Câu hỏi ôn tập LO3 (gợi ý dành cho sinh viên)

1. Đưa ra một hệ thống thông tin hoặc một trang web thực tế ở Việt Nam mà có sử dụng chữ ký điện tử?
Nghiệp vụ nào trong hệ thống đó có sử dụng chữ ký số? Trình bày các bước cụ thể để người dùng
trong hệ thống này thực hiện nghiệp vụ có sử dụng chữ ký số. (gợi ý: Website của cơ quan Thuế,
Wibsite của cơ quan Hải quan, Website của cơ quan Bảo hiểm xã hội, ....)v
2. Chứng thư số là gì? Mục tiêu của chứng thư số? Hiện nay Việt Nam đã có các đơn vị nào có thể cung
cập dịch vụ chứng thư số?v
3. Chứng thư số là gì? Nội dung có trong chứng thư số là gồm những nội dung gì?
4. Chứng thực thực thể là gì? Trình này 2 phương pháp mà bạn biết mà có thể cài đặt để chứng thực thực
thể.
5. Điều khiển truy cập là gì? Trình bày ít nhất 2 phương pháp mà bạn biết mà có thể cài đặt điều khiển
truy cập một hệ thống thông tin.v
6. Mật khẩu (password) là gì? Mật khẩu cố định (fixed password) và mật khẩu dùng một lần (one time
password) khác nhau như thế nào? Trình bày điểm mạnh và điểm yếu của 2 loại mật khẩu.
7. Trình bày các loại mã OPT, nêu ưu điểm và nhược điểm của từng loại.
8. Đưa ra một hệ thống mà bạn biết có sử dụng mật khẩu cố định (fixed password) và mô tả các bước
thực hiện để bạn có thể được chứng thực người dùng trong hệ thống đó. Nêu mục tiêu của việc chứng
thực này.
9. Đưa ra một hệ thống mà bạn biết có sử dụng mật khẩu dùng một lần (one time password) và mô tả tình
huống mà bạn có sử dụng mật khẩu để chứng thực người dùng/giao dịch. Nêu mục tiêu của việc chứng
thực này.
10. Sinh trắc học (biometric) là gì? Nêu các lĩnh vực mà có thể áp dụng sinh trắc học?
11. Nêu ưu điểm và nhược điểm của việc áp dụng chứng thực bằng sinh trắc học.
12. Hệ thống quản lý an toàn thông tin là gì? Mục tiêu của hệ thống an toàn toàn thông tin?

1. Chữ ký điện tử là gì? Mục tiêu của chữ ký điện tử? Trình bày hiện trạng áp dụng chữ ký điện tử ở
Việt Nam
(gợi ý: Định nghĩa chữ ký điện tử: ứng dụng của mã hóa khóa công khai, người dùng có (PUA,
PRA); Tạo chữ ký: SAM=E(M,PRA) – giải thích; Thẩm tra chữ ký D(SAM, PUA) - Yes/No –
Giải thích; Mục tiêu của chữ ký số; Hiện trạng áp dụng chữ ký: 4 lĩnh vực đó là cơ quan
Thuế, Bảo hiểm xã hội, Hải quan và Chứng khoán)

Khái niệm chữ ký điện tử: Theo quy định tại Khoản 1, Điều 21, Luật giao dịch điện tử năm 2005, chữ ký
điện tử (Electronic signature) được tạo lập dưới dạng chữ, số, từ, ký hiệu, âm thanh hoặc các hình thức
khác bằng phương tiện điện tử, gắn liền hoặc kết hợp một cách logic với thông điệp dữ liệu, có khả năng
xác minh người ký và sự chấp thuận của người đó đối với nội dung thông điệp dữ liệu được ký.

Như vậy, có thể hiểu đơn giản: Chữ ký điện tử là một đoạn thông tin đi kèm dữ liệu điện tử, mục tiêu xác
nhận người ký thông điệp dữ liệu và xác nhận sự chấp thuận của người ấy với nội dung đã được ký. Chữ
ký điện tử được chứng thực bởi tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử.
Mục tiêu của chữ ký điện tử:

+Giúp xác minh chủ thể là ai: Tăng khả năng bảo mật, chống giả mạo, cho phép chủ thẻ xác minh danh
tính của mình trên các hệ thống khác nhau như xe bus, thẻ rút tiền ATM, hộ chiếu điện tử tại các cửa khẩu,
kiểm soát hải quan….
+Chữ ký số được sử dụng để kê khai hồ sơ nộp thuế trực tuyến, tiến hành kê khai hải quan điện tử hoặc
thực hiện giao dịch chứng khoán điện tử… Khi sử dụng chữ ký điện tử các công ty, doanh nghiệp sẽ không
phải in các tờ kê khai, đóng dấu đỏ như trước mà chỉ cần sử dụng chữ ký số và thực hiện kê khai trên phần
mềm.
+ Chữ ký số đảm bảo tính an ninh tốt, an toàn và chính xác tính bảo mật cao, thông qua chữ ký số thì các
thông tin được toàn vẹn dữ liệu và là bằng chứng chống chối bỏ trách nhiệm trên nội dung đã ký kết. Việc
ký chữ ký số giúp cho các tổ chức, cá nhân yên tâm hơn với các giao dịch điện tử của mình.
+ Chữ ký số giúp việc trao đổi dữ liệu giữa cơ quan nhà nước và các cá nhân, tổ chức được đơn giản hóa
thủ tục hành chính, việc trao đổi cũng thuận tiện và dễ dàng, nhanh chóng, vừa tiết kiệm thời gian, chi phí
đi lại mà lại vừa đảm bảo tính pháp lý.
+ Ngoài ra chữ ký số còn được sử dụng khá phổ biến trong các hoạt động của doanh nghiệp, khi các doanh
nghiệp sử dụng để ký kết hợp đồng với các đối tác thông qua mạng trực tuyến khi 02 bên ở quá xa mà
không thể sắp xếp để gặp nhau được.
Như vậy chữ ký số có vai trò rất quan trọng với hoạt động của cơ quan, doanh nghiệp, nhất là trong tình
trạng thời đại công nghệ 4.0 ngày càng phát triển. Ngày nay, sự ra đời của chữ ký số vừa đảm bảo tuyệt đối
giá trị pháp lý, vừa đảm bảo được tính an toàn bảo mật.
Đồng thời chữ ký số còn giúp người sử dụng thuận lợi trong các giao dịch thư điện tử, trong các hoạt động
mua sắm, hay thực hiện các thủ tục với cơ quan thuế, cơ quan bảo hiểm xã hội, ngân hàng….
Trình bày hiện trạng áp dụng chữ ký điện tử ở Việt Nam
Một số ứng dụng chữ ký số điện tử điển hình:
- Ứng dụng trong Chính phủ điện tử.
+ Ứng dụng của Bộ Tài chính + Ứng dụng của Bộ Công thương + Ứng dụng của Bộ KHCN…
- Ứng dụng trong Thương mại điện tử
+ Mua bán, đặt hàng trực tuyến + Thanh toán trực tuyến, …
- Ứng dụng trong giao dịch trực tuyến: + Giao dịch qua email
- Hội nghị truyền hình và làm việc từ xa với Mega e-Meeting
Hiện nay tại Việt Nam, chữ ký số được áp dụng trong 4 lĩnh vực: đó là cơ quan Thuế, Bảo hiểm xã hội,
Hải quan và Chứng khoán.
Làm thế nào để tạo ra một chữ ký điện tử?
Chữ ký điện tử yêu cầu phải sử dụng một mã hóa khóa công cộng (public key). Nếu muốn tạo chữ
ký điện tử thì cần phải có thêm cả mã hóa khóa cá nhân (private key). Bạn dùng khóa cá nhân để ký
- Chỉ là một dạng mã - sau đó chỉ cung cấp khóa công cộng cho người cần xác nhận chữ ký đó
(chẳng hạn như ngân hàng, nơi bạn vay tiền).
Một số ví dụ có liên quan đến chữ kí điện tử:
- Mặc dù chưa có bất kỳ án lệ nào của tòa án giải quyết cụ thể vấn đề về hiệu lực của các hợp đồng
được ký bằng chữ ký điện tử, đã có các án lệ và bản án cho thấy các tòa án Việt Nam thiên về cách
tiếp cận chú trọng nội dung (tức là xem xét ý chí thực sự của các bên trong giao dịch) hơn là hình
thức thể hiện sự chấp thuận đối với nội dung đó (tức là xem xét hình thức hợp đồng và chữ ký).
Trong một số án lệ và bản án, Tòa án nhân dân tối cao đã ra phán quyết rằng, hành vi của các bên
trong quá trình giao kết và thực hiện hợp đồng có giá trị quan trọng để xác định ý chí của các bên
trong hợp đồng và cho dù hợp đồng không được ký bởi các bên có liên quan, hợp đồng đó vẫn
không bị vô hiệu.
- Án lệ số 07/2016/AL ngày 17/10/2016 về công nhận hợp đồng mua bán nhà được xác lập trước
ngày 1 tháng 7 năm 1991(tranh chấp giữa Nguyễn Đình Sông, Nguyễn Thị Hồng, Nguyễn Thị
Hương với Đỗ Trọng Thành, Đỗ Thị Nguyệt, Vương Chí Tường, Vương Chí Thắng, Vương Bích Vân,
Vương Bích Hợp - Án lệ 07

2.Đưa ra một hệ thống thông tin hoặc một trang web thực tế ở Việt Nam mà có sử dụng chữ ký điện
tử? Nghiệp vụ nào trong hệ thống đó có sử dụng chữ ký số? Trình bày các bước cụ thể để người
dùng trong hệ thống này thực hiện nghiệp vụ có sử dụng chữ ký số. (gợi ý: Website của cơ quan
Thuế, Wibsite của cơ quan Hải quan, Website của cơ quan Bảo hiểm xã hội, ....)
Một trang web thực tế ở Việt Nam mà có sử dụng chữ ký điện tử? Website của cơ quan Thuế
Nghiệp vụ nào trong hệ thống đó có sử dụng chữ ký số? Nộp thuế điện tử(trực tuyến)
Trình bày các bước cụ thể để người dùng trong hệ thống này thực hiện nghiệp vụ có sử dụng
chữ ký số?
Hướng dẫn cá nhân, doanh nghiệp sử dụng chữ ký số để nộp thuế điện tử:
Bước1: Đăng nhập vào Trang thông tin điện tử của Tổng cục Thuế tại
http://thuedientu.gdt.gov.vn
Bước2: Lập giấy nộp tiền
- Sau khi đăng nhập thành công, doanh nghiệp lập giấy nộp tiền theo các bước dưới đây:
- Tại mục “Nộp thuế” nhấn chọn “Lập giấy nộp tiền”
- Lựa chọn “Ngân hàng nộp thuế” và nhấn "Tiếp tục"
Bước 3: Khai báo thông tin trên tờ khai
- Trong quá trình hoàn tất thủ tục nộp thuế điện tử, doanh nghiệp cần khai báo đầy đủ và chính xác
những nội dung sau trong tờ khai thuế:
+ Thông tin loại tiền: Chọn “VND” nếu đơn vị thuộc diện nộp thuế bằng đồng Việt Nam, trường
hợp thuộc diện nộp thuế ngoại tệ thì đơn vị chọn đúng loại ngoại tệ mình sử dụng.
+ Thông tin ngân hàng: Chọn ngân hàng và số tài khoản để trích tiền
+ Thông tin cơ quan quản lý thu: Chính là thông tin cơ quan thuế quản lý đơn vị.
+ Thông tin nơi phát sinh khoản thu: Điền địa chỉ nơi phát sinh khoản thu theo quy định của từng
Cục Thuế hoặc Chi cục thuế địa phương.
+ Thông tin kho bạc nhận tiền.
+ Loại thuế: Chọn tương ứng theo mục đích nộp thuế của đơn vị.
- Tại mục “Nội dung các khoản nộp NSNN” bạn tích chọn vào ô vuông 3 chấm để chọn loại thuế muốn
nộp
- Tại mục Nội dung các khoản nộp danh sách: Nhập mã NDKT
Lưu ý:
+ Căn cứ vào vốn điều lệ ghi trong Giấy Đăng ký kinh doanh. Trường hợp không có vốn điều lệ thì
căn cứ vào vốn đầu tư ghi trong giấy chứng nhận đăng ý đầu tư.
+ Đối với công ty, doanh nghiệp, tổ chức mới thành lập cần nộp Thuế môn bài: Nếu được cấp đăng
ký thuế và mã số thuế, mã số doanh nghiệp trong thời gian của 6 tháng đầu năm thì nộp mức lệ phí
môn bài cả năm; Nếu thành lập, được cấp đăng ký thuế và mã số thuế, mã số doanh nghiệp trong thời gian
6 tháng cuối năm (từ ngày 1/7 đến 31/12) thì nộp 50% mức lệ phí môn bài cho năm đầu tiên.
- Sau khi nhập xong giá trị vào ô Mã “NDKT”, hệ thống sẽ tự sinh các thông tin tương ứng theo quy
định của pháp luật.
- Người dùng khai báo thông tin đầy đủ và chính xác, nhấn “Hoàn thành” để tạo lập xong tờ khai.
Bước 4: Ký số
- Bước cuối cùng để hoàn thành thủ tục nộp thuế điện tử là ký số. Doanh nghiệp cần kiểm tra lại
thông tin vừa khai báo trong Giấy nộp tiền vào ngân sách nhà nước. Nếu thông tin đã chính xác,
người dùng cắm chữ ký số của doanh nghiệp và tiếp tục nhấn “Ký và nộp”.
- Sau đó, nhập mã PIN và nhấn “OK”.
Như vậy, doanh nghiệp đã hoàn thành xong việc nộp tiền một mục thuế, trường hợp cần nộp nhiều
mục thì đơn vị thực hiện lặp lại từ bước Lập giấy nộp tin
1. 3. Chứng thư số là gì? Mục tiêu của chứng thư số? Hiện nay Việt Nam đã có các đơn vị nào có
thể cung cập dịch vụ chứng thư số? Nội dung có trong chứng thư số là gồm những nội dung gì?

Chứng thư số là một loại chứng thư điện tử do tổ chức dịch vụ chứng thực chữ ký số cung cấp. Chứng thư
số có thể được coi như một “chứng minh nhân dân/ căn cuốc công dân hoặc hộ chiếu” của doanh nghiệp
với vai trò xác nhận danh tính của doanh nghiệp trong môi trường của máy tính và Internet với một public
key, được cấp bởi tổ chức có thẩm quyền xác định nhận danh và có quyền cấp chứng thư số.
Chứng thư số được hiểu là chứng minh tính hợp lệ, hợp pháp đích danh của chữ ký số của 1 cá nhân hay
tổ chức. Thông thường, chứng thư số là cặp khóa và đã được mã hóa dữ liệu gồm các thông tin như: Công
ty, mã số thuế của doanh nghiệp… Các tài liệu này sẽ sử dụng để nộp thuế qua mạng, khai báo hải quan và
thực hiện giao dịch điện tử khác như hóa đơn điện tử
Mục tiêu của chứng thư số: Với chứng thư số người dùng có thể:
+ Xác định danh tính người dùng khi đăng nhập vào một hệ thống (xác thực). Đảm bảo sự an toàn trong
thương mại điện tử.
+ Hỗ trợ ký số các loại văn bản, tài liệu, hợp đồng, hóa đơn,… dưới file doc, pdf hoặc một tệp tài liệu
+Mã hóa thông tin để đảm bảo bí mật giữa người gửi và người nhận thông qua mạng internet
+ Thực hiện các kênh liên lạc trao đổi thông tin bí mật với các thực thể khác trên mạng, ví dụ như thực
hiện kênh liên lạc bí mật giữa người dùng với webserver
Các đơn vị tại Việt Nam cung cấp chứng thư số:
1. Công ty Cổ phần Đầu tư Công nghệ và Thương mại Softdreams (EASYCA) 2.Tập đoàn Bưu chính
Viễn thông Việt Nam (VNPT-CA) 3. Công ty cổ phần Công nghệ thẻ Nacencomm (CA2) 4 Công ty cổ
phần BKAV (BKAV-CA) 5 Tập đoàn Viễn thông quân đội Viettel (VIETTEL-CA) 6.Công ty cổ phần
Hệ thống Thông tin FPT (FPT-CA) 7.Công ty Cổ phần Viễn thông New-Telecom (NEWTEL-CA)

8. Công ty Cổ phần Chứng số an toàn (SAFE-CA) 9. Công ty Cổ phần Chữ ký số ViNa (Smartsign)

10. Công ty Cổ phần Công nghệ Tin học EFY Việt Nam (EFY-CA) 11. Công ty Cổ phần Công nghệ
SAVIS (TrustCA) 12. Công ty Cổ phần MISA (MISA-CA) 13. Công ty Cổ phần Tập đoàn Công nghệ
CMC (CMC-CA) 14. Công ty Cổ phần hỗ trợ doanh nghiệp và đầu tư Hà Nội(NC-CA) 15. Công ty
TNHH L.C.S(LCS-CA) 16.Công ty Cổ phần chữ ký số FastCA(FASTCA)

Nội dung có trong chứng thư số là gồm những nội dung gì?
- Hiện nay, chứng thư số do Tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia, tổ chức cung
cấp dịch vụ chứng thực chữ ký số công cộng, tổ chức cung cấp dịch vụ chứng thực chữ ký số
chuyên dùng Chính phủ, tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng của cơ quan,
tổ chức khi được cấp sẽ phải bao gồm đầy đủ các nội dung sau:

 Tên của tổ chức cung cấp dịch vụ chứng thực chữ ký số.
 Tên của thuê bao.
 Số hiệu chứng thư số.
 Thời hạn có hiệu lực của chứng thư số.  Các hạn chế về trách nhiệm pháp lý của tổ
 Khóa công khai của thuê bao. chức cung cấp dịch vụ chứng thực chữ ký
 Chữ ký số của tổ chức cung cấp dịch vụ số.
chứng thực chữ ký số.  Thuật toán mật mã.
 Các hạn chế về mục đích, phạm vi sử  Các nội dung cần thiết khác theo quy định
dụng của chứng thư số. của Bộ Thông tin và Truyền thông.
Theo đúng quy định, chỉ khi chứng thư số đáp ứng đầy đủ các nội dung yêu cầu trên thì mới có đủ tính
pháp lý.

