1. Trang chủ
  2. » Công Nghệ Thông Tin

Bài tập tổng quan về ngành An toàn thông tin

5 5 0

Đang tải... (xem toàn văn)

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 5
Dung lượng 23,18 KB

Các công cụ chuyển đổi và chỉnh sửa cho tài liệu này

Nội dung

1 Trình bày các khái niệm về tính bí mật, tính sẵn sàng và tính an toàn trong ATTT? Cho ví dụ minh họa Tính bí mật bảo vệ dữ liệu không bị lộ ra ngoài 1 cách trái phép VD Trong hệ thông quản lí sinh viên

Trang 1

1 Trình bày các khái niệm về tính bí mật, tính sẵn sàng và tính an toàn trong ATTT? Cho ví dụ minh họa

- Tính bí mật : bảo vệ dữ liệu không bị lộ ra ngoài 1 cách trái phép

VD : Trong hệ thông quản lí sinh viên, mỗi sinh viên chỉ được xem kết quả học tập của

mình nhưng không được xem thông tin của sinh viên khác

- Tính toàn vẹn : chỉ có nguòi dùng được ủy quyền mới được chỉnh sửa thông tin dữ liệu

3 mục đích chính :

+ Ngăn cản sự biến dạng thông tin của những người sử dụng không được phép

+ Ngăn cản sự làm biến dạng nội dung thông tin không được phép hoặc không chủ tâm của nhưcng người sử dụng được phép

+ Duy trì sự toàn vẹn dữ liệu cả trong nội bộ và bên ngoài

VD : Trong hệ thống quản lí sinh viên, không cho phép sinh viên chỉnh sửa thông tin kết

quả học tập của mình

- Tính sẵn sàng : đảm bảo dữ liệu luôn trong trạng thái sẵn sàng khi có yêu cầu của người dùng và ứng dụng yêu cầu

VD : Trong công ty, cần đảm bảo rằng nhân viên luôn có thể truy vấn thông tin của mình

bất cứ lúc nào

2 Trình bày một số kiểu tấn công mạng?

- Tấn công chủ động (Active attack) : tấn công ngăn chặn thông tin, tấn công chặn bắt thông tin, tấn công sửa đổi thông tin, chèn thông tin giả mạo

- Tấn công bị động (Passive attack) : tấn công chặn bắt thông tin( nghe lén, khai thác nội dung thông điệp, phân tích dòng dữ liệu)

3 Trình bày và phân tích các nguy cơ về ATTT? Cho ví dụ minh họa

- Cơ sở hạ tầng mạng : cơ sở hạ tầng không đồng bộ, không đảm bảo yêu cầu thông tin được truyền trong hệ thống an toàn và thông suốt

- Thông tin : dữ liệu chưa được mô hình hóa và chuẩn hóa theo tiêu chuẩn về mặt tổ chức

và kỹ thuật Yếu tố pháp lý chưa được chú trọng trong truyền đưa các dữ liệu trên mạng, nghĩa là các dữ liệu được truyền đi trên mạng phải đảm bảo tính hợp pháp về mặt tổ chức và kỹ thuật

- Công nghệ : chưa chuẩn hóa các loại công nghệ, mô hình kiến trúc tham chiếu nhằm đảm bảo cho tính tương hợp, tính sử dụng lại được, tính mở, an ninh, mở rộng theo phạm vi, tính riêng tư vào HTTT

- Con người : sự hiểu biết của những người quản lí trực tiếp, vận hành HTTT, xây dựng và phát triển hệ thống phần mềm, hệ thống thông tin còn chưa đồng đều và chưa theo quy chuẩn của các cơ quan tổ chức đó

4 Trình bày và phân tích các giải pháp bảo đảm ATTT? Cho ví dụ minh họa

- Các biện pháp công nghệ (Technology) : bao hàm tất cản cácn biện pháp phần cứng, các phần mềm, phần lõi cúng như các ký thuật công nghệ liên quan được áp dụng nhằm đảm bảo các yêu cầu an toàn thông tin trong các trạng thái của nó

- Các biện pháp về đào tạo, tập huấn, nâng cao nhận thức (Education, training & Awarenness) : các biện pháp công nghệ hay biện pháp về tổ chức thích hợp phải dựa trên các biện pháp đào tạo, tập huấn và tăng cường nhận thức để có thể triển khai đảm bảo an toàn thông tin từ nhiều hướng khác nhau Các nhà nghiên cứu, kỹ sư cúng cần hiểu rõ về nguyên lý an toàn thông tin, thì các sản phẩm và hệ thống mà họ tạo ra phải đáp ứng được các yêu cầu về độ an toàn của cuộc sống hiện tại đặt ra

- Biện phấp hợp tác quốc tế : hợp tác với các quốc gia có kinh nghiệm, kế thừa những thành tựu khoa học của các quốc gia đi trước trong vấn đề ATTT

Trang 2

VD : Trong cuộc sống của chúng ta, biện pháp ATTT an toàn và hiệu quả nhất là đặt mật

khẩu mạnh, mã hóa dữ liệu, cập nhật phần mềm, cài phầm mềm diệt virut, sử dụng phần mềm có nguồn gốc rõ ràng, kiểm soát quyền trên thiết bị

5 Trình bày tổng quan về thực trạng ATTT trên thế giới và tại Việt Nam?

- Việt Nam : Hiện nay, các cuộc tấn công mạng của Việt Nam đang có xu hướng tăng nhẹ

do Việt Nam đang ngày càng phát triển, hòa nhập thế giới của cuộc cách mạng 4.0 Nhưng Việt Nam còn xem nhẹ và hiện nay chưa có nhiều kỹ sư về ATTT, còn nhiều người dân chưa được tiếp xúc nhiều với internet và những người thiếu hiểu biết internet Do

đó các tội phạm thường hay lợi dụng điều này để phạm tội.Các cuộc tấn công thương là nhằm vào hệ thống thông tin,… và 1 phần nhỏ là đánh cắp trái phép thông tin người dùng Kết luận, thực trạng ATTT của Việt Nam hiện nay là đáng báo động

- Thế giới : các cuộc tấn công ngày càng tăng và hơn hết là đa phần đều nhắm vào dữ liệu người dùng

6 Trình bày các khái niệm về tin tặc và tội phạm kỹ thuật.

- Tin tặc : là người hiểu rõ hoạt động của hệ thống máy tính, mạng máy tính, có thể viết hay chỉnh sửa phần mềm, phần cứng máy tính để làm thay đổi , chỉnh sửa nó với nhiều mục đích xấu khác nhau

- Tội phạm kỹ thuật : là tội phạm cố ý sử dụng tri thức, kiến thức, kỹ năng, công cụ và phương tiện công nghệ thông tin tác động trái pháp luật đến thông tin, dữ liệu, tín hiệu được lưu trữ, sử lý , truyền tải thông tin trong hệ thống mạng máy tính

7 Trình bày một số vấn đề tội phạm tin học liên quan đến lạm dụng mạng

- Mạo danh, xâm nhập máy tính trái phép để đánh cắp và hủy hoại thông tin

- Lừa đảo qua mạng (Phishing) : là xây dựng những hệ thống lừa đảo nhằm đánh cắp các thông tin có giá trị như là tên đăng nhập, mật khẩu, thông tin thẻ tín dụng, loại hình này trở thành hiểm họa cho thương mại điện tử, làm giảm lòng tin đối với các giao dịch thương mại điện tử

- Thư rác (Spamming) là hình thức gửi bừa bãi thư không muốn hàng loạt đến người dùng Làm người dùng bị cản trở, khó khăn trong việc tiếp cận các tài liệu công việc

- Tấn công từ chối dịch vụ (Denial of Service) : là kiểu tấn công làm cho hệ thống máy tính,

hệ thống mạng bị quá tải,… Dẫn đến hệ thống bị quá tải, hoặc không thể hoạt động bình thường Khi đó, máy chủ dịch vụ bị quá tải do có quá nhiều kết nối yêu cầu tri vấn làm cho khả năng truy vấn bị hạn chế

8 Trình bày sự thay đổi mục đích tấn công hệ thống thông tin qua các giai đoạn Cho ví dụ minh họa

Thời gian trước, các cuộc tấn công chỉ nhằm mục địch thí nghiệm, hoặc khám phá hệ thống an ninh Hiện nay, mụac đích tấn công với nhiều lí do khác nhau như về tài chính, giả mạo , phá hủy, và nguy hiểm hơn hết là nhằm mục đích chính trị, chính vì vậy mà độ phức tạp của các cuộc tấn công đã tăng lên và tác hại lớn hơn rất nhiều so với trước đây, cụ thể :

