Professional Documents
Culture Documents
Vothithuyquyen 2121005069 Baocao
Vothithuyquyen 2121005069 Baocao
----------------
BÁO CÁO ĐỒ ÁN
AN TOÀN THÔNG TIN
Lớp : 2331112002720
----------------
BÁO CÁO ĐỒ ÁN
AN TOÀN THÔNG TIN
Lớp : 2331112002720
Qua môn họcAn toàn thông tin, cô đã tận tình giảng dạy và truyền đạt toàn bộ các
kiến thức quý giá. Qua đó đã giúp em có thêm những kiến thức về các hệ thống thông tin.
Nó chính là nền tảng để bổ sung những kiến thức mà em còn thiếu sót để sau này khắc
phục nó. Qua đó rút ra được nhiều bài học, nhiều kinh nghiệm bổ ích.
Trong quá trình thực hiện đề tài, chúng em đã cố gắng để nỗ lực. Tuy nhiên vì chưa
có nhiều kinh nghiệm và khả năng am hiểu về An toàn thông tin nên vẫn còn nhiều hạn
chế. Nên trong quá trình thực hiện đề tài khó tránh khỏi những thiếu sót. Em rất mong nhận
được những nhận xét, ý kiến đống góp của cô để em có thể hoàn thành đề tài một cách
chỉnh chu nhất.
Cuối cùng, em kính chúc cô lời chúc sức khỏe, hạnh phúc và luôn thành công trên
con đường sự nghiệp giảng dạy của mình.
Trân trọng!
i
NHẬN XÉT VÀ ĐÁNH GIÁ CỦA GIẢNG VIÊN 1
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
- Điểm số:......................................................................................................................
Giảng Viên
ii
NHẬN XÉT VÀ ĐÁNH GIÁ CỦA GIẢNG VIÊN 2
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
- Điểm số:......................................................................................................................
Giảng Viên
iii
DANH MỤC TỪ VIẾT TẮT
TT Từ viết tắt Chú thích
iv
DANH MỤC THUẬT NGỮ ANH – VIỆT
TT Thuật ngữ Anh Dịch
v
DANH MỤC BẢNG BIỂU
Bảng 3. 1 Bảng so sánh 03 phương pháp: STRIDE, PASTA và CVSS........................... 20
Bảng 3. 12 Bảng liệt kê so sánh Net user /? và Net help user .......................................... 62
vi
DANH MỤC HÌNH ẢNH
Hinh 2. 1 Quy trình an toàn bảo mật thông tin .................................................................... 4
iii
Hình 3. 20 Kiểm tra Tamper Protection ............................................................................ 46
Hình 3. 26 kết quả dựa trên báo cáo của VirusTotal ......................................................... 50
Hình 3. 27 Quick Scan: Để quét nhanh virus và các mối đe dọa ...................................... 52
Hình 3. 28 Kết quả Quick Scan: Để quét nhanh virus và các mối đe dọa ....................... 53
Hình 3. 32 Quét các file và thư mục nghi ngờ sử dụng R ................................................. 56
Hình 3. 37 Chuyển vào thư mục mới tạo bằng cách sử dụng dấu * .................................. 58
Hình 3. 39 Đổi tên "this directory has a space" thành "shortname" .................................. 59
iv
Hình 3. 43 Dùng netstat để lấy thông tin kết nối ............................................................... 61
Hình 3. 46 Cấu hình user QuanLy thành member của group Administrators ................... 63
Hình 3. 50 Quan sát giao diện Windows Firewall nâng cao ............................................. 68
Hình 3. 57 Block một ứng dụng kết nối với Internet ........................................................ 71
Hình 3. 59 Kết quả Block một ứng dụng kết nối với Internet ........................................... 72
v
Hình 3. 66 Cửa số Local Group Policy Editor .................................................................. 77
\RunOne ............................................................................................................................. 83
Hình 3. 76 Kết quả khi thực hiện lệnh: Reg query ........................................................... 84
Hình 3. 81 services name của services “plug and play” (có thể dùng services.msc) ........ 85
Hình 3. 86 Thông báo sau khi chởi chạy lại services“plug and play”............................... 86
Hình 3. 90 Khảo sát phần Privacy & Security Mozila Firefox ......................................... 89
Hình 3. 100 Tắt quản lý từ xa/ dịch vụ không cần thiết .................................................... 96
Hình 3. 101 ping tới địa chỉ IP của máy google.com. ....................................................... 96
Hình 3. 102 Các dòng thể hiện quá trình ping ................................................................... 97
Hình 3. 105 Chọn cổng mạng muốn nghe lén trên Wireshark .......................................... 99
vii
Hình 3. 108 Lọc kết quả sử dụng giao thức HTTP. ........................................................ 101
Hình 3. 109 Cột thông tin và tìm các điểm đầu vào có phương thức HTTP POST ........ 102
Hình 3. 111 Nhập mật khẩu và password trong SQL injection ....................................... 104
Hình 3. 112 SQL injection thông báo lỗi không tìm thấy tài khoản ............................... 105
Hình 3. 113 Hiển thị lỗi để để có thể tạo ra đoạn code giả để xâm nhập vào web ......... 105
Hình 3. 115 Đăng nhập thành công khi nhập kí tự đặc biệt ............................................ 106
Hình 3. 119 Kiểm Soát Quyền Truy Cập RMS trong file word ...................................... 114
Hình 3. 121 Kiểm soát Dữ liệu Bảo mật trong excel ...................................................... 116
Hình 3. 122 Tính năng duyệt tài liệu trong excel ............................................................ 116
Hình 3. 124 Kết quả Tạo chữ kỹ số trong file word ........................................................ 118
Hình 3. 129 Chọn thư mục lưu sử dụng Kleopatra ......................................................... 121
Hình 3. 130 Tạo mới file bất kì hoặc đã có vào cùng một thư mục ................................ 122
viii
Hình 3. 131 Mã hóa file .................................................................................................. 123
Hình 3. 134 Tạo chữ bất kì trong input CyberChef ......................................................... 126
Hình 3. 137 Kết quả sau khi tạo ở khung Output ............................................................ 128
ix
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
MỤC LỤC
LỜI CẢM ƠN ....................................................................................................................... i
x
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
2.1.3. Phát triển hệ thống ATBM TT..................................................................... 5
2.2. An toàn và bảo mật thông tin trên máy tính cá nhân ............................................. 7
2.3. An toàn và bảo mật thông tin trên mạng máy tính................................................. 8
2.5.1. ATBM thông tin trên tài liệu, chứng từ điện tử ......................................... 11
xi
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
CHƯƠNG 3: KẾT QUẢ NGHIÊN CỨU ......................................................................... 15
3.1.3. Cho biết từng điều nào sau đây là vi phạm tính bảo mật, toàn vẹn, sẵn có,
hoặc một số kết hợp của chúng ................................................................................. 17
3.1.4. Tìm và tóm tăt 3 Luật và 3 văn bản dươi luật liên quan đến ATTT .......... 18
3.1.5. Tóm tắt các nội dung của quy trình xây dựng hệ thống ATTT Software
Development Life Cycle............................................................................................ 19
3.1.6. Lập bảng so sánh 03 phương pháp: STRIDE, PASTA và CVSS .............. 20
3.2. An toàn và bảo mật thông tin trên máy tính cá nhân ........................................... 29
3.2.3. Kiểm tra các thành phần an toàn bảo mật trên Win 10.............................. 35
xii
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
3.2.11. Tạo User và Group trong Windows bằng command line (thực hiện trên
máy) 62
3.3. An toàn và bảo mật thông tin trên mạng máy tính............................................... 87
3.3.1. An toàn bảo mật trên Web browser Internet explorer ............................... 87
3.3.2. Thiết lập cơ chế an toàn BM trên mạng xã hội(ví dụ : Fackebook) .......... 90
3.3.3. Lab thiết lập các tùy chọn bảo mật cho Wifi Router ................................. 92
3.4. Công nghệ bảo mật và đảm bảo an toàn cơ sở dữ liệu ..................................... 103
3.4.2. Tìm hiểu các cơ chế bảo mật của Microsoft SQL Server ........................ 107
3.4.3. Tìm hiểu các cơ chế bảo mật của Oracle ................................................. 108
3.4.4. Tìm hiểu các cơ chế bảo mật của MySQL............................................... 109
3.5. An toàn và bảo mật thông tin qua chữ ký số...................................................... 110
3.5.1. Thực hiện khảo sát các tính năng bảo vệ tài liệu điện tử trong Word, Excel,
PowerPoint. Tạo chữ ký số trong file tài liệu điện tử. ............................................. 110
xiii
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
3.5.2. Cho một tập tin bất kỳ, hãy tạo một chữ ký số sử dụng phần mềm tạo chữ
ký số miễn phí như Gpg4win hoặc Kleopatra. ........................................................ 118
3.5.3. Thực hiện một mã hóa đơn giản bằng cách sử dụng công cụ mã hóa trực
tuyến như CyberChef hoặc Cryptii.......................................................................... 126
3.5.4. Tìm hiểu về các hình thức thanh toán trực tuyến như thẻ tín dụng, ví điện
tử và chuyển khoản ngân hàng. ............................................................................... 129
3.5.5. Tìm hiểu về các công nghệ bảo mật thanh toán như SSL/TLS, mã hóa dữ
liệu và 3D Secure. .................................................................................................... 130
xiv
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
Trong bối cảnh mạng lưới thông tin ngày càng phát triển, nhu cầu đảm bảo an toàn và
bảo mật thông tin trở nên ngày càng quan trọng. Sự bùng nổ của công nghệ số mang lại
nhiều cơ hội và tiện ích, nhưng cũng đi kèm với nguy cơ lớn về an ninh thông tin. Điều
này tạo ra một thách thức đối với cộng đồng chuyên gia và nhà nghiên cứu để tìm hiểu và
áp dụng các biện pháp hiệu quả để bảo vệ thông tin quan trọng khỏi các mối đe dọa ngày
càng phức tạp.
Mục tiêu chung của đề tài là hiểu rõ hơn về thách thức và cơ hội liên quan đến an toàn và
bảo mật thông tin trong bối cảnh ngày càng số hóa nhanh chóng.
Nghiên cứu sẽ tập trung vào việc phân tích các xu hướng mới và mô hình hiện đại trong
lĩnh vực an toàn thông tin. Ngoài ra, mục tiêu cụ thể là đề xuất các giải pháp và chiến lược
nhằm ngăn chặn và giảm thiểu rủi ro an ninh mạng.
Phạm vi của đề tài sẽ hướng tới nghiên cứu chi tiết về các khía cạnh quan trọng trong lĩnh
vực an toàn và bảo mật thông tin. Các khía cạnh này bao gồm mạng, hệ thống, chính sách,
và vai trò của con người trong quá trình đảm bảo an toàn thông tin.
