At 2

1
1. Các khái niệm cơ bản về an toàn thông tin

2. Các nguyên tắc nền tảng của an toàn thông tin
3. Các nguy cơ mất an toàn thông tin
4. Các phương pháp đảm bảo an toàn thông tin
5. Các thành phần cần bảo vệ trong một HTTT
6. Tầm quan trọng an toàn thông tin đối với xã
hội/doanh nghiệp/cá nhân
GV: Trần Thị Kim Chi 7. CÂU HỎI VÀ BÀI TẬP
Trần Thị Kim Chi 1-2
1 Các khái niệm cơ bản về an toàn thông tin

Các khái niệm cơ bản về an toàn thông tin
Data (dữ liệu) và information (thông tin)
• Dữ liệu (Data) là gì?
Dữ liệu Thông tin
• Dữ liệu có thể được định nghĩa như là một tập các sự việc,
sự kiện, con số. Ví dụ: họ tên, ngày sinh của một người,
trọng lượng, giá cả, chi phí số lượng, tên sản phẩm, mã số
thuế,….
• Dữ liệu là không có ý nghĩa cho đến khi nó được đưa vào
một mối liên quan nào đó
• Dữ liệu có thể được thu thập, xử lý, lưu trữ trong máy tính
• Dữ liệu mà chưa xử lý được gọi là dữ liệu thô (Raw data),
• Dữ liệu được trình bày dước dạng: các con số, các từ, hình
ảnh, âm, thanh, đa phương tiện, dữ liệu động
• Hãy cho ví dụ một vài dữ liệu
Database System 3 Trần Thi Kim Chi 4
• Thông tin (Information) là gì?
• Là dữ liệu đã được xử lý, tổ chức, • Hệ thống thông tin (Information Systems)
cấu trúc hoặc trình bày trong một
• Là một hệ thống gồm con người, dữ liệu và những hoạt
ngữ cảnh nhất định để làm cho
động xử lý dữ liệu và thông tin trong một tổ chức.
chúng hữu ích
• T�i s�n c�a hệ th�ng thông tin bao g�m:
• Là dữ liệu đã được xử lý theo cách ✓ Phan cứng
có ý ghĩa đối với người được nhận ✓ Phan mêm
nó. ✓ Dư liệ u
• Cho ví dụ vài thông tin ✓ Mạng
✓ Moi trường là m việ c
✓ Con người
DỮ LIỆU THÔNG TIN
XỬ LÝ
(DATA) (INFORMATION)
Database System
Trần Thi Kim Chi 5 Trần Thị Kim Chi 1-6
An Toàn thông tin là gì?

(Information Security)
• Hệ thống thông tin (Information Systems)
• Hãy cho ví dụ một hệ thống thông tin của một
doanh nghiệp mà bạn biết
• Hệ thống thông tin đó là gì
• Mục ti u của hệ thống thông tin đó
• Các thông tin dữ liệu nào có trong hệ thống thông tin
• Những ai được truy xuất những thông tin dữ liệu/chức
năng nào
Trần Thị Kim Chi 1-7 Trần Thị Kim Chi 1-8
An Toàn thông tin là gì? An Toàn thông tin là gì?
(Information Security) (Information Security)
An Toàn thông tin là gì? Tại sao cần An Toàn thông tin
(Information Security) (Information Security)
• Là hành động ngăn cản, phòng • Thông tin l� một t�i s�n, gi�ng như các t�i s�n quan
ngừa sự sử dụng, truy cập, tiết lộ, trọng khác c�a doanh nghiệp, có giá trị đ�i với tổ chức
chia sẻ, phát tán, ghi lại hoặc phá v� cần được b�o vệ một cách phù hợp (BS ISO
hủy thông tin chưa có sự cho 27002:2005)
phép. → Nếu thông tin của tổ chức lọt vào tay những những người
• Là tập các quy trình và công cụ không có thẩm quyền hoặc không hợp pháp thì dẫn đến
được thiết kế và triển khai để bảo những hậu quả rất rất nghi m trọng
vệ các thông tin nhạy cảm của →Vì thế, bảo vệ thông tin trở thành một y u cầu không thể
doanh nghiệp từ sự truy cập, hiệu thiếu trong mọi hoạt động nói chung và hoạt động điện tử nói
chỉnh, phá hủy không hợp pháp ri ng. An toàn thông tin trong thời đại số là quan trọng hơn
bao giờ hết
Các nguyên tắc nền tảng của
Đảm bảo an toàn thông tin là gì?
an toàn thông tin (CIA)
• Đ�m b�o ATTT là đảm bảo an toàn kỹ thuật cho hoạt động Các tính chất cần thiết để một
của các cơ sở HTTT, trong đó bao gồm đảm bảo an toàn cho hệ thống đảm bảo an toàn
cả phần cứng và phần mềm hoạt động theo các tiêu chuẩn thông tin
kỹ thuật do nhà nước ban hành; ngăn ngừa khả năng lợi • Tính bảo mật
dụng mạng và các cơ sở HTTT để thực hiện các hành vi trái (Confidentiality),
phép; đảm bảo các tính chất bí mật, toàn vẹn, sẵn sàng của
• Tính toàn vẹn (Integrity)
thông tin trong lưu trữ, xử lý và truyền dẫn trên mạng. Tam giác bảo mật CIA (CIA triad).
v�
• Tính sẵn dùng
(Availability)
• Tính chống thoái thác
(Non-repulation)
Trần Thị Kim Chi 1-13 • Tính xác thực Trần Thị Kim Chi 1-14
Các nguyên tắc nền tảng của Các nguyên tắc nền tảng của
an toàn thông tin an toàn thông tin
Tính bí mật (Confidentiality): Tính toàn vẹn (Integrity):
• Là nguyên tắc đảm bảo kiểm soát truy cập thông tin, bảo vệ • Là sự đảm bảo dữ liệu là đáng tin cậy và chính xác.
dữ liệu/thông tin không bị lộ ra ngoài một cách trái phép. • Thông tin chỉ được phép xóa hoặc sửa bởi những đ�i
• Thông tin chỉ được phép truy cập bởi những đ�i tượng tượng được phép v� ph�i đ�m b�o rằng thông tin vẫn
(người, chương trình máy tính…) được cấp phép. còn chính xác khi được lưu trữ hay truyền đi.
• Ví dụ: • Ví dụ:
• Trong hệ thống quản lý sinh viên, một sinh viên được phép xem • Trong hệ thống quản lý sinh vi n, không cho phép sinh vi n được
thông tin kết quả học tập của mình nhưng không được phép xem phép tự thay đổi thông tin kết quả học tập của mình.
kết quả học tập của sinh viên khác. • Trong hệ thống ngân hàng, không cho phép khách hàng tự thay
• Trong hệ thống ngân hàng, một khách hàng được phép xem thông đối thông tin số dư của tài khoản của mình.
tin số dư tài khoản của mình nhưng không được phép xem thông tin
của khách hàng khác
Tính toàn vẹn (Integrity): Tính sẵn sàng (Availability):
• Có ba mục đích chính của việc đảm bảo tính toàn vẹn: • Là sự đảm bảo liên tục và mức độ đáp ứng kịp thời của hệ
• Ngăn cản sự làm biến dạng nội dung thông tin của thống khi có yêu cầu truy cập dữ liệu hoặc thao tác từ người
những người sử dụng không được phép. dùng.
• Ngăn cản sự làm biến dạng nội dung thông tin không • Đ�m b�o thông tin/dịch vụ luôn sẵn sàng khi những
được phép hoặc không chủ tâm của những người sử người dùng hoặc ứng dụng được �y quyền yêu cầu
dụng được phép. • Ví dụ:
• Duy trì sự toàn vẹn dữ liệu cả trong nội bộ và bên • Trong hệ thống quản lý sinh viên, cần đảm bảo rằng sinh viên có thể
ngoài. truy vấn thông tin kết quả học tập của mình bất cứ lúc nào.
• Một server chỉ bị ngưng hoạt động hay ngừng cung cấp dịch vụ trong
vòng 5 phút trên một năm thì độ sẵn sàng của nó là 99,999%.
• Tính chống thoái thác (Non-repudiation): Khả Tính xác thực (Authenticity):
năng ngăn chặn việc từ chối một hành vi đã làm. • Việc xác thực nguồn gốc của thông tin trong hệ
• Ví dụ: Trong hệ thống quản lý sinh viên, có khả năng thống (thuộc sở hữu của đối tượng nào) để đảm
cung cấp bằng chứng để chứng minh một hành vi sinh bảo thông tin đến từ một nguồn đáng tin cậy
viên đã làm, như đăng ký học phần, hủy học phần.
• Ví dụ: Trong hệ thống ngân hàng, có khả năng cung cấp
bằng chứng để chứng minh một hành vi khách hàng đã
thực hiện và người thực hiện đó có hợp pháp không, như
giao dịch thanh toán, giao dịch chuyển khoản....
Mối tương quan giữa Confidentiality - Mối tương quan giữa Confidentiality - Integrity –
Availability
Integrity – Availability
• Bộ ba C, I, A này là những ti u chí quan trọng trong quá
trình phân tích, dự trù kinh phí, thời gian xây dựng hệ thống
đảm bảo an toàn thông tin. Các ti u chí này có mối tương
X$ = C + I + A quan như sau:
X$=C+I+A
• X$ là kinh phí cho việc xây dựng và phát triển hệ thống cà C,
I, A là thuộc tính của tam giác. Thêo toán học, với mỗi X$
không đổi, việc tăng chỉ số C sẽ làm giảm I và A và ngược lại.
• Cơ sở hạ tầng mạng: Cơ sở hạ tầng không đồng bộ, • Công nghệ: Chưa chuẩn hóa cho các loại công nghệ, mô
không đảm bảo y u cầu thông tin được truyền trong hệ hình kiến trúc tham chiếu nhằm đảm bảo cho tính tương
thống an toàn và thông suốt. hợp, tính sử dụng lại được, tính mở, an ninh, mở rộng
• Thông tin: Dữ liệu chưa được mô hình hóa và chuẩn hóa thêo phạm vi, tính ri ng tư vào trong HTTT.
thêo ti u chuẩn về mặt tổ chức và mặt kỹ thuật. Yếu tố • Con người: Sự hiểu biết của những người trực tiếp quản
pháp lý chưa được trú trọng trong truyền đưa các dữ lý, vận hành các HTTT, xây dựng và phát triển hệ thống
liệu tr n mạng, nghĩa là các dữ liệu được truyền đi tr n phần mềm, hệ thống thông tin còn chưa đồng đều và
mạng phải đảm bảo tính hợp pháp về mặt tổ chức và mặt chưa thêo quy chuẩn của các cơ quan tổ chức đó.
kỹ thuật.
23 An toàn thông tin 24 An toàn thông tin

• Các biện pháp công nghệ (Technology): Bao
Quy trình, quản lý:
hàm tất cả các biện pháp phần cứng, các phần
• Chưa chuẩn hóa qui trình nghiệp vụ trong vận hành HTTT.
mềm, phần sụn cũng như các kỹ thuật công nghệ
• Chưa chuẩn hóa các thủ tục hành chính, các qui định pháp
li n quan được áp dụng nhằm đảm các y u cầu an
lý trong việc đảm bảo ATTT.
toàn của thông tin trong các trạng thái của nó.
• Tổ chức quản lý thay đổi hệ thống, ứng dụng chưa đúng
cách, chưa chuẩn hóa và có chế tài mang tính bắt buộc thực
hiện.
• Như vậy để đảm bảo ATTT thì các cơ quan tổ chức phải làm
tốt và hạn chế tối đa 5 yếu tố tr n.
• Các biện pháp về chính sách v� tổ chức (Policy Các biện pháp về đ�o tạo, tập huấn, nâng cao
& Practices): Đưa ra các chính sách, quy định, nhận thức (Education, training & Awarenness):
phương thức thực thi. • Các biện pháp công nghệ hay các biện pháp về tổ chức
• Thực tế cho thấy, ATTT không chỉ đơn thuần là thích hợp phải dựa tr n các biện pháp đào tạo, tập huấn và
tăng cường nhận thức để có thể triển khai đảm bảo an toàn
vấn đề thuộc phạm trù công nghệ, kỹ thuật. Hệ
thông tin từ nhiều hướng khác nhau.
thống chính sách và kiến trúc tổ chức đóng một vai
• Các nhà nghi n cứu và các kỹ sư cũng cần phải hiểu rõ các
trò hữu hiệu trong việc đảm bảo an toàn thông tin. nguy n lý an toàn hệ thống thông tin, thì mới mong các sản
phẩm và hệ thống do họ làm ra đáp ứng được các nhu cầu
về an toàn thông tin của cuộc sống hiện tại đặt ra.

Biện pháp hợp tác quốc tế
• Hợp tác với các quốc gia có kinh nghiệm, kế thừa
những thành tựu khoa học của các quốc gia đi
trước trong vấn đề đảm bảo ATTT.
• Xây dựng các quy chế phối hợp với các cơ quan tổ
chức quốc tế trong ứng phó các sự cố về ATTT.
Mô hình tổng quát về an toàn thông tin

• Phần cứng
• Mạng
• Cơ sở dữ liệu (CSDL)
• Hệ quản trị CSDL (database management
system - DMBS), các ứng dụng
• Người dùng
• Người lập trình hệ thống
• Người quản trị CSDL
An toàn thông tin đối với một tổ chức
ATTT thực hiện 4 chức năng quan trọng cho một tổ chức
• Bảo vệ được các chức năng nhiệm vụ của một tổ chức
• Hoạt động của tổ chức không gián đoạn
• Không mất chi phí để phục hồi hoạt động của tổ chức
• Có được các hoạt động an toàn tr n các ứng dụng của tổ chức
• Hoạt động của tổ chức hiện đại cần có và vận hành các ứng dụng tích hợp
• Bảo vệ được dữ liệu mà tổ chức đã thu thập và sử dụng
• Không có dữ liệu, tổ chưc sẽ mất các hồ sơ giao dịch hoặc khả năng cung
cấp dịch vụ cho khách hàng
• Bảo vệ được tài sản công nghệ của tổ chưc
• Để thực hiện hiệu quả, các tổ chức phải sử dụng các dịch vụ cơ sở hạ tầng
an toàn phù hợp với quy mô và phạm vi của tổ chức. Khi một tổ chức phát
Trần Thị Kim Chi 1-35 triển, nó phải phát triển các dịch vụ
Trần Thị Kim bảo
Chi mật bổ sung. 1-36
Tầm quan trọng an toàn thông tin đối với
xã hội/doanh nghiệp/cá nhân
• Quản lý và bảo mật thông tin nhân sự trong tổ chức • Tin tặc có thể đêm những thông tin như họ t n, địa chỉ nơi ở,
cần được ưu ti n hàng đầu. Nguồn nhân lực chính êmail, số điện thoại… bán lại cho các doanh nghiệp khác sử
dụng với mục đích tiếp thị.
là tài sản quý giá đối với mọi doanh nghiệp. Thông
• Cá nhân bị lộ thông tin có thể nhận hàng tá cuộc gọi, êmail,
tin của nhân vi n về chức vụ phòng ban, lương
tin nhắn quảng cáo mỗi ngày, gây ra nhiều phiền nhiễu
thưởng, nhiệm vụ đảm nhận,… có li n quan mật trong cuộc sống. Thậm chí, kẻ gian có thể lợi dụng những dữ
thiết đến các chiến lược của một doanh nghiệp. liệu thu thập được để lừa đảo.
• Do đó, việc để lọt những thông tin cá nhân của nhân • Các thông tin li n quan đến tài khoản ngân hàng bị rò rỉ có
vi n và dữ liệu li n quan đến quản lý nhân sự cho thể gây thất thoát tài sản của cá nhân của nhân vi n nếu
đối tượng b n ngoài biết được sẽ là một bất lợi vô không có biện pháp xử lý kịp thời. B n cạnh đó, việc thông
tin cá nhân bị tiết lộ cũng gây ra hoang mang, lo lắng khiến
cùng lớn.
nhân vi n mất niềm tin vào doanh nghiệp.
• Nếu thông tin của nhân vi n rơi vào tay của đối thủ, doanh nghiệp • L n kế hoạch đồng bộ hóa và sao lưu dữ liệu một cách
sẽ đứng trước nguy cơ khủng hoảng nội bộ nghi m trọng. thường xuy n với nền tảng lưu trữ uy tín, nhất là sau khi có
• Những thông tin quan trọng như chức vụ của nhân vi n, các nhiệm sự thay đổi và cập nhật mới nhân sự. Luôn có kịch bản ứng
vụ đã và đang đảm nhận và chế độ lương thưởng,… có thể bị các phó kịp thời khi sự cố xảy ra, tránh mất dữ liệu.
nhà tuyển dụng b n ngoài lợi dụng để chèo kéo nhân vi n với vị trí
tốt hơn, mức lương cao và phúc lợi tốt hơn.
• Thiết lập một hệ thống mạng nội bộ an toàn bằng cách sử
dụng chương trình, phần mềm hỗ trợ tính năng bảo mật cao.
• Doanh nghiệp có thể bị mất đi những nhân vi n chủ lực, tài giỏi.
Đánh mất nhân sự vào tay đối thủ sẽ gây ra sự xáo trộn trong bộ
Nếu được, doanh nghiệp n n có chuy n vi n có kiến thức về
máy tổ chức, ảnh hưởng rất lớn đến các hoạt động và hiệu quả kinh an ninh, bảo mật dữ liệu của doanh nghiệp chịu trách nhiệm
doanh. về giám sát việc thực hiện các biện pháp an ninh, các quy
• Nếu đối thủ nắm trong tay những thông tin về sơ đồ tổ chức thì sẽ trình đảm bảo an toàn dữ liệu.
dễ dàng nắm được quy trình vận hành cũng như những ý định
chiến lược của doanh nghiệp. Từ đó có những hành động gây bất
lợi đến công ty. Trần Thị Kim Chi 1-39 Trần Thị Kim Chi 1-40
• Bảo mật hệ thống thiết bị làm việc bằng cách: Sử dụng phần
mềm mã hóa dữ liệu; Cài đặt Phần mềm Anti-Virus có bản 1. Covid-19 làm gia tăng các sự cố tấn công mạng
quyền và bật đầy đủ tính năng; Luôn cập nhật những phi n bản 2. Tấn công giao dịch ngân hàng gây thiệt hại hàng
hệ điều hành mới nhất.
trăm tỷ đồng
• Xây dựng chính sách bảo mật rõ ràng thêo từng cấp bậc, chức
vụ. 3. Tấn công chuỗi cung ứng trở thành xu hướng mới
• Phân quyền truy cập vào hệ thống dữ liệu: Chỉ Ban lãnh đạo và của tấn công mạng
phòng ban có li n quan mới xêm và thao tác với các dữ liệu li n 4. Năm 2021, an ninh mạng toàn cầu diễn biến phức
quan đến thông tin về nhân sự. tạp thêo đại dịch
• Nâng cao nhận thức của nhân vi n về bảo mật thông tin cá Những nguy cơ mất an toàn thông tin và giải pháp (updatê
nhân cũng như của doanh nghiệp. Có những tài liệu hướng dẫn 2021) (sêcuritybox.vn)
về kỹ thuật cũng như lưu ý, hỗ trợ nhân vi n của mình trong
việc bảo vệ thông dữ liệu. Trần Thị Kim Chi 1-41 Trần Thị Kim Chi 1-42
1. Nhận thức an ninh mạng chưa tốt Một số giải pháp (trình bày trong môn
này)
2. Không phân quyền rõ ràng • Chính sách ATTT
3. Lỗ hổng bảo mật tồn tại tr n các phần mềm • Kiểm soát truy cập
• Mật mã học
4. Lỗ hổng bảo mật trong chính hệ thống
• Duy trì an toàn thông tin
• Tuân thủ các quy định
Những nguy cơ mất an toàn thông tin và giải pháp (updatê pháp luật
2021) (sêcuritybox.vn)
CÂU HỎI VÀ BÀI TẬP CÂU HỎI VÀ BÀI TẬP
1. Phân biệt dữ liệu (data) và thông tin (information), cho ví Bài tập 1:
dụ từng loại • Liệt kê những thông tin cá nhân nào của bạn cần an toàn, nêu lý do
2. Hệ thống thông tin là gì? Hãy cho ví dụ một hệ thống tại sao (nếu mất an toàn thì hậu quả như thế nào)
thông tin mà bạn biết. Đưa ra dữ liệu/thông tin/chức • Hãy đưa ra những biện pháp an toàn thông tin cho từng thông tin
cá nhân đã liệt kê ở trên
năng nào cần đảm bảo an toàn, nêu lý do
Bài tập 2:
3. Tam giác CIA là gì? Nêu mối tương quan giữa C, I, A
• Đưa ra một doanh nghiệp mà bạn biết (nêu tên, lĩnh vực hoạt động)
4. Trình bày tính xác thực và tính chống thoái thác? Cho ví • Nêu ra một HTTT của DN và mục tiêu của HTTT đó
dụ? • Liệt kê ra những thông tin/dữ liệu của doanh nghiệp đó cần an
5. Trình bày và phân tích các giải pháp bảo đảm ATTT? toàn, nêu lý do tại sao (nếu mất an toàn thì hậu quả như thế nào –
phân tích hậu quả)
6. Trình bày tổng quan về thực trạng ATTT trên thế giới và
tại Việt Nam?
CÂU HỎI VÀ BÀI TẬP (tiếp) CÂU HỎI VÀ BÀI TẬP (tiếp)
• Công ty VCCloud là một trong nhiều công ty viễn thông, cung cấp các • BẢO HIỂM MANULIFE Là thành vi n của Manulifê Financial, Manulifê
dịch vụ CDN cho các cá nhân và doanh nghiệp tại Việt Nam. Dịch vụ Việt Nam tự hào là doanh nghiệp bảo hiểm nhân thọ nước ngoài đầu
CDN là mạng lưới gồm nhiều máy chủ lưu trữ đặt tại nhiều vị trí địa lý ti n có mặt tại Việt Nam từ năm 1999 và sở hữu tòa nhà trụ sở ri ng có
khác nhau, cùng làm việc chung để phân phối nội dung, truyền tải hình với giá trị đầu tư hơn 10 triệu USD. Với bề dày kinh nghiệm và uy tín
ảnh, CSS, Javascript, Vidêo clip, Rêal-timê mêdia strêaming, Filê toàn cầu, Manulifê đặt mục ti u trở thành công ty bảo hiểm nhân thọ
download đến người dùng cuối. Cơ chế hoạt động của CDN giúp cho chuy n nghiệp nhất tại Việt Nam.
khách hàng truy cập nhanh vào dữ liệu máy chủ wêb gần họ nhất thay Manulifê Việt Nam hiện đang cung cấp một danh mục các sản phẩm đa
vì phải truy cập vào dữ liệu máy chủ wêb tại trung tâm dữ liệu. dạng từ sản phẩm bảo hiểm truyền thống đến sản phẩm bảo hiểm sức
• Hãy n u và giải thích ít nhất 4 tính cần thiết của an toàn HTTT đối với khoẻ, giáo dục, li n kết đầu tư, hưu trí… cho hơn 700.000 khách hàng
công ty/doanh nghiệp được mô tả ở tr n thông qua đội ngũ đại lý hùng hậu và chuy n nghiệp tại 55 văn phòng
tr n 40 tỉnh thành cả nước.
• Hãy n u và giải thích ít nhất 4 tính cần thiết của an toàn HTTT đối với
công ty/doanh nghiệp được mô tả ở tr n

1
(THREATS TO INFORMATION SECURITY)
GV: Trần Thị Kim Chi
1. Các khái niệm cơ bản Lổ hỏng – Mối đe dọa – Rủi ro

2. Các mối đe dọa
3. Tấn công và các loại tấn công
4. Mã độc và các phòng chống mã độc
5. CÂU HỎI VÀ BÀI TẬP
Cách phát hiện mã độc #Malware #Virus đào #Bitcoin
và hướng khắc phục. - Bing video
Các hình thức tấn công mạng phổ biến hiện nay và cách
phòng tránh - ODS
▪ Mối đe dọa đề cập đến một sự cố mới được phát hiện có khả năng gây
hại cho một hệ thống hoặc tổ chức nào đó. Biện pháp phòng tránh
• Là một thuật ngữ, mô tả nơi mà mối đe dọa bắt nguồn và con đường cần để ▪ Thông báo về các xu hướng hiện tại trong an ninh mạng để họ có
đạt được mục tiêu thể nhanh chóng xác định các mối đe dọa mới.
• Ví dụ một e-mail lạ có tiêu đề hấp dẫn và có chứa mã độc trong tập tin đính ▪ Thực hiện đánh giá mối đe dọa thường xuyên để xác định các
kèm phương pháp tốt nhất để bảo vệ hệ thống chống lại một mối đe dọa
▪ Có ba loại mối đe dọa chính:
cụ thể, cùng với việc đánh giá các loại mối đe dọa khác nhau.
▪ Các mối đe dọa tự nhiên (ví dụ: lũ lụt hoặc lốc xoáy),
▪ Ngoài ra, kiểm tra các mối đe dọa trong thế giới thực để khám phá
▪ Các mối đe dọa không chủ ý (chẳng hạn như một nhân viên truy cập sai
các lỗ hổng bảo mật.
thông tin sai)
▪ Các mối đe dọa có chủ ý. (Ví dụ: phần mềm gián điệp, phần mềm độc hại,
công ty phần mềm quảng cáo hoặc hành động phá hoại của con người,
virus…)
Một số câu hỏi để xác định các lỗ hổng bảo mật của bạn:
• Là một số lỗ hổng hoặc điểm yếu trong phần cứng, phần • Dữ liệu của bạn có được sao lưu và lưu trữ ở một địa điểm an toàn
mềm, con người, các quy trình, thiết kế, cấu hình…tất cả bên ngoài trang web không?
mọi thứ liên quan đến hệ thống thông tin – HTTT) mà kẻ • Dữ liệu của bạn có được lưu trữ trên đám mây không? Nếu có, làm
thế nào chính xác là nó được bảo vệ khỏi các lỗ hổng trên đám mây?
tấn công có thể sử dụng nó để gây thiệt hại cho tổ chức.
• Bạn có loại bảo mật mạng nào để xác định ai có thể truy cập, sửa đổi
• Ví dụ, khi một thành viên trong công ty từ chức và bạn
hoặc xóa thông tin từ bên trong tổ chức của bạn?
quên vô hiệu hóa quyền truy cập của họ, điều này khiến • Loại bảo vệ chống virus nào đang được sử dụng? Giấy phép có hiện
doanh nghiệp của bạn bị cả hai mối đe dọa cố ý và hành không? Nó có chạy thường xuyên khi cần thiết không?
không chủ ý. • Bạn có kế hoạch khôi phục dữ liệu trong trường hợp lỗ hổng bị khai
thác không?
Trần Thị Kim Chi 1-6 1-7

• Rủi ro đề cập đến khả năng mất mát hoặc thiệt hại khi một Biện pháp giảm rủi ro: tạo và triển khai một kế hoạch quản lý rủi ro.
• Đánh giá rủi ro và xác định nhu cầu→phải được thực hiện thường
mối đe dọa khai thác lỗ hổng bảo mật.
xuyên, định kỳ.
• Ví dụ về rủi ro bao gồm tổn thất về tài chính do gián đoạn
• Bao gồm quan điểm của các bên liên quan (doanh nghiệp, nhân viên,
kinh doanh, mất quyền riêng tư, thiệt hại có uy tín, các tác khách hàng, các nhà cung cấp).
động pháp lý và thậm chí có thể bao gồm mất mạng. • Chỉ định một nhóm nhân viên trung tâm chịu trách nhiệm quản lý rủi ro
và xác định mức tài trợ thích hợp cho hoạt động này.
RISK = Threat + Vulnerability • Thực hiện các chính sách thích hợp và kiểm soát các bên liên
quan→đảm bảo người dùng được thông báo về tất cả các thay đổi.
• Giám sát và đánh giá hiệu quả chính sách và kiểm soát.
1-8 1-9
Các m�i đe do� đ�i v i m�t h� th�ng v�

các bi�n pháp ngăn ch�n
• C� 3 h�nh th c ch y u đe d a đ i v i h th ng:
✓ Phá hoạ i: kẻ thu phá hỏ ng thiet bị phan cứng hoạ c phan
mem hoạ t đọ ng tren hẹ thong.
✓ Sửa đoi: Tai sả n củ a hẹ thong bị sửa đoi trá i phé p. Đieu
nay thương lam cho hẹ thong khong lam đú ng chức nang
củ a nó . Chang hạ n như thay đoi mạ t khau, quyen ngƣơi
dung trong hẹ thong lam họ khong the truy cạ p vao hẹ
thong đe lam viẹ c.
✓ Can thiẹ p: Tai sả n bị truy cạ p bởi nhưng ngươi khong có
tham quyen. Cá c truyen thong thực hiẹ n tren hẹ thong bị
ngan chạ n, sửa đoi.
1-10
Các m�i đe do� đ�i v i m�t h� th�ng v�
các bi�n pháp ngăn ch�n Các m�i đe dọa thường g�p
• C�c đe d a đ i v i m t hệ th ng thông tin c� thể đ n từ
ba lo�i đ i tư ng như sau:
1) Lỗi và thiếu sót của người dùng (Errors and
✓ C�c đ i tư ng từ ngay bên trong hệ th ng (insider): Omissions)
đây la những ngươi có quyen truy cạ p hợp phá p đoi với 2) Gian lận và đánh cắp thông tin (Fraud and
hệ thong. Theft)
✓ Những đ i tư ng bên ngo�i hệ th ng (hacker,
cracker): thương cá c đoi tượng nay tan công qua 3) Kẻ tấn công nguy hiểm (Malicious Hackers)
những đương ket noi với hệ thong như Internet chang 4) Mã độc (Malicious Code)
hạ n.
✓ C�c ph�n mềm (chang hạ n như spyware, adware …) 5) Tấn công từ chối dịch vụ (Denial-of-Service
chạ y trên hệ thong. Attacks)
6) Social Engineering
Các m�i đe dọa thường g�p Các m�i đe dọa thường g�p
1. Lỗi thi u s�t do người dùng 2. Gian lận và đ�nh cắp thông tin
• Mối đe dọa của hệ thống thông tin xuất phát từ • Mối đe dọa này do những kẻ tấn công từ bên trong
những lỗi bảo mật, lỗi thao tác của những người hệ thống (inner attackers), gồm những người dùng
dùng trong hệ thống. giả mạo hoặc những người dùng có ý đồ xấu.
• Là mối đe dọa hàng đầu đối với một hệ thống thông • Những người tấn công từ bên trong luôn rất nguy
tin hiểm.
• Giải pháp: • Giải pháp:
• Huấn luyện người dùng thực hiện đúng các thao tác, hạn • Định ra những chính sách bảo mật tốt: có chứng cứ xác
chế sai sót định được kẻ tấn công từ bên trong
• Nguyên tắc: quyền tối thiểu (least privilege)
• Thường xuyên back-up hệ thống
3. Kẻ tấn công nguy hiểm 4. Mã ĐỘC
• Kẻ tấn công nguy hiểm xâm nhập vào hệ thống để • Mã độc là một đoạn mã không mong muốn được
tìm kiếm thông tin, phá hủy dữ liệu, phá hủy hệ nhúng trong một chương trình nhằm thực hiện các
thống. truy cập trái phép vào hệ thống máy tính để thu thập
• 5 bước để tấn công vào một hệ thống: các thông tin nhạy cảm, làm gián đoạn hoạt động
• Thăm dò (Reconnaisance) hoặc gây hại cho hệ thống máy tính.
• Quét lỗ hổng để tấn công (Scanning) • Bao gồm: virus, worm, trojan horses, spyware,
• Cố gắng lấy quyền truy cập (Gaining access) adware, backdoor, …
• Duy trì kết nối (Maintaining access)
• Xóa dấu vết (Cover his track)
5. Tấn công từ ch i dịch vụ 6. Social Engineering
• Là kiểu tấn công ngăn không cho những người • Social engineering sử dụng sự ảnh hưởng và sự
dùng khác truy cập vào hệ thống thuyết phục để đánh lừa người dùng nhằm khai
• Làm cho hệ thống bị quá tải và không thể hoạt thác các thông tin có lợi cho cuộc tấn công hoặc
động thuyết phục nạn nhân thực hiện một hành động
• DoS: tấn công “one-to-one” nào đó.
• DDoS(distributed denial of service)
• Sử dụng các Zombie host
• Tấn công “many-to-one”
C� hai lo�i Social Engineering Có hai lo�i Social Engineering
• Social engineering dựa trên con người liên quan đến • Social engineering dựa trên m�y tính: liên quan đến
sự tương tác giữa con người với con người để thu được việc sử dụng các phần mềm để cố gắng thu thập thông tin
thông tin mong muốn cần thiết
• Nhân viên gián điệp/giả mạo • Phising: lừa đảo qua thư điện tử
• Giả làm người cần được giúp đỡ • Vishing: lừa đảo qua điện thoại
• Giả làm người quan trọng • Pop-up Windows
• Giả làm người được ủy quyền • File đính kèm trong email
• Giả làm nhân viên hỗ trợ kỹ thuật • Các website giả mạo
• Các phần mềm giả mạo
• Định nghĩa chung: Tấn công (attack) là hoạt động • Tin tặc (Hacker): Là một người hay nhóm người
có chủ ý của kẻ phạm tội lợi dụng các thương tổn sử dụng sự hiểu biết của mình về cấu trúc máy
của hệ thong thông tin và tiến hành phá vỡ tính tính, hệ điều hành, mạng, các ứng dụng trong hệ
sẵn sàng, tính toàn vẹn và tính bí mật của hệ thong thống... để tìm lỗi, lỗ hỗng, điểm yếu và tìm cách
thông tin. xâm nhập, thay đổi hay ch nh sửa với các mục đích
• Tấn công HTTT là các tác động hoặc là trình tự liên khác nhau (tốt hoặc xấu)
kết giữa các tác động với nhau để phá huỷ, dẫn đến
việc hiện thực hoá các nguy cơ bằng cách lợi dụng
đặc tính dễ bị tổn thương của các hệ thống thông
tin này.
• Hacker mũ trắng la nhưng ngươi ma hanh đọ ng
tan cong, xam nhạ p va thay đoi, chỉ̉nh sửa hẹ thong
phan cứng, phan mem với mụ c đỉ́ch tỉm ra cá c loi,
lo hong, điem yeu bả o mạ t va đưa ra giả i phá p
ngăn chặn và bảo vệ hệ thống chẳng hạn như
những nhà phân tích An ninh mạng.
• Hacker mũ đen la nhưng ngươi ma hanh đọ ng tan
cong, xam nhạ p, thay đoi, chỉ̉ nh sửa hẹ thong phan
cứng, phan mem với mụ c đỉ́ch phá hoại, hoặc vi
phạm pháp luật
• Tấn công ngăn chặn thông tin (interruption) • Tấn công sửa đổi thông tin (Modification)
• Tài nguyên thông tin bị phá hủy, không sẵn sàng phục • Kẻ tấn công truy nhập, ch nh sửa thông tin trên mạng.
vụ hoặc không sử dụng được. Đây là hình thức tấn công • Đây là hình thức tấn công vào tính toàn vẹn của thông tin.
làm mất khả năng sẵn sàng phục vụ của thông tin. • Chèn thông tin giả m�o (Fabrication)
• Kẻ tấn công chèn các thông tin và dữ liệu giả vào hệ thống.
• Tấn công chặn bắt thông tin (interception)
• Đây là hình thức tấn công vào tính xác thực của thông tin.
• Kẻ tấn công có thể truy nhập tới tài nguyên thông tin.
Đây là hình thức tấn công vào tính bí mật của thông tin.

• Mục đích của kẻ tấn công là biết được thông tin
truyền trên mạng.
• Có hai kiểu tấn công bị động là khai th�c n i dung
thông đi p và phân tích dòng dữ li u.
• Tấn công bị động rất khó bị phát hiện vì nó không
làm thay đổi dữ liệu và không để lại dấu vết rõ
ràng. Biện pháp hữu hiệu để chống lại kiểu tấn
công này là ngăn chặn (đối với kiểu tấn công này,
ngăn chặn tốt hơn là phát hiện).
• Tấn công chủ động được chia thành 4 loại sau:

1) Tấn công thăm dò.
❑Giả m�o (Masquerade): Một thực thể (người dùng,
máy tính, chương trình…) đóng giả thực thể khác. 2) Tấn công password
❑Dùng l�i (replay): Chặn bắt các thông điệp và sau đó 3) Tấn công sử dụng mã độc.
truyền lại nó nhằm đạt được mục đích bất hợp pháp.
4) Tấn công xâm nhập.
❑Sửa thông đi p (Modification of messages): Thông
điệp bị sửa đổi hoặc bị làm trễ và thay đổi trật tự để 5) Tấn công từ chối dịch vụ.
đạt được mục đích bất hợp pháp.
6) Tấn công sử dụng kỹ nghệ xã hội
❑Từ ch i dịch vụ (Denial of Service - DoS): Ngăn cấm
việc sử dụng bình thường hoặc làm cho truyền thông
ngừng hoạt động.
Tấn công Password
• Thăm dò là việc thu thập thông tin trái phép về tài • Password là gì?
nguyên, các lỗ hổng hoặc dịch vụ của hệ thống.
• Có 3 dạng tấn công Password phổ biến:
• Tấn công thăm dò thường bao gồm các hình thức:
• Sniffing (Nghe lén) • Brute Force Attack (tấn công vét cạn mật khẩu)
• Ping Sweep: Chủ yếu hoạt động trên các mạng sử dụng • Dictionary Attack (tấn công từ điển)
thiết bị chuyển mạch (switch). • Key Logger Attack (tấn công Key Logger)
• Ports Scanning: là một quá trình kết nối các cổng (TCP
và UDP) trên một hệ thống mục tiêu nhằm xác định xem
dịch vụ nào đang “chạy” hoặc đang trong trạng thái
“nghe”. Xác định các cổng nghe là một công việc rất
quan trọng nhằm xác định được loại hình hệ thống và
những ứng dụng đang được sử dụng. An toàn thông tin
Tấn công Password Tấn công Password
• Brute Force Attack (tấn công dò mật khẩu) • Dictionary Attack (tấn công từ điển)
• Kẻ tấn công sử dụng một công cụ mạnh mẽ, có khả • Là một biến thể của Brute Force Attack
năng thử nhiều username và password cùng lúc • Tuy nhiên kẻ tấn công nhắm vào các từ có nghĩa
(từ dễ đến khó) cho tới khi đăng nhập thành công. thay vì thử tất cả mọi khả năng.
• VD: đặt mật khẩu đơn giản như 123456, • Nhiều người dùng có xu hướng đặt mật khẩu là
password123, daylamatkhau,… rất dễ bị tấn công những từ đơn giản và có ngữ nghĩa. VD:
brute force. motconvit, iloveyou,… Đây là lý do khiến
Dictionary Attack có t lệ thành công cao hơn.
• Key Logger Attack (tấn công Key Logger) • Ngoài ra, kẻ tấn công có thể tấn công gián
• Kẻ tấn công lưu lại lịch sử các phím mà nạn nhân gõ, bao tiếp thông qua việc:
gồm cả ID, password hay nhiều nội dung khác.
• Kẻ tấn công cần phải sử dụng một phần mềm độc hại
• Lừa đảo người dùng tự cung cấp mật khẩu (Tấn
(malware) đính kèm vào máy tính (hoặc điện thoại) nạn công giả mạo Phishing);
nhân, phần mềm đó sẽ ghi lại tất cả những ký tự mà nạn • Tiêm nhiễm Malware
nhân nhập vào máy tính và gửi về cho kẻ tấn công. Phần
mềm này được gọi là Key Logger.
• Tấn công vào cơ sở dữ liệu – kho lưu trữ mật
khẩu người dùng của các dịch vụ…
• Nguy hiểm hơn 2 cách tấn công trên, do việc đặt mật khẩu
phức tạp không giúp ích gì trong trường hợp này.

Cách phòng ch ng
C�ch phòng ch ng
• Quản lý mật khẩu tập trung:
• Đặt mật khẩu ph c t�p
• Tuy đơn giản nhưng biện pháp này giúp người dùng phòng • Việc lưu tất cả mật khẩu trên một thiết bị là con dao hai
tránh được hầu hết các cuộc tấn công dò mật khẩu thông lưỡi. Người dùng cân nhắc khi thực hiện.
thường. • Thay đổi mật khẩu định kì:
• Một mật khẩu mạnh thường bao gồm: chữ IN HOA, chữ thường,
số, ký tự đặc biệt (ví dụ @$*%&#)
• Gây khó khăn cho quá trình hack mật khẩu của tin tặc.
• Bật x�c thực 2 bư c: • Thận tr ng khi duy t web:
• Hầu hết dịch vụ cho phép người dùng bật xác thực 2 bước khi • Tin tặc có thể hack mật khẩu của bạn bằng cách tạo ra
đăng nhập trên thiết bị mới. Điều này khiến hacker có hack một đường link giả mạo. Link giả thường gần giống trang
được mật khẩu cũng không thể đăng nhập được. web chính vì thế, luôn thận trọng với các đường link
• Hiện tại Facebook, Gmail, các ngân hàng, ví điện tử… đều có trước khi đưa thông tin cá nhân
tính năng này.
Bị hack mật khẩu phải l�m sao?
Cách phòng ch ng • Ngay lập t c kh�a dịch vụ đang sử dụng:
• Cẩn tr ng khi mở email, tải file: • Liên hệ trực tiếp với các nhà cung cấp dịch vụ (ngân hàng,
facebook, gmail…) để yêu cầu tạm ngưng dịch vụ cho tài khoản của
• Tuyệt đối không mở file lạ, và luôn kiểm tra địa bạn.
ch email người gửi xem có chính xác không. • Ngắt k t n i v i c�c dịch vụ kh�c (n u c�):
• VD: tên người gửi là Ngọc Luân JSC nhưng địa ch • Nếu bạn bị mất tài khoản Gmail, cần ngắt kết nối với tài khoản
facebook, tài khoản ngân hàng bằng cách thông báo cho nhân viên
email là ngoclunajsc thì chắc chắn có dấu hiệu lừa hỗ trợ.
đảo. • X�c nhận danh tính để lấy l�i mật khẩu:
• Bạn ch cần chọn “Forget Password” hoặc “Quên mật khẩu” rồi tiến
hành nhập thông tin cần thiết để lấy lại mật khẩu. Mỗi dịch vụ khác
nhau yêu cầu xác minh thông tin khác nhau, thông thường chính là
thông tin bạn sử dụng để đăng ký tài khoản
Tấn công bằng Backdoor Tấn công bằng Backdoor

• Backdoor (cửa hậu) • C�ch ph�t hi n tấn công Backdoor
• Backdoor trong phần mềm hay hệ thống máy tính • Rất khó phát hiện, tùy thuộc vào hệ hiều hành
thường là một cổng không được thông báo rộng rãi.
• Cho phép người quản trị xâm nhập hệ thống để tìm
• Dụng phần mềm antimalware quét và kiểm tra
nguyên nhân gây lỗi hoặc bảo dưỡng (do nhà phát triển backdoor
tạo ra). • Một số trường hợp khác đòi hỏi phải sử dụng
• Hacker và gián điệp dùng backdoor để truy cập bất hợp các công cụ chuyên dụng, hoặc các công cụ giám
pháp vào hệ thống (cài đặt thông qua một số mã độc). sát giao thức để kiểm tra gói mạng mới có thể
phát hiện được backdoor
Tấn công bằng Backdoor
• C�ch phòng ch ng • Là hình thức tấn công khá phổ biến hiện nay,
• Tuân thủ đúng các phương pháp bảo mật nó khiến cho máy tính mục tiêu không thể xử lý
• Ch cài đặt các phần mềm tin cậy và đảm bảo đã bật kịp các tác vụ và dẫn đến quá tải.
tường lửa (firewall) trên thiết bị (firewall có thể ngăn
chặn các cuộc tấn công backdoor, hạn chế lưu lượng
• Các cuộc tấn công DOS này thường nhắm vào các
truyền qua các cổng mở) máy chủ ảo (VPS) hay Web Server của các doanh
• Theo dõi lưu lượng mạng để phát hiện và kiểm tra xem nghiệp lớn như ngân hàng, chính phủ hay là các
có sự hiện diện của backdoor hay không trang thương mại điện tử … hoặc hacker cũng có
thể tấn công để “bỏ ghét”.
45 An toàn thông tin
• Tấn công DOS thường ch được tấn công từ một địa Distributed Denial Of Service (DDoS)
điểm duy nhất, tức là nó sẽ xuất phát tại một điểm • Là một dạng tấn công nhằm gây cạn kiện tài nguyên hệ thống
và ch có một dải IP thôi. Bạn có thể phát hiện và máy chủ và làm ngập lưu lượng băng thông Internet, khiến truy
cập từ người dùng tới máy chủ bị ngắt quãng, truy cập chập
ngăn chặn được. chờn, thậm chí không thể truy cập được internet, làm tê liệt hệ
thống hoặc thậm chí là cả một hệ thống mạng nội bộ.
• Tấn công DDOS mạnh hơn DOS rất nhiều, điểm mạnh của hình
thức này đó là nó được phân tán từ nhiều dải IP khác nhau, chính
vì thế người bị tấn công sẽ rất khó phát hiện để ngăn chặn được.
• Hacker không ch sử dụng máy tính của họ để thực hiện một cuộc
tấn công vào một trang web hay một hệ thống mạng nào đó, mà
họ còn lợi dùng hàng triệu máy tính khác để thực hiện việc này.
Tấn công Mail Bombs Tấn công Mail Bombs
• Là một dạng của DoS • Tấn công Mailbomb thường tấn công các máy chủ
• Một số lượng lớn email được gửi đến một tài email.
khoản với mục đích chính là hạ gục tài khoản email • Trong kiểu tấn công này thay vì các gói, các email
mục tiêu (gián đoạn trong quá trình nhận/chuyển quá lớn hoặc email rác được lọc (ngăn chặn) thì lại
và xử lý các thư hợp pháp) liên tục được gửi đến một máy chủ email mục tiêu.
• Điều này thường làm sập máy chủ email do tải đột
ngột và khiến chúng vô dụng cho đến khi được sửa
chữa.
Tấn công Man-in-the-middle Tấn công Man-in-the-middle

Tấn công xen giữa (Man-in-the-middle) C�c lo�i tấn công Man-in-the-middle
• Là một kiểu tấn công mạng, trong đó kẻ tấn công chặn • Email Hijacking (Đánh cắp email)
đường liên lạc giữa 2 bên • Chiếm quyền điều khiển email của các tổ chức ngân
• Mục tiêu là bất kỳ loại giao tiếp trực tuyến nào, như trao hàng hoặc tài chính. Họ có quyền truy cập vào tài khoản
đổi email, phương tiện truyền thông mạng xã hội hoặc cá nhân của nhân viên và khách hàng và theo dõi các
thậm chí các trang web tài chính, các kết nối liên quan đến giao dịch. Khi có cơ hội, họ sử dụng địa ch email của
khóa công khai hoặc khóa riêng và các trang web yêu cầu ngân hàng để gửi hướng dẫn riêng cho khách hàng.
đăng nhập. Bằng cách làm theo các hướng dẫn này, khách hàng vô
• Tin tặc có thể xem dữ liệu riêng tư của bạn (các cuộc hội tình gửi tiền của họ cho những kẻ tấn công thay vì ngân
thoại, thông tin đăng nhập hoặc thông tin tài chính). Họ hàng của họ.
cũng có thể gửi và nhận dữ liệu mà bạn không biết.
Tấn công Man-in-the-middle Tấn công Man-in-the-middle
C�c lo�i tấn công Man-in-the-middle C�c lo�i tấn công Man-in-the-middle
• Wi-Fi Eavesdropping (Nghe lén Wifi ) • Session Hijacking (chi m phiên l�m vi c)
• Kẻ tấn công thiết lập một địa ch Wi-Fi có tên có • Một phiên là khoảng thời gian bạn đã đăng nhập
vẻ hợp pháp. Sau đó, họ chờ người dùng (bạn) và làm việc trong hệ thống (các hệ thống ngân
kết nối với mạng Wi-Fi. Khi bạn kết nối với Wi- hàng, tài chính)
Fi, tin tặc có thể truy cập thiết bị của bạn, theo • Mục tiêu lấy thông tin đăng nhập, thông tin cá
dõi hoạt động của bạn và chặn dữ liệu cá nhân nhân, theo dõi phiên làm việc thông qua các
của bạn. Sau đó dùng các thông tin đó thực hiện cookie của bạn thậm chí thay mặt bạn thực hiện
một tấn công khác. một số giao dịch.
IP Spoofing/DNS
53 Spoofing/HTTPS Spoofing An toàn thông tin
Tấn công Man-in-the-middle Tấn công Sniffing

Bảo v khỏi tấn công MITM • Sniffing là một chương trình lắng nghe trên hệ thống mạng
để truyền dữ liệu. Sniffing cho phép các cá nhân nắm bắt
• Sử dụng kết nối HTTPS dữ liệu khi nó truyền qua mạng.
• Sử dụng HSTS (HTTP Strict Transport Security) • Kỹ thuật này được sử dụng bởi các chuyên gia mạng để
• Luôn luôn cập nhật hệ thống và chương trình của chuẩn đoán các sự cố mạng và bởi những users có ý định
bạn xấu để thu thập dữ liệu không được mã hóa, như password
và username. Nếu thông tin này được ghi lại trong quá
• Cẩn thận với mạng Wi-Fi trình người dùng có thể truy cập vào hệ thống hoặc mạng.
• Sử dụng mạng riêng ảo (VPN) • Khởi đầu Sniffer là tên một sản phầm của Network
Associates có tên là Sniffier Analyzer.

Tấn công Sniffing Tấn công Sniffing
• Đối tượng Sniffing là: • Sniffing thường được sử dụng vào 2 mục đích khác biệt nhau.
• Tích cực:
• Password (từ Email, Web, SMB, FTP, SQL hoặc • Chuyển đổi dữ liệu trên đường truyền để quản trị viên có thể đọc và hiểu ý
Telnet) nghĩa của những dữ liệu đó.
• Bằng cách nhìn vào lưu lượng của hệ thống cho phép quản trị viên có thể phân
• Các thông tin về thẻ tín dụng tích lỗi đang mắc phải trên hệ thống lưu lượng của mạng.
• Một số Sniffing tân tiến có thêm tính năng tự động phát hiện và cảnh báo các
• Văn bản của Email cuộc tấn công đang được thực hiện vào hệ thống mạng mà nó đang hoạt động.
• Các tập tin đang di động trên mạng (tập tin (Intrusion Detecte Service)
• Ghi lại thông tin về các gói dữ liệu, các phiên truyền...Giúp các quản trị viên có
Email, FTP hoặc SMB) thể xem lại thông tin về các gói dữ liệu, các phiên truyền sau sự cố...Phục vụ cho
công việc phân tích, khắc phục các sự cố trên hệ thống mạng.
• Tiêu cực:
• Nghe lén thông tin trên mạng để lấy các thông tin quan trọng.
• Kh�i ni m: Mã độc là những chương trình khi • Là hình thức tấn công, nhằm truy nhập bất
được khởi chạy có khả năng phá hủy hệ thống, bao hợp pháp vào các HTTT.
gồm Virus, sâu (Worm) và Trojan, ...
• Kiểu tấn công này được thực hiện với mục
• Tấn công bằng mã độc có thể làm cho hệ thống
hoặc các thành phần của hệ thống hoạt động sai đích đánh cắp dữ liệu hoặc thực hiện phá
lệch hoặc có thể bị phá hủy. hủy bên trong HTTT.

• Là kỹ thuật tác động đến con người, nhằm mục
Là kỹ thuật tác động đến con người, nhằm mục C�c
đích lấy được thông tin hoặc đạt được một mục
h�nh th c tấn công Social Engineering phổ bi n
đích mong muốn.
• Phishing
• Dựa vào điểm yếu tâm lý, nhận thức sai lầm của
con người về việc bảo mật thông tin, sử dụng sự • Watering Hole
ảnh hưởng và thuyết phục để đánh lừa người dùng • Pretexting
nhằm khai thác các thông tin có lợi cho cuộc tấn • Baiting v� Quid Pro Quo
công, hoặc thuyết phục nạn nhân thực hiện một
hành động nào đó.
C�c kiểu tấn công Phishing

Phishing
• Spear phishing
• Ghép từ “Fishing” và Phony” (“câu cá” và “lừa • Tấn công cá nhân hoặc tổ chức cụ thể, với nội dung được thiết kế
đảo”) riêng cho nạn nhân. Hacker phải thu thập và đối chiếu các thông tin
của nạn nhân (tên, chức danh, email, tên đồng nghiệp, mối quan
• Là một hình thức lừa đảo bằng cách giả mạo các tổ hệ,…) để tạo ra một email lừa đảo đáng tin cậy, yêu cầu bạn cung
chức có uy tín như ngân hàng, trang web giao dịch cấp thông tin của mình. Bạn tưởng email đó là email từ một người
hoặc bất kỳ tổ chức nào mà bạn biết.
trực tuyến, các công ty thẻ tín dụng để lừa người
• Ví dụ, something.com có thể có tên miền phụ tên là
dùng chia sẻ thông tin tài chính bí mật như: tên paypal.something.com. Kẻ tấn công tạo một ID email là
đăng nhập, mật khẩu giao dịch và những thông tin support@paypal.something.com. Email có vẻ khá giống với ID
email liên quan đến PayPal.
nhạy cảm khác.
• Là mối đe dọa nghiêm trọng đối với doanh nghiệp, chính phủ và gây
62 An toàn thông tin thiệt hại63lớn An toàn thông tin
C�c kiểu tấn công Phishing C�c kiểu tấn công Phishing
• Spear phishing: Các biện pháp bảo vệ khỏi Spear • Clone phishing
Phishing
• Nếu bạn nhận được bất kỳ email nào, dưới bất kỳ hình thức nào, yêu
• Hacker sao chép các email hợp pháp, nhưng
cầu bạn cung cấp thông tin chi tiết, thứ mà bạn không cảm thấy thay thế đường dẫn hoặc trong email. Khi
thoải mái khi chia sẻ, hãy coi đó là một hình thức spear phishing và người dùng nhấp vào liên kết hoặc mở tệp đính
trực tiếp loại bỏ nó. Bỏ qua các email, tin nhắn đó và kết thúc các
cuộc gọi như vậy. kèm, tài khoản của họ sẽ bị hacker kiểm soát.
• Ch chia sẻ những gì cần thiết trên các trang mạng xã hội Sau đó, hacker sẽ giả mạo danh tính của nạn
• Nên có một phần mềm bảo mật tốt để lọc các email của mình. Bạn có nhân để thực hiện phishing trong chính tổ chức
thể thêm chứng ch email và mã hóa cho các ứng dụng email mà bạn
sử dụng để bạn được bảo vệ tốt hơn. Nhiều cuộc tấn công spear
của nạn nhân
phishing có thể bị phát hiện bằng các chương trình hoặc chứng ch
bảo mật 64
được tích hợp hay cài đặt cho ứng dụng email.An toàn thông tin 65 An toàn thông tin
C�c kiểu tấn công Phishing C�c kiểu tấn công Phishing
• Phone phishing • Lừa đảo qua m�ng xã h i:
• “vice phishing” hoặc “vishing” • Hacker thực hiện bằng cách gửi đường dẫn qua tin
nhắn, trạng thái Facebook hoặc các mạng xã hội khác.
• Các phisher sẽ tự xưng là đại điện của ngân Các tin nhắn này có thể là thông báo trúng thưởng các
hàng, sở cảnh sát, hoặc thậm chí sở thuế vụ tại hiện vật có giá trị như xe SH, xe ôtô, điện thoại iPhone,…
địa phương bạn sống. Họ sẽ đe dọa và yêu cầu và hướng dẫn người dùng truy cập vào một đường dẫn
bạn cung cấp thông tin tài khoản hoặc nộp phạt để hoàn tất việc nhận thưởng.
qua chuyển khoản hoặc bằng thẻ trả trước để • Ngoài việc lừa nạn nhân nộp lệ phí nhận thưởng, tin tặc
tránh bị theo dõi có thể chiếm quyền điều khiển tài khoản, khai thác
thông tin danh sách bạn bè sử dụng cho các mục đích
66
xấu như67
lừa mượn tiền, mua thẻ cào điện thoại,…
An toàn thông tin An toàn thông tin
C�ch phòng tr�nh tấn công Phishing Watering Hole
• Không mở email từ người lạ • Hacker tấn công có chủ đích vào các TC/DN thông qua việc
• Không nhấp vào các liên kết đáng ngờ trong email lừa các thành viên truy cập vào các trang web chứa mã độc.
• Nếu nghi ngờ một trang web trong có vẻ hợp pháp, bạn hãy nhập • Tin tặc thường nhắm đến các trang web có nhiều người truy
địa ch trang web hợp pháp trên trình duyệt web theo cách thủ cập, web “đen” hoặc tạo ra các trang web riêng để lừa người
công dùng, trong đó cố ý chèn vào website các mã khai thác liên
• Kiểm tra xem các website có cùng các giao thức hỗ trợ bảo mật quan đến các lỗ hổng trình duyệt.
không • Nếu truy cập vào website, các mã độc này sẽ được thực thi và
• Nếu nhận một email không hợp pháp, hãy lấy các thông tin trong lây nhiễm vào máy tính của người dùng.
email đó để kiểm tra xem có cuộc tấn công lừa đảo nào thực hiện
bằng phương pháp tương tự không
• Sử dụng phần mềm bảo mật chống phần mền độc hại đáng tin cậy
Kịch bản c a tấn công Watering Hole Pretexting

• Bư c 1: Thu thập thông tin về TC/DN mục tiêu, gồm danh sách các • Hacker tập trung vào việc tạo ra một lý do hợp lý, hoặc một kịch
website mà các nhân viên hay lãnh đạo của tổ chức thường xuyên truy bản đã được tính toán từ trước để ăn cắp thông tin cá nhân của
cập. Sau đó, tin tặc bắt đầu tìm kiếm các trang web mà chúng để có thể nạn nhân.
xâm nhập, kết hợp với kỹ thuật tấn công local attack để nâng cao khả năng
tấn công. • Hacker có thể sẽ cố thao túng các mục tiêu để khai thác các điểm
yếu về cấu trúc của một tổ chức hoặc công ty. Ví dụ, một tin tặc
• Bư c 2: Sau khi đã chiếm được quyền điều khiển của một website mà các
nhân viên của tổ chức thường xuyên truy cập, tin tặc sẽ thực hiện chèn các mạo danh một kiểm toán viên của dịch vụ CNTT bên ngoài công
mã khai thác các lỗ hổng thông qua trình duyệt, ứng dụng flash hay java ty với những lý lẽ hợp lý, đủ sức thuyết phục nhân viên an ninh
• Bư c 3: Sau khi người dùng truy cập vào các trang web độc hại, ngay lập về mặt vật lý, cho phép tin tặc vào cơ sở làm việc của công ty đó.
tức mã độc sẽ được thực thi. Khi đó, tin tặc sẽ chiếm quyền điều khiển và • Không giống như các email lừa đảo vốn lợi dụng sự sợ hãi và
cài đặt các chương trình độc hại cho phép điều khiển từ xa lên máy tính khẩn cấp của nạn nhân, các cuộc tấn công Pretexting dựa vào
nạn nhân. Từ đó, khai thác các thông tin từ người dùng hoặc sử dụng chính việc xây dựng cảm giác tin cậy cho đối tượng cần khai thác.
máy đó để tấn công các máy tính khác.
Baiting v� Quid Pro Quo Baiting v� Quid Pro Quo
• Lợi dụng sự tò mò của con người hoặc hứa hẹn về một mặt hàng hay • Quid Pro Quo hay Something For Something là biến thể của Baiting.
một sản phẩm hấp dẫn nào đó để đánh lừa nạn nhân. Ví dụ điển hình • Thay vì dụ đưa ra lời hứa về một sản phẩm, hacker hứa hẹn một dịch
là một kịch bản tấn công mà tin tặc sử dụng một tệp độc hại được giả vụ hoặc một lợi ích dựa trên việc thực hiện một hành động cụ thể nào
mạo thành bản cập nhật phần mềm hoặc phần mềm phổ biến nào đó. đó qua một một dịch vụ hoặc lợi ích được tin tặc xây dựng để trao đổi
• Hacker cũng có thể tấn công Baiting về mặt vật lý, ví dụ như phát miễn thông tin hoặc quyền truy cập.
phí thẻ USB bị nhiễm độc trong khu vực lân cận của tổ chức mục tiêu • Hacker mạo danh nhân viên CNTT của một tổ chức lớn. Hacker đó cố
và đợi nhân viên nội bộ lây nhiễm phần mềm độc hại vào máy tính của gắng liên lạc qua điện thoại với nhân viên của tổ chức định tấn công,
công ty. Sau khi được thực thi trên các máy tính, các phần mềm độc sau đó cung cấp và hướng dẫn cho họ một số thông tin liên quan đến
hại được cài đặt trên các USB này sẽ giúp tin tặc chiếm được toàn việc nâng cấp hoặc cài đặt phần mềm. Để tạo điều kiện cho việc thực
quyền điều khiển, qua đó phục vụ cho mục đích tấn công tiếp theo. hiện các hành vi độc hại, các hacker sẽ yêu cầu nạn nhân tạm thời vô
hiệu hóa phần mềm antivirus cài trong máy, nhờ đó ứng dụng độc hại
được thực thi mà không gặp phải bất cứ trở ngại nào.
Bi n ph�p phòng ch ng Social Engineering- Đ i v i c� Bi n ph�p phòng ch ng Social Engineering- Đ i v i c�

nhân nhân
• Cẩn thận và không nên trả lời bất kỳ thư rác nào yêu cầu xác nhận, cập • Phân chia tài khoản, quyền hạn và trách nhiệm rõ ràng đối với các tài
nhật bất kỳ thông tin nào về tài khoản của cá nhân, TC/DN. khoản MXH, website, hệ thống.
• Không kích chuột vào bất kỳ liên kết đi kèm với thư rác nếu không • Tránh sử dụng một mật khẩu cho nhiều tài khoản khác nhau nhằm
chắc chắn về nó. tránh nguy cơ lộ lọt thông tin.
• Cảnh giác với các thông tin khuyến mại, trúng thưởng nhận được trên • Hạn chế đăng những thông tin cá nhân, thông tin công ty, doanh nghiệp
MXH; Không nhấp chuột vào các đường dẫn của các trang web lạ; lên mạng xã hội để tránh kẻ xấu mạo danh.
Không cung cấp thông tin cá nhân, đặc biệt là tài khoản ngân hàng; Sử • Nâng cao kiến thức về tấn công và cách phòng tránh Social
dụng mật khẩu phức tạp đối với các tài khoản MXH và thường xuyên Engineering, kỹ năng ATTT cho cán bộ, nhân viên; Thực hiện các buổi
thay đổi các mật khẩu này. tập huấn với các tình huống giả mạo, qua đó nâng cao nhận thức, ý
• Cảnh giác khi thực hiện truy cập vào các trang web, đặc biệt là các thức cảnh giác và kinh nghiệm đối phó với những tình huống tương tự.
trang web không phổ biến vì chúng rất có thể tồn tại lỗ hổng mà tin tặc • Thường xuyên cập nhật bản vá cho phần mềm, hệ điều hành.
đang nhắm vào để khai thác.
Xu hư ng tấn công HTTT
1. Sử dụng các công cụ tấn công tự động 2. Sử dụng các công cụ tấn công khó phát hiện
• Những kẻ tấn công sẽ sử dụng các công cụ tấn công tự động
có khả năng thu thập thông tin từ hàng nghìn địa ch trên • Một số cuộc tấn công được dựa trên các mẫu
Internet một cách nhanh chóng, dễ dàng và hoàn toàn tự tấn công mới, không bị phát hiện bởi các
động. chương trình bảo mật, các công cụ này có
• Các HTTT có thể bị quét từ một địa điểm từ xa để phát hiện
ra những địa ch có mức độ bảo mật thấp. Thông tin này có
thể có tính năng đa hình, siêu đa hình cho
thể được lưu trữ, chia sẻ hoặc sử dụng với mục đích bất phép chúng thay đổi hình dạng sau mỗi lần
hợp pháp. sử dụng.
3. Phát hiện nhanh các lỗ hổng bảo mật 4. Tấn công bất đối xứng và tấn công diện rộng
• Thông qua các lỗ hổng bảo mật của hệ thống, phần mềm kẻ
tấn công khai thác các lỗ hổng này để thực hiện các cuộc tấn
• Tấn công bất đối xứng xảy ra khi bên tấn công
công. mạnh hơn nhiều so với đối tượng bị tấn công.
• Hàng năm, nhiều lỗ hổng bảo mật được phát hiện và công • Tấn công diện rộng thực hiện khi kẻ tấn công tạo
bố, tuy nhiên điều này cũng gây khó khăn cho các nhà quản ra một mạng lưới kết hợp các hoạt động tấn công.
trị hệ thống để luôn cập nhật kịp thời các bản vá. Đây cũng
chính là điểm yếu mà kẻ tấn công tận dụng để thực hiện các
hành vi tấn công, xâm nhập bất hợp pháp.

Mã độc và các phòng chống mã độc
5. Thay đổi mục đích tấn công Mã đ c l� g�?

• Mã độc là một khái niệm chung dùng để ch các phần mềm
• Thời gian trước, các tấn công ch từ mục đích thử
độc hại được viết với mục đích có thể lây lan phát tán (hoặc
nghiệm, hoặc khám phá hệ thống an ninh. không lây lan, phát tán) trên hệ thống máy tính và internet,
• Hiện nay, mục đích tấn công với nhiều lý do khác nhằm thực hiện các hành vi bất hợp pháp nhằm vào người
nhau như về tài chính, giả mạo thông tin, phá hủy, dùng cá nhân, cơ quan, tổ chức để chuộc lợi cá nhân, kinh
và đặc biệt nguy hiểm đó là mục đích chính trị, tế, chính trị hoặc đơn giản là để thỏa mãn ý tưởng và sở
thích của người viết.
chính vì vậy mà độ phức tạp của các cuộc tấn công
đã tăng lên và tác hại lớn hơn rất nhiều so với
trước đây.
80 An toàn thông tin 1-81
Mã độc và các phòng chống mã độc Mã độc và các phòng chống mã độc
M t s lo�i mã đ c
• Trojan: Trojan la loạ i ma đọ c an trong cá c chương trỉnh hợp phá p, khi ta
Phân lo�i v� đặc tính c a kỉ́ch hoạ t nó hoạ c tự đọ ng “nam vung” trong má y tỉ́nh sau đó kỉ́ch hoạ t
mã đ c Viruse
nham mụ c đỉ́ch lay thong tin củ a ngươi dung như tai khoản cá nhân (email,
s username, password, số tài khoản …), xoá file, làm đổ vỡ các chương trình
• Tuỳ thuộc vào cơ chế, hình Spam Worm
thông thường, ngăn chặn người dùng kết nối internet…
thức lây nhiễm và phương s • Worm: Giống trojan về hành vi phá hoại, tuy nhiên nó có thể tự nhân bản
để thực hiện lây nhiễm qua nhiều máy tính.
pháp phá hoại mà người
• Spyware: là phần mềm cài đặt trên máy tính người dùng nhằm thu thập
ta phân biệt mã Root
kits
Malwa
re
Trojan các thông tin người dùng một cách bí mật, không được sự cho phép của
độc thành nhiều loại khác người dùng.
nhau: virus, trojan, • Adware: phần mềm quảng cáo, hỗ trợ quảng cáo, là các phần mềm tự
Adwar Spywa động tải, pop up, hiển thị hình ảnh và các thông tin quảng cáo để ép người
backdoor, adware, e
Rains
re
dùng đọc, xem các thông tin quảng cáo. Adware không có tính phá hoại
spyware… omwa
re
nhưng nó làm ảnh hưởng tới hiệu năng của thiết bị và gây khó chịu cho
người dùng.
1-82 1-83
M t s lo�i mã đ c Kỹ thuật ph� ho�i

• Ransomware: đây là phần mềm khi lây nhiễm vào máy tính nó sẽ • Định thời: virus se dựa vao mọ t giá trị nao đó (vỉ́ dụ ngay,
kiểm soát hệ thống hoặc kiểm soát máy tính và yêu cầu nạn nhân thá ng, so lan lay, so lan khỏ i đọ ng má y tỉ́nh …). Khi giá trị nay
phải trả tiền để có thể khôi phục lại điều khiển với hệ thống. bang hoạ c lớn hơn mọ t giá trị cho trước, virus se bat đau phá
• Virus: là phần mềm có khả năng lây nhiễm trong cùng một hệ hoạ i. Do chỉ̉ phá hoạ i mọ t lan nen virus nay thường rất nguy
thống máy tính hoặc từ máy tính này sang máy tính khác dưới hiểm.
nhiều hình thức khác nhau. Quá trình lây lan được thực hiện qua • Ngẫu nhiên và liên tục: khong giong như định thơi, sau khi lay
hành vi lây file. Ngoài ra, virus cũng có thể thực hiện các hành vi nhiem, virus se bat đau phá hoạ i. Do tỉ́nh chat nay, virus
phá hoại, lấy cắp thông tin… khong mang tỉ́nh phá hoạ i ma đơn giản là gây ra một số hiệu
• Rootkit: là một kỹ thuật cho phép phần mềm có khả năng che giấu ứng ở loa, chuột, màn hình, hoặc lấy cắp thông tin, reset máy
danh tính của bản thân nó trong hệ thống, các phần mềm antivirus hoặc format đĩa, ….
từ đó nó có thể hỗ trợ các module khác tấn công, khai thác hệ • Vỉ́ dụ la virus Pingpong, sau khi xam nhạ p xong, vao phú t sau se thay
thống. tren man hỉnh xuat hiẹ n mọ t trá i banh chuyen đọ ng va tuan theo cá c
1-84 1-85
định luật phản xạ khi gặp đường biên
Kỹ thuật ph�t hi n Malware Kỹ thuật ph�t hi n Malware

• Dynamic analysis (Phân tích động): la quá trỉnh nay có • Static analysis (Phân tích tĩnh): La quá trỉnh dịch ngược ma
nghỉa la quan sá t hanh vi củ a ma đọ c khi nó đang chạ y. Cụ đọ c (RCE - reverse engineering). Dịch ngược ma đọ c tư ma
the la nhưng cong viẹ c như: Khởi chạ y ma đọ c tren mọ t moi má y ra ngon ngư ma con người có thể đọc hiểu (asm, IL,..).
trương ả o, quan sá t xem khi ma ma đọ c chạ y nó se lam Trong quá trỉnh nay cá c nha phan tỉ́ch se sử dụ ng nhưng
nhưng gỉ,.... Debug ma đọ c sử dụ ng mọ t cong cụ Debugger cong cụ dịch ngược như IDA, khi thực hiẹ n dịch ngược IDA
nao đó: khong load ma đọ c vao RAM như ollyDBG, IDA.
• Ví dụ winDBG, OllyDBG để quan sát từng bước hành vi của
mã độc khi nó đang được thực thi bởi bộ nhớ và load trong
RAM.
1-86 1-87
M t s bi n pháp phòng ch ng M t s bi n ph�p phòng ch ng

• Thi t lập quy tắc đ i xử v i c�c file: Không nên mở hoặc tải về các file không
• Luôn luôn cài đặt và sử dụng m t ph�n mềm di t virus rõ nguồn gốc, đăc biệt là các file thực thi (các file có đuôi .exe, .dll, …). Với các file
chính hãng. Ví dụ: Kaspersky, CyStack, Bitdifender, Avast, không rõ nguồn gốc này, tốt nhất chúng ta nên tiến hành quét bằng phần mềm
Norton, Bkav, … diệt virus hoặc thực hiện kiểm tra trực tiếp trên
website: https://www.virustotal.com Khi có nghi ngờ được cảnh báo cần dừng
• Xây dựng chính sách v i các thi t bị PnP: Với các thiết bị việc thực thi file lại để đảm bảo an toàn.
loại này: USB, CD/DVD, … virus có thể lợi dụng để thực thi • Truy cập web an to�n: Khi truy cập web cần chú ý: Không nên truy cập vào các
mà không cần sự cho phép của người dùng. Do đó, cần thiết trang web đen, các trang web độc hại, có nội dung không lành mạnh, không tuy
tiện click vào các url từ các email hoặc từ nội dung chat, trên các website, … Các
lập lại chế độ cho các thiết bị và chương trình này để hạn chế website và url như trên thường xuyên ẩn chứa các mã độc và ch đợi người dùng
sự thực thi không kiểm soát của mã độc. Ngoài ra, trong quá click, nó sẽ tự động tải về, thiết lập cài đặt để thực thi hợp pháp trên máy tính
trình sử dụng các thiết bị như USB, chúng ta không nên mở người dùng. Một ví dụ tiêu biểu đó là khi chúng ta phân tích và theo dõi các máy
của các nhân viên văn phòng, các máy tính này hầu hết đều bị cài đặt các addon
trực tiếp bằng cách chọn ổ đĩa rồi nhấn phím Enter, hoặc hoặc các phần mềm quản cáo do quá trình duyệt web chính bản thân người sử
nhấp đôi chuột vào biểu tượng mà nên bấm chuột phải rồi dụng đã cho phép addon hoặc phần mềm đó thực thi.
click vào explore 1-88 1-89
Mã độc và các phòng chống mã độc
M t s bi n ph�p phòng ch ng 1. Social Engineering (Tấn công phi kỹ thuật)

• Cập nhật m�y tính, ph�n mềm: Thường xuyên cập nhật các bản
vá được cung cấp từ hệ điều hành, các bản vá cho các ứng dụng
• Dựa vào lỗi của con người hơn là các lỗ hổng kỹ
đang sử dụng và đặc biệt là cập nhật chương trình diệt virus. Đây thuật, theo báo cáo Điều tra vi phạm dữ liệu của
là yếu tố quan trọng để tránh được các loại mã độc lợi dụng các lỗ Verizon, 85% tất cả các vụ vi phạm dữ liệu liên quan
hổng để lây lan, đồng thời cũng cập nhật được các mẫu mã độc đến sự tương tác của con người.
mới để giúp phần mềm diệt virus làm việc hiệu quả hơn.
• Nhờ chuyên gia can thi p: Khi thấy máy tính có các dấu hiệu bị 2. Third-Party Exposure
lây nhiễm cần tiến hành quét ngay bằng phần mềm diệt virus, nếu
• Tội phạm mạng có thể xâm nhập các hệ thống bảo
vẫn không có tiến triển tốt, cần nhờ sự giúp đỡ của các chuyên gia
để kiểm tra máy tính, phát hiện và tiêu diệt mã độc ngay. Có thể mật bằng cách tấn công các mạng ít được bảo vệ hơn
việc này sẽ làm tốn thời gian và tiền bạc nhưng nó thật sự cần thuộc các bên thứ ba có đặc quyền truy cập vào mục
thiết vì rất có thể tác hại của việc để nguyên máy tính còn tốn kém tiêu chính của tin tặc.
và thiệt hại hơn rất nhiều lần. 1-90 1-91
3. Configuration Mistakes (Các lỗi cấu hình) 5. Lỗ hổng trên đám mây
• Viện Ponemon báo cáo rằng một nửa số chuyên gia CNTT • IBM báo cáo rằng các lỗ hổng trên đám mây đã tăng
thừa nhận họ không biết các công cụ an ninh mạng mà họ đã
150% trong 5 năm qua. Verizon DBIR đã phát hiện ra
cài đặt thực sự hoạt động tốt như thế nào, có nghĩa là ít nhất
một nửa số chuyên gia CNTT đã không thử nghiệm và bảo trì rằng hơn 90% trong số 29.000 vi phạm được phân
thường xuyên. tích trong báo cáo là do vi phạm web app.
4. Cyber Hygiene kém 6. Lỗ hổng thiết bị di động
• “Cyber Hygiene” đề cập đến các thói quen và thực hành • Theo Báo cáo Bảo mật Di động của Check Point
thường xuyên liên quan đến việc sử dụng công nghệ, như Software, trong suốt năm 2021, 46% công ty đã gặp
tránh các mạng WiFi không được bảo vệ và thực hiện các biện
pháp bảo vệ như VPN hoặc xác thực đa yếu tố.
sự cố bảo mật liên quan đến một ứng dụng di động
độc hại do một nhân viên tải xuống.
1-92 1-93
7. Internet of Things 9. Quản lý dữ liệu kém

• Các nhà doanh nghiệp tập trung vào hiệu suất và khả năng sử • Quản lý dữ liệu không ch đơn thuần là giữ cho hệ thống lưu
dụng thiết bị. Các biện pháp bảo mật, mã hóa dữ liệu đều trữ và tổ chức của bạn gọn gàng. Nói một cách dễ hiểu, lượng
không được chú trọng và dễ dàng bỏ qua những lỗ hổng cơ dữ liệu do người tiêu dùng tạo ra tăng gấp đôi sau mỗi bốn
bản. Đó là lý do tại sao các thiết bị IoT thường bị tấn công. năm, nhưng hơn một nửa số dữ liệu mới đó không bao giờ
8. Ransomware được sử dụng hoặc phân tích. Các đống dữ liệu dư thừa dẫn
• Khảo sát năm 2021 với 1.263 chuyên gia an ninh mạng, 66% đến nhầm lẫn, khiến dữ liệu dễ bị tấn công mạng.
cho biết các công ty của họ bị mất doanh thu đáng kể do một 10. Các thủ tục sau tấn công không đầy đủ
cuộc tấn công bằng ransomware. • Các lỗ hổng bảo mật phải được vá ngay sau một cuộc tấn công an ninh
mạng. Trong một cuộc khảo sát năm 2021 đối với 1.263 công ty đã bị
nhắm mục tiêu trong một vụ vi phạm an ninh mạng, 80% nạn nhân đã nộp
tiền chuộc cho biết họ đã trải qua một cuộc tấn công khác ngay sau đó.
1-94 1-95
1. Ưu tiên bảo mật không gian mạng 1) WiFi công cộng
2. Không thờ ơ với quyền riêng tư và bảo vệ dữ liệu 2) Các website TMĐT giả
3. Thiết lập và duy trì các chính sách làm sạch an ninh mạng và mạo
CNTT 3) Phần mềm đánh cắp
thông tin thẻ tín dụng
4. Mật khẩu là chưa đủ
4) Mã độc web
5. Sử dụng Zero-trust 5) Các cuộc tấn công bộ
6. Hãy thận trọng với những lừa đảo có có công nghệ hỗ trợ định tuyến (router) và
7. Ưu tiên bảo mật 5G thiết bị IoT
8. Tăng cường bảo mật làm việc từ xa 6) Các dịch vụ trực tuyến
bị chiếm quyền
9. Không nên đơn độc trong đảm bảo an ninh mạng
10. Có thể sử dụng dịch vụ bảo mật CNTT thuê ngoài 1-96 1-97
1-98 1-99
CÂU HỎI VÀ BÀI TẬP (tiếp) Câu hỏi & b�i tập
1. Phân biệt và trình bày mối tương quan mối đe dọa – lỗ 1. Tấn công mật khẩu (password) là gì? Trình bày các
hổng – rủi ro. Cho ví dụ kiểu tấn công mật khẩu. Một người quản trị viên một
2. Trình bày các loại mã độc (malware). Sự khác biệt giữa hệ thống thông tin có thể làm gì để chống lại tấn công
worm và virus là gì? Trojan horse có chứa đựng virus mật khẩu?
hoặc worm không? 2. Tấn công từ chối dịch vụ (denial of service) là gì? Cho ví
3. Tại sao tính đa hình của các mã độc lại gây ra mối quan dụ minh họa thực tế một hệ thống thông tin bị tấn công
tâm lớn hơn mã độc hại truyền thống? Nó ảnh hưởng đến từ chối dịch vụ.
việc phát hiện/nhận dạng mã độc như thế nào? 3. Phân biệt giữa tấn công từ chối dịch vụ (DoS) và tấn
4. Trình bày các loại mã độc hiện nay mà bạn biết công từ chối dịch vụ phân tán (DDoS). Loại nào nguy
hiểm hơn? Tại sao?
100 An toàn thông tin Nguyễn Thị Hạnh
Câu hỏi & b�i tập CÂU HỎI VÀ BÀI TẬP (tiếp)
• Website BẢO HIỂM MANULIFE của Manulife Financial cung cấp các
4. Tại sao tính đa hình của các mã độc lại gây ra mối quan dịch vụ xem danh mục các sản phẩm đa dạng từ sản phẩm bảo hiểm
tâm lớn hơn mã độc hại truyền thống? Nó ảnh hưởng truyền thống đến sản phẩm bảo hiểm sức khoẻ, giáo dục, liên kết đầu
đến việc phát hiện/nhận dạng mã độc như thế nào? tư, hưu trí… cho hơn 700.000 khách hàng thông qua đội ngũ đại lý
hùng hậu và chuyên nghiệp tại 55 văn phòng trên 40 t nh thành cả
5. Để một cuộc tấn công sniffer thành công, kẻ tấn công nước. Khách hàng có thể chọn lựa, đặt câu hỏi, cần tư vấn hay mua gói
phải làm gì? Làm thế nào kẻ tấn công có thể truy cập bảo hiểm trực tuyến trên Website. Xem thông tin và quyền lợi bảo
được vào một hệ thống thông tin để thám thính? hiểm, xem hợp đồng bảo hiểm đã mua. Ngoài ra Website còn giúp cho
6. Phương pháp nào để kẻ tấn công social engineering công ty có thể quản lý toàn bộ các hoạt động của công ty như quản lý
khách hang, nhân viên, hợp đồng bảo hiểm,…
thực hiện thu tập thông tin tài khoản đăng nhập và mật
khẩu của người dùng? Phương pháp này sẽ khác biệt
• Hãy nhận dạng và giải thích được ít nhất 3 mối đe dọa ảnh hưởng đến
như thế nào nếu như mục tiêu nhắm đến là một quản an toàn đến các dịch vụ mà Website cung cấp.
trị viên và một nhân viên nhập dữ liệu?
Nguyễn Thị Hạnh
CÂU HỎI VÀ BÀI TẬP (tiếp)
1) Trình bày ít nhất 5 phương thức tấn công mà T�nh hu ng 1:
website của nhóm có thể gặp phải. Bạn là một nhân viên thu ngân phí bảo hiểm của công ty
bảo hiểm ANZ. Bạn được cấp một máy tính có kết nối
2) Trình bày giải pháp cụ thể cho mỗi cách tấn công
internet và phần mềm để thực hiện công việc hàng ngày
trên và giải thích lý do anh/chị lựa chọn giải pháp của mình. Do ít khách hàng nên bạn cũng khá nhàn rỗi.
đó. Những lúc nhàn rỗi, bạn hay dùng máy tính làm việc lên
3) Trình bày các mối đe dọa thường gặp đến một hệ internet để tải game, nhạc, phim về để giải trí. Các website
thống thông tin. Các rủi ro có thể xảy ra và biện bạn vào hầu như là các website không an toàn. Bạn hãy:
pháp phòng ngừa. • Ch ra 2 mối đe dọa mà bạn có thể gặp phải trong tình
huống trên
• Nêu ra được lý do tại sao có những mối đe dọa đó
• Phân tích
105
hậu quả nếu các mối đe dọa đó thật sự xảy ra
1-104 An toàn thông tin
CÂU HỎI VÀ BÀI TẬP (tiếp)

T�nh hu ng 2:
Bạn là trưởng phòng kinh doanh của một doanh nghiệp lớn. Bạn
thường xuyên phân công công việc, theo dõi công việc các nhân viên
thuộc cấp dưới của mình qua hệ thống website của doanh nghiệp.
Đồng thời thường xuyên giao dịch hợp đồng với khách hàng qua
email, cũng như báo cáo kết quả công việc cho sếp. Đợt vừa rồi bạn có
một chuyến công tác 1 tuần ở các một số t nh. Thật là không may mắn,
máy laptop làm việc của bạn bị hư đột xuất và không có nơi nào sửa
chữa liền được. Để giải quyết các công việc hàng ngày, bạn phải dùng
máy tính công cộng tại các khách sạn mà bạn lưu trú tại nơi công tác.
Bạn hãy:
• Ch ra 2 mối đe dọa mà bạn có thể gặp phải trong tình huống trên
• Nêu ra được lý do tại sao có những mối đe dọa đó.
• Phân tích hậu quả nếu các mối đe dọa đó thật sự xảy ra.
Nội dung
1. Khái niệm cơ bản

PHÁP LUẬT VÀ QUY ĐỊNH VỀ 2. Luật công nghệ thông tin
3. Luật giao dịch điện tử
AN TOÀN THÔNG TIN 4. Luật giao dịch thương mại điện tử
(LAWS AND REGULATIONS ON 5. Luật sở hữu trí tuệ về phần mềm máy tính
INFORMATION SECURITY) 6. Luật an ninh mạng
1 Khái niệm cơ bản Hệ thống pháp luật

˗ Hệ thống pháp luật ˗ Hệ thống pháp luật là tập hợp tất cả các quy phạm, văn bản
˗ Các văn bản quy phạm pháp luật pháp luật tạo thành một cấu trúc tổng thể, được phân chia
▪ Hiến pháp thành các bộ phận có sự thống nhất nội tại theo những tiêu chí
▪ Luật, bộ luật nhất định như bản chất, nội dung, mục đích.
▪ Nghị định ˗ Ba hệ thống pháp luật trên thế giới phổ biến nhất đó là các
▪ Thông tư hệ thống dân luật, thông luật và luật tôn giáo. Tuy nhiên mỗi
˗ Mục đích của văn bản quy phạm pháp luật quốc gia lại phát triển hệ thống pháp luật của mình một cách
khác nhau.
Hệ thống pháp luật Hệ thống pháp luật
˗ Hệ thống pháp luật Việt Nam là tổng thể các quy phạm pháp Hệ thống văn bản pháp luật
luật, các nguyên tắc, định hướng và mục đích của pháp luật có ˗ Hiến pháp
mối liên hệ mật thiết và thống nhất với nhau, được phân định ˗ Luật hoặc bộ luật
thành các ngành luật, các chế định pháp luật và được thể hiện
trong các văn bản do cơ quan nhà nước Việt Nam có thẩm ˗ Văn bản dưới luật: Nghị quyết, Nghị định, Thông tư,…
quyền ban hành theo những hình thức, thủ tục nhất định để
điều chỉnh các quan hệ xã hội phát sinh trên lãnh thổ Việt Nam.
˗ Hệ thống pháp luật bao gồm: Hệ thống cấu trúc của pháp
luật và hệ thống văn bản pháp luật
Hiến pháp Bộ Luật và Luật

Hiến pháp ˗ Bộ Luật là một văn bản quy phạm pháp luật do Quốc hội ban
˗ Do quốc hội ban hành, là văn bản pháp hành và Chủ tịch nước ký quyết định ban hành nhằm điều
luật cao nhất. chỉnh và tác động rộng rãi đến các quan hệ xã hội trong một
˗ Là một hệ thống quy định những nguyên lĩnh vực hoạt động nào đó của xã hội (ví dụ: Bộ luật Hình sự,
tắc chính trị căn bản và thiết lập kiến trúc, Bộ luật Tố tụng Hình sự, Bộ luật Lao động, Bộ luật Dân sự,...).
thủ tục, quyền hạn và trách nhiệm của một ˗ Luật cũng là một văn bản quy phạm pháp luật do Quốc hội ban
chính quyền. hành, trình tự ban hành và hiệu lực giống bộ luật, song phạm vi
các quan hệ xã hội cần điều chỉnh hẹp hơn, chỉ trong một lĩnh
vực hoạt động, một ngành hoặc một giới (ví dụ: Luật đất đai,
Luật thuế, Luật xây dựng, ...).
Nghị quyết của Quốc hội Văn bản dưới luật
˗ Văn bản dưới luật gồm:
˗ Nghị quyết của Quốc hội được ban hành để quyết định kế
▪ Ủy ban thường vụ Quốc hội: Pháp lệnh, Nghị quyết
hoạch phát triển kinh tế - xã hội; chính sách tài chính, tiền ▪ Chủ tịch nước: Lệnh, Quyết định
tệ quốc gia; chính sách dân tộc, tôn giáo, đối ▪ Chính phủ: Nghị định.
ngoại, quốc phòng, an ninh, dự toán ngân sách nhà nước và ▪ Thủ tướng Chính phủ: Quyết định
phân bổ ngân sách nhà nước, điều chỉnh ngân sách nhà nước, ▪ Hội đồng Thẩm phán Tòa án nhân dân tối cao: Nghị quyết
Chánh án Toà án nhân dân tối cao: Thông tư.
phê chuẩn quyết toán ngân sách nhà nước ... ▪
▪ Viện trưởng Viện kiểm sát nhân dân tối cao: Thông tư.
˗ Nghị quyết là loại văn bản được sử dụng trong các cuộc họp, ▪ Bộ trưởng, Thủ trưởng cơ quan ngang bộ: Thông tư
hội nghị sau khi đã kết thúc quá trình thảo luận, đưa ra các giải ▪ Tổng Kiểm toán Nhà nước: Quyết định
pháp, kết quả và nhất trí thông qua bằng cách biểu quyết theo ▪ Nghị quyết liên tịch giữa Uỷ ban thường vụ Quốc hội hoặc giữa Chính phủ với cơ quan trung
ương của tổ chức chính trị - xã hội.
số đông tán thành, thể hiện quyết định cuối cùng của một cơ
▪ Thông tư liên tịch giữa Chánh án Toà án nhân dân tối cao với Viện trưởng Viện kiểm sát nhân
quan hay tổ chức. dân tối cao; giữa Bộ trưởng, Thủ trưởng cơ quan ngang bộ với Chánh án Tòa án nhân dân tối
cao, Viện trưởng Viện kiểm sát nhân dân tối cao; giữa các Bộ trưởng, Thủ trưởng cơ quan
ngang bộ.
Văn bản quy phạm pháp luật Mục đích của văn bản quy phạm pháp luật
˗ Văn bản quy phạm pháp luật hay còn gọi là Văn bản pháp ˗ Ban hành văn bản quy phạm pháp luật nhằm điều tiết những
quy là một hình thức pháp luật thành văn (Văn bản pháp) được vấn đề thực tiễn.
thể hiện qua các văn bản chứa được các quy phạm pháp ▪ Xã hội ngày càng phát triển đa dạng, đa chiều với những mối quan hệ
luật do cơ quan hoặc cá nhân có thẩm quyền ban hành để điều phức tạp, nhiều vấn đề liên quan trực tiếp đến sự ổn định và phát triển
chỉnh các quan hệ xã hội. kinh tế – xã hội đang đặt ra cho Nhà nước những vấn đề thực tiễn cần
phải giải quyết trong quá trình quản lý, điều hành.
˗ Văn bản quy phạm pháp luật của Hội đồng nhân dân, Uỷ ban
nhân dân. Bao gồm:
▪ Hội đồng nhân dân: Nghị quyết.
▪ Ủy ban nhân dân: Quyết định.
Mục đích của văn bản quy phạm pháp luật Mục đích của văn bản quy phạm pháp luật
˗ Văn bản quy phạm pháp luật nhằm thể chế hóa và bảo đảm ˗ Ban hành Văn bản quy phạm pháp luật nhằm tạo ra/phân
thực hiện các chính sách. bổ/phát huy các nguồn lực nhằm phát triển kinh tế.
▪ Pháp luật là biểu hiện hoạt động của các chính sách. ▪ Pháp luật có thể tạo điều kiện để tăng việc làm và tăng thu nhập.
▪ Pháp luật được ban hành có thể đưa ra các biện pháp gián tiếp, thông ▪ Pháp luật tạo điều kiện cho các chủ sở hữu tiếp cận với các công nghệ
qua việc tạo ra hành lang pháp lý mà trong phạm vi đó, từng cá nhân thông tin và thị trường, với các kỹ năng về tín dụng và quản lý, qua đó
đóng vai trò là động lực. giúp họ tăng năng suất lao động và tăng thu nhập (đặc biệt là các vùng
▪ Luật pháp có thể đem lại công bằng xã hội, giảm đói nghèo, tạo ra sâu vùng xa)
động lực cho xã hội phát triển (bền vững). Bằng các văn bản quy phạm ˗ Ban hành văn bản quy phạm pháp luật góp phần nhằm ổn định
pháp luật, chính quyền địa phương đưa ra các biện pháp thu hút đầu trật tự xã hội, tạo cơ hội quản lý tốt và phát triển.
tư, khuyến khích sự phát triển của các doanh nghiệp, các cơ chế thực
thi hiệu quả. ˗ Văn bản quy phạm pháp luật làm thay đổi các hành vi xử sự
không mong muốn và thiết lập các hành vi xử sự phù hợp.
Nghị định Thông tư

˗ Là chính phủ ban hành dùng để hướng dẫn luật hoặc quy định ˗ Là văn bản giải thích, hướng dẫn thực hiện những văn bản của
những việc phát sinh mà chưa có luật hoặc pháp lệnh nào điều nhà nước ban hành, thuộc phạm vi quản lí của một ngành nhất
chỉnh. Mặt khác, nghị định do Chính phủ ban hành để quy định định.
những quyền lợi và nghĩa vụ của người dân theo Hiến pháp và ˗ Thông tư do Bộ hay cơ quan ngang Bộ ban hành, thường do
Luật do Quốc hội ban hành. Bộ trưởng hay chủ tịch ký.
˗ Nói một cách dễ hiểu hơn thì Nghị định là quy định cho từng ˗ Thông tư dùng để hướng dẫn nghị định.
lĩnh vực (nhà nước, doanh nghiệp..).
Công văn Công văn
˗ Là hình thức văn bản hành chính dùng phổ biến trong các cơ Những yêu cầu khi soạn thảo công văn:
quan, tổ chức, doanh nghiệp. ˗ Mỗi công văn chỉ chứa đựng một chủ đề, nêu rõ ràng và thuần
˗ Là phương tiện giao tiếp chính thức của cơ quan Nhà nước với nhất sự vụ.
cấp trên, cấp dưới và với công dân. Thậm chí trong các tổ ˗ Viết ngắn gọn, súc tích, rõ ràng, ý tưởng phải sát với chủ đề.
chức xã hội và các doanh nghiệp trong hoạt động hàng ngày ˗ Dùng ngôn ngữ lịch sự, nghiêm túc, có sức thuyết phục cao.
cũng phải soạn thảo và sử dụng công văn để thực hiện các
hoạt động thông tin và giao dịch nhằm thực hiện các chức ˗ Có thể thức đúng quy định của pháp luật Nhà nước đặc biệt
năng và nhiệm vụ của mình. phải có trích yếu công văn dù là công văn khẩn (theo bản điều
lệ về công tác công văn giấy tờ của Phủ Thủ Tướng).
Công văn Các bộ luật cần tìm hiểu

Xây dựng bố cục một công văn:phải có các yếu tố sau: ˗ Luật Công nghệ thông tin, số 67/2006/QH11, Quốc hội thông
˗ Quốc hiệu và tiêu ngữ. qua 29/06/2006, có hiệu lực 01/01/2007
˗ Địa danh và thời gian gửi công văn. ˗ Luật giao dịch điện tử, số 51/2005/QH11, Quốc hội thông qua
˗ Tên cơ quan chủ quản và cơ quan ban hành công văn. 29/11/2005, có hiệu lực 01/03/2006.
˗ Chủ đề nhận công văn (cơ quan hoặc cá nhân). ˗ Luật sở hữu trí tuệ Việt Nam, số 50/2005/QH11, Quốc hội
thông qua 29/11/2005, có hiệu lực 01/07/2006
˗ Số và ký hiệu của công văn.
˗ Luật an ninh mạng 2018, số 24/2018/QH14, Quốc hội thông
˗ Trích yếu nội dung. qua 12/06/2018, có hiệu lực 01/01/2019
˗ Nội dung công văn. Mẫu công văn 2021
˗ Chữ ký, đóng dấu.
˗ Nơi gửi.
2. Luật CNTT 2. Luật CNTT
˗ Quốc hội thông qua 29/06/2006, có hiệu lực 01/07/2007. ˗ Luật CNTT quy định về hoạt động ứng dụng và phát triển
˗ Căn cứ vào Hiến pháp nước Cộng hoà xã hội chủ nghĩa Việt CNTT, các biện pháp bảo đảm ứng dụng và phát triển CNTT,
Nam năm 1992 đã được sửa đổi, bổ sung theo Nghị quyết số quyền và nghĩa vụ của cơ quan, tổ chức, cá nhân tham gia
51/2001/QH10 ngày 25 tháng 12 năm 2001 của Quốc hội khoá hoạt động ứng dụng và phát triển CNTT.
X, kỳ họp thứ 10. ˗ Luật này áp dụng đối với tổ chức, cá nhân Việt Nam, tổ chức,
˗ Là văn bản pháp luật cao nhất trong lĩnh vực CNTT định cá nhân nước ngoài tham gia hoạt động ứng dụng và phát triển
hướng và tạo hàng lang pháp lý cho lĩnh vực CNTT phát triển công nghệ thông tin tại Việt Nam.
và hội nhập quốc tế. ˗ Xem chi tiết luật CNTT
http://moj.gov.vn/vbpq/lists/vn%20bn%20php%20lut/view_
detail.aspx?itemid=15084
˗ https://mic.gov.vn/Pages/ChuyenMuc/1458//de-muc-Cong-
nghe-thong-tin.html

