ôn tập môn an toàn thông tin

chữ ký số là một dạng chữ ký điện tử được tạo ra bằng sự biến đổi một thông điệp dữ liệu sử dụng hệ thống mật mã không đối xứng Theo đó, người có được thông điệp dữ liệu ban đầu và khóa công khai của người ký có thể xác định được chính xác Việc biến đổi nêu trên được tạo ra bằng đúng khóa bí mật tương ứng với khóa công khai trong cùng một cặp khóa Sự toàn vẹn nội dung của thông điệp dữ liệu kể từ khi thực hiện việc biến đổi nêu trên Hiểu một cách đơn giản, chữ ký số (Token) là một thiết bị được.

- chữ ký số: là một dạng chữ ký điện tử được tạo ra bằng sự biến đổi một thông điệp dữ liệu sử dụng hệ

thống mật mã không đối xứng Theo đó, người có được thông điệp dữ liệu ban đầu và khóa công khai củangười ký có thể xác định được chính xác: Việc biến đổi nêu trên được tạo ra bằng đúng khóa bí mật tươngứng với khóa công khai trong cùng một cặp khóa Sự toàn vẹn nội dung của thông điệp dữ liệu kể từ khithực hiện việc biến đổi nêu trên Hiểu một cách đơn giản, chữ ký số (Token) là một thiết bị được mã hóatất cả các dữ liệu, thông tin của một doanh nghiệp/cá nhân dùng thay cho chữ ký trên các loại văn bản vàtài liệu số thực hiện đối với các giao dịch điện tử qua mạng internet

- thẻ từ: Thẻ từ là loại mà trên đó được gắn các dải băng từ kim loại trên bề mặt Thẻ từ có khả năng ghi

và lưu thông tin lên trên dải từ Nên những thẻ từ được ứng dụng cho các hệ thống nhân dạng như là Ứng

dụng quản lý tự động, thanh toán điện tử, kiểm soát ra vào, chấm công nhân viên Mở khóa phòng khách

sạn, mở khóa cửa nhà, kiểm soát ra vào thang máy

- camera: là hệ thống truyền hình mạch kín, là việc sử dụng các máy quay video để truyền tín hiệu đến

một địa điểm cụ thể, trên một bộ màn hình giới hạn, camera còn được gọi là hệ thống video giám sát

- sinh tắc học (vân tay hoặc khuôn mặt, võng mạc, ): Xác thực sinh trắc học là một hình thức bảo mật

đo lường và đối sánh các tính năng sinh trắc học của người dùng để xác minh rằng một người đang cốgắng truy cập vào một thiết bị cụ thể được phép làm như vậy Đặc điểm sinh trắc học là các đặc điểm vật

lý và sinh học dành riêng cho một cá nhân và có thể dễ dàng so sánh với các đặc điểm được phép lưu trong

cơ sở dữ liệu Nếu các tính năng sinh trắc học của một người dùng đang cố gắng truy cập vào một thiết bịkhớp với các tính năng của một người dùng được phê duyệt thì quyền truy cập vào thiết bị sẽ được cấp.Xác thực sinh trắc học cũng có thể được cài đặt trong môi trường vật lý, kiểm soát các điểm truy cập nhưcửa ra vào và cổng

+ vân tay: Máy quét dấu vân tay, phiên bản kỹ thuật số của dấu vân tay trên giấy và mực kiểu cũ, dựa vào

việc ghi lại các kiểu xoáy và đường gờ độc đáo tạo nên dấu vân tay của một cá nhân Máy quét vân tay làmột trong những phương thức xác thực sinh trắc học phổ biến và dễ tiếp cận nhất, mặc dù các phiên bảndành cho người tiêu dùng, chẳng hạn như trên điện thoại thông minh, vẫn có khả năng dương tính giả Cácphiên bản mới hơn của quét vân tay vượt ra ngoài các đường vân tay và bên dưới da để đánh giá các môhình mạch máu trên ngón tay của mọi người và có thể chứng minh độ tin cậy cao hơn Mặc dù đôi khikhông chính xác, máy quét vân tay là một trong những công nghệ sinh trắc học phổ biến và được sử dụngnhiều nhất cho người tiêu dùng hàng ngày

+ khuôn mặt: Công nghệ nhận dạng khuôn mặt dựa trên việc so khớp hàng chục phép đo khác nhau từ

khuôn mặt đã được phê duyệt với khuôn mặt của người dùng đang cố gắng truy cập, tạo ra cái được gọi làkhuôn mặt Tương tự như máy quét vân tay, nếu đủ số lượng phép đo từ người dùng khớp với khuôn mặt

đã được phê duyệt, quyền truy cập sẽ được cấp Tính năng nhận dạng khuôn mặt đã được thêm vào một sốđiện thoại thông minh và các thiết bị phổ biến khác, mặc dù nó có thể không nhất quán khi so sánh cáckhuôn mặt khi nhìn từ các góc độ khác nhau hoặc khi cố gắng phân biệt giữa những người trông giốngnhau, chẳng hạn như họ hàng gần

Câu hỏi ôn tập LO3 (gợi ý dành cho sinh viên)

13Hệ thống quản lý an toàn thông tin là gì? Mục tiêu của hệ thống an toàn toàn thông tin?

14Mã hóa đối xứng (mã hóa khóa bí mật) là gì? Nếu ứng dụng của mã hóa đối xứng

Mã hóa đối xứng là một kỹ thuật cho phép sử dụng chỉ một khóa để thực hiện cả mã hóa và giải mã đượcchia sẻ qua internet Nó còn được gọi là phương pháp thông thường được sử dụng để mã hóa Trong mã

hóa đối xứng, đồng bằng được mã hóa và được chuyển đổi thành mật mã bằng khóa và thuật toán mã hóa.Mặc dù mật mã được chuyển đổi trở lại thành đơn giản bằng cách sử dụng cùng khóa được sử dụng để mãhóa và thuật toán giải mã.

Ứng dụng: Thuật toán mã hóa đối xứng thực thi nhanh hơn và là Ít phức tạp hơn vì thế; chúng được sử dụng cho truyền dữ liệu số lượng lớn Các thuật toán mã hóa đối xứng thường được sử dụng là DES, 3 DES, AES, RC4.

Nhờ có các ưu điểm vượt trội về tốc độ, tính giản đơn và bảo mật tốt, mã hóa đối xứng hiện được sử dụngrộng rãi trong rất nhiều ứng dụng từ bảo mật lưu lượng truy cập internet cho tới bảo vệ dữ liệu lưu trữ trêncác máy chủ điện toán đám mây Mặc dù thường phải được kết hợp với mã hóa bất đối xứng để giải quyếtcác vấn đề về chuyển tiếp các khóa được an toàn thì các sơ đồ mã hóa đối xứng vẫn giữ được vai trò làmmột thành tố quyết định đối với bảo mật trong máy tính hiện tại

Thuật toán AES có thể dùng nhiều kích thước ô nhớ khác nhau để mã hóa dữ liệu, thường thấy là 128-bit

và 256-bit, có một số lên tới 512-bit và 1024-bit Kích thước ô nhớ càng lớn thì càng khó phá mã hơn, bù lại việc giải mã và mã hóa cũng cần nhiều năng lực xử lý hơn

Hiện chế độ mã hóa mặc định của Android 5.0 đang xài là AES 128-bit Điều này có nghĩa là mỗi khi bạn chuẩn bị ghi dữ liệu xuống bộ nhớ máy thì hệ điều hành sẽ mã hóa nó rồi mới tiến hành ghi

Tương tự, mỗi khi OS chuẩn bị đọc dữ liệu thì Android phải giải mã trước rồi mới chuyển ra ngoài, khi đóthì hình ảnh mới hiện ra được, các tập tin nhạc mới chơi được và tài liệu mới có thể đọc được Bằng cách này, nếu bạn có lỡ làm mất máy thì người lượm được cũng không thể xem trộm dữ liệu của bạn (giả sử bạn đã lock màn hình) Nếu người đó có gỡ chip nhớ ra để đọc thì dữ liệu cũng đã mã hóa hết Tất nhiên, Android cũng xài key dạng symmetric (tạo ra dựa vào password của bạn), và key đó còn được băm thêm một lần nữa bằng SHA 256-bit để tăng tính an toàn

Nhiều bút nhớ USB ngày nay cũng cung cấp phần mềm AES đi kèm để bạn có thể mã hóa dữ liệu củamình thông qua password, nếu lỡ có làm rớt mất USB thì cũng không lo bị ai đó lấy trộm dữ liệu chứa bêntrong Ngay cả khi kẻ xấu cố gắng gỡ chip ra, gắn vào một phần cứng khác để đọc thì cũng chỉ thấy dữliệu đã mã hóa mà thôi

15 Mã hóa bất đối xứng (mã hóa khóa công khai) là gì? Nêu úng dụng của hệ mã hóa bất đối xứng.

Mã hóa bất đối xứng là: Mã hóa bất đối xứng là một kỹ thuật mã hóa sử dụng một cặp khóa (khóa riêng vàkhóa công khai) để mã hóa và giải mã Mã hóa bất đối xứng sử dụng khóa công khai để mã hóa và khóariêng để giải mã Khóa công khai có sẵn miễn phí cho bất cứ ai quan tâm đến ing Khóa riêng được giữ bímật với người nhận của Bất kỳ thứ gì được mã hóa bởi khóa công khai và thuật toán, đều được giải mãbằng cùng một thuật toán và khóa riêng phù hợp của khóa công khai tương ứng

Ứng dụng: Diffie-Hellman và RSA là thuật toán phổ biến nhất được sử dụng để mã hóa bất đối xứng, Mãhóa bất đối xứng thường được sử dụng để trao đổi các khóa bí mật trong khi đó, mã hóa đối xứng được sửdụng để trao đổi một lượng lớn dữ liệu

Chúng ta cũng hay nghe đến “chữ kí điện tử”, thứ mà các doanh nghiệp hay sử dụng để đính kèm vào tàiliệu để chứng minh rằng chính họ là người soạn thảo tài liệu chứ không phải là ai khác giả mạo “Chữ kí”

đó cũng được tạo ra dựa trên những phương pháp bảo mật nói trên Thời sơ khai người ta xài RSA, saunày có những thứ tiên tiến hơn, an toàn hơn được phát triển thêm và nhanh chóng phổ biến ra toàn thếgiới

Các đặc điểm của mã hóa công khai còn có ích cho nhiều ứng dụng khác như: tiền điện tử, thỏa thuậnkhóa…

TL:

1.Chữ ký điện tử là gì? Mục tiêu của chữ ký điện tử? Trình bày hiện trạng áp dụng chữ ký điện tử ở Việt Nam

Khái niệm chữ ký điện tử : là thông tin đi kèm theo dữ liệu (văn bản, hình ảnh, video ) nhằm mục đích

xác định người chủ của dữ liệu đó Chữ ký điện tử được sử dụng trong các giao dịch điện tử Xuất phát từthực tế, chữ ký điện tử cũng cần đảm bảo các chức năng xác định được người chủ của một dữ liệu nào đó:Văn bản, ảnh, video dữ liệu đó có bị thay đổi hay không Chữ ký điện tử được chứng thực bởi tổ chứccung cấp dịch vụ chứng thực chữ ký điện tử

Mục tiêu của chữ ký điện tử:

+Giúp xác minh chủ thể là ai: Tăng khả năng bảo mật, chống giả mạo, cho phép chủ thẻ xác minh danhtính của mình trên các hệ thống khác nhau như xe bus, thẻ rút tiền ATM, hộ chiếu điện tử tại các cửa khẩu,kiểm soát hải quan…

+Chữ ký số được sử dụng để kê khai hồ sơ nộp thuế trực tuyến, tiến hành kê khai hải quan điện tử hoặcthực hiện giao dịch chứng khoán điện tử… Khi sử dụng chữ ký điện tử các công ty, doanh nghiệp sẽkhông phải in các tờ kê khai, đóng dấu đỏ như trước mà chỉ cần sử dụng chữ ký số và thực hiện kê khaitrên phần mềm

+ Chữ ký số đảm bảo tính an ninh tốt, an toàn và chính xác tính bảo mật cao, thông qua chữ ký số thì cácthông tin được toàn vẹn dữ liệu và là bằng chứng chống chối bỏ trách nhiệm trên nội dung đã ký kết Việc

ký chữ ký số giúp cho các tổ chức, cá nhân yên tâm hơn với các giao dịch điện tử của mình

+ Chữ ký số giúp việc trao đổi dữ liệu giữa cơ quan nhà nước và các cá nhân, tổ chức được đơn giản hóathủ tục hành chính, việc trao đổi cũng thuận tiện và dễ dàng, nhanh chóng, vừa tiết kiệm thời gian, chi phí

đi lại mà lại vừa đảm bảo tính pháp lý

+ Ngoài ra chữ ký số còn được sử dụng khá phổ biến trong các hoạt động của doanh nghiệp, khi các doanhnghiệp sử dụng để ký kết hợp đồng với các đối tác thông qua mạng trực tuyến khi 02 bên ở quá xa màkhông thể sắp xếp để gặp nhau được

Như vậy chữ ký số có vai trò rất quan trọng với hoạt động của cơ quan, doanh nghiệp, nhất là trong tìnhtrạng thời đại công nghệ 4.0 ngày càng phát triển Ngày nay, sự ra đời của chữ ký số vừa đảm bảo tuyệtđối giá trị pháp lý, vừa đảm bảo được tính an toàn bảo mật

Đồng thời chữ ký số còn giúp người sử dụng thuận lợi trong các giao dịch thư điện tử, trong các hoạt độngmua sắm, hay thực hiện các thủ tục với cơ quan thuế, cơ quan bảo hiểm xã hội, ngân hàng…

Trình bày hiện trạng áp dụng chữ ký điện tử ở Việt Nam

+ Ứng dụng của Bộ KHCN, …

- Ứng dụng trong Thương mại điện tử

.+ Mua bán, đặt hàng trực tuyến

+ Thanh toán trực tuyến, …

- Ứng dụng trong giao dịch trực tuyến

+ Giao dịch qua email

- Hội nghị truyền hình và làm việc từ xa với Mega e-Meeting

Hiện nay tại Việt Nam ,chữ ký số được áp dụng trong 4 lĩnh vực: đó là cơ quan Thuế, Bảo hiểm xã hội,

Hải quan và Chứng khoán

Nếu bạn thường xuyên sử dụng các dịch vụ thanh toán liên ngân hàng hay thanh toán điện tử liên kho bạc của ngành tài chính tại một số cơ quan Nhà nước như Bộ Công thương, Sở Bưu chính Viễn thông TP.

Hồ Chí Minh, thì bạn nên biết rằng các giao dịch nội bộ này cũng đang bắt đầu sử dụng chữ ký điện tửngày một thông dụng hơn

Ngoài ra, chữ ký điện tử còn được sử dụng trong các ứng dụng giao dịch điện tử với các nhà mạng

Internet như Viettel, VNPT, và bạn có thể an tâm bởi chúng bảo đảm độ an toàn đối với các giao dịchliên quan đến tài chính

Theo “Báo cáo tình hình phát triển và ứng dụng chữ ký số tại Việt Nam năm 2018”, tính đến thời điểm 31/3/2019 có:

 703.753 DN sử dụng chữ ký số trong lĩnh vực thuế trên tổng số 711.748 DN đang hoạt động, đạt tỷ lệ98,87%, tăng 55.623 tổ chức, doanh nghiệp so với năm 2018;

 232.431 DN sử dụng chữ ký số trong hoạt động trong lĩnh vực hải quan, tăng 90.338 doanh nghiệp sovới năm 2018

 441.096 doanh nghiệp sử dụng chữ ký số trong kê khai bảo hiểm xã hội, tăng 231.678 doanh nghiệp sovới năm

2016

 2.824 DN dùng chữ ký số trong lĩnh vực chứng khoán, năm 2018 là 2.815

Làm thế nào để tạo ra một chữ ký điện tử?

Chữ ký điện tử yêu cầu phải sử dụng một mã hóa khóa công cộng (public key) Nếu muốn tạo chữ

ký điện tử thì cần phải có thêm cả mã hóa khóa cá nhân (private key) Bạn dùng khóa cá nhân để ký

- chỉ là một dạng mã - sau đó chỉ cung cấp khóa công cộng cho người cần xác nhận chữ ký đó

(chẳng hạn như ngân hàng, nơi bạn vay tiền)

Một số ví dụ có liên quan đến chữ kí điện tử:

- Mặc dù chưa có bất kỳ án lệ nào của tòa án giải quyết cụ thể vấn đề về hiệu lực của các hợp đồng

được ký bằng chữ ký điện tử, đã có các án lệ và bản án cho thấy các tòa án Việt Nam thiên về cách

tiếp cận chú trọng nội dung (tức là xem xét ý chí thực sự của các bên trong giao dịch) hơn là hình

thức thể hiện sự chấp thuận đối với nội dung đó (tức là xem xét hình thức hợp đồng và chữ ký)

Trong một số án lệ và bản án, Tòa án nhân dân tối cao đã ra phán quyết rằng, hành vi của các bên

trong quá trình giao kết và thực hiện hợp đồng có giá trị quan trọng để xác định ý chí của các bên

trong hợp đồng và cho dù hợp đồng không được ký bởi các bên có liên quan, hợp đồng đó vẫn

không bị vô hiệu

- Án lệ số 07/2016/AL ngày 17/10/2016 về công nhận hợp đồng mua bán nhà được xác lập trước

ngày 1 tháng 7 năm 1991(tranh chấp giữa Nguyễn Đình Sông, Nguyễn Thị Hồng, Nguyễn Thị

Hương với Đỗ Trọng Thành, Đỗ Thị Nguyệt, Vương Chí Tường, Vương Chí Thắng, Vương Bích

Vân, Vương Bích Hợp - Án lệ 07

2.Đưa ra một hệ thống thông tin hoặc một trang web thực tế ở Việt Nam mà có sử dụng chữ ký điện tử? Nghiệp vụ nào trong hệ thống đó có sử dụng chữ ký số? Trình bày các bước cụ thể để người dùng trong hệ thống này thực hiện nghiệp vụ có sử dụng chữ ký số (gợi ý: Website của cơ quan Thuế, Wibsite của cơ quan Hải quan, Website của cơ quan Bảo hiểm xã hội, )

Một trang web thực tế ở Việt Nam mà có sử dụng chữ ký điện tử? Website của cơ quan Thuế

Nghiệp vụ nào trong hệ thống đó có sử dụng chữ ký số? Nộp thuế điện tử(trực tuyến)

Trình bày các bước cụ thể để người dùng trong hệ thống này thực hiện nghiệp vụ có sử dụng

chữ ký số?

Hướng dẫn cá nhân, doanh nghiệp sử dụng chữ ký số để nộp thuế điện tử:

Bước1: Đăng nhập vào Trang thông tin điện tử của Tổng cục Thuế tại

http://thuedientu.gdt.gov.vn

Bước2: Lập giấy nộp tiền

- Sau khi đăng nhập thành công, doanh nghiệp lập giấy nộp tiền theo các bước dưới đây:

- Tại mục “Nộp thuế” nhấn chọn “Lập giấy nộp tiền”

- Lựa chọn “Ngân hàng nộp thuế” và nhấn "Tiếp tục"

Bước 3: Khai báo thông tin trên tờ khai

- Trong quá trình hoàn tất thủ tục nộp thuế điện tử, doanh nghiệp cần khai báo đầy đủ và chính xác

những nội dung sau trong tờ khai thuế:

+ Thông tin loại tiền: Chọn “VND” nếu đơn vị thuộc diện nộp thuế bằng đồng Việt Nam, trường

hợp thuộc diện nộp thuế ngoại tệ thì đơn vị chọn đúng loại ngoại tệ mình sử dụng

+ Thông tin ngân hàng: Chọn ngân hàng và số tài khoản để trích tiền

+ Thông tin cơ quan quản lý thu: Chính là thông tin cơ quan thuế quản lý đơn vị

+ Thông tin nơi phát sinh khoản thu: Điền địa chỉ nơi phát sinh khoản thu theo quy định của từng

Cục Thuế hoặc Chi cục thuế địa phương.

+ Thông tin kho bạc nhận tiền

+ Loại thuế: Chọn tương ứng theo mục đích nộp thuế của đơn vị

- Tại mục “Nội dung các khoản nộp NSNN” bạn tích chọn vào ô vuông 3 chấm để chọn loại thuế

muốn nộp

- Tại mục Nội dung các khoản nộp danh sách: Nhập mã NDKT

Lưu ý:

+ Căn cứ vào vốn điều lệ ghi trong Giấy Đăng ký kinh doanh Trường hợp không có vốn điều lệ thì

căn cứ vào vốn đầu tư ghi trong giấy chứng nhận đăng ý đầu tư

+ Đối với công ty, doanh nghiệp, tổ chức mới thành lập cần nộp Thuế môn bài: Nếu được cấp đăng

ký thuế và mã số thuế, mã số doanh nghiệp trong thời gian của 6 tháng đầu năm thì nộp mức lệ phí

môn bài cả năm; Nếu thành lập, được cấp đăng ký thuế và mã số thuế, mã số doanh nghiệp trong thời gian

6 tháng cuối năm ( từ ngày 1/7 đến 31/12) thì nộp 50% mức lệ phí môn bài cho năm đầu

- Bước cuối cùng để hoàn thành thủ tục nộp thuế điện tử là ký số Doanh nghiệp cần kiểm tra lại

thông tin vừa khai báo trong Giấy nộp tiền vào ngân sách nhà nước Nếu thông tin đã chính xác,

người dùng cắm chữ ký số của doanh nghiệp và tiếp tục nhấn “Ký và nộp”

- Sau đó, nhập mã PIN và nhấn “OK”

Như vậy, doanh nghiệp đã hoàn thành xong việc nộp tiền một mục thuế, trường hợp cần nộp nhiều

mục thì đơn vị thực hiện lặp lại từ bước Lập giấy nộp tin

3.Chứng thư số là gì? Mục tiêu của chứng thư số? Hiện nay Việt Nam đã có các đơn vị nào có thể cung cập dịch vụ chứng thư số?

Chứng thư số là gì?

Chứng thư số là một loại chứng thư điện tử do tổ chức dịch vụ chứng thực chữ ký số cung cấp Chứng

thư số có thể được coi như một “chứng minh nhân dân/ căn cuốc công dân hoặc hộ chiếu” của doanh

nghiệp với vai trò xác nhận danh tính của doanh nghiệp trong môi trường của máy tính và Internet với mộtpublic key, được cấp bởi tổ chức có thẩm quyền xác định nhận danh và có quyền cấp chứng thư số.

Chứng thư số được hiểu là chứng minh tính hợp lệ, hợp pháp đích danh của chữ ký số của 1 cá nhân hay

tổ chức

Thông thường, chứng thư số là cặp khóa và đã được mã hóa dữ liệu gồm các thông tin như: Công ty, mã

số thuế của doanh nghiệp… Các tài liệu này sẽ sử dụng để nộp thuế qua mạng, khai báo hải quan và thựchiện giao dịch điện tử khác như hóa đơn điện tử

Mục tiêu của chứng thư số: Với chứng thư số người dùng có thể:

+ Xác định danh tính người dùng khi đăng nhập vào một hệ thống (xác thực) Đảm bảo sự an toàn trongthương mại điện tử

+ Hỗ trợ ký số các loại văn bản, tài liệu, hợp đồng, hóa đơn,… dưới file doc, pdf hoặc một tệp tài liệu+Mã hóa thông tin để đảm bảo bí mật giữa người gửi và người nhận thông qua mạng internet

+ Thực hiện các kênh liên lạc trao đổi thông tin bí mật với các thực thể khác trên mạng, ví dụ như thựchiện kênh liên lạc bí mật giữa người dùng với webserver

Các đơn vị tại Việt Nam cung cấp chứng thư số:

1 Công ty Cổ phần Đầu tư Công nghệ và Thương mại Softdreams (EASYCA)

2.Tập đoàn Bưu chính Viễn thông Việt Nam (VNPT-CA)

3 Công ty cổ phần Công nghệ thẻ Nacencomm (CA2)

4 Công ty cổ phần BKAV (BKAV-CA)

5 Tập đoàn Viễn thông quân đội Viettel (VIETTEL-CA)

6.Công ty cổ phần Hệ thống Thông tin FPT (FPT-CA)

7.Công ty Cổ phần Viễn thông New-Telecom (NEWTEL-CA)

8 Công ty Cổ phần Chứng số an toàn (SAFE-CA)

9 Công ty Cổ phần Chữ ký số ViNa (Smartsign)

10 Công ty Cổ phần Công nghệ Tin học EFY Việt Nam (EFY-CA)

11 Công ty Cổ phần Công nghệ SAVIS (TrustCA)

12 Công ty Cổ phần MISA (MISA-CA)

13 Công ty Cổ phần Tập đoàn Công nghệ CMC (CMC-CA)

14 Công ty Cổ phần hỗ trợ doanh nghiệp và đầu tư Hà Nội(NC-CA)

15 Công ty TNHH L.C.S(LCS-CA)

16.Công ty Cổ phần chữ ký số FastCA(FASTCA)

4 Chứng thư số là gì? Nội dung có trong chứng thư số là gồm những nội dung gì?

Chứng thư số là gì?

Chứng thư số là một loại chứng thư điện tử do tổ chức dịch vụ chứng thực chữ ký số cung cấp Chứng

thư số có thể được coi như một “chứng minh nhân dân/ căn cuốc công dân hoặc hộ chiếu” của doanhnghiệp với vai trò xác nhận danh tính của doanh nghiệp trong môi trường của máy tính và Internet với mộtpublic key, được cấp bởi tổ chức có thẩm quyền xác định nhận danh và có quyền cấp chứng thư số

Chứng thư số được hiểu là chứng minh tính hợp lệ, hợp pháp đích danh của chữ ký số của 1 cá nhân hay

tổ chức

Thông thường, chứng thư số là cặp khóa và đã được mã hóa dữ liệu gồm các thông tin như: Công ty, mã

số thuế của doanh nghiệp… Các tài liệu này sẽ sử dụng để nộp thuế qua mạng, khai báo hải quan và thựchiện giao dịch điện tử khác như hóa đơn điện tử

Nội dung của chứng thư số:

-Hiện nay, chứng thư số do Tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia, tổ chức cung cấpdịch vụ chứng thực chữ ký số công cộng, tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùngChính phủ, tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng của cơ quan, tổ chức khi đượccấp sẽ phải bao gồm đầy đủ các nội dung sau:

Tên của tổ chức cung cấp dịch vụ chứng thực chữ ký số

Tên của thuê bao

Số hiệu chứng thư số

Thời hạn có hiệu lực của chứng thư số

Khóa công khai của thuê bao

Chữ ký số của tổ chức cung cấp dịch vụ chứng thực chữ ký số

Các hạn chế về mục đích, phạm vi sử dụng của chứng thư số

Các hạn chế về trách nhiệm pháp lý của tổ chức cung cấp dịch vụ chứng thực chữ ký số

Thuật toán mật mã

Các nội dung cần thiết khác theo quy định của Bộ Thông tin và Truyền thông

Theo đúng quy định, chỉ khi chứng thư số đáp ứng đầy đủ các nội dung yêu cầu trên thì mới có đủ tínhpháp lý

5.Chứng thực thực thể là gì? Trình này 2 phương pháp mà bạn biết mà có thể cài đặt để chứng thực thực thể.

Chứng thực thực thể:

Là một kỹ thuật cho phép một bên (party) chứng minh sự nhận dạng (identify) của một bên khác.– Trong đó thực thể (entity) có thể là một người hoặc tiến trình hoặc server Thực thể mà idenity cầnchứng mình được gọi là người thỉnh cầu (Claimant) Bên mà cố gắng chứng minh identity của cliamantđược gọi là người thẩm định (verifier)

Trình này 2 phương pháp mà bạn biết mà có thể cài đặt để chứng thực thực thể:

Chứng thực thực thể bằng sinh trắc học ( Biometrics) là sử dụng các phép đo lường về các đặc tính

sinh lí học hoặc hành vi học mà nhận dạng một con người, các đặc thù của sinh trắc học không thể đoán ,

ăn cắp hay chia sẻ ví dụ như vân tay, vân lòng bàn tay, võng mạc, móng mắt, khuôn mặt, giọng nói…

Hệ xác thực bằng mật khẩu

Phương pháp sử dụng mật khẩu chính là một ví dụ điển hình của cơ chế xác thực dựa trên điều mà thựcthể biết: NSD (người sử dụng) đưa ra một mật khẩu và hệ thống sẽ xác minh nó Nếu mật khẩu quả thật làcái được đăng ký trước với NSD, danh tính của NSD sẽ được xác thực Ngược lại, mật khẩu sẽ bị từ chối

và thủ tục xác thực thất bại Thông thường mật khẩu là một chuỗi ký tự có độ dài xác định; ký tự mật khẩuphải được chọn từ một bộ (bảng) ký tự qui định trước Không gian mật khẩu là tập tất cả các mật khẩu cóthể xây dựng được từ qui ước mật khẩu Ví dụ, có một hệ thống yêu cầu mật khẩu phải là một chuỗi 8 chữ

số (tức là ký tự ‘0’-‘9’); như vậy không gian mật khẩu là tập tất cả các chuỗi 8 chữ số (“00000000” đến

“99999999”), và như vậy không gian này có 108 mật khẩu

+Sự chứng thực bằng giao thức chứng thực bằng mật khẩu chưa đủ sự an toàn và tin cậy vì thông tinchứng thực được trao đổi không an toàn trong môi trường mạng công cộng Internet nên các tội phạm tinhọc có thể nghe trôm, đánh cắp thông tin để từ đó đoán ra được mật khẩu truy nhập vào hệ thống.

6.Điều khiển truy cập là gì? Trình bày ít nhất 2 phương pháp mà bạn biết mà có thể cài đặt điều khiển truy cập một hệ thống thông tin.

Điều khiển truy cập là gì?

Điều khiển truy cập ( access control) là thuật ngữ sử dụng trong các lĩnh vực kiểm soát bảo mật và an

ninh Nó ám chỉ đến sự hạn chế về quyền tiếp cận, truy cập, xâm nhập vào một địa chỉ có thực như mộtngôi nhà, văn phòng làm việc, công ty…tác dụng chính của Access Control là để phân quyền người dùng (chỉ cho phép những người nào được truy cập vào địa chỉ nào) Còn được gọi là hệ thống kiểm soát vào ra,

AC có nhiều cách thực hiện Có thể bằng sức người như bảo vệ, an ninh tòa nhà, hay kiểm soát bằng cácloại máy móc như barrier tự động, khóa cửa điện tử

Hiện nay với trình độ khoa học kỹ thuật ngày càng hiện đại Điều khiển truy cập đang phát triển lên mộttầm cao mới đó là kiểm soát vào ra bằng các hệ thống thẻ, vân tay, nhận dạng khuôn mặt Điển hình nhấthiện nay là các loại khóa cửa thông minh như khóa cửa bằng vân tay, khóa thẻ từ, khóa cửa từ

Trình bày ít nhất 2 phương pháp mà bạn biết mà có thể cài đặt điều khiển truy cập một hệ thống thông tin

Điều khiển truy cập bắt buộc MAC

- Điều khiển truy cập bắt buộc (Mandatory Access Control - MAC):

Là mô hình điều khiển truy cập nghiêm ngặt nhất,

Thường bắt gặp trong các thiết lập của quân đội

Hai thành phần: Nhãn và Cấp độ

- Mô hình MAC cấp quyền bằng cách đổi chiều nhân của đối tượng với nhân của chủ thể

Nhãn cho biết cấp độ quyền hạn

- Để xác định có mở một file hay không: So sánh nhân của đối tượng với nhân của chủ thể

Chủ thể phải có cấp độ tương đương hoặc cao hơn: đối tượng được cấp phép truy cập

- Hai mô hình thực thi của MAC: Mô hình mạng lưới (Lattice model) & Mô hình Bell-LaPadula

+ Mô hình mạng lưới Các chủ thể và đối tượng được gán một "cấp bậc” trong mạng lưới Nhiều mạng lưới

có thể được đặt cạnh nhau

+Mô hình Bell-LaPadula: Tương tự mô hình mạng lưới Các chủ thể không thể tạo một đối tượng mới haythực hiện một số chức năng nhất định đối với cácđối tượng có cấp thấp hơn

- Ví dụ về việc thực thi mô hình MAC: Windows 7/Vista có bốn cấp bảo mật

Các thao tác cụ thể của một chủ thể đối với phân hạng thấp hơn phải được sự phê duyệt của quản trịviên Hộp thoại User Account Control (UAC) trong Windows

-Điều khiển truy cập tùy ý (DAC)

- Điều khiển truy cập tùy ý (DAC)

Mô hình ít hạn chế nhất

Mọi đối tượng đều có một chủ sở hữu

Chủ sở hữu có toàn quyền điều khiển đối với đối tượng của họ

Chủ sở hữu có thể cấp quyền đối với đối tượng của mình cho một chủ thể khác

Được sử dụng trên các hệ điều hành như Microsoft Windows và hầu hết các hệ điều hành UNIX

- Nhược điểm của DAC

Phụ thuộc vào quyết định của người dùng để thiết lập cấp độ bảo mật phù hợp

Việc cấp quyền có thể không chính xác

Quyền của chủ thể sẽ được "thừa kế” bởi các chương trình mà chủ thể thực thiTrojan là một vấn đề đặcbiệt của DAC

Điều khiển truy cập dựa trên vai trò (RBAC)

- Điều khiển truy cập dựa trên vai trò (Role Based Access Control - RBAC)

Còn được gọi là Điều khiển Truy cập không tùy ý

Quyền truy cập dựa trên chức năng công việc

- RBAC gần các quyền cho các vai trò cụ thể trong tổ chức

Các vai trò sau đó được gắn cho người dùng

Điều khiển truy cập dựa trên quy tắc (RBAC)

- Điều khiển truy cập dựa trên quy tắc (Rule Based Access Control - RBAC)

- Tự động gán vai trò cho các chủ thể dựa trên một tập quy tắc do người giám sát xác định

- Mỗi đối tượng tài nguyên chứa các thuộc tính truy cập dựa trên quy tắc

- Khi người dùng truy cập tới tài nguyên, hệ thống sẽ kiểm tra các quy tắc của đối tượng để xácđịnh quyềntruy cập

- Thường được sử dụng để quản lý truy cập người dùng tới một hoặc nhiều hệ thống

Những thay đổi trong doanh nghiệp có thể làm cho việc áp dụng các quy tắc thay đổi

Trường hợp 2:

Điều khiển truy cập tùy quyền (DAC) là một loại kiểm soát truy cập bảo mật tài trợ hoặc hạn chế đối

tượng truy cập thông qua một chính sách truy cập xác định bởi nhóm chủ sở hữu của một đối tượng và /hoặc đối tượng DAC điều khiển cơ chế được định nghĩa bởi người sử dụng xác định với các thông tincung cấp trong quá xác thực, chẳng hạn như tên người dùng và mật khẩu DACs là tùy tiện vì chủ thể (chủ

sở hữu) có thể chuyển đối tượng đã xác thực hoặc truy cập thông tin cho người dùng khác Nói cách khác,chủ sở hữu quyết định quyền truy cập đối tượng

Điều khiển truy cập tùy quyền (discretionary access control - DAC) là một chính sách truy cập mà chủ

nhân của tập tin hay người chủ của một tài nguyên nào đấy tự định đoạt Chủ nhân của nó quyết định ai là

người được phép truy cập tập tin và những đặc quyền (privilege) nào là những đặc quyền người đó được

phép thi hành

Điều khiển truy cập bắt buộc (Mandatory Access Control - MAC):

Điều khiển truy cập bắt buộc (mandatory access control - MAC) là một chính sách truy cập không do cá

nhân sở hữu tài nguyên quyết định, song do hệ thống quyết định MAC được dùng trong các hệ thống đatầng cấp, là những hệ thống xử lý các loại dữ liệu nhạy cảm[4], như các thông tin được phân hạng về mức

độ bảo mật trong chính phủ và trong quân đội Một hệ thống đa tầng cấp là một hệ thống máy tính duynhất chịu trách nhiệm xử lý bội số các phân loại dưới nhiều tầng cấp giữa các chủ thể và các đối tượng

- Được dùng để bảo vệ một khối lượng dữ liệu lớn cần được bảo mật cao trong một môi trường mà các dữliệu và người dùng đều có thể được phân loại rõ ràng

-Là cơ chế để hiện thực mô hình bảo mật nhiều mức (multiple level)

Ưu điểm:

- Là cơ chế điều khiển truy xuất có tính bảo mật cao trong việc ngăn chặn dòng thông tin bất hợp pháp -Thích hợp cho các ứng dụng trong môi trường quân đội

Khuyết điểm:

-Không dễ áp dụng: đòi hỏi cả người dùng và dữ liệu phải được phân loại rõ ràng

- Chỉ được ứng dụng trong một số ít môi trường

7.Mật khẩu (password) là gì? Mật khẩu cố định (fixed password) và mật khẩu dùng một lần (one time password) khác nhau như thế nào? Trình bày điểm mạnh và điểm yếu của 2 loại mật khẩu.

Password hay mật khẩu là một chuỗi ký tự được sử dụng rất phổ biến trong các dịch vụ internet, hệ thốngmáy tính hay phần mềm ứng dụng nào đó Nó giúp cho người dùng bảo vệ sự riêng tư cũng như hạn chếtối đa khả năng truy cập bất hợp pháp từ người khác

Ví dụ: Bạn có một tài khoản trên máy tính của mình và tài khoản này yêu cầu bạn đăng nhập Để truy cậpthành công vào tài khoản của mình, bạn phải cung cấp tên người dùng và mật khẩu hợp lệ Sự kết hợp nàythường được gọi là đăng nhập Trong khi tên người dùng nói chung là thông tin công khai, mật khẩu làriêng tư đối với mỗi người dùng

Mật khẩu cố định (fixed password) và mật khẩu dùng một lần (one time password) khác nhau như thế nào?

Mật khẩu dùng một lần (OTP) dùng để xác thực người dùng truy cập ứng dụng hoặc thực hiện giao dịchtrên internet banking/mobile banking

Thông tin mật khẩu dùng một lần (OTP) có giá trị sử dụng 1 lần, có hiệu lực trong 1 khoảng thời gian nhấtđịnh là đúng

Mật khẩu cố định là loại mật khẩu được dùng để bảo vệ các tài khoản thuộc về cá nhân người dùng,có hiệulực lâu dài và thay đổi khi người dùng quyết định thay mật khẩu mới

Khác nhau giữa mật khẩu cố định và mật khẩu dùng một lần:

Mật khẩu cố định Mật khẩu dùng một lần

Được dùng lặp đi lặp lại Chỉ dùng được 1 lần và không sử dụng lại

Dễ tấn công Khó tấn công

Tính bảo mật thấp Tính bảo mật cao

Trình bày điểm mạnh và điểm yếu của 2 loại mật khẩu:

-Điểm mạnh và điểm yếu của mật khẩu dùng 1 lần:

Ưu điểm:

+Khả năng chống lại các cuộc tấn công: Xác thực OTP cung cấp những lợi thế khác biệt so với việc chỉ sửdụng mật khẩu tĩnh Không giống như mật khẩu truyền thống, OTP không dễ bị tấn công — trong đó tintặc chặn việc truyền dữ liệu (như người dùng gửi mật khẩu của họ), ghi lại và sử dụng nó để truy cập vào

hệ thống hoặc tài khoản của chính họ Khi người dùng có quyền truy cập vào tài khoản của họ bằng OTP,

mã sẽ trở nên không hợp lệ và do đó kẻ tấn công không thể sử dụng lại

+Khó đoán: OTP thường được tạo bằng các thuật toán sử dụng sự ngẫu nhiên Điều này khiến những kẻtấn công khó đoán và sử dụng chúng thành công OTP có thể chỉ có hiệu lực trong thời gian ngắn, yêu cầungười dùng có kiến thức về OTP trước đó hoặc cung cấp cho người dùng một thử thách (ví dụ: “vui lòngnhập số thứ hai và thứ năm”) Tất cả các biện pháp này làm giảm thêm bề mặt tấn công của môi trường khi

so sánh với xác thực chỉ bằng mật khẩu

+Giảm rủi ro khi mật khẩu bị xâm phạm: Người dùng không áp dụng các biện pháp bảo mật mạnh mẽ có

xu hướng tái chế các thông tin đăng nhập giống nhau trên các tài khoản khác nhau Nếu những thông tinđăng nhập này bị rò rỉ hoặc rơi vào tay kẻ xấu, dữ liệu bị đánh cắp và gian lận là những mối đe dọa đáng

kể đối với người dùng trên mọi phương diện Bảo mật OTP giúp ngăn chặn vi phạm truy cập, ngay cả khi

kẻ tấn công đã có được bộ thông tin đăng nhập hợp lệ

+Dễ dàng áp dụng: Mật mã dùng một lần cũng dễ dàng cho các tổ chức tích hợp vào chiến lược xác thựccủa họ Mặc dù bản chất khó hiểu của những mã này khiến mọi người khó ghi nhớ, nhưng điện thoại, mãthông báo và các công nghệ khác có thể truy cập rộng rãi để các nhóm bảo mật sử dụng và phân phối chonhân viên của họ

Thẻ thông minh hay thiết bị tạo mật khẩu cầm tay (token) nhờ vào kết nối internet với máy chủ của dịch

vụ cung cấp OTP hoặc cũng có thể thông qua thẻ OTP in sẵn thay điện thoại di động mà không cần đếnkết nối internet

Nhược điểm OTP là gì?

+Mã OTP có thể bị lộ nếu chủ tài khoản không giữ thông tin cẩn thận

+Giao dịch thông qua hệ thống internet có thể bị hacker tấn công

+Với hình thức OTP Token, bảo mật hơn nhưng phải trả thêm chi phí làm máy Token

+Hạn chế thời gian hiệu lực, không thể sử dụng những nơi không có sóng di động đối với OTP SMS

- Mật khẩu cố định: