>

Báo cáo gồm có

01 02
LO2 LO4
TÌNH HUỐNG 10 TÌNH HUỐNG 3
LO2

LO4

...

< >
LO2 : tình huống 10
Sinh viên A thực tập tại công ty chuyên cung cấp phần
mềm ERP cho doanh nghiệp, sinh viên này được giao
nhiệm vụ hỗ trợ một nhân viên chính thức của công ty
cùng tham gia bảo trì một hệ thống ERP cho một doanh
nghiệp hoạt động trong lĩnh vực sản xuất và cung cấp
thiết bị văn phòng. Do vậy, sinh viên A dễ dàng tiếp cận
danh sách các công ty cung cấp nguồn nguyên liệu cho
doanh nghiệp này. Trong một lần trò chuyện, sinh viên A
đã vô tình tiết lộ các công ty cung cấp nguồn nguyên liệu
với sinh viên B đang thực tập tại công ty đối thủ.
Câu hỏi:

01 Sinh viên A đã vi phạm nguyên tắc nào

của bộ quy tắc ứng xử ACM ?

02 Trình bày chi tiết nguyên tắc trên?

Giả sử bạn là nhân viên làm việc trong

ngành CNTT, bạn hãy đưa ra và giải thích
03 ít nhất 3 lý do tại sao bạn cần nắm rõ các
một số điều khoản luật trong luật an ninh
mạng
 Các nguyên tắc …? 1

1 2 3
2
Đóng góp cho xã hội
Tránh gây hậu Hãy trung thực và
và làm cho con người
quả tiêu cực đáng tin cậy.
hạnh phúc

3
4 5 6 7
Hãy công bằng Tôn trọng công việc cần Tôn trọng quyền Bảo mật danh dự
thiết để tạo ra các ý riêng tư
tưởng mới, sáng chế, tác
phẩm sáng tạo và các 4
tạo tác điện toán
Sinh viên A đã vi phạm nguyên tắc nào của
bộ quy tắc ứng xử ACM ?
nguyên tắc đạo đức về tính riêng tư và bảo mật
thông tin.
 Tính riêng tư ?

Sinh viên A đã tiết lộ danh sách các công ty cung cấp nguồn nguyên liệu của
doanh nghiệp mà anh ấy đang làm việc đến sinh viên B, người làm việc tại một
công ty đối thủ. Điều này vi phạm tính riêng tư của thông tin của công ty mà sinh
viên A đang thực tập. Thông tin về các công ty cung cấp nguồn nguyên liệu có
thể là thông tin nhạy cảm và không nên được tiết lộ cho bất kỳ ai ngoài những
người có quyền truy cập.
 Tính bảo mật thông tin ?

Sinh viên A làm việc với một nhân viên chính thức của công ty chuyên cung cấp
phần mềm ERP cho doanh nghiệp. Nhưng việc tiết lộ thông tin về các công ty
cung cấp nguồn nguyên liệu cho doanh nghiệp đối tác là không đáng tin cậy và
có thể đe dọa bảo mật thông tin của doanh nghiệp mà sinh viên A đang hỗ trợ.
Nguyên tắc trên được trình bày… 1

Các chuyên gia máy tính thường được giao phó

thông tin bí mật như bí mật thương mại, dữ liệu 2
khách hàng, chiến lược kinh doanh phi công cộng,
thông tin tài chính, dữ liệu nghiên cứu, các bài báo
nghiên cứu trước xuất bản và các ứng dụng bằng
sáng chế.

Các chuyên gia máy tính nên bảo vệ tính bảo mật 3
ngoại trừ trong trường hợp đó là bằng chứng về vi
phạm pháp luật, các quy định của tổ chức hoặc của
Bộ luật.Giữ bí mật mọi thông tin bí mật thu được
trong công việc chuyên môn của họ, một cách phù
hợp với lợi ích công cộng và pháp luật.
4
Đưa ra và giải thích ít nhất 3 lý
do tại sao bạn cần nắm rõ các
một số điều khoản luật trong
luật an ninh mạng ?

< >
Sự cần thiết của Luật an ninh mạng ?

< >
 M
Sự cần thiết của Luật an ninh mạng ?