Sự cần thiết ban hành Luật CNTT Sự cần thiết ban hành Luật CNTT
˗ Tầm quan trọng của CNTT ˗ Hiện trạng ngành CNTT của VN
▪ Phát huy hiệu qủa năng lực trí tuệ cùa người VN ▪ Còn nhiều vấn đề bất cập
▪ Thúc đầy phát triển kinh tế, rút ngắn khoảng cách phát triển so với các ▪ Phát triển chưa đồng bộ, chưa đáp ứng được yêu cầu CNH, HĐH và
nước trong khu vực và thế giới yêu cầu hội nhập kinh tế quốc tế.
▪ Tạo điều kiện hội nhập kinh tê quốc tế và đảm bảo quốc phòng, an ▪ Việc đầu tư cho CNTT còn dàn trải và kém hiệu quả.
ninh ▪ Năng lực cạnh tranh của các doanh nghiệp CNTT Việt Nam còn yếu.
▪ Công nghiệp CNTT là ngành công nghiệp mà giá trị của sản phẩm chủ ▪ Việc ứng dụng CNTT trong quản lý, nhất là quản lý hành chính của các
yếu là hàm lượng công nghệ và tri thức cao sẽ là ngành công nghiệp cơ quan nhà nước còn chậm, chưa đồng bộ, hiệu quả chưa cao.
mũi nhọn, là nhân tố quan trọng đẩy nhanh tốc độ CNH, HĐH đất ▪ Sản phẩm CNTT có sức cạnh tranh thấp, thâm nhập được vào thương
nước. trường thế giới không đáng kể.
Sự cần thiết ban hành Luật CNTT Tìm hiểu một số điều khoản luật
˗ Nguyên nhân gây ra hiện trạng ngành CNTT của VN Điều 8. Quyền của tổ chức, cá nhân tham gia hoạt động ứng dụng và
▪ Nhiều nguyên nhân khác nhau phát triển công nghệ thông tin
▪ Trong đó có nguyên nhân về tổ chức thực hiện và môi trường pháp lý Điều 9. Trách nhiệm của tổ chức, cá nhân tham gia hoạt động ứng dụng
vì các văn bản quy phạm pháp luật hiện có ở nước ta còn rời rạc, đơn và phát triển công nghệ thông tin
lẻ nên hoạt động CNTT chưa được điều chỉnh bởi một hệ thống các Điều 12. Các hành vi bị nghiêm cấm
quy phạm pháp luật thống nhất, đồng bộ và cập nhật với sự phát triển Điều 16. Truyền đưa thông tin số
của CNTT thế giới. Điều 21. Thu thập, xử lý và sử dụng thông tin cá nhân trên môi trường
Do đó, cần thiết phải có Luật về CNTT để điều chỉnh các mối mạng
quan hệ xã hội mới phát sinh do sự phát triển của CNTT, tạo cơ sở Điều 69. Bảo vệ quyền sở hữu trí tuệ trong lĩnh vực công nghệ thông tin
pháp lý để góp phần khắc phục những yếu kém, đẩy mạnh ứng Điều 71. Chống vi rút máy tính và phần mềm gây hại
dụng và phát triển CNTT.
Điều 72. Bảo đảm an toàn, bí mật thông tin

Tìm hiểu một số điều khoản luật ˗ Theo quy định tại Điều 12 Luật Công nghệ thông tin 2006 thì các hành vi
bị nghiêm cấm trong lĩnh vực công nghệ thông tin được quy định cụ thể
- Đọc hiểu như sau:
- Giải thích ˗ Cản trở hoạt động hợp pháp hoặc hỗ trợ hoạt động bất hợp pháp về ứng
- Cho ví dụ minh họa tình huống vi phạm điều khoản luật dụng và phát triển công nghệ thông tin; cản trở bất hợp pháp hoạt động
của hệ thống máy chủ tên miền quốc gia; phá hoại cơ sở hạ tầng thông
- Đưa ra mức phạt khi vi phạm điều khoản luật (đọc thêm các tin, phá hoại thông tin trên môi trường mạng.
nghị định được đưa ra sau luật)
˗ Cung cấp, trao đổi, truyền đưa, lưu trữ, sử dụng thông tin số nhằm mục
đích sau đây:
▪ Chống Nhà nước Cộng hoà xã hội chủ nghĩa Việt Nam, phá hoại khối đoàn kết toàn
dân;
▪ Kích động bạo lực, tuyên truyền chiến tranh xâm lược, gây hận thù giữa các dân tộc
và nhân dân các nước, kích động dâm ô, đồi trụy, tội ác, tệ nạn xã hội, mê tín dị
đoan, phá hoại thuần phong mỹ tục của dân tộc;
▪ Tiết lộ bí mật nhà nước, bí mật quân sự, an ninh, kinh tế, đối ngoại và những bí mật Tìm hiểu một số điều khoản luật
khác đã được pháp luật quy định;
▪ Xuyên tạc, vu khống, xúc phạm uy tín của tổ chức, danh dự, nhân phẩm, uy tín của ˗ Ví dụ 1: Tìm hiểu điều 8, khoản 2, mục d
công dân;
▪ Quảng cáo, tuyên truyền hàng hoá, dịch vụ thuộc danh mục cấm đã được pháp luật Điều 8. Quyền của tổ chức, cá nhân tham gia hoạt động ứng dụng
quy định. và phát triển công nghệ thông tin
˗ Xâm phạm quyền sở hữu trí tuệ trong hoạt động công nghệ thông tin; sản 1. Tổ chức, cá nhân tham gia hoạt động ứng dụng công nghệ thông tin có các quyền
xuất, lưu hành sản phẩm công nghệ thông tin trái pháp luật; giả mạo trang sau đây:
thông tin điện tử của tổ chức, cá nhân khác; tạo đường dẫn trái phép đối d) Phân phát các địa chỉ liên lạc có trên môi trường mạng khi có sự đồng ý của chủ
với tên miền của tổ chức, cá nhân sử dụng hợp pháp tên miền đó. sở hữu địa chỉ liên lạc đó;

Tìm hiểu một số điều khoản luật Bài tập: Tìm hiểu một số điều khoản luật
˗ Ví dụ 2: Tìm hiểu điều 8, khoản 1, mục đ Bài 1: Tìm hiểu điều 9, khoản 2
Điều 8. Quyền của tổ chức, cá nhân tham gia hoạt động ứng dụng Điều 9. Trách nhiệm của tổ chức, cá nhân tham gia hoạt động ứng
và phát triển công nghệ thông tin dụng và phát triển công nghệ thông tin
1. Tổ chức, cá nhân tham gia hoạt động ứng dụng công nghệ thông tin có các quyền 2. Tổ chức, cá nhân khi hoạt động kinh doanh trên môi trường mạng phải thông báo
sau đây: công khai trên môi trường mạng những thông tin có liên quan, bao gồm:
đ) Từ chối cung cấp hoặc nhận trên môi trường mạng sản phẩm, dịch vụ trái với a. Tên, địa chỉ địa lý, số điện thoại, địa chỉ thư điện tử;
quy định của pháp luật và phải chịu trách nhiệm về việc đó. b. Thông tin về quyết định thành lập, giấy phép hoạt động hoặc giấy chứng nhận đăng
ký kinh doanh (nếu có);
c. Tên cơ quan quản lý nhà cung cấp (nếu có);
d. Thông tin về giá, thuế, chi phí vận chuyển (nếu có) của hàng hóa, dịch vụ.
Bài tập: Tìm hiểu một số điều khoản luật Bài tập: Tìm hiểu một số điều khoản luật
Bài 2a: Tìm hiểu điều 12, khoản 2, mục c Bài 3: Tìm hiểu điều 12, khoản 2, mục c
Bài 2b: Tìm hiểu điều 12, khoản 2, mục d
Bài 2c: Tìm hiểu điều 12, khoản 2, mục đ Điều 12. Các hành vi bị nghiêm cấm
3. Xâm phạm quyền sở hữu trí tuệ trong hoạt động công nghệ thông tin; sản xuất, lưu
Điều 12. Các hành vi bị nghiêm cấm hành sản phẩm công nghệ thông tin trái pháp luật; giả mạo trang thông tin điện tử của tổ
2. Cung cấp, trao đổi, truyền đưa, lưu trữ, sử dụng thông tin số nhằm mục đích sau đây: chức, cá nhân khác; tạo đường dẫn trái phép đối với tên miền của tổ chức, cá nhân sử
c) Tiết lộ bí mật nhà nước, bí mật quân sự, an ninh, kinh tế, đối ngoại và những bí mật dụng hợp pháp tên miền đó.
khác đã được pháp luật quy định;
d) Xuyên tạc, vu khống, xúc phạm uy tín của tổ chức, danh dự, nhân phẩm, uy tín của
công dân;
đ) Quảng cáo, tuyên truyền hàng hoá, dịch vụ thuộc danh mục cấm đã được pháp luật
quy định.

Bài 4: Tìm hiểu điều 16, khoản 4, mục c Bài 5: Tìm hiểu điều 21, khoản 4, mục c
Điều 16. Truyền đưa thông tin số Điều 21. Thu thập, xử lý và sử dụng thông tin cá nhân trên môi trường
4. Tổ chức, cá nhân truyền đưa thông tin số của tổ chức, cá nhân khác không phải chịu mạng
trách nhiệm về nội dung thông tin đó, trừ trường hợp thực hiện một trong các hành vi sau 1. Tổ chức, cá nhân thu thập, xử lý và sử dụng thông tin cá nhân của người khác trên môi
đây: trường mạng phải được người đó đồng ý, trừ trường hợp pháp luật có quy định khác
c) Lựa chọn và sửa đổi nội dung thông tin được truyền đưa.
Bài 6a: Tìm hiểu điều 21, khoản 2, mục a Bài 7: Tìm hiểu điều 69, khoản 2
Bài 6b: Tìm hiểu điều 21, khoản 2, mục b
Bài 6c: Tìm hiểu điều 21, khoản 2, mục c Điều 69. Bảo vệ quyền sở hữu trí tuệ trong lĩnh vực công nghệ thông
tin
Điều 21. Thu thập, xử lý và sử dụng thông tin cá nhân trên môi trường mạng 2. Người sử dụng hợp pháp phần mềm được bảo hộ có quyền sao chép phần mềm đó để
2. Tổ chức, cá nhân thu thập, xử lý và sử dụng thông tin cá nhân của người khác có trách nhiệm lưu trữ dự phòng và thay thế phần mềm bị phá hỏng mà không phải xin phép, không phải trả
sau đây: tiền bản quyền.:
a) Thông báo cho người đó biết về hình thức, phạm vi, địa điểm và mục đích của việc thu thập,
xử lý và sử dụng thông tin cá nhân của người đó;
b) Sử dụng đúng mục đích thông tin cá nhân thu thập được và chỉ lưu trữ những thông tin đó
trong một khoảng thời gian nhất định theo quy định của pháp luật hoặc theo thoả thuận giữa hai
bên;
c) Tiến hành các biện pháp quản lý, kỹ thuật cần thiết để bảo đảm thông tin cá nhân không bị
mất, đánh cắp, tiết lộ, thay đổi hoặc phá huỷ;

Bài 8a: Tìm hiểu điều 71, khoản 1 Bài 9a: Tìm hiểu điều 71, khoản 2, mục a
Bài 8b: Tìm hiểu điều 71, khoản 2 Bài 9b: Tìm hiểu điều 71, khoản 2, mục b
Bài 8c: Tìm hiểu điều 71, khoản 3 Bài 9c: Tìm hiểu điều 72, khoản 2, mục d
Điều 71. Chống vi rút máy tính và phần mềm gây hại Điều 72. Bảo đảm an toàn, bí mật thông tin
Tổ chức, cá nhân không được tạo ra, cài đặt, phát tán vi rút máy tính, phần mềm gây hại 2. Tổ chức, cá nhân không được thực hiện một trong những hành vi sau đây:
vào thiết bị số của người khác để thực hiện một trong những hành vi sau đây: a) Xâm nhập, sửa đổi, xóa bỏ nội dung thông tin của tổ chức, cá nhân khác trên môi
1. Thay đổi các tham số cài đặt của thiết bị số; trường mạng;
2. Thu thập thông tin của người khác; b) Cản trở hoạt động cung cấp dịch vụ của hệ thống thông tin;
3. Xóa bỏ, làm mất tác dụng của các phần mềm bảo đảm an toàn, an ninh thông tin được d) Bẻ khóa, trộm cắp, sử dụng mật khẩu, khóa mật mã và thông tin của tổ chức, cá nhân
cài đặt trên thiết bị số; khác trên môi trường mạng;
Bài tập: Tìm hiểu một số điều khoản luật Tình hình vi phạm luật CNTT
Bài 7: Tìm hiểu điều 69, khoản 2 ˗ Bẻ khóa, trộm cắp, sử dụng mật khẩu xâm nhập vào Facebook
của người khác và giả mạo danh nghĩa để chiếm đoạt tài sản
Điều 69. Bảo vệ quyền sở hữu trí tuệ trong lĩnh vực công nghệ thông
của người khác
tin
2. Người sử dụng hợp pháp phần mềm được bảo hộ có quyền sao chép phần mềm đó để ˗ Xúc phạm người khác trên Facebook/trang mạng XH
lưu trữ dự phòng và thay thế phần mềm bị phá hỏng mà không phải xin phép, không phải trả
tiền bản quyền.:
˗ Tung tin sao Việt qua đời để câu like (nạn nhân có quyền yêu
cầu bồi thường thiệt hại không?)
˗ Tung tin ảnh nhạy cảm của người khác lên mạng
˗ Mua bán thông tin cá nhân trái phép
2. Luật Công Nghệ Thông Tin Câu hỏi thảo luận 1

Tình huống thảo luận ˗ Khi ông A đi thăm người thân ở bệnh viện đã chụp hình trong phòng
˗ Điều 34 Nghị định số 15/2020/NĐ-CP ngày 03 tháng 02 năm 2020 của Chính phủ quy bệnh và đăng trên Facebook. Trong hình mà ông A đã đăng trên
định xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến Facebook có hình của bà B là bệnh nhân khác trong phòng bệnh.
điện, công nghệ thông tin và giao dịch điện tử, quy định như sau:
Bà B không muốn người khác biết mình đang nẳm viện nên gọi điện
1. Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với một trong các hành vi sau:
thoại yêu cầu ông A không được đưa hình ảnh của mình trên
a) Lập hóa đơn thanh toán giá cước dịch vụ viễn thông không thể hiện đầy đủ hoặc
không chính xác về giá cước và số tiền phải thanh toán đối với từng loại dịch vụ viễn Facebook. Ông A từ chối yêu cầu của bà B vì cho rằng mình có toàn
thông hoặc thuế giá trị gia tăng và tổng số tiền phải thanh toán cho người sử dụng quyền với hình ảnh mà mình đã chụp.
dịch vụ viễn thông thanh toán theo hình thức trả sau;
1) Hành vi của ông A có vi phạm pháp luật không? Nếu có, ông A đã
b) Không cung cấp cho thuê bao viễn thông bảng kê chi tiết miễn phí một lần kèm theo
hóa đơn theo quy định đối với các dịch vụ viễn thông theo danh mục dịch vụ do Bộ vi phạm điều khoản nào của luật nào? Trình bày nội dung điều
Thông tin và Truyền thông quy định; khoản này?
c) Thu cước cuộc gọi từ điện thoại cố định đến các số liên lạc khẩn cấp hoặc dịch vụ 116 2) Nếu bà B gởi đơn khiếu nại cho cơ quan có thẩm quyền thì ông A
hoặc dịch vụ báo hỏng số thuê bao điện thoại cố định;
sẽ bị xử phạt tại điều khoản nào của luật nào?
d) Không lập hóa đơn thanh toán giá cước cho người sử dụng dịch vụ viễn thông theo
hình thức trả sau.
Câu hỏi thảo luận 2 3. Luật Giao dịch Điện tử
˗ Lợi dụng lúc A không có nhà, những người bạn của A đã vào ˗ Quốc hội thông qua 29/11/2005, có hiệu lực 01/03/2006.
trang facebook cá nhân của A chụp ảnh lại các đoạn tin nhắn ˗ Luật này quy định về giao dịch điện tử trong hoạt động của các
có nội dung liên quan những người bạn này. Sau đó, những cơ quan nhà nước; trong lĩnh vực dân sự, kinh doanh, thương
người bạn của A phát tán lên mạng các đoạn tin nhắn này kèm mại và các lĩnh vực khác do pháp luật quy định.
theo những lời lẽ xúc phạm A. ˗ Luật này áp dụng đối với cơ quan, tổ chức, cá nhân lựa chọn
1) Những người bạn của A có vi phạm pháp luật không? Nếu giao dịch bằng phương tiện điện tử.
có, hãy cho biết vi phạm điều khoản nào của Luật nào? Trình
bày nội dung điều khoản này.
2) Những người bạn của A sẽ bị xử lý như thế nào theo điều
khoản nào trong luật nào?
3. Luật Giao dịch Điện tử 3. Luật Giao dịch Điện tử

˗ Luật này bao gồm nhiều các quy định về: Giải thích từ ngữ (Điều 4)
▪ Thông điệp dữ liệu, chữ ký điện tử và chứng thực chữ ký điện tử 1. Chứng thư điện tử là thông điệp dữ liệu do tổ chức cung cấp dịch vụ chứng thực
▪ Giao kết và thực hiện hợp đồng điện tử chữ ký điện tử phát hành nhằm xác nhận cơ quan, tổ chức, cá nhân được chứng thực
là người ký chữ ký điện tử.
▪ An ninh, an toàn, bảo vệ, bảo mật trong giao dịch điện tử
2. Chứng thực chữ ký điện tử là việc xác nhận cơ quan, tổ chức, cá nhân được
▪ Giải quyết tranh chấp và xử lý vi phạm trong giao dịch điện tử
chứng thực là người ký chữ ký điện tử.
˗ http://www.moj.gov.vn/vbpq/lists/vn%20bn%20php%20lut/v 3. Chương trình ký điện tử là chương trình máy tính được thiết lập để hoạt động độc
iew_detail.aspx?itemid=17085 lập hoặc thông qua thiết bị, hệ thống thông tin, chương trình máy tính khác nhằm tạo ra
một chữ ký điện tử đặc trưng cho người ký thông điệp dữ liệu.
4. Cơ sở dữ liệu là tập hợp các dữ liệu được sắp xếp, tổ chức để truy cập, khai thác,
quản lý và cập nhật thông qua phương tiện điện tử.
Giải thích từ ngữ (Điều 4) Nguyên tắc chung tiến hành giao dịch điện tử (Điều 5)
5. Dữ liệu là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc 1. Tự nguyện lựa chọn sử dụng phương tiện điện tử để thực hiện giao dịch.
dạng tương tự. 2. Tự thỏa thuận về việc lựa chọn loại công nghệ để thực hiện giao dịch điện tử.
6. Giao dịch điện tử là giao dịch được thực hiện bằng phương tiện điện tử. 3. Không một loại công nghệ nào được xem là duy nhất trong giao dịch điện tử.
12. Thông điệp dữ liệu là thông tin được tạo ra, được gửi đi, được nhận và được lưu 4. Bảo đảm sự bình đẳng và an toàn trong giao dịch điện tử.
trữ bằng phương tiện điện tử. 5. Bảo vệ quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân, lợi ích của Nhà
13. Tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử là tổ chức thực hiện hoạt nước, lợi ích công cộng.
động chứng thực chữ ký điện tử theo quy định của pháp luật. 6. Giao dịch điện tử của cơ quan nhà nước phải tuân thủ các nguyên tắc quy định tại
Điều 40 của Luật này.

Điều 9. Các hành vi bị nghiêm cấm trong giao dịch điện tử Điều 22. Điều kiện để bảo đảm an toàn cho chữ ký điện tử
1. Cản trở việc lựa chọn sử dụng giao dịch điện tử. 1. Chữ ký điện tử được xem là bảo đảm an toàn nếu được kiểm chứng
2. Cản trở hoặc ngăn chặn trái phép quá trình truyền, gửi, nhận thông bằng một quy trình kiểm tra an toàn do các bên giao dịch thỏa thuận và
điệp dữ liệu. đáp ứng được các điều kiện sau đây:
3. Thay đổi, xoá, huỷ, giả mạo, sao chép, tiết lộ, hiển thị, di chuyển trái a) Dữ liệu tạo chữ ký điện tử chỉ gắn duy nhất với người ký trong bối
phép một phần hoặc toàn bộ thông điệp dữ liệu. cảnh dữ liệu đó được sử dụng;
4. Tạo ra hoặc phát tán chương trình phần mềm làm rối loạn, thay đổi, b) Dữ liệu tạo chữ ký điện tử chỉ thuộc sự kiểm soát của người ký tại thời
phá hoại hệ thống điều hành hoặc có hành vi khác nhằm phá hoại hạ điểm ký;
tầng công nghệ về giao dịch điện tử. c) Mọi thay đổi đối với chữ ký điện tử sau thời điểm ký đều có thể bị phát
5. Tạo ra thông điệp dữ liệu nhằm thực hiện hành vi trái pháp luật. hiện;
6. Gian lận, mạo nhận, chiếm đoạt hoặc sử dụng trái phép chữ ký điện tử d) Mọi thay đổi đối với nội dung của thông điệp dữ liệu sau thời điểm ký
của người khác. đều có thể bị phát hiện.
.
Điều 45. Bảo vệ thông điệp dữ liệu Một số nghị định đính kèm Luật giao dịch điện tử
Cơ quan, tổ chức, cá nhân không được thực hiện bất kỳ hành vi nào gây ˗ Số: 26/2007/NĐ-CP, thông qua ngày 15/2/2007
phương hại đến sự toàn vẹn của thông điệp dữ liệu của cơ quan, tổ
chức, cá nhân khác. Nghị định quy định chi tiết thi hành Luật Giao dịch điện tử về
chữ ký số và dịch vụ chứng thực chữ ký số
. ˗ Số: 35/2007/NĐ-CP, thông qua ngày 08/03/2007
Nghị định quy định chi tiết thi hành Luật Giao dịch điện tử về
giao dịch điện tử trong hoạt động ngân hàng
˗ Số: 52/2013/NĐ-CP, thông qua ngày 16/05/2013
thương mại điện tử
3.1 Nghị Định về chữ ký số và chứng thư số 3.1 Nghị Định về chữ ký số và chứng thư số
˗ Số: 26/2007/NĐ-CP, Thông qua ngày 16/5/2013 Điều 3. Giải thích từ ngữ
˗ Nghị định này quy định chi tiết về chữ ký số và chứng thư số; 1. "Chứng thư số" là một dạng chứng thư điện tử do tổ chức cung cấp
việc quản lý, cung cấp và sử dụng dịch vụ chứng thực chữ dịch vụ chứng thực chữ ký số cấp.
ký số. 2. "Chứng thư số nước ngoài" là chứng thư số do tổ chức cung cấp
dịch vụ chứng thực chữ ký số nước ngoài cấp.
˗ http://vanban.chinhphu.vn/portal/page/portal/chinhphu/het 3. “Chứng thư số có hiệu lực” là chứng thư số chưa hết hạn, không bị
hongvanban?class_id=1&_page=1&mode=detail&documen tạm dừng hoặc bị thu hồi.
t_id=20537
Điều 3. Giải thích từ ngữ Điều 3. Giải thích từ ngữ
4. "Chữ ký số" là một dạng chữ ký điện tử được tạo ra bằng sự biến đổi 6. “Dịch vụ chứng thực chữ ký số” là một loại hình dịch vụ chứng thực
một thông điệp dữ liệu sử dụng hệ thống mật mã không đối xứng theo đó chữ ký điện tử, do tổ chức cung cấp dịch vụ chứng thực chữ ký số cấp.
người có được thông điệp dữ liệu ban đầu và khoá công khai của người Dịch vụ chứng thực chữ ký số bao gồm:
ký a) Tạo cặp khóa bao gồm khóa công khai và khóa bí mật cho thuê bao;
5. “Chữ ký số nước ngoài” là chữ ký số do thuê bao sử dụng chứng b) Cấp, gia hạn, tạm dừng, phục hồi và thu hồi chứng thư số của thuê
thư số nước ngoài tạo ra. bao;
c) Duy trì trực tuyến cơ sở dữ liệu về chứng thư số;
d) Những dịch vụ khác có liên quan theo quy định.
Bài tập: Tìm hiểu một số điều khoản luật
Điều 3. Giải thích từ ngữ
Bài 1: Tìm hiểu điều 9
8. “Khoá” là một chuỗi các số nhị phân (0 và 1) dùng trong các hệ thống
mật mã.
Điều 9. Điều kiện đảm bảo an toàn cho chữ ký số
9. “Khóa bí mật” là một khóa trong cặp khóa thuộc hệ thống mật mã Chữ ký số được xem là chữ ký điện tử an toàn khi đáp ứng các điều kiện sau:
không đối xứng, được dùng để tạo chữ ký số. 1. Chữ ký số được tạo ra trong thời gian chứng thư số có hiệu lực và kiểm tra được bằng khoá
10. “Khóa công khai” là một khóa trong cặp khóa thuộc hệ thống mật công khai ghi trên chứng thư số có hiệu lực đó.
mã không đối xứng, được sử dụng để kiểm tra chữ ký số được tạo bởi 2. Chữ ký số được tạo ra bằng việc sử dụng khoá bí mật tương ứng với khoá công khai ghi trên
khoá bí mật tương ứng trong cặp khoá. chứng thư số do tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia, tổ chức cung cấp
dịch vụ chứng thực chữ ký số công cộng, tổ chức cung cấp dịch vụ chứng thực chữ ký số
chuyên dùng được cấp giấy chứng nhận đủ điều kiện đảm bảo an toàn cho chữ ký số hoặc tổ
chức cung cấp dịch vụ chứng thực chữ ký số nước ngoài được công nhận tại Việt Nam cấp.
3. Khóa bí mật chỉ thuộc sự kiểm soát của người ký tại thời điểm ký.
4. Khóa bí mật và nội dung thông điệp dữ liệu chỉ gắn duy nhất với người ký khi người đó ký số
thông điệp dữ liệu
3.1 Nghị Định về chữ ký số và chứng thư số 3.2 NĐ về giao dịch điện tử trong ngân hàng
Điều 10. Nội dung của chứng thư số giao dịch điện tử trong hoạt động ngân hàng
bao gồm các nội dung sau: ˗ http://vanban.chinhphu.vn/portal/page/portal/chinhphu/het
1. Tên của tổ chức cung cấp dịch vụ chứng thực chữ ký số.
2. Tên của thuê bao.
hongvanban?class_id=1&mode=detail&document_id=2100
3. Số hiệu của chứng thư số. 0
4. Thời hạn có hiệu lực của chứng thư số. ˗ Nghị định này áp dụng đối với các cơ quan, tổ chức, cá nhân
5. Khoá công khai của thuê bao.
6. Chữ ký số của tổ chức cung cấp dịch vụ chứng thực chữ ký số. lựa chọn sử dụng hoặc cung cấp dịch vụ giao dịch điện tử
7. Các hạn chế về mục đích, phạm vi sử dụng của chứng thư số. trong hoạt động ngân hàng.
8. Các hạn chế về trách nhiệm pháp lý của tổ chức cung cấp dịch vụ chứng thực chữ ký số.
9. Các nội dung cần thiết khác theo quy định của Bộ Bưu chính, Viễn thông.
3.2 NĐ về giao dịch điện tử trong ngân hàng 3.2 NĐ về giao dịch điện tử trong ngân hàng
Bài 1: Tìm hiểu điều 8 Bài 2: Tìm hiểu điều 19
Điều 8. Nội dung của chứng từ điện tử Điều 19. Hình thức bảo quản, lưu trữ chứng từ điện tử
1. Các nội dung chủ yếu của chứng từ điện tử trong hoạt động ngân hàng: 1. Chứng từ điện tử được bảo quản, lưu trữ bằng phương tiện điện tử.
a) Tên và số hiệu của chứng từ; 2. Cơ quan, tổ chức, cá nhân được quyền lựa chọn và áp dụng hình thức bảo quản, lưu trữ
b) Ngày, tháng, năm lập chứng từ; chứng từ điện tử phù hợp với đặc thù hoạt động và khả năng ứng dụng công nghệ của mình.
c) Tên, địa chỉ của tổ chức hoặc cá nhân lập chứng từ; 3. Trường hợp cần thiết có thể chuyển đổi hình thức bảo quản, lưu trữ bằng phương tiện điện
d) Tên, địa chỉ của tổ chức hoặc cá nhân nhận chứng từ; tử sang lưu trữ bằng giấy..
đ) Nội dung của nghiệp vụ phát sinh;
e) Chữ ký, họ và tên của người lập và những người có liên quan đến chứng từ theo quy định
của pháp luật.
3.2 NĐ về giao dịch điện tử trong ngân hàng 3.3 Nghị định về Thương mại điện tử
˗ Nghị định này quy định về việc phát triển, ứng dụng và quản
Điều 20. Yêu cầu về bảo quản, lưu trữ chứng từ điện tử lý hoạt động thương mại điện tử
Lưu trữ chứng từ điện tử phải đảm bảo:
1. Tính an toàn bảo mật, toàn vẹn, đầy đủ, không bị thay đổi, sai lệch trong suốt thời gian lưu
˗ http://vanban.chinhphu.vn/portal/page/portal/chinhphu/het
trữ. hongvanban?class_id=1&mode=detail&document_id=1674
2. Lưu trữ đúng và đủ thời hạn đối với từng loại chứng từ theo các quy định của pháp luật. 57
3. In được ra giấy hoặc tra cứu được khi có yêu cầu.
3.3 Nghị định về Thương mại điện tử 3.3 Nghị định về Thương mại điện tử
˗ Nghị định này áp dụng đối với các thương nhân, tổ chức, cá
nhân tham gia hoạt động thương mại điện tử trên lãnh thổ Việt
Nam, bao gồm: Điều 27. Trách nhiệm của thương nhân, tổ chức, cá nhân sở hữu website
a) Thương nhân, tổ chức, cá nhân Việt Nam; thương mại điện tử bán hàng
1. Thông báo với Bộ Công Thương về việc thiết lập website thương mại điện tử bán hàng theo
b) Cá nhân nước ngoài cư trú tại Việt Nam; quy định tại mục 1 Chương IV Nghị định này
c) Thương nhân, tổ chức nước ngoài có sự hiện diện tại Việt 7. Thực hiện đầy đủ nghĩa vụ thuế theo uy định của pháp luật
Nam thông qua hoạt động đầu tư, lập chi nhánh, văn phòng đại
diện, hoặc thiết lập website dưới tên miền Việt Nam.
3.3 Nghị định về Thương mại điện tử 3.3 Nghị định về Thương mại điện tử
Bài 2: Tìm hiểu điều 28 Bài 3: Tìm hiểu điều 31
Điều 28. Cung cấp thông tin trên website thương mại điện tử bán hàng Điều 31. Thông tin về giá cả
1. Website thương mại điện tử ban hàng phải cung cấp đầy đủ thông tin về người sở hữu 1. Thông tin về giá hàng hóa hoặc dịch vụ, nếu có, phải thể hiện rõ giá đó bao bồm ay chưa
website, hàng hóa, dịch vụ và các điều khoản của hợp đồng mua an áp dụng cho hàng bao gồm những chi phí liê quan đến viiệc mua hàng hóa hoặc dịch vụ như thuế, phí đóng
hóa, dịch vụ được giới thiệu trên website theo quy định từ điều 29 đến Điều 34 Nghị định gói, phí vận chuyển và các chi phí phát sinh khác
này
2. Những thông tin này phải đảm bảo các yêu cầu sau:
a) Rõ ràng, chính xác, dễ tìm và dẽ hiểu
3.3 Nghị định về Thương mại điện tử Tình hình vi phạm trong hoạt động TMĐT
˗ Hiện nay, tình hình tội phạm sử dụng công nghệ cao xâm phạm
an ninh, an toàn mạng Internet đang có nhiều diễn biến phức
Điều 33. THông tin về vận chuyển và giao nhận tạp với nhiều thủ đoạn tinh vi hơn.
1. Thương nhân, tổ chức, cá nhân phải công bố những thông tin sau về điều kiện vận ▪ Làm giả website, giả mạo thông tin khuyến mại dưới nhiều hình thức
chuyển và giao nhận áp dụng cho hàng hóa hoặc dịch vụ giới thiệu trên wesite: của nhà mạng viễn thông để dụ dỗ, lôi kéo người sử dụng nạp thẻ
a) Các phương thức giao hàng hoặc cung ứng dịch vụ nhằm chiếm đoạt tài sản.
b) Thời hạn ước tính cho việc giao hàng hoặc cung ứng dịch vụ, nếu có
c) Các giới hạn về địa lý cho việc giao hàng hoặc cung ứng dịch vụ, nếu có ▪ Tạo ra các diễn dàn thu hút người tham gia rồi phát tán các nội dung
lừa đảo, nhắn tin thông báo trúng thưởng sau đó yêu cầu lệ phí nhận
thưởng hoặc chiếm quyền sử dụng cá tài khoản trên mạng xã hội
Facebook. Tạo lập tài khoản có giao diện giống tài khoản người
thân của người bị hại để lừa đảo chiếm đoạt.
Tình hình vi phạm trong hoạt động TMĐT Câu hỏi thảo luận
▪ Sử dụng mạng Internet để đăng tin cho thuê nhà đất ảo, yêu cầu đặt ˗ Một website TMĐT cung cấp dịch vụ thanh toán bằng thẻ thanh
cọc tiền hay giả mạng người nước ngoài để kết bạn, gửi quà sau đó toán như sau:
giả làm nhân viên hải quan yêu cầu nôp phí; lập tài khoản email giống
hệt email đối tác kinh doanh đề nghị chuyển tiền theo hợp đồng kinh ˗ Website hiển thị Form yêu cầu khách hàng nhập thông tin thẻ
doanh nhưng thay đổi tài khoản thụ hưởng và chiếm đoạt. thanh toán. Thông tin thanh toán của khách hàng được lưu vào
cơ sở dữ liệu, sau đó chuyển cho nhà cung cấp dịch vụ thanh
toán để xử lý.
1) Với cách làm trên, website có thể gặp phải những vấn đề an
ninh gì?
2) Hãy đề xuất giải pháp cho mỗi vấn đề trên và giải thích lý do
chọn giải pháp đó.
Câu hỏi thảo luận 4. Luật sở hữu trí tuệ Việt Nam
˗ Một website cung cấp dịch vụ giải trí miễn phí cho người dùng. ˗ Luật sở hữu trí tuệ Việt Nam
Người dùng muốn truy cập vào các dịch vụ của website phải ˗ Được Quốc hội Việt Nam thông qua ngày 29/11/2005 và có
đăng ký tài khoản. Khi đăng ký tài khoản, người dùng phải hiệu lực vào ngày 1/7/ 2006
cung cấp thông tin cá nhân như họ tên, địa chỉ nhà, email, số ˗ Là luật quy định về quyền tác giả, quyền liên quan đến
điện thoại…. Website không thông báo cho người dùng biết quyền tác giả, quyền sở hữu công nghiệp, quyền đối với
thông tin cá nhân của họ được dùng để làm gì. Website này giống cây trồng và việc bảo hộ các quyền đó.
thu thập thông tin người dùng để bán cho các nhà quảng cáo.
a) Hãy cho biết hành vi của website trên có vi phạm pháp luật
không? Nếu có, hãy cho biết hành vi trên vi phạm những điều
khoản nào của những luật nào?
b) Trình bày nội dung điều khoản này? Nếu vi phạm sẽ bị xử lý
như thế nào?
4. Luật sở hữu trí tuệ Việt Nam 4. Luật sở hữu trí tuệ Việt Nam
˗ Luật này áp dụng đối với tổ chức, cá nhân Việt Nam; tổ chức, Đối tượng quyền sở hữu trí tuệ (Điều 3)
cá nhân nước ngoài đáp ứng các điều kiện quy định tại Luật 1. Đối tượng quyền tác giả bao gồm tác phẩm văn học, nghệ
này và điều ước quốc tế mà Cộng hoà xã hội chủ nghĩa Việt thuật, khoa học; đối tượng quyền liên quan đến quyền tác giả bao
Nam là thành viên. gồm cuộc biểu diễn, bản ghi âm, ghi hình, chương trình phát
˗ http://moj.gov.vn/vbpq/lists/vn%20bn%20php%20lut/view_ sóng, tín hiệu vệ tinh mang chương trình được mã hoá.
detail.aspx?itemid=16766 2. Đối tượng quyền sở hữu công nghiệp bao gồm sáng chế, kiểu
dáng công nghiệp, thiết kế bố trí mạch tích hợp bán dẫn, bí mật
kinh doanh, nhãn hiệu, tên thương mại và chỉ dẫn địa lý.
3. Đối tượng quyền đối với giống cây trồng là giống cây trồng và
vật liệu nhân giống.
Các loại hình tác phẩm được bảo hộ quyền tác giả (Điều 14) Các loại hình tác phẩm được bảo hộ quyền tác giả (Điều 14)
1. Tác phẩm văn học, nghệ thuật và khoa học được bảo hộ bao gồm: 1. Tác phẩm văn học, nghệ thuật và khoa học được bảo hộ bao gồm:
a) Tác phẩm văn học, khoa học, sách giáo khoa, giáo trình và tác phẩm h) Tác phẩm nhiếp ảnh;
khác được thể hiện dưới dạng chữ viết hoặc ký tự khác; i) Tác phẩm kiến trúc;
b) Bài giảng, bài phát biểu và bài nói khác; k) Bản họa đồ, sơ đồ, bản đồ, bản vẽ liên quan đến địa hình, công trình
c) Tác phẩm báo chí; khoa học;
d) Tác phẩm âm nhạc; l) Tác phẩm văn học, nghệ thuật dân gian;
đ) Tác phẩm sân khấu; m) Chương trình máy tính, sưu tập dữ liệu.
e) Tác phẩm điện ảnh và tác phẩm được tạo ra theo phương pháp tương
tự (sau đây gọi chung là tác phẩm điện ảnh);
g) Tác phẩm tạo hình, mỹ thuật ứng dụng;
Tìm hiểu một số điều khoản luật Tìm hiểu một số điều khoản luật
˗ Ví dụ 1: Tìm hiểu điều 22, khoản 1 ˗ Bài tập 1: Tìm hiểu điều 22, khoản 2
Điều 22: Quyền tác giả đối với chương trình máy tính, sưu tập dữ Điều 22: Quyền tác giả đối với chương trình máy tính, sưu tập dữ
liệu liệu
1. Chương trình máy tính là tập hợp các chỉ dẫn được thể hiện dưới dạng các lệnh, 1. Sưu tập dữ liệu là tập hợp có tính sáng tạo thể hiện ở sự tuyển chọn, sắp xếp các
các mã, lược đồ hoặc bất kỳ dạng nào khác, khi gắn vào một phương tiện mà máy tư liệu dưới dạng điện tử hoặc dạng khác.
tính đọc được, có khả năng làm cho máy tính thực hiện được một công việc hoặc Việc bảo hộ quyền tác giả đối với sưu tập dữ liệu không bao hàm chính các tư liệu đó,
đạt được một kết quả cụ thể. không gây phương hại đến quyền tác giả của chính tư liệu đó.
Chương trình máy tính được bảo hộ như tác phẩm văn học, dù được thể hiện
dưới dạng mã nguồn hay mã máy.
Tìm hiểu một số điều khoản luật Tình hình vi phạm SHTT ở VN
˗ Bài tập 2: Tìm hiểu điều 28, khoản 2 ˗ Hiện nay, tình trạng vi phạm SHTT ở nước ta vẫn đang ở mức
báo động.
Điều 28. Hành vi xâm phạm quyền tác giả
3. Công bố, phân phối tác phẩm mà không được phép của tác giả. ˗ Với sự phát triển của khoa học công nghệ, đặc biệt là CNTT,
việc sao chép, quảng bá nội dung thông tin dưới các dạng thức
như văn bản, hình ảnh, âm thanh… ngày càng trở nên dễ
dàng, tồn tại sự vi phạm lớn đối với lĩnh vực phần mềm hay
bản quyền trong văn học nghệ thuật.
Tình hình vi phạm SHTT ở VN Khuyến cáo từ BSA
Tỷ lệ vi phạm bản quyền PM máy tính ˗ “Chơi với lửa” khi sử dụng phần mềm không bản quyền.
˗ VN năm 2015 là 78%, trong khi tỷ lệ
này của toàn thế giới chỉ là 39%. VN
˗ Các cuộc tấn công mạng và việc sử dụng phần mềm không
năm 2017, giảm 4% so với 2015. bản quyền có mối liên hệ chặt chẽ với nhau. Phần mềm crack
và luôn đi kèm rủi ro ẩn chứa các mã độc, có nguy cơ phá
hỏng hệ thống máy tính, đe dọa dữ liệu lưu trên các ổ cứng.
˗ DN có thể giảm thiểu nguy cơ an ninh mạng từ phần mềm
không bản quyền bằng cách bảo đảm mua phần mềm từ các
nguồn hợp pháp và có chương trình/cách thức quản lý tài
Khảo sát do Liên minh phần mềm BSA (2018) sản phần mềm nội bộ.
Câu hỏi thảo luận Câu hỏi thảo luận

˗ Công ty B đã đăng ký bảo hộ kiểu dáng công nghiệp và nhãn ˗ Trưa 13/11/2017, Nguyễn Văn T. mua vé xem phim “Cô Ba Sài
hiệu tại Cục sở hữu trí tuệ Việt Nam cho sản phẩm X đang Gòn” ở rạp Lottle Cinema Vũng Tàu. T. đã dùng điện thoại
được bán trên thị trường. Nhưng hiện nay trên mạng đã có loại quay livestream nội dung phim đang chiếu lên Facebook.
sản phẩm tương tự từ mẫu mã, đến tên nhãn hiệu được bán 1) Hãy cho biết hành vi của Nguyễn Văn T. có vi phạm Luật sở
bởi một công ty khác ở nước ngoài. hữu trí tuệ không?
1. Nếu một công ty C nhập sản phẩm tương tự với sản phẩm X 2) Nếu có, hãy cho biết Nguyễn Văn T. đã vi phạm điều nào của
từ công ty nước ngoài về tiêu thụ trong nước, công ty C có vi Luật sở hữu trí tuệ và sẽ bị xử lý như thế nào theo điều nào
phạm Luật sở hữu trí tuệ không? Nếu có, hãy cho biết vi trong luật? Trình bày nội dung điều khoản này.
phạm điều khoản nào của Luật sở hữu trí tuệ?
2. Trình bày nội dung điều khoản này? Công ty C sẽ bị xử lý như
thế nào theo điều khoản nào trong luật?
5. Luật An ninh mạng 5.1 Luật an toàn thông tin mạng
Có 2 bộ luật ˗ Luật an toàn thông tin mạng 2015
˗ Luật an toàn thông tin mạng 2015 ˗ Xây dựng từ năm 2011, Quốc hội thông qua ngày 19/11/2015
˗ Luật an ninh mạng 2018 ˗ Gồm 8 Chương, 54 Điều.
˗ Quy định về hoạt động an toàn thông tin mạng (ATTTM), quyền
và trách nhiệm của cơ quan, tổ chức, cá nhân trong việc bảo
đảm ATTTM; mật mã dân sự; tiêu chuẩn; quy chuẩn kỹ thuật
về ATTTM; kinh doanh trong lĩnh vực ATTTM; phát triển nguồn
nhân lực ATTTM; quản lý nhà nước về ATTTM.
˗ https://thuvienphapluat.vn/van-ban/cong-nghe-thong-
tin/Luat-an-toan-thong-tin-mang-2015-298365.aspx
5.1 Luật an toàn thông tin mạng 5.1 Luật an toàn thông tin mạng
Sự cần thiết Luật an toàn thông tin mạng Sự cần thiết Luật an toàn thông tin mạng
˗ Sự phát triển của mạng xã hội góp phần quan trọng phát triển ˗ Các thiết bị kết nối internet ngày càng phổ biến không chỉ
kinh tế - xã hội, song cũng tạo môi trường thuận lợi cho các mang lại những lợi ích to lớn cho cuộc sống con người, phát
hoạt động tác động, chuyển hóa chính trị, khủng bố. triển kinh tế - xã hội, bảo đảm quốc phòng - an ninh mà còn có
˗ Sự phát triển của trí tuệ nhân tạo đã và đang tạo ra những thể bị sử dụng để tiến hành các cuộc tấn công mạng quy mô
thành tựu khoa học công nghệ vượt trội, đóng vai trò ngày lớn.
càng quan trọng trong nhiều lĩnh vực của đời sống xã hội ˗ Các cuộc tấn công mạng có chủ đích không chỉ có thể phá hoại
nhưng cũng được dự báo sẽ gây nên “thảm họa” nếu không các mục tiêu, công trình quan trọng về an ninh quốc gia mà còn
được kiểm soát chặt chẽ chiếm đoạt thông tin, tài liệu bí mật, chiếm đoạt để sử dụng các
hệ thống dữ liệu lớn, dữ liệu nhanh phục vụ các ý đồ chính trị
và hoạt động phạm tội.
Mục tiêu luật ATTTM Mục tiêu luật ATTTM
˗ Mức quốc gia: ˗ Mức cá nhân, doanh nghiệp:
▪ Giải quyết các yêu cầu về ATTTM quốc gia; ▪ Bảo vệ quyền và lợi ích hợp pháp của tổ chức, cá nhân tham gia hoạt
▪ Hoàn thiện cơ sở pháp lý về ATTT theo hướng áp dụng các quy định động ATTTM;
pháp luật đồng bộ, khả thi trong thực tiễn thi hành và phát huy các ▪ Đẩy mạnh công tác giám sát, phòng, chống nguy cơ mất ATTTM, đảm
nguồn lực của đất nước để bảo đảm ATTTM; bảo hiệu quả công tác thực thi quản lý nhà nước trong lĩnh vực
▪ Phát triển lĩnh vực ATTTM đáp ứng yêu cầu phát triển kinh tế - xã hội ATTTM;
và bảo đảm quốc phòng, an ninh. ▪ Mở rộng hợp tác quốc tế về ATTTM trên cơ sở tôn trọng độc lập, chủ
quyền, bình đẳng, cùng có lợi, phù hợp với luật pháp Việt Nam và điều
ước quốc tế mà Việt Nam tham gia ký kết.
˗ Bài tập 1: Tìm hiểu Chương 1, điều 4 ˗ Bài tập 2: Ch1 - Điều 7. Các hành vi bị nghiêm cấm
Điều 4: Nguyên tắc bảo đảm ATTTM 1. Ngăn chặn việc truyền tải thông tin trên mạng, can thiệp, truy nhập,
1. Cơ quan, tổ chức, cá nhân có trách nhiệm bảo đảm an toàn thông gây nguy hại, xóa, thay đổi, sao chép và làm sai lệch thông tin trên
tin mạng. Hoạt động an toàn thông tin mạng của cơ quan, tổ chức, mạng trái pháp luật.
cá nhân phải đúng quy định của pháp luật, bảo đảm quốc phòng, an 2. Gây ảnh hưởng, cản trở trái pháp luật tới hoạt động bình thường
ninh quốc gia, bí mật nhà nước, giữ vững ổn định chính trị, trật tự, của hệ thống thông tin hoặc tới khả năng truy nhập hệ thống thông
an toàn xã hội và thúc đẩy phát triển kinh tế - xã hội. tin của người sử dụng.
2. Tổ chức, cá nhân không được xâm phạm an toàn thông tin mạng 3. Tấn công, vô hiệu hóa trái pháp luật làm mất tác dụng của biện
của tổ chức, cá nhân khác. pháp bảo vệ an toàn thông tin mạng của hệ thống thông tin; tấn
4. Hoạt động an toàn thông tin mạng phải được thực hiện thường công, chiếm quyền điều khiển, phá hoại hệ thống thông tin.
xuyên, liên tục, kịp thời và hiệu quả. 4. Phát tán thư rác, phần mềm độc hại, thiết lập hệ thống thông tin giả
mạo, lừa đảo.
˗ Bài tập 3: Ch1 - Điều 7. Các hành vi bị nghiêm cấm ˗ Bài tập 4: Ch2 - Điều 10. Quản lý gửi thông tin
5. Thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá 1. Việc gửi thông tin trên mạng phải bảo đảm các y/cầu sau đây:
nhân của người khác; lợi dụng sơ hở, điểm yếu của hệ thống thông tin a) Không giả mạo nguồn gốc gửi thông tin;
để thu thập, khai thác thông tin cá nhân. b) Tuân thủ quy định của Luật này và quy định khác của pháp luật có
6. Xâm nhập trái pháp luật bí mật mật mã và thông tin đã mã hóa hợp liên quan.
pháp của cơ quan, tổ chức, cá nhân; tiết lộ thông tin về sản phẩm mật 2. Tổ chức, cá nhân không được gửi thông tin mang tính thương mại
mã dân sự, thông tin về khách hàng sử dụng hợp pháp sản phẩm mật vào địa chỉ điện tử của người tiếp nhận khi chưa được người tiếp nhận
mã dân sự; sử dụng, kinh doanh các sản phẩm mật mã dân sự không đồng ý hoặc khi người tiếp nhận đã từ chối, trừ trường hợp người tiếp
rõ nguồn gốc. nhận có nghĩa vụ phải tiếp nhận thông tin theo quy định của pháp luật.
˗ Bài tập 5: Ch2 - Điều 10. Quản lý gửi thông tin ˗ Bài tập 6: Ch2 - Điều 11. Phòng ngừa, phát hiện, ngăn chặn và
xử lý phần mềm độc hại
3. DN viễn thông, DN cung cấp dịch vụ ứng dụng viễn thông và DN
cung cấp dịch vụ CNTT gửi thông tin có trách nhiệm sau đây: 2. Chủ quản hệ thống thông tin quan trọng quốc gia triển khai hệ thống
a) Tuân thủ quy định của pháp luật về lưu trữ thông tin, bảo vệ thông kỹ thuật nghiệp vụ nhằm phòng ngừa, phát hiện, ngăn chặn và xử lý kịp
tin cá nhân, thông tin riêng của tổ chức, cá nhân; thời phần mềm độc hại.
b) Áp dụng biện pháp ngăn chặn, xử lý khi nhận được thông báo của tổ 3. DN cung cấp dịch vụ thư điện tử, truyền đưa, lưu trữ thông tin phải có
chức, cá nhân về việc gửi thông tin vi phạm quy định của pháp luật; hệ thống lọc phần mềm độc hại trong quá trình gửi, nhận, lưu trữ thông
c) Có phương thức để người tiếp nhận thông tin có khả năng từ chối tin trên hệ thống của mình và báo cáo cơ quan nhà nước có thẩm quyền
việc tiếp nhận thông tin; theo quy định của pháp luật.
d) Cung cấp điều kiện kỹ thuật và nghiệp vụ cần thiết để cơ quan nhà
nước có thẩm quyền thực hiện nhiệm vụ quản lý, bảo đảm an toàn
thông tin mạng khi có yêu cầu.
˗ Bài tập 7: Ch2 - Điều 16. Nguyên tắc bảo vệ thông tin cá nhân ˗ Bài tập 8: Ch2 - Điều 17. Thu thập và sử dụng thông tin cá
trên mạng nhân
1. Cá nhân tự bảo vệ thông tin cá nhân của mình và tuân thủ quy định 1. Tổ chức, cá nhân xử lý thông tin cá nhân có trách nhiệm:
của pháp luật về cung cấp thông tin cá nhân khi sử dụng dịch vụ trên a) Tiến hành thu thập thông tin cá nhân sau khi có sự đồng ý của chủ
mạng. thể thông tin cá nhân về phạm vi, mục đích của việc thu thập và sử
2. Cơ quan, tổ chức, cá nhân xử lý thông tin cá nhân có trách nhiệm dụng thông tin đó;
bảo đảm an toàn thông tin mạng đối với thông tin do mình xử lý. b) Chỉ sử dụng thông tin cá nhân đã thu thập vào mục đích khác mục
3. Tổ chức, cá nhân xử lý thông tin cá nhân phải xây dựng và công bố đích ban đầu sau khi có sự đồng ý của chủ thể thông tin cá nhân;
công khai biện pháp xử lý, bảo vệ thông tin cá nhân của tổ chức, cá c) Không được cung cấp, chia sẻ, phát tán thông tin cá nhân mà mình
nhân mình. đã thu thập, tiếp cận, kiểm soát cho bên thứ ba, trừ trường hợp có sự
đồng ý của chủ thể thông tin cá nhân đó hoặc theo yêu cầu của cơ
quan nhà nước có thẩm quyền.
5.1 Luật an toàn thông tin mạng 5.2 Luật an toàn thông tin mạng 2018
Tìm hiểu một số điều khoản luật ˗ Luật an toàn thông tin mạng 2018
˗ Bài tập 9: Ch2 - Điều 28. Trách nhiệm của tổ chức, cá nhân ˗ Xây dựng từ năm 2018, Quốc hội thông qua ngày 12/06/2018
trong ˗ Gồm 7 Chương, 43 Điều.
˗ việc
1. Tổngăn
chức,chặn xung
cá nhân xử đột thông
lý thông tin nhân
tin cá trên có
mạng
trách nhiệm: ▪ Những quy định chung: gồm 09 Điều;
a) Tiến hành thu thập thông tin cá nhân sau khi có sự đồng ý của chủ ▪ Bảo vệ an ninh mạng với hệ thống thông tin quan trọng về an ninh
thể thông tin cá nhân về phạm vi, mục đích của việc thu thập và sử quốc gia: gồm 06 Điều
dụng thông tin đó; ▪ Phòng ngừa, xử lý hành vi xâm phạm an ninh mạng: gồm 07 Điều
b) Chỉ sử dụng thông tin cá nhân đã thu thập vào mục đích khác mục ▪ Hoạt động bảo vệ an ninh mạng: gồm 07 Điều
đích ban đầu sau khi có sự đồng ý của chủ thể thông tin cá nhân;
▪ Bảo đảm hoạt động bảo vệ an ninh mạng: gồm 05 Điều
c) Không được cung cấp, chia sẻ, phát tán thông tin cá nhân mà mình
đã thu thập, tiếp cận, kiểm soát cho bên thứ ba, trừ trường hợp có sự ▪ Trách nhiệm của cơ quan, tổ chức, cá nhân trong an ninh mạng: gồm
đồng ý của chủ thể thông tin cá nhân đó hoặc theo yêu cầu của cơ 07 Điều
quan nhà nước có thẩm quyền. ▪ Điều khoản thi hành: 01 Điều về hiệu lực thi hành.
5.2 Luật an toàn thông tin mạng 2018 5.2 Luật an toàn thông tin mạng 2018
Mục đích – luật 2018 Các hành vi bị nghiêm cấm
˗ Để bảo vệ sự an toàn thông tin trên 03 phương diện: tính ˗ Đăng tải, phát tán thông tin trên không gian mạng có nội dung tuyên
nguyên vẹn của thông tin, tính bảo mật thông tin và tính khả truyền chống Nhà nước CHXHCNVN; kích động gây bạo loạn, phá rối an
ninh, gây rối trật tự công cộng; làm nhục, vu khống; xâm phạm trật tự
dụng của thông tin;
quản lý kinh tế; sai sự thật gây hoang mang trong nhân dân, gây thiệt hại
˗ Luật An ninh mạng 2018 quy định tập trung vào chống lại các cho các hoạt động kinh tế - xã hội, gây khó khăn cho hoạt động của cơ
thông tin độc hại, xâm phạm đến an ninh quốc gia, trật tự an quan nhà nước hoặc người thi hành công vụ, xâm phạm quyền và lợi ích
toàn xã hội, quyền và lợi ích hợp pháp của các cá nhân, tổ hợp pháp của tổ chức, cá nhân khác được quy định tại các khoản 1, 2, 3,
chức, cơ quan trên môi trường mạng. 4 và 5 Điều 16 và hành vi gián điệp mạng, xâm phạm bí mật nhà nước, bí
mật công tác, thông tin cá nhân trên không gian mạng quy định tại khoản
1 Điều 17 của Luật An ninh mạng;
Các hành vi bị nghiêm cấm Các hành vi bị nghiêm cấm
˗ Chiếm đoạt tài sản; tổ chức đánh bạc, đánh bạc qua mạng internet; trộm ˗ Xuyên tạc lịch sử, phủ nhận thành tựu cách mạng, phá hoại khối đại đoàn
cắp cước viễn thông quốc tế trên nền internet; vi phạm bản quyền và sở kết toàn dân tộc, xúc phạm tôn giáo, phân biệt đối xử về giới, phân biệt
hữu trí tuệ trên không gian mạng; chủng tộc;
˗ Giả mạo trang thông tin điện tử của cơ quan, tổ chức, cá nhân; làm giả, ˗ Thông tin sai sự thật gây hoang mang trong nhân dân, gây thiệt hại cho
lưu hành, trộm cắp, mua bán, thu thập, trao đổi trái phép thông tin thẻ tín các hoạt động KT - XH, gây khó khăn cho hoạt động của cơ quan nhà
dụng, tài khoản ngân hàng của người khác; phát hành, cung cấp, sử dụng nước hoặc người thi hành công vụ, xâm phạm quyền và lợi ích hợp pháp
các phương tiện thanh toán trái phép; của tổ chức, cá nhân khác;
˗ Tuyên truyền, quảng cáo, mua bán hàng hóa, dịch vụ thuộc danh mục ˗ Hoạt động mại dâm, tệ nạn xã hội, mua bán người; đăng tải thông tin dâm
cấm theo quy định của pháp luật; ô, đồi trụy, tội ác; phá hoại thuần phong, mỹ tục của dân tộc, đạo đức xã
˗ Hướng dẫn người khác thực hiện hành vi vi phạm pháp luật hội, sức khỏe cộng đồng;
˗ Tổ chức, hoạt động, cấu kết, xúi giục, mua chuộc, lừa gạt, lôi kéo, đào ˗ Xúi giục, lôi kéo, kích động người khác phạm tội.
tạo, huấn luyện người chống Nhà nước CHXHCNVN
Tình hình tấn công an ninh mạng Tình hình tấn công an ninh mạng
˗ Theo Cục ATTT (bộ Thông tin & Truyền Thông), Việt Nam là một trong ˗ Theo Cục ATTT (bộ Thông tin & Truyền Thông), Việt Nam là
những nước có nguy cơ nhiễm mã độc cao trên thế giới ˗ Năm 2017, có một trong những nước có nguy cơ nhiễm mã độc cao trên thế
khoảng 14.000 cuộc tấn công mạng vào các hệ thống thông tin của Việt
giới ˗ Năm 2017, có hơn 17 triệu lượt truy vấn từ các địa chỉ IP
Nam, bao gồm gần 3.000 cuộc tấn công lừa đảo, 6.500 tấn công cài phần
mềm độc hại và 4.500 tấn công thay đổi giao diện. của Việt Nam đến các tên miền hoặc IP phát tán/điều khiển mã
˗ Năm 2017, trên 19.000 lượt địa chỉ máy chủ web tại VN bị tấn công; trên độc trên thế giới, chủ yếu là các kết nối tới các mạng botnet
3 triệu địa chỉ IP Việt Nam thường xuyên nằm trong danh sách đen (black lớn như conficker, mirai, ramnit, sality, cutwai, zeroaccess,…
list) của các tổ chức quốc tế; và có hơn 100.000 camera IP đang được
công khai trên Internet của VN (trên tổng số 307.201 camera IP) tồn tại
các điểm yếu và lỗ hổng bảo mật có thể bị khai thác lợi dụng.
Tình hình rò rỉ thông tin cá nhân Tìm hiểu một số điều khoản luật
Rò rỉ từ đâu ˗ Bài tập 1: Điều 8. Các hành vi bị nghiêm cấm về an ninh mạng
˗ Trang mạng xã hội như Facebook: VN có 427.446 tài khoản 1. Sử dụng không gian mạng để thực hiện hành vi sau đây:
Facebook cá nhân bị lộ thông tin, đứng thứ 9 trong bảng xếp a) Tổ chức, hoạt động, câu kết, xúi giục, mua chuộc, lừa gạt, lôi kéo, đào tạo, huấn
hạng top 10 quốc gia lộ thông tin nhiều nhất từ Facebook (công luyện người chống Nhà nước Cộng hòa Xã hội Chủ nghĩa Việt Nam;
bố 4/2018). Tham gia các trò chơi lan truyền trên mạng XH b) Xuyên tạc lịch sử, phủ nhận thành tựu cách mạng, phá hoại khối đại đoàn kết toàn
dân tộc, xúc phạm tôn giáo, phân biệt đối xử về giới, phân biệt chủng tộc;
này. c) Thông tin sai sự thật gây hoang mang trong Nhân dân, gây thiệt hại cho hoạt động
˗ Đặt hàng/giao dịch qua các ứng dụng mua bán/thanh toán/đặt kinh tế - xã hội, gây khó khăn cho hoạt động của cơ quan nhà nước hoặc người thi hành
vé trực tuyến từ. KH phải cung cấp thông tin cá nhân, tín dụng công vụ, xâm phạm quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân khác;
để hoàn tất giao dịch. Ví dụ các ứng dụng của ngân hàng, bảo d) Hoạt động mại dâm, tệ nạn xã hội, mua bán người; đăng tải thông tin dâm ô, đồi trụy,
tội ác; phá hoại thuần phong, mỹ tục của dân tộc, đạo đức xã hội, sức khỏe của cộng
hiểm, mua bán, đặt vé, mạng điện thoại, .... đồng;
e) Xúi giục, lôi kéo, kích động người khác phạm tội.
˗ Bài tập 2: Điều 8. Các hành vi bị nghiêm cấm về an ninh mạng ˗ Bài tập 3: Điều 8. Các hành vi bị nghiêm cấm về an ninh mạng
2. Thực hiện tấn công mạng, khủng bố mạng, gián điệp mạng, tội phạm mạng; Doanh nghiệp nước ngoài phải lưu trữ dữ liệu người dùng tại Việt Nam
gây sự cố, tấn công, xâm nhập, chiếm quyền điều khiển, làm sai lệch, gián đoạn, Theo Điều 26.3 Luật An ninh mạng 2018 yêu cầu:
ngưng trệ, tê liệt hoặc phá hoại hệ thống thông tin quan trọng về an ninh quốc gia • Doanh nghiệp trong nước và ngoài nước cung cấp dịch vụ trên mạng viễn
3. Sản xuất, đưa vào sử dụng công cụ, phương tiện, phần mềm hoặc có hành vi thông, mạng Internet, các dịch vụ gia tăng trên không gian mạng tại Việt
cản trở, gây rối loạn hoạt động của mạng viễn thông, mạng Internet, mạng máy Nam có hoạt động thu thập, khai thác, phân tích, xử lý dữ liệu về thông tin
tính, hệ thống thông tin, hệ thống xử lý và điều khiển thông tin, phương tiện điện cá nhân, dữ liệu về mối quan hệ của người sử dụng dịch vụ, dữ liệu do
tử; phát tán chương trình tin học gây hại cho hoạt động của mạng viễn thông, người sử dụng dịch vụ tại Việt Nam tạo ra phải lưu trữ dữ liệu này tại Việt
mạng Internet, mạng máy tính, hệ thống thông tin, hệ thống xử lý và điều khiển Nam trong thời gian theo quy định của Chính phủ;
thông tin, phương tiện điện tử; xâm nhập trái phép vào mạng viễn thông, mạng • Đặc biệt, các doanh nghiệp nước ngoài phải đặt văn phòng đại diện hoặc
máy tính, hệ thống thông tin, hệ thống xử lý và điều khiển thông tin, cơ sở dữ liệu,
chi nhánh tại Việt Nam.
phương tiện điện tử của người khác.
Ngừng cung cấp dịch vụ mạng khi có yêu cầu của cơ quan chức
Doanh nghiệp phải cung cấp thông tin người dùng cho công tác điều
năng
tra
Ngay khi có yêu cầu của cơ quan Bộ Thông tin và Truyền thông hoặc Lực • Các doanh nghiệp trong và ngoài nước cung cấp dịch vụ trên mạng viễn thông, mạng
lượng bảo vệ an ninh mạng thuộc Bộ Công an, các doanh nghiệp trong và internet, các dịch vụ gia tăng trên không gian mạng phải chịu trách nhiệm trong việc
ngoài nước phải ngừng cung cấp các dịch vụ gia tăng trên không gian xác thực thông tin của người dùng khi đăng ký tài khoản số, bảo mật thông tin và tài
mạng, mạng Internet và mạng viễn thông cho các tổ chức hoặc cá nhân đã khoản của người dùng theo quy định.
đăng tải các thông tin được quy định từ khoản 1 đến khoản 5 Điều 16 Luật • Đặc biệt, doanh nghiệp phải sẵn sàng cung cấp toàn bộ thông tin của người dùng cho
Lực lượng bảo vệ an ninh mạng thuộc Bộ Công an (khi có yêu cầu) để phục vụ cho
này. công tác điều tra nhằm hỗ trợ quá trình xử lý hành vi vi phạm pháp luật về an ninh
mạng.
Xóa bỏ mọi thông tin vi phạm trên mạng trong vòng 24 giờ Bảo vệ trẻ em trên không gian mạng
Điều 29 Luật An ninh mạng 2018 được xem là một quy định cực kỳ nhân văn, theo đó:
• Khi người dùng đăng tải hoặc chia sẻ những thông tin bị nghiêm cấm, các • Trẻ em có quyền được bảo vệ, tiếp cận thông tin, tham gia hoạt động xã hội, vui chơi, giải trí, giữ
doanh nghiệp phải ngăn chặn việc chia sẻ, xóa bỏ mọi thông tin vi phạm chậm bí mật cá nhân, đời sống riêng tư và các quyền khác khi tham gia trên không gian mạng;
nhất là 24 giờ – tính từ thời điểm nhận được yêu cầu từ cơ quan Bộ Thông tin • Chủ quản hệ thống thông tin, doanh nghiệp cung cấp dịch vụ trên mạng viễn thông, mạng
và Truyền thông hoặc Lực lượng bảo vệ an ninh mạng thuộc Bộ Công an. Internet, các dịch vụ gia tăng trên không gian mạng có trách nhiệm kiểm soát nội dung thông tin
• Bên cạnh đó, doanh nghiệp cần lưu lại nhật ký người dùng trên hệ thống trong trên hệ thống thông tin hoặc trên dịch vụ do doanh nghiệp cung cấp để không gây nguy hại cho
trẻ em, xâm phạm đến trẻ em, quyền trẻ em; ngăn chặn việc chia sẻ và xóa bỏ thông tin có nội
thời gian quy định để phục vụ quá trình điều tra và xử lý hành vi vi phạm pháp dung gây nguy hại cho trẻ em, xâm phạm đến trẻ em, quyền trẻ em; kịp thời thông báo, phối hợp
luật về an ninh mạng. với lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an để xử lý;
• Cơ quan, tổ chức, cá nhân tham gia hoạt động trên không gian mạng có trách nhiệm phối hợp
với cơ quan có thẩm quyền trong bảo đảm quyền của trẻ em trên không gian mạng, ngăn chặn
thông tin có nội dung gây nguy hại cho trẻ em theo quy định của Luật này và pháp luật về trẻ em;
Bảo vệ trẻ em trên không gian mạng “Nghe lén” các cuộc đàm thoại là hành vi gián điệp mạng
Điều 29 Luật An ninh mạng 2018 được xem là một quy định cực kỳ nhân văn, • Theo Điều 17 Luật An ninh mạng 2018, các hành vi được xem là gián điệp mạng:
theo đó: • Chiếm đoạt, mua bán, thu giữ, cố ý làm lộ thông tin thuộc bí mật nhà nước, bí mật
• Cơ quan, tổ chức, cha mẹ, giáo viên, người chăm sóc trẻ em và cá nhân khác công tác, bí mật kinh doanh, bí mật cá nhân, bí mật gia đình và đời sống riêng tư gây
ảnh hưởng đến danh dự, uy tín, nhân phẩm, quyền và lợi ích hợp pháp của cơ quan,
liên quan có trách nhiệm bảo đảm quyền của trẻ em, bảo vệ trẻ em khi tham
tổ chức, cá nhân;
gia không gian mạng theo quy định của pháp luật về trẻ em; • Cố ý xóa, làm hư hỏng, thất lạc, thay đổi thông tin thuộc bí mật nhà nước, bí mật công
• Lực lượng chuyên trách bảo vệ an ninh mạng và các cơ quan chức năng có tác, bí mật kinh doanh, bí mật cá nhân, bí mật gia đình và đời sống riêng tư được
trách nhiệm áp dụng biện pháp để phòng ngừa, phát hiện, ngăn chặn, xử lý truyền đưa, lưu trữ trên không gian mạng;
nghiêm hành vi sử dụng không gian mạng gây nguy hại cho trẻ em, xâm phạm • Cố ý thay đổi, hủy bỏ hoặc làm vô hiệu hóa biện pháp kỹ thuật được xây dựng, áp
đến trẻ em, quyền trẻ em. dụng để bảo vệ thông tin thuộc bí mật nhà nước, bí mật công tác, bí mật kinh doanh, bí
mật cá nhân, bí mật gia đình và đời sống riêng tư;
“Nghe lén” các cuộc đàm thoại là hành vi gián điệp mạng Khuyến khích tổ chức và cá nhân tham gia phổ biến kiến thức an ninh mạng
• Đưa lên không gian mạng những thông tin thuộc bí mật nhà nước, bí • Nhà nước luôn khuyến khích các cơ quan, tổ chức, cá nhân thực hiện chương
mật công tác, bí mật kinh doanh, bí mật cá nhân, bí mật gia đình và đời trình giáo dục thông qua các chính sách phổ biến về an ninh mạng trong phạm
vi cả nước để nâng cao nhận thức về an ninh mạng.
sống riêng tư trái quy định của pháp luật;
• Đồng thời, bộ, ngành, cơ quan và các tổ chức phải triển khai các hoạt động
• Cố ý nghe, ghi âm, ghi hình trái phép các cuộc đàm thoại;
giáo dục, phổ cập kiến thức về an ninh mạng cho các cán bộ công chức, tổ
• Hành vi khác cố ý xâm phạm bí mật nhà nước, bí mật công tác, bí mật chức và cơ quan trong Bộ.
kinh doanh, bí mật cá nhân, bí mật gia đình và đời sống riêng tư. • UBND cấp tỉnh phải thực thi phổ biến kiến thức về Luật an ninh mạng 2018
cho cơ quan, tổ chức và cá nhân của địa phương.
Câu hỏi kiểm tra Câu hỏi kiểm tra

˗ Giải thích một số điều khoản luật (chính là các bài tập) Tình huống thảo luận
▪ Giải thích ý nghĩa chi tiết của điều khoản 1. Ông Nguyễn Đình Khuê đang sử dụng mạng điện thoại của
▪ Cho ví dụ minh họa cho phần giải thích Công ty Cổ phần dịch vụ bưu chính, viễn thông MH. Qua nhiều
tháng sử dụng với thuê bao trả sau, công ty này đã nhiều lần
không lập hóa đơn thanh toán giá cước dịch vụ viễn thông theo
hình thức trả sau cho ông Khuê. Ông Khuê muốn biết, hành vi
không lập hóa đơn thanh toán giá cước cho người sử dụng dịch
vụ viễn thông theo hình thức trả sau của Công ty Cổ phần dịch vụ
bưu chính, viễn thông MH bị xử phạt vi phạm hành chính như thế
nào?
2. Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với một trong các 3. Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với hành vi không
hành vi sau: báo cáo doanh thu dịch vụ viễn thông với cơ quan quản lý nhà nước về
a) Không áp dụng đúng phương pháp xác định doanh thu dịch vụ viễn viễn thông.
thông; 4. Phạt tiền từ 170.000.000 đồng đến 200.000.000 đồng đối với hành vi
b) Không thực hiện điều chỉnh Báo cáo doanh thu dịch vụ viễn thông phù khấu trừ không đúng số tiền phải thanh toán theo giá cước quy định cho
hợp với kết quả của kiểm toán; người sử dụng dịch vụ viễn thông thanh toán theo hình thức trả trước.
c) Báo cáo doanh thu dịch vụ viễn thông không đúng thời hạn quy định với 5. Biện pháp khắc phục hậu quả:
cơ quan quản lý chuyên ngành về viễn thông; Buộc hoàn trả hoặc buộc nộp lại cước phí đã thu không đúng đối với hành vi
d) Báo cáo doanh thu dịch vụ viễn thông không chính xác hoặc không đầy vi phạm quy định tại điểm c khoản 1 và khoản 4 nêu trên.
đủ các nội dung theo quy định. ˗ Như vậy, căn cứ quy định nêu trên, hành vi không lập hóa đơn thanh toán
giá cước cho người sử dụng dịch vụ viễn thông theo hình thức trả sau
của Công ty Cổ phần dịch vụ bưu chính, viễn thông MH sẽ bị xử phạt vi
phạm hành chính, mức phạt tiền từ 20.000.000 đồng đến 30.000.000
đồng.

Tình huống 2: Trả lới
Tình huống 2: Điều 35 Nghị định số 15/2020/NĐ-CP ngày 03 tháng 02 năm 2020 của
Công ty Cổ phần AQ dự định kinh doanh dịch vụ Internet. Chính phủ quy định xử phạt vi phạm hành chính trong lĩnh vực bưu chính,
Công ty đã đăng ký làm đại lý bưu chính viễn thông cho các viễn thông, tần số vô tuyến điện, công nghệ thông tin và giao dịch điện tử,
Công ty bưu chính viễn thông. Trong quá trình kinh doanh, quy định như sau:
Công ty đã không niêm yết công khai nội quy sử dụng dịch vụ 1. Phạt cảnh cáo hoặc phạt tiền từ 600.000 đồng đến 1.000.000 đồng đối
với một trong các hành vi sau:
Internet theo quy định. Hành vi này của công ty có bị xử phạt vi
a) Không ghi số đăng ký kinh doanh đại lý Internet trên biển Đại lý Internet đối với đại lý
phạm hành chính không? Internet phải ký hợp đồng đại lý Internet;
b) Không ghi tên doanh nghiệp hoặc không ghi số Giấy phép cung cấp dịch vụ Internet
của doanh nghiệp trên biển Điểm truy nhập Internet công cộng;
c) Không thể hiện đầy đủ các hành vi bị cấm theo quy định trong nội quy sử dụng dịch
vụ Internet;
d) Không niêm yết công khai nội quy sử dụng dịch vụ Internet theo quy định.
Tình huống 2: Trả lới Tình huống 2: Trả lới
2. Phạt tiền từ 2.000.000 đồng đến 5.000.000 đồng đối với một trong các 3. Phạt tiền từ 5.000.000 đồng đến 10.000.000 đồng đối với một trong các
hành vi sau: hành vi sau:
a) Không treo biển Đại lý Internet hoặc Điểm truy nhập Internet công cộng; a) Không tuân thủ thời gian hoạt động của đại lý Internet hoặc của điểm truy nhập
Internet công cộng theo quy định;
b) Thiết lập hệ thống thiết bị đầu cuối ngoài địa điểm được quyền sử dụng b) Sử dụng không đúng đường truyền thuê bao trong hợp đồng đại lý với doanh nghiệp
để cung cấp dịch vụ truy nhập Internet; cung cấp dịch vụ truy nhập Internet để cung cấp dịch vụ truy nhập Internet cho công
c) Hệ thống thiết bị Internet không đáp ứng các yêu cầu về bảo đảm an cộng;
toàn an ninh thông tin theo quy định; c) Tổ chức hoặc cho phép người sử dụng Internet sử dụng tính năng của máy tính tại
địa điểm kinh doanh của mình để thực hiện hành vi bị cấm theo quy định về sử dụng
d) Cung cấp dịch vụ truy nhập Internet có chất lượng thấp hơn hoặc có giá Internet và thông tin trên mạng;
cước cao hơn trong hợp đồng đại lý Internet. d) Điểm truy nhập Internet công cộng không có hợp đồng đại lý Internet theo quy định;
đ) Để người sử dụng Internet truy cập, xem, tải các thông tin, hình ảnh, phim có nội
dung đồi trụy, tội ác, tệ nạn xã hội, mê tín dị đoan.

Tình huống 2: Trả lới
4. Hình thức xử phạt bổ sung: ˗ Sinh viên A thực tập tại công ty chuyên cung cấp phần mềm
a) Đình chỉ hoạt động từ 01 tháng đến 03 tháng đối với đại lý Internet
ERP cho doanh nghiệp, sinh viên này được giao nhiệm vụ hỗ
công cộng có hành vi vi phạm quy định tại các điểm b, c và đ khoản 3 trợ một nhân viên chính thức của công ty cùng tham gia bảo trì
nêu trên; một hệ thống ERP cho một doanh nghiệp hoạt động trong lĩnh
b) Đình chỉ hoạt động từ 01 tháng đến 03 tháng đối với điểm truy nhập vực sản xuất và cung cấp thiết bị văn phòng. Do vậy, sinh viên
Internet công cộng có hành vi vi phạm quy định tại các điểm c và đ A dễ dàng tiếp cận danh sách các công ty cung cấp nguồn
khoản 3 nêu trên. nguyên liệu cho doanh nghiệp này. Trong một lần trò chuyện,
Như vậy, căn cứ quy định nêu trên, hành vi không niêm yết công khai nội sinh viên A đã vô tình tiết lộ các công ty cung cấp nguồn
quy sử dụng dịch vụ Internet theo quy định của Công ty Cổ phần AQ sẽ nguyên liệu với sinh viên B đang thực tập tại công ty đối thủ.
bị xử phạt vi phạm hành chính, mức phạt tiền từ 600.000 đồng đến
1.000.000 đồng. 1) Vậy sinh viên A đã vi phạm nguyên tắc nào của bộ quy tắc
ứng xử ACM?
2) Trình bày chi tiết nguyên tắc trên?
Doanh nghiệp cần làm gì để bảo đảm an ninh mạng Doanh nghiệp cần làm gì để bảo đảm an ninh mạng
Luật An ninh mạng quy định tại Điều 26 về bảo đảm an ninh thông tin trên không gian mạng. Chậm nhất là 24 giờ kể từ thời điểm có yêu cầu của lực lượng chuyên trách bảo vệ an ninh mạng
Theo đó, các trang thông tin điện tử, cổng thông tin điện tử hoặc chuyên trang trên mạng xã hội thuộc Bộ Công an hoặc cơ quan có thẩm quyền của Bộ Thông tin và Truyền thông, các doanh
của cơ quan, tổ chức, cá nhân không được cung cấp, đăng tải, truyền đưa thông tin có nội dung nghiệp phải ngăn chặn việc chia sẻ thông tin, xoá bỏ các thông tin có nội dung vi phạm.
tuyên truyền chống Nhà nước CHXHCN Việt Nam; Kích động gây bạo loạn, phá rối an ninh, gây
rối trật tự công cộng; Làm nhục, vu khống; Xâm phạm trật tự quản lý kinh tế. Doanh nghiệp trong và ngoài nước cung cấp dịch vụ trên mạng viễn thông, mạng Internet và các
dịch vụ gia tăng trên không gian mạng tại Việt Nam phải đặt chi nhánh hoặc văn phòng đại diện
Doanh nghiệp trong và ngoài nước khi cung cấp dịch vụ trên mạng viễn thông, mạng Internet và tại Việt Nam. Dữ liệu về thông tin cá nhân, dữ liệu về mối quan hệ của người sử dụng dịch vụ, dữ
các dịch vụ gia tăng trên không gian mạng tại Việt Nam có trách nhiệm xác thực thông tin khi liệu do người sử dụng dịch vụ tại Việt Nam tạo ra phải lưu trữ tại Việt Nam.
người dùng đăng ký tài khoản số; Bảo mật thông tin, tài khoản của người dùng; Cung cấp thông
tin người dùng cho lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an khi có yêu
cầu bằng văn bản để phục vụ điều tra, xử lý hành vi vi phạm pháp luật về an ninh mạng.
4 Nội dung chính

1) Các khái niệm cơ bản
2) Các thành phần của chính sách ATTT
3) Tầm quan trọng của chính sách an toàn
thông tin đối với doanh nghiệp/cá nhân
4) Vòng đời của chính sách an toàn thông tin
(INFORMATION 5) Xây dựng hoặc đưa ra các khuyến nghị về
chính sách an toàn thông tin thích hợp.
SECURITY POLICY) 6) Các bước triển khai một chính sách an toàn
thông tin
https://www.sans.org/security-
Các khái niệm cơ bản Các khái niệm cơ bản
1) Chính sách 1) Chính sách:

• Chính sách là một hệ thống nguyên tắc có chủ ý hướng • Các chính sách tương phản để hỗ trợ việc ra quyết định khách
dẫn các quyết định và đạt được các kết quả hợp lý. Một quan thường hoạt động trong tự nhiên và có thể được kiểm tra
chính sách là một tuyên bố về ý định, và được thực hiện khách quan, ví dụ: chính sách mật khẩu.
như một thủ tục hoặc giao thức. • Chính sách khác với các quy tắc hoặc luật pháp. Mặc dù luật
pháp có thể buộc hoặc cấm hành vi (ví dụ: luật yêu cầu nộp thuế
• Các chính sách thường được cơ quan quản trị thông qua đối với thu nhập), chính sách chỉ hướng dẫn hành động đối với
trong một tổ chức. Chính sách có thể hỗ trợ cả việc đưa những hành vi có nhiều khả năng đạt được kết quả mong muốn
ra quyết định chủ quan và khách quan. nhất.
• Ví dụ: chính sách cân bằng giữa công việc và cuộc sống.
1-3 1-4
Các khái niệm cơ bản Các khái niệm cơ bản
2) An toàn thông tin: giá trị thông tin 3) Chính sách bảo mật an toàn thông tin:
Information Security Policy (ISP)
ISP là một tập các quy tắc, hướng dẫn mà tổ chức đưa ra
nhằm đảm bảo tính an toàn hệ thống thông tin và miễn
nhiễm chống lại tấn công nguy hiểm.
1-5 1-6
RỦI RO KHI MẤT AN TOÀN
Các khái niệm cơ bản
THÔNG TIN
3) Chính sách an toàn thông tin: • Đối với cá nhân: Việc rò rỉ hay bị đánh cắp thông tin sẽ
• ISP cung cấp một môi trường để quản lý thông tin một làm ảnh hưởng vô cùng nghiêm trọng đến tài chính, uy tín,
cách an toàn trong toàn tổ chức. các mối quan hệ của một cá nhân. Đặc biệt là các hành vi
• ISP được viết cho tất cả các cấp nhân viên khác nhau. đánh cắp dữ liệu, tung lên mạng nhằm mục đích bôi xấu cá
• ISP gồm các quy tắc chung về tất cả các chủ đề có liên nhân và hack hệ thống tài khoản ngân hàng gây thiệt hại
quan đến an toàn thông tin và sử dụng máy tính hoặc lớn.
các quy tắc riêng biệt về các chủ đề khác nhau • Đối với doanh nghiệp: Nếu chẳng may bị tin tặc tấn công,
• Ví dụ: quy tắc dùng e-mail, quyền hạn truy xuất dữ liệu, quy doanh nghiệp sẽ phải đối mặt với nguy cơ mất dữ liệu, thất
trình backup dữ liệu,.... thoát tài chính, gián đoạn hoạt động công ty, thiệt hại điện
tử vật lý. Đó là còn chưa kể đến việc hình ảnh cũng như
thương hiệu bị ảnh hưởng.
1-7
Mục đích của ISP - Tầm quan Mục đích của ISP - Tầm quan
trọng của ISP trọng của ISP
• Giảm thiểu nguy cơ rò rỉ dữ liệu hoặc mất mát
Các tổ chức đưa ra các ISP bởi nhiều lý do khác nhau:
• Bảo vệ tổ chức khỏi những người dùng bên trong và bên
• Thiết lập một cách tiếp cận chung đối với an toàn thông tin.
ngoài "độc hại“
• Phát hiện và ngăn chặn sự thoả hiệp của an toàn thông tin • Thiết lập các hướng dẫn việc thực hiện và sử dụng chính
như lạm dụng dữ liệu, mạng, hệ thống máy tính và các ứng sách để đảm bảo tuân thủ đúng.
dụng.
• Thông báo các cá nhân, tổ chức bên trong và bên ngoài thông
• Để bảo vệ danh tiếng của công ty đối với trách nhiệm đạo tin đó là tài sản, tài sản riêng của tổ chức, và được bảo vệ
đức và pháp lý của công ty. khỏi bị truy cập trái phép, sửa đổi, tiết lộ và hủy hoại.
• Thực hiện các quyền của khách hàng; Cung cấp cơ chế • Đẩy mạnh lập trường chủ động cho tổ chức khi có vấn đề
hiệu quả để đáp ứng các khiếu nại và thắc mắc liên quan pháp lý phát sinh
đến sự không tuân thủ chính sách thực tế hoặc không nhận • Cung cấp hướng nâng cấp các tiêu chuẩn an toàn trong và
thức được là một cách để đạt được mục tiêu này. ngoài tổ chức
Đối tượng áp dụng ISP
CÁC THÀNH PHẦN CỦA CHÍNH SÁCH ATTT
1) Phạm vi
2) Phân loại thông tin
• Người quản lý – tất cả các cấp độ 3) Mục tiêu quản lý
4) Bối cảnh
Tài Liệu hỗ trợ
• Nhân viên kỹ thuật – người quản trị hệ 5)
6) Hướng dẫn cụ thể
thống, … 7) Có trách nhiệm rõ ràng
8) Hậu quả và xử lý
• Người dùng cuối – tất cả các người

dùng dịch vụ của hệ thống
1-12
CÁC THÀNH PHẦN CỦA CHÍNH SÁCH ATTT CÁC THÀNH PHẦN CỦA CHÍNH SÁCH ATTT
1) Phạm vi 3) Mục tiêu quản lý

Đảm bảo phạm vi cần giải quyết tất cả các thông tin trong hệ Tổ chức cần phải đưa ra những mục tiêu rõ ràng trong quản lý
thống, các chương trình, dữ liệu, mạng nội bộ và tất cả nhân và xử lý, khắc phục các sự cố liên quan tới an toàn thông tin
viên trong tổ chức của bạn. Ngoài ra, tổ chức có thể có những trong từng phân loại (ví dụ các nghĩa vụ pháp lý, quy định và
chính sách riêng về phạm vi cho từng phòng, bộ phận làm hợp đồng đối với việc đảm bảo an ninh).
việc. 4) Bối cảnh
2) Phân loại thông tin Một chính sách an toàn thông tin phải được đặt trong trong bối
Người điều hành tổ chức cần cung cấp những định nghĩa, nội cảnh cụ thể, có hướng dẫn quản lý và tài liệu bổ sung theo
dung cụ thể về việc đảm bảo an ninh thông tin và những giải sát bối cảnh (ví dụ: được tất cả các cấp quản lý chấp thuận,
pháp bảo mật mạng thay vì “bí mật” hoặc “hạn chế”. tất cả các tài liệu xử lý thông tin khác phải phù hợp với nó).
1-13 1-14
CÁC THÀNH PHẦN CỦA CHÍNH SÁCH ATTT CÁC THÀNH PHẦN CỦA CHÍNH SÁCH ATTT
5) Tài liệu hỗ trợ 7) Có trách nhiệm rõ ràng

Bao gồm các tài liệu hỗ trợ (ví dụ: vai trò và trách nhiệm, quá Bao gồm các tài liệu hướng dẫn về phương pháp an ninh cho
trình, tiêu chuẩn công nghệ, thủ tục, hướng dẫn, cách khắc hệ thống nội bộ, phương pháp sử dụng internet an toàn trên
phục và ứng cứu sự cố). mạng xã hội hay những yêu cầu trong bảo mật cho toàn bộ tổ
6) Hướng dẫn cụ thể chức (ví dụ: tất cả quyền truy cập vào bất kỳ hệ thống máy
Bao gồm các tài liệu hướng dẫn về phương pháp an ninh cho tính đều phải yêu cầu xác minh danh tính và xác thực, không
hệ thống nội bộ, phương pháp sử dụng internet an toàn trên chia sẻ cơ chế xác thực cá nhân).
mạng xã hội hay những yêu cầu trong bảo mật cho toàn bộ tổ 8) Hậu quả và xử lý
chức (ví dụ: tất cả quyền truy cập vào bất kỳ hệ thống máy Bao gồm các hậu quả cho sự không tuân thủ theo chính sách
tính đều phải yêu cầu xác minh danh tính và xác thực, không an toàn thông tin của tổ chức (ví dụ sa thải hoặc chấm dứt
chia sẻ cơ chế xác thực cá nhân). hợp đồng làm việc).
1-15 1-16
NGUYÊN TẮC XÂY DỰNG NGUYÊN TẮC XÂY DỰNG

CHÍNH SÁCH ATTT HỆ THỐNG ATTT
• Nguyên tắc CIA: Là nguyên tắc đảm bảo đủ 3 tính chất • Nguyên tắc giá trị thông tin: Trong các hệ thống, bạn
của việc bảo vệ thông tin là tính bảo mật (Confidentiality); không thể đảm bảo rằng có thể bảo mật tuyệt đối tất cả
tính sẵn sàng (Availability); tính nguyên vẹn và tính không các thông tin. Bởi thế, bạn cần phân chia cấp độ thông tin
thể từ chối (Integrity and non – repudiation). dựa trên mức độ quan trọng để có kế hoạch xây dựng hệ
• Nguyên tắc 3A (Authentication, Authorization, thống bảo mật phù hợp.
Accounting): cho phép các chuyên viên bảo mật biết • Nguyên tắc đặc quyền tối thiểu: Nguyên tắc này quy
được biết được các thông tin quan trọng về tình hình cũng định rằng một chủ thể chỉ nên có đặc quyền cần thiết để
như mức độ an toàn trong mạng, đồng thời có thể xác thực hiện nhiệm vụ của mình mà không nên được cấp các
thực – phân quyền – tính toán; quyền bổ sung không cần thiết. Việc này sẽ giúp hạn chế
sự rò rỉ thông tin không cần thiết.
Vòng đời của chính sách an toàn thông tin Vòng đời của chính sách an toàn thông tin
• Vòng đời của chính sách an toàn thông tin có thể được (1)Thu thập thông tin
chia thành 4 giai đoạn:
Thu thập thông tin sau từ nước ngoài:
(1) Thu thập thông tin và phân tích kẽ hở;
• Mức độ an toàn thông tin của các quốc gia
(2) Xây dựng chính sách;
• Định hướng xây dựng chính sách của các quốc gia
(3) Thực thi chính sách;
• Hệ thống hạ tầng của các quốc gia
(4) Kiểm soát và
tiếp nhận phản hồi
1-19 1-20
(1)Thu thập thông tin (1)Thu thập thông tin

• Thu thập các dữ liệu trong nước: tiến hành thu • Thông tin về việc xây dựng và vận hành của các tổ chức
liên quan đến an toàn thông tin.
thập, phân tích và đánh giá tất cả những luật
• Thông tin về các chính sách, luật pháp, và các quy định về
pháp, quy định và chính sách có liên quan đến an toàn.
an toàn thông tin. • Phương pháp an toàn thông tin được sử dụng trên phạm vi
quốc tế.
• Các xu hướng đe dọa và những biện pháp đối phó hay
kiểm soát theo các loại hình tấn công.
• Các biện pháp đối phó cho việc bảo vệ bí mật riêng tư.
1-21 1-22
(1) Phân tích kẽ hở; (1)Phân tích kẽ hở;

• Phân tích kẽ hở có thể được chia thành hai giai đoạn: • Xác định các mối đe dọa bên ngoài đối với an toàn thông
1. Nắm bắt được các năng lực và khả năng của quốc gia – ví dụ tin.
như các nguồn lực con người và tổ chức, cũng như cơ sở hạ • Tốc độ thâm nhập của các mối đe dọa đối với an toàn
tầng thông tin và truyền thông – trong lĩnh vực an toàn thông tin;
thông tin
• Các loại hình tấn công hiện tại và phổ biến nhất
2. Xác định các mối đe dọa từ bên ngoài đối với an toàn thông tin.
Những nhà hoạch định chính sách cần biết rõ các nguồn lực con • Các loại hình đe dọa và mức độ phát triển của chúng
người và tổ chức an toàn thông tin – ví dụ các cơ quan tư nhân trong tương lai.
và công cộng trong các lĩnh vực liên quan đến an toàn thông tin. • Tìm ra những nguyên nhân từ các yếu tố có thể bị tấn
công.
1-23 1-24
(1)Thu thập thông tin và phân tích kẽ hở; (2) Xây dựng chính sách an toàn thông tin: Việc
• Việc xác định có thể được thực hiện thông qua kiểm tra xây dựng một chính sách an toàn thông tin liên
những vấn đề sau đây: quan tới:
• Hiện trạng của hệ thống ATTT và khả năng đối phó của nó (1) Vạch ra định hướng chính sách;
• Hiện trạng của các chuyên gia về an toàn thông tin
(2) Thiết lập tổ chức an toàn thông tin và xác định trách
• Mức độ xây dựng và sức mạnh của hệ thống an toàn thông tin
nhiệm cũng như vai trò của nó;
• Quy phạm pháp luật bảo vệ chống lại sự xâm phạm tài sản thông
tin (3) Kết nối khuôn khổ chính sách an toàn thông tin;
• Môi trường vật lý cho việc bảo vệ các tài sản thông tin (4) Xây dựng và/hoặc sửa lại luật pháp giúp tạo cho
Mục tiêu của việc phân tích kẽ hở là nhằm có thể xác định các biện chúng sự thích hợp với chính sách;
pháp đối phó thực tiễn cần được thực hiện. Cần nhấn mạnh rằng đây là
bước cơ bản nhất trong việc hoạch định chính sách an toàn thông tin.
(5) Phân bổ một nguồn ngân sách cho việc thực hiện
chính sách thông tin.
1-25 1-26
2. Thiết lập khuôn khổ cho chính sách an toàn thông tin 2. Thiết lập khuôn khổ cho chính sách an toàn thông tin
• Khuôn khổ an toàn thông tin đề ra những tham số đối với
chính sách an toàn thông tin.
• Nó đảm bảo rằng chính sách đưa vào các tài nguyên IT
(con người, tài liệu thông tin, phần cứng, phần mềm, các
dịch vụ); phản ánh các quy tắc và pháp luật quốc tế; và
thỏa mãn các nguyên tắc về tính sẵn sàng, tính bí mật,
tính toàn vẹn, trách nhiệm giải trình và sự đảm bảo của
thông tin.
1-27 Khuôn khổ an toàn thông tin 1-28
Chính sách ATTT bao gồm 5 lĩnh vực: 3. Thực hiện/thực thi chính sách: Việc thực thi suôn sẻ
a. Kế hoạch và tổ chức chính sách an toàn thông tin đòi hỏi sự cộng tác giữa chính
b. Thu nhận và thực thi: Khía cạnh này bao gồm an toàn phủ, tư nhân và các tổ chức quốc tế
nguồn nhân lực, thu nhận các hệ thống an toàn và phát
triển an toàn.
c. Bảo vệ bí mật riêng tư
d. Hoạt động và hỗ trợ
e. Giám sát và đánh giá
1-29 1-30
Vòng đời của chính sách an toàn thông tin Các bước triển khai IS
4. Xem xét lại và đánh giá Chính sách an toàn thông tin
• Việc sửa đổi chính sách là cần thiết sau khi hiệu quả của
một chính sách an toàn thông tin được xác định. Một
phương pháp đánh giá chính sách trong nước có thể
được thực hiện để xác định hiệu quả của chính sách an
toàn thông tin quốc gia.
1-31
Nội dung của một tài liệu ISP Nội dung của một tài liệu ISP
• Giới thiệu Ví dụ về chính sách an toàn thông tin