Các đối tượng nghiên cứu của chúng tôi bao gồm tất cả các tổ chức và cá nhân sử dụng
công nghệ số, đặc biệt là trong lĩnh vực doanh nghiệp và chính phủ. Sự hiểu biết sâu rộng
về an toàn thông tin sẽ làm nền tảng cho sự phát triển bền vững trong môi trường số hóa.
1
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
1.5. Phương pháp nghiên cứu:
Chúng tôi sẽ sử dụng phương pháp nghiên cứu tổng hợp thông tin từ nhiều nguồn đáng
tin cậy nhất. Phân tích chi tiết về các vấn đề và giải pháp trong lĩnh vực an toàn và bảo
mật thông tin sẽ được thực hiện để đảm bảo sự hiệu quả và tính toàn diện của nghiên cứu.
2
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
CHƯƠNG 2: CƠ SỞ LÝ THUYẾT
2.1. Căn bản về an toàn và bảo mật thông tin
2.1.1. Những khái niệm cơ bản
An toàn và bảo mật thông tin (ATBM TT) là quá trình đảm bảo sự an toàn của thông tin
và các yếu tố liên quan, bao gồm hệ thống, phần cứng, và dữ liệu trong quá trình sử dụng,
lưu trữ, và truyền tải thông tin. Để hiệu quả, cần sử dụng chính sách, nhận thức, đào tạo,
giáo dục, và công nghệ.
Các thuật ngữ quan trọng bao gồm mối đe dọa, lỗ hổng, cuộc tấn công, rủi ro, và các cơ
chế an toàn bảo mật như mật mã, xác định, xác thực, và kiểm toán.
Chính sách bảo mật định nghĩa cách tổ chức bảo vệ thông tin và đặt ra quy định về mức
độ an toàn, đào tạo nhân viên, và sử dụng công cụ bảo mật như mật mã, tường lửa, và phần
mềm diệt virus.
Các cấp độ an toàn và bảo mật thông tin có thể áp dụng cho chương trình, hệ điều hành,
mạng, và hệ thống thông tin.
3
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
Xác định mối đe dọa: Các mối đe dọa an toàn bảo mật (security threats) là những sự
kiện có ảnh hưởng đến an toàn của hệ thống thông tin.
Phân loại mối đe dọa bao gồm xem thông tin bất hợp pháp, chỉnh sửa thông tin bất hợp
pháp, và từ chối dịch vụ.
❖ Gian lận và đánh cắp: Có thể do nhân viên nội bộ hoặc bên ngoài.
❖ Nội gián: Nhân viên mối đe dọa nội bộ đối với tổ chức vì họ quen thuộc với hệ
thống và ứng dụng.
❖ Tin tặc: Cá nhân hoặc nhóm sử dụng hiểu biết về hệ thống để truy cập bất hợp
pháp.
❖ Mã độc (Malicious Code): Phần mềm tạo ra để xâm nhập, gây thiệt hại hoặc lấy
cắp thông tin.
4
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
Xây dựng chính sách an toàn bảo mật thông tin: tổng hợp các chỉ thị, quy định, quy
tắc và thông lệ quy định cách một tổ chức quản lý, bảo vệ và phân phối thông tin. Cần
có những chính sách bảo mật riêng cho những yêu cầu bảo mật khác nhau. Ví dụ: chính
sách truy cập Internet
và quy trình)
->Các giai đoạn được thực hiện tuần tự, có sự phản hồi của giai đoạn sau tới giai đoạn
trước
• Economy of mechanism
5
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
• Fail-safe defaults
• Complete mediation
• Open design
• Separation of privilege
• Least privilege
• Psychological acceptability
Mô hình hóa mối đe dọa là một phương pháp đánh giá an toàn bằng cách xác định các lỗ
hổng, mục tiêu và phát triển các biện pháp đối phó để ngăn chặn hoặc giảm thiểu tác động
của các cuộc tấn công. Quá trình này bắt đầu với bước thu thập yêu cầu, trong đó các bên
liên quan xác định và đồng ý về những gì hệ thống cần làm và đưa ra yêu cầu bảo mật.
2.2. An toàn và bảo mật thông tin trên máy tính cá nhân
2.2.1. Giới thiệu tổng quan hệ điều hành
Hệ điều hành (Operating System - OS) là một phần mềm hệ thống chịu trách nhiệm điều
hành và quản lý toàn bộ hệ thống máy tính, kết nối và quản lý cả phần cứng và phần mềm.
Vai trò chính của HĐH là làm trung gian giữa người sử dụng và các thành phần của thiết
bị điện tử.
❖ Tính Bảo Mật: Hạn chế việc truy cập các đối tượng, giới hạn quyền của các chủ thể.
❖ Tính Toàn Vẹn: Hạn chế việc sửa đổi, xóa dữ liệu trên các đối tượng.
❖ Tính Khả Dụng: Hạn chế sử dụng tài nguyên của hệ thống.
Kiểm soát truy cập là quá trình mà trong đó người dùng được nhận dạng và trao quyền
truy cập đến các thông tin, các hệ thống và tài nguyên
7
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
- Mạng (Network): Hai hay nhiều máy tính hoặc thiết bị kết nối với nhau để chia sẻ
tài nguyên.
- Mạng Internet (Internet network): Mạng Internet là một hệ thống mạng dựa trên
giao thức (protocol) TCP/IP giữa các máy tính với nhau với quy mô toàn cầu. TCP/IP
có nhiệm vụ cấp địa chỉ IP cho thiết bị tham gia vào mạng.
- OSI viết tắt của Open Systems Interconnection (Kết nối hệ thống mở).
- Mô hình OSI chia các khía cạnh/chức năng của networking thành 7 lớp riêng biệt,
Mỗi một lớp sẽ có một chức năng nhất định, kèm theo quy định những phần cứng,
giao thức dùng ở mỗi lớp.
Mạng nội bộ hiện đại là các trung tâm dữ liệu tập trung chứa thông tin và tài sản thuộc về
công ty. Là mục tiêu của các cuộc tấn công mạng. Tuy nhiên các cuộc tấn công mạng không
phải là mối đe dọa lớn nhất đối với intranet.
8
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
Tác nhân bên trong : Lỗi hoặc sơ suất của nhân viên, vô tình lộ thông tin mạng nội bộ, nội
gián.
Tác nhân bên ngoài : Trộm cắp vật lý, chặn dữ liệu trong quá trình truyền, lấy cắp dữ liệu.
Cookie
Cookie là các file tạm được tự động tạo ra trong máy tính mỗi khi truy cập một trang Web
nào đó, nó sẽ lưu những thông tin cá nhân của người dùng như thiết bị đang sử dụng, tài
khoản cá nhân, v.v… và lấy lại nó để sử dụng cho những lần sau. Nó giúp việc truy cập
Website của người dùng nhanh hơn, tiện lợi hơn, giúp doanh nghiệp theo dõi được hành vi
người dùng. Là mục tiêu của tội phạm khi máy tính xâm nhập.
Các kẻ tấn công thường tập trung vào khai thác các lỗ hổng trong hệ thống phía máy khách,
nhất là trong trình duyệt web, để cài đặt phần mềm độc hại hoặc lấy cắp thông tin của người
dùng. Đây là một phương pháp hiệu quả và chi phí thấp cho các kẻ tấn công.
9
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
Wifi (Wireless Fidelity) là công cụ kết nối không thể thiếu trên điện thoại, laptop, máy
tính bảng và một số thiết bị thông minh khác như smartwatch.
IP (Internet Protocol Security) là một bộ giao thức mật mã bảo vệ lưu lượng dữ liệu qua
mạng Internet Protocol (IP).
Mạng IP – bao gồm cả World Wide Web – thiếu khả năng mã hoá và bảo vệ quyền riêng
tư. VPN IPSec giải quyết điểm yếu này, bằng cách cung cấp một framework cho việc giao
tiếp được mã hóa và riêng tư trên web.
Cơ sở dữ liệu ngày nay đã trở thành một khía cạnh quan trọng trong cuộc sống hàng ngày
của chúng ta, nhưng cũng khiến chúng ta dễ bị tấn công. Điều này khiến an toàn bảo mật
cơ sở dữ liệu trở thành một vấn đề toàn cầu cần giải quyết để giảm thiểu rủi ro và đối phó
với các mối đe dọa tiềm năng.
Bảo mật cơ sở dữ liệu là tập hợp các quy trình, tiêu chuẩn, chính sách và công cụ được áp
dụng để bảo vệ dữ liệu tránh khỏi các hành vi đánh cắp, sử dụng sai mục đích và các cuộc
xâm nhập, hoạt động, tấn công không mong muốn.
SQL Injection là lỗ hổng bảo mật cho phép hackers toàn quyền truy cập và thay đổi cơ sở
dữ liệu của hệ thống nạn nhân thông qua việc thay đổi câu lệnh SQL đang được hệ thống
sử dụng.
- Sử dụng mật khẩu (Mức khẩu phức tạp, đổi khẩu thường xuyên)
- Mã hóa dữ liệu
- Kiểm tra xác thực
- Cập nhật phần mềm, sao lưu thường xuyên
- Tăng cường giao dục an toàn thông tin
- Giới hạn quyền truy cập
Công cụ và dịch vụ bảo mật trên chứng từ điện tử
- Chứng chỉ số (Digital Certificates): Chứng chỉ số được cấp phát bởi các cơ quan
uy tín và được sử dụng để xác định danh tính của người gửi và người nhận chứng
từ.
- Chữ ký số (Digital Signatures) : Giúp đảm bảo rằng tài liệu không bị sửa đổi sau
khi đã ký và được đính kèm trực tiếp vào tài liệu điện tử.
- Mã hóa Dữ liệu (Encryption): Bảo vệ chứng từ điện tử bằng cách biến đổi thông
tin thành dạng không đọc được.
- Quản Lý Quyền Truy Cập: Hạn chế quyền truy cập để chỉ những người được
phép truy cập tài liệu điện tử.
- Xác Thực Đa Yếu Tố (MFA): Sử dụng nhiều yếu tố xác thực để tăng cường bảo
mật thông tin.
- Dịch Vụ Lưu Trữ Đám Mây: Lưu trữ tài liệu điện tử an toàn trên máy chủ đám
mây, hỗ trợ mã hóa và sao lưu định kỳ.
- Chữ ký số (digital signature) là dữ liệu đính kèm với văn bản để xác minh tác giả
và kiểm tra toàn vẹn nội dung.
- Chứng thực số (digital certificate) là kỹ thuật xác minh danh tính trên mạng và
đảm bảo an toàn trong truyền tải thông tin.
13
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
14
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
• An ninh thông tin bắt đầu với xuất hiện của máy tính mainframe để giải mã tin
nhắn từ máy mã hóa đối phương.
• An ninh chủ yếu liên quan đến vật lý và phân loại tài liệu.
• Mối đe dọa chính là mất trộm thiết bị, gián điệp và phá hoại.
• Xuất hiện các vấn đề an ninh mới, như lỗi phần mềm làm rò rỉ tệp mật khẩu.