MXH phát triển -> phát triển kinh tế, tạo thuận
lợi chuyển hóa chính trị, khủng bố

Phát triển trí tuệ nhân tạo, KHCN trên nhiều lĩnh
vực dự báo sẽ gây nên “thảm họa” nếu không
được kiểm soát chặt chẽ

Các thiết bị kết nối internet ngày càng phổ biến

không chỉ mang lại những lợi ích mà còn có thể
bị sử dụng để tiến hành các cuộc tấn công mạng
quy mô lớn.

Các cuộc tấn công mạng có chủ đích chiếm

đoạt thông tin, tài liệu bí mật, chiếm đoạt để sử
dụng các hệ thống dữ liệu lớn, dữ liệu nhanh
phục vụ các ý đồ chính trị
 Vì thế mỗi chúng ta
cần nắm rõ các một số
điều khoản luật trong
luật an ninh mạng vì
những lý do sau đây…
 M
Lý do ?

T
Đảm bảo quyền lợi của cá nhân
và gia đình trên không gian
mạng
W

hiểu rõ luật an ninh mạng chính là bảo vệ T

quyền và lợi ích của mình trong quá trình
tham gia vào không gian mạng, hiểu luật
trước, để tuyên truyền, mách bảo chính
người thân của mình không bị nguy hiểm.
F
 M
Lý do ?

T
phòng chống được các cuộc đe dọa
tấn công mạng có chủ đích, cố ý xâm
chiếm, phá hoại
W

giúp ta bình tĩnh hơn trước các mối

đe dọa ấy, biết chủ động phát hiện
T
nhận diện và tránh được các cuộc tấn
côngnguy hiểm để không bị rơi vào
tình trạng mất tất cả các thông tin, dữ
liệu quan trọng
 Lý do ? 1

không bị rơi vào các có được cái nhìn đúng đắn cử xử hợp pháp, không
trường hợp vi phạm pháp thực hiện những hành vi trái pháp luật, trái đạo đức 2
luật ngoài ý muốn

Không hiểu luật ?

3
bị các đối tượng xấu lợi dụng, lôi kéo để phục vụ mục
đích xấu như chống phá nhà nước, hay vận chuyển
hàng cấm, lậu trái phép. Khi đó ta sẽ phải trả một cái
giá rất đắt nếu ta bị bắt, tối đa là tử hình
4
 M
Lý do ?

T
xây dựng được môi trường văn
Nâng cao ý thức phòng tránh, tự vệ
hóa mạng xã hội lành mạnh
cho bản thân khi tham gia các trang
mạng xã hội hoặc các hoạt động trên
không gian mạng W

Nếu có trường hợp xấu xảy ra cũng

kịp thời cung cấp thông tin, làm theo
hướng dẫn của cơ quan nhà nước có
thẩm quyền giúp ta giải quyết được
mối nguy hiểm đó
F
Lý do ? 1

mở rộng hợp tác quốc tế về an ninh mạng

2

trên cơ sở tôn trọng độc

lập, chủ quyền, bình đẳng, 3
cùng có lợi

phù hợp với pháp luật trong

nước và điều ước quốc tế mà
nước ta tham gia ký kết. 4
 Lý do ? 1

cơ sở pháp lí cho những tranh

chấp xảy ra trên không gian mạng

2
Không gian mạng cũng giống ngoài
thế giới thực đều có nguy cơ xảy ra
các tranh chấp và bất bình trong
quá trình làm việc với nhau
3
luật an ninh mạng ra đời là để đảm
bảo được những quy tắc và quy định
của chính phủ luôn được tuân thủ
nghiêm ngặt và công bằng nhất trong
mọi tình huống. 4
LO2

LO4

Wknd

...