5.Chứng thực thực thể là gì? Trình này 2 phương pháp mà bạn biết mà có thể cài đặt để chứng thực
thực thể.
Chứng thực thực thể: Là một kỹ thuật cho phép một bên (party) chứng minh sự nhận dạng (identify) của
một bên khác.
– Trong đó thực thể (entity) có thể là một người hoặc tiến trình hoặc server. Thực thể mà idenity cần chứng
mình được gọi là người thỉnh cầu (Claimant). Bên mà cố gắng chứng minh identity của cliamant được gọi
là người thẩm định (verifier)
Trình này 2 phương pháp mà bạn biết mà có thể cài đặt để chứng thực thực thể:
Có 4 phương pháp: + Chứng thực bằng Challenge – Response.
+ Chứng thực bằng Password. + Chứng thực bằng Zero – Knowledge.
+ Chứng thực bằng Sinh trắc học.
Chứng thực thực thể bằng sinh trắc học (Biometrics) là sử dụng các phép đo lường về các đặc tính sinh
lí học hoặc hành vi học mà nhận dạng một con người, các đặc thù của sinh trắc học không thể đoán, ăn cắp
hay chia sẻ. ví dụ như vân tay, vân lòng bàn tay, võng mạc, móng mắt, khuôn mặt, giọng nói…
Ưu điểm + Sự tác động của người dùng thấp
+ Có độ chính xác cao + Có sự kết hợp nhiều yếu tố: vân tay, võng mạc,
giọng nói.
+ thời gian chứng thực rất nhanh (nhỏ hơn 1s)
Nhược điểm:
+ Giá thành: triển khai hệ thống sinh trắc học đòi hỏi chi phí cao cho cả phần cứng (thiết bị thu/quét, và
nhận dạng) với các phần mềm hiện đại.
+Có thể nhận diện sai: do hư hỏng phần cứng, lỗi phần mềm làm cho hệ thống từ chối người dùng mặc dù
đúng người.
Hiện nay: công nghệ chứng thực bằng sinh trắc học được áp dụng rộng rãi hơn ở những ngân hàng, các
công ty (dùng chấm công, điểm danh) hay thực hiện bảo mật dữ liệu cá nhân trên các thiết bị di động cao
cấp…
Hệ xác thực bằng mật khẩu
Phương pháp sử dụng mật khẩu: là một ví dụ điển hình của cơ chế xác thực dựa trên điều mà thực thể
biết: NSD (người sử dụng) đưa ra một mật khẩu và hệ thống sẽ xác minh nó. Nếu mật khẩu quả thật là cái
được đăng ký trước với NSD, danh tính của NSD sẽ được xác thực. Ngược lại, mật khẩu sẽ bị từ chối và
thủ tục xác thực thất bại. Thông thường mật khẩu là một chuỗi ký tự có độ dài xác định; ký tự mật khẩu
phải được chọn từ một bộ (bảng) ký tự qui định trước. Không gian mật khẩu là tập tất cả các mật khẩu có
thể xây dựng được từ qui ước mật khẩu. Ví dụ, có một hệ thống yêu cầu mật khẩu phải là một chuỗi 8 chữ
số (tức là ký tự ‘0’- ‘9’); như vậy không gian mật khẩu là tập tất cả các chuỗi 8 chữ số (“00000000” đến
“99999999”), và như vậy không gian này có 108 mật khẩu.
-Ưu điểm: +Sự chứng thực bằng giao thức chứng thực bằng
mật khẩu chưa đủ sự an toàn và tin cậy vì thông
+Tiện lợi
tin chứng thực được trao đổi không an toàn trong
+ Chi phí thấp môi trường mạng công cộng Internet nên các tội
phạm tin học có thể nghe trôm, đánh cắp thông
- Khuyết điểm:
tin để từ đó đoán ra được mật khẩu truy nhập vào
+Mức độ bảo mật phụ thuộc vào độ phức tạp của hệ thống.
password
6. Điều khiển truy cập là gì? Trình bày ít nhất 2 phương pháp mà bạn biết mà có thể cài đặt điều
khiển truy cập một hệ thống thông tin.
Điều khiển truy cập (access control) là thuật ngữ sử dụng trong các lĩnh vực kiểm soát bảo mật và an ninh.
Nó ám chỉ đến sự hạn chế về quyền tiếp cận, truy cập, xâm nhập vào một địa chỉ có thực như một ngôi
nhà, văn phòng làm việc, công ty…tác dụng chính của Access Control là để phân quyền người dùng (chỉ
cho phép những người nào được truy cập vào địa chỉ nào). Còn được gọi là hệ thống kiểm soát vào ra, AC
có nhiều cách thực hiện. Có thể bằng sức người như bảo vệ, an ninh tòa nhà, hay kiểm soát bằng các loại
máy móc như barrier tự động, khóa cửa điện tử.
Hiện nay với trình độ khoa học kỹ thuật ngày càng hiện đại. Điều khiển truy cập đang phát triển lên một
tầm cao mới đó là kiểm soát vào ra bằng các hệ thống thẻ, vân tay, nhận dạng khuôn mặt. Điển hình nhất
hiện nay là các loại khóa cửa thông minh như khóa cửa bằng vân tay, khóa thẻ từ, khóa cửa từ.
Trình bày ít nhất 2 phương pháp mà bạn biết mà có thể cài đặt điều khiển truy cập một hệ thống
thông tin
Điều khiển truy cập bắt buộc MAC
- Điều khiển truy cập bắt buộc (Mandatory Access Control - MAC):
+ Là mô hình điều khiển truy cập nghiêm ngặt + Thường bắt gặp trong các thiết lập của quân đội
nhất.
+ Hai thành phần: Nhãn và Cấp độ
- Mô hình MAC cấp quyền bằng cách đổi chiều nhân của đối tượng với nhân của chủ thể
Nhãn cho biết cấp độ quyền hạn
- Để xác định có mở một file hay không: So sánh nhân của đối tượng với nhân của chủ thể
Chủ thể phải có cấp độ tương đương hoặc cao hơn: đối tượng được cấp phép truy cập
- Hai mô hình thực thi của MAC: Mô hình mạng lưới (Lattice model) & Mô hình Bell-LaPadula
+ Mô hình mạng lưới Các chủ thể và đối tượng được gán một "cấp bậc” trong mạng lưới Nhiều mạng lưới
có thể được đặt cạnh nhau.
+Mô hình Bell-LaPadula: Tương tự mô hình mạng lưới Các chủ thể không thể tạo một đối tượng mới hay
thực hiện một số chức năng nhất định đối với cácđối tượng có cấp thấp hơn
- Ví dụ về việc thực thi mô hình MAC: Windows 7/Vista có bốn cấp bảo mật
Các thao tác cụ thể của một chủ thể đối với phân hạng thấp hơn phải được sự phê duyệt của quản trịviên -
Hộp thoại User Account Control (UAC) trong Windows
Điều khiển truy cập tùy ý (DAC)
- Điều khiển truy cập tùy ý (DAC)
+ Mô hình ít hạn chế nhất + Chủ sở hữu có thể cấp quyền đối với đối tượng
của mình cho một chủ thể khác
+ Mọi đối tượng đều có một chủ sở hữu
+ Được sử dụng trên các hệ điều hành như
+ Chủ sở hữu có toàn quyền điều khiển đối với
Microsoft Windows và hầu hết các hệ điều hành
đối tượng của họ
UNIX
- Nhược điểm của DAC
+ Phụ thuộc vào quyết định của người dùng để + Quyền của chủ thể sẽ được "thừa kế” bởi các
thiết lập cấp độ bảo mật phù hợp chương trình mà chủ thể thực thiTrojan là một
vấn đề đặc biệt của DAC
+ Việc cấp quyền có thể không chính xác
Điều khiển truy cập dựa trên vai trò (RBAC)
- Điều khiển truy cập dựa trên vai trò (Role - RBAC gần các quyền cho các vai trò cụ thể
Based Access Control - RBAC) trong tổ chức
Còn được gọi là Điều khiển Truy cập không tùy ý Các vai trò sau đó được gắn cho người dùng
Quyền truy cập dựa trên chức năng công việc
Điều khiển truy cập dựa trên quy tắc (RBAC) - Khi người dùng truy cập tới tài nguyên, hệ
thống sẽ kiểm tra các quy tắc của đối tượng để
- Điều khiển truy cập dựa trên quy tắc (Rule
xácđịnh quyền truy cập
Based Access Control - RBAC)
- Thường được sử dụng để quản lý truy cập người
- Tự động gán vai trò cho các chủ thể dựa trên
dùng tới một hoặc nhiều hệ thốngNhững thay đổi
một tập quy tắc do người giám sát xác định
trong doanh nghiệp có thể làm cho việc áp dụng
- Mỗi đối tượng tài nguyên chứa các thuộc tính các quy tắc thay đổi
truy cập dựa trên quy tắc
Trường hợp 2:
Điều khiển truy cập tùy quyền (DAC) là một loại kiểm soát truy cập bảo mật tài trợ hoặc hạn chế đối
tượng truy cập thông qua một chính sách truy cập xác định bởi nhóm chủ sở hữu của một đối tượng và /
hoặc đối tượng. DAC điều khiển cơ chế được định nghĩa bởi người sử dụng xác định với các thông tin
cung cấp trong quá xác thực, chẳng hạn như tên người dùng và mật khẩu. DACs là tùy tiện vì chủ thể (chủ
sở hữu) có thể chuyển đối tượng đã xác thực hoặc truy cập thông tin cho người dùng khác. Nói cách khác,
chủ sở hữu quyết định quyền truy cập đối tượng.
Điều khiển truy cập tùy quyền (discretionary access control - DAC) là một chính sách truy cập mà chủ
nhân của tập tin hay người chủ của một tài nguyên nào đấy tự định đoạt. Chủ nhân của nó quyết định ai là
người được phép truy cập tập tin và những đặc quyền (privilege) nào là những đặc quyền người đó được
phép thi hành.
Điều khiển truy cập bắt buộc (Mandatory Access Control - MAC):
Điều khiển truy cập bắt buộc (mandatory access control - MAC) là một chính sách truy cập không do cá
nhân sở hữu tài nguyên quyết định, song do hệ thống quyết định. MAC được dùng trong các hệ thống đa
tầng cấp, là những hệ thống xử lý các loại dữ liệu nhạy cảm[4], như các thông tin được phân hạng về mức
độ bảo mật trong chính phủ và trong quân đội. Một hệ thống đa tầng cấp là một hệ thống máy tính duy
nhất chịu trách nhiệm xử lý bội số các phân loại dưới nhiều tầng cấp giữa các chủ thể và các đối tượng.
- Được dùng để bảo vệ một khối lượng dữ liệu lớn cần được bảo mật cao trong một môi trường mà các dữ
liệu và người dùng đều có thể được phân loại rõ ràng.
-Là cơ chế để hiện thực mô hình bảo mật nhiều mức (multiple level).
Ưu điểm:
- Là cơ chế điều khiển truy xuất có tính bảo mật cao trong việc ngăn chặn dòng thông tin bất hợp pháp.
-Thích hợp cho các ứng dụng trong môi trường quân đội.
Khuyết điểm:
- Không dễ áp dụng: đòi hỏi cả người dùng và dữ liệu phải được phân loại rõ ràng
- Chỉ được ứng dụng trong một số ít môi trường
7. Mật khẩu (password) là gì? Mật khẩu cố định (fixed password) và mật khẩu dùng một lần (one
time password) khác nhau như thế nào? Trình bày điểm mạnh và điểm yếu của 2 loại mật khẩu.
Password hay mật khẩu là một chuỗi ký tự được sử dụng rất phổ biến trong các dịch vụ internet, hệ thống
máy tính hay phần mềm ứng dụng nào đó. Nó giúp cho người dùng bảo vệ sự riêng tư cũng như hạn chế
tối đa khả năng truy cập bất hợp pháp từ người khác.
Ví dụ: Bạn có một tài khoản trên máy tính của mình và tài khoản này yêu cầu bạn đăng nhập. Để truy cập
thành công vào tài khoản của mình, bạn phải cung cấp tên người dùng và mật khẩu hợp lệ. Sự kết hợp này
thường được gọi là đăng nhập. Trong khi tên người dùng nói chung là thông tin công khai, mật khẩu là
riêng tư đối với mỗi người dùng.
Mật khẩu cố định (fixed password) và mật khẩu dùng một lần (one time password) khác nhau như
thế nào?
Mật khẩu dùng một lần (OTP): dùng để xác thực người dùng truy cập ứng dụng hoặc thực hiện giao dịch
trên internet banking/mobile banking. Thông tin mật khẩu dùng một lần (OTP) có giá trị sử dụng 1 lần, có
hiệu lực trong 1 khoảng thời gian nhất định là đúng.
Mật khẩu cố định: là loại mật khẩu được dùng để bảo vệ các tài khoản thuộc về cá nhân người dùng, có
hiệu lực lâu dài và thay đổi khi người dùng quyết định thay mật khẩu mới.
Khác nhau giữa mật khẩu cố định và mật khẩu dùng một lần:
Mật khẩu cố định Mật khẩu dùng một lần
Được dùng lặp đi lặp lại. Chỉ dùng được 1 lần và không sử dụng lại.
Dễ tấn công. Khó tấn công.
Tính bảo mật thấp Tính bảo mật cao

Trình bày điểm mạnh và điểm yếu của 2 loại mật khẩu:
Điểm mạnh và điểm yếu của mật khẩu dùng 1 lần:
Ưu điểm:
+ Khả năng chống lại các cuộc tấn công: Xác thực OTP cung cấp những lợi thế khác biệt so với việc chỉ
sử dụng mật khẩu tĩnh. Không giống như mật khẩu truyền thống, OTP không dễ bị tấn công — trong đó tin
tặc chặn việc truyền dữ liệu (như người dùng gửi mật khẩu của họ), ghi lại và sử dụng nó để truy cập vào
hệ thống hoặc tài khoản của chính họ. Khi người dùng có quyền truy cập vào tài khoản của họ bằng OTP,
mã sẽ trở nên không hợp lệ và do đó kẻ tấn công không thể sử dụng lại.

+ Khó đoán: OTP thường được tạo bằng các thuật toán sử dụng sự ngẫu nhiên. Điều này khiến những kẻ
tấn công khó đoán và sử dụng chúng thành công. OTP có thể chỉ có hiệu lực trong thời gian ngắn, yêu cầu
người dùng có kiến thức về OTP trước đó hoặc cung cấp cho người dùng một thử thách (ví dụ: “vui lòng
nhập số thứ hai và thứ năm”). Tất cả các biện pháp này làm giảm thêm bề mặt tấn công của môi trường khi
so sánh với xác thực chỉ bằng mật khẩu.

+ Giảm rủi ro khi mật khẩu bị xâm phạm: Người dùng không áp dụng các biện pháp bảo mật mạnh mẽ có
xu hướng tái chế các thông tin đăng nhập giống nhau trên các tài khoản khác nhau. Nếu những thông tin
đăng nhập này bị rò rỉ hoặc rơi vào tay kẻ xấu, dữ liệu bị đánh cắp và gian lận là những mối đe dọa đáng
kể đối với người dùng trên mọi phương diện. Bảo mật OTP giúp ngăn chặn vi phạm truy cập, ngay cả khi
kẻ tấn công đã có được bộ thông tin đăng nhập hợp lệ.

+ Dễ dàng áp dụng: Mật mã dùng một lần cũng dễ dàng cho các tổ chức tích hợp vào chiến lược xác thực
của họ. Mặc dù bản chất khó hiểu của những mã này khiến mọi người khó ghi nhớ, nhưng điện thoại, mã
thông báo và các công nghệ khác có thể truy cập rộng rãi để các nhóm bảo mật sử dụng và phân phối cho
nhân viên của họ.

Thẻ thông minh hay thiết bị tạo mật khẩu cầm tay (token) nhờ vào kết nối internet với máy chủ của dịch vụ
cung cấp OTP hoặc cũng có thể thông qua thẻ OTP in sẵn thay điện thoại di động mà không cần đến kết
nối internet

Nhược điểm OTP là gì?
+ Mã OTP có thể bị lộ nếu chủ tài khoản không
giữ thông tin cẩn thận
+ Giao dịch thông qua hệ thống internet có thể bị
hacker tấn công
Điểm mạnh, điểm yếu của MK cố định:
+ Điểm mạnh: Khi sử dụng những mật khẩu
mạnh có thể tạo một lớp bảo mật chắc chắn.
+ Với hình thức OTP Token, bảo mật hơn nhưng
phải trả thêm chi phí làm máy Token
+ Hạn chế thời gian hiệu lực, không thể sử dụng
những nơi không có sóng di động đối với OTP
SMS.
+ Điểm yếu: Người dùng sử dụng những mật
khẩu quá phổ biến, mật khẩu chứa thông tin cá
nhân, điều này tạo ra lỗ hỏng bảo mật.

8.Trình bày các loại mã OPT, nêu ưu điểm và nhược điểm của từng loại.