 1985 – 1994 : virut máy tính, phát tán thông qua các ổ mềm (floppy disk)

 1995 – 1999 : internet viruses, worms phát tán qua email, môi trường mạng Trong các giai đoạn trên, động cơ phá hoại chủ yếu mang tính chất cá nhân

 2000 – 2006 : Worms, Spyware, Bots, Phishing… tấn công thông qua email, môi trường mạng, wedsite

 2007 – hiện nay : Social networking, tấn công ứng dụng, gián điệp,…

Trang 3

Các giai đoạn tấn công hiện nay đều có mục đích rõ ràng và thương hướng vào mục tiêu tài chính

9 Trình bày một số vấn đề về sở hữu trí tuệ và luật bản quyền? Nêu một số biện pháp sinh viên có thể thực hiện trong việc tôn trọng bản quyền và sở hữu trí tuệ trong học tập và công việc

Sở hữu trí tuệ được hiểu là tài sản trí tuệ, là nhứng sản phẩm sáng tạo của bộ óc con người

Đó có thể là tác phẩm văn học, âm nhạc, phần mềm máy tính, phát minh, sáng chế, giải pháp hữu ích,…

Các đối tượng của quyền sở hữu trí tuệ : bản quyền, bằng sáng chế, thương hiệu, kiểu dáng công nghiệp, chỉ dẫn địa lí,

Một số biện pháp sinh viên có thể làm để thể hiện việc tôn trọng bản quyền và sở hữu trí tuệ trong học tập và công việc là

+ Khi ta làm bài mà có sử dụng tác phẩm của người khác ta phải trích nguồn tác giả

+ Không được đem dự án, phần mềm của người khác công bố hay đi thi mà chưa có được sự đồng ý của người khác

+ Không được mạo danh sản phẩm của người khác

10 Trưởng phòng Quản trị mạng máy tính của công ty gọi điện thoại yêu cầu nhân viên phòng Quan hệ khách hàng cung cấp username và password để làm báo cáo tổng hợp gởi Giám đốc Theo sinh viên, nhân viên phòng Quan hệ khách hàng có cung cấp thông tin username

và password hay không? Giải thích lí do?

Theo em, nhân viên phòng Quan hệ khách hàng không được cung cấp thông tin username và password của khách hàng cho Trưởng phòng Quản trị mạng máy tính vì nó vi phạm về vấn đề

an toàn thông tin, cụ thể là tính bảo mật Nhân viên phòng Quan hệ khách hàng chỉ được cung cấp thông tin đó khi mà có được sự cho phép của khách hàng chứ không được đưa ra 1 cách trái phép khi mà chưa có được sự đồng ý của chủ tài khoản

Trang 4

11 Tuấn nhận được một email lạ chúc mừng sinh nhật từ một người lạ, trong đó đính kèm thiệp Một người bạn của Tuấn khuyên xóa ngay email đó mà không cần hỏi ý kiến của bộ phận IT, lời khuyên đó đúng hay sai? Vì sao?

Người bạn đó của Tuấn nói là đúng Vì đối với nhứng chiếc email mà chúng ta không biết đó

là ai thì đầu tiên chúng ta nên xóa nó để bảo đảm sự an toàn và chiếc email đó có thể là sự tấn công của hacker khi mà ta để nó quá lâu nó có thể tấn công và giành quyền sử dụng ưmail đó và gây ra những điều bất lợi với chúng ta như tài liệu nội bộ công ty, thông tin cá nhân, đời tư,…

12 Màn hình desktop của bạn đột ngột có sự di chuyển con trỏ của chuột, sự di chuyển này không có tác động của người sử dụng và bất thường Sinh viên nghĩ đến vấn đề gì?

Khi mà màn hình Desktop có sự di chuyển đột ngột của con trỏ chuột và sự di chuyển này không có sự tác động của người sử dụng, bất thường thì máy tính của chúng ta đã bị hacker tấn công và chiếm quyền điều khiển máy tính Khi đó ta nên đem máy ra tiệm sửa hoặc đưa lên công an và báo cáo về vấn đề tấn công máy tính vi phạm đời tư cá nhân

13 Việc trao đổi, chia sẻ trên facebook hiện nay là trào lưu của thanh niên, trong đó có việc chia sẻ thông tin cá nhân và các thành viên trong gia đình, các hoạt động thường nhật Sinh viên đánh giá như thế nào về hành động trên về mặt an toàn thông tin ?