< >
LO4 : tình huống 3
Để phục vụ cho nhu cầu học tập và tra cứu của cán bộ,
giảng viên và sinh viên của trường, nhà trường đã xây
dựng một hệ thống thư viện trực tuyến
www.thuviendientu.iuh.edu.vn, hệ thống giúp độc giả
(cán bộ, giảng viên và sinh viên của trường) có thể tìm
kiếm các loại sách, báo, tạp chí,… Đối với tài liệu điện tử
thì độc giả có thể đọc trực tuyến hoặc tải về, đối với sách
trong thư viện thì độc giả có thể đăng ký mượn. Độc giả
02 cũng có thể yêu cầu mua các loại tài liệu điện tử và thanh
toán phí mua trực tuyến. Hệ thống cũng giúp cho các thủ
thư có thể quản lý thông tin mượn và trả sách của độc
giả, hệ thống còn có tính năng thông báo nhắc nhở đến
hạn trả sách bằng email, tạo báo cáo, thống kê.
Câu hỏi:

01 Chỉ ra ít nhất 2 loại thông tin/dữ liệu/chức

năng nào cần nâng cao tính an toàn và
nêu lý do tại sao?

02 Đưa ra giải pháp để cài đặt nâng cao tính

an toàn cho từ loại thông tin/dữ liệu/chức
năng ở trên?
 Thứ cần nâng cao bảo mật
Chức năng thanh
LO2 Thông tin cá nhân
toán phí mua trực
độc giả
tuyến

Tính bảo mật Tính bảo mật

LO4
Tính toàn vẹn Tính xác thực

Tính toàn vẹn

Tính sẵn sàng

...
Tính chống thoái thác
... <

>
 Thông tin cá nhân
Bao gồm

CMND/CCCD Địa chỉ nhà

Các thông tin nhận

dạng khác

Email
SĐT
 Tại sao phải nâng cao
tính bảo mật và tính toàn vẹn ?
Tính bảo mật được hiểu là …

Chỉ được phép truy cập bởi những

đối tượng được cấp phép

< >
 Những thông tin cá nhân trên là những
thông tin riêng tư cần tính bảo mật cao,
chỉ có độc giả mới có thể được truy xuất,
không ai có thể tùy ý truy xuất được.
Nếu không có tính bảo mật ?

Kẻ gian - Hacker
tấn công và đánh cắp
các thông tin

Bên thứ 3
bán lại cho bên thứ ba
 Nếu không có tính bảo mật ?

Độc giả bị quấy rầy

các cuộc gọi mời chào thông tin cá nhân bị tung đầy
bảo hiểm, đầu tư bất và rao bán trên các trang web
động sản, chứng khoán không chính thống.

tống tiền,chiếm đoạt tài

sản, xúc phạm danh dự
nhân phẩm
Tính toàn vẹn được hiểu là… ?
thông tin được lưu trữ hoặc truyền
tải một cách chính xác và nhất
quán. Điều này giúp ngăn chặn
việc dữ liệu bị thay đổi sai hoặc bị
sửa đổi một cách trái phép.
 Nếu không có tính toàn vẹn ?
mọi người đều có thể tùy ý thêm, xóa, sửa những thông tin gây khó
khăn cho việc quản lý của thư viện và tâm lý hoang mang cho độc giả

< >
 Thứ cần nâng cao bảo mật
Chức năng thanh
LO2 Thông tin cá nhân
toán phí mua trực
độc giả
tuyến

Tính bảo mật Tính bảo mật

LO4
Tính toàn vẹn Tính xác thực

Tính toàn vẹn

Tính sẵn sàng

...
Tính chống thoái thác
... <

>
LO2

LO4

...
... <

>
 Cần phải nâng cao….

Tính xác thực Tính bảo mật Tính toàn vẹn

Tính sẵn sàng Tính chống thoái thác

< >
Khi thanh toán cần đảm bảo người thanh
toán là chủ tài khoản
Nếu không đảm bảo….

Kẻ xấu lợi dụng rút/ chuyền tiền phi pháp.

Tài khoản của độc giả bị đánh cắp tiền, thông tin…
Lý do phải nâng cao…

Tính bảo mật Tính toàn vẹn

khi nhập số tiền và thực hiện
thẻ ngân hàng và ví thanh toán để bị chuyển khoản thì hệ thống cần
đánh cắp và sử dụng để trộm tiền đảm bảo số tiền đến tài khoản thư
trong quá trình thanh toán viện đúng với số tiền đã nhập

Nếu không đảm bảo…. Nếu không đảm bảo….