• Mục đích • https://www.sans.org/security-
• Phạm vi resources/policies/
• Chính sách
• Vài trò và trách nhiệm
• Vi phạm và xử lý
• Lịch sửa đổi và cập nhật
• Thông tin liên hệ
• Định nghĩa/thuật ngữ
Ví dụ về chính sách an toàn Ví dụ về chính sách an toàn
thông tin thông tin

Ví dụ về chính sách an toàn
Ví dụ về chính sách an toàn thông tin
thông tin

THẢO LUẬN NHÓM Câu hỏi & Bài tập
1.Tại sao nhân viên cần nắm rõ về Information 1. Chính sách an toàn thông tin là gì? Tầm quan trọng
Security Policy tại nơi làm việc? của chính sách an toàn thông tin?
2.Những chính sách an toàn thông tin nào ở nơi làm 2. Là nhân viên, tại sao bạn cần nắm rõ những chính
việc cần nắm rõ? Nêu lý do tại sao sách an toàn thông tin tại nơi bạn làm việc?
3.Hãy viết một chính sách an toàn thông tin dành cho 3. Hãy viết một chính sách an toàn thông tin dành cho
các sinh viên có tham gia sử dụng các trang thiết bị,
các sinh viên có tham gia sử dụng các trang thiết bị,
phần mềm ở phòng thực hành, chính sách cài đặt
phần mềm ở phòng thực hành, chính sách cài đặt các phần mềm ứng dụng, phần phòng chống mã độc
các phần mềm ứng dụng, phần phòng chống mã cho máy tính.
độc cho máy tính. 4. Hãy viết một chính sách sử dụng Wifi trong một
4.Hãy viết một chính sách sử dụng Wifi trong một phòng ban có khoảng 20 nhân viên
phòng ban có khoảng 20 nhân viên
Câu hỏi & Bài tập Câu hỏi & Bài tập
5. Chính sách an toàn thông tin (ISP) của một doanh nghiệp Bài tập về nhà (làm theo nhóm)
là gì? Trình bày và giải thích được ít nhất 3 lý do tại sao • Hãy viết một chính sách an toàn thông tin/thiết bị dành cho
một doanh nghiệp cần có một ISP? các sinh viên/giao viên có tham gia sử dụng các trang thiết
6. “Theo dõi sự tuân thủ (monitor for compliance)” là một bị, phần mềm ở phòng thực hành, chính sách cài đặt các
trong 10 bước triển khai ISP. Bạn hãy phân tích để thấy phần mềm ứng dụng, phần mềm phòng chống mã độc cho
được tại sao cần có “theo dõi sự tuân thủ” trong khi triển máy tính trong phòng thực hành.
khai ISP của một doanh nghiệp.
7. “Hiệu chỉnh chính sách (modify policy)” là một trong 10
bước triển khai ISP. Bạn hãy phân tích để thấy được tại
sao cần có “hiệu chỉnh chính sách” trong khi triển khai ISP
của một doanh nghiệp.
Kiểm tra 15 phút
• An toàn thông tin của một doanh nghiệp

là gì?
• Doanh nghiệp cần phải làm gì để đạt
được an toàn thông tin và duy trì an
toàn thông tin đó một cách bền vững?
2 NỘI DUNG
1. Giới thiệu
2. Những khái niệm cơ bản về mã hóa
3. Hệ thống mã hóa đối xứng
(Cryptography System) 4. Nguyên lý thiết kế mã đối xứng
5. Một số mã đối xứng thông dụng
Mã hóa đối xứng

SYMMETRIC CIPHERS
Giới thiệu Giới thiệu
MẬT THƯ 2:
MẬT THƯ 1: 45, 24, 34 – 12, 11 - TÍ VỀ - TUẤT THƯƠNG – HỢI NHẤT – SỬU
13- 14, 35, 11, 34 – 31, 15, 45 HƯỚNG – DẬU YÊU –DẦN MẬT – MẸO TRỜI – TỊ
SẼ - MÙI NGƯỜI – NGỌ THẤY – THÂN BẠN
Các khái niệm cơ bản về mật mã học Các khái niệm cơ bản về mật mã học
• Kỹ thuật mật mã (cryptology) là ngành khoa học

• Mật mã học (cryptography): nghiên cứu 2 lĩnh vực: mã hóa (cryptography) và phân
• Là ngành khoa học nghiên cứu các phương pháp tích mật mã (cryptanalysis codebreaking)
toán học để mã hóa giữ bảo mật thông tin. Bao gồm
• Mật mã (Cryptography) là ngành khoa học nghiên cứu
mã hóa và giải mã.
các kỹ thuật toán học nhằm cung cấp các dịch vụ bảo vệ
• Mã hóa (Encryption): thông tin.
• Là quá trình chuyển bản rõ thành bản mã. Nó giúp W. Stallings (2003), Cryptography and Network
chúng ta che giấu, bảo mật thông tin trong khi lưu trữ Security: Principles and Practice, Third Edition,
cũng như truyền thông tin đi. Prentice Hall
• Giải mã (Decryption)
• Giải mã (decryption) là quá trình đưa bản mã về lại
bản rõ ban đầu Trần Thị Kim Chi 1-5 Trần Thị Kim Chi 1-6
• Phân tích mật mã (cryptanalysis): ngành khoa học • Giao thức mật mã (cryptographic protocol) là tập hợp
nghiên cứu các phương pháp, kỹ thuật nhằm phá vỡ hệ các quy tắc, trình tự thực hiện sơ đồ mã hóa.
thống mã hóa. • Độ an toàn của hệ mã hóa: là khả năng chống lại việc
• Phá mã (Cryptanalysis) / Thám mã / Tấn công: Nghiên thám mã, trong nhiều trường hợp được tính bằng số
cứu các nguyên lý và phương pháp khác nhau để phép toán cần thực hiện để thám mã sử dụng thuật toán
• Giải mã mà không cần biết khoá giải mã tối ưu nhất.
• hoặc tìm ra được khóa giải mã hoặc khóa bí mật. • Hệ thống mật mã (cryptosystem) là hệ thống đảm bảo
• Trong sự phát triển của mật mã thì lĩnh vực mật mã và an toàn dữ liệu sử dụng công cụ mã hóa. Hệ thống mật
phân tích mật mã phát triển song hành với nhau, tuy nhiên mã bao gồm: sơ đồ, giao thức mật mã, quy tắc tạo và
trong học tập, nghiên cứu thì lĩnh vực mật mã học được phân phối khóa. Khái niệm hệ thống mật mã có thể hiểu
quan tâm rộng rãi hơn do các ứng dụng thực tiễn, hiệu đơn giản hơn là bao gồm: thuật toán (algorithm) và giá
quả mà nó đem lại. trị mật (key).
Các khái niệm cơ bản về mật mã học Khái niệm mã hóa

Chức năng cơ bản của hệ mã hóa, cung cấp
• Bản rõ (Plaintext):
• Tính bảo mật: đảm bảo tính bí mật cho dữ liệu/thông tin
• Là văn bản ban đầu được gọi là bản tin gốc. ở dạng rõ, mà hệ thống truyền tải (gửi đi) hoặc lưu trữ và chỉ những
có nghĩa có thể đọc hiểu và cần bảo vệ. người liên quan mới biết được nội dung.
• Bản mã (Ciphertext): • Tính toàn v�n: đảm bảo dữ liệu không bị mất mát hoặc
• Là văn bản sau khi mã hóa, ở dạng mờ, nghĩa là không chỉnh sửa trong quá trình gửi/lưu trữ và nhận/sử dụng
thể dọc hiểu được. mà không bị phát hiện.
• Khóa (Key): • Tính xác th�c: đảm bảo danh tính của thực thể được
xác minh (người đó là ai).
• Được sử dụng trong quá trình mã hóa và giải mã
• Tính không thể chối từ: đảm bảo người gửi/thực hiện
• Hệ thống mã hóa (cryptosystem) không thể chối từ rằng mình chưa từng gửi hoặc thực
• Cryptosystem = encryption + decryption algorithms hiện với thông tin/dữ liệu
• Ứng dụng của mật mã học: Sơ đồ mã hóa và giải mã

Kênh không an toàn
• Trong các cơ quan chính phủ: bảo vệ thông tin mật, các thông
tin quân sự, ngoại giao, … (Insecure channel)
Dữ liệu gốc
• Trong lĩnh vực kinh tế: bảo mật thông tin tài khoản ngân hàng, Mã hóa
Giải mã
(Plaintext, (Decrypt) Dữ liệu gốc
giao dịch thanh toán, thông tin khách hàng, …
(Encrypt)
• Trong y tế: bảo vệ thông tin cá nhân, Cleartext) Bản mã
• Trong bảo vệ thông tin cá nhân: thông tin riêng tư, tài khoản (Ciphertext)
email, an toàn trên mạng xã hội, …
Mô hình toán học tổng quát:
Mã hóa: C=E(P)
Giải mã: P=D(C),
với Plaintext (P), Encrypt (E), Ciphertext (C), Decrypt (D)
Hệ thống Những khái niệm cơ bản về

mã hóa mã hóa
Hệ thống mã hóa (cryptosystem) • Ví dụ:
Cryptosystem = encryption + decryption algorithms SKC với nguyên tắc dời vị trí
Khóa (key) được sử dụng trong quá trình mã hóa và giải mã
Nội dung gốc : “Hello everybody”
Mã hóa : dời nội dung sang phải – Keycode =1

→ “Ifmmp fwfszcpez”
Giải mã : dời nội dung sang trái – Keycode =1

→ “Hello everybody”
Các khái niệm cơ bản về mật mã học Hệ thống mã hóa đối xứng
• Sử dụng một khóa bí mật chia sẻ (sharedsecret-key)
Hai hệ thống mã hóa cơ bản cho cả hai quá trình mã hóa và giải mã.
• Hệ thống mã hóa đối xứng (Symmetric
Cryptosystem)
• Hệ thống mã hóa một khóa
• Hệ thống mã hóa khóa bí mật
• Hệ thống mã hóa thông thường
• Hệ thống mã hóa bất đối xứng (Asymmetric
Cryptosystem)
• Hệ thống mã hóa khóa công khai • Chỉ ai có khóa Ks thì mới thể giải C thành M
• Hệ thống mã hóa hai khóa
Trần Thị Kim Chi 1-15 Nguyễn Thị Hạnh
Các khái niệm cơ bản về mật mã học Phân loại mã hóa đối xứng
Đặc điểm: Theo thời gian có thể chia mật mã thành:
• Khóa Ks dùng để mã hóa và giải mã → nếu bị lộ hoặc bị đánh
• Mã hóa cổ điển (classical cryptographic)
cắp bởi người thứ 3 thì thông điệp M sẽ bị lộ thông tin, không
còn bảo mật. • Mã hóa hiện đại (modern cryptography)
• Cần kênh truyền bảo mật để chia sẻ khóa bí mật giữa các bên Ngoài ra, dựa theo cách thức xử lý dữ liệu đầu (data input)
→ tốn chi phí vào người ta phân chia thành 2 loại:
• Để đảm bảo trao đổi bảo mật cho tất cả mọi người trong một
nhóm gồm n người → cần tổng số lượng lớn khóa là n(n-1)/2 →
• Mã hóa khối (block cipher): xử lý dữ liệu đầu vào theo
vấn đề quản lý và phân phối khóa rất phức tạp. khối tại một thời điểm, cho kết quả theo một khối dữ liệu
• Mã đối xứng dùng để bảo mật dữ liệu nhưng không thể dùng ở đầu ra.
để xác th�c hay chống thoái thác → không thể dùng tạo • Mã hóa luồng (stream cipher): xử lý tuần tự các phần
chữ ký số tử liên tục ở đầu vào và cho kết quả từng phần tử ở đầu
• Tốc độ mã hóa và giải mã nhanh → rất hữu hiệu khi dùng bảo ra tại một thời điểm.
mật thông điệp (đặc biệt thông điệp lớn)
Phân loại mã hóa Phân loại mã hóa
• Mã hóa cổ điển (classical cryptographic): đây là kỹ • Mã hóa hiện đại (modern cryptography): mã hóa đối
thuật được hình thành từ xa xưa, dựa trên ý tưởng bên xứng (symmetric cipher, secret key cryptography – 1
gởi sử dụng thuật toán mã hóa cổ điển dựa trên hai kỹ khóa), bất đối xứng (asymmetric cipher, public key
thuật cơ bản: thay thế (substitution) và hoán vị cryptography – 2 khóa), hàm băm (hash functions –
(transposition), bên nhận dựa vào thuật toán của bên không có khóa).
gởi để giải mã mà không cần dùng khóa.
• Do đó, độ an toàn của kỹ thuật này không cao do chỉ
dựa vào sự che giấu thuật toán, hiện nay mã hóa cổ
điển ít được sử dụng trong thực tế.
Mã hóa cổ điển (classical cryptographic) Caesar Cipher

• Mã hóa cổ điển dựa trên kỹ thuật thay thế (thay thế kí tự • Thế kỷ thứ 3 trước công nguyên, Julius Ceasar đưa ra
hoặc các kí tự này bằng kí tự hoặc các kí tự khác tương phương pháp mã hóa này.
ứng) và hoán vị (thay đổi trật tự, vị trí các ký tự) trong văn • Thay thế mỗi ký tự trong bản rõ bằng ký tự đứng sau
bản gốc. Các kỹ thuật này có thể áp dụng đối với một ký nó k vị trí trong bảng chữ cái.
tự (monoalphabetic) hoặc nhiều ký tự (polyalphabetic) tùy • Giả sử chọn k=3, ta có bảng chuyển đổi:
vào mục đích sử dụng.
• Các loại mã hóa cổ điển:
• Mã Caesar (Caesar cipher)
• Mã hóa đơn bảng (Monoalphabetic Substitution Cipher) Ví dụ: Mã hóa “Hello everybody”
với k =5
• Mã hóa Vigenère Cipher (Vigenère cipher)
• Mã Playfair Bản mã: pjqqt jajwgtd
• One-Time Pad
• Mã hàng rào sắt Trần Thị Kim Chi 1-21 Trần Thị Kim Chi 1-22
Caesar Cipher Caesar Cipher
• Để tấn công hệ mật Caesar có thể sử dụng một số kỹ
thuật sau: • Trong 25 trường hợp
• Vét cạn (brute-force): thử tất cả các khả năng biến đổi có trên, chỉ có trường hợp
thể xảy ra để tìm được quy tắc thay thế, do hệ mã Caesar k=3 thì bản giải mã
chỉ có 26 ký tự (tương ứng 25 quy tắc - khóa) nên việc tương ứng là có ý
giải mã không mất nhiều thời gian trong điều kiện hiện nghĩa.
nay. • Do đó đối thủ có thể
• Tần số xuất hiện kí tự (Character frequencies): dựa vào chắc chắn rằng “meet
thống kê xuất hiện của các kí tự trong bản mã, đối chiếu me after the toga
với bảng tần số được khảo sát trước của từng ngôn ngữ. party” là bản rõ ban
đầu.
Bài tập: Eve has intercepted the ciphertext “UVACLYFZLJBYL”. Show how she can
use a brute-force attack to break the cipher.
1. Áp dụng mật mã Ceasar mật mã hóa các bản rõ Solution
sau với khóa k = 4 Eve tries keys from 1 to 7. With a key of 7, the plaintext is “not very secure”,
actions speak louder than words EGXMSRW which makes sense.
PSYHIV
2. Đoán khóa k và giải mật cho bản mật sau:
ST RFS HFS XJWAJ YBT RFXYJWX
15
Ví dụ:Bảng chữ cái tiếng Anh có 26 ký tự:
ABCDEFGHIJKLMNOPQRSTUVWXYZ
Mã hóa kí tự x với khoảng cách dịch chuyển 1 đoạn
• Gán cho mỗi chữ cái một con số nguyên từ 0 đến 25: n=13 theo qui tắc sau:y=(x+13) mod 26
• Với mỗi ký tự trong P thay bằng chữ mã hóa C, trong Giải mã: x=(y-13) mod 26
đó: Mã hóa chuỗi ký tự sau theo qui tắc trên:
C = (P + k) mod 26 (mod: phép chia lấy số dư) GUIDELINES FOR TERM PAPERS
• Và quá trình giải mã đơn giản là:
Kết quả:
P = (C – k) mod 26 THVQRYVARF SBE GREZ CNCREF
• k được gọi là khóa.
• Hiện nay, mã Ceasar không được xem là an toàn.
Ví dụ Ví dụ
Use the additive cipher with key = (?+15) mod 26 to encrypt the Use the additive cipher with key = (?-15)mod 26 to decrypt the
message “hello”. message “WTAAD”.
Solution
Solution
We apply the encryption algorithm to the plaintext, character by We apply the decryption algorithm to the plaintext character by
character: character:
Với bản chữ cái Tiếng Việt (29 ký t�) với khóa là 3:
• Gán cho mỗi chữ cái một con số nguyên từ 0 đến 28:
• Phương pháp Ceasar biểu diễn tiếng Việt như sau: với
mỗi chữ cái p thay bằng chữ mã hóa C, trong đó:
C = (p + k) mod 29
• Và quá trình giải mã đơn giản là:
p = (C – k) mod 29
Mã hóa đơn bảng

(Monoalphabetic Substitution Cipher) Monoalphabetic Ciphers
• Phương pháp đơn bảng tổng quát hóa phương pháp Ceasar • Tuy nhiên vào thế kỷ thứ 9, một nhà hiền triết người Ả
bằng cách dòng mã hóa không phải là một dịch chuyển k vị trí Rập tên là Al-Kindi đã phát hiện ra một phương pháp
của các chữ cái A, B, C, … nữa mà là một hoán vị của 26 chữ phá mã khả thi khác. Phương pháp phá mã này dựa
cái này. Lúc này mỗi hoán vị được xem như là một khóa. trên nhận xét sau:
• Số lượng hoán vị của 26 chữ cái là 26! =4x1026(tương đương • Trong ngôn ngữ tiếng Anh, tần suất sử dụng của các chữ
cái không đều nhau, chữ E được sử dụng nhiều nhất, còn
với số khóa).
các chữ ít được sử dụng thường là Z, Q, J. Tương tự như
• Vì 26! là một con số khá lớn → tấn công phá mã vét cạn khóa vậy, đối với cụm 2 chữ cái (digram), cụm chữ TH được sử
là bất khả thi (6400 thiên niên kỷ với tốc độ thử khóa là 109 dụng nhiều nhất.
khóa/giây). • Nếu chữ E được thay bằng chữ K thì tần suất xuất hiện
→ phương pháp này được xem là một phương pháp mã hóa an của chữ K trong bản mã là 13.05%. Đây chính là cơ sở để
toàn trong suốt 1000 năm sau công nguyên. thực hiện phá mã.
Monoalphabetic Ciphers Ví dụ khám mã
Tần suất của chữ tiếng anh Cho bản mã:

UZQSOVUOHXMOPVGPOZPEVSGZWSZOPFPESXUDBMETSXAIZ
VUEPHZHMDZSHZOWSFPAPPDTSVPQUZWYMXUZUHSX
EPYEPOPDZSZUFPOMBZWPPDPTGUDTMOHMQ
• Đếm tần suất ký tự
Số lần xuất hiện của các digram

(xuất hiện từ 2 lần trở lên) là:
Ví dụ khám mã Ví dụ khám mã
• Do đó ta có thể đoán P là mã hóa của e, Z là mã hóa của

t. Vì TH có tần suất cao nhất trong các digram nên trong
4 digram ZO, ZS, ZU, ZW có thể đoán ZW là th.
• Chú ý rằng trong dòng thứ nhất có cụm ZWSZ, nếu giả
thiết rằng 4 chữ trên thuộc một từ thì từ đó có dạng th_t,
từ đó có thể kết luận rằng S là mã hóa của a (vì từ THAT
có tần suất xuất hiện cao).
Suy luận tiếp tục ta có được bản rõ
• Như vậy đến bước này, ta đã phá mã được như sau:
Mã hóa Vigenère Cipher Mã hóa Vigenère Cipher
(Vigenère cipher) (Vigenère cipher)
• Thế kỷ thứ 15, một nhà ngoại giao người Pháp tên là
Vigenere đã tìm ra phương án mã hóa thay thế đa bảng.
• Mã hóa Vigenere được hình thành trên mã hóa Caesar có
sử dụng khóa (chuỗi các chữ cái) trên văn bản gốc (gồm
các chữ cái).
• Mã hóa Vigenere là sự kết hợp của nhiều phép mã hóa
Caesar với các bước dịch chuyển khác nhau.
• Để mã hóa, sử dụng bảng mã Vigenere (Hình x) với cột
dọc là chuỗi khóa (khóa được lặp đi lặp lại để chiều dài
tương ứng với văn bản gốc), cột ngang – văn bản gốc,
giao giữa kí tự tương ứng cột chứa khóa và văn bản gốc
chính là kí tự mã của thuật toán. 1-39 Trần Thị Kim Chi 1-40
Mã hóa Vigenère Cipher

Mã Playfair
(Vigenère cipher)
• Độ an toàn của mã hóa Vigenere phụ thuộc vào độ • Được biết như là mã thay thế đa ký t�
dài của khóa. Khi đó, kẻ tấn công sẽ các định chiều • Được đề xuất bởi Charles Wheatstone, được mang
dài của khóa trước khi thực hiện các bước tiếp theo, tên của người bạn Baron Playfair
như việc phân tích tần số cho các bản mã Caesar • Mã hóa Playfair xem hai ký tự đứng sát nhau là
khác nhau. một đơn vị mã hóa, hai ký tự này được thay thế
. cùng lúc bằng hai ký tự khác.
Mã Playfair Mã Playfair
• Mật mã đa ký tự (mỗi lần mã 2 ký tự liên tiếp nhau) • Bản rõ được mã hóa một lần 2 ký tự theo quy tắc sau:
• Giải thuật dựa trên một ma trận các chữ cái 5×5 1. Cặp hai ký tự giống nhau xuất hiện trong bản rõ sẽ
được xây dựng từ một khóa (chuỗi các ký tự) được tách ra bởi 1 ký tự lọc, chẳng hạn như x. Ví dụ
trước khi mã hóa “balloon” sẽ được biến đổi thành
1. Xây dựng ma trận khóa
“balxloxon”.
• Lần lượt thêm từng ký tự của khóa vào ma trận
• Nếu ma trận chưa đầy, thêm các ký tự còn lại trong
• bảng chữ cái vào ma trận theo thứ tự A - Z 2. Hai ký tự trong cặp đều rơi vào cùng một hàng, thì mã
• I và J xem như là 1 ký tự mỗi ký tự bằng ký tự bên phải nó trong cùng hàng của
• Các ký tự trong ma trận không được trùng nhau ma trận khóa, nếu nó là phần tử cuối của hàng thì vòng
2. Mật mã hóa sang ký tự đầu cùng của hàng, chẳng hạn “ar” mã hóa
thành “rm”
3. Giải mật mã.
Playfair
Mã Playfair
Cipher
3. Hai ký tự mà rơi vào cùng một cột thì nó được mã
bằng ký tự ngay dưới, nếu nó ở cuối cột thì vòng sang • balXloXon
ký tự ở đầu cột, chẳng hạn “mu” được mã hóa thành • BA→DB
“CM”, ov được mã hóa thành HO • OT→CQ
4. Trong các trường hợp còn lại, hai ký tự được mã hóa • ZV→VW
sẽ tạo thành đường chéo của một hình chữ nhật và • AN→HW
được thay bằng 2 ký tự trên đường chéo kia. Ví dụ: • YK→CR
“hs”mã thành “bp”, (B cùng dòng với H và P cùng • BX→IO/JO
dòng với S); “ea”mã thành “im”hoặc “jm” • UR→cn
Playfair
Playfair Cipher
Cipher
• Dựa trên ma trận 5 ×5 của các ký tự được xây dựng Phá mã
bằng từ khóa (keyword): quocte • An toàn được cải tiến hơn với mã hóa đơn bản
(simple monoalphabetic ciphers)
• Chỉ xét trên 26 ký tự thì mã khóa Playfair có
26x26=676 cặp ký tự.
Q U O C T
→ các cặp ký tự này ít bị chênh lệch về tần suất hơn so với sự
E A B D F chênh lệnh tần suất của từng ký tự. Ngoài ra số lượng các cặp
G H I/J K L ký tự nhiều hơn cũng làm cho việc phá mã tầnsuất khó khăn
hơn. Đây chính là lý do mà người ta tin rằng mã hóa Playfair
M N P R S không thể bị phá và được quân đội Anh sử dụng trong chiến
V W X Y Z tranh thế giới lần thứ nhất.
• Tuy nhiên, nó có thể bị bẻ khoá nếu cho trước vài
trăm chữ, vì bản mã vẫn còn chứa nhiều cấu trúc của
bản rõ.
Mã Playfair Bài tập Mã Playfair
Ví dụ 2: Hãy tìm hiểu quá trình mã hóa và giải mã bằng

1. Mật mã hóa bản rõ sau:
phương pháp mã Playfair
Bản rõ: DHKHMT10A →FTFKYH10B hide the gold in the tree stump
CONG NGHIEP→LCPI/JPI/JMPKG 2. Hãy tìm hiểu quá trình mã hóa và giải mã bằng
Khóa: smythework phương pháp mã Playfair
Bản rõ P= “QUOC TE PHU NU”→RPTE OC STR
OZ/P
Khóa K=tinhoc
T I/J N H O
C A B D E
F G K L M
P Q R S U
V W X Y Z
Bài tập Ôn One-Time Pad (OTP)
1. Mật mã hóa bản rõ sau: hide the gold bằng các • One-Time Pad – bộ đệm một lần.
phương pháp sau: Được đề xuất bởi Joseph Mauborgne
1. Caesar Cipher (K=12) • Một khóa ngẫu nhiên có chiều dài bằng chiều dài
2. Caesar Cipher (Phương pháp Mod với K=24) của bản rõ, mỗi khóa dùng một lần
3. Playfair với từ khóa là TINHOC
• Khó bẻ khóa vì không có quan hệ nào giữa bản rõ và
bản mã.
T I/J N H O
• Ví dụ mã hóa bản tin “wearediscoveredsaveyourself”
C A B D E
• Bản tin P: wearediscoveredsaveyourself
F G K L M
• Khóa K1: F H W Y K L V M K V K X C V K D J S F S A P X Z C V P
• Bản mã C: LWPOODEMJFBTZNVJNJQOJORGGU
P Q R S U
• Dùng K1 để giải mã thì ta được:
V W X Y Z
Trần Thị Kim Chi 1-51 “wearediscoveredsaveyourself”
One-Time Pad (OTP) One-Time Pad (OTP)

Xét hai trường hợp giải mã bản mã trên với 2 khóa Trong cả hai trường hợp trên thì bản giải mã đều có ý
khác nhau nghĩa.
•Trường hợp 1: • Nếu người phá mã thực hiện phá mã vét cạn thì sẽ tìm
• Bản mã C: LWPOODEMJFBTZNVJNJQOJORGGU được nhiều khóa ứng với nhiều bản tin có ý nghĩa =>
• Khóa K2: IESRLKBWJFCIFZUCJLZXAXAAPSY không biết được bản tin nào là bản rõ.
• Bản giải mã: theydecidedtoattacktomorrow • Điều này chứng minh phương pháp One-Time Pad là
(they decided to attack tomorrow) phương pháp mã hóa an toàn tuyệt đối.
•Trường hợp 2: • Để phương pháp One-Time Pad là an toàn tuyệt đối thì
• Bản mã C: LWPOODEMJFBTZNVJNJQOJORGGU mỗi khóa chỉ được sử dụng một lần.
• Khóa K3: FHAHDDRAIQFIASJGJWQSVVBJAZB
• Nếu một khóa được sử dụng nhiều lần thì cũng không
• Bản giải mã: wewillmeetatthepartytonight
khác gì việc lặp lại một từ trong khóa (ví dụ khóa có từ
(we will meet at the party tonight)
Trần Thị Kim Chi 1-53 DECEPTIVE được lặp lại). 1-54
Mã hàng rào sắt
One-Time Pad (OTP) (rail fence cipher)
Th�c tế: • Đây là một mã dùng phép hoán vị hoặc chuyển vị, vì
• Phương pháp One-Time Pad không có ý nghĩa sử vậy gọi là mã hoán vị hoặc mã chuyển vị (classical
dụng thực tế. Vì chiều dài khóa bằng chiều dài bản tin, transposition or permutation ciphers)
mỗi khóa chỉ sử dụng một lần, nên thay vì truyền khóa • Thực hiện xáo trộn thứ tự các ký tự trong bản rõ. Do
trên kênh an toàn thì có thể truyền trực tiếp bản rõ mà thứ tự của các ký tự bị mất đi nên người đọc không
không cần quan tâm đến vấn đề mã hóa. thể hiểu được ý nghĩa của bản tin dù các chữ đó
không thay đổi.
• Đơn giản nhất của mã hóa kiểu này là mã rail fence
cipher
1-55 Trần Thị Kim Chi 1-56
M M T H G R
Rail EFence
E E Cipher
E A T Rail Fence cipher
E A R T P Y
T F T O A
• Ghi các ký tự trong bản rõ theo từng hàng rào, sau đó • Ví dụ bản rõ “attackpostponeduntilthisnoon” được
kết xuất bản mã dựa trên cột. Sau đó đọc bảng mã theo viết lại thành bảng 4 x 7 như sau:
từng hàng
• Ví dụ: bản rõ “meet me after the toga party” với hành
rào sắt độ sâu là 2 (Tách bản rõ thành 2 hàng)
• Ví dụ: bản rõ “meet me at the toga party” được viết
thành
m e m a t r h t g p r y • Khi kết xuất theo từng cột thì có được bản mã:
e t e f e t e o a a t “AODHTSUITTNSAPTNCOIOKNLOPETN”
• Cho bản mã
MEMATRHTGPRYETEFETEOAAT
Bài tập: Mã hóa chuỗi trên với độ sâu là 4
Rail Fence cipher Rail Fence cipher
• Để an toàn hơn nữa, có thể áp dụng phương pháp • Một cơ chế phức tạp hơn là chúng ta có thể hoán vị
hoán vị 2 lần (double transposition), tức sau khi hoán các cột trước khi kết xuất bản mã.
vị lần 1, ta lại lấy kết quả đó hoán vị thêm một lần • Ví dụ chọn một khóa là MONARCH, ta có thể hoán vị
nữa. các cột:
• Để phá mã phương pháp hoán vị 2 lần không phải là Bản rõ “attackpostponeduntilthisnoon”
chuyện dễ dàng vì rất khó đoán ra được quy luật
hoán vị.
• Ngoài ra không thể áp dụng được phương pháp
phân tích tần suất chữ cái giống như phương pháp
thay thế vì tần suất chữ cái của bản rõ và bản mã là
giống nhau. và có được bản mã:
“APTNKNLOPETNAODHTTNSTSUICOIO”. Việc
giải mã được tiến hành theo thứ tự ngược lại. 1-60
Rail Fence cipher Các kỹ thuật hoán vị - nâng cao

• Để an toàn hơn nữa => hoán vị 2 lần (double transposition): • Bản rõ được viết trên một hình chữ nhật và đọc theo
• Sau khi hoán vị lần 1, ta lấy kết quả đó hoán vị lần nữa: cột. Thứ tự các cột trở thành khóa của giải thuật.
• Ví dụ: bản rõ “meet me at the toga party”
• Key 4 1 2 5 3 6
• bản rõ m e e t m e
a t t h e t
• Và cuối cùng bản mã là: o g a p a r
“NTTCNASILOTOAODSTETIPPHUKNNO” t y x y z w
• Phá mã phương pháp hoán vị 2 lần không phải là chuyện dễ • bản mật etgyetaxmeazmaotthpyetrw
dàng vì rất khó đoán ra được quy luật hoán vị. • Để tăng độ mật, có thể áp dụng hoán vị nhiều lần
• Không thể áp dụng được phương pháp phân tích tần suất
chữ cái giống như phương pháp thay thế vì tần suất chữ cái
của bản rõ và bản mã là giống nhau. 1-61 Trần Thị Kim Chi 1-62
Các kỹ thuật hoán vị - nâng cao Rail Fence Cipher
Bài tập: Ví dụ: mật mã • Bài tập: bản rõ “attack at midnight” với hành rào sắt độ
• Bản rõ: sâu theo các cách sau:
hide the gold in the tree stump • Sử dụng từ khóa là TRUONG mã hóa 2 lần
• Bản mật:
5 4 6 3 2 1
• Độ sâu là 2
T R U O N G
• Hdteodnhtesupiehgliteretm A T T A C K
• Độ sâu là 4: A T M I D N
• htontspihltrtdedheuegieem I G H T
BM OD ZB XD NA BE KU DM UI XM MO UV IF
KNCDAITTTGAAITMH
Rail Fence Cipher Tóm tắt

• Bài tập: bản rõ “attack at midnight” với hành rào sắt độ • Các phương pháp mã hóa cổ điển thường
sâu theo các cách sau: KNCDAITTTGAAITMH dựa trên hai phương thức.
• Sử dụng từ khóa là TRUONG mã hóa 2 lần 1. Dùng phương pháp thay thế một chữ cái trong
5 4 6 3 2 1 bản rõ thành một chữ cái khác trong bản mã
T R U O N G (substitution). Các mã hóa dùng phương thức
K N C D A I này là mã hóa Ceasar, mã hóa thay thế đơn
T T T G A A bảng, đa bảng, one-time pad.
I T M H 2. Dùng phương pháp hoán vị để thay đổi thứ tự
ban đầu của các chữ cái trong bản rõ (Rail
Fence)
IAAADGHNTTKTICTM
Trần Thị Kim Chi 1-65 Trần Thị Kim Chi

66
Câu hỏi Bài tập
1. Tại sao khi gửi bản mã trên kênh truyền thì không sợ bị lộ 1. Giải mã bản mã sau, giả sử mã hóa Ceasar được sử dụng để
thông tin? mã hóa với k=3:
2. Khóa là gì? Tại sao cần giữ bí mật khóa chỉ có người gửi và IRXUVFRUHDQGVHYHQBHDUVDJR
người nhận biết? 2. Mã hóa bản rõ sau: “enemy coming‟, dùng phương pháp mã hóa
3. Tại sao lại gửi khóa qua kênh an toàn mà không gửi trực tiếp thay thế đơn bảng với khóa hoán vị K là:
bản rõ trên kênh an toàn? IAUTMOCSNREBDLHVWYFPZJXKGQ
4. Phá mã khác giải mã ở điểm nào? 3.Mã hóa thông điệp sau bằng phương pháp hang rào sắt:
5. Phá mã theo hình thức vét cạn khóa thực hiện như thế nào? we are all together
Cần làm gì để chống lại hình thức phá mã theo vét cạn khóa?
biết khóa 24153
6. Các phương pháp Ceasar, mã hóa đơn bảng, đa bảng, one-
4. Phá mã bản mã sau, giả sử mã hóa Ceasar được sử dụng:
time pad dùng nguyên tắc gì để mã hóa?
CSYEVIXIVQMREXIH
7. Phương pháp hoán vị dùng nguyên tắc gì để mã hóa?
8. Tại sao phương pháp mã hóa đơn bảng có thể bị tấn công
phá mã dùng thống kê tần suất?
Trần Thị Kim Chi Trần Thị Kim Chi
67 68
Mã hóa hiện đại Mã hóa hiện đại

(modern cryptography) (modern cryptography)
• Mã hóa hiện đại (modern cryptography): mã hóa đối • Hệ thống mã hóa đối xứng (Symmetric
xứng (symmetric cipher, secret key cryptography – 1 cryptosystem) là hệ thống mã hóa sử dụng một khóa bí
khóa), bất đối xứng (asymmetric cipher, public key mật chia sẻ (shared-secret-key) cho cả hai quá trình mã
cryptography – 2 khóa), hàm băm (hash functions – hóa và giải mã.
không có khóa). • Hệ thống mã hóa bất đối xứng (Asymmetric
cryptosystem) là hệ thống mã hóa sử dụng một khóa
công khai (public key) và một khóa bí mật (private key)
cho quá trình mã hóa và giải mã.
• Hệ thống mã hóa bất đối xứng còn được gọi là hệ thống
mã hóa khóa công khai (public-key cryptosystem)
Mã hóa hiện đại
(modern cryptography) Phân loại
• Mã dòng (stream cipher) là một kỹ thuật mã hóa mà

mã hóa một dòng dữ liệu số một bit hoặc một byte tại
một thời điểm.
• Mã khối (block cipher) là một cơ chế mã hóa/giải

mã mà trong đó một khối của bản rõ được xử lý như
một tổng thể và dùng để tạo ra khối bản mã có độ dài
bằng nhau. Thông thường kích cỡ khối là 64 hoặc
128 bit được sử dụng.
1-71 Trần Thị Kim Chi 1-72
Stream Ciphers và Block Ciphers Stream Ciphers

Mã dòng có các đặc tính sau:
• Kích thước một đơn vị mã hóa: gồm k bít. Bản rõ
được chia thành các đơn vị mã hóa:
• Một bộ sinh dãy số ngẫu nhiên: dùng một khóa K ban

đầu để sinh ra các số ngẫu nhiên có kích thước bằng
kích thước đơn vị mã hóa:
• Mỗi số ngẫu nhiên được XOR với đơn vị mã hóa của

bản rõ để có được bản mã.
Stream Ciphers Stream Ciphers
• Quá trình giải mã được thực hiện ngược lại, bản mã • Đối với mã dòng, các số si được sinh ra phải đảm bảo
C được XOR với dãy số ngẫu nhiên S để cho ra lại một độ ngẫu nhiên nào đó (chu kỳ tuần hoàn dài):
bản rõ ban đầu:
• Trong ví dụ p=111100000011 đơn vị mã hóa có
chiều dài k = 4 bít, n = 3:
Ví dụ này không phải là mã dòng vì s0, s1, s2 lặp lại khóa K Điểm quan trọng nhất của các mã dòng là bộ sinh số ngẫu nhiên
Stream Ciphers Các hệ mã dòng

• Quá trình giải mã được thực hiện ngược lại, bản mã • Chú ý: Nếu ta coi "0" biểu thị giá trị "sai" và "1" biểu thị
C được XOR với dãy số ngẫu nhiên S để cho ra lại giá trị "đúng" trong đại số Boolean thì phép cộng theo
bản rõ ban đầu: moulo 2 sẽ ứng với phép hoặc loại trừ (XOR).
• Trong ví dụ p=111100000011 đơn vị mã hóa có • Bảng chân lý phép cộng theo modulo 2 giống như bảng
chiều dài k = 4 bít, n = 3, với các khóa phát sinh ngẫu chân lý của phép toán XOR
nhiên sau: s0=0101, s1=1010, s2=1100, s3=0011
Cho biết kết quả sau khi mã hóa

Các hệ mã dòng Mã khối (Block Cipher)
• Ví dụ: mã hóa ký tự ‘A’ bởi Alice
• Trong máy tính các chữ cái được biểu diễn bằng mã
• Ký tự ‘A’ trong bảng mã ASCII được tướng ứng với mã
ASCII.
6510=10000012 được mã hóa bởi hệ khóa z1,…,z7=0101101
• Hàm mã hóa:
• Hàm giải mã: • Trong bản tin nhị phân cũng tồn tại một số đặc tính thống kê
nào đó mà người phá mã có thể tận dụng để phá bản mã, dù
rằng bản mã bây giờ tồn tại dưới dạng nhị phân.
• Mã hóa hiện đại quan tâm đến vấn đề chống phá mã trong các
trường hợp biết trước bản rõ (known-plaintext), hay bản rõ
được lựa chọn (chosen-plaintext).
Mã khối (Block Cipher) Mã khối (Block Cipher)

• Ví dụ: chúng ta sử dụng bản rõ là các chữ cái Mã khối an toàn lý tưởng
của một ngôn ngữ gồm có 8 chữ cái • Phép toán XOR có một hạn chế là chỉ cần biết một cặp
A, B, C, D, E, F, G, H trong đó mỗi chữ cái được biểu diễn bằng 3 bít. khối bản rõ và bản mã, người ta có thể dễ dàng suy ra
• Như vậy nếu có bản rõ là ’head’ thì biểu diễn nhị phân tương ứng là: được khóa và dùng khóa đó để giải các khối bản mã
111100000011
khác (knownplaintext attack). :
• Giả sử dùng một khóa K gồm 4 bít 0101 để mã hóa bản rõ trên bằng
phép XOR :
Trong phép mã hóa trên, đơn vị mã hóa không phải là một chữ cái mà là một Nếu biết bản mã c0 = 1010 có bản rõ tương ứng là p 0 = 1111, thì
khối 4 bít. Để giải mã, lấy bản mã XOR một lần nữa với khóa thì có lại bản rõ có thể dễ dàng suy ra khóa là 0101.
ban đầu. Trần Thị Kim Chi 1-81 Trần Thị Kim Chi 1-82
Mã khối (Block Cipher) Các mô hình ứng dụng mã khối
• Do đó để chống phá mã trong trường • Mã khối (như mã DES) được áp dụng để mã hóa
hợp known-plaintext hay choosen-
plaintext, chỉ có thể là làm cho P và C
một khối dữ liệu có kích thước xác định. Để mã hóa
không có mối liên hệ toán học. Điều này một bản tin dài, bản tin được chia ra thành nhiều khối
chỉ có thể thực hiện được nếu ta lập một (P=P0P1P2...Pn-1) và áp dụng mã khối cho từng khối
bản tra cứu ngẫu nhiên giữa bản rõ và một. Có nhiều mô hình áp dụng mã khối là
bản mã. • Electronic Code Book (ECB)
→đây là mã khối an toàn lý tưởng vì Người • Cipher Block Chaining Mode (CBC)
gởi cũng như người nhận phải biết toàn bộ
• Cipher Feedback Mode (CTR)
bảng trên để mã hóa và giải mã
• Output Feedback Mode (OFB)
→Không khả thi vì kích thước khối lớn thì
số dòng của bảng khóa cũng lớn và gây trở • Counter Mode
ngại cho việc lưu trữ cũng như trao đổi
khóa giữa người gởi và người nhận
Giới thiệu một số thuật toán Hệ thống mã hóa đối xứng –

mã DES
• Mã Feistel (Feistel Cipher) • Data Encryption Standard (DES)
• Phát hành 1977, chuẩn hóa 1979
• Mã DES (Data Encryption Standard)
• Mỗi thông điệp được chia thành những khối (block) 64 bits
• Mã Triple DES • Kích thước khóa là 56 bít
• Mã AES (Advanced Encryption Standard) • 1998, tổ chức Electronic Frontier Foundation (EFF) xây dựng
• RC 4, RC 5, RC 6 (Rivest Cipher 4,5,6 ) được một thiết bị phá mã DES gồm nhiều máy tính chạy song
song, trị giá khoảng 250.000$. Thời gian thử khóa là 3 ngày.
• Skipjack
• Hiện nay mã DES vẫn còn được sử dụng trong thương mại,
• Blowfish tuy nhiên người ta đã bắt đầu áp dụng những phương pháp mã
• CAST-128 hóa khác có chiều dài khóa lớn hơn (128 bít hay 256 bít) như
TripleDES hoặc AES.

Hệ thống mã hóa đối xứng – Hệ thống mã hóa đối xứng – mã
Triple DES AES
• Advanced Encryption Standard (AES)
• 1999, Triple DES được khuyến khích sử dụng thay
cho DES • Thập niên 90, nguy cơ của mã hóa DES là kích
thước khóa ngắn, có thể bị phá mã trong tương lai
• Triple DES: thực hiện giải thuật DES ba lần.
gần, Cục tiêu chuẩn quốc gia Hoa Kỳ đã kêu gọi xây
• Mã hóa: C=E(E(E(M, K1),K2),K3) dựng một phương pháp mã hóa mới. Cuối cùng một
• Chiều dài khóa là 168 bít sẽ gây phức tạp hơn nhiều thuật toán có tên là Rijndael (của Daemen và Rijmen)
cho việc phá mã bằng phương pháp tấn công gặp- được chọn và đổi tên thành Andvanced Encryption
nhau-ở-giữa. Standard hay AES.
• Trong thực tế người ta chỉ dùng Triple DES với hai • Khóa có kích thước 256 bít là “an toàn mãi mãi bất
khóa K1, K2 mà vẫn đảm bảo độ an toàn cần thiết. kể những tiến bộ trong ngành kỹ thuật máy tính”.
C=E(E(E(P, K1),K2),K1)
Ứng dụng của mã hóa đối xứng

.
Câu hỏi và bài tập

• Mật mã khóa đối xứng là gì (hay mã hóa đối xứng) là một 1. Mã hóa đối xứng hiện đại và mã hóa đối xứng cổ
loại sơ đồ mã hóa trong đó một khóa giống nhau sẽ vừa điển khác nhau ở điểm nào.
được dùng để mã hóa, vừa được dùng để giải mã các 2. Mã dòng hoạt động dựa trên nguyên tắc thay thế
tập tin. hay hoán vị?
• Phương pháp mã hóa thông tin này đã được sử dụng 3. Hệ mã Fiestel có thuận lợi gì trong việc thực hiện
khá phổ biến từ nhiều thập kỷ với mục đích tạo ra cách mã khối?
thức liên lạc bí mật giữa chính phủ với quân đội.
4. Tại sao mã hóa DES lại dùng các phép biến đổi
• Ngày nay, các thuật toán khóa đối xứng được ứng dụng phức tạp chỉ để mã hóa một khối 64 bít?
rộng rãi trên nhiều hệ thống máy tính khác nhau nhằm
tăng cường bảo mật cho dữ liệu.