Hành động chia sẻ thông tin cá nhân và các thành viên trong gia đình nếu nói về vấn đề an toàn thông tin thì nó vi phạm về tính bí mật thông tin Chúng ta không nên chia sẻ thông tin

1 cách bừa bãi trên không gian mạng, các hacker có thể lợi dụng điều này và gây bất lợi đến cho chúng ta và gia đình

14 Phương phát hiện mật khẩu của email cá nhân bị tiết lộ ra bên ngoài, theo sinh viên, việc làm nào Phương cần thực hiện đầu tiên?

Nếu email cá nhân của Phương bị lộ mật khẩu cá nhân ra bên ngoài thì việc đầu tiên là Phương phải vào email đổi lại mật khảu, kiểm tra xem hacker đã làm gì chưa Còn nếu email

đã bị hacker chiếm thì Phương phải thông báo cho bạn bè và đồng ngiệp cảnh giác và không được trả lời hay tin lời email

15 Trình bày các lợi ích của việc thực hiện tiêu chuẩn về an toàn thông tin như ISO/IEC 27001:2013

Lợi ích của việc thực hiện tiêu chuẩn về an toàn thông tin như ISO//IEC 27001:2013 là đảm bảo ATTT của tổ chức, đối tác, khách hàng, giúp cho hoạt động của tổ chức luôn thông suốt

an toàn

Trang 5

16 Cho biết sự khác nhau giữa Hacker và Cracker

Sự khác nhau giữa Hacker và Cracker :

- Hacker mũ trắng hoạt động với mục đích tốt, trong phạm vi đạo đức và pháp luật, trong khi Cracker thì ngược lại

- Hacker mũ trắng chống lại các mối đe dọa tiềm tàng mà Cracker gây ra cho hệ thống máy tính và Internet Các Hacker chuyên nghiệp có đủ khả năng khôi phục các thiết lập bảo mật trên hệ thống mạng bị phá hoại và tìm cách nhận diện Cracker

- Cracker có kiến thức về cách bẻ khóa bảo mật máy tính và mạng, nhưng họ thường không giỏi như Hacker Họ thường chỉ tập trung vào các kỹ năng bẻ khóa, xâm nhập, vào

hệ thống

- Hacker có thể viết phần mềm, chương trình, biết ngôn ngữ và kỹ năng lập trình, hiểu cách thức xây dựng và hoạt động của phần mềm Ngược lại, rất ít Cracker có kỹ năng để tạo ra các công cụ và phần mềm mới Vì vậy, Cracker thường tải các chương trình tự động từ các trang wed độc hại để thực hiện hành vi của mình

17 Một server cung cấp dịch vụ web ra ngoài internet Server này nằm trong vùng DMZ Người quản trị hệ thống cần mở port nào tại tường lửa để bên ngoài truy cập được vào server này?

Khi 1 sever cung cấp dịch vụ wed ra ngoài internet và sever này nằm trong vùng mạng DMZ thì người quản trị hệ thống cần mở port DeMilitary Zone tại tường lủa để bên ngoài truy cập vào sever này

18 Liệt kê một số yêu cầu về tính an toàn đối với một hệ thống phân tán?

- Mật mã (cryptography)

- Xác thực (authentication)

- Ủy quyền (authorization)

- Kiểm toán (auditing)

19 Trình bày cách sử dụng danh sách kiểm soát truy cập (access control lists) được sử dụng đại diện cho kiểm soát truy cập ma trận (access control matrices) Liệt kê các môi trường

mà chúng được sử dụng cùng ưu, khuyết điểm

20 Trình bày nguyên tắc leo thang đặc quyền

Leo thang đặc quyền là định danh tài khoản để giành được quyền truy cập cao và trực tiếp vào các tài nguyên không có sẵn cho người dùng

21 Trong cơ quan A thường xuyên làm việc với các văn bản mật (bao gồm lưu trữ hồ sơ, công văn đi, đến) Anh/chị đề xuất 5 biện pháp (kỹ thuật, phi kỹ thuật) để tăng mức độ an toàn cho các hoạt động của cơ quan trên.

- Mã hóa tài liệu mà chỉ nội bộ biết

- Bảo mật bằng token

- Chứng thực đa yếu tố

- Chứng chỉ số

- Chứng thực bằng sinh trắc học

Ngày đăng: 22/09/2022, 12:32

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

🧩 Sản phẩm bạn có thể quan tâm

w