*Giai đoạn1960 đến 1970: Trong thời Chiến tranh Lạnh, nhiều máy tính mainframe được
kết nối trực tuyến để thực hiện các nhiệm vụ phức tạp hơn, và để giải quyết việc truyền
thông dễ dàng hơn, ARPA đã phát triển ARPANET vào năm 1968.
• Internet đưa vào liên tục giao tiếp hàng triệu mạng máy tính.
• Tăng cường nhận thức về cần cải thiện an ninh thông tin, đặc biệt trong quốc phòng.
• Mối đe dọa từ cuộc tấn công mạng và chiến tranh thông tin tăng lên.
• Luật Sarbanes-Oxley và các luật về quyền riêng tư ảnh hưởng đến an ninh máy tính.
15
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
• Thay đổi lập pháp liên quan đến an ninh máy tính sau vụ tấn công vào Trung tâm
Thương mại Thế giới vào năm 2001.
• Attack: Một cuộc tấn công vào hệ thống là một số hành động liên quan đến việc khai
thác một số lỗ hổng để biến mối đe dọa thành hiện thực.
• Risk(Rủi ro): rủi ro, xác suất xảy ra sự cố không mong muốn, chẳng hạn như một sự
kiện bất lợi hoặc tổn thất
• Access (Truy cập): Quyền và khả năng truy cập vào thông tin hoặc tài nguyên nào đó
trong hệ thống.
• Asset (Tài sản): Bất cứ yếu tố nào có giá trị đối với tổ chức và cần được bảo vệ.
• Exploit (Khai thác): Sử dụng một lỗ hổng hoặc yếu điểm trong hệ thống để tận dụng
và tạo ra một tình huống không mong muốn.
• Exposure (Tiếp xúc): Tình trạng khi một tài sản hoặc thông tin quan trọng có thể bị
tiếp xúc với nguy cơ hoặc mối đe dọa.
• Loss (Mất mát): Tình trạng mất mát về thông tin hoặc tài sản có giá trị.
• Protection Profile (Hồ sơ bảo vệ): Một tài liệu mô tả yêu cầu bảo mật cụ thể cho một
hệ thống, sản phẩm hoặc dịch vụ.
• Security Posture (Tư thế bảo mật): Tổng thể về mức độ đề phòng và khả năng chống
lại các mối đe dọa bảo mật. Bao gồm cả các biện pháp bảo mật, chính sách, và các hoạt
động quản lý rủi ro.
• Threat Event (Sự kiện Đe dọa) ~ Attack (Tấn công): Sự kiện hoặc hành động gây
nguy cơ đối với an toàn thông tin. Một sự kiện đe dọa có thể dẫn đến một cuộc tấn công
nếu không có biện pháp phòng ngừa.
• Control, Safeguard, or Countermeasure (Kiểm soát, Biện pháp An toàn hoặc
Phương tiện Ngăn chặn): Các biện pháp hoặc quy trình được thực hiện để giảm thiểu
rủi ro và bảo vệ hệ thống hoặc thông tin khỏi các mối đe dọa và tấn công.
• Subjects and Objects (Chủ thể và Đối tượng):
16
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
- Chủ thể: Thực thể thực hiện các hành động trong hệ thống, thường là người dùng
hoặc các thành phần của hệ thống.
- Đối tượng: Các yếu tố mà chủ thể tác động lên hoặc nhận tác động từ, chẳng hạn
như dữ liệu, tài nguyên hệ thống, hoặc các thành phần khác.
3.1.3. Cho biết từng điều nào sau đây là vi phạm tính bảo mật, toàn vẹn, sẵn có,
hoặc một số kết hợp của chúng
o John chép bài tập về nhà của Mary: Điều này là vi phạm tính toàn vẹn và sẵn có
của thông tin. John trái với tính toàn vẹn của thông tin bằng cách sao chép bài tập
của Mary mà không có sự cho phép hoặc ủy quyền.
o Paul đánh sập hệ thống của Linda: Điều này là vi phạm tính bảo mật và tính toàn
vẹn của hệ thống. Paul tấn công hệ thống của Linda để gây hỏng hoặc làm hỏng nó
và đe dọa tính bảo mật của hệ thống.
o Carol thay đổi số tiền thanh toán của Angelo từ 100 đô la thành 1.000 đô la:
Điều này là vi phạm tính toàn vẹn và tính bảo mật của dữ liệu tài chính. Carol thay
đổi thông tin thanh toán của Angelo một cách trái phép, gây ảnh hưởng đến tính
toàn vẹn của thông tin và an ninh tài chính.
o Gina giả mạo chữ ký của Roger trên chứng thư: Điều này là vi phạm tính bảo
mật và tính toàn vẹn của chứng thư hoặc giấy tờ quan trọng. Gina giả mạo chữ ký
của Roger để làm cho tài liệu trở nên không đáng tin cậy và có thể gây hại cho tính
toàn vẹn của dữ liệu.
o Rhonda đăng ký tên miền “AddisonWesley.com” và từ chối cho nhà xuất bản
mua hoặc sử dụng tên miền đó: Điều này là vi phạm tính sẵn có của tên miền và
có thể bao gồm cả vi phạm tính toàn vẹn (nếu Rhonda thực hiện gian lận để đăng
ký tên miền này). Rhonda ngăn cản nhà xuất bản mua hoặc sử dụng tên miền
"AddisonWesley.com."
17
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
3.1.4. Tìm và tóm tăt 3 Luật và 3 văn bản dươi luật liên quan đến ATTT
➢ Luật An toàn thông tin mạng: Luật này quy định các yêu cầu về an toàn thông tin
mạng và quản lý gửi thông tin trên mạng. Các điểm chính bao gồm:
- Yêu cầu không giả mạo nguồn gốc thông tin gửi trên mạng.
- Nghiêm túc tuân thủ quy định pháp luật liên quan.
- Điều chỉnh việc gửi thông tin thương mại mà người tiếp nhận đã từ chối.
- Quy định trách nhiệm của các doanh nghiệp viễn thông và công nghệ thông tin
về bảo vệ thông tin và an toàn mạng.
➢ Luật Phòng ngừa, phát hiện, ngăn chặn và xử lý phần mềm độc hại: Luật này đề
cập đến các biện pháp liên quan đến phần mềm độc hại, bao gồm:
- Trách nhiệm của cơ quan, tổ chức và cá nhân trong việc phòng ngừa và ngăn
chặn phần mềm độc hại.
- Triển khai hệ thống kỹ thuật để phát hiện và xử lý phần mềm độc hại.
- Yêu cầu doanh nghiệp cung cấp dịch vụ truyền thông và Internet có hệ thống
lọc phần mềm độc hại.
- Phối hợp giữa các bộ ngành để xử lý phần mềm độc hại đe dọa quốc phòng và
an ninh quốc gia.
➢ Luật Bảo đảm an toàn tài nguyên viễn thông: Luật này tập trung vào bảo đảm an
toàn tài nguyên viễn thông và bao gồm các quy định sau:
- Áp dụng biện pháp quản lý và kỹ thuật để ngăn chặn mất an toàn thông tin
mạng.
- Trách nhiệm của doanh nghiệp cung cấp dịch vụ Internet trong việc quản lý và
phối hợp ngăn chặn mất an toàn thông tin mạng.
- Bộ Thông tin và Truyền thông chịu trách nhiệm bảo đảm an toàn thông tin
mạng cho hệ thống máy chủ tên miền quốc gia Việt Nam.
18
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
3.1.5. Tóm tắt các nội dung của quy trình xây dựng hệ thống ATTT Software
Development Life Cycle
▪ Phân tích chi tiết yêu cầu của người dùng và hệ thống.
▪ Xác định chức năng và yêu cầu kỹ thuật.
▪ Lập bản đặc tả yêu cầu chi tiết.
▪ Viết mã và triển khai hệ thống dựa trên thiết kế đã được xác nhận.
▪ Thực hiện kiểm thử đơn vị để đảm bảo tính đúng đắn của mã
nguồn.
▪ Kết hợp các thành phần và thực hiện kiểm thử tích hợp.
19
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
▪ Thực hiện các cải tiến và điều chỉnh dựa trên phản hồi và yêu cầu
mới
→Các giai đoạn được thực hiện tuần tự, có sự phản hồi của giai đoạn sau tới giai đoạn
trước:
o Initiation
o Development/Acquisition
o Implementation/Assessment
o Disposal
Độ phức tạp 3 bậc (chậm, thoải mái, Không phân rõ cấp 4 bậc (thấp, trung,
nhanh) bậc cao, quan trọng)
Mức độ sử Được biết đến rộng rãi Không được sử Được áp dụng
dụng và vẫn được áp dụng vì dụng rộng rãi và rộng rãi, bao gồm
nó dễ đồng hóa mất nhiều thời gian cả các nhóm chính
để thực hiện phủ như Cơ quan an
ninh cơ sở hạ tầng
20
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
và an ninh mạng
của Bộ An ninh
Nội địa
Mục đích hoạt Tìm ra các mối đe dọa Xác định các mối Đánh giá mức độ
động đến vấn đề bảo mật và đe dọa tiềm ẩn nghiêm trọng của
ngăn chặn chúng để xây trong phạm vi đối các lỗ hổng bảo
dựng một ứng dụng tượng của mình mật hệ thống máy
hoặc hệ thống an toàn tính
Môi trường Ứng dụng, hệ thống, bối Thực hiện trên Môi trường công
hoạt động cảnh CNTT hoặc quy các ứng dụng (di nghệ thông tin,
trình kinh doanh. động, web, các hệ thống kết
Internet,... và các nối internet
hệ thống công nghệ
thông tin.
Ưu điểm - Dễ hiểu và dễ dạy - Kết quả mang đến - Miễn phí, dễ hiểu
giúp áp dụng phương là rất toàn diện - Khắc phục điểm
pháp STRIDE giữa các - Có thể được tích yếu như một tính
thành viên nhóm phi hợp với các hoạt năng
bảo mật và phi kỹ thuật. - Cung cấp một
động kinh doanh
- Nhanh chóng xác định cách để nắm bắt các
khác
các mối đe dọa cấp cao đặc điểm chính
có thể ảnh hưởng đến - Nhận đầu vào
của lỗ hổng và tạo
hệ thống mà bạn đang tự động
ra một điểm số
lập mô hình. - Báo cáo tốt hơn phản ánh mức độ
- Thực hiện tương đối nghiêm trọng của
nhanh. nó
21
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
Khuyết điểm - Có thể không xác - Phải làm quen với - Không cho thấy
định được nhiều mối đe tư duy và khả được rủi ro thực sự,
dọa chi tiết (tiềm ẩn) – năng của kẻ tấn và lỗ hổng đó có
nghĩa là các mối đe công. thể ảnh hưởng như
dọa bị bỏ sót. - CNTT càng phát thế nào đến môi
- Không gồm cơ chế triển nên việc bị trường của công ty
tính đến các khung tiêu tấn công càng dễ - Làm nảy sinh
chuẩn như NISTCSF, xảy ra nên việc sử các vấn đề nghiêm
yêu cầu ứng dụng, ... dụng phương pháp trọng khi đối mặt
này này cần linh với các mối đe dọa
hoạt nhiều hơn an ninh mạng
❖ Tổng số threats: 32
❖ Spoofing: 8
❖ Tampering: 7
22
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
❖ Repudiation: 3
❖ Information disclosure: 11
❖ Denial of services:
❖ Elevation of Privileges: 3
1. Spoofing of Destination Data Store SQL Database [State: Not Started] [Priority:
High]
Category: Spoofing
Descriptio SQL Database may be spoofed by an attacker and this may lead to data
n: being written to the attacker's target instead of SQL Database. Consider
using a standard authentication mechanism to identify the destination
data store.