90
Câu hỏi và bài tập Câu hỏi và bài tập
1. Khái niệm mã hóa, tại sao phải mã hóa thông tin khi 7. Các phương pháp Ceasar, mã hóa đơn bảng, đa bảng, one-
time pad dùng nguyên tắc gì để mã hóa?
truyền tin trên mạng?
8. Mã hóa bản rõ “DAI HOC CONG NGHIEP”, dùng phương pháp
2. Khái niệm mã hóa đối xứng, cơ chế, các thành phần mã hóa Ceasar với k=3
của hệ mã hóa đối xứng. 9. Giải mã bản mã sau, giải sự mã hóa Ceasar được sử dụng để
3. Tại sao gửi bản mã (cipher) trên kê truyền thì không mã hóa với k=3
sợ bị lộ thông tin? IRXUVFRUHDQGVHYHQBHDUVDJR
4. Khóa là gì? Tại sao cần giữ bí mật khóa chỉ có 10. Mã hóa bản rõ “DAI HOC CONG NGHIEP”, dùng phương pháp
mã hóa thay thể đơn bản (Monoalphabetic Ciphers) với khóa
người gửi và người nhận biết? hoán vị K là: IAUTMOCSNREBDLHVWYFPZJXKGQ
5. Khám mã khác giải mã ở điểm nào? 11. Mã hóa bản rõ “DAI HOC CONG NGHIEP”, dùng phương pháp
6. Khám mã theo hình thức vét cạn khóa thực hiện mã hóa Playfair với khóa k là “monarchy”.
như thể nào? Cần làm gì để chống lại hình thức 7. Bài tập trang 59 (File BaiGiangATTT.pdf)
khám mã theo kiểu vét cạn khóa?
Trần Thị Kim Chi
91
92
(Cryptography System)
Mã hóa bất đối xứng

ASYMMETRIC CIPHERS
NỘI DUNG Đặt vấn đề
1. Mở đầu Tại sao có thêm một hệ thống mã hóa

 giải quyết các vấn đề gặp phải của hệ thống mã hóa đối
2. Mã hóa khóa công khai (Public-Key xứng
Cryptosystems) Các vấn đề gặp phải của hệ thống mã hóa đối xứng?
3. Thuật toán RSA • Quản lý và phân phối khóa phức tạp
• Mỗi cặp người dùng phải có khóa riêng
4. Một số mã hóa khóa công khai khác • N người dùng cần N * (N-1)/2 khóa
 Việc quản lý khóa trở nên phức tạp khi số lượng người dùng
tăng
( Cryptography and Network Security: Principles and
• Không phù hợp cho chữ ký số, do không đạt được
Practices (3rd Ed.) – Chapter 9, 10)
• Tính xác thực
• Tính chống khoái thác

3
Ý tưởng Ý tưởng
• Vào năm 1976 Whitfield Diffie và Martin Hellman đã • Phương án 1: người nhận (Bob) giữ bí mật khóa K2,
tìm ra một phương pháp mã hóa khác mà có thể giải còn khóa K1 thì công khai cho tất cả mọi người biết.
quyết được hai vấn đề trên, đó là mã hóa khóa công • Alice muốn gởi dữ liệu cho Bob thì dùng khóa K1 để
khai (public key cryptography) hay còn gọi là mã hóa mã hóa. Bob dùng K2 để giải mã.
bất đối xứng (asymetric cryptography). • Ở đây Trudy cũng biết khóa K1, tuy nhiên không thể
• Whitfield Diffie và Martin Hellman đưa ra 2 phương dùng chính K1 để giải mã mà phải dùng K2. Do đó
án sau: chỉ có duy nhất Bob mới có thể giải mã được.
• Điều này bảo đảm tính bảo mật của quá trình truyền
dữ liệu.
• Ưu điểm của phương án này là không cần phải
truyền khóa K1 trên kênh an toàn.
4 5
Mã hóa công khai
Ý tưởng
(Public-Key Cryptosystems)
• Phương án 2: người gửi (Alice) giữ bí mật khóa K1, còn khóa
• Mã hóa bất đối xứng là một dạng của hệ thống mật mã mà
K2 thì công khai cho tất cả mọi người biết. Alice muốn gởi dữ
liệu cho Bob thì dùng khóa K1 để mã hóa. Bob dùng K2 để giải trong đó mã hóa (encryption) và giải mã (decryption) được
mã. thực hiện bằng cách dùng hai khóa (Key) khác nhau
• Ở đây Trudy cũng biết khóa K2 nên Trudy cũng có thể giải mã • Một là khóa công khai (Public key) và một là khóa bí mật
được. Do đó phương án này không đảm bảo tính bảo mật. (Private key).
• Tuy nhiên lại có tính chất quan trọng là đảm bảo tính chứng • Nó cũng được gọi tên là
thực và tính không từ chối. Vì chỉ có duy nhất Alice biết được MÃ HÓA KHÓA CÔNG KHAI
khóa K1, nên nếu Bob dùng K2 để giải mã ra bản tin, thì điều
đó có nghĩa là Alice là người gửi bản mã. Nếu Trudy cũng có (Public-key Encryption)
khóa K1 để gửi bản mã thì Alice sẽ bị quy trách nhiệm làm lộ Có hai mode làm việc :
khóa K1. • Bảo mật : Mã bằng public key  giải mã bằng private key
• Trong phương án này cũng không cần phải truyền K2 trên • Xác thực : Mã bằng private key giải mã bằng public key
kênh an toànMã bất đối xứng kết hợp 2 phương án trên
6 7
Mã hoá bất đối xứng Mã hóa công khai

(asymmetric cipher model) (Public-Key Cryptosystems)
Sơ đồ mã hóa bất đối xứng • Mã hóa bất đối xứng có thể dùng để bảo mật
(Confidentiality), chứng thực (Authentication),
hoặc cả hai.
Key 1 Key 2 • Hiện nay, mã hóa khóa công khai được ứng
dụng rộng rãi trong nhiều lĩnh vực, trong đó
bao gồm: trao đổi, phân phối khóa, chữ ký
Plaintext Encryption Decryption Plaintext số, bảo mật dữ liệu.
Algorithm
Message Algorithm
Message • Một số thuật toán mã hóa đối xứng: Diffie-
Transmitted
Hellman, El-Gamal, RSA, ECC …
Ciphertext
9
Public-key encryption scheme: Public-key encryption scheme:
Encryption Bảo mật dữ liệu
Mã hóa dùng khóa công khai KU
Authentication
C = E(M, KU) Xác thực dữ liệu
Giải mã dùng khóa riêng KR Mã hóa dùng khóa khóa riêng KR
M = D(C, KR) C = E(M, KR)
Giải mã dùng công khai KU
M = D(C, KU)
Public-Key Cryptosystems:
Public-Key Cryptosystems: Secrecy
Authentication
Thông điệp mã hóa được coi là một digital signature
Public-Key Cryptosystems: Secrecy and
Authentication Hệ thống mã hóa bất đối xứng
So sánh hệ thống mã hóa đối xứng và bất đối xứng

Hệ thống mã Đối xứng Bất đối xứng
hóa
Số khóa 1 2
Bảo vệ khóa Khóa được chia sẻ giữa 1 khóa riêng phần được bí
người gửi và người nhận; mật;
bí mật với tất cả người 1 khóa công khai được
khác công khai cho tất cả mọi
người
Ứng dụng Bảo mật và toàn vẹn dữ Bảo mật, toàn vẹn dữ liệu;
liệu trao đổi khóa, xác thực
(nguồn gốc/chống thoái
thác)
Trần Thị Kim Chi 1-14 Tốc độ Nhanh Chậm Nguyễn Thị Hạnh
Mã hóa công khai Mã hóa công khai

(Public-Key Cryptosystems) (Public-Key Cryptosystems)
• Lý thuyết nền tảng Ứng dụng mã hóa công khai
• Độ phức tạp • Mã hóa/giải mã (Encryption/decryption) – Bảo
• Số học đồng dư (Modular Arithmetic) mật dữ liệu
• Người gửi sẽ mã hóa thông điệp (M) bằng khóa public
• Các hệ Mật mã khóa công khai key của người nhận thành bản mã (C) và gửi bản mã
• RSA (C) cho người nhận;
• Đường cong êlip (Elliptic Curve) • Người nhận sẽ giải mã bản mã bằng private key của
mình để nhận về thông điệp M. Chỉ có người nhận
• Diffie-Hellman mới có thể giải mã và đọc được thông điệp M
• ElGamal
• DSS
16 17
Mã hóa công khai Mã hóa công khai
(Public-Key Cryptosystems) (Public-Key Cryptosystems)
Ứng dụng mã hóa công khai Ứng dụng mã hóa công khai
• Chữ ký số (Digital signatures) - cung cấp cơ chế • Trao đổi khóa (Key exchange):
chứng thực (authentication): • Hai bên hợp tác để thực hiện và trao đổi khóa phiên
• Người gửi sẽ mã hóa thông điệp bằng khóa private key của mình
để tạo ta một chữ ký (S), gửi thông điệp kèm chữ ký cho người • Khóa phiên (session key):
nhận; • Được phát sinh bằng một thuật toán phát sinh khóa phiên
• Người nhận sẽ thẩm tra chữ ký nhận được bằng khóa public key • Chỉ có tác dụng xác thực tại một phiên làm việc hiện tại, hết
của người gửi, nếu đúng thì chấp nhận thông điệp. phiên làm việc thì khóa đó sẽ không còn có tác dụng
• Khi đó người gửi không thể thoái thác mình chưa từng gửi thông • Khóa phiên này có thể đóng vai trò như là khóa bí mật chia
điệp; người nhận chứng minh được nguồn gốc của thông điệp. sẻ trong hệ thống mã hóa khóa bí mật, dùng khóa phiên sẽ
hạn chế được tấn công nghe lén khóa
• Thuật toán tạo khóa phiên: được xây dựng dựa trên
hệ thống mã hóa bất đối xứng
18 19
Ứng dụng của mã hóa khóa công khai Phá mã Public-key

Public-Key Application
• Một vài thuật toán thì phù hợp cho tất cả các ứng dụng, • Tấn công vét cạn (Brute Force attack): Luôn
loại khác thì chỉ dành riêng cho một loại ứng dụng luôn là có thể về mặt lý thuyết
Thuật toán Mã hóa/Giải Chữ ký số Trao đổi •  Sử dụng khóa đủ lớn (>512 bits)
mã khóa •  khóa lớn ảnh hưởng đến tốc độ của việc mã
hóa và giải mã
RSA Yes Yes Yes
• Tìm Private key khi biết Public key:
Elliptic Curve Yes Yes Yes • Chưa được chứng minh tính khả thi của
Diffie- No No Yes phương pháp này
Hellman
DSS No Yes No
21
Ưu điểm mã hóa khóa công khai
An ninh Public-Key Cryptosystems
• Đơn giản trong việc lưu chuyển khóa: Chỉ cần đăng
• An toán của hệ mã hóa khóa công khai dựa trên dộ ký một khóa công khai  mọi người sẽ lấy khóa này
khó của việc giải bài toán ngược. để trao đổi thông tin với người đăng ký  không cần
thêm kênh bí mật truyền khóa.
• Tính bền của sự an toàn này còn phụ thuộc vào • Mỗi người chỉ cần một cặp khóa (PR, KU) là có thể
phương pháp tấn công của các thám mã trao đổi thông tin với tất cả mọi người.
• Là tiền đề cho sự ra đời của chữ ký số và các
phương pháp chứng thực điện tử.

23
Hạn chế của mã Public keys Câu hỏi và bài tập
• Tốc độ xử lý 1. Khái niệm mã hóa khóa công khai, cơ chế, các

• Các giải thuật khóa công khai chủ yếu dùng các phép thành phần của hệ mã hóa công khai
nhân chậm hơn nhiều so với các giải thuật đối xứng 2. Các đặc điểm và yêu cầu của hệ mã hóa công khai
• Không thích hợp cho mã hóa thông thường 3. Nêu nguyên tắc của mã hóa khóa công khai? Tại
• Thường dùng trao đổi khóa bí mật đầu phiên truyền tin sao trong mã hóa khóa công khai không cần dùng
• Tính xác thực của khóa công khai đến kênh an toàn để truyền khóa?
• Bất cứ ai cũng có thể tạo ra một khóa công khai 4. Trong mã hóa khóa công khai, khóa riêng và khóa
• Chừng nào việc giả mạo chưa bị phát hiện có thể đọc công khai có phải là 2 khóa tùy ý, không liên quan?
được nội dung các thông báo gửi cho người kia Nếu có liên quan, tại sao không thể tính khóa riêng
• Cần đảm bảo những người đăng ký khóa là đáng tin từ khóa công khai?

24 25
5. Ngoài vấn đề truyền khóa, mã hóa khóa công khai
còn ưu điểm hơn mã hóa đối xứng ở điểm nào?
6. Nêu nhược điểm của mã hóa khóa công khai.
7. Hãy nêu các vấn đề về RSA
8. Cho các cặp số nguyên tố sau: (13,23); (11,19);
(23,29). Hãy thực hiện các bước phát sinh khóa để
đưa ra khóa công khai, khóa bí mật
9. Dùng các cặp khóa trên để mã hóa thông điệp có
chiều dài 88
10. Thế nào là độ an toàn của một thuật toán mã hóa?

26
3 Nội dung chính

1. Tính toàn vẹn và tính bí mật
2. Tổng quan về hàm băm (Hash Function)
3. Ứng dụng của hàm băm
( Cryptography and Network Security: Principles

and Practices (3rd Ed.) – Chapter 11)
PHẦN I: HÀM BĂM M T M� H C
(Cryptography & Network Security. McGraw-
(CRYTOGRAPHIC HASH Hill, Inc., 2007., Chapter 12)
FUNCTIONS)
1. Tính toàn vẹn và tính bí mật 1. Tính toàn vẹn và tính bí mật
• Tình toàn vẹn (Integrity): người tấn công không thể can • Các ứng dụng chú trọng mục tiêu Toàn vẹn
thiệp để sửa đổi nội dung thông điệp • Tài liệu được sử dụng giống hệt tài liệu lưu trữ
• Mã hóa chỉ nhằm đảm bảo tính bí mật, không giúp đảm • Các thông điệp trao đổi trong một hệ thống an toàn
bảo tính toàn vẹn thông tin không bị thay đổi/sửa chữa
• Người tấn công có thể sửa đổi nội dung thông điệp đã
được mã hóa mà không cần biết nội dung thật sự của
• “Niêm phong” tài liệu/thông điệp
thông điệp • “Niêm phong” không bị sửa đổi/phá hủy đồng nghĩa
với tài liệu/thông điệp toàn vẹn
• “Niêm phong”: băm (hash), tóm lược (message
digest), đặc số kiểm tra (checksum)
• Tạo ra “niêm phong”: hàm băm
2. Hash Function 2. Hash Function

Các định nghĩa cơ bản: • Hàm băm là các thuật toán không sử dụng khóa để mã
• Hàm f là hàm một chiều (one-way function) nếu: hóa, nó có nhiệm vụ băm thông điệp được đưa vào theo
• Cho x dễ dàng tính được f(x) một thuật toán h một chiều nào đó, rồi đưa ra một bản
• Cho f(x) khó tìm được x băm – văn bản đại diện – có kích thước cố định. Do
• Hàm f là hàm cửa lật một chiều (one-way trapdoor) nếu: đó người nhận không biết được nội dung hay độ dài ban
đầu của thông điệp đã được băm bằng hàm băm.
• Cho x dễ dàng tính được f(x)
• Cho f(x) khó tìm được x • Giá trị của hàm băm là duy nhất, và không thể suy
• Nếu có thêm thông tin (trapdoor” information) thì dễ dàng tính ngược lại được nội dung thông điệp từ giá trị băm này.
được x từ f(x)
• Input: M có kích thước

b�t k�
• Output – giá trị h có

kích thước cố định,
ng�n.
• H(x) – hàm một chiều

(“Khó để tính nghịch
đảo”)

x1
Hello, world. k NhbXBsZSBzZW50ZW5jZS x2 Thông điệp

A sample sentence to E B0byBzaG93IEVuY3J5cHR
y1
show encryption. pb24KsZSBzZ
x3 Thông điệp
Hello, world. k rút gọn
NhbXBsZSBzZW50ZW5jZS y2
A sample sentence to D
B0byBzaG93IEVuY3J5cHR
show encryption. pb24KsZSBzZ Không gian thông điệp Không gian giá trị băm
 Encryption is two way, and requires a key to encrypt/decrypt
Không gian giá trị Băm nhỏ hơn rất nhiều so
This is a clear text that với Không gian thông điệp về mặt kích thước
can easily read without
using the key. The
h
52f21cf7c7034a20
17a21e17e061a863
ch�c ch�n sẽ tồn tại đụng độ (trùng), nghĩa là
sentence is longer than có hai tin x và x” m� gi� trị Băm c a chúng l�
the text above.
giống nhau, t c là h(x) = h(x”)
• Hashing is one-way. There is no 'de-hashing’
2. Hash Function Tính chất hàm băm
1. Tính 1 chiều (Preimage resistant – one-way
property):
Cho trước giá trị băm h việc t�m x sao cho H(x)=h l� r�t khó
2. Tính kháng đụng độ yếu (Second preimage
resistant – weak collision resistance – Tính chống
tr�ng yếu):
Cho thông điệp đầu vào x, việc t�m một thông điệp x’ với
(x’ x) sao cho h(x’)=h(x) l� r�t khó
3. Tính kháng đụng độ mạnh-tính chống trùng
mạnh (Strong Collision resistance):
Không thể tính toán để tìm được hai thông điệp đầu vào
x1 x2 sao cho chúng có cùng giá trị băm
(Nghịch l� ng�y sinh – Birthday paradox)
Tính chất hàm băm Tính chất hàm băm

1. Tính 1 chiều (Preimage resistant – one-way 1. Tính kháng đụng độ yếu (Second preimage
property): resistant – weak collision resistance – Tính chống
Cho trước giá trị băm h việc t�m x sao cho H(x)=h l� r�t khó tr�ng yếu):
• Ví dụ: người C b�t đầu với một bức điện được k� có Cho thông điệp đầu vào x, việc t�m một thông điệp x’ với
giá trị (x, y), trong đó y = sigK(h(x)) (cặp (x, y) có thể (x’ x) sao cho h(x’)=h(x) l� r�t khó
là bất k� bức điện trước đó mà B đã k�). • Người C có thể làm là: đầu tiên anh ta tìm 2 bức điện
• Sau đó, C tính z = h(x) và cố g�ng tìm x‟ # x để h(x‟) x  x‟ sao cho h(x) = h(x‟). Sau đó C đưa bức điện x
= h(x). Nếu C làm được điều này thì cặp (x‟, y) sẽ là cho B và thuyết phục B k� vào cốt bức điện h(x); và
một bức điện được k� có giá trị (một bức điện giả vì vậy, anh ta tìm được y. Như vậy, cặp (x‟, y) là một
mạo có giá trị). cặp chữ k� giả có giá trị.
• Để ngăn cản việc này, hàm Băm h phải thoả mãn • Điều này là nguyên nhân mà việc thiết kế hàm Băm
tính chất 1 phải thoả mãn tính chất 2.
Tính chất hàm băm Phân Loại hàm băm mật mã
Cryptographic
3. Tính kháng đụng độ mạnh-tính chống trùng mạnh Hash Functions
(Strong Collision resistance):

Không sử
Không thể tính toán để tìm được hai thông điệp đầu vào dụng
x1 x2 sao cho chúng có cùng giá trị băm Message Authentication khóa
Manipulation Detection
(Nghịch l� ng�y sinh – Birthday paradox) Codes Codes
(MAC) (MDC)
• Ví dụ: Người C là chọn một giá trị cốt z ng�u nhiên. Sử dụng
Người C sẽ tính một chữ k� với một giá trị ng�u nhiên z, khóa
sau đó anh ta tìm một bức điện x sao cho z = h(x). Nếu
anh ta làm được điều này thì cặp (x, y) là cặp chữ k� giả One-Way
Universal
Collision Resistant
có giá trị. One-Way
Hash Functions Hash Functions
Hash Functions
(OWHF) (CRHF)
• Như vậy một tính chất nữa mà h cần thoả mãn là tính (UOWHF)
một chiều.
SHA-1 MD5
• SHA = Secure Hash Algorithm • MD = Message Digest

• Được phát triển bởi NIST 1993
(SHA-0) • MD5 được đề xuất bởi Rivest vào năm
• 1995: SHA-1 - Chính phủ Mỹ 1991
chọn làm chuẩn quốc gia. Kích • Trước đó có MD2, MD4 nhưng không an
thước giá trị băm 160-bit
• Hiện nay còn có SHA-224, SHA-
toàn
256, SHA-384, SHA-512 • Hiện tại có MD6
• Được sử dụng rộng rãi trong các
giao thức SSL, PGP, SSH,
• Được sử dụng rộng rãi
S/MIME, IPSec • Truyền tập tin
• Lưu trữ mật khẩu Nguyễn Thị Hạnh
3. Ứng dụng hàm băm 3. 1 Lưu trữ và bảo mật mật khẩu
• Lưu trữ và bảo mật mật khẩu • Mật khẩu bao gồm chuỗi các chữ cái (hoa, thường), chữ
số và các k� tự đặc biệt (@, # …).
• Ch ng thực thông điệp • Do tính chất của hàm toán học một chiều, mật khẩu của
(Message Authentication) tài khoản được bảo vệ ngay cả trong trường hợp file lưu
trữ mật khẩu hệ thống bị sao chép.
• Nâng cao hiệu quả c a Chữ k� số •
Username Password
(Digital Signatures) Username Password
• C�c ng dụng kh�c

admin 69c919ee4881666e4c90d51d4a2ed505
admin @123!FitIuh
trandung @123!Tran
(Other Applications) trandung 168838fe639bd5d8b660d5b008978759
Lưu trữ không mã hóa mật khẩu Lưu trữ mã hóa mật khẩu với MD5
3. 1 Lưu trữ mật khẩu Password Verification

Store Hashing Password Verification an input password against the stored hash
Iam#4VKU Iam#4VKU
Dùng lưu trữ mật khẩu (băm password): Password
• Hàm băm được dùng để tạo one-way password file, store
trong cơ chế này giá trị băm của password được lưu, điều h h
này tốt hơn là lưu chính bản rõ password.  password
không bị truy xuất bởi kẻ tấn công nơi chứa password.
• Khi user nhập vào một password, thì giá trị băm của 661dce0da2bcb2d8 661dce0da2bcb2d8 661dce0da2bcb2d8
2884e0162acf8194 2884e0162acf8194 2884e0162acf8194
password được so với giá trị băm được lưu để kiểm tra.
Hash Matching
Exactly?
Password
Yes No
store Deny
Grant
Một số ứng dụng MD5 và SHA-1 Một số ứng dụng MD5 và SHA-1
1. Lưu trữ mật khẩu 2. Đấu giá trực tuyến (Trang 94)
26
Một số ứng dụng MD5 và SHA-1 Xác thực thông điệp
2. DownLoad File • Là một cơ chế/dịch vụ được dùng để kiểm

tra:
• Tính toàn vẹn của một thông điệp - Đảm bảo
thông điệp nhận được là chính xác như khi được
gửi (không bị chỉnh sửa, chèn, hoặc thay thế)
• Nguồn gốc của thông điệp – Xác định thông điệp
đến từ ai (sender là hợp pháp).
• Hàm băm dạng này, giá trị băm (h) được gọi
là tóm t t thông điệp hoặc cốt thông điệp
(message digest)
27
Xác thực thông điệp Ứng dụng trong chữ ký số

Message M
• Chữ ký số của một người

Signing with
dùng trên một thông điệp Private Key
chính là mã hóa thông
điệp bằng khóa riêng Digital
phần (Private Key) của signature
for message
người dùng đó. M
• Khi đó chữ ký có kích

thước (chiều dài) bằng
chiều dài thông điệp.
28
30
Ứng dụng trong chữ ký số

Nhận diện sự xâm hại
• Chữ ký số được tạo ta trên Dùng nhận diện xâm hại (intrusion
giá trị băm của thông điệp detection) và nhận diện virus (virus
thay vì tạo trên thông điệp detection).
•  Chữ ký trên giá trị băm • Tính, lưu và bảo mật giá trị băm H(F) của các
sẽ có kích thước ng�n hơn tập tin trong hệ thống (thể lưu trên CD-R)
rất nhiều trên chữ ký trên • Kẻ xâm hại cần phải hiệu chỉnh F mà không
thông điệp thay đổi H(F)
•  tăng tốc cho các ứng
dụng chữ ký số
29
31
Phát sinh số ng�u nhiên giả Tấn Công Hàm Băm
• Kỹ thuật t�n công vét cạn: kẻ tấn công tạo ra

• Dùng: một lượng lớn các văn bản và lần lượt tính
Xây dựng hàm ngẫu nhiên giả toán, so sánh giá trị băm của chúng để tìm ra
(pseudorandom function - PRF) đụng độ. Trên thực tế, kích thước bảng băm
hoặc theo các thuật toán thông dụng là 64 bit, 128
bit …, do đó thời gian tính toán để tìm được
Phát sinh số ngẫu nhiên giả
đụng độ theo phương pháp là rất lớn.
(pseudorandom number generator - PRNG)
Tấn Công Hàm Băm Câu hỏi và bài tập

Kỹ thuật phân tích mã: 1. Để bảo đảm tính chứng thực dùng mã hóa đối xứng hay mã hóa
khóa công khai, bản rõ phải có tính chất gì? Tại sao?
• Hạn chế của kỹ thuật tấn công vét cạn là số phép tính
2. Nếu bản rõ là một dãy bít ng�u nhiên, cần làm gì để bản rõ trở
lớn, khi độ dài của bảng băm tương đối lớn (>=128 thành có cấu trúc?
bit) thì việc tìm va chạm mất rất nhiều thời gian. Hiện 3. Sử dụng MAC để chứng thực có ưu điểm gì so với chứng thực
nay có nhiều phương pháp cho ta kết quả tốt hơn kỹ bằng mã hóa đối xứng?
thuật vét cạn, có thể kể đến như: 4. Về mặt lý thuyết, giá trị Hash có thể trùng không? Vậy tại sao nói
• Tấn công theo kiểu gặp nhau ở giữa (meet – in – the – giá trị Hash có thể xem là “dấu vân tay của thông điệp”?
middle attack) 5. Tại sao để chứng thực một thông điệp M, người ta chỉ cần mã
hóa khóa công khai giá trị Hash của M là đủ? Thực hiện như vậy
• Tấn công khác biệt giữa các module (The modular có lợi ích gì hơn so với cách thức mã hóa toàn bộ M
differential attack) 6. Tìm hiểu phương pháp sử dụng hàm băm MD5 và SHA trong thư
• Boomerang Attacks … viện .NET, viết chương trình mã hóa password lưu trữ và kiểm tra
password.
• Trình bày ưu điểm, hạn chế của mã hóa đối xứng
• Trình bày ưu điểm, hạn chế của mã hóa bất đối xứng
• Nêu nguyên t�c của mã hóa khóa công khai? Tại sao khi truyền khóa sử
dụng mã hóa khóa công khai không cần sử dụng kênh an toàn?
• Cho ví dụ về hàm một chiều.
• Cho ví dụ về hàm cửa lật một chiều.
• Trình bày nghịch l� ngày sinh nhật.
3 Nội dung chính
 Khái niệm toàn vẹn và xác thực thông

điệp
 Các cơ chế mã xác thực thông điệp
 Ứng dụng mã xác thực thông điệp
PHẦN II: MÃ XÁC THỰC THÔNG ĐIỆP
(MESSAGE AUTHENTICATION CODES)
(Cryptography & Network Security.
McGraw-Hill, Inc., 2007., Chapter 11)
1. Khái niệm xác thực thông điệp Các yêu cầu bảo mật khi truyền
thông tin trên mạng
Tìm các biện pháp cần thiết để chống đối lại các hành động
phá hoại sau:
1.1 Toàn vẹn thông điệp Để lộ bí mật: đọc nội dung mẩu tin không được phép.
(Message Integrity) Thám mã đường truyền: theo dõi hoặc phân tích đường
truyền.
Giả mạo: lấy danh nghĩa người khác để gửi tin.
1.2 Xác thực thông điệp Sửa đổi nội dung: thay đổi, cắt xén, thêm bớt thông tin.
Thay đổi trình tự các gói tin nhỏ của mẩu tin truyền.
(Message Authentication )
Sửa đổi thời gian: làm trì hoãn mẩu tin.
Từ chối gốc: người gửi từ chối trách nhiệm là tác giả mẩu tin.
Từ chối đích: người nhận phủ định sự tồn tại và đến đích của
mẩu tin đã gửi.
3 4
Integrity Message Integrity Message
Đặt vấn đề Tính toàn vẹn thông điệp:

• Cho phép các bên liên lạc xác minh rằng các tin nhắn
nhận được được xác thực.
• Nội dung thông điệp chưa bị thay đổi
• Nguồn của thông điệp tin cậy
• Thông điệp chưa bị phát lại
• Thông điệp được xác minh đúng thời điểm
• Sự liên tục của thông điệp được duy trì
5 6
1.1 Integrity Message 1.1 Integrity Message
Tấn công thay thế
7 8
1.1 Integrity Message 1.1 Integrity Message
Tấn công giả danh Tấn công phủ nhận
9 10
Mã xác thực thông điệp Mã xác thực thông điệp
Message Authentication Message Authentication
Định nghĩa
Mục tiêu
• Là một kỹ thuật chứng thực liên quan đến việc sử dụng
• Xác nhận nguồn gốc của dữ liệu một khoá bí mật để tạo ra một khối dữ liệu có kích thước
• Thuyết phục với người sử dụng là dữ liệu nhỏ cố định (checksum hoặc MAC) và được thêm vào
này chưa bị sửa đổi hoặc giả mạo. thông điệp.
• Giả sử 2 phía tham gia truyền thông là A và B chia sẻ
• Là cơ chế quan trọng để duy trì t�nh to�n vẹn một khoá bí mật K. Khi A có một thông điệp gởi đến B, A
và không thể từ ch�i dữ liệu sẽ tính toán MAC như là một hàm của thông điệp và
khoá: MAC=C(K, M), với
• M: thông điệp đầu vào có kích thước biến đổi
• C: hàm MAC
• K: khoá bí mật chia sẻ giữa người gởi và người nhận
11 • MAC: mã chứng thực thông điệp có chiều dài cố định 12
Mã xác thực thông điệp

Message Authentication Message Authentication
Các phương pháp Message Authetication:
• Mã hóa thông đi�p: sử dụng mã h�a kh�a bí mật,
mã h�a kh�a công khai
• H�m băm (Hash Function): Một hàm ánh xạ một
thông điệp c� chiều dài bất kỳ vào một giá trị băm c�
chiều dài cố định sử dụng để chứng thực.
• Mã ch�ng thực thông đi�p (MAC): một hàm và
một kh�a bí mật tạo ra một giá trị c� chiều dài cố
định sử dụng để chứng thực
13 14
Mã h�a thông điệp:Xác thực Mã h�a thông điệp:sử dụng
bằng mật mã kh�a đối xứng mã h�a kh�a bí mật
• Xác thực bằng mật mã khóa đối xứng
• Đảm bảo thông báo được gửi đúng nguồn do chỉ bên
gửi biết khóa bí mật
• Không thể bị thay đổi bởi bên thứ ba do không biết
khóa bí mật
15 16
Mã h�a thông điệp:Xác thực Mã h�a thông điệp:Xác thực

bằng mật mã kh�a đối xứng bằng mật mã kh�a đối xứng
• Xác thực bằng mật mã khóa công khai
• Không những xác thực mà còn tạo ra được chữ ký số
• Tuy nhiên, phức tạp và tốn thời gian hơn mã đối xứng
• Xác thực bằng mã hóa có nhược điểm:
• Tốn thời gian để mã hóa cũng như giải mã toàn bộ
thông điệp
• Nhiều khi chỉ cần xác thực mà không cần bảo mật
thông báo (cho phép ai cũng có thể biết nội dung, chỉ
cần không được sửa đổi)
17 18
Mã h�a thông điệp sử dụng Mã h�a thông điệp sử dụng
mật mã kh�a công khai mật mã kh�a công khai
19 20
Mã h�a thông điệp sử dụng Xác thực bằng mật mã kh�a

mật mã kh�a công khai công khai
21 22
Message Authentication Code Message Authentication Code
• Mã ch�ng thực thông bằng H�m băm (Hash Function) • Mã ch�ng thực thông bằng H�m băm (Hash Function)
23 24
Message Authentication Code Tính chất của MAC

(MAC)
• Theo mô hình mã chứng thực thông điệp MAC: Bên nhận • MAC là thông tin nén của mẩu tin kết hợp với kh�a
thực hiện cùng giải thuật của bên gửi trên thông báo và khóa bí mật MAC = C(K,M)
và so sánh giá trị thu được với MAC trong thông báo
• Nén bản tin M c� độ dài tùy ý;
• Sử dụng kh�a mật K;
• Tạo nên dấu xác thực c� độ dài cố định;
• Là hàm nhiều – một, nghĩa là c� nhiều bản tin
khác nhau nhưng c� cùng MAC. Tuy nhiên ta phải
lựa chọn hàm MAC sao cho xác suất để các mẩu
tin c� ý nghĩa c� MAC trùng nhau là rất nhỏ. Việc
tìm được các mẩu tin như vậy là rất kh� khăn.
25 26
Message Authentication Code
Yêu cầu đối với MAC
(MAC)
• Ứng dụng trong:
MAC phải thỏa mãn các điều sau:
• Banking: sử dụng MAC kết hợp triple-DES
• Biết mẩu tin và MAC, không thể tìm được • Internet: sử dụng HMAC và MAC kết hợp AES
mẩu tin khác c� cùng MAC.
• Các MAC cần phải phân bố đều.
• MAC phải phụ thuộc như nhau vào tất cả các
bit trong mẩu tin. Tức là khi thay đổi một bit
thông tin nào đ�, MAC sẽ c� những thay đổi
kéo theo.
27 28

(MAC) (MAC)
• Ví dụ 1: • Ví dụ 2: phần mềm Tripwire
29 30
An toàn của MAC An toàn của MAC
• Brute-force attacks: • Cryptanalytic Attacks: Khai thác vài đặc tính

• Cho một hoặc nhiều cặp [xi, MAC(K, xi)], rất của thuật toán MACs hoặc hàm hash
khó để tính toán tìm ra xxi mà c� cùng giá trị • Tốt hơn vét cạn
MAC của xi • C� nhiều biến thể trong cấu trúc của MACs
• C� 2 hướng: hơn hàm hash nên tấn công MACs kh� khăn
• Chiều dài thông thường của MAC: 32..96 bitTấn hơn hàm hash.
công không gian kh�a: 2k (với k – kích cở kh�a)
• Chiều dài thông thường của khoá K: 56..160
bittấn công giá trị MAC: 2n (�t nhất 128-bit MAC
thì mới an toàn)
31 32

Tấn công phát lại (Replya attack) Tấn công phát lại (Replya attack)
• Kẻ tấn công phát lại bản tin M đã được chứng thực trong
phiên truyền thông trước đ�
• Thiết kế MAC không chống được tấn công phát lại  cần
thêm các yếu tố chống tấn công phát lại trong các giao
thức truyền thông sử dụng MAC
• Một số kỹ thuật chống tấn công phát lại:
• Giá trị ngẫu nhiên
• Tem thời gian
33 34
Message Authentication Code Câu hỏi và bài tập
Ưu điểm của MAC:

• MAC chỉ hỗ trợ xác thực, không hỗ trợ bảo mậtcó lợi 1. Phân biệt giữa toàn vẹn thông điệp và
trong nhiều trường hợp (các thông báo công cộng,…) chứng thực thông điệp
• Có kích thước nhỏ, thời gian tạo ra nhanh hơn so với mã 2. Phân biệt giữa MDC và MAC
hóa toàn bộ thông báo
• Chú ý: MAC không phải là chữ ký điện tử 3. Phân biệt giữa HMAC và CMAC
4. Giải thích tại sao Public Key không
được dùng trong việc tạo một MAC
35 36
(ELECTRONIC SIGNATURE -
DIGITAL SIGNATURES)
Khái niệm về ch k� điện tử v� ch k� s
Nội dung chính (Electronic Signature and Digital Signature)
1. Khái niệm về ch k� s (Digital Signature)

2. Các d ch v b�o m�t cung c�p b i ch k� s
3. Một v�i ch k� s thông d ng
4. Mô t� v�i ng d ng c a ch k� s
(Cryptography & Network Security. McGraw-

Hill, Inc., 2007., Chapter 13)
1-2 1-3
Khái niệm về ch k� điện tử Khái niệm về ch k� điện tử

(Electronic Signature) (Electronic Signature)
Chữ ký điện tử được đề c�p tại kho�n 1 Điều 21 Đặc điểm của chữ ký điện tử:
Lu�t Giao d ch điện tử năm 2005. • Cần ph�i ph thuộc v�o nội dung k�.
• Ch k� điện tử l� dạng thông tin đi kèm d liệu • Cần sử d ng thông tin đặc trưng duy nh�t đ i với người
gửi. Để ch ng c� gi� mạo v� từ ch i.
(văn b�n, hình �nh, video…) nhằm m c đích xác
• Cần ph�i tương đ i dễ d�ng tạo ra.
đ nh người ch c a d liệu đó..
• Dễ d�ng đoán nh�n v� kiểm ch ng.
• Chữ ký điện tử l� một thay thế cho ch k� viết
• Không thể tính toán gi� mạo được.
tay c a cá nhân hay doanh nghiệp. • Với b�n tin mới v� ch k� đã có.
• Chữ ký điện tử được sử d ng trong các giao • Với ch k� gi� mạo cho 1 b�n tin.
d ch điện tử • Có thể lưu tr ch k� điện tử.
1-4 1-5
Khái niệm về ch k� điện tử Khái niệm về ch k� điện tử
Tính chất của Chữ ký điện tử Tiêu chuẩn của Chữ ký điện tử
• Ch k� điện tử có thể l� b�t kỳ biểu tượng, hình �nh, quy • Ch ký điện tử không ph thuộc vào các tiêu chuẩn.
trình n�o được đính kèm với tin nhắn hoặc t�i liệu biểu Không sử d ng mã hóa.
th danh tính c a người k� v� h�nh động đồng � với nó. Cơ chế xác thực, bảo mật
Ch k� điện tử được biết đến với tính năng nhằm xác • Ch k� điện tử với cơ xác thực xác minh danh tính người
minh một t�i liệu. k� thông qua email, mã PIN điện thoại,…
• Ch k� điện tử tính b�o m�t có thể coi l� yếu thế hơn so
với ch k� s . Việc xác nh�n c a ch k� điện tử không
có quá trình xác nh�n c thể.
1-6 1-7
Khái niệm về ch k� điện tử Giá tr pháp lý c a ch k� điện tử

Giá trị pháp lý của Chữ ký điện tử Theo Lu�t Giao d ch điện tử (Việt Nam), điều 4 đ nh nghĩa
• Phương pháp tạo ch k� điện tử cho phép xác minh (1)Ch ng thư điện tử là thông điệp d liệu do tổ ch c cung
được người k� v� ch ng tỏ được sự ch�p thu�n c a c�p d ch v ch ng thực ch ký điện tử phát hành nhằm
người k� đ i với nội dung thông điệp d liệu. xác nh�n cơ quan, tổ ch c, cá nhân được ch ng thực là
• Phương pháp tạo ch k� ph�i đ tin c�y v� phù hợp với người ký ch ký điện tử.
m c đích m� theo đó thông điệp d liệu được tạo ra v� (2)Ch ng thực ch ký điện tử là việc xác nh�n cơ quan, tổ
gửi đi. ch c, cá nhân được ch ng thực là người ký ch ký điện
tử.
• Ch ký điện tử ph�i đ�m b�o đ an toàn và không b gi� (5)D liệu là thông tin dưới dạng ký hiệu, ch viết, ch s ,
mạo khi tạo ra ch ký điện tử hình �nh, âm thanh hoặc dạng tương tự.
(12)Thông điệp d liệu là thông tin được tạo ra, được gửi đi,
được nh�n và được lưu tr bằng phương tiện điện tử.
1-8 1-9
Lợi ích c a ch k� điện tử Ứng d ng c a ch k� điện tử
• Rút ngắn thời gian • Ch k� điện tử có thể sử d ng trong các giao d ch thư điện
• An toàn – b�o m�t danh tính cao tử, các e-mail, để mua bán h�ng trực tuyến, đầu tư ch ng
• Đa dạng và linh hoạt cách th c khoán trực tuyến, chuyển tiền ngân h�ng, thanh toán trực
tuyến m� không sợ b đánh cắp tiền như với các t�i kho�n
• Rút gọn quy trình ch ng nh�n gi�y tờ Visa, Master.
• Quy trình nộp thuế đơn gi�n • Ứng d ng c a Bộ T�i chính
• Ứng d ng c a Bộ Công thương
• Ứng d ng c a Bộ KHCN, …
• Mua bán, đặt h�ng trực tuyến
• Thanh toán trực tuyến, …
• Giao d ch qua email
• Hội ngh truyền hình v� l�m việc từ xa
1-10 1-11
Khái niệm về ch ký s Khái niệm về ch ký s

(Digital Signature) (Digital Signature)
Mẫu chữ ký của tổ chức, doanh nghiệp
Mẫu chữ ký của cá nhân trong tổ chức
1-12 1-13
Khái niệm về ch ký s
(Digital Signature) Khái niệm về ch k� s
• Khái niệm về Digital Signature được để xu�t b i Diffie & • Được tạo ra bằng cách mã hóa một thông điệp d liệu sử
Hellman (1976) d ng hệ th ng mã b�t đ i x ng. Sử d ng khoá riêng phần
• Chữ ký số là một dạng c a ch ký điện tử. Ch ký s là (Private Key) tương ng với khoá công khai ghi trên
thông tin đi kèm theo các t�i liệu điện tử như Word, Excel, ch ng thư s .
PDF, hình �nh, Video,…) nhằm m c đích xác nh�n ch s
• Ai mà có được thông điệp/d liệu ban đầu v� khóa công
h u d liệu đó. Nó mã hóa t�i liệu v� nhúng vĩnh viễn thông
tin v�o đó. Nếu người dùng c gắng thực hiện b�t kỳ thay đổi khai c a người k� có thể xác đ nh được tính xác thực c a
n�o trong t�i liệu thì đều sẽ b vô hiệu. ch ký và tính toàn vẹn c a thông điệp
• Chữ ký số (Token) l� một thiết b được mã hóa t�t c� các d
liệu, thông tin c a một doanh nghiệp/cá nhân dùng thay cho
ch k� trên các loại văn b�n v� t�i liệu s thực hiện đ i với
các giao d ch điện tử qua mạng internet.
1-14 1-15
Khái niệm về ch ký s
(Digital Signature) Khái niệm về ch k� s
• Chữ ký số giúp các tổ ch c duy trì k� xác thực, trách • Ch ký s l� một trong ng d ng quan trọng nh�t c a
nhiệm gi�i trình, tính to�n vẹn d liệu v� không thoái thác mã hóa khóa công khai.
t�i liệu điện tử v� các hình th c k� kết. • Message Authentication ch� b�o vệ thông điệp trao đổi
• Nó có vai trò như ch k� đ i với cá nhân hay con d�u đ i gi a hai bên tham gia không b hiệu ch�nh hay gi� mạo
với tổ ch c, doanh nghiệp v� dùng để xác nh�n lời cam từ bên th 3, nhưng nó không b�o vệ thông điệp b hiệu
kết c a tổ ch c, cá nhân đó trong văn b�n mình đã k� ch�nh hay gi� mạo từ một trong 2 bên tham gia, nghĩa l�:
trên môi trường điện tử s . Ch k� s được được thừa • Bên nh�n gi� mạo thông điệp c a bên gửi
nh�n về mặt pháp l�. • Bên gửi ch i l� đã gửi thông điệp đến bên nh�n
• Có nhiều loại ch ký khác nhay như: ch ký RSA, ch ký • Ch ký s không nh ng giúp xác thực thông điệp m�
ECC, ch ký ElGamal còn b�o vệ quyền lợi m i bên tham gia.
1-16 1-17
VÍ DỤ CHỮ KÝ SỐ TRONG THỦ TỤC HQĐT
Khái niệm về ch k� s Doanh nghiệp Hải quan
Doanh nghiệp nh�p tờ khai

Khai
Ví dụ cơ bản: hải
• Minh có hai khóa, một khóa công khai v� một khóa riêng. quan
• Minh đưa khóa công khai c a mình cho Lan, nhưng gi Ký điện tử Kiểm tra ch ký điện tử
lại khóa riêng cho mình.

• Khi mu n chuyển tài liệu cho Lan, Minh có thể xác nh�n
(ký) các tài liệu này dùng chính khóa riêng c a mình và Kiểm tra hiệu lực ch ký s c a DN
gửi chúng đến Lan. Trả

• Lan sau đó sẽ dùng khóa công khai c a Minh, để có thể phản
kiểm tra t�i liệu m� cô �y nh�n được, thực sự được gửi hồi về
In tờ khai và làm các quy trình cho
b i Minh. trong thông quan điện tử
DN
Lưu tờ khai và xử lý theo quy trình nghiệp v
1-18 1-19
M c tiêu c a ch k� s Đặc điểm ch k� s
Mục tiêu an toàn 1. Đảm bảo tính xác thực

• Xác thực (Authentication) • Ch ng minh tính hợp pháp c a người gửi
• Ch ng ph nh�n (Non-repudiation) • Ch ng minh tính toàn vẹn c a d liệu
Một số yêu cầu: 2. Chữ ký số là hàm của các tham số
• Ch k� ph�i mang đặc trưng c a người tạo văn b�n • Thông báo giao d ch (văn b�n g c)
• Ch k� không thể sử d ng lại • Thông tin bí m�t c a người gửi (Khóa riêng c a sender)
• Văn b�n đã k� không được sửa đổi. Nếu có thì cần ph�i • Thông tin công khai trên mạng (Khóa công khai)
thực hiện k� lại trên văn b�n mới. • Mã xác thực : Đ�m b�o tính toàn vẹn c a thông điệp
1-20 1-21
Nguyên l� k� điện tử trong hệ m�t
Đặc điểm ch k� s mã công khai
1. Người g i (ch nhân văn b�n): ký văn b�n bằng cách mã
hóa nó với khóa bí m�t c a mình, rồi g i cho bên nh�n.
2. Người nh�n tiến hành kiểm tra ch ký bằng cách sử
d ng khóa công khai c a người g i để gi�i mã văn b�n.
Nếu gi�i mã thành công thì văn b�n ký là đúng người g i
1-22
Sơ đồ sử d ng ch k� s H�m băm m�t mã

Signing the Digest
• Ký trên digest c a thông điệp sẽ ngắn hơn ký trên
thông điệp
• Người gửi có thể ký trên c t thông điệp và người
nh�n có thể kiểm tra trên c t thông điệp
1-24
Digital Signature Process
Sơ đồ sử d ng ch ký s
Tạo v� Kiểm tra ch k� s
1-26 1-27
Tính ch�t, tiêu chuẩn c a ch ký s Cơ chế xác thực, b�o m�t c a ch ký s
Tính ch�t: • Ch k� s với cơ chế xác thực thông qua ID kỹ

• Ch ký s có thể được hình dung như một “d�u thu�t s dựa trên ch ng ch� gồm kh� năng xác
vân tay” điện tử, được mã hóa và xác đ nh danh đ nh nguồn g c, tính to�n vẹn v� tính không thể
tính người thực sự ký nó. Hay nói cách khác, ch ph nh�n.
ký s với tính năng nhằm b�o m�t một tài liệu cho • Ch k� s với tính b�o m�t cao độ an to�n cao
người sử d ng. hơn so với ch k� điện tử được thực hiện xác
Về tiêu chuẩn nh�n b i các cơ quan ch ng nh�n tin c�y hoặc
• Ch k� s sử d ng các phương th c mã hóa m�t nh� cung c�p d ch v y thác.
mã.
Nh�n xét Nhược điểm mô hình ch k� s
• Ch ký không ph�i là nét vẽ ngoằn ngoèo khó • Mô hình CKS trên ch� đạt được nếu như m i
bắt chước mà là một dãy s trích từ đặc trưng người s h u đúng cặp chìa khóa c a chính
văn b�n đã được mã hóa. mình.
• So với ch ký thông thường, ch ký s có ưu thế • Có thể xẩy ra hiện tượng “mạo danh” người g i.
vượt trội hơn ch ký tay. Do đó, ta cần có cơ chế để xác đ nh “ai là ai” trên
 Chính xác tuyệt đ i toàn hệ th ng.
 Kiểm đ nh dễ dàng và chính xác
• Gi�i pháp: ch ng minh thư s
“Chữ ký điện tử mở đường cho các dịch vụ có độ tin
cậy cao”
Giá tr pháp lý c a ch k� điện tử

Giá trị pháp lý của chữ ký số (Digital Signature)
Trong trường hợp pháp lu�t quy đ nh văn b�n cần có ch k� thì yêu cầu
• Chữ ký số được tạo ra khi ch ng thư s có hiệu lực v� đó đ i với một thông điệp d liệu được xem l� đáp ng nếu ch k� điện
có thể kiểm tra được bằng khoá công khai ghi trên ch ng tử được sử d ng để k� thông điệp d liệu đó đáp ng các điều kiện sau
thư s có hiệu lực đó. đây:
• Chữ ký số được tạo ra bằng khoá bí m�t tương ng với • Phương pháp tạo ch k� điện tử cho phép xác minh được người k�
v� ch ng tỏ được sự ch�p thu�n c a người k� đ i với nội dung
khoá công khai ghi trên ch ng thư s do tổ ch c có thẩm
thông điệp d liệu.
quyền c�p.
• Phương pháp tạo ch k� ph�i đ tin c�y v� phù hợp với m c đích
• Khóa bí m�t ch� thuộc sự kiểm soát c a người k� tại thời m� theo đó thông điệp d liệu được tạo ra v� gửi đi.
điểm k�. • Trong trường hợp pháp lu�t quy đ nh văn b�n cần được đóng d�u
• Khóa bí m�t v� nội dung thông điệp d liệu ch� gắn duy c a cơ quan, tổ ch c thì yêu cầu đó đ i với một thông điệp d liệu
được xem l� đáp ng nếu thông điệp d liệu đó được k� b i ch k�
nh�t với người k� khi người đó k� s thông điệp d liệu.
điện tử c a cơ quan, tổ ch c đáp ng các điều kiện quy đ nh tại
kho�n 1 Điều 22 c a Lu�t Giao d ch Điện tử v� ch k� điện tử đó có
1-32
ch ng thực. 1-33
Giá tr pháp lý c a ch k� s
(Digital Signature)
T�n công trên Digital
Signature
Để đ�m b�o giá tr pháp l�, ch k� s ph�i đáp ng các • Các loại t�n công trên Digital Signature
điều kiện như sau:
• Ch k� s được tạo ra khi ch ng thư s có hiệu lực v� (Attack Types)
có thể kiểm tra được bằng khoá công khai ghi trên ch ng • Key-Only Attack
thư s có hiệu lực đó.
• Known-Message Attack
• Ch k� s được tạo ra bằng khoá bí m�t tương ng với
khoá công khai ghi trên ch ng thư s do tổ ch c có thẩm • Chosen-Message Attack
quyền c�p. • Gi� mạo ch ký (Forgery)
• Khóa bí m�t ch� thuộc sự kiểm soát c a người k� tại thời
điểm k�.
• Existential Forgery
• Khóa bí m�t v� nội dung thông điệp d liệu ch� gắn duy • Selective Forgery
nh�t với người k� khi người đó k� s thông điệp d liệu.
1-34 1-35
V�i ch k� s thông d ng Vài biến thể ch ký

• RSA Digital Signature Scheme • Time Stamped Signatures
• Một tài liệu được ký cần được gắn nhãn thời gian
• ElGamal Digital Signature Scheme (Timestamped) để ngăn chặn tài liệu b phát lại
(replay) b i đ i phương
• Schnorr Digital Signature Scheme • Ví d : Alice ký một yêu cầu đ i với nhà bang c a cô
ta, Bob chuyển tiền cho Eve, Tài liệu yêu cầu này có
thể b chặn và phát lại b i Eve nếu không có nhãn
• Digital Signature Standard (DSS) thời gian gắn trên tài liệu
• Elliptic Curve Digital Signature Scheme
1-36
Nh ng biến thể ch ký Nh ng biến thể ch ký
Blind Signatures Blind Signatures
• Gi� sử có một tài liệu mà chúng ta mu n có • Các bước thực hiện:
ch ký mà không mu n tiết lộ nội dung c a • Bob tạo một thông điệp, ẩn (Blind) nó, và gửi
tài liệu đ i với người ký. thông điệp ẩn này cho Alice
• Ví d : Nhà khoa học phát minh ra một lý • Alice ký thông điệp ẩn và tr� về ch ký trên thông
điệp ẩn.
thuyết r�t quan trọng mà cần được ký b i
• Bob bỏ ẩn ch ký để thu về ch ký trên thông
công ch ng viên, công ch ng viên sẽ ký
điệp g c
nhưng sẽ không biết gì về nội dung c a phát
minh.
Ứng d ng c a ch k� s
Nonrepudiation
1. Xác thực thông điệp (Message Authentication): Người • Nonrepudiation có thể được cung c�p bằng cách
ký được xác nh�n là ch ch ký. dùng một trusted Center
2. Toàn vẹn thông điệp (Message Integrity): Nội dung
chưa b thay đổi hoặc xáo trộn kể từ khi nó được ký
điện tử.
3. Ch ng từ ch i (Non-repudiation): Ch ng minh với t�t
c� các bên về nguồn g c c a nội dung đã ký. Từ
"thoái thác" dùng để ch� hành động c a một người ký
từ ch i b�t kỳ m i liên kết nào với nội dung đã ký.
4. B�o m�t (Confidentiality)
1-41
Confidentiality Ứng d ng c a ch k� s
• Thêm confidentiality v�o cơ chế digital signature
Trong chính phủ điện tử
• Khai báo h�i quan điện tử, thuế điện tử
• Khai sinh, khai tử
• C�p các loại gi�y tờ v� ch ng ch�
• Hệ th ng nộp hồ sơ xin phép: xu�t b�n,
xây dựng, y tế, giáo d c…
Một Digital Signature không cung c�p tính bí m�t. Nếu cần
b�o m�t, encryption/decryption được áp d ng
1-42 1-43
Lợi ích c a ch k� điện tử v� ch k� s

Ứng d ng c a ch k� s (Electronic Signature and Digital Signature)
Việc sử d ng ch k� điện tử v� ch k� s giúp doanh nghiệp t i ưu hóa

Trong thương mại điện tử các th t c v� quy trình giao d ch trực tuyến, c thể như:
• Ch ng thực danh tính người tham gia giao d ch, xác • Tiết kiệm được thời gian v� chi phí trong quá trình hoạt động giao
thực tính an to�n c a giao d ch điện tử qua mạng d ch điện tử.
Internet. • Linh hoạt trong cách th c k� kết các văn b�n hợp đồng, buôn bán,…
có thể diễn ra b�t kỳ nơi đâu, b�t kỳ thời gian n�o.
• Ch ng thực tính nguyên vẹn c a hợp đồng, t�i liệu…
• Đơn gi�n hóa quy trình chuyển, gửi t�i liệu, hồ sơ cho đ i tác khách
• Ứng d ng xác thực trong Internet banking h�ng, cơ quan tổ ch c.
• Ứng d ng xác thực trong giao d ch ch ng khoán • B�o m�t danh tính c a cá nhân, doanh nghiệp an to�n.
• Ứng d ng xác thực trong mua bán, đ�u thầu qua mạng • Thu�n lợi trong việc nộp hồ sơ thuế, kê khai thuế cho doanh nghiệp
khi ch� cần sử d ng ch k� điện tử thực hiện các giao d ch điện tử l�
có thể ho�n th�nh xong các quá trình đó.
• B�o m�t danh tính c a cá nhân, doanh nghiệp một cách an to�n.
1-44 1-45
Sự khác biệt gi a ch k� điện tử v� ch k� s Sự khác biệt gi a ch k� điện tử v� ch k� s
(Electronic Signature and Digital Signature) (Electronic Signature and Digital Signature)
CHỮ KÝ ĐIỆN TỬ CHỮ KÝ SỐ CHỮ KÝ ĐIỆN TỬ CHỮ KÝ SỐ
Tính chất: Tính năng

Ch k� điện tử có thể l� b�t kỳ biểu Ch k� s có thể được hình dung - Ch ký điện tử Xác minh một tài - B�o m�t một tài liệu.
tượng, hình �nh, quy trình n�o được như một “d�u vân tay” điện tử, được liệu.
đính kèm với tin nhắn hoặc t�i liệu mã hóa v� xác đ nh danh tính người Xác nhận
biểu th danh tính c a người k� v� thực sự k� nó. - Ch k� điện tử Không có quá trình - Được thực hiện b i các cơ quan
h�nh động đồng � với nó. xác nh�n c thể. ch ng nh�n tin c�y hoặc nh� cung
Tiêu chuẩn: c�p d ch v y thác.
Ch ký điện tử Không ph thuộc vào Sử d ng các phương th c mã hóa Bảo mật
các tiêu chuẩn.Không sử d ng mã m�t mã. - Ch ký điện tử Dễ b gi� mạo. - Độ an toàn cao.
hóa
Phần mềm độc quyền - yêu cầu phần mềm độc quyền để
Cơ chế xác thực: Có thể được xác nh�n b i b�t c ai xác nh�n ch ký s
Ch k� điện tử Xác minh danh tính ID kỹ thu�t s dựa trên ch ng ch�. mà không cần phần mềm xác minh
người k� thông qua email, mã PIN độc quyền
điện thoại, v.v.
1-46 1-47
Sử d ng ch k� s Sử d ng ch k� s
• Quá trình sử d ng ch k� s có hai giai đoạn: Tạo ch k� • Ch k� s không gi ng như ch k� bình thường ch m i
(sử d ng khóa bí m�t để k� s ) v� kiểm tra ch k� (kiểm tra lần k�, người sử d ng sẽ dùng khóa bí m�t để tạo ch k�
khóa công khai có hợp lệ hay không). v� m i lần k� sẽ l� một ch k� khác nhau. Dựa v�o các
• Để sử d ng ch k� s cần ph�i đăng k� ch ng thư s v� công c phần mềm được cung c�p, các đ i tác có thể kiểm
tạo khóa bí m�t lưu v�o trong PKI Token với các nh� cung tra ch ng thư để xác đ nh ch k�.
c�p d ch v ch ng thực ch k� s . Các chương trình ng • Cách kiểm tra l� so sánh tính đồng nh�t c a khóa công khai
d ng ph�i h trợ ch c năng k� s , khi đó việc sử d ng khá trên các ch k� s c a người gửi với khóa công khai c a
đơn gi�n, người k� ch� cần cắm thiết b Token v�o cổng Trung tâm Ch ng thực ch k� s qu c gia (Root
USB, nh�p PIN code b�o vệ Token v� nhắp chuột v�o nút Certification Authority - Root CA) thuộc Bộ Thông tin -
lệnh k� s trong chương trình ng d ng. Truyền thông.
Các nh� cung c�p ch k� s Các nh� cung c�p ch k� s
• Hiện nay có 5 nh� cung c�p d ch v ch ng thực ch k� s công cộng l�

VNPT/VDC, Viettel, Bkis, Nacencomm và FPT.
• Các đơn v n�y đã đưa ra th trường đầy đ các loại ch k� s ph c v
kê khai thuế qua mạng, giao d ch ngân h�ng, ch ng khoán, h�i quan
điện tử, k� v� mã hóa email, văn b�n... đáp ng cho các đ i tượng cá
nhân, tổ ch c, doanh nghiệp v� các trang web.
• Th t c đăng k� tương tự như đăng k� các d ch v viễn thông, tuy nhiên
do đặc thù pháp l� c a ch k� s , tương đương với ch k� tay, nên có
thể ph�i cần thêm một s gi�y tờ xác thực nguồn g c thông tin c a
doanh nghiệp hay người sử d ng cá nhân chặt chẽ hơn (ví d b�n sao
gi�y tờ có công ch ng c a doanh nghiệp...).
Ch ng thư s Ch ng thư s
• Ch ng thư s l� một văn bản cung cấp khóa công khai • "Ch ng thư s " l� một dạng ch ng thư điện tử do tổ ch c
• được cung c�p b i một tổ ch c gọi l� tổ chức cung cấp cung c�p d ch v ch ng thực ch k� s c�p nhằm cung c�p
dịch vụ chứng thư số (certificate authority, hay viết tắt l� thông tin đ nh danh cho khóa công khai c a một cơ quan, tổ
CA). ch c, cá nhân, từ đó xác nh�n cơ quan, tổ ch c, cá nhân l�
• Ch ng thư s hoạt động nhờ v�o nguyên l� bên thứ ba tin người k� ch k� s bằng việc sử d ng khóa bí m�t tương
cậy (trusted third party – TTP), đây bên th ba chính l� ng (theo Kho�n 7, Điều 3, Ngh đ nh 130/2018/NĐ-CP)
CA. Thông thường, 2 bên giao tiếp với nhau không tin nhau,
tuy nhiên, nếu họ cùng tin v�o một bên th ba (TTP), v�
bên th ba đã xác thực 2 bên này, thì 2 bên n�y sẽ tin
tư ng lẫn nhau.
Ch ng thư s
Chủ thể chứng thư số

• Là các cơ quan, tổ ch c, cá nhân s h u nó và sử d ng
nó nhằm xác nh�n họ là người đã ký ch ký s thông qua
việc sử d ng khóa bí m�t tương ng. Các đơn v kinh
doanh, ch ng thư s đóng vai trò như “ch ng minh thư”
c a m i doanh nghiệp và ch thể ch ng thư s là tên
công ty.
• Các đơn v cung c�p ch ng thư s ch� là đơn v tạo ra
ch ng thư s để cung c�p tới người dùng mà thôi ch
không ph�i ch thể ch ng thư s .
Ch ng thư s C�p phát ch ng thư s
Chủ thể chứng thư số

Đăng k� ch ng thực
• Là các cơ quan, tổ ch c, cá nhân s h u nó và sử d ng
nó nhằm xác nh�n họ là người đã ký ch ký s thông qua CA
việc sử d ng khóa bí m�t tương ng. Các đơn v kinh C�p ch ng thực cho người dùng
doanh, ch ng thư s đóng vai trò như “ch ng minh thư”
c a m i doanh nghiệp và ch thể ch ng thư s là tên
công ty. • Sinh cặp chìa khóa b�t đ i x ng an to�n
• Các đơn v cung c�p ch ng thư s ch� là đơn v tạo ra • Tránh xung đột ch ng thực
ch ng thư s để cung c�p tới người dùng mà thôi ch
không ph�i ch thể ch ng thư s . • Hoặc tránh đ nh danh gi ng nhau
Sơ đồ tạo ch ng thư s
Ứng d ng c a ch ng thư s Tình hình sử d ng ch ký s -
Việt Nam
• Sử d ng nhiều trong các hoạt động giao d ch thương mại • Theo “Báo cáo tình hình phát triển v� ng d ng ch
điện tử, đặc biệt trong thanh toán trực tuyến c a ngân h�ng. k� s tại Việt Nam năm 2019” vừa được Bộ Thông tin
v� Truyền thông công b , ch k� s hiện đang được
• Ch ng thực s sẽ giúp ngân h�ng đ�m b�o các khách h�ng
sử d ng hiệu qu� trong các hoạt động c a ng�nh T�i
không thể ch i bỏ các giao d ch c a mình.
chính như thuế, h�i quan, ch ng khoán, kho bạc nh�
• Ch ng thư s hiện còn được sử d ng như một dạng c a nước.
ch ng minh thư nhân dân. Tại các nước phát triển, ch ng
• Tính đến thời điểm 31/3/2019, doanh nghiệp v� các
thư s (CA ) được tích hợp v�o các con chíp nhớ nằm trong
đơn v trực thuộc, các chi nhánh sử d ng ch k� s
thẻ tín d ng để tăng kh� năng b�o m�t, ch ng gi� mạo, cho
trong lĩnh vực thuế 703.753 DN (không bao gồm các
phép ch thẻ xác minh danh tính c a mình trên các hệ
đơn v chi nhánh, trực thuộc) trên tổng s 711.748
th ng khác nhau như xe bus, thẻ rút tiền ATM, hộ chiếu
DN đang hoạt động, đạt tỷ lệ 98,87%.
điện tử tại các cửa khẩu, kiểm soát h�i quan …
Tình hình sử d ng ch ký s - Tình hình sử d ng ch ký s -

Việt Nam Việt Nam
• Đ i với lĩnh vực ch ng khoán, tính đến 31/3/2019,
Ủy ban Ch ng khoán Nh� nước đã cung c�p 133
d ch v công trực tuyến ng d ng ch k� s để xác
thực, trong đó có 13 d ch v công m c độ 4.
• Ủy ban Ch ng khoán Nh� nước sử d ng ch k� s
trong các hệ th ng như: Hệ th ng giám sát giao d ch
ch ng khoán, Phần mềm qu�n l� báo cáo th ng kê
nội bộ; hệ th ng cơ s d liệu qu�n l� công ty qu�n
l� quỹ v� quỹ đầu tư; hệ th ng cơ s d liệu qu�n l�
công ty ch ng khoán; hệ th ng cơ s d liệu qu�n l�
nh� đầu tư nước ngo�i; Hệ th ng công b thông tin
Tình hình sử d ng ch ký s - Tình hình sử d ng ch ký s -
Việt Nam Việt Nam
Ứng dụng chữ ký số trong lĩnh vực quân sự, Ứng dụng chữ ký số trong lĩnh vực quân sự,
quốc phòng quốc phòng
• C c Cơ yếu (Bộ Tổng Tham mưu) ch u trách • Các công c k� s cho các tệp tin, tệp văn b�n đ nh dạng PDF v� thư
viện tích hợp k� s trên thư điện tử, trang thông tin điện tử, k� s trên
nhiệm b�o đ�m ch ng thư s , cung c�p d ch nền t�ng di động cũng được ng�nh Cơ yếu b�o đ�m cho các đơn v .
v xác thực “Ch k� s ” chuyên dùng Chính • Các đơn v ph i hợp với C c Cơ yếu để tích hợp sử d ng d ch v ch
k� s trong các hoạt động chuyên ng�nh, với các ng d ng tiêu biểu
ph cho các tổ ch c v� cá nhân trong Bộ như: Phần mềm Hệ th ng Qu�n l� văn b�n v� hồ sơ công việc mới c a
Qu c phòng. Bộ Qu c phòng; Hệ th ng Biên phòng điện tử; Hệ th ng Phòng họp
không gi�y tờ tại Tổng c c H�u cần; Phần mềm Qu�n l� hồ sơ khám
• Đến tháng 3/2021, C c Cơ yếu đã c�p hơn ch a bệnh c a Bệnh viện Quân y 105 (Tổng c c H�u cần); Phần mềm
Qu�n l� ng�nh Xe - Máy (C c Xe - Máy, Tổng c c Kỹ thu�t)... Tuy
130 ch ng thư s cho các tổ ch c v� hơn nhiên, do tính ch�t đặc thù trong hoạt động quân sự, qu c phòng, việc
1.600 ch ng thư s cá nhân ng d ng ch k� s trong Bộ Qu c phòng vẫn còn nh ng hạn chế nh�t
đ nh.
Ví d : Khai báo h�i quan điện tử Câu hỏi v� b�i t�p
1. Phân biệt ch ký s và ch ký điện tử

2. Ch ng thư s là gì? Các thành phần c a ch ng thư s
3. Ứng d ng c a ch ký điện tử
4. Nh ng đặc tính n�o m� ch k� s nên có?
5. Nh ng yêu cầu n�o m� một ch k� s cần ph�i thỏa mãn?
6. Tìm hiểu các bước để thực các nghiệp v sau
1. Nộp báo cáo thuế với cơ quan thuế qua website c a cơ quan
thuế
2. Thực hiện khai báo h�i quan điện tử
3. Thực hiện khai báo v� nộp b�o hiểm XH trực tuyến
4. Thực hiện giao d ch ch ng khoán có sử d ng ch k� s
1-69
CHỨNG THỰC THỰC THỂ và
ĐIỀU KHIỂN TRUY CẬP
(Entity Authentication and Access Control)
Nội dung chính 1. Chứng thực thực thể

1. Giới thiệu chứng thực thực thể ˗ Entity là gì:
Có thể là một con người, tiến trình, client, hoặc một server.
2. Chứng thực bằng Passpword Thực thể mà identity cần được chứng minh được gọi là người
yêu cầu (Claimant); bên mà cố gắng chứng minh identity của
claimant được gọi là người thẩm định (verifier)
3. Chứng thực bằng Challenge-Response
4. Chứng thực bằng ZERO-KNOWLEDGE
5. Chứng thực bằng Biometrics

1. Chứng thực thực thể 1. Chứng thực thực thể
˗ Chứng thực thực thể (Entity Authentication): Cách Chứng thực thực thể (Entity Authentication):
˗ Là một kỹ thuật được thiết kế cho phép một bên (party) ˗ Chủ thể là gì (What the entity is)
chứng minh sự nhận dạng (identity) của một bên khác. ˗ Cái chủ thể biết (What the entity knows)
˗ Xác thực thực thể là tạo ra liên kết giữa định danh và đối ˗ Cái chủ thể có (What the entity has)
tượng, thực thể gồm 2 bước ˗ Vị trí của chủ thể (Where the entity is)
 Chủ thể cung cấp một định danh trong hệ thống
 Chủ thể cung cấp thông tin xác thực có thể chứng minh Ví dụ: Web Application Authentication
sự liên kết giữa định danh và chủ thể Nhận dạng bạn là ai
Bạn được quyền sử dụng/ truy xuất
thông tin dữ liệu nào
Các loại vật chứng (Verification Categories) Sự khác biệt

Clainmant có thể trình ra identify của cô ta cho Verifer. Có ba loại ˗ Chứng thực thông điệp ˗ Chức thực thực thể (Entity
vật chứng: (Message authenticaton or Authentication)
˗ Những gì bạn biết (Something known): Là một bí mật chỉ data-orign aunthentcation):
được biết bởi clainmant mà có thể được kiểm tra bởi verifier. Ví  Không cần xảy ra theo thời  Theo thời gian thực. Ví dụ:
dụ: Password, Pin, secret key, private key. gian thực; Ví dụ: Alice gửi Alice cần online và tham gia
thông điệp cho Bob, khi Bob tiến trình giao tiếp, thông điệp
˗ Những gì bạn có (Something possessed): là một thứ mà có chứng thực thông điệp thì Alice chỉ được trao đổi khi được
thể chứng minh nhận dạng của claimant. Ví dụ: passport, bằng có thể không cần phải có mặt chứng thực
lái xe, chứng minh nhân dân, credit card, smart card ngay trong tiến trình giao tiếp
˗ Những gì vốn sẵn có (Something inherent): là một đặc tính  Chứng thực cho từng thông  Chứng thực trong suốt section
điệp
vốn sẵn có của Claimant. Ví dụ: Chữ ký thông thường, vân tay,
giọng nói, đặc tính khuôn mặt, võng mạc, và chữ viết tay.
Phương pháp chứng thực và điều khiển truy cập Phương pháp chứng thực và điều khiển truy cập
˗ Sự ủy quyền hay sự cấp phép (Authorization) Các quyền:
 một quy trình nhằm xác minh rằng một người dùng biết trước, có ˗ Quyền đọc (Read (R))
quyền lực để thao tác một quá trình hoạt động nào đó hay không.  Đọc nội dung của tập tin
 Sự chứng thực phải được tiến hành trước sự ủy quyền  Liệt kê danh sách thư mục
˗ Quyền viết (Write (W))
 Cộng thêm
 Sinh tạo cái mới
 Xóa bỏ
 Đổi tên
˗ Quyền thi hành (Execute (X)): thi hành (chạy) chương trình ứng dụng.
Phương pháp chứng thực và điều khiển truy cập Phương pháp chứng thực và điều khiển truy cập
˗ Chứng thực thông điệp (Message Authentication) ˗ Mật khẩu (Password)
 Xác thực nguồn gốc thông điệp ˗ Sinh trắc học (Biometrics)
 Xác thực tính toàn vẹn của thông điệp
 Chống từ chối thông điệp
2. Passwords 2. Passwords
˗ Mật khẩu: một chuỗi ký tự hoặc một nhóm từ được sử dụng để Một số điểm yếu trên hệ thống xác thực bằng mật khẩu:
xác thực thực thể ˗ Lưu trữ mật khẩu trong CSDL không an toàn
˗ Thực thể(entity): cần xác thực (người dùng, thiết bị, ứng ˗ Truyền mật khẩu trên kênh không an toàn
dụng,..)  Người dùng không cẩn trọng
˗ Người thẩm định(Verifier): kiểm tra tính hợp lệ của mật khẩu  Sử dụng mật khẩu yếu
 Ghi chép mật khẩu vào văn bản
 Chia sẻ mật khẩu cho người khác (vô tình hay cố ý)
2. Passwords 2. Passwords
˗ Lưu trữ mật khẩu dưới dạng rõ Tấn công vào hệ xác thực bằng mật khẩu
 Nguy cơ mất an toàn cao nhất ˗ Tấn công thụ động: nghe lén, quan sát quá trình nhập mật khẩu
Lưu mật khẩu dưới dạng bản mã:  Nhìn trộm
 An toàn khi sử dụng hệ mật mã tốt, bảo vệ khóa giải mã an toàn  Sử dụng chương trình key logging
 Hạn chế: cần thao tác giải mã bất cứ khi nào cần xác thực  Tấn công kênh bên
Lưu mật khẩu dưới dạng mã băm:  Chặn bắt gói tin
 Chi phí thấp hơn ˗ Tấn công chủ động
 Hạn chế: nguy cơ bị tấn công dò đoán dựa trên từ điển. Có thể hạn chế bằng  Giả mạo chương trình cung cấp dịch vụ
cách đưa thêm “salt” vào mật khẩu trước khi băm
 Giả mạo chương trình khách
Sử dụng máy chủ lưu trữ:
 Tấn công man-in- the – middle
 Giải pháp 1: Người thẩm tra yêu cầu máy chủ chuyển mật khẩu để xác thực
 Tấn công vào máy chủ vật lý cung cấp dịch vụ
 Giải pháp 2: Người thẩm tra đưa cho máy chủ thông tin người dùng. Máy
chủ xác thực và thông báo lại kết quả
2. Chứng thực Passwords 2.1 Fixed Password
˗ Chứng thực mật khẩu là phương pháp đơn giản và lâu đời ˗ Là một password được dùng lặp đi lặp lại mỗi lần truy xuất
nhất, được gọi là Password-based Authentication, password là ˗ Có 3 cơ chế được xây dựng theo hướng này
một thứ mà claimant biết.  User ID và Password File
˗ Một Password được dùng khi một người dùng cần truy xuất  Hashing the password
một hệ thống để sử dụng nguồn tài nguyên của hệ thống.
 Salting the password
˗ Mỗi người dùng có một định danh người dùng (user
identification) công khai và một password bí mật.  Two identification techniques are combined
˗ Có 2 cơ chế password:
 Fixed password
 và one-time password
2.1 Fixed Password 2.1 Fixed Password

˗ User ID và Password File ˗ User ID và Password File
 Rất thô sơ, User ID và Password được lưu trong một tập tin.
 Để truy xuất tài nguyên, người dùng gửi bản rõ của User ID
và Password đến hệ thống. Nếu Password trùng khớp với
Password trong hệ thống, thì quyền truy xuất được gán
ngược lại từ chối.
2.1 Fixed Password 2.1 Fixed Password
˗ Hashing the password ˗ Salting the password
2.1 Fixed Password 2.2 One-Time Password

˗ Two identification techniques are combined ˗ One-time Passoword: Là mật khẩu
A good example of this type of authentication is the use of an ATM card with a sử dụng một lần duy nhất gồm một
PIN (personal identification number). d�y các k� tự hoặc chữ số ngẫu nhiên
được gửi đến số điện thoại nhằm xác
nhận giao dịch.
˗ M� OTP được tạo ra dựa trên bộ vi
xử l� hoặc thẻ khóa kích thước bỏ túi
tạo m� số và chữ số để xác thực
quyền truy cập vào hệ thống hoặc
giao dịch. Sau 30s đến 2 phút, mã
này lại bị thay đổi một lần.
One-Time Password One-Time Password
˗ M� OTP có thể được triển khai Những loại mã OTP phổ biến hiện nay
bằng phần cứng, phần mềm ˗ SMS OTP
hoặc theo yêu cầu. ˗ TOKEN KEY (TOKEN CARD)
˗ Mã OTP được dùng làm bảo ˗ SMART OTP – SMART TOKEN
mật 2 l�p trong các giao dịch
xác minh đăng nhập và đặc biệt
là giao dịch với tài khoản ngân
hàng, nhờ đó, giảm thiểu tối đa
rủi ro bị tấn công khi lộ mật
khẩu hay tin tặc tấn công.
SMS OTP TOKEN KEY (TOKEN CARD)

˗ Mã OTP được gửi qua SMS đến ˗ Là thiết bị bảo mật mà doanh nghiệp
số điện thoại của khách hàng khi cung cấp dịch vụ cung cấp cho khách hàng
cần xác thực giao dịch ˗ Token Key có thể tạo ra mã OTP gồm 6 ký tự, cứ sau mỗi phút nó sẽ tự
động được tạo ra mà không cần thông qua Internet.
˗ Đa số ngân hàng tại Việt Nam:
˗ Mỗi tài khoản phải đăng k� riêng một Tokey key, và thông tin về Token key
OTP vietcombank, otp
được thay đổi sau một khoản thời gian quy định.
techcombank, otp sacombank, otp
˗ Loại thiết bị này cực kỳ tiện lợi khi luôn mang theo bên người. Tuy nhiên,
bidv bạn cần phải bảo quản thật cẩn thận.
˗ Bạn đang ở trong khu vực sóng
kém hoặc ngoài vòng phủ sóng thì
bạn không thể nhận được m�
SMS OTP SMS OTP sẽ không
sử dụng được.
SMART OTP Mã OTP có thực sự an toàn?
˗ Smart OTP là dạng OTP tốt nhất hiện nay ˗ M� OTP là lớp bảo mật cuối cùng trước khi hoàn tất giao dịch. Do đó,
˗ Smart OTP là sự kết hợp hài hoà giữa Token Key và SMS OTP. phải cẩn thận kiểm tra l� do và số tiền (nếu có trong tin nhắn xác thực
˗ Smart OTP có thể được sử dụng mọi lúc mọi nơi vì nó được tích hợp sẳn giao dịch) trước khi nhập m� OTP.
trên ứng dụng của điện thoại. Khi có phiên giao dịch trực tuyến thì Smart ˗ Với SMS OTP, khi mất điện thoại, bạn cần phải báo ngay cho ngân hàng
OTP sẽ được gửi về ứng dụng trên smartphone. để khóa tạm thời tính năng này. Với Token, bạn phải luôn mang theo nó
˗ Hai ngân hàng đ� sử dụng cách thanh toán tiền Online bằng phương thức bên mình và đặt mật khẩu có tính phức tạp và lưu giữ để phòng khi quên.
Smart OTP và SMS OTP là Vietcombank và TPBank. Người dùng phải kê ˗ M� OTP sẽ an toàn tuyệt đối nếu như bạn tuân thủ đúng các nguyên tắc
khai thông tin và đăng k� trực tiếp với ngân hàng họ muốn. Lưu �, mỗi cũng như quy trình sử dụng dịch vụ Internet Banking mà ngân hàng đưa
thiết bị chỉ nên dùng 1 m� OTP riêng biệt. ra.
Các hư�ng triển khai One-Time Password Các hư�ng triển khai One-Time Password
Hướng 1: User và System thỏa thuận một danh sách các Hướng 2: User và System thỏa thuận cập nhật một cách
Password tuần tự Password
 Mỗi Password trong danh sách được dùng một lần  User và System thỏa thuận một Password gốc, P1 mà
 System và User phải giữ gìn danh sách Password Password này chỉ hợp lệ cho lần đầu tiên truy suất.
 Nếu User không dùng các password một cách tuần tự thì System phải  Trong quá trình truy xuất lần đầu tiên này, user phát sinh
thực hiện tìm kiếm và so khớp
một password mới P2, và mã hóa password này với khóa
 Password chỉ hợp lệ một lần và không sử dụng lại
là P1, P2 là password cho lần truy xuất kế tiếp và cứ thế
tiếp tục phát sinh Pi+1 từ Pi cho lần truy xuất thứ Pi+1
 Nếu đối phương đoán ra được P1 thì có thể tìm được tất
cả các Password khác
Các hư�ng triển khai One-Time Password Các hư�ng triển khai One-Time Password
Hướng 3: User và System tạo ra một Password được cập ˗ Lamport one-time password
nhật một cách tuần tự sử dụng hàm băm.
˗ Hướng này được đề xuất bởi Leslie Lamport
˗ User và System đồng thuận một Password gốc, P0 và số
đếm n. System tính hn(P0) với hn được áp dụng hàm băm lần
thứ n
hn(x)=h(hn-1(x)), hn-1(x)=h(hn-2(x)), …, h2(x)=h(h (x)), h 1(x)=h(x)
˗ System lưu nhận dạng của user thông qua giá trị n và giá trị
hn(P0)
3. Challenge-Response 3. Challenge-Response
˗ Dùng chứng thực bằng Password, để chứng mnh nhận dạng Có 3 hướng chính để tạo nên Challenge-reponse
Claimant cần trình ra password bí mật, tuy nhiên password này ˗ Using A Sysmetric-Key Cipher
có bị tiết lộ ˗ Using Keyed-Has Functions
˗ Với chứng thực bằng Challenge-reponse, claimant chứng ˗ Using An Asymmetric-Key Cipher
mình rằng cô ta biết một bí mật (secret) mà không cần gửi
chúng đi. Nói cách khác, clamant không cần gửi bí mật cho ˗ Using Digital Signature
verifier, verifier hoặc có hoặc tự tìm ra chúng
˗ Challege là một giá trị biến đổi theo thời gian được gửi bởi
Verifier, Response là kết quả của một hàm được áp dụng
trên challenge
3.1 Using A Sysmetric-Key Cipher 3.1 Using A Sysmetric-Key Cipher
˗ Bí mật (secret) ở đây là khóa bí mật được chia sẻ giữa ˗ Hướng 1: Nonce challenge
Claimant và Verifier. Sử dụng hàm mã hóa áp dụng cho
challenge này. Có vài hướng theo cơ chế này
˗ Hướng 1: Nonce challenge
3.1 Using A Sysmetric-Key Cipher 3.1 Using A Sysmetric-Key Cipher

˗ Hướng 2: Timestamp challenge ˗ Hướng 3: Bidirectional authentication
3.2 Using Keyed-Hash Functions 3.3 Using an Asymmetric-Key Cipher
˗ Thay vì dùng mã hóa/giải mã cho chứng thực thực thể, chúng ˗ Sử dụng mã hóa khóa bất đối xứng, Secret là private key của Claimant.
ta cũng có thể dùng một Keyed-has function (MAC) Claimant phải chỉ ra rằng private của cô ta có liên quan đến Public key
bằng cách Verifier mã hóa challenge bằng cách dùng Public key của
˗ Keyed-hash function claimant, sau đó claimant giải mã bằng private key
˗ Có hai hướng theo cơ chế này.
3.3 Using an Asymmetric-Key Cipher 3.3 Using an Asymmetric-Key Cipher

˗ Hướng 1: Unidirectional, asymmetric-key authentication ˗ Hướng 2: Bidirectional, asymmetric-key
3.4 Using Digital Signature 3.4 Using Digital Signature
˗ Digital Signature được dùng để chứng thực thực thể. Claimant ˗ Hướng 2: Digital signature, bidirectional authentication
dùng Private để tạo chữ ký
˗ Hướng 1: Digital signature, unidirectional
4. ZERO-KNOWLEDGE ZKP 4.1 Giao thức Fiat_Shamir

˗ Trong chứng thực Challenge-response, bí mật của claimant
không được gửi đến verifier, mà Claimant áp dụng một hàm
trên challenge gửi bởi Verifier mà bao gồm cả bí mật của cô ta.
Trong vài phương pháp Challenge-response, verifier biết bí
mật của claimant, mà có thể bị lạm dụng bời những verifier
không trung thực. Nói một cách khác, Verifier có thể trích lọc ra
được những thông tin về bí mật từ claimant bằng cách chọn
trước một tập các challenge.
˗ Trong chứng thực Zero-knowlegge, Clainmant không tiết lộ bất
kỳ cái gì mà có thể gây nguy hại đến bảo mật của bí mật.
Claimant chứng minh v�i verifier rằng cô ta biết một bí mật
mà không hề tiết lộ nó.
5. Biometrics 5. Biometrics
˗ Sinh trắc học (Biometric) là phép đo lường về các đặc tính sinh lý học
hoặc hành vi học mà nhận dạng một con người . Sinh trắc học đo lường
các đặc tính mà không thể đoán, ăn cắp hoặc chia sẻ.
˗ Chúng ta sẽ thảo luận các vấn đề sau
 Components (thành phần)
 Enrollment (ghi nhận vào)
 Authentication (chứng thực)
 Techniques (Kỹ thuật)
 Accuracy (độ chính xác)
 Applications (các cứng dụng)
5. Biometrics Qui trình xác thực bằng Biometrics

Qui trình xác thực bằng Biometrics Components
˗ Chúng ta sẽ thảo luận các vấn đề sau ˗ Vài Component cần cho sinh trắc
 Components (thành phần) học, bao gồm:
 Enrollment (ghi nhận vào)  các thiết bị thu nhận đặc tính
 Authentication (chứng thực) của sinh trắc học
 Techniques (Kỹ thuật)  Chương trình xử lý các đặc
tính sinh trắc học
 Accuracy (độ chính xác)
 Các thiết bị lưu trữ.
 Applications (các cứng dụng)
Enrollment Authentication
˗ Trước khi dùng bất cứ kỹ thuật sinh trắc học để chứng thực, ˗ Chứng thực (Authentcation) được thực hiện bởi sự thẩm tra
đặc tính tương ứng của mỗi người trong cộng đồng cần phải (Verification) hoặc nhận dạng (identication)
có sẵn trong CSDL, quá trình này được gọi là enrollment  Verification: Đặc tính của một người được so khớp với một
mẫu tin đơn trong CSDL để xác định cô ta có phải là người
mà cô ta đang tự khai không
 Identication: Đặc tính của một người được so khớp với tất
cả các mẫu tin có trong CSDL để xác định cô ta có một mẫu
tin trong CSDL.
Techiques Accuracy
˗ Các kỹ thuật sinh trắc học có thể được chia thành hai hướng chính: sinh ˗ Độ chính xác (Accuracy) của các kỹ thuật sinh trắc học được
lý học và dáng điệu học đo lường bằng cách dùng hai tham số:
 False Rejection Rate (FRR)
 False Acceptance Rate (FAR)
Applications Sinh trắc học-2

˗ Rất nhiều ứng dụng của sinh trắc học đ� được áp dụng trong ˗ Ưu điểm
nhiều lĩnh vực khác nhau.  Có thể rất chính xác
 Kiểm soát truy cập nơi làm việc  Nhanh: thời gian chứng thực nhỏ hơn 1s
 Điểu khiển truy xuất hệ thống và thông tin nhạy cảm  Sự tác động của người dùng thấp
 Thực thi các giao dịch thương mại điện tử trực tuyến  Kết hợp nhiều yếu tố: vân tay, võng mạc, giọng nói,…
 Nhận dạng tội phạm bằng cách phân tích DNA  Biometrics không thể bị mất, đánh cấp, bỏ quên. Nó nhất quán và vĩnh
 Kiểm soát nhập cư cửu
 Nó không thể được chia sẻ hoặc dùng bởi người khác
 Không đòi hỏi phải ghi nhớ như mật khẩu, mã Pin
˗ Ví dụ: truy xuất các thiết bị, các hệ thống thông tin, giao dịch ở
 Biometric luôn luôn sẳn dùng cho cá nhân và duy nhất
các điểm bán (trả tiền) điều tra bằng cách phân tích AND hoặc
vân tay
˗
© 2008, Vietnam-Korea Friendship IT College
Sinh trắc học-2 Sinh trắc học-2
˗ Nhược điểm ˗ Những khó khăn khi sử dụng xác thực bằng sinh trắc học
 Giá thành: triển khai hệ thống sinh trắc học đòi hỏi chi phí  Chi phí tính toán
cho phần cứng và phần mềm.  Giá thành cao
 Tính không ổn định
 Có thể nhận diện sai: mặc dù đúng người nhưng hệ thống
 Không bền vững
không chấp nhận
 Lo ngại của người dùng liên quan đến sức khỏ
 Các bộ đọc luôn đặc tính của sinh trắc học có những lỗi nhất
định
• Từ chối người dùng hợp lệ
• Chấp nhận người dùng không hợp lệ
© 2008, Vietnam-Korea Friendship IT College © 2008, Vietnam-Korea Friendship IT College
Kết hợp nhiều phương pháp (Multi-factor) Kết hợp nhiều phương pháp (Multi-factor)
˗ Sử dụng nhiều hơn một phương pháp chứng thực ˗ Ưu điểm
 Mật khẩu/ PIN  Giảm sự phụ thuộc vào password
 Smart card  Hệ thống chứng thực mạnh hơn
 Sinh trắc học  Cung cấp khả năng cho Provides Public Key Infrastructure (PKI)
˗ Kết hợp nhiều phương pháp chứng thực tạo sự bảo vệ theo chiều sâu ˗ Nhược điểm
với nhiều tầng bảo vệ khác nhau  Tăng chi phí triển khai: đầu tư thiết bị, đào tạo người dùng và quản trị
 Tăng chi phí duy trì: do tính không tương thích giữa các nhà SX
 Chi phí nâng cấp: sự không ổn định của nhà SX

Điều khiển truy cập/Phân quyền SD Điều khiển truy cập
˗ Mô hình điều khiển truy cập ˗ Điều khiển truy cập là quá trình giới hạn quyền sử dụng của người dùng
˗ Quá trình điều khiển truy cập đ� được chứng thực đối với tài nguyên hệ thống, cũng như hạn chế các
˗ Các loại điều khiển truy cập tác động của người dùng đối với tài nguyên hệ thống và đảm bảo người
dùng chỉ tác động được các tài nguyên trong phạm vi được cấp quyền đó.
Điều khiển truy cập Điều khiển truy cập

˗ Quá trình điều khiển truy cập  Chứng thực người dùng
 Xác định người dùng (Identification)
User X
Access Identification data

User X
user Control
Access mechanism Authentication data
Identification data
Valid/invalid
user Control Remembered info
user Authorization data
mechanism Authentication data Possessed objects
Name, Personal characteristics
Identified Authorization data
Account no. user

 Phân quyền sử dụng ˗ Các loại điều khiển truy cập
 Truy cập bắt buộc
User X  Truy cập tùy �
Access Identification data  Truy cập theo người dùng
user Control
mechanism Authentication data
Object resources
Permitted/denied Authorization data
Action requests
actions
*Action privileges
*Resource
-READ(direct read, statistical or aggregate
-HW
data read only)
-SW
- ADD(insert, append)
-Commodities(processor time, disc space…)
- Modify (write)
-Data
- Delete

˗ Điều khiển truy cập bắt buộc (Mandatory Access Control) ˗ Điều khiển truy cập tùy � (Discretionary Access Control
- Việc bảo vệ dữ liệu không được quyết định bởi người

- Người dùng tự mình tạo quyền truy nhập
dùng thông thường
- Ví dụ: Chia sẻ máy in cho người khác sử dụng
- Hệ thống yêu cầu phải bảo vệ dữ liệu
- Ví dụ: Thư mục dùng chung trên máy chủ, người dùng
không thể thay đổi được
Điều khiển truy cập Tổng kết
˗ Điều khiển truy cập theo vai trò người dùng (Role-based Access Control)  https://whitehat.vn/threads/thao-luan-tuong-lai-cua-bao-mat-sinh-trac-
hoc-tren-smartphone.9867/
 https://ehealth.gov.vn/?action=News&newsId=53959
 https://www.youtube.com/watch?v=GMA43FtUEt4
 https://www.youtube.com/watch?v=51FpVK8Qc-8
 https://www.facebook.com/watch/?v=559604974778741
 Xác thực vân tay không hay bằng giác mạc, đâu là lý do? - Bing video
 sinh trắc học vân tay - Bing video
- Quyền truy cập được định nghĩa theo vai trò của người
dùng:
* Adminstrator
* Power User
* Dial-up User
© 2008, Vietnam-Korea * …….
Friendship IT College © 2008, Vietnam-Korea Friendship IT College
Thảo luận
˗ Nhóm 1: RADIUS
5
˗ Nhóm 2: Kerberos
˗ Nhóm 3: CHAP
˗ Nhóm 4: Certificate
˗ Yêu cầu: mô tả hệ thống/ triển khai thực nghiệm trên môi trường giả lập
(KEY MANAGEMENT AND

DISTRIBUTION)
© 2008, Vietnam-Korea Friendship IT College

Nội dung chính 1. Symmetric-key Distribution
• Mã hóa khóa đối xứng hiệu quả hơn mã hóa khóa
1. Symmetric-key Distribution bất đối xứng đối với việc mã hóa các thông điệp lớn.
2. Kerberos Tuy nhiên mã hóa khóa đối xứng cần một khóa chia
3. Symmetric-Key Agreement sẻ giữa hai tổ chức.
• Một người cần trao đổi thông điệp bảo mật với N
4. Public-key distribution người, thì người đó cần N khóa khác nhau. Vậy N
người giao tiếp với N người khác thì cần tổng số là
(Cryptography & Network Security. McGraw- N*(N-1) khóa
Hill, Inc., 2007., Chapter 15)  số khóa không chỉ là vấn đề, mà phân phối khóa là
một vấn đề khác.
( Cryptography and Network Security: Principles Độ tin cậy của một hệ thống mật mã phụ thuộc vào
and Practices (3rd Ed.) – Chapter 14) công nghệ phân phối khóa (key distribution technique).
2 3
Key-Distribution Center: KDC Key-Distribution Center: KDC
• Để giảm số lượng khóa, mỗi người sẽ thiết • Quá trình xử lý như sau:
lập một khóa bí mật chia sẻ với KDC 1. Alice gửi 1 yêu cầu đến KDC để nói rằng cô ta cần
một khóa phiên (session secret key) giữa cô ta và
Bob.
2. KDC thông báo với Bob về yêu cầu của Alice
3. Nếu Bob đồng ý, một session key được tạo giữa 2
bên.
• Khóa bí mật này được dùng để chứng thực Alice và
Bob với KDC và ngăn chặn Eve giả mạo một trong
hai.
• Làm thế nào để Alice có thể gửi một thông
điệp bảo mật tới Bob 4
Key-Distribution Center: KDC Key-Distribution Center: KDC
Flat Multiple KDCs Flat Multiple KDCs

• Khi số lượng người dùng KDC tăng, hệ thống trở nên
khó quản lý và một bottleneck sẽ xảy ra.
 chúng ta có nhiều KDCs, chia thành các domain. Mỗi
domain có thể có một hoặc nhiều KDCs
• Alice muốn gửi thông điệp bí mật tới Bob, mà Bob
thuộc vào domain khác, thì Alice liên lạc với KDC của
cô ta, KDC của Alice tiếp tục liên lạc với KDC trong
domain của Bob.
• Hai KDCs như vậy thì được gọi là Flat multiple KDCs
6 7
Key-Distribution Center: KDC Khóa phiên (Session Keys)
• Hierarchical Multiple KDCs • KDC tạo khóa bí mật cho mỗi thành viên,
khóa bí mật này chỉ có thể dùng giữa thành
viên và KDC, chứ không dùng giữa hai thành
viên
• Nếu muốn dùng giữa hai thành viên, KDC tạo
một session key giữa hai thành viên, sử
dụng khóa của họ với trung tâm.
• Khóa phiên giữa hai thanh viên chỉ được
dùng một lần (sau giao tiếp kết thúc thì khóa
phiên cũng không còn tác dụng)
8 9
Khóa phiên (Session Keys)
• Một giao thức đơn giản sử dụng một KDC
2. KERBEROS
• Đây là mô hình Hệ thống khóa máy chủ tin cậy của
MIT (Trường Đại học Kỹ thuật Massachusetts) để
cung cấp xác thực có bên thứ ba dùng khóa riêng và
tập trung.
• Kerberos là tên của một hệ dịch vụ phân phối (hay
cấp phát) khóa phiên (session) cho từng phiên truyền
tin bảo mật theo yêu cầu của người dùng trong một
mạng truyền tin
• Kerberos là một giao thức chứng thực. Keberos chỉ
dựa trên mã hóa đối xứng
• Đã có hai phiên bản đang sử dụng là: Kerberos 4 và
• Giao thức này có thể bị tấn công phát lại ở bước 3 10
Kerberos 5.
2. KERBEROS 2. KERBEROS
• Mục đích của Keberos là để trao đổi khóa Các yêu cầu của Kerrberos
phiên, thông qua đó đảm bảo tính bảo mật và • Trong môi trường phân tán, người sử dụng
tính chứng thực. tại các máy trạm muốn truy cập đến các dịch
• Do nguyên tắc của Keberos dựa trên KDC vụ trên các máy chủ phân tán.
nên Keberos cũng kế thừa được những ưu • Yêu cầu đối với hệ thống Kerberos là
điểm của mô hình KDC như tính phi trạng • An toàn.
thái • Tin cậy.
• Trong suốt.
• Có thể mở rộng.
2. KERBEROS Servers
15
14
2. KERBEROS Servers
• Authentication Server (chỉ có 1 AS): là KDC trong giao thức

