nguyên tắc đạo đức về tính riêng tư và bảo mật
thông tin.
Tính riêng tư ?
Sinh viên A đã tiết lộ danh sách các công ty cung cấp nguồn nguyên liệu của
doanh nghiệp mà anh ấy đang làm việc đến sinh viên B, người làm việc tại một
công ty đối thủ. Điều này vi phạm tính riêng tư của thông tin của công ty mà sinh
viên A đang thực tập. Thông tin về các công ty cung cấp nguồn nguyên liệu có
thể là thông tin nhạy cảm và không nên được tiết lộ cho bất kỳ ai ngoài những
người có quyền truy cập.
Tính bảo mật thông tin ?
Sinh viên A làm việc với một nhân viên chính thức của công ty chuyên cung cấp
phần mềm ERP cho doanh nghiệp. Nhưng việc tiết lộ thông tin về các công ty
cung cấp nguồn nguyên liệu cho doanh nghiệp đối tác là không đáng tin cậy và
có thể đe dọa bảo mật thông tin của doanh nghiệp mà sinh viên A đang hỗ trợ.
Nguyên tắc trên được trình bày… 1
Các chuyên gia máy tính nên bảo vệ tính bảo mật 3
ngoại trừ trong trường hợp đó là bằng chứng về vi
phạm pháp luật, các quy định của tổ chức hoặc của
Bộ luật.Giữ bí mật mọi thông tin bí mật thu được
trong công việc chuyên môn của họ, một cách phù
hợp với lợi ích công cộng và pháp luật.
4
Đưa ra và giải thích ít nhất 3 lý
do tại sao bạn cần nắm rõ các
một số điều khoản luật trong
luật an ninh mạng ?
< >
Sự cần thiết của Luật an ninh mạng ?
< >
M
Sự cần thiết của Luật an ninh mạng ?
MXH phát triển -> phát triển kinh tế, tạo thuận
lợi chuyển hóa chính trị, khủng bố
Phát triển trí tuệ nhân tạo, KHCN trên nhiều lĩnh
vực dự báo sẽ gây nên “thảm họa” nếu không
được kiểm soát chặt chẽ
T
Đảm bảo quyền lợi của cá nhân
và gia đình trên không gian
mạng
W
T
phòng chống được các cuộc đe dọa
tấn công mạng có chủ đích, cố ý xâm
chiếm, phá hoại
W
không bị rơi vào các có được cái nhìn đúng đắn cử xử hợp pháp, không
trường hợp vi phạm pháp thực hiện những hành vi trái pháp luật, trái đạo đức 2
luật ngoài ý muốn
3
bị các đối tượng xấu lợi dụng, lôi kéo để phục vụ mục
đích xấu như chống phá nhà nước, hay vận chuyển
hàng cấm, lậu trái phép. Khi đó ta sẽ phải trả một cái
giá rất đắt nếu ta bị bắt, tối đa là tử hình
4
M
Lý do ?
T
xây dựng được môi trường văn
Nâng cao ý thức phòng tránh, tự vệ
hóa mạng xã hội lành mạnh
cho bản thân khi tham gia các trang
mạng xã hội hoặc các hoạt động trên
không gian mạng W
2
Không gian mạng cũng giống ngoài
thế giới thực đều có nguy cơ xảy ra
các tranh chấp và bất bình trong
quá trình làm việc với nhau
3
luật an ninh mạng ra đời là để đảm
bảo được những quy tắc và quy định
của chính phủ luôn được tuân thủ
nghiêm ngặt và công bằng nhất trong
mọi tình huống. 4
LO2
LO4
Wknd
...
< >
LO4 : tình huống 3
Để phục vụ cho nhu cầu học tập và tra cứu của cán bộ,
giảng viên và sinh viên của trường, nhà trường đã xây
dựng một hệ thống thư viện trực tuyến
www.thuviendientu.iuh.edu.vn, hệ thống giúp độc giả
(cán bộ, giảng viên và sinh viên của trường) có thể tìm
kiếm các loại sách, báo, tạp chí,… Đối với tài liệu điện tử
thì độc giả có thể đọc trực tuyến hoặc tải về, đối với sách
trong thư viện thì độc giả có thể đăng ký mượn. Độc giả
02 cũng có thể yêu cầu mua các loại tài liệu điện tử và thanh
toán phí mua trực tuyến. Hệ thống cũng giúp cho các thủ
thư có thể quản lý thông tin mượn và trả sách của độc
giả, hệ thống còn có tính năng thông báo nhắc nhở đến
hạn trả sách bằng email, tạo báo cáo, thống kê.
Câu hỏi:
>
Thông tin cá nhân
Bao gồm
Email
SĐT
Tại sao phải nâng cao
tính bảo mật và tính toàn vẹn ?
Tính bảo mật được hiểu là …
< >
Những thông tin cá nhân trên là những
thông tin riêng tư cần tính bảo mật cao,
chỉ có độc giả mới có thể được truy xuất,
không ai có thể tùy ý truy xuất được.
Nếu không có tính bảo mật ?
Kẻ gian - Hacker
tấn công và đánh cắp
các thông tin
Bên thứ 3
bán lại cho bên thứ ba
Nếu không có tính bảo mật ?
các cuộc gọi mời chào thông tin cá nhân bị tung đầy
bảo hiểm, đầu tư bất và rao bán trên các trang web
động sản, chứng khoán không chính thống.
< >
Thứ cần nâng cao bảo mật
Chức năng thanh
LO2 Thông tin cá nhân
toán phí mua trực
độc giả
tuyến
>
LO2
LO4
...