Mô tả: Cơ sở dữ liệu SQL có thể bị kẻ tấn công giả mạo và điều này có thể dẫn đến
việc dữ liệu được ghi vào mục tiêu của kẻ tấn công thay vì Cơ sở dữ liệu SQL. Cân
nhắc sử dụng cơ chế xác thực tiêu chuẩn để xác định điểm đến của kho dữ liệu.
2. Spoofing of An adversary can spoof the target web application due to insecure TLS
certificate configuration [State: Not Started] [Priority: High]
23
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
Category: Spoofing
Descriptio Ensure that TLS certificate parameters are configured with correct
n: values
Mô tả: Đảm bảo rằng các tham số chứng chỉ TLS được định cấu hình với các giá trị
chính xác
3. Spoofing of An adversary can steal sensitive data like user credentials [State: Not
Started] [Priority: High]
Category: Spoofing
Mô tả: Kẻ tấn công có thể khai thác điểm yếu trong hệ thống để đánh cắp thông tin
đăng nhập của người dùng. Các thành phần xuôi dòng và ngược dòng thường được truy
24
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
cập bằng cách sử dụng kho thông tin xác thực trong các cửa hàng cấu hình. Những kẻ
tấn công có thể đánh cắp thông tin đăng nhập của thành phần ngược dòng. Kẻ tấn công
có thể đánh cắp thông tin xác thực nếu Thông tin xác thực được lưu trữ và ở dạng văn
bản rõ ràng Xác thực đầu vào yếu cùng với truy vấn sql động Cơ chế truy xuất mật
khẩu kém
4. Spoofing of An adversary can create a fake website and launch phishing attacks
[State: Not Started] [Priority: High]
Category: Spoofing
Mô tả: Lừa đảo cố gắng lấy thông tin nhạy cảm như tên người dùng, mật khẩu và chi
tiết thẻ tín dụng (và đôi khi. Gián tiếp, tiền), thường vì những lý do xấu, bằng cách giả
dạng Máy chủ Web, một thực thể đáng tin cậy trong giao tiếp điện tử
25
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
5. Spoofing of An adversary may spoof Mobile Client and gain acess to Web
Application [State: Not Started] [Priority: High]
Category: Spoofing
Mô tả: Nếu không có xác thực thích hợp, kẻ tấn công có thể giả mạo quy trình nguồn
hoặc thực thể bên ngoài và giành được quyền truy cập trái phép vào Ứng dụng Web
Category: Tampering
Descriptio An adversary can use various tools, reverse engineer binaries and
n: abuse them by tampering
26
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
Mô tả: Kẻ thù có thể sử dụng nhiều công cụ khác nhau, đảo ngược các mã nhị phân và
lạm dụng chúng bằng cách giả mạo
Category: Tampering
Mô tả: Kẻ thù có thể sử dụng nhiều công cụ khác nhau, các tệp nhị phân kỹ sư đảo
ngược và SQL SQL là một cuộc tấn công trong đó mã độc được chèn vào các chuỗi mà
sau đó được chuyển đến một phiên bản SQL Server để phân tích cú pháp và thực thi.
Hình thức cơ bản của SQL SQL bao gồm việc chèn trực tiếp mã vào các biến đầu vào
của người dùng được nối với các lệnh SQL và thực thi. Một cuộc tấn công ít trực tiếp
hơn sẽ đưa mã độc vào các chuỗi được dành cho kho lưu trữ trong bảng hoặc dưới
27
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
dạng siêu dữ liệu. Khi các chuỗi được lưu trữ sau đó được nối thành một lệnh SQL
động, mã độc sẽ thực thi lạm dụng chúng bằng cách giả mạo
8. Tampering of An adversary can gain access to sensitive data stored in Web App’s
cogif files [State: Not Started] [Priority: High]
Category: Tampering
Descriptio An adversary can gain access to the config files, and if sensitive data is
n: stored in it, it would be compromised
Mô tả: Kẻ thù có thể có quyền truy cập vào các tệp cấu hình và nếu dữ liệu nhạy cảm
được lưu trữ trong đó, nó sẽ bị xâm phạm
9. Repudiation of Attacker can deny the malicious act and remove the attack foot prints
leading to repudiation issues [State: Not Started] [Priority: Medium]
Category: Repudiation
Descriptio Proper logging of all security events and user actions builds traceability
n: in a system and denies any possible repudiations issues. In the absence
28
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
Mô tả: Việc ghi nhật ký đúng cách tất cả các sự kiện bảo mật và hành động của người
dùng sẽ xây dựng khả năng truy nguyên trong hệ thống và ngăn chặn mọi vấn đề từ
chối có thể xảy ra. Trong trường hợp không có biện pháp kiểm soát ghi nhật ký và
kiểm tra thích hợp, sẽ không thể triển khai bất kỳ trách nhiệm giải trình nào trong hệ
thống
3.2. An toàn và bảo mật thông tin trên máy tính cá nhân
10. Information Disclosure of an adversary can reverse weakly encrypted or hashed
content [State: Not Started] [Priority: High]
Mô tả: Kẻ thù có thể đảo ngược nội dung được mã hóa hoặc băm yếu
Bước 1: Nhấn phím Windows + R , hộp thoại Run xuất hiện, nhập netplwiz rồi
OK
29
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
Bước 2: Xuất hiện hộp thoại User Accounts, kiểm tra dòng Users must enter a user
30
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
Chức năng "User must enter a user name and password to use this computer" (Người
dùng phải nhập tên người dùng và mật khẩu để sử dụng máy tính này) có nhiệm vụ xác
định và bảo vệ tính riêng tư của máy tính cá nhân. Khi tính năng này được kích hoạt, người
dùng sẽ phải cung cấp thông tin đăng nhập, bao gồm tên người dùng và mật khẩu, để truy
cập và sử dụng máy tính
Bước 1: Mở Settings
31
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
Hình 3. 4 Mở setting
32
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
33
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
Screensaver (hay còn gọi là màn hình chờ, màn hình nghỉ) là một chương trình máy tính
hiển thị các hiệu ứng đồ họa hoặc hình ảnh khi máy tính ở trạng thái không sử dụng.
Screensaver có một số tác dụng như tiết kiệm năng lượng (chẳng hạn màn hình chờ là
hình nền màu đen), bảo mật máy tính (nếu sử dụng chế độ đăng nhập lại bằng mật khẩu)
và có thể tạo ra hiệu ứng đẹp mắt giúp người sử dụng thư giãn trong lúc nghỉ ngơi.
Nút checkbox “On resume, display logon screen“ có chức năng là yêu cầu người dùng
đăng nhập lại nếu tiếp tục sử dụng máy tính sau màn hình chờ.
34
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
3.2.3. Kiểm tra các thành phần an toàn bảo mật trên Win 10
35
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
1.Virus threat protectione: giúp bạn quét các mối đe dọa trên thiết bị của mình. Bạn
cũng có thể chạy các kiểu quét khác nhau, xem kết quả quét mối đe dọa và vi-rút trước đó
cũng như nhận được sự bảo vệ mới nhất
36
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
2. Account protection: Điều này giúp bạn bảo vệ danh tính Windows của mình với các
tùy chọn đăng nhập Windows Hello, cài đặt tài khoản và khóa động.
37
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
3. Firewall and Network Protection: Phần này cho phép bạn giám sát và định cấu hình
mạng và kết nối internet cũng như các cài đặt Tường lửa khác nhau
38
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
4. App and Browser Control: Trong phần này, bạn có thể kiểm soát các cài đặt bảo vệ
dựa trên danh tiếng (SmartScreen), duyệt riêng biệt và khai thác. Điều này cho phép bạn
bảo vệ thiết bị và dữ liệu của mình trước các ứng dụng, file, trang web và nội dung tải
xuống có thể nguy hiểm.
39
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
5. Device Security: Tại đây, bạn có thể xem lại các tính năng bảo mật như Bộ xử lý bảo
mật (TPM) và Secure Boot được tích hợp trong phần cứng của thiết bị để bảo vệ máy tính
khỏi các mối đe dọa và tấn công.
40
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
6. Device performance and health: Windows Security thường xuyên quét máy tính và
hiển thị báo cáo tình trạng và hiệu suất của thiết bị trên trang này
41
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
7. Family Options: Phần này giúp bạn theo dõi các thiết bị trong gia đình và theo dõi các
hoạt động online của trẻ bằng tài khoản Microsoft.
42
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
43
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
8. Protection history: Phần cuối cùng cho phép bạn xem và quản lý các đề xuất và hành
động bảo vệ mới nhất từ Windows Security.
44
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
Ransomware là phần mềm độc hại mã hóa các tệp của bạn hoặc ngăn bạn sử dụng máy
tính cho đến khi bạn trả tiền (tiền chuộc) để chúng được mở khóa.
Vậy Ransomware Protection nó là một chức năng giúp bảo mật thiết bị của người dùng
trước các cuộc tấn công Ransomware. Tuy nhiên, theo mặc định, tính năng bảo vệ chống
ransomware này bị tắt trên tất cả các thiết bị của Microsoft vậy nên chúng ta nên bật nó lên
để tránh các cuộc tấn công Ransomware.
45
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
Tamper Protection có chức năng ngăn cài đặt Windows Security và Windows Defender
bị thay đổi bởi các chương trình, công cụ dòng lệnh Windows, thay đổi Registry hoặc chính
sách nhóm. Khi bật, nó ngăn chặn phần mềm độc hại thay đổi cài đặt Bảo mật Windows.
Điều này giúp ngăn chặn tấn công từ vi-rút và Trojan horse( là virus máy tính)
Nếu Tamper Protection tắt, vi-rút có thể thay đổi cài đặt mà không gặp trở ngại. Khi bật,
nó ngăn chặn những thay đổi không hợp lệ này. Tuy nhiên, quản trị viên vẫn có thể thay
đổi cài đặt từ ứng dụng, và tính năng này không kiểm soát được phần mềm chống vi-rút
của bên thứ ba.
46
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
Cài đặt Reputation-based protection cho phép bạn kiểm soát tính năng Windows
Defender SmartScreen giúp bảo vệ thiết bị khỏi các ứng dụng, file, trang web và nội dung
tải xuống độc hại và có khả năng không mong muốn.