- Các loại mã OTP: Hiện nay có 3 hình thức cung cấp mã OTP chủ yếu. Bao gồm:

1. SMS OTP
+ Đây là hình thức cung cấp mã OTP phổ biến
nhất hiện nay. Mã OTP sẽ được gửi bằng tin nhắn
SMS về số điện thoại đã đăng ký. Để thực hiện
được giao dịch bạn cần phải nhập mã OTP được
gửi về số điện thoại đã đăng ký. Đa số các ngân
hàng tại Việt Nam hiện nay đều có sử dụng mã
OTP theo hình thức này.
+ Hình thức này không chỉ được các ngân hàng
sử dụng mà cả các công ty công nghệ lớn trên thế
2. Tokey Key (Tokey Card)
+ Đây là thiết bị có thể giúp tạo mã OTP, nó có
thể sinh ra tự động sau mỗi phút mà không cần
kết nối internet. Mỗi tài khoản cần đăng ký
Tokey Key riêng cho mỗi tài khoản, và sau một
3. Smart OTP – Smart Token
+ Đây được coi là hình thức kết hợp hoàn hảo
giữa SMS OTP và Token Key. Smart OTP được
tích hợp với ứng dụng trên smartphone. Smart
OTP sẽ được gửi về ứng dụng khi xuất hiện yêu
cầu giao dịch.
+ Hiện nay, tại Việt Nam thì có các ngân hàng
như Vietcombank và TPBank đang sử dụng hình
Ưu và nhược điểm của các loại mã OTP hiện nay:
- SMS OTP
Ưu điểm của SMS OTP
+ Dịch vụ gửi SMS OTP khá rẻ và hợp túi tiền.
+ Cần có ít phần cứng bổ sung để gửi SMS OTP
Nhược điểm của SMS OTP
+ Người dùng không thể sử dụng được ở nơi
không có sóng di động, hoặc di chuyển ra nước
ngoài. Khi đó, các hình thức OTP thì có thể.
giới như Google, Facebook cũng áp dụng để tạo
lớp bảo mật thứ hai cho tài khoản của bạn. Và lớp
bảo vệ này sẽ xuất hiện khi phát hiện bất kỳ hoạt
động không rõ ràng nào từ tài khoản của bạn.
+ Một hạn chế của SMS OTP chính là người
dùng không thể sử dụng được ở nơi không có
sóng di động, hoặc di chuyển ra nước ngoài. Khi
đó, các hình thức OTP khác sẽ được sử dụng.
thời gian quy định thì ngân hàng sẽ đổi Tokey
Key của bạn.
+ Đây là một thiết bị rời, nhỏ gọn cho nên có thể
luôn luôn mang đi bên mình. Tuy nhiên cũng cần
phải bảo quản cẩn thận vì dễ đánh mất.
thức xác thực bằng Smart OTP hoạt động song
song SMS OTP. Ngoài ra, Google cũng áp
dụng Smart OTP và tạo ra một ứng dụng của
riêng mình mang tên là Google Authenticator.
+ Để sử dụng Smart OTP người dùng cần phải
đăng ký với ngân hàng hoặc các nhà cung cấp
dịch vụ. Ngoài ra, không thể có nhiều thiết bị sử
dụng chung một ứng dụng tạo ra mã OTP.
+ Một tỷ lệ cao dân số thế giới có điện thoại di
động có thể nhận
+ SMS Có thể nhận được trên các ứng dụng SMS
không nhất thiết phải được liên kết đến thiết bị di
động
+Nhiều số điện thoại để chế độ không làm phiền
(DND) và do đó không nhận được SMS
+Đôi khi tin nhắn SMS OTP bị gửi trễ do lưu
lượng truy cập trên máy chủ của nhà khai thác,
hết thời gian chờ cổng hoặc ngừng dịch vụ
+Đã có trường hợp SMS OTP bị chặn bởi tội
phạm và các cá nhân lừa đảo.
+Ngay cả SMS chưa được gửi bạn cũng sẽ bị tốn
phí.
+SMS trên nhiều điện thoại xuất hiện trên màn
hình dưới dạng thông báo ngay cả khi điện thoại
bị khóa và có thể dễ dàng bị đánh cắp bởi ai đó
nhìn qua màn hình điện thoại của mình

Ưu và nhược điểm của Tokey Key (Tokey Card)

Ưu điểm của Token + Nếu chẳng may bị lộ mã OTP đã sử dụng thì
khách hàng cũng không cần quá lo lằng bởi mã
+ Máy Token có kích thước khá là nhỏ gọn, giúp
đó chỉ có hiệu lực duy nhất một lần
bạn dễ dàng mang theo bên người cũng như dễ
dàng cho vào chùm chìa khóa cá nhân + Các sử dụng thiết bị Token khá là đơn giản phù
hợp cho rất nhiều đối tượng
+ Giúp bảo vệ các giao dịch của khách hàng,
Tránh bị kẻ gian hack thông tin cũng như sử dụng
những thông tin để thực hiện giao dịch

Nhược điểm của Token + Thời hạn sống của mỗi mã OTP cho có 60s

+ Bạn có thể dễ dàng nhận ra để sử dụng dịch vụ + Bạn cần phải có máy Token thì mới có thể thực
này thì khách hàng cần phải trả một khoản phí hiện giao dịch được
không nhỏ từ 200.000 - 400.000 đồng cho mỗi
thiết bị Token

Ưu điểm của Smart OTP
- Tính an toàn và bảo mật ở mức độ cao nhất hiện
nay giúp người dùng an tâm khi sử dụng nhất là
với các giao dịch chuyển tiền với số tiền lớn.
- Tiện dụng khi được sử dụng mọi lúc, mọi nơi,
mọi thiết bị và kể cả khi không có kết nối internet
- Dễ dàng sử dụng với nhiều hình thức như tích
hợp vào ứng dụng của ngân hàng hoặc tải app
trên điện thoại
- Đơn giản hóa thao tác với những mã OTP được
tự động điền sẵn vào ô xác thực
- Dịch vụ miễn phí

Nhược điểm của Smart OTP: - Smart OTP được sinh ra ngay trên điện thoại của khách hàng và được
mã hóa với hệ thống bảo vệ nhiều lớp phức tạp và khó có thể can thiệp được. Tuy nhiên, Smart OTP cũng
có thể rủi ro đối với những khách hàng sử dụng điện thoại bị bẻ khóa máy hoặc tự ý cài thêm các phần
mềm độc hại, không rõ nguồn gốc

- Để sử dụng Smart OTP người dùng cần phải đăng ký với ngân hàng hoặc các nhà cung cấp dịch vụ.
Ngoài ra, không thể có nhiều thiết bị sử dụng chung một ứng dụng tạo ra mã OTP.
9. Đưa ra một hệ thống mà bạn biết có sử dụng mật khẩu cố định (fixed password) và mô tả các
bước thực hiện để bạn có thể được chứng thực người dùng trong hệ thống đó. Nêu mục tiêu của việc
chứng thực này.
Hệ thống có sử dụng mật khẩu cố định (fixed password)
- Teamviewer
Các bước thực hiện
Bước 1:
Tại giao diện trên Teamviewer, người dùng nhấn chọn vào mục Extras bên trên rồi chọn
tiếp Options.
Bước 2: + Bây giờ, bạn sẽ sử dụng mật khẩu mình vừa tạo
để tạo kết nối cho người khác. Cách này rất tiện
+ Chuyển sang giao diện mới nhấn vào mục quản
nếu bạn thường xuyên nhờ một người, họ sẽ ghi
lý Security ở góc bên trái màn hình. Nhìn sang
nhớ ID và mật khẩu cho lần trợ giúp tiếp theo mà
bên phải phần Personal password (For
không cần hỏi lại mật khẩu đăng nhập. Tuy
unattended access), hãy nhập mật khẩu
nhiên, nếu để kẻ gian phát hiện và lợi dụng, đây
muốn đặt cho Teamviewer vào. Nhấn OK để
sẽ là mối nguy hiểm lớn cho tài khoản của người
lưu lại mật khẩu là xong.
dùng. Vì vậy, hãy cân nhắc thật kỹ trước khi tiến
Ngoài ra trong phần Random password người hành sử dụng, bởi mỗi mật khẩu đều có những ưu
dùng cũng có thể điều chỉnh độ dài mật khẩu từ 4 - nhược điểm riêng.
ký tự sang 6, 8, 10 ký tự. Disabled để vô hiệu hóa
mật khẩu khi cần kết nối 2 máy tính.
* Mục tiêu của chứng thực - Xác thực ai đang giao dịch
- Tăng cường an toàn cho hệ xác thực dựa trên - Đảm bảo bảo mật thông tin (không thẩm quyền
mật khẩu => không đọc được)
- Xây dựng giao thức an toàn - Đảm bảo tính toàn vẹn
- Đảm bảo nội dung thông tin trao đổi giữa các - Chống thoái thoát
thực thể là chính xác không bị thêm, sửa, xóa hay - Sử dụng thay cho bản chính trong các giấy tờ
phát lại (đảm bảo tính toàn vẹn về nội dung) - Chứng minh người yêu cầu chứng thực đã ký
- Đảm bảo đối tượng tạo ra thông tin (nguồn gốc chữ ký đó và là căn cứ để xác định trách nhiệm
thông tin) đúng là đối tượng hợp lệ đã được khai của
báo (đảm bảo tính toàn vẹn về nguồn gốc thông người ký giấy tờ, văn bản.
tin)
- Chứng minh về thời gian, địa điểm các bên đã
- Đảm bảo an toàn đối với thông tin xác thực (tên
ký kết hợp đồng, giao dịch; năng lực hành vi dân
đặng nhập và mật khẩu không được truyền đi trực
sự, ý chí tự nguyện, chữ ký hoặc dấu điểm chỉ
tiếp trên mạng)
của các bên tham gia hợp đồng, giao dịch.
10. Đưa ra một hệ thống mà bạn biết có sử dụng mật khẩu dùng một lần (one time password) và mô
tả tình huống mà bạn có sử dụng mật khẩu để chứng thực người dùng/giao dịch. Nêu mục tiêu của
việc chứng thực này.
Một trong những hệ thống hiện nay có sử dụng mật khẩu dùng 1 lần là hệ thống internet banking của MB
bank (Ngân hàng Thương mại Cổ phần Quân đội)
Mô tả tình huống mà bạn có sử dụng mật khẩu để chứng thực người dùng/giao dịch.
Chuyển tiền qua Internet Banking của MB bank
Các bước thực hiện giao dịch chuyển tiền qua
Internet Banking sẽ như sau:
Bước 1: Đăng nhập Internet Banking trên máy
tính hoặc điện thoại di động được kết nối
Internet.
Bước 2: Giao diện mở ra, khách hàng lựa chọn
mục chuyển tiền cùng hệ thống hoặc ngoài ngân
hàng MB.
Bước 3: Điền đầy đủ thông tin chuyển tiền bao
gồm: Tên người nhận, số tài khoản, số tiền
chuyển, nội dung chuyển, ngân hàng nhận…
Bước 4: Xác nhận lại thông tin giao dịch, hệ
thống ngân hàng sẽ gửi mã OTP về tin nhắn điện
thoại.
Bước 5: Khách hàng nhập mã OTP xác nhận giao
dịch. Màn hình hiển thị kết quả giao dịch.