Trong giao thức Kerberos gồm có: Kerberos. AS có nhiệm vụ cung cấp khóa đối xứng cho trao
• Servers đổi giữa client A và server TGS
• Ticket-granting server (TGS): đóng vai trò là các KDC, có
• Operation nhiệm vụ cung cấp khóa đối xứng cho trao đổi giữa client A
• Using Different Servers và server dịch vụ B
• Các người sử dụng A cần đăng ký mật khẩu KA của mình
• Kerberos Version 5 với Server AS. Các server dịch vụ B đăng ký khóa bí mật
• Realms KB với Server TGS. Server TGS cũng đăng ký khóa bí mật
KTGS với Server AS
• Real (data) server (của Bob): cung cấp dịch vụ cho người
dùng (Alice)
16 17
Using Different Servers Realms (Các lãnh địa
Kerberos)
• Môi trường Kerberos bao gồm:
Nếu Alice cần nhận các dịch vụ từ các máy chủ Kerberos, một số máy
trạm đã được đăng ký với máy
servers khác, cô ta chỉ cần lặp lại 4 bước chủ, các máy chủ ứng dụng chia
sẻ khóa với máy chủ. Một hệ thống
sau cùng. như vậy được gọi là một lãnh địa
Kerberos.
• Thông thường là một miền hành
chính duy nhất. Nếu có nhiều lãnh
địa thì các máy chủ Kerberos cần
phải chia sẻ khóa và tin cậy nhau.
• Người dùng có thế lấy một ticket
cho một local server hoặc remote
server.
19
18
Tổng quan Kerberos 4 Trao đổi Kerberos 4
• Là sơ đồ xác thực dùng bên thứ ba và có máy chủ • Người sử dụng nhận thẻ được cấp từ máy chủ xác
xác thực (AS – Authentication Server). thực AS, mỗi thẻ cho một phiên làm việc và cũng
• Người dùng thỏa thuận với AS về danh tính của nhận thẻ cấp dùng dịch vụ (Service Granting Ticket)
mình, AS cung cấp sự tin cậy xác thực thông qua thẻ từ TGT.
cấp thẻ TGT (Ticket Granting Ticket). • Mỗi thẻ dùng cho một dịch vụ khác nhau được yêu
• Người sử dụng thường xuyên yêu cầu TGS cho truy cầu, thông qua việc trao đổi giữa máy chủ/trạm để
cập đến các dịch vụ khác dựa trên thẻ cấp thẻ TGT nhận được dịch vụ.
của người sử dụng và máy chủ cung cấp thẻ (TGS –
Ticket Granting Server) cung cấp các thẻ dịch vụ
theo yêu cầu và thẩm quyền.
20 21
Kerberos 5 Giao thức Kerberos 5
• Kerberos 5 được phát triển vào giữa những năm • Kerberos sử dụng một đối tác tin cậy thứ ba để thực
1990, được thiết kế theo chuẩn RFC. hiện quá trình xác thực được gọi là Trung tâm phân
• Nó cung cấp những cải tiến so với phiên bản 4, cụ phối khóa bao gồm 2 phần riêng biệt: một máy chủ xác
thể hướng tới các thiếu sót về môi trường, thuật toán thực (AS) và một máy chủ cấp thẻ (TGS).
mã, thủ tục mạng, thứ tự byte thông điệp, thời gian • Kerberos làm việc dựa trên các thẻ để thực hiện quá
sử dụng thẻ, truyền tiếp xác thực, xác thực lãnh địa trình xác thực người dùng. Kerberos duy trì một cơ sở
con và các sự khác biệt về kỹ thuật như: mã kép dữ liệu chứa các khóa bí mật. Mỗi thực thể trên mạng
dùng mã hai lần thẻ bằng khóa mật của máy chủ (máy trạm hoặc máy chủ) đều chia sẻ một khóa bí mật
đích và khóa riêng của người sử dụng, khắc phục giữa bản thân nó với Kerberos.
các dạng sử dụng không chuẩn trong phiên bản • Để thực hiện quá trình giao tiếp giữa hai thực thể,
trước, khóa phiên được mã bằng khóa xác thực của Kerberos tạo ra một khóa phiên. Khóa này dùng để bảo
TGS cộng thêm với yếu tố thời gian của lần sử dụng, mật quá trình tương tác giữa các thực thể với nhau
chống tấn công mật khẩu. 22 23
Hạn chế của Kerberos 5 Hạn chế của Kerberos 5
• Kerberos thích hợp cho việc cung cấp các dịch vụ xác • Ngoài ra, nếu người dùng chọn những mật khẩu dễ
thực, phân quyền và bảo đảm tính mật của thông tin đoán thì hệ thống dễ bị mất an toàn trước kiểu tấn công
trao đổi trong phạm vi một mạng hay một tập hợp nhỏ từ điển, tức là kẻ tấn công sẽ sử dụng phương thức
các mạng. đơn giản là thử nhiều mật khẩu khác nhau cho đến khi
• Tuy nhiên, nó không thật thích hợp cho một số chức tìm được giá trị đúng.
năng khác, chẳng hạn như ký điện tử (yêu cầu đáp ứng • Do hệ thống hoàn toàn dựa trên mật khẩu để xác thực
cả hai nhu cầu xác thực và bảo đảm không chối cãi người dùng, nếu bản thân các mật khẩu bị đánh cắp thì
được). Một trong những giả thiết quan trọng của giao khả năng tấn công hệ thống là không có giới hạn. Điều
thức Kerberos là các máy chủ trên mạng cần phải tin này dẫn đến một yêu cầu rất căn bản là Trung tâm
cậy được. phân phối khóa cần được bảo vệ nghiêm ngặt. Nếu
không thì toàn bộ hệ thống sẽ trở nên mất an toàn
24 25
Hạn chế của Kerberos 5 3.4. Mô hình trao đổi khóa
Diffie-Hellman
Toàn vẹn dữ liệu
• Trao đổi khoá Diffie Hellman là sơ đồ khoá công
• Đối với mỗi hệ bảo mật toàn vẹn dữ liệu là một yêu cầu
không thể thiếu, để đảm bảo tính toàn vẹn dữ liệu thực
khai đầu tiên được đề xuất bởi Diffie và
sự, các thuật mã hoá như mã hoá băm, mã xác nhận Hellman năm 1976 cùng với khái niệm khoá
thông điệp (MAC) và chữ ký điện tử có thể cùng được công khai.
triển khai đồng loạt. • Sau này được biết đến bởi James Ellis (Anh),
• Về cơ bản, những biện pháp này sử dụng các hàm một người đã đưa ra mô hình tương tự năm 1970.
chiều, nghĩa là dữ liệu không thể bị giải mã ngay cả khi
Đây là phương pháp thực tế trao đổi công khai
đã biết khóa để mã hoá nó.
các khoá mật. Nó thúc đẩy việc nghiên cứu đề
xuất các mã khoá công khai. Sơ đồ được sử
dụng trong nhiều sản phẩm thương mại.
12/Jun/2023
26
27
3.4. Mô hình trao đổi khóa 3.1 Diffie-Hellman Key Agreement

Diffie-Hellman
• Không thể dùng để trao đổi mẩu tin bất kỳ.
• Tuy nhiên nó có thể thiết lập khoá chung.
•
• Chỉ có hai đối tác biết đến.
• Giá trị khoá phụ thuộc vào các đối tác (và các thông
tin về khoá công khai và khoá riêng của họ).
• Dựa trên phép toán lũy thừa trong trường hữu hạn
(modulo theo số nguyên tố hoặc đa thức) là bài toán
dễ.
• Độ an toàn dựa trên độ khó của bài toán tính logarit
rời rạc (giống bài toán phân tích ra thừa số) là bài
toán khó.
12/Jun/2023
28
29
Thí
Bài tập:dụ
g = 7 và p = 23. Các bước như sau: Xa=3, Xb=6 3.1 Diffie-Hellman Key Agreement
Bảo mật của Diffie-Hellman:
1.Discrete Logarithm Attack
2.Man-in-the-Middle Attack
12/Jun/2023
30
31
3.1 Diffie-Hellman Key Agreement 3.1 Diffie-Hellman Key Agreement
Discrete Logarithm Attack Man-in-the-Middle Attack

Eve chặn R1 và R2. Nếu cô ta tìm ra được x từ R1=gx
mod p và y từ R2=gy mod p  có thể tính toán được
khóa K=gxy mod p  Khóa bí mật này không còn bí mật
nữa.
Để an toàn, ta nên chọn:
• Số nguyên tố p phải là rất lớn (hơn 300 chữ số)
• Số p phải được chọn sao cho p-1 có ít nhất một thừa
số nguyên tố lớn (nhiều hơn 60 chữ số)
• Phần tử sinh phải được chọn từ nhóm <Zp*,x>
• Bob và Alice phải hủy x và y sau khi tính K; x và y chỉ
nên sử dụng một lần
3.1 Diffie-Hellman Key Agreement 3.2 Station-to-Station Key Agreement
• Giao thức là an toàn đối với việc tấn • Là một giao thức dựa trên Diffie-Hellman
công thụ động, nghĩa là một người thứ • Dùng Digtal signature với Public-key
ba dù biết bA và bB sẽ khó mà biết được Certificates để thiết lập nên session key
KA,B. giữa Alice và Bob
3.2 Station-to-Station Key Agreement 3.2 Station-to-Station Key Agreement
• Giao thức này ngăn chặn được tấn công man-

•
in-the-middle.
• Sau khi chặn R1, Eve không thể gửi R2 của cô ta cho
Alice và giả bộ nó được gửi đến từ Bob bởi vì Eve
không thể giả mạo được Private key của Bob để tạo
ra Sinature – Signature không thể được thẩm tra bằng
public key của Bob được xác định trong Certificate.
• Cùng cách tương tự Eve không thể giả private key
của Alice để ký thông điệp thứ 3 gửi bởi Alice.
37
4. Hạ tầng khóa công khai 4. Hạ tầng khóa công khai
(PKI) (PKI)
Nhiệm vụ của PKI:
• “PKI là tập hợp của các công nghệ mật mã, • Quản lý danh tính người sử dụng với khóa công khai của
phần mềm, phần cứng chuyên dụng và các người đó.
dịch vụ cho phép các tổ chức/doanh nghiệp • Cấp chứng nhận của Chủ quyền Giấy chứng nhận CA
đảm bảo an toàn thông tin liên lạc, định cho người sử dụng.
danh và xác thực được người dùng, khách • Huỷ và Thu hồi các giấy chứng nhận không còn hiệu lực.
hàng trên các giao dịch qua mạng/Internet”. • Tạo ra các Thư mục để lưu trữ các chứng nhận và danh
<DigiCrypto> sách thu hồi (CRL).
• Cung cấp dịch vụ sẵn sàng cung cấp cho người sử dụng
như: đăng ký, truy cập, xin giấy chứng nhận, đưa ra danh
sách thu hồi CRL.
12/Jun/2023 12/Jun/2023
38 39
Các thành phần Các thành phần của một chứng nhận khóa công
cộng
1. Chứng chỉ khóa công khai: họ tên hoặc định

danh của người sở hữu thật sự của khóa,
khóa công cộng và chữ ký điện tử giúp xác
nhận được tính hợp lệ của hai thành phần
này.
2. Hệ thống phân phối khóa tin cậy: sử dụng
hệ thống trao đổi thông tin tin cậy để
chuyển mã khóa công cộng đến người
nhận.
12/Jun/2023 12/Jun/2023
40 41
Các loại giấy chứng nhận khóa công cộng Chu trình quản lý giấy chứng nhận
• Giấy chứng nhận là một tập tin nhị phân • Khởi tạo
có thể dễ dàng chuyển đổi qua mạng • Yêu cầu về giấy chứng nhận
máy tính. • Tạo lại chứng nhận
• Tổ chức CA áp dụng chữ ký điện tử của • Hủy bỏ chứng nhận
nó cho giấy chứng nhận khóa công • Lưu trữ và khôi phục khóa
cộng mà nó phát hành.
12/Jun/2023 12/Jun/2023
42 43
Yêu cầu về giấy chứng nhận Mẫu yêu cầu chứng nhận theo chuẩn
PKCS#10
• Hầu hết các CA sử dụng một trong hai

phương thức tiêu chuẩn của yêu cầu
chứng nhận : PKCS #10 và CRMF.
12/Jun/2023 12/Jun/2023
44 45
Định dạng thông điệp yêu cầu chứng nhận theo Hủy bỏ chứng nhận
RFC 2511
• Certificate Revocation List (CRL) là

cách đầu tiên và thông dụng nhất để
phổ biến thông tin hủy bỏ.
• CRL chứa thông tin thời gian nhằm xác
định thời điểm tổ chức CA phát hành
nó.
• CA ký CRL với cùng khóa bí mật được
dùng để ký các chứng nhận.
12/Jun/2023 12/Jun/2023
46 47
Phiên bản 2 của định dạng danh sách chứng

nhận bị hủy
Chứng nhận X.509
• Chứng nhận X.509 là chứng nhận khóa công

cộng phổ biến nhất.
• Hiệp hội viễn thông quốc tê (ITU) đã chỉ định
chuẩn X.509 vào năm 1988 (phiên bản 1).
• Phiên bản 2 (1993) của chuẩn X.509 được
phát hành với 2 trường tên nhận dạng duy
nhất được bổ sung.
• Phiên bản 3 (1997) của chuẩn X.509 được bổ
sung thêm trường mở rộng.
12/Jun/2023 12/Jun/2023
48 49
Phiên bản 3 của chuẩn chứng nhận X.509
Mô tả
• Một chứng nhận khóa công cộng kết buộc

một khóa công cộng với sự nhận diện của
một người (hoặc một thiết bị).
• Khóa công cộng và tên thực thể sở hữu khóa
này là hai mục quan trọng trong một chứng
nhận.
• Hầu hết các trường khác trong chứng nhận
X.509 phiên bản 3 đều đã được chứng tỏ là
có ích.
12/Jun/2023 12/Jun/2023
50 51
Mô tả một số trường (tiếp)
• Public key: Xác định thuật toán của khóa

• Signature Algorithm: Thuật toán chữ ký
công cộng (như RSA) và chứa khóa công
chỉ rõ thuật toán mã hóa được CA sử cộng được định dạng tuỳ vào kiểu của nó.
dụng để ký giấy chứng nhận. • Extensions: Chứa các thông tin bổ sung cần
• Subject Name: là một X.500 DN (X.500 thiết mà người thao tác CA muốn đặt vào
Distinguised Name – X.500 DN), xác chứng nhận. Trường này được giới thiệu
định đối tượng sở hữu giấy chứng nhận trong X.509 phiên bản 3.
mà cũng là sở hữu của khóa công • Signature: Đây là chữ ký điện tử được tổ
cộng. chức CA áp dụng.
12/Jun/2023 12/Jun/2023
52 53
Quá trình ký chứng nhận Quá trình kiểm tra chứng nhận
12/Jun/2023 12/Jun/2023
54 55
Tổ chức đăng ký chứng nhận – Registration

Authority (RA)
Mô tả
• Một RA là một thực thể tùy chọn được • Các nhiệm vụ chính của RA có thể
thiết kế để chia sẻ bớt công việc trên được chia thành các loại:
CA. • Các dịch vụ chứng nhận.
• Một RA không thể thực hiện bất kỳ một • Các dịch vụ kiểm tra.
dịch vụ nào mà tổ chức CA của nó
không thực hiện được
12/Jun/2023 12/Jun/2023
56 57
Nhận xét 4.3.3. Kho lưu trữ chứng nhận –
Certificate Repository (CR)
• Một RA hoạt động như là một xử lý • Một kho chứng nhận là một cơ sở dữ
ngoại vi của CA. liệu chứa các chứng nhận được phát
• Một RA chỉ nên phục vụ cho một CA. hành bởi một CA.
Trong khi đó, một CA có thể được hỗ • Kho có thể được tất cả các người dùng
trợ bởi nhiều RA. của PKI.
12/Jun/2023 12/Jun/2023
58 59
Các mô hình CA Mô hình phân cấp
• Mô hình tập trung
12/Jun/2023 12/Jun/2023
60 61
Nhận xét Nhận xét
• Tất cả mọi chứng nhận khóa công cộng • Tổ chức CA được phân ra thành nhiều
đều được ký tập trung bởi tổ chức CA cấp, tổ chức CA ở cấp cao hơn sẽ ký
và có thể được xác nhận bằng khóa vào chứng nhận khóa công cộng của
công cộng của CA. các tổ chức CA con trực tiếp của mình.
• Khuyết điểm chính của mô hình này là • Một chứng nhận khóa công cộng của
hiện tượng “nút cổ chai” tại trung tâm. người sử dụng sẽ được ký bởi một tổ
chức CA cục bộ.
12/Jun/2023 12/Jun/2023
62 63
Dịch vụ PGP Dịch vụ PGP

• Thao tác PGP – xác thực Người gửi tạo mẩu tin,
• PGP (Pretty Good Privacy) là một dịch vụ về sử dụng SHA-1 để sinh Hash 160 bit của mẩu
bảo mật và xác thực được sử dụng rộng rãi tin, ký hash với RSA sử dụng khóa riêng của
cho chuẩn an toàn thư điện tử. người gửi và đính kèm vào mẩu tin.
• PGP được phát triển bởi Phil Zimmermann. • Người nhận sử dụng RSA với khóa công khai
Ở đây lựa chọn các thuật toán mã hoá tốt của người gửi để giải mã và khôi phục bản
nhất để dùng, tích hợp thành một chương hash.
trình thống nhất, có thể chạy trên Unix, PC, • Người nhận kiểm tra mẩu tin nhận sử dụng bản
Macintosh và các hệ thống khác. Ban đầu là hash của nó và so sánh với bản hash đã được
miễn phí, bây giờ có các phiên bản thương giải mã.
mại. 12/Jun/2023 12/Jun/2023
64 65
Thao tác PGP – bảo mật Thao tác PGP - Bảo mật và xác thực
• Người gửi tạo mẩu tin và số ngẫu nhiên 128 bit Có thể sử dụng cả hai dịch vụ trên cùng một mẩu
như khóa phiên cho nó, mã hoá mẩu tin sử tin. Tạo chữ ký và đính vào mẩu tin, sau đó mã cả
dụng CAST-128/IDEA/3DES trong chế độ CBC mẩu tin và chữ ký. Đính khóa phiên đã được mã
với khóa phiên đó. Khóa phiên được mã sử hoá RSA/ElGamal.
dụng RSA với khóa công khai người nhận và
đính kèm với mẩu tin.
• Người nhận sử dụng RSA với khóa riêng để giải
mã và khôi phục khóa phiên. Khóa phiên được
sử dụng để giải mã mẩu tin.
12/Jun/2023 12/Jun/2023
66 67

Thao tác PGP – nén Thao tác PGP – tương thích thư điện tử
• Khi sử dụng PGP sẽ có dữ liệu nhị phân để gửi (mẩu tin được
• Theo mặc định PGP nén mẩu tin sau khi ký
mã). Tuy nhiên thư điện tử có thể thiết kế chỉ cho văn bản.
nhưng trước khi mã. Như vậy cần lưu mẩu tin
• Vì vậy PGP cần mã dữ liệu nhị phân thô vào các ký tự ASCII
chưa nén và chữ ký để kiểm chứng về sau. Vì in được. Sau đó sử dụng thuật toán Radix 64, ánh xạ 3 byte
rằng nén là không duy nhất. Ở đây sử dụng vào 4 ký tự in được và bổ sung kiểm tra thừa quay vòng CRC
thuật toán nén ZIP. để phát hiện lỗi khi truyền. PGP sẽ chia đoạn mẩu tin nếu nó
quá lớn.
• Tóm lại, cần có khóa phiên cho mỗi mẩu tin có kích thước
khác nhau: 56 bit – DES, 128 bit CAST hoặc IDEA, 168 bit
Triple – DES, được sinh ra sử dụng dữ liệu đầu vào ngẫu
nhiên lấy từ sử dụng trước và thời gian gõ bàn phím của
12/Jun/2023
68
người sử dụng. 12/Jun/2023
69
Khóa riêng và công khai của PGP Quản lý khóa PGP
• Vì có nhiều khóa riêng và khóa công khai có thể được sử • Tốt hơn hết là dựa vào chủ quyền chứng nhận. Trong
dụng nên cần phải xác định rõ cái nào được dùng để mã PGP mỗi người sử dụng có một CA của mình. Có thể ký
khóa phiên trong mẩu tin. khóa cho người sử dụng mà anh ta biết trực tiếp.
• Có thể gửi khóa công khai đầy đủ với từng mẩu tin. • Tạo thành “Web của niềm tin”, cần tin cậy khóa đã được
Nhưng điều đó là không đủ vì cần phải nêu rõ danh tính ký và tin cậy các khóa mà các người khác ký khi dùng
của người gửi. một dây chuyền các chữ ký đến nó. Chùm khóa chứa cả
• Do đó có thể sử dụng định danh khóa để xác định người các chỉ dẫn tin cậy. Người sử dụng có thể thu hồi khóa
gửi. Có ít nhất 64 bit có ý nghĩa của khóa và là duy nhất, của họ.
có thể sử dụng định danh của khóa trong chữ ký.
12/Jun/2023 12/Jun/2023
70 71
Câu hỏi và bài tập Câu hỏi và bài tập
1. Liệt kê các cách mà secret key có thể được 7. Giao thức Station-to-Station là gì, cho
phân phối cho hai bên giao tiếp.
biết mục đích của nó
2. Khóa của Distribution Center là gì?
8. CA là gì, mối quan hệ của nó vỡi mã
3. Cho biết trách nhiệm của một KDC
hóa khóa công khai
4. Session Key là gì và chỉ ra một KDC có thể
tạo một session key giữa Alice và Bob
5. Kerberos là gì và tên server của nó; mô tả
trách nhiệm của từng Server.
6. Thế nào là tấn công Man-in-the-middle
72
DUY TRÌ VÀ HỆ THỐNG QUẢN LÝ
AN TOÀN THÔNG TIN
(INFORMATION SECURITY MAINTENANCE)
Nội dung chính Giới thiệu

˗ Các tổ chức nên tránh tự tin thái quá sau khi cải thiện được an toàn thông
1. Giới thiệu
tin của tổ chức
2. Hệ thống quản lý an toàn thông tin là gì? ˗ Các yếu tố làm thay đổi cục diện ATTT
3. Vì sao cần quản lí an toàn thông tin?  Tài sản mới thu được
4. Tiêu chuẩn ISO/IEC 27001:2013 là gì?  Lỗ hỏng mới có liên quan đến tài sản mới hoặc tài sản có sẳn
5. Lợi ích gì khi áp dụng hệ thống quản lý an toàn thông tin  Dịch chuyển ưu tiên sang hướng kinh doanh mới
6. Các bước triển khai ISMS dựa trên tiêu chuẩn ISO/IEC  Quan hệ đối tác mới được hình thành và quan hệ đối tác cũ giải thể
27001:2013  Doanh nghiệp thoái vốn hoặc đầu tư lĩnh vực mới
7. Chứng chỉ an toàn bảo mật thông tin  Thuê mới nhân viên hoặc luân chuyển nhân viên
8. Tình hình triển khai ISMS ở Việt Nam ˗ Nếu không có sự hiệu chỉnh đầy đủ về ATT, có thể bắt đầu một chu kỳ xây
dựng ATTT một lần nữa thì dẫn đến tốn kém
Giới thiệu Giới thiệu
˗ Maintenance and SecSDLC Quản lý để thay đổi
˗ Khi một tổ chức đã cải thiện tư thế ATTT, nhóm ATTT phải chú ý đến việc
duy trì trạng thái sẵn sàng ATTT
˗ ATTT phải liên tục theo dõi các mối đe dọa, tài sản (thông tin) và lỗ hổng
ATTT.
˗ Nhóm cũng xem xét thông tin mở rộng để luôn cập nhật thông tin mới
nhất các mối đe dọa chung và cụ thể đối với bảo mật thông tin của mình
Giới thiệu 1.Hệ thống quản lý an toàn thông tin là gì?

˗ Bên cạnh những rủi ro về ATTT do bị tấn công phá hoại có chủ đích, tổ ˗ Hệ thống quản lý an toàn thông tin (Information Security
chức cũng có thể gặp phải những rủi ro đối với thông tin nếu: Các quy Management System - ISMS) là công cụ để các nhà lãnh đạo
trình quản lý, vận hành không đảm bảo; Việc quản lý quyền truy cập chưa
quản lý thực hiện việc giám sát, quản lý hệ thống thông tin,
được kiểm tra và xem xét định kỳ; Nhận thức của nhân viên trong việc sử
dụng và trao đổi thông tin chưa đầy đủ…. tăng cường mức độ an toàn, bảo mật, giảm thiểu rủi ro cho hệ
˗ Do đó, ngoài các biện pháp kỹ thuật, tổ chức cần xây dựng và áp dụng thống thông tin, đáp ứng được mục tiêu của doanh nghiệp, tổ
các chính sách, quy định, quy trình vận hành phù hợp để giảm thiểu rủi chức.
ro. ˗ Hệ thống quản lý an toàn thông tin là một hệ thống đưa ra các
phưong pháp đánh giá việc theo dõi; bảo vệ và quản lý hệ
thống thông tin, dữ liệu. Việc mất thông tin trong bất cứ trường
hợp nào; dù ít hay nhiều cũng gây ra thiệt hại cho tổ chức.
Thậm chí có thể khiến tổ chức sụp đổ.
Hệ thống quản lý ATTT (ISMS) Hệ thống quản lý ATTT (ISMS)
˗ Thiết kế và triển khai Hệ thống ISMS phụ thuộc vào mục tiêu, các yêu cầu ˗ Việc áp dụng ISMS là quyết định mang tính chiến lược của một tổ chức.
về ATTT cần phải đạt được, các quy trình đang vận hành, quy mô và cơ ˗ Hệ thống quản lý an toàn thông tin (ISMS) duy trì tính bảo mật, tính toàn
cấu của tổ chức... vẹn và tính sẵn sàng của thông tin bằng cách áp dụng một quá trình quản
˗ Hệ thống ISMS cũng đòi hỏi phải luôn được xem xét, cập nhật để phù lý rủi ro và mang lại sự tin cậy cho các bên quan tâm rằng các rủi ro đã
hợp với những thay đổi của tổ chức và nâng cao mức độ an toàn với Hệ được quản lý đầy đủ.
thống lưu trữ, xử lý thông tin.
˗ Tổ chức cũng cần cân nhắc chi phí đầu tư xây dựng và triển khai ISMS
phù hợp với nhu cầu đảm bảo ATTT.
˗ Sau khi xây dựng hệ thống ISMS thì doanh nghiệp sẽ nhận được Chứng
chỉ An toàn bảo mật thông tin
Vì sao cần quản lí an toàn thông tin? Lợi ích khi áp dụng ISMS
˗ Sử dụng và kiểm soát hiệu quả, an toàn thông tin đóng vai trò rất quan 1) Đảm bảo ATTT của tổ chức, đối tác và khách hàng, giúp cho hoạt động
trọng trong công tác quản lý, điều hành của mỗi tổ chức. Những thông tin của tổ chức luôn thông suốt và an toàn.
của tổ chức vì một lí do nào đó không được kiểm soát tốt có thể để lại 2) Giúp nhân viên tuân thủ việc đảm bảo ATTT trong hoạt động nghiệp vụ
những hậu quả sau: thường ngày; Các sự cố ATTT do người dùng gây ra sẽ được hạn chế
 Thông tin bị đánh cắp, mất mát và không có khả năng khôi phục tối đa khi nhân viên được đào tạo, nâng cao nhận thức ATTT.
 Thiếu, không đủ thông tin khi cần 3) Giúp hoạt động đảm bảo ATTT luôn được duy trì và cải tiến. Các biện
 Không khai thác và tận dụng được tối đa nguồn thông tin pháp kỹ thuật và chính sách tuân thủ được xem xét, đánh giá, đo lường
 Thông tin quan trọng bị “tẩu thoát” ra bên ngoài hiệu quả và cập nhật định kỳ.
Tùy vào quy mô và lĩnh vực hoạt động, mỗi tổ chức có thể có
các phương thức tiếp cận khác nhau để xây dựng hệ thống quản
lý ATTT phù hợp
Hệ thống quản lý ATTT (ISMS) giúp tổ chức thực hiện việc kiểm
soát và định hướng cho các hoạt động đảm bảo ATTT
Lợi ích khi áp dụng ISMS 3. Tiêu chuẩn ISO/IEC 27001:2013 là gì?
4) Đảm bảo hoạt động nghiệp vụ của tổ chức không bị gián đoạn bởi các ˗ Tiêu chuẩn ISO/IEC 27001:2013 hay Tiêu chuẩn Công nghệ thông tin -
sự cố liên quan đến ATTT. Các kĩ thuật an toàn - Hệ thống quản lí an toàn thông tin - Các yêu
5) Nâng cao uy tín của tổ chức, tăng sức cạnh tranh, tạo lòng tin với khách cầu có tên tiếng Anh là: ISO/IEC 27001:2013 Information technology —
hàng, đối tác, thúc đẩy quá trình toàn cầu hóa và tăng cơ hội hợp tác Security techniques — Information security management systems —
quốc tế Requirements.
˗ ISO/IEC 27001 là tiêu chuẩn quốc tế về Hệ thống quản lý an ninh thông
tin (ISMS).
˗ ISO/IEC 27001 là tiêu chuẩn quy định các yêu cầu đối với việc xây dựng
và áp dụng hệ thống quản lý ATTT nhằm đảm bảo tính bảo mật
(confidentiality), tính nguyên vẹn (integrity) và tính sẵn sàng
(availability) đối với tài sản thông tin của các tổ chức.
Tiêu chuẩn ISO/IEC 27001:2013 Tiêu chuẩn ISO/IEC 27001:2013

˗ Là một tiêu chuẩn trong bộ tiêu chuẩn ISO/IEC 27000 về quản lý ATTT, ˗ Đối tượng áp dụng: cho nhiều loại hình tổ chức (thương mại, cơ quan nhà
được xây dựng dựa trên các tiêu chuẩn về quản lý an toàn thông tin BS nước, phi lợi nhuận...). Đặc biệt là các tổ chức mà các hoạt động phụ
7799 của Viện Tiêu chuẩn Anh (British Standards Institute - BSI). thuộc nhiều vào CNTT, máy tính, mạng máy tính, sử dụng CSDL như
˗ Năm 2005, tiêu chuẩn này được ban hành lần 1 tiêu chuẩn ISO/IEC ngân hàng, tài chính, viễn thông, ...
27001:2005, đến năm 2013 ban hành tiêu chuẩn lần 2 ISO/IEC ˗ Một hệ thống ISMS theo tiêu chuẩn ISO/IEC 27001:2013 sẽ đem lại sự
27001:2013 tin tưởng của các bên liên quan như đối tác, khách hàng,... của tổ chức.
˗ Doanh nhiệp sẽ được cấp Chứng chỉ An toàn bảo mật thông tin ISO
27001:2013
Tiêu chuẩn ISO/IEC 27001:2013 Cấu trúc Tiêu chuẩn ISO 27001: 2013
˗ Tiêu chuẩn này được xây dựng nhằm cung cấp các yêu cầu cho việc thiết ˗
lập, triển khai, duy trì và cải tiến liên tục Hệ thống quản lý an toàn thông
tin (ISMS).
˗ ISO/IEC 27001 đặc tả các yêu cầu cần thiết cho việc thiết lập, vận hành
và giám sát hoạt động của ISMS; đưa ra các nguyên tắc cơ bản cho việc
khởi tạo, thực thi, duy trì và cải tiến ISMS.
˗ Tiêu chuẩn này đưa ra các quy tắc bảo mật thông tin và đánh giá sự tuân
thủ đối với các bộ phận bên trong tổ chức, xây dựng các yêu cầu bảo mật
thông tin mà đối tác, khách hàng cần phải tuân thủ khi làm việc với tổ
chức.
Cấu trúc của Tiêu chuẩn ISO/IEC 27001:2013 là gì? 3. Cấu trúc của Tiêu chuẩn ISO/IEC 27001:2013 là gì?
˗ 07 điều khoản chính của ISO 27001 ˗ 07 điều khoản chính của ISO 27001
Điều khoản 4 – Phạm vi tổ chức: Điều khoản 6 – Lập kế hoạch:
˗ Điều khoản này đưa ra các yêu cầu cụ thể để tổ chức căn cứ trên quy mô; lĩnh ˗ Doanh nghiệp, tổ chức cần định nghĩa và áp dụng các quy trình đánh giá rủi
vực hoạt động và yêu cầu, kỳ vọng của các bên liên quan thiết lập phạm vi Hệ ro; đưa ra các quy trình xử lý. Điều khoản này đưa ra các yêu cầu; về việc
thống quản lý an ninh thông tin phù hợp. thiết lập mục tiêu an toàn thông tin và kế hoạch để đạt được mục tiêu đó.
Điều khoản 5 – Lãnh đạo: Điều khoản 7 – Hỗ trợ:
˗ Điều khoản này quy định các vấn đề về trách nhiệm; của Ban lãnh đạo mỗi tổ ˗ Yêu cầu đối với việc tổ chức đào tạo; nâng cao nhận thức cho toàn thể cán
chức trong Hệ thống an ninh thông tin. Bao gồm các yêu cầu về sự cam kết, bộ; nhân viên của tổ chức về lĩnh vực an toàn thông tin và ISMS, số hóa thông
quyết tâm của Ban lãnh đạo trong việc xây dựng, duy trì hệ thống thông tin; tin.
các yêu cầu về việc cung cấp nguồn lực, tài chính để vận hành hệ thống thông Điều khoản 8 – Vận hành hệ thống:
tin. ˗ Doanh nghiệp, tổ chức cần có kế hoạch vận hành và quản lý để đạt được các
mục tiêu. Đồng thời cần định kỳ thực hiện đánh giá rủi ro an toàn thông tin và
có kế hoạch xử lý.
3. Cấu trúc của Tiêu chuẩn ISO/IEC 27001:2013 là gì? 3. Cấu trúc của Tiêu chuẩn ISO/IEC 27001:2013 là gì?
˗ 07 điều khoản chính của ISO 27001 ˗ 07 điều khoản chính của ISO 27001
Điều khoản 6 – Lập kế hoạch: Điều khoản 9 – Đánh giá hiệu năng hệ thống:
˗ Doanh nghiệp, tổ chức cần định nghĩa và áp dụng các quy trình đánh giá rủi ˗ Quy định trách nhiệm của Ban lãnh đạo trong việc định kỳ xem xét; đánh giá
ro; đưa ra các quy trình xử lý. Điều khoản này đưa ra các yêu cầu; về việc Hệ thống quản lý an ninh thông tin của tổ chức. Phần này đưa ra yêu cầu đối
thiết lập mục tiêu an toàn thông tin và kế hoạch để đạt được mục tiêu đó. với mỗi kỳ xem xét hệ thống; đảm bảo đánh giá được toàn bộ hoạt động của
Điều khoản 7 – Hỗ trợ: hệ thống; đo lường hiệu quả và có kế hoạch khắc phục; nâng cấp hệ thống
˗ Yêu cầu đối với việc tổ chức đào tạo; nâng cao nhận thức cho toàn thể cán cho phù hợp.
bộ; nhân viên của tổ chức về lĩnh vực an toàn thông tin và ISMS, số hóa thông Điều khoản 10 – Cải tiến hệ thống:
tin. ˗ Giữ vững nguyên tắc Kế hoạch – Thực hiện – Kiểm tra – Hành động. Điều
Điều khoản 8 – Vận hành hệ thống: khoản 10 trong tiêu chuẩn ISO 27001; cũng đưa ra các yêu cầu đảm bảo Hệ
˗ Doanh nghiệp, tổ chức cần có kế hoạch vận hành và quản lý để đạt được các thống quản lý an ninh thông tin không ngừng được cải tiến trong quá trình
mục tiêu. Đồng thời cần định kỳ thực hiện đánh giá rủi ro an toàn thông tin và hoạt động. Điều khoản này bao gồm các quy định trong việc áp dụng các
có kế hoạch xử lý. chính sách mới; các hoạt động khắc phục, phòng ngừa điểm yếu đã xảy ra. Và
để đảm bảo hiệu quả của Hệ thống quản lý an ninh thông tin.
3. Đặc điểm của Tiêu chuẩn ISO/IEC 27001:2013 là gì? Cấu trúc Tiêu chuẩn ISO 27001: 2013
1. Tăng tính khả dụng của các hệ thống công nghệ thông tin của riêng tổ chức, ˗ Phụ lục A: Các mục tiêu và
bao gồm dữ liệu và thông tin hiện có, biện pháp kiểm soát: đưa
2. Bảo vệ tính toàn vẹn của thông tin hiện có, ra 14 lĩnh vực kiểm soát
3. Đảm bảo tính bảo mật của dữ liệu hiện có và bảo vệ chúng khỏi bị truy cập nhằm cụ thể hóa các vấn đề
trái phép, cũng như để đảm bảo tính xác thực của thông tin. mà tổ chức cần xem xét,
4. Các tổ chức thuộc mọi qui mô và ngành công nghiệp có thể cung cấp bằng thực hiện khi xây dựng và
chứng thông qua chứng nhận của một tổ chức chứng nhận được công nhận.
duy trì Hệ thống ISMS.
5. Đảm bảo an toàn thông tin liên tục theo chu trình Act-Do-Check-Act,
6. Nhận ra và kiểm soát rủi ro và do đó để đạt được cải tiến liên tục,
7. Bảo vệ dữ liệu bí mật cũng như để đáp ứng các yêu cầu bên ngoài về tính
sẵn có, tính toàn vẹn và bảo mật của thông tin, ví dụ như của kế toán viên.
5. Các bước triển khai ISMS dựa trên tiêu chuẩn ISO/IEC
27001:2013 Quy trình triển khai tiêu chuẩn ISO 27001
˗ Bước 1: Khảo sát và lập kế hoạch
˗ Bước 2: Xác định phương pháp quản lý rủi ro ATTT
˗ Bước 3: Xây dựng hệ thống đảm bảo ATTT tại đơn vị
˗ Bước 4: Triển khai áp dụng: các biện pháp đã lựa chọn, đáp ứng chính
sách, quy định, quy trình đã xây dựng và yêu cầu của tiêu chuẩn ISO
27001.
˗ Bước 5: Đánh giá nội bộ: khắc phục các điểm không phù hợp với các
quy định của tổ chức và yêu cầu của tiêu chuẩn.
Sau khi thực hiện xong bước 5, tổ chức mời các đơn vị độc lập để đánh
giá và cấp Chứng nhận phù hợp với tiêu chuẩn ISO 2701:2013 cho Hệ
thống quản lý ATTT đã xây dựng.
5. Các bước triển khai ISMS dựa trên tiêu chuẩn ISO/IEC 5. Các bước triển khai ISMS dựa trên tiêu chuẩn ISO/IEC
27001:2013 27001:2013
˗ Áp dụng ISMS theo ISO 27001 tại doanh nghiệp
˗ Bước 1, khảo sát hiện trạng của tổ chức nhằm nắm bắt được thực trạng
quản lý ATTT tại tổ chức đó cũng như yêu cầu, mong muốn của Lãnh đạo
cho việc quản lý ATTT.
Bước 2, lập kế hoạch xây dựng ISMS: Trên cơ sở kết quả khảo sát hiện
trạng của tổ chức sẽ đề xuất kế hoạch để xây dựng ISMS cho phù hợp
với thực tế của tổ chức.
˗ Bước 3, xây dựng hệ thống tài liệu và triển khai áp dụng: Xây dựng các
chính sách, quy định, quy trình về ATTT và ban hành các văn bản này.
Sau khi ban hành, sẽ thực hiện áp dụng các yêu cầu, điều khoản của
chính sách, quy định vào hệ thống CNTT với phạm vi đã được đưa ra
trong văn bản ban hành.
5. Các bước triển khai ISMS dựa trên tiêu chuẩn ISO/IEC
27001:2013 DN nhận CC ATTT theo tiêu chuẩn ISO/IEC 27001:2013
˗ Áp dụng ISMS theo ISO 27001 tại doanh nghiệp

˗ Bước 4, thực hiện đánh giá nội bộ trong tổ chức: Đánh giá nội bộ giúp ˗ Công ty Cổ phần Dịch vụ Công nghệ Tin học HPT – 12/05/2014
phát hiện các điểm không phù hợp với yêu cầu của tiêu chuẩn, chính ˗ Ngân hàng VIETCOMBANK - 12/12/2014 (NH đầu tiên)
sách, quy định. Từ đó, các tổ chức đưa ra kế hoạch khắc phục các điểm ˗ Tập đoàn Bảo Việt – 23/1/2016
không phù hợp này. Đồng thời, giai đoạn này cũng chuẩn bị cho việc
đánh giá độc lập của một tổ chức đánh giá cấp chứng nhận chuyên ˗ Trung tâm Internet Việt Nam (VNNIC) - 02/7/2015
nghiệp. ˗ Ngân hàng TMCP Sài Gòn - Hà Nội (SHB) - 20/11/2015
˗ Trung tâm dữ liệu của VNPT (VNPT Data) – 1/9/2016
˗ Ngân hàng TMCP Quân đội (MB) - 04/2017
˗ Bước 5, đánh giá chứng nhận: Tổ chức đánh giá độc lập sẽ thực hiện ˗ .....
đánh giá hệ thống ISO 27001 của đơn vị và kết luận đơn vị này có đáp
ứng đầy đủ các yêu cầu bắt buộc của tiêu chuẩn đưa ra hay không và sẽ
tiến hành cấp Chứng nhận Hệ thống quản lý ATTT nếu đơn vị này đáp
ứng điều kiện.
4. Lợi ích gì khi áp dụng hệ thống quản lý an toàn thông tin 4. Lợi ích gì khi áp dụng hệ thống quản lý an toàn thông tin
˗ Lợi ích khi tổ chức, doanh nghiệp được chứng nhận chứng chỉ ISO
27001
1. Lưu trữ, khai thác thông tin một cách hiệu quả và chính xác:
2. Tăng cường khả năng quản lý cho doanh nghiệp
3. Giảm chi phí, tăng lợi nhuận
4. Liên tục cải tiến
4. Lợi ích gì khi áp dụng tiêu chuẩn ISO 27001:2013 4. Lợi ích gì khi áp dụng tiêu chuẩn ISO 27001:2013
1) Lợi ích cho khách hàng của bạn: 2) Lợi ích cho tổ chức của bạn:
˗ Nhận được sự tin tưởng của khách hàng của bạn trong toàn bộ chuỗi ˗ Bảo vệ IP, thương hiệu và uy tín của bạn.
cung ứng của bạn. ˗ Kiếm được nhiều doanh nghiệp hơn từ khách hang mới và khách hang
˗ Giảm thiểu khả năng vi phạm gây tốn chi phí hiện tại.
˗ Giảm chi phí cho các nhà cung cấp mới. ˗ Giảm chi phí bán hang
˗ Được bảo mật thông tin một cách tối ưu nhất. ˗ Giúp các mối quan hệ bền chặt hơn với nhiều doanh nghiệp cũ
˗ Cải tiến quy trình dẫn đến tiết kiệm chi phí và thời gian
˗ Tránh phạt tiền từ việc không tuân thủ quy định (như GDPR)
˗ Tránh các sự kiện dân sự do vi phạm dữ liệu
˗ Tránh chi phí cho hành động khắc phục hậu quả do sự cố và / hoặc vi
phạm
˗ Thu hút nhân viên tốt hơn
4. Lợi ích gì khi áp dụng tiêu chuẩn ISO 27001:2013 Một số lưu ý của tiêu chuẩn ISO 27001:2013
3) Lợi ích cho nhân viên của bạn: ˗ Hệ thống ISMS là nhu cầu thiết yếu của tổ chức, đảm bảo ATTT một cách
˗ Tin tưởng vào sự bền vững của tổ chức. toàn diện.
˗ Đào tạo cho công việc (và an ninh gia đình) ˗ Xây dựng hệ thống ISMS theo tiêu chuẩn ISO/IEC 27001: 2013 sẽ giúp
˗ Rõ rang thông qua các chính sách và thủ tục. hoạt động đảm bảo ATTT của tổ chức được quản lý chặt chẽ.
˗ Tự hào về tổ chức và vai trò của họ trong việc bảo vệ nó. ˗ Do tiêu chuẩn ISO/IEC 27001:2013 xem xét đảm bảo ATTT trên nhiều
khía cạnh. Nên việc xây dựng và áp dụng hệ thống đòi hỏi phải có sự
quyết tâm của lãnh đạo tổ chức. Và sự phối hợp đồng bộ các bộ phận
của tổ chức trong việc xây dựng và duy trì hệ thống.

Một số lưu ý của tiêu chuẩn ISO 27001:2013
˗ Những vấn đề khó khăn, cần lưu ý khi tổ chức bắt tay vào xây dựng hệ
thống ISMS là:
 Nhận thức của người dùng trong tổ chức về việc đảm bảo ATTT. Đánh
giá lợi ích mang lại khi áp dụng hệ thống ISMS chưa cao.
 Trách nhiệm xây dựng, duy trì hệ thống được phân công không phù
hợp. Đơn vị được giao không nhận được sự phối hợp, cộng tác của
các đơn vị khác trong tổ chức.
 Việc xây dựng và nâng cấp hệ thống cần sự quan tâm của lãnh đạo và
đầu tư nguồn lực thích đáng.

At 2

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

At 2

Uploaded by

Copyright:

Available Formats

1

1. Các khái niệm cơ bản về an toàn thông tin

Trần Thị Kim Chi 1-2

1 Các khái niệm cơ bản về an toàn thông tin

Trần Thi Kim Chi 5 Trần Thị Kim Chi 1-6

An Toàn thông tin là gì?

23 An toàn thông tin 24 An toàn thông tin

25 An toàn thông tin 26 An toàn thông tin

27 An toàn thông tin 28 An toàn thông tin

Mô hình tổng quát về an toàn thông tin

An toàn thông tin đối với một tổ chức

47 An toàn thông tin 48 An toàn thông tin

(THREATS TO INFORMATION SECURITY)

GV: Trần Thị Kim Chi

1. Các khái niệm cơ bản Lổ hỏng – Mối đe dọa – Rủi ro

Trần Thị Kim Chi 1-6 1-7

Các m�i đe do� đ�i v i m�t h� th�ng v�

26 An toàn thông tin 27 An toàn thông tin

28 An toàn thông tin 29 An toàn thông tin

• Tấn công chủ động được chia thành 4 loại sau:

Tấn công Password Tấn công Password

Tấn công Password

Tấn công bằng Backdoor Tấn công bằng Backdoor

45 An toàn thông tin

48 An toàn thông tin 49 An toàn thông tin

Tấn công Man-in-the-middle Tấn công Man-in-the-middle

Tấn công Man-in-the-middle Tấn công Sniffing

54 An toàn thông tin 55 An toàn thông tin

58 An toàn thông tin 59 An toàn thông tin

60 An toàn thông tin 61 An toàn thông tin

C�c kiểu tấn công Phishing

Kịch bản c a tấn công Watering Hole Pretexting

72 An toàn thông tin 73 An toàn thông tin

Bi n ph�p phòng ch ng Social Engineering- Đ i v i c� Bi n ph�p phòng ch ng Social Engineering- Đ i v i c�

76 An toàn thông tin 77 An toàn thông tin

78 An toàn thông tin 79 An toàn thông tin

5. Thay đổi mục đích tấn công Mã đ c l� g�?

80 An toàn thông tin 1-81

M t s lo�i mã đ c Kỹ thuật ph� ho�i

Kỹ thuật ph�t hi n Malware Kỹ thuật ph�t hi n Malware

M t s bi n pháp phòng ch ng M t s bi n ph�p phòng ch ng

Mã độc và các phòng chống mã độc

M t s bi n ph�p phòng ch ng 1. Social Engineering (Tấn công phi kỹ thuật)

7. Internet of Things 9. Quản lý dữ liệu kém

100 An toàn thông tin Nguyễn Thị Hạnh

CÂU HỎI VÀ BÀI TẬP (tiếp)

1. Khái niệm cơ bản

1 Khái niệm cơ bản Hệ thống pháp luật

Hiến pháp Bộ Luật và Luật

Nghị định Thông tư

Công văn Các bộ luật cần tìm hiểu

2. Luật CNTT 2. Luật CNTT

2. Luật CNTT 2. Luật CNTT

2. Luật CNTT 2. Luật CNTT

2. Luật CNTT 2. Luật CNTT

2. Luật CNTT 2. Luật CNTT

2. Luật Công Nghệ Thông Tin Câu hỏi thảo luận 1

3. Luật Giao dịch Điện tử 3. Luật Giao dịch Điện tử

3. Luật Giao dịch Điện tử 3. Luật Giao dịch Điện tử

Câu hỏi thảo luận Câu hỏi thảo luận

Câu hỏi kiểm tra Câu hỏi kiểm tra

Câu hỏi kiểm tra Câu hỏi kiểm tra

Câu hỏi kiểm tra Câu hỏi kiểm tra