Check apps and files – Công tắc này bật / tắt Microsoft Defender SmartScreen để
giúp bảo vệ máy tính bằng cách kiểm tra danh tiếng của các ứng dụng và file bạn có
thể tải xuống từ web.
SmartScreen cho Microsoft Edge – Cài đặt này giúp đánh giá và bảo vệ máy tính
khỏi các trang web hoặc nội dung tải xuống độc hại. Nếu bạn cố gắng truy cập các
trang web lừa đảo hoặc phần mềm độc hại trên Edge, nó sẽ cảnh báo bạn về mối đe
dọa tiềm ẩn từ các trang web đó. Ngoài ra, nếu bạn cố gắng tải xuống các file không
được công nhận, file đáng ngờ hoặc chương trình độc hại, Microsoft Edge sẽ cho
bạn cơ hội dừng tải xuống.
47
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
Tính năng Remote Desktop có thể hiểu đơn giản là một chương trình hỗ trợ bạn có thể điều
khiển máy tính từ xa một cách dễ dàng dù bạn ở bất kì nơi đâu. Với mục đích chính là chạy
các ứng dụng hay thực hiện một lệnh nào đó trên máy tính từ xa.
Khi tắt tính năng Remote Desktop (off), điều quan trọng nhất là máy tính sẽ không thể được
điều khiển từ xa bằng cách sử dụng Remote Desktop. Điều này đảm bảo tính bảo mật và
quyền riêng tư của máy tính, ngăn chặn truy cập không ủy quyền từ xa. Nó cũng giúp đảm
48
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
bảo rằng máy tính của ta không trở thành một mục tiêu dễ bị tấn công từ xa từ các mối đe
dọa mạng.
- 1: Kiểm tra 1 file , chọn biểu tượng File, sau đó tải tệp lên bằng cách bấm Choose File,
sau đó bấm Scan it!
Phân tích kết quả dựa trên báo cáo của VirusTotal: Không có nhà cung cấp bảo mật nào
và cũng không có hệ thống sandbox nào đã xác định tệp này là độc hại.
- 2: Kiểm tra 1 đường dẫn URL, bấm vào biểu tượng URL, sau đó paste/dán đường link
vào ô trống rồi bấm Scan it!
49
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
Phân tích kết quả dựa trên báo cáo của VirusTotal: Không có nhà cung cấp bảo mật nào
đã đánh dấu URL này là độc hại.
Phân tích kết quả dựa trên báo cáo của VirusTotal:
50
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
RULE: WannaCry_Ransomware_Gen: Đây là tên của quy tắc (rule) được sử dụng để phát
hiện WannaCry Ransomware. Một quy tắc YARA thường được sử dụng để tìm các mẫu
(samples) của phần mềm độc hại cụ thể.
RULE_SET: Livehunt - Default94 Indicators: Đây là tên của tập hợp quy tắc hoặc tập
hợp các chỉ số (indicators) được sử dụng bởi công cụ THOR APT Scanner để kiểm tra và
phát hiện các mối đe dọa bảo mật.
RULE_TYPE: Community : Loại quy tắc này được đánh dấu là "Community," có
nghĩa là nó được tạo ra hoặc cộng tác bởi cộng đồng cộng tác trong lĩnh vực bảo mật.
RULE_LINK:
https://github.com/Neo23x0/signature-base/search?q=WannaCry_Ransomware_Gen: Đây
là liên kết đến nguồn gốc của quy tắc YARA trên GitHub, nơi bạn có thể tìm hiểu thêm
về nó hoặc tải về sử dụng.
DESCRIPTION: Detects WannaCry Ransomware: Mô tả ngắn gọn về chức năng của quy
tắc này, tức là nó được sử dụng để phát hiện WannaCry Ransomware.
Detection Timestamp: 2023-09-19 08:37: Thời điểm phát hiện mối đe dọa là vào ngày 19
tháng 9 năm 2023, lúc 08:37.
AV Detection Ratio: 59 / 70: Đây là tỷ lệ phát hiện từ các sản phẩm phần mềm bảo
mật (antivirus) được kiểm tra, trong đó có 59/70 sản phẩm đã phát hiện WannaCry
Ransomware (biểu tượng màu xanh lam thể hiện kết quả tích cực).
51
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
Kết quả: Sau khi quét xong, nó sẽ hiển thị kết quả ”No curent threats” có nghĩa
là không có mối đe dọa hiện tại nào
52
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
Hình 3. 28 Kết quả Quick Scan: Để quét nhanh virus và các mối đe dọa
Full Scan: Quét toàn bộ mọi file, chương trình đang chạy và thư mục trên máy tính của
mình, hãy chọn tùy chọn “Full Scan”.
53
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
54
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
Kết quả
55
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
Custom scan: Nếu bạn nghi ngờ rằng có virus trong một thư mục hoặc ổ đĩa cụ thể, thì
hãy sử dụng quét tùy chỉnh để quét một thư mục hoặc vị trí cụ thể. Để thực hiện việc này,
hãy chọn tùy chọn ‘ Custom scan ‘ và nhấp vào ‘ Scan now ‘.
56
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
57
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
5. chuyển vào thư mục mới tạo bằng cách sử dụng dấu *
Hình 3. 37 Chuyển vào thư mục mới tạo bằng cách sử dụng dấu *
- Để tạo một thư mục ẩn có tên "mystuff" trong Command Prompt, trước hết tạo thư mục
có tên “mystuff” với lệnh mkdir mystuff.
- Sau đó đặt thuộc tính ẩn cho thư mục với lệnh attrib +h mystuff.
- Để đổi tên thư mục "this directory has a space" thành "shortname" trong Command
Prompt trên Windows trước hết phải chuyển về thư mục gốc đĩa C như ở câu 1 và mở thư
mục "BTcommandline" bằng lệnh cd BTcommandline như ở câu 3 và nhấn Enter.
- Sau đó, sử dụng lệnh ren "this directory has a space" shortname.
58
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
59
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
60
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
61
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
12. Khảo sát chia sẻ ẩn ( Hidden share), bỏ chia sẻ ẩn: Sử dụng Powershell làm lại 1-11:
Tương tự như cách làm với Command Prompt.
3.2.11. Tạo User và Group trong Windows bằng command line (thực hiện trên
máy)
Thực hiện lại các thao tác quản lý User và Group bằng Command line
Tìm hiểu câu lệnh: Net user /?, Net help user
Net user /?: là một lệnh trong hệ điều hành Windows được sử dụng để hiển thị thông
tin trợ giúp về lệnh net user. Khi bạn chạy lệnh này trong dòng lệnh hoặc cửa sổ
Command Prompt (cmd), nó sẽ hiển thị một danh sách các tùy chọn và cú pháp cụ
thể liên quan đến lệnh net user.
Net help user: Lệnh net help user trong hệ điều hành Windows được sử dụng để hiển
thị thông tin trợ giúp liên quan đến lệnh net user. Khi bạn chạy lệnh này trong cửa
sổ dòng lệnh hoặc Command Prompt (cmd), nó sẽ mở một trình đọc trợ giúp riêng
biệt hoặc sẽ hiển thị thông tin trợ giúp dài hơn về lệnh net user trong cửa sổ dòng
lệnh.
Lệnh này sử dụng tùy chọn /? để hiển thị trợ Lệnh này cũng dùng để hiển thị thông tin
giúp trực tiếp cho lệnh net user. trợ giúp về lệnh net user.
Khi bạn chạy net user /?, bạn sẽ thấy một “net help user” sẽ mở một trình đọc trợ giúp
danh sách các tùy chọn và cú pháp cụ thể riêng biệt, nơi bạn có thể xem thông tin trợ
của lệnh net user, cùng với mô tả ngắn gọn giúp với định dạng dài hơn và có thể cuộn
về mỗi tùy chọn. chuột để đọc toàn bộ nội dung.
62
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
Thông tin trợ giúp này sẽ hiển thị trong cửa Thông tin trợ giúp này sẽ chứa chi tiết hơn
sổ dòng lệnh và thường ngắn gọn và dễ đọc. và ví dụ cụ thể hơn về cách sử dụng lệnh
net user.
Hình 3. 46 Cấu hình user QuanLy thành member của group Administrators
Mô tả:
63
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
1. Bấm vào biểu tượng Windows trên Taskbar hoặc nhấn phím Windows trên bàn phím
để mở Start menu.
2. Tìm và chọn "Control Panel" -> "User Accounts", tiếp tục chọn "User Accounts" ->
"Manage another account".
4. Trong cửa sổ Manage another account, sẽ thấy danh sách các tài khoản người dùng trên
máy tính. Tìm và chọn tài khoản có quyền Admin rồi tiến hành đăng nhập.
Bấm vào biểu tượng Windows trên Taskbar, sau đó thực hiện như ảnh dưới, bạn sẽ thấy
danh sách tài khoản người dùng. Chọn tài khoản có quyền Admin và đăng nhập.
Control Panel -> System and Security ->Change User Account Control settings.
- Logon QuanLy:
Bấm vào biểu tượng Windows trên Taskbar, sau đó thực hiện như ảnh dưới, sẽ thấy danh
sách tài khoản người dùng. Chọn "QuanLy" và đăng nhập.
- Mở Device Manager:
+ Nhấp vào biểu tượng Windows trên Taskbar hoặc nhấn phím Windows trên bàn phím
để mở Start menu.
+ Tìm và chọn "Control Panel". Tìm và chọn "Device Manager" để mở Device Manager.
- Logon u1:
1. Bấm vào biểu tượng Windows trên Taskbar, sau đó thực hiện như ảnh dưới, bạn sẽ thấy
danh sách tài khoản người dùng. Chọn "u1" và đăng nhập.
- Mở Device Manager:
Tiếp theo, bạn có thể tiếp tục truy cập Device Manager bằng cách:
1. Nhấp vào biểu tượng Windows trên Taskbar hoặc nhấn phím Windows trên bàn phím
để mở Start menu.
- Logon QuanLy:
Bấm vào biểu tượng Windows trên Taskbar, sau đó thực hiện như ảnh dưới, bạn sẽ thấy
danh sách tài khoản người dùng. Chọn "QuanLy" và đăng nhập.
Control Panel -> System and Security -> Change User Account Control settings.
65
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
5. Logon u2 - Start / Control Panel / User Accounts and Family Safety / Add or
Remove user accounts
- Logon u2:
Bấm vào biểu tượng Windows trên Taskbar, sau đó thực hiện như ảnh dưới, bạn sẽ thấy
danh sách tài khoản người dùng. Chọn "u2" và đăng nhập.
1. Bấm vào biểu tượng Windows trên Taskbar hoặc nhấn phím Windows trên bàn phím
để mở Start menu.
Tiếp theo tìm và chọn "Add someone else to this PC" để thêm một tài khoản mới. Nhập
thông tin tài khoản Microsoft của người đó và làm theo lời nhắc.