Nêu mục tiêu của việc chứng thực này.

- Tại hệ thống internet banking của MB bank, OTP được dùng làm bảo mật 2 lớp để xác nhận giao dịch
giúp nâng cao tính bảo mật của các dịch vụ thanh toán online và dịch vụ ngân hàng điện tử.
- Bên cạnh đó mã OTP thường được dùng chỉ 1 lần duy nhất, bạn không thể sử dụng mã này cho bất kỳ
giao dịch nào khác và mã OTP của MB bank cũng có hiệu lực trong thời gian rất ngắn (1 phút 43 giây)
sẽ giúp giảm thiểu, ngăn chặn rủi ro hacker hay lộ thông tin tài khoản, nhờ đó mà người dùng cảm thấy
an tâm hơn rất nhiều.

11. Sinh trắc học (biometric) là gì? Nêu các lĩnh vực mà có thể áp dụng sinh trắc học?
Sinh trắc học là gì?

-Sinh trắc học hay Công nghệ sinh trắc học (tiếng Anh: Biometric) là công nghệ sử dụng những thuộc tính
vật lý, đặc điểm sinh học riêng của mỗi cá nhân như vân tay, khuôn mặt, mống mắt, tĩnh mạch, để nhận
diện, xác thực bảo mật.

-Sinh trắc học đã được phát triển trong một thời gian dài và đã được sử dụng nhiều từ lâu. Vậy nên, những
hiệu quả của nó đã được chứng minh và ngày càng được nâng cấp để hiện đại hơn và cũng xuất hiện nhiều
hơn trong những vật dụng thường ngày. Trước đây thường những dụng cụ sinh trắc học rất lớn và được cố
định ở một cánh cửa hay một chiếc tủ sắt, nhưng gần đây nó đã được áp dụng nhiều vào những thiết bị
thông minh như điện thoại hay Ipad.Cũng giống như các công nghệ bảo mật khác, sinh trắc học không có
giải pháp quá hoàn hảo. Tuy nhiên nó đang có những bước phát triển đáng kinh ngạc.
Các lĩnh vực mà có thể áp dụng sinh trắc học:
-Sinh trắc học ngày càng được ứng dụng nhiều trong đời sống hằng ngày:

+Ứng dụng trong các sản phẩm công nghệ:

Có thể nói ứng dụng rộng rãi nhất của công nghệ sinh trắc học hiện nay trong cuộc sống là các sản phẩm
công nghệ như smart phone, khóa điện tử, máy chấm công vân tay, máy chấm công khuôn mặt… điểm
chung giữa các thiết bị này là việc nó có thể thay thế mật khẩu truyền thống với độ bảo mật cao hơn rất
nhiều và hiện tại thì nó đã khẳng định được vị trí của nó.
+Ứng dụng trong việc chứng thực các đối tượng
khác như khách hàng, sinh viên,….
Ví dụ khi một phòng tập gym thay vì đeo một
chiếc thẻ rồi đưa ra cho nhân viên lễ tân kiểm tra
thì chỉ cần đưa ngón tay vào đầu đọc là có thể
nhận một nụ cười thật tươi từ cô lễ tân xinh
đẹp… rõ ràng việc áp dụng công nghê sinh trắc
học vào cuộc sống cũng như công việc có rất
nhiều lợi ích, nó tạo ra sự đơn giản và tiện lợi.
+Ứng dụng trong lĩnh vực hình sự: Sử dụng trong
việc xác nhận về từng đối tượng
+Ứng dụng trong y học: Dấu vân tay giúp phát
hiện ra bệnh do bị sai lệch gen như: hội chứng ba
nhiễm sắc thể 18, ba nhiễm sắc thể 13, hội chứng
Down, sai lệch nhiễm sắc thể giới tính XXX,
XXY…
+Ứng dụng trong lĩnh vực giáo dục: Sinh trắc vân
tay hỗ trợ cho việc phân tích trí thông minh của
mỗi cá nhân, điểm mạnh, điểm hạn chế để từ đó
giúp mỗi người có thể định hướng cho sự nghiệp
của mình.

+Ứng dụng trong lĩnh vực ngân hàng: Thanh toán

thẻ ATM có sử dụng máy đọc vân tay

- Ngoài ra “Sự kết nối mạng lưới thần kinh các tế bào não” tạo nên trí thông minh của mỗi người và khi
xem sinh trắc vân tay, bạn sẽ biết được mình như thế nào, mình đang sở hữu những tiềm năng gì. Biết
mình là ai và biết nỗ lực phấn đấu, tin chắc bạn sẽ thành công hơn trong công việc và cuộc sống.

12.Nêu ưu điểm và nhược điểm của việc áp dụng chứng thực bằng sinh trắc học
*Ưu điểm:
- Có khả năng cải thiện tính bảo mật, kiểm soát hơn, người dùng hạn chế tình trạng quên chuỗi
truy cập an toàn, thoải mái, tránh để lộ thông tin mật khẩu dài và phức tạp như trước kia
người dùng cho tội phạm mạng
- Khắc phục hiện tượng quá tải thông tin đăng
- Là một giải pháp bảo mật hiện đại và phức tạp nhập trên các ứng dụng hoặc thiết bị khác nhau
nhất, có độ chính xác gần như là tuyệt đối trong
quá trình xác thực - Xác thực sinh trắc học có tính linh hoạt, dễ đăng
ký và triển khai sử dụng
- So với phương pháp xác thực truyền thống, bảo
mật sinh trắc học có thao tác thực hiện nhanh

* Nhược điểm
- Các thiết bị xác thực sinh trắc học thường có chi
phí đắt hơn so với thiết bị nhập mật khẩu truyền
thống
- Nhận dạng sinh trắc học không chính xác
100%. Ví dụ: Máy xác thực sinh trắc học sẽ
không nhận diện được giọng nói khi người dùng
bị cảm cúm hoặc không nhận diện được khuôn
mặt khi người dùng tăng/giảm cân
- Gây ảnh hưởng đến quyền riêng tư của người sử dụng

13. Hệ thống quản lý an toàn thông tin là gì? Mục tiêu của hệ thống an toàn toàn thông tin?
-Hệ thống an toàn thông tin là gì?
Hệ thống an toàn thông tin (ISMS) là một phần của hệ thống quản lý tổng thể, dựa trên cách tiếp cận theo
rủi ro của kinh doanh, để thiết lập, thực hiện, điều hành, giám sát, xem xét, duy trì và cải tiến việc bảo mật
thông tin. Hệ thống quản lý bao gồm: cấu trúc của tổ chức, chính sách, các hoạt động hoạch định, trách
nhiệm, việc thực hành, thủ tục, quy trình và nguồn lực.
-Mục tiêu xây dựng hệ thống an toàn thông tin:

+ Đảm bảo tính bảo mật của thông tin, tức là thông tin chỉ được phép truy cập bởi những đối tượng được
cấp phép.

+ Đảm bảo tính toàn vẹn của thông tin, tức là thông tin chỉ được phép xóa hoặc sửa bởi những đối tượng
được phép và phải đảm bảo rằng thông tin vẫn còn chính xác khi được lưu trữ hay truyền đi.

+ Đảm bảo tính sẵn sàng của thông tin, tức là thông tin có thể được truy xuất bởi những người được phép
vào bất cứ khi nào họ muốn. Ví dụ, nếu một server chỉ bị ngưng hoạt động hay ngừng cung cấp dịch vụ
trong vòng 5 phút trên một năm thì độ sẵn sàng của nó là 99,999%

Tình huống LO4 (gợi ý dành cho sinh viên, đề thi có thể cho tình huống khác tương tự)

Tình huống 1:
Để phục vụ cho nhu cầu học tập và tra cứu của cán bộ, giảng viên và sinh viên của trường, nhà trường
đã xây dựng một hệ thống thư viện trực tuyến www.thuviendientu.iuh.edu.vn, hệ thống giúp độc giả
(cán bộ, giảng viên và sinh viên của trường) có thể tìm kiếm các loại sách, báo, tạp chí,… Đối với tài
liệu điện tử thì độc giả có thể đọc trực tuyến hoặc tải về, đối với sách trong thư viện thì độc giả có thể
đăng ký mượn. Độc giả cũng có thể yêu cầu mua các loại tài liệu điện tử và thanh toán phí mua trực
tuyến. Hệ thống cũng giúp cho các thủ thư có thể quản lý thông tin mượn và trả sách của độc giả, hệ
thống còn có tính năng thông báo nhắc nhở đến hạn trả sách bằng email, tạo báo cáo, thống kê.
Yêu cầu: Với tình huống đã cho, bạn hãy
1. Chỉ ra ít nhất 2 loại thông tin/dữ liệu/chức năng nào cần nâng cao tính an toàn và nêu lý do tại
sao
- Chức năng thanh toán trực tuyến: Thời gian qua việc thanh toán trực tuyến còn tồn tại nhiều lỗ
hổng bảo mật, chưa được khắc phục và giải quyết kịp thời. Nhà trường phải thực sự nghiêm túc
nhìn nhận vấn đề này và đầu tư cho việc nghiên cứu, áp dụng những giải pháp hiệu quả để cải thiện
và thậm chí loại bỏ tình trạng này. Nên cần nâng cao tính bảo mật về dữ liệu của người dùng. Nếu
bị đánh cắp thông tin, lộ thông tin ra bên ngoài thì cả nhà trường và độc giả đều bị thiệt hại:
+ Vì nếu không đảm bảo tính an toàn và bảo mật dữ liệu thông tin của độc giả khi thanh toán trực
tuyến thì sẽ ra việc mất cắp thông tin. Việc thanh toán trực tuyến ở những website không có độ bảo
 mật cao dẫn đến bị kẻ gian sao lưu thông tin, làm thẻ giả và thực hiện các giao dịch skimming thẻ..)
mà dữ liệu người dùng chính là tài sản quan trọng nhất
+ Nhà trường sẽ bị mất hình ảnh đẹp trong mắt xã hội. Độc giả sẽ mất sự tin tưởng và an tâm tuyệt
đối khi lựa chọn việc thanh toán trực tuyến từ hệ thống nhà trường.
+ Dữ liệu thông tin người dùng: họ và tên, mã số, email, lịch sử tài liệu đã truy cập. Cần thiết lập
thông tin của người truy cập website đầy đủ như trên vì khi có đầy đủ thông tin chúng ta sẽ dễ dàng
kiểm tra, kiểm soát số lượng người vào cũng như người ra trong thời điểm nhất định hoặc trong
thời gian nào đó. Đây cũng là cách để nâng cao tính an toàn đối với thư viện nhằm loại bỏ các hành
vi muốn xâm nhập trộm cắp dữ liệu của thư viện.
2. Đưa ra giải pháp nào (chữ ký số, xác thực và điều khiểu truy cập bằng mật khẩu (fixed
password, OTP), thẻ từ, camera, sinh trắc học (vân tay hoặc khuôn mặt, con ngơi,…)) để cài
đặt nâng cao tính an toàn cho từng loại thông tin/dữ liệu/chức năng ở trên và nêu lý do tại sao
phương pháp pháp này là hữu hiệu nhất.
Đưa ra giải pháp: nêu tên giải pháp, mô tả sơ lược về giải pháp, mô tả cách cài đặt cấu hình.
Chức năng thanh toán trực tuyến. Giải pháp: bảo mật 2 lớp

- Lớp 1: Username + Password. Password là một chuỗi ký tự để xác minh danh tính của user trong
quá trình xác thực. Nó được sử dụng để kết hợp với username; chỉ user đó biết và dùng nó để truy
cập vào thiết bị, ứng dụng hoặc trang web. Các password có thể khác nhau về độ dài và chứa các
chữ cái, số và các ký tự đặc biệt.

+ Đối với lớp 1: Mỗi người dùng đăng kí thông tin là tên và password ứng với người dùng đó.
+ Cách để tạo username và passwword. Hệ thống website của nhà trường sẽ tạo ra phần “Đăng ký
tài khoản”, người dùng chỉ cần đăng ký và liên kết với thẻ tài khoản ngân hàng khi thanh toán.
+ Nên thiết lập mật khẩu mạnh để tránh nguy cơ bị đánh cắp. Tuy nhiên, sử dụng cách giải pháp
này cũng sẽ có ưu nhược điểm riêng:
+ Điểm mạnh: Khi sử dụng những mật khẩu + Điểm yếu: Người dùng sử dụng những mật
mạnh có thể tạo một lớp bảo mật chắc chắn. khẩu quá phổ biến, mật khẩu chứa thông tin cá
nhân, điều này tạo ra lỗ hỏng bảo mật.

Lớp 2: xác thực OTP. Mã xác thực OTP - One Time Password là loại mật khẩu sử dụng một lần và được
coi là lớp bảo vệ thứ hai cho các tài khoản ngân hàng điện tử, thanh toán trực tuyến hay e-mail, mạng xã
hội. Trường hợp khi bạn liên kết tài khoản ngân hàng, bạn sẽ nhận được mã OTP gửi đến từ ngân hàng của
bạn. Đây được coi là hình thức kết hợp hoàn hảo giữa SMS OTP và Token Key. Smart OTP được tích hợp
với ứng dụng trên smartphone. Smart OTP sẽ được gửi về ứng dụng khi xuất hiện yêu cầu giao dịch. +Khi
đăng nhập xong lớp 1 thì mã OTP sẽ được gửi về để ta nhập cho lớp 2.

+ Tuy nhiên, sử dụng cách giải pháp này cũng sẽ có ưu nhược điểm riêng:

Ưu điểm của Smart OTP

- Tính an toàn và bảo mật ở mức độ cao nhất hiện nay giúp người dùng an tâm khi sử dụng nhất là với các
giao dịch chuyển tiền với số tiền lớn.
- Tiện dụng khi được sử dụng mọi lúc, mọi nơi, mọi thiết bị và kể cả khi không có kết nối internet

- Dễ dàng sử dụng với nhiều hình thức như tích hợp vào ứng dụng của ngân hàng hoặc tải app trên điện
thoại

- Đơn giản hóa thao tác với những mã OTP được tự động điền sẵn vào ô xác thực

- Dịch vụ miễn phí

Nhược điểm của Smart OTP: - Smart OTP được sinh ra ngay trên điện thoại của khách hàng và được
mã hóa với hệ thống bảo vệ nhiều lớp phức tạp và khó có thể can thiệp được. Tuy nhiên, Smart OTP cũng
có thể rủi ro đối với những khách hàng sử dụng điện thoại bị bẻ khóa máy hoặc tự ý cài thêm các phần
mềm độc hại, không rõ nguồn gốc

- Để sử dụng Smart OTP người dùng cần phải đăng ký với ngân hàng hoặc các nhà cung cấp dịch vụ.
Ngoài ra, không thể có nhiều thiết bị sử dụng chung một ứng dụng tạo ra mã OTP

(Giải thích thêm về username + PW, OPT

Giải thích: cách cài đặt, cách sử dụng, mã OTP chỉ thực hiện khi thanh toán, lúc xem thì không cần. Nêu lý
do tại sao là hữu hiệu nhất: (chữ kí số, use name password)
+ Nêu ưu điểm của giải pháp được chọn
+ Nêu những nhược điểm của các giải pháp khác)
Dữ liệu: Thông tin người dùng. Hệ thống website nhà trường nên có những giải pháp để bảo vệ thông tin
của độc giả.
+ Đối với phía nhà trường: cần thiết lập thêm đường dây Hotline hỗ trợ xử lý các trường hợp khẩn cấp và
luôn đảm bảo hoạt động thông suốt để độc giả liên hệ kịp thời. Có thể triển khai thêm hoặc loại bỏ những
phương thức xác thực OTP truyền thống bằng cách áp dụng công nghệ QR code để nâng cao tính an toàn
trong giao dịch thanh toán phí mua trực tuyến.
+ Đối với các độc giả: nên biết cách bảo vệ thông tin của mình. Như đăng xuất khỏi website khi sử dụng
xong; khuyến nghị thay đổi tên truy cập, mật khẩu định kì; hướng dẫn độc giả cách nhận biết website
chính thức của nhà trường khi đã được mã hóa và có độ bảo mật tuyệt đối có đuôi iuh.edu.vn. Cần nâng
cao tinh thần cảnh giác và ý thức tìm hiểu thêm về cách thức vận hành dịch vụ và những chú ý khi giao
dịch.

Tình huống 2:
Để phục vụ nhu cầu học tập và nghiên cứu của cán bộ, giảng viên và sinh viên của trường (gọi chung
là độc giả), nhà trường đã trang bị một phòng đọc sách cho các độc giả. Phòng này có trang bị máy
lạnh, bàn ghế, wifi, và 100 chiếc máy tính để bàn. Sinh viên có thể tự vào ra phòng đọc sách trong
khoảng thời gian thư viện mở cửa để ngồi đọc sách, học tập nghiên cứu và dùng các máy tính. Các
máy tính chỉ dùng để học tập/nghiên cứu chứ không cho phép chơi game.
Yêu cầu:
1. Theo bạn để có thể kiểm soát, chứng thực và theo dõi sự vào ra phòng đọc sách của các độc giả
một cách tự động thì chúng ta có thể dùng phương pháp nào (chữ ký số, xác thực và điều khiểu
truy cập bằng mật khẩu (fixed password, OTP), thẻ từ, camera, sinh trắc học (vân tay hoặc khuôn
mặt, con ngơi,…)) để kiểm soát và nêu lý do tại sao phương pháp này là hữu hiệu nhất?
- Để có thể kiểm soát, chứng thực và theo dõi sự vào ra phòng đọc sách của các độc giả một cách tự
động thì chúng ta có thể dùng phương pháp Quét mã được tích hợp trên thẻ sinh viên hay cán bộ
của nhà trường. Vì: mỗi sinh viên cán bộ là một mã quét riêng và chỉ khi là sinh viên( giảng viên)
của trường mới được cấp mã để vào được. Mỗi lần ra vào đều phải quét mã như vậy thì sẽ đảm bảo
được an toàn.
- Lắp đặt hệ thống camera ở trong thư viện để các cán bộ người quản lý thư viện có thể theo dõi,
kiểm soát việc ra vào của các độc giả. Khi xảy ra việc bất trắc cũng có thể trích xuất dữ liệu từ
camera để kiểm tra.

( Thẻ từ + camera, Sinh trắc học vân tay + camera, Mật khẩu (khóa số) + camera
Trong 3 cái trên thì thẻ từ + camera là pp tốt nhất Vì? Giải pháp là gì? Định nghĩa về giải pháp đó?
Cài đặt: Cửa ra vào được đóng mở bằng thẻ từ + camera ngay cửa ra vào
Lý do: SV, GV, CBCNV của iuh đều có thẻ SV. GV, CBCNV, có thẻ tử luôn thuận tiện hơn vừa
là thẻ để kiểm soát vừa thẻ để mở cử thư viện  ít tốn chi phí
Sinh trắc họcmặc dù an toàn hơn thẻ từ nhưng tốn nhiều chi phí, nêu lý do tại sao tốn nhiều
Lý do tại sao có camera: Thẻ từ, sinh trắc học hay mật khẩu có thể giữ lại cho người khác đi vào
việc dung nó sẽ giúp chúng ta kiểm soát được ai ra ai vào, ai đem thứ gì lạ vào hay có thể truy xuất
tình huống nào đó vào giờ đó )

2. Theo bạn để có thể chứng thức, kiểm soát và theo dõi việc sử dụng wifi và thiết bị máy móc ở
phòng đọc sách thì chúng ta dùng những phương pháp nào (chữ ký số, xác thực và điều khiểu truy
cập bằng mật khẩu (fixed password, OTP), thẻ từ, camera, sinh trắc học (vân tay hoặc khuôn mặt,
con ngơi,…)) và nêu lý do tại sao phương pháp này là hữu hiệu nhất?

( Username + PW, Camera

Camera dùng làm gì? Gắn ở đâu)
- Thẻ từ là hữu hiệu nhất
+ Số lượng thẻ từ quản lý được cực kỳ lớn tương ứng số người quản lý. Chúng cực kỳ hợp ở môitrường có
số người ra vào lớn, nhà trường đông sinh viên
+ Thông thường thời gian đọc thẻ chỉ diễn ra trong chưa đến 1s/ lượt quẹt thẻ. Tốc độ này nhanhhơn nhiều
so với việc dùng vân tay hay khuôn mặt. Nhờ đó nếu như số người tập chung ra vào lớntrong cùng một
thời điểm sẽ không phải xếp hàng chờ đợi lâu
+ Chỉ cần dùng thẻ để quẹt mỗi khi đến nơi làm việc hoặc vào ra. Những thẻ sử dụng hoàn toàn không bị
ảnh hưởng do môi trường hay thời tiết. Đây là một trong những điểm hạn chế của công nghệ nhận diện vân
tay
+ Mỗi thẻ có một ID riêng không trùng lặp nhau. Khi mất thẻ thì những thẻ này sẽ bị vô hiệu quá lập tức
nên không cần lo lắng nếu kẻ xấu nhặt được
- Camera
+ Quản lý quyền truy cập và sử dụng phần mềm
+ Quản lý toàn bộ thông tin sinh viên
+ Theo dõi các thời gian của sinh viên nhanh chóng
- Sinh trắc học:
Tăng hiệu quả bằng cách loại bỏ các lỗi hệ thống.
Tăng cường trách nhiệm của sinh viên
Cung cấp khả năng đồng hóa hạng nhất.
Cho phép xác thực đa yếu tố bằng giọng nói cũng như nhận dạng khuôn mặt.
Xác minh đa phương thức với nhiều thông tin tuyển sinh
- Giải pháp cho kiểm soát và theo dõi việc sử dụng wifi là sử dụng mật khẩu mã số của độc giả trên hệ
thống trang thông tin của trường. Sẽ được tự động kết nối với wfi khi nhập mã số vô password. Chỉ khi là
độc giả của trường thì mới có mã số đó. Và sẽ thời gian sử dụng nhất định cho mỗi lần đăng nhập.

Tình huống 3:
Giả sử khoa Kế toán của trường IUH trang bị một ‘Phòng mô phỏng và thực hành quy trình nghiệp vụ
Kế toán – Tài chính – Tín dụng’ (gồm 30 máy tính) dùng để phục vụ cho việc học tập và nghiên cứu
của các thành viên trong câu lạc bộ Kế_Tài_Ngân_Club. Phòng máy này gồm một máy chủ (server),
nhiều máy trạm (work station) và một máy in (printer) được cài đặt các phần mềm về kế toán, tài chính
& ngân hàng để cho các thành viên trong câu lạc bộ vào sử dụng để nghiên cứu và học tập. Khoa
mong muốn phòng máy được cài đặt và cấu hình làm sao mà các thành viên có thể ra vào và sử dụng
cái tài nguyên một cách thuận tiện nhưng vẫn có cơ chế theo dõi một cách tự động.
1. Theo bạn, phòng máy nên dùng phương pháp nào (chữ ký số, xác thực và điều khiểu truy cập bằng
mật khẩu (fixed password, OTP), thẻ từ, camera, sinh trắc học (vân tay hoặc khuôn mặt, con ngơi,
…)) mà các thành viên có thể vào ra một cách thuận tiện nhưng vẫn kiểm soát được khi cần thiết.
Bạn hãy mô tả giải pháp một cách chi tiết nhất và nêu lý do tại sao đây là giải pháp hợp lý nhất.

Sinh trắc học vân tay, camera

Thẻ từ, camera

Thiết kế cửa ra vào: kiểm soát bằng Sinh trắc học vân tay, camera
- Theo em phòng máy nên dùng phương pháp sinh trắc học vân tay để các thành viên có thểra vào một
cách thuận tiện nhưng vẫn kiểm soát được khi cần thiết .
Nguyên lý hoạt động của giải pháp ứng dụng công nghệ tĩnh mạch ngón tay:
Ánh sáng hồng ngoại chiếu xuyên qua ngón tay, hồng huyết cầu hấp thu ánh sáng này, camera chụplại cấu
trúc mạng tĩnh mạch và số hóa nó, lưu lại và so sánh với mã hồ sơ định danh đã lưu trên hệthống để nhận
diện.
Với nguyên lý trên, công nghệ này có tính bảo mật và độ chính xác cao nhất trong bảo mật xác thựcdanh
tính hiện nay. Một so sánh cụ thể, phương pháp xác thực định danh qua tĩnh mạch có chỉ sốFAR, False
Acceptance Rate: tỷ lệ nhận diện sai cỡ < 0,0001%, FR, False Rejection Rate: tỷ lệ từchối sai cỡ 0.01%
trong khi đó, phương pháp phổ biến hiện nay, nhận diện qua vân tay có chỉ sốFAR cỡ 3~4%.
Công nghệ tĩnh mạch ngón tay đạt yêu cầu chống giả mạo, nhờ phương pháp sinh trắc học vô hìnhdưới
những điều kiện đặc biệt. Nó đảm bảo các mạch máu sống hiện hữu, mà nhờ đó ngăn cản sựgiả mạo. Các
kiểu dạng mạch máu tĩnh mạch rất rõ ràng và đặc trưng, đã giải thích chính xác cho độchính xác cao của
giải pháp. Các nghiên cứu ghi nhận có sự khác biệt rất lớn giữa các mẫu hình vềkiểu loại tĩnh mạch, làm
cơ sở cho sự duy nhất và không trùng lặp của tĩnh mạch. Thêm vào đó kiểudạng tĩnh mạch không thay đổi
trong suốt thời gian sống kể từ khi con người trưởng thành
2. Theo bạn, để có thể kiểm soát việc sử dụng thiết bị, ứng dụng được cài đặt trong phòng mô phỏng
chúng ta thể dùng phương pháp nào (chữ ký số, xác thực và điều khiểu truy cập bằng mật khẩu
(fixed password, OTP), thẻ từ, camera, sinh trắc học (vân tay hoặc khuôn mặt, con ngơi,…)) và
nêu lý do tại sao đây là giải pháp hợp lý nhất?

Username PW, camera

Để có thể kiểm soát việc sử dụng tiết bị, ứng dụng được cài đặt trong phòng mô phỏngchúng ta có thể
dùng phương pháp xác thực và điều khiển truy cập bằng mật khẩu.
- Đây là giải pháp hợp lí nhất vì Điều khiển truy nhập là quá trình mà trong đó người dùng đượcnhận dạng
và trao quyền truy nhập đến các thông tin, các hệ thống và tài nguyên. Điều khiển truycập tạo nên khả
năng cho chúng ta có thể cấp phép hoặc từ chối một chủ thể - một thực thể chủđộng, chẳng hạn như một
người hay một quy trình nào đó - sử dụng một đối tượng - một thực thểthụ động, chẳng hạn như một hệ
thống, một tập tin - nào đó trong hệ thống