Độc giả bị mất tiền , mất Kẻ xấu sửa số tiền + thông

lòng tin ở thư viện. tin người nhận. Thư viện và
Thư viện mất khách hàng độc giả sẽ xảy ra những
tiềm năng , doanh thu giảm tranh chấp vì mất tiền vô cớ.
Đánh mất lòng tin độc giả.
 khả năng của một hệ thống
thông tin được truy cập vào
đúng thời điểm, bởi đúng
người và được cung cấp đúng
các tài nguyên cần thiết.

Nếu không đảm bảo….

Hệ thống bị treo khi thanh toán gây tâm lý hoang mang, mất thời gian.
Không truy cập được đúng lúc mong muốn, khách hàng không mua
sách ở thư viện nữa…
 Nếu không đảm bảo….

Hoàn thành thanh toán Thư viện không giao sách vì gây thiệt hại cho khách hàng
không có xác nhận không nhận được thanh toán và giảm uy tín cho thư viện.
và khách hàng không có minh
chứng
 Nếu không đảm bảo….

khách hàng đăng ký mua hệ thống không có xác

thư viện bị mất phí
sách và thanh toán khi thực khách đã đặt mua và
chuyển, phí đóng gói
nhận hàng khách hàng có thể từ chối
trách nhiệm đã mua
LO2

LO4

...
...

< >
 Giải pháp

LO2

LO4
thông tin cá nhân chức năng thanh toán
của độc giả phí mua trực tuyến
xác thực và điều khiển bảo mật bằng hai lớp; lớp
truy cập bằng username thứ nhất là user name +
... + password password, lớp thứ hai là xác
...
thực bằng OTP
< >
 Mô tả phương pháp 1

2
Có phương pháp để
cài đặt nâng cao tính
an toàn cho thông tin
trên không ?
3

4
< >
Mô tả phương pháp xác thực và điều khiển truy cập bằng
username + password

đăng ký tài khoản người dùng

Mỗi độc giả có 1 tài khoản người dùng để xuất vào hệ thống và
chỉ truy xuất được những thông tin riêng tư của bản thân
hoặc được gán quyền truy xuất.
Mô tả phương pháp

đăng ký tài khoản người dùng

nhập tất cả các thông tin cá nhân của mình như họ và tên,
ngày sinh, chứng minh thư, địa chỉ, số điện thoại
 8 kí tự bao gồm chữ
thường, chữ in hoa, số, ký
tự đặc biệt,...) và mật khẩu
sẽ được nhập lại 2 lần để
đảm bảo chắc chấn

hệ thống sẽ tạo mật khẩu cho người dùng bằng cách

để người dùng tùy ý chọn một tên username tùy
theo mỗi người và một mật khẩu
cài đặt username + password
hệ thống sẽ lấy password đưa qua hàm băm tạo
ra một mã băm, sau đó user name cùng với mã
băm vừa tạo sẽ được lưu trữ trong một file.
 Khi người dùng nhập user name/ID và password, hệ thống sẽ lấy user name/id vừa nhập kiểm
tra với trong cơ sở dữ liệu có hay không, nếu có hệ thống bắt đầu tính toán giá trị băm của mật
khẩu được nhập và so sánh với giá trị băm đã được lưu trong tập tin. Nếu trùng khớp, thì người
dùng được gán quyền truy cập vào hệ thống, ngược lại, quyền truy cập sẽ bị từ chối.
Đơn giản, ít tốn chi phí và hữu hiệu nhất để xác thực người dùng và gán
quyền truy xuất dữ liệu.

Chỉ có chủ nhân mới có thể truy

xuất (đọc/thêm/xóa/sửa) được
thông tin cá nhân

băm mật khẩu giúp mật khẩu tránh bị đánh cắp, khó đoán và khôi phục
lại mật khẩu gốc từ bảng băm cũng rất khó khăn và tốn nhiều chi phí
 Sinh trắc học
có nên được sử dụng
trong trường hợp này ?

< >
 Chi phí khá đắt, tốn nhiều thời gian cho việc lấy khuôn mẫu của tất cả sinh viên,
cán bộ, giảng viên trong trường.

Lấy ví dụ: trình đọc khuôn mặt có thể gặp sự cố khi quét khuôn mặt của ai đó
nếu ánh sáng kém hoặc khuôn mặt của người đó bị che khuất.

Trong trường hợp tay bị ướt, quá lạnh, bị mòn hay bị thương thì sẽ khó xác định
được dấu vân tay.