66
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
Chọn một tài khoản cần xóa, chọn hộp thả xuống cho tài khoản muốn xóa. Chọn Remove.
Chọn Delete account and data.
3.2.14. Firewall
Cơ bản
- Mở giao diện Firewall (có thể vào Control Panel / Windows Firewall)
Mở Control Panel bằng cách nhấn tổ hợp phím Windows + R, gõ "control" và nhấn Enter,
tìm và chọn mục "Windows Defender Firewall".
- Quan sát giao diện Windows Firewall nâng cao: Chọn mục "Advanced settings"
67
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
Tại giao diện "Windows Defender Firewall", chọn "Turn Windows Defender Firewall on
or off" hoặc "Change notification settings".
Giao diện bật/tắt tường lửa sẽ hiển thị. Nếu muốn tắt tường lửa -> Turn off Windows
Defender Firewall, nếu muốn mở tường lửa ->Turn on Windows Defender Firewall. Sau
đó nhấn OK để hoàn tất.
Nâng cao
- >Với lệnh netsh advfirewall set allprofiles state off, Firewall sẽ bị tắt trên tất cả các
profile mạng trên máy tính của bạn.
68
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
- >Với lệnh netsh advfirewall set allprofiles state on, Firewall sẽ được bật lại trên tất cả
các profile mạng trên máy tính của bạn.
69
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
Kết quả:
70
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
+ Tiếp theo qua tab "Action" chọn Block the connection → Next.
+ Tiếp tục ở tab "Profile". Bạn nhấn Next để tiếp tục.
71
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
Kết quả:
Hình 3. 59 Kết quả Block một ứng dụng kết nối với Internet
+ Chọn "Public profile" hoặc "Private profile" tùy thuộc vào mạng bạn đang sử dụng
→chọn Customize ở phần Logging.
+ Chọn "Yes" tại phần "Log dropped packets" để bật chế độ ghi log cho các gói tin
bị từ chối và /hoặc kết nối thành công và tại phần "Log successful connections" để
72
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
ghi lại các kết nối mạng thành công được chấp nhận và cho phép thông qua tường
lửa.
- Liệt kê:
+ 1 kết nối Allow, 1 kết nối Drop
73
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
Services được port 443 qua một URL. HTTPS là một kết nối HTTP
Để mở Task Manager, nhấn Ctrl + Shift + Esc hoặc chuột phải vào thanh Taskbar và chọn
Task Manager.
74
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
Để khảo sát MSConfig trên máy tính của bạn, bạn có thể làm theo các bước sau:
2. Gõ "msconfig" vào ô tìm kiếm và nhấn Enter hoặc nhấp chuột vào OK.
75
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
1. Nhấn tổ hợp phím Windows + R để mở cửa sổ lệnh Run, sau đó nhập "gpedit.msc" vào
đó rồi nhấn Enter để mở Group Policy Editor.
2. Trong Local Group Policy Editor, điều hướng đến: Computer Configuration
→Windows Settings → Security Settings → Local Policies Audit Policy.
76
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
3. Chọn các chính sách muốn áp dụng, chẳng hạn như "Audit logon events" và "Audit
account logon events". Chọn "Success" và/hoặc "Failure" tùy theo nhu cầu.
77
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
4. Để xem các đăng nhập phải dùng Windows Event Viewer. Nhấn tổ hợp phím Windows
+ R → nhập eventvwr vào đó rồi nhấn Enter.
78
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
User Configuration -> Administrative Templates -> Control Panel. Tại đây tìm và kích
đúp vào tùy chọn có tên "Prohibit access to the Control Panel". Chọn Enable để chặn truy
cập Control Panel ->OK.
79
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
➢ Ngăn chặn người dùng khác cài đặt phần mềm mới trên hệ thống:
+ Click chọn Enable để kích hoạt tùy chọn và click chọn Show để bắt đầu quá trình tạo
một danh sách ứng dụng mà bạn muốn chặn. Để tạo danh sách, bạn phải nhập tên thực
thi của ứng dụng kèm theo .exe.
+ Tìm thư mục ứng dụng trên Windows File Explorer, sau đó sao chép chính xác tên thực
thi của chương trình (có phần đuôi mở rộng là ".exe").
+ Nhập tên thực thi vào danh sách rồi click chọn OK để bắt đầu quá trình chặn ứng dụng.
- Vô hiệu hóa Command Prompt và Windows Registry Editor
+ User Configuration → Administrative Templates → System.
+ Tìm và kích đúp chuột vào các tùy chọn có tên "Prevent access to the command prompt"
và "Prevent access to registry editing tools". Sau đó trên cửa sổ Prevent access to the
command prompt và cửa sổ Prevent access to registry editing tools click chọn Disable
để vô hiệu hóa các tùy chọn này đi → OK.
Các chính sách khác: password, khóa tài khoản sau n lần đăng nhập thất bại
81
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
Mở Registry Regedit:
Windows + R để mở hộp thoại Run, sau đó nhập vào chữ regedit, nhấn Enter.
File → Import → chọn vị trí bạn đã save bản sao lưu → Open.
82
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
+ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
+ HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion
\Windows \load
+ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
+ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\RunOne
\RunOne
+ HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion
\Winlogon\Userinit
So sánh 2 lệnh:
83
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
- Lệnh "Reg /?" được sử dụng để hiển thị trợ giúp và danh sách các tùy chọn cho lệnh
Reg. Bạn có thể xem các tùy chọn và cú pháp cần thiết để thao tác trên Registry.
- Lệnh "Reg Query /?" được sử dụng để hiển thị trợ giúp và danh sách các tùy chọn cho
lệnh Reg Query. Nó cho phép bạn truy vấn và hiển thị thông tin từ Registry, bao gồm các
khóa, giá trị và dữ liệu.
- Sao lưu HKCU thành file: Ví dụ lưu HKCU trong ổ đĩa D, với tên là HKCU.
➢ Cho biết services name của services “plug and play” (có thể dùng services.msc)
Sử dụng lệnh:
Hình 3. 81 services name của services “plug and play” (có thể dùng services.msc)
Sử dụng lệnh:
• Disable services
Sử dụng lệnh:
Kết quả:
85
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
➢ Thử khởi chạy lại services này khi disable? Có thông báo gì ?
Hình 3. 86 Thông báo sau khi chởi chạy lại services“plug and play”
➢ Lặp lại các thao tác trên với services Themes, khi tắt services này thì máy có thay
đổi gì ?
Khi tắt services "Themes", giao diện trên máy tính sẽ được chuyển về giao diện mặc định
và sẽ không có hình nền, màu sắc tùy chỉnh và các hiệu ứng hình ảnh nữa.
86
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
3.3. An toàn và bảo mật thông tin trên mạng máy tính
3.3.1. An toàn bảo mật trên Web browser Internet explorer
Safety check: có chức năng kiểm tra các lĩnh vực quan trọng như bảo mật mật khẩu, tiện
ích mở rộng và cài đặt duyệt web an toàn, cảnh báo về các lỗ hổng tiềm ẩn hoặc các vấn
đề có thể ảnh hưởng đến sự an toàn trực tuyến.
Clear browsing data: có chức năng kiểm soát lịch sử và các dữ liệu duyệt web khác.
Bạn có thể xóa tất cả dữ liệu của mình hoặc chỉ một số dữ liệu từ một thời điểm cụ thể.
88
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
❖ Enhanced Tracking Protection (Bảo vệ Theo dõi Nâng cao): Chức năng này
giúp ngăn chặn các trình theo dõi và quảng cáo liên quan đến quyền riêng tư khi
bạn duyệt web. Bạn có thể cấu hình cài đặt để chặn các nỗ lực theo dõi.
❖ Cookies and Site Data (Cookies và Dữ liệu trang web): Tại đây, bạn có thể quản
lý cài đặt liên quan đến cookies và dữ liệu trang web. Bạn có thể chọn để chặn
cookies từ các trang web cụ thể hoặc xóa dữ liệu duyệt web đã lưu.
❖ Forms & Passwords (Biểu mẫu & Mật khẩu): Cho phép bạn quản lý các mật
khẩu đã lưu và cài đặt tự động điền biểu mẫu.
❖ History (Lịch sử): Cho phép bạn xem và xóa lịch sử duyệt web của bạn.
❖ Permissions (Quyền truy cập): Cho phép bạn quản lý các quyền truy cập mà các
trang web cụ thể có đối với máy tính của bạn, chẳng hạn như quyền truy cập máy
ảnh, microphone và vị trí.
❖ Security (Bảo mật): Bạn có thể xem các chứng chỉ bảo mật và cấu hình các cài đặt
liên quan đến trình duyệt an toàn.
❖ Certificates (Chứng chỉ): Cho phép bạn quản lý các chứng chỉ bảo mật và xác
thực.
89
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
❖ Notifications (Thông báo): Tại đây, bạn có thể quản lý cài đặt liên quan đến thông
báo từ các trang web và ứng dụng.
❖ Deceptive Content and Dangerous Software Protection (Bảo vệ Nội dung
Đánh lừa và Phần mềm Nguy hiểm): Firefox tự động kiểm tra các trang web để
ngăn chặn trang web đánh lừa hoặc chứa phần mềm nguy hiểm.
❖ Certificates View (Xem Chứng chỉ): Cho phép bạn xem danh sách các chứng chỉ
đã được cài đặt.
90
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
91
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
➢ Nơi Bạn Đăng Nhập: Hiển thị danh sách các địa điểm và thiết bị bạn đã sử
dụng để đăng nhập vào tài khoản Facebook.
➢ Cảnh Báo Đăng Nhập: Nhận cảnh báo khi có hoạt động đăng nhập từ thiết
bị hoặc địa điểm mới.
➢ Email Gần Đây: Xác nhận và quản lý địa chỉ email sử dụng để bảo mật tài
khoản.
➢ Kiểm Tra Bảo Mật: Tổng hợp các tùy chọn khác nhau để kiểm tra và cập
nhật cài đặt bảo mật của tài khoản.
3.3.3. Lab thiết lập các tùy chọn bảo mật cho Wifi Router
• Thay đổi tên mạng (SSID) :Truy cập vào link trên chọn TL - WDR3500 → chọn
Wireless 2.4GHz hoặc 5 GHz → chọn Wireless Settings → ở mục Wireless
Network Name nhập tên wifi bạn muốn thay đổi → chọn nút Save → chọn Systems
Tools → chọn Reboot để khởi động lại Router để cài đặt có hiệu lực
92
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
• Thay đổi tên người dùng và mật khẩu: Truy cập vào link trên chọn TL -
WDR3500 → chọn Wireless 2.4GHz hoặc 5 GHz → chọn Wireless Security → ở
mục WPA/WPA2 – Personal (Recommended) → nhập mật khẩu bạn muốn thay
đổi ở mục PSK Password → chọn nút Save → chọn Systems Tools → chọn Reboot để
khởi động lại Router để cài đặt có hiệu lực
• Sử dụng mã hóa mạnh để bảo mật wifi (WPA2): Truy cập vào link trên chọn TL -
WDR3500 → chọn Wireless 2.4GHz → chọn Wireless Security → ở mục
WPA/WPA2 thiết lập những phần sau
❖ Encryption: chọn TKIP hoặc AES Sau đó chọn nút Save → chọn Systems Tools →
chọn Reboot để khởi động lại Router để cài đặt có hiệu lực
• Vô hiệu hóa mạng khách (guest): Truy cập vào link trên chọn TL - WDR3500 →
chọn Wireless 2.4GHz hoặc 5 GHz → chọn Wireless MAC Filtering → ở mục
93
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
Wireless MAC Filtering thay đổi thành Disabled → ở mục Filtering Rules chọn Deny
→ chọn Systems Tools → chọn Reboot để khởi động lại Router để cài đặt có hiệu lực
• Tắt WPS (Wi-Fi Protected Setup): Truy cập vào link trên chọn TL - WDR3500 →
chọn Wireless 2.4GHz hoặc 5 GHz → chọn WPS → nếu bạn chưa có thiết bị thì nhân
vào nút button “Add device” sau đó nhấn nút button “Connect” → nhấn vào nút button
“Disable WPS” → chọn Systems Tools → chọn Reboot để khởi động lại Router để cài
đặt có hiệu lực
94
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
• Sử dụng Firewall của Router: Truy cập vào link trên chọn TL - WDR3500 → chọn
Security, ở đây chỉnh các thông số bạn muốn → chọn Systems Tools → chọn Reboot
để khởi động lại Router để cài đặt có hiệu lực
• Quản lý firmware của bộ định tuyến: Truy cập vào link trên chọn TL - WDR3500
→ chọn Systems Tools → chọn Firmware Upgrade → chọn button “Choose File” →
chọn button “Upgrade”
95
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
• Tắt quản lý từ xa/ dịch vụ không cần thiết: Truy cập vào link trên chọn TL -
WDR3500 → chọn Security → chọn Remote Management → nhập địa chỉ IP muốn
điều khiển → chọn nút Save
Để bắt được gói tin, Wireshark phải được cài đặt trên máy tính có kết nối mạng (LAN,
mạng ảo, Internet…v.v) đang hoạt động và Wireshark phải được chạy trước, trước khi
quá trình trao đổi dữ liệu diễn ra.
- Quan sát kết quả ở cửa sổ “Danh sách các gói tin” của chương trình Wireshark,
trả lời các câu hỏi sau:
96
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
➢ Tìm ra các dòng thể hiện quá trình ping vừa thực hiện, gồm các dòng nào (số
thứ tự)?
Số 1: Gói tin ping từ máy tính của bạn tới máy tính google.com.
Số 2: Gói tin trả lời từ máy tính google.com tới máy tính của bạn.
➢ Lệnh ping sử dụng giao thức gì? Tên đầy đủ của giao thức đó?
Lệnh ping sử dụng giao thức ICMP (Internet Control Message Protocol). Tên đầy
đủ của giao thức này là Internet Control Message Protocol.
Trong cửa sổ “Danh sách các gói tin” chỉ chứa địa chỉ nguồn và đích của 2 máy
bạn vừa thực hiện lệnh ping. Điều này là đúng.
➢ Vào menu File, chọn mục Close, chọn Continue without Saving để đóng cửa sổ
kết quả.
Để đóng cửa sổ kết quả, vào menu File, chọn mục Close, chọn Continue without
Saving
97
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
98
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
• Chọn cổng mạng mà bạn muốn nghe lén. Lưu ý cho phần minh họa này, chúng ta
đang sử dụng kết nối mạng không dây. Nếu bạn đang sử dụng mạng cục bộ, thì bạn
nên chọn cổng mạng cục bộ.
Hình 3. 105 Chọn cổng mạng muốn nghe lén trên Wireshark
• Sau khi đăng nhập thành công, kết quả sẽ như sau:
99
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
100
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
• Tìm cột thông tin và tìm các điểm đầu vào có phương thức HTTP POST, bởi hầu
hết các thông tin đăng nhập sẽ được gửi qua phương thức HTTP POST, và click
vào nó.
101
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
Hình 3. 109 Cột thông tin và tìm các điểm đầu vào có phương thức HTTP POST
• Ngay bên dưới vùng lưu trữ các giao dịch đã được ghi lại, có một bảng tổng hợp
các dữ liệu đã thu thập được. Tìm kiếm bản tóm tắt có nội dung dữ liệu văn bản
Line-based: application / x-www-form-urlencoded
102
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
SQL injection là một cuộc tấn công trong đó mã độc được chèn vào các chuỗi mà sau đó
được chuyển đến một phiên bản của SQL Server để phân tích cú pháp và thực thi. Bất kỳ
quy trình nào xây dựng các câu lệnh SQL nên được xem xét các lỗ hổng tiêm vì SQL Server
sẽ thực hiện tất cả các truy vấn hợp lệ về mặt cú pháp mà nó nhận được.
Bước 1: Truy cập vào địa chỉ trên và thực hiện theo hướng dẫn, chọn để hiện các
hướng dẫn tiếp theo.
103
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
Bước 3: Web sẽ báo lỗi không tìm thấy tài khoản này, yêu cầu nhập thêm ký tự ‘.
104
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
Hình 3. 112 SQL injection thông báo lỗi không tìm thấy tài khoản
Bước 4: Web vẫn hiện lỗi không tìm thấy, đây là một cách để có thể tạo ra đoạn code
giả để xâm nhập vào web.
Hình 3. 113 Hiển thị lỗi để để có thể tạo ra đoạn code giả để xâm nhập vào web
Bước 5: Người dùng sẽ tiếp tục được gợi ý một password khác để nhập vào như hình
bên dưới:
105
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
Hình 3. 115 Đăng nhập thành công khi nhập kí tự đặc biệt
▪ Lọc đầu vào cơ sở dữ liệu: Phát hiện và lọc ra mã độc từ đầu vào của người dùng.
▪ Hạn chế mã cơ sở dữ liệu: Ngăn chặn các truy vấn và thăm dò cơ sở dữ liệu ngoài ý
muốn bằng cách giới hạn các thủ tục và mã cơ sở dữ liệu.
▪ Hạn chế quyền truy cập cơ sở dữ liệu: Ngăn chặn truy cập trái phép, rò rỉ hoặc xóa
dữ liệu thông qua các hạn chế kiểm soát truy cập.
106
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
▪ Duy trì các ứng dụng và cơ sở dữ liệu: Giữ cho cơ sở dữ liệu được vá và cập nhật
đầy đủ. Nâng cấp khi có thể.
▪ Giám sát đầu vào và truyền thông ứng dụng và cơ sở dữ liệu: Giám sát giao tiếp để
phát hiện và chặn các nỗ lực SQL độc hại.
3.4.2. Tìm hiểu các cơ chế bảo mật của Microsoft SQL Server
- Kết hợp RLS với Always Encrypted hoặc DDM để tối đa hóa vị thế bảo mật.
Mã hóa dữ liệu minh bạch (TDE)
✓ TDE giúp bảo vệ dữ liệu ở cấp độ tệp bằng cách cung cấp mã hóa khi dữ liệu đang
ở trạng thái nghỉ.
✓ Bảo vệ dữ liệu trước khi lưu trữ vật lý và khi đang chuyển đổi giữa trạng thái mã
hóa và trạng thái rõ ràng.
✓ Sử dụng khóa mã hóa cơ sở dữ liệu (DEK) để thực hiện mã hóa và giải mã dữ liệu.
Kiểm tra và báo cáo
✓ Tạo chính sách kiểm tra ở cấp độ máy chủ hoặc cơ sở dữ liệu để đảm bảo tuân thủ
bảo mật.
✓ Kiểm tra định kỳ các bảng và cột chứa dữ liệu nhạy cảm để đảm bảo áp dụng đúng
các biện pháp bảo mật.
Danh tính và xác thực
✓ Sử Dụng Vai Trò Đặc Quyền Tối Thiểu: Thực hiện chiến lược bảo mật dựa trên vai
trò với quyền tối thiểu để quản lý bảo mật hiệu quả.
✓ Tận Dụng Bảo Mật Active Directory (AD): Đặt người dùng AD trong nhóm AD và
cấp quyền theo vai trò SQL Server để tận dụng bảo mật nhóm.
✓ Sử Dụng Xác Thực Đa Yếu Tố (MFA):Áp dụng MFA cho các tài khoản cấp máy để
bảo vệ chống lại việc xâm phạm thông tin đăng nhập.
✓ Yêu Cầu Mật Khẩu Mạnh: Đặt yêu cầu về mật khẩu mạnh và thường xuyên cập nhật
mật khẩu theo chính sách AD.
Oracle Advanced Security: Bao gồm nhiều tính năng như mã hóa dữ liệu, chứng thực
mạnh mẽ, và quản lý khóa để cung cấp bảo mật cho dữ liệu cả trong quá trình truyền và
lưu trữ.
Oracle Label Security (OLS): Cho phép bạn thực hiện kiểm soát truy cập dựa trên nhãn
(label) của dữ liệu, giúp quản lý và bảo vệ thông tin phân loại cấp cao.
108
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
Oracle Virtual Private Database (VPD): Cho phép tạo các quy tắc mặt định để kiểm
soát quyền truy cập vào dữ liệu dựa trên điều kiện xác định, giúp tăng cường bảo mật
cấp dữ liệu.
Oracle Database Vault: Cung cấp các tính năng bảo mật mạnh mẽ như kiểm soát quyền
truy cập, ghi nhật ký chi tiết và các quy tắc kiểm soát quyền tùy chỉnh để ngăn chặn việc
truy cập trái phép vào dữ liệu nhạy cảm.
Oracle Audit Vault and Database Firewall: Giúp theo dõi và bảo vệ dữ liệu bằng cách
tự động kiểm soát, ghi lại và báo cáo các hoạt động không mong muốn và xâm phạm.
Oracle Transparent Data Encryption (TDE): Mã hóa dữ liệu trong cơ sở dữ liệu và
các tệp sao lưu để bảo vệ thông tin nhạy cảm khỏi việc truy cập trái phép.
Oracle Network Security: Sử dụng SSL/TLS để bảo vệ thông tin trong quá trình truyền
từ client đến server và giữa các server.
Oracle Database Firewall: Kiểm soát truy cập đến cơ sở dữ liệu bằng cách theo dõi và
ngăn chặn các truy cập không mong muốn hoặc độc hại.
Oracle Database Security Assessment Tool (DBSAT): Cung cấp kiểm tra tự động về
các lỗ hổng bảo mật trong cơ sở dữ liệu Oracle và đưa ra khuyến nghị để cải thiện bảo
mật.
