Professional Documents
Culture Documents
AN TOÀN BẢO MẬT THÔNG TIN MỚI NHẤT
AN TOÀN BẢO MẬT THÔNG TIN MỚI NHẤT
118
Thật vậy, xây dựng 1 HTTT an toàn giúp cho việc quản lý hệ thống trở nên dễ
dàng và minh bạch hơn. Một môi trường TT an toàn, sạch sẽ có tác động không nhỏ
đến giảm thiểu chi phí quản lý và