< >
 M
Đối với lớp thứ nhất username + password

T
Khi đăng ký tài khoản, hệ thống sẽ yêu cầu người dùng cung cấp một
user name và một password, sau đó hệ thống tiếp tục tạo ra cho người
dùng một chuỗi ngẫu nhiên gọi là Salt
F
 M
Đối với lớp thứ nhất username + password

T
Hệ thống sẽ lưu trữ thông tin chứa tài khoản vào tập tin bao gồm: user
name, salt, giá trị băm

F
 M
Đối với lớp thứ nhất username + password

Khi người dùng nhập user name/ID và password, hệ thống sẽ lấy user name/id T
vừa nhập kiểm tra với trong cơ sở dữ liệu có hay không, nếu có hệ thống sẽ trích
chuỗi salt, ghép nó với password nhận được, thực hiện băm, so sánh kết quả với
giá trị đã lưu trữ.
Nếu trùng khớp, thì người dùng được gán quyền truy cập vào website, ngược
lại, quyền truy cập sẽ bị từ chối. F
 M
Đối với lớp thứ hai là xác thực bằng mã OTP

OTP- One Time Password, có nghĩa là

mật khẩu chỉ dùng một lần.

W
Hiệu lực 30- 2 phút

Giúp chặn đứng, giảm thiểu những không T

may bị tiến công khi mật khẩu bị lộ hoặc
hacker xâm nhập

F
 M
Đối với lớp thứ hai là xác thực bằng mã OTP

Bước 1 Bước 2 Bước 3

W
Khi người dùng tiến Lựa chọn về hình Hệ thống website sẽ
hành đăng nhập trên thức thanh toán, lúc tự động gửi một dãy
website bằng user và này website sẽ yêu số (mã OTP) về chính
password đã đăng cầu về việc xác nhận điện thoại đã đăng
lại thông tin như tên, ký của người dùng T
ký.
Đăng nhập thành địa chỉ, số tiền, hình qua SMS.
công thức chuyển… Nhập mã và hoàn tất
Xác thực giao dịch
F
Mã OTP phổ biến 1

SMS OTP
gửi thông qua tin nhắn trên điện thoại
2

4
 Mã OTP phổ biến 1

TOKEN
thiết bị điện tử mà chủ tài khoản được cấp cho khi đăng ký mở tài khoản
thanh toán tại ngân hàng
2
Sacombank
ACB
HSBC

4
 Mã OTP phổ biến 1

VOICE OTP
Hệ thống sẽ tự động gọi đến số điện thoại mà bạn đăng ký sử dụng để
cung cấp mật khẩu dùng một lần theo đoạn file đã được ghi âm sẵn
2

4
 M
Lý do lựa chọn ?
Dùng lớp thứ 1 là username + password để xác nhận chủ
nhân của tài khoản đó người đăng ký mới có được
username và password để đăng nhập T

Nếu chỉ lưu trữ mật khẩu

W
Hình thức này khá là đơn trong cơ sở dữ liệu là một
giản và nhanh chóng, phương pháp rất không
thông dụng đối với tất cả an toàn. Bất kỳ tin tặc
người dùng. Việc dùng salt lành nghề nào cũng có
làm cho các kỹ thuật tấn thể xâm nhập vào cơ sở
công mật khẩu trở nên dữ liệu và giành quyền T
khó khăn truy cập vào tất cả các tài
khoản trên trang web.

F
Ví dụ?

< >
 M
Lý do lựa chọn ?
Dùng lớp thứ hai là xác thực mã OTP như một mật khẩu
thứ 2 được gửi về tin nhắn trong điện thoại của người
dùng để xác thực chắc chắn một lần nữa… T

Nếu lộ mật khẩu thì bước Nếu người dùng điền sai
xác nhận OTP giúp bạn W
mã OTP thì bản thân vẫn
ngăn chặn rủi ro vì mã OTP có thể yêu cầu gửi mã
thì chỉ gửi đến số điện thoại mới để truy cập tài khoản
đã đăng ký của chính người chứ không cần phải cố
dùng đó. gắng nhớ lại như mật
Sử dụng mã xác thực OTP T
khẩu tĩnh.
cũng giúp người dùng tiết
kiệm được rất nhiều thời
gian
F