... <
>
Cần phải nâng cao….
< >
Khi thanh toán cần đảm bảo người thanh
toán là chủ tài khoản
Nếu không đảm bảo….
Hệ thống bị treo khi thanh toán gây tâm lý hoang mang, mất thời gian.
Không truy cập được đúng lúc mong muốn, khách hàng không mua
sách ở thư viện nữa…
Nếu không đảm bảo….
Hoàn thành thanh toán Thư viện không giao sách vì gây thiệt hại cho khách hàng
không có xác nhận không nhận được thanh toán và giảm uy tín cho thư viện.
và khách hàng không có minh
chứng
Nếu không đảm bảo….
LO4
...
...
< >
Giải pháp
LO2
LO4
thông tin cá nhân chức năng thanh toán
của độc giả phí mua trực tuyến
xác thực và điều khiển bảo mật bằng hai lớp; lớp
truy cập bằng username thứ nhất là user name +
... + password password, lớp thứ hai là xác
...
thực bằng OTP
< >
Mô tả phương pháp 1
2
Có phương pháp để
cài đặt nâng cao tính
an toàn cho thông tin
trên không ?
3
4
< >
Mô tả phương pháp xác thực và điều khiển truy cập bằng
username + password
Mỗi độc giả có 1 tài khoản người dùng để xuất vào hệ thống và
chỉ truy xuất được những thông tin riêng tư của bản thân
hoặc được gán quyền truy xuất.
Mô tả phương pháp
nhập tất cả các thông tin cá nhân của mình như họ và tên,
ngày sinh, chứng minh thư, địa chỉ, số điện thoại
8 kí tự bao gồm chữ
thường, chữ in hoa, số, ký
tự đặc biệt,...) và mật khẩu
sẽ được nhập lại 2 lần để
đảm bảo chắc chấn
băm mật khẩu giúp mật khẩu tránh bị đánh cắp, khó đoán và khôi phục
lại mật khẩu gốc từ bảng băm cũng rất khó khăn và tốn nhiều chi phí
Sinh trắc học
có nên được sử dụng
trong trường hợp này ?
< >
Chi phí khá đắt, tốn nhiều thời gian cho việc lấy khuôn mẫu của tất cả sinh viên,
cán bộ, giảng viên trong trường.
Lấy ví dụ: trình đọc khuôn mặt có thể gặp sự cố khi quét khuôn mặt của ai đó
nếu ánh sáng kém hoặc khuôn mặt của người đó bị che khuất.
Trong trường hợp tay bị ướt, quá lạnh, bị mòn hay bị thương thì sẽ khó xác định
được dấu vân tay.
< >
M
Đối với lớp thứ nhất username + password
T
Khi đăng ký tài khoản, hệ thống sẽ yêu cầu người dùng cung cấp một
user name và một password, sau đó hệ thống tiếp tục tạo ra cho người
dùng một chuỗi ngẫu nhiên gọi là Salt
F
M
Đối với lớp thứ nhất username + password
T
Hệ thống sẽ lưu trữ thông tin chứa tài khoản vào tập tin bao gồm: user
name, salt, giá trị băm
F
M
Đối với lớp thứ nhất username + password
Khi người dùng nhập user name/ID và password, hệ thống sẽ lấy user name/id T
vừa nhập kiểm tra với trong cơ sở dữ liệu có hay không, nếu có hệ thống sẽ trích
chuỗi salt, ghép nó với password nhận được, thực hiện băm, so sánh kết quả với
giá trị đã lưu trữ.
Nếu trùng khớp, thì người dùng được gán quyền truy cập vào website, ngược
lại, quyền truy cập sẽ bị từ chối. F
M
Đối với lớp thứ hai là xác thực bằng mã OTP
W
Hiệu lực 30- 2 phút
F
M
Đối với lớp thứ hai là xác thực bằng mã OTP
SMS OTP
gửi thông qua tin nhắn trên điện thoại
2
4
Mã OTP phổ biến 1
TOKEN
thiết bị điện tử mà chủ tài khoản được cấp cho khi đăng ký mở tài khoản
thanh toán tại ngân hàng
2
Sacombank
ACB
HSBC
4
Mã OTP phổ biến 1
VOICE OTP
Hệ thống sẽ tự động gọi đến số điện thoại mà bạn đăng ký sử dụng để
cung cấp mật khẩu dùng một lần theo đoạn file đã được ghi âm sẵn
2
4
M
Lý do lựa chọn ?
Dùng lớp thứ 1 là username + password để xác nhận chủ
nhân của tài khoản đó người đăng ký mới có được
username và password để đăng nhập T
F
Ví dụ?
< >
M
Lý do lựa chọn ?
Dùng lớp thứ hai là xác thực mã OTP như một mật khẩu
thứ 2 được gửi về tin nhắn trong điện thoại của người
dùng để xác thực chắc chắn một lần nữa… T
Nếu lộ mật khẩu thì bước Nếu người dùng điền sai
xác nhận OTP giúp bạn W
mã OTP thì bản thân vẫn
ngăn chặn rủi ro vì mã OTP có thể yêu cầu gửi mã
thì chỉ gửi đến số điện thoại mới để truy cập tài khoản
đã đăng ký của chính người chứ không cần phải cố
dùng đó. gắng nhớ lại như mật
Sử dụng mã xác thực OTP T
khẩu tĩnh.
cũng giúp người dùng tiết
kiệm được rất nhiều thời
gian
F