Oracle Data Masking and Subsetting: Cho phép che giấu thông tin nhạy cảm trong cơ
sở dữ liệu và tạo ra bản sao dữ liệu có kích thước nhỏ để sử dụng trong môi trường thử
nghiệm mà vẫn giữ được tính riêng tư.
Oracle Security Inside Out (SOX): Cung cấp nhiều công cụ và phương pháp để tối ưu
hóa bảo mật trong các cơ sở dữ liệu Oracle.
110
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
▪ Chèn chữ ký số: Ký tài liệu để xác nhận tính toàn vẹn và nguồn gốc
B1: Mở tài liệu Word.
B3: Chọn nơi bạn muốn chèn chữ ký.
B4:Trong thanh menu, chọn "Insert" và sau đó chọn "Signature Line."
B5:Nhập thông tin yêu cầu cho chữ ký và lựa chọn "OK."
B6:Bạn có thể thêm hình ảnh hoặc viết tay chữ ký nếu cần.
111
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
▪ Chứng thực: Đảm bảo rằng tài liệu chưa được sửa đổi từ khi được tạo chứng
thực
B1: Mở tài liệu Word.
B2: Điều hướng đến "File" > "Info."
B3: Chọn "Protect Document" và sau đó "Add a Digital Signature."
B4: Làm theo hướng dẫn để tạo chứng thực.
112
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
▪ Kiểm Soát Quyền Truy Cập RMS (Rights Management Service): Xác định
ai có thể xem, chỉnh sửa, sao chép hoặc in tài liệu.
B3: Chọn "Restrict permission to this document" và cấu hình quyền truy cập.
113
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
Hình 3. 119 Kiểm Soát Quyền Truy Cập RMS trong file word
114
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
▪ Kiểm soát Dữ liệu Bảo mật: Xác nhận người dùng: Yêu cầu người dùng xác
nhận để mở tài liệu.
B1: Mở tài liệu Excel và chọn "File" > "Info."
B2: Chọn "Protect Workbook" > "Protect Workbook Structure."
B3: Nhập mật khẩu và xác nhận.
115
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
▪ Tính Năng Duyệt Tài liệu: Chỉ cho phép xem tài liệu và không thể sao chép
nội dung.
B3: Xác nhận để đánh dấu tài liệu là chỉ để xem và không thể chỉnh sửa
116
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
B4: Bạn cũng có thể chọn "Browsed by an individual (window)" để giữ trình
chiếu trên màn hình cụ thể.
▪ Chế độ Bảo vệ trình chiếu: Kiểm soát Trình chiếu: Xác định ai có quyền trình
chiếu và theo dõi trình chiếu từ xa.
B2: Chọn "Slide Show Settings" trong nhóm "Start Slide Show."
B3: Chọn "Use Presenter View" để sử dụng chế độ bảo vệ trình chiếu.
B4: Trong chế độ này, bạn có thể xác định ai có quyền trình chiếu và theo dõi
trình chiếu từ xa.
Kết quả:
117
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
3.5.2. Cho một tập tin bất kỳ, hãy tạo một chữ ký số sử dụng phần mềm tạo chữ
ký số miễn phí như Gpg4win hoặc Kleopatra.
Bước 1: Dowload Kleopatra
Bước 2: Mở ứng dụng và chọn New Key Pair
Bước 3: Hiện bảng Create OpenPGP – Kleopatra. Điền thông ti, chọn ô Advanced sau
đó chọn RSA và 2,048 bits. Nhấn Ok sau khi chọn xong.
118
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
Bước 4: Click phải chọn Export sau đó chọn nơi lưu trữ. Click phải lần nữa chọn backup
secret Keys và save
119
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
120
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
121
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
Bước 5: Mở file vừa lưu ở Bước 4. Ta có thể tạo mới file bất kì hoặc đã có vào cùng
một thư mục
Hình 3. 130 Tạo mới file bất kì hoặc đã có vào cùng một thư mục
122
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
Bước 6: Chọn Sign/Encrypt. Sau đó chọn file cần mã hóa. Sau đó hiện trang tên
Sign/Encrypt Files – Kleopatra và nhấn nút Sign/Encrypt cuối gốc phải. Chạy xong mã
hóa ta nhấn finish
123
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
Bước 7: Để mở file mã hóa ta vào Import chọn file cần mã hóa. Sau đó nhấn
Decrypt/Verify chọn file vừa Import
124
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
125
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
3.5.3. Thực hiện một mã hóa đơn giản bằng cách sử dụng công cụ mã hóa trực
tuyến như CyberChef hoặc Cryptii.
Bước 3: Sau khi nhập vào input xong sau đó chọn kiểu mã hóa tại ô Operation và kéo thả
vào ô Recipe:
126
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
127
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
128
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
3.5.4. Tìm hiểu về các hình thức thanh toán trực tuyến như thẻ tín dụng, ví điện
tử và chuyển khoản ngân hàng.
129
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
➢ Ví điện tử là một tài khoản trực tuyến giúp người dùng chuyển và nhận tiền, thanh
toán cho hàng hóa và dịch vụ qua các ứng dụng như MoMo, VNPay, Viettel Pay.
➢ Chức năng của ví điện tử:
- Chuyển và nhận tiền: Thực hiện giao dịch chuyển và nhận tiền một cách nhanh
chóng.
- Thanh toán hóa đơn: Cung cấp tính năng thanh toán hóa đơn điện, nước, mạng, và
nhiều dịch vụ khác.
- Lưu trữ tiền trực tuyến: Giảm sự sử dụng tiền mặt và giúp tránh rủi ro lạm phát.
➢ Tính ao toàn và bảo mật: Tùy thuộc vào ứng dụng, đa dạng biện pháp bảo mật như
mã PIN, xác minh hai yếu tố, và mã OTP.
Liên kết với ngân hàng: Người dùng có thể liên kết ví điện tử với tài khoản ngân hàng
để nạp tiền và thực hiện các giao dịch thuận lợi.
➢ Tính an toàn và bảo mật: Cung cấp mức độ bảo mật cao với mã PIN, mã OTP,
và quy trình xác thực cẩn thận từ ngân hàng.
3.5.5. Tìm hiểu về các công nghệ bảo mật thanh toán như SSL/TLS, mã hóa dữ
liệu và 3D Secure.
SSL (Lớp Cổng Bảo Mật) và TLS (Bảo Mật Lớp Vận Chuyển):
- SSL và TLS là giao thức mật mã giúp đảm bảo tính an toàn trong giao tiếp qua mạng.
- TLS là phiên bản hiện đại và an toàn hơn của SSL.
- Mục đích chính bao gồm bảo mật thông tin, toàn vẹn dữ liệu và xác thực người tham
gia giao tiếp.
- Sử dụng mật mã đối xứng và bất đối xứng để đảm bảo an toàn trong quá trình truyền
tải dữ liệu.
Quy trình Bắt Tay SSL/TLS:
- Trình duyệt gửi thông báo "ClientHello" đến máy chủ, đề cập đến khả năng và tùy
chọn SSL/TLS của nó.
- Máy chủ phản hồi thông báo "ServerHello", chọn mức mã hóa cao nhất được hỗ trợ.
- Máy chủ gửi chứng chỉ kỹ thuật số của mình để xác thực.
130
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
- Trình duyệt xác minh chứng chỉ và tạo khóa phiên ngẫu nhiên.
- Khóa phiên được truyền giữa trình duyệt và máy chủ để mã hóa dữ liệu.
3D Secure:
- 3D Secure là giao thức xác thực cho thanh toán trực tuyến, hỗ trợ an toàn giao dịch
thẻ tín dụng và ghi nợ.
- Bổ sung lớp xác minh, yêu cầu người mua nhập mật khẩu hoặc mã một lần để xác
nhận định danh chủ thẻ.
Hoạt Động của 3D Secure:
▪ Người mua nhập chi tiết thẻ và thông tin bình thường.
▪ Cửa sổ bật lên yêu cầu mật khẩu hoặc gửi mã xác minh đến thiết
bị di động.
▪ Người mua xác nhận bằng cách nhập mật khẩu hoặc mã, chứng
minh họ là chủ thẻ hợp pháp.
▪ Giao dịch được xử lý sau khi xác minh.
➔ Cách Các Công Nghệ Giúp Bảo Vệ Thông Tin Cá Nhân và Giảm Thiểu Rủi Ro:
- Mã Hóa Dữ Liệu: Cả hai công nghệ sử dụng mã hóa để ngăn chặn thông tin cá nhân
bị đánh cắp khi truyền tải qua mạng.
- Xác Thực Người Dùng: Bằng cách yêu cầu mật khẩu hoặc mã xác minh bổ sung,
cả SSL/TLS và 3D Secure đảm bảo rằng người sử dụng là chủ thẻ hợp pháp.
- Bảo Mật Giao Tiếp: SSL/TLS đảm bảo an toàn trong quá trình truyền tải dữ liệu
giữa người dùng và máy chủ.
- Xác Minh Chứng Chỉ (SSL/TLS): Trong quá trình bắt tay SSL/TLS, chứng chỉ kỹ
thuật số được sử dụng để xác minh độ tin cậy của máy chủ.
- Giảm Rủi Ro Giao Dịch Gian Lận (3D Secure): Cung cấp lớp xác minh bổ sung
giúp giảm thiểu khả năng gian lận trong giao dịch thanh toán.
131
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
Trong nghiên cứu về "An Toàn và Bảo Mật Thông Tin trong Thời đại Kỹ thuật Số", tôi
đã thành công trong việc trình bày chi tiết về quy trình an toàn bảo mật thông tin, công cụ
mô hình hóa mối đe dọa, và biện pháp An Toàn Bảo Mật Thông Tin trên mạng. Những mô
tả này và cùng với các bài tập thực hành chi tiết giúp hiểu rõ cách tổ chức đảm bảo an toàn
thông tin và đối phó với các rủi ro.
Tuy nhiên, còn phần chi tiết hóa và minh họa cụ thể hơn về công cụ mô hình hóa mối
đe dọa và mối quan hệ giữa các yếu tố điều hành. Việc bổ sung ví dụ thực tế có thể làm cho
nghiên cứu trở nên rõ ràng và hấp dẫn hơn đối với độc giả.
132
TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN TRONG THỜI ĐẠI KỸ THUẬT SỐ
Võ Thị Thúy Quyên
[2.] Bảo mật thông tin là gì? 5 nguyên tắc trong bảo mật thông tin - Coder.com.vn.
(2022a, September 18). https://coder.com.vn/bao-mat-thong-tin-la-gi/
[3.] Bảo mật thông tin là gì? Các giải pháp bảo mật chủ yếu. (n.d.). Retrieved November
28, 2022, from https://bmdsolutions.vn/bao-mat-thong-tin-la-gi/
[4.] Bảo mật thông tin là gì? Tầm quan trọng của nó. (2022b, April 1). IT NOW -
PHÒNG IT THUÊ NGOÀI. https://itnow.vn/bao-mat-thong-tin-la-gi-tamquan-trong-cua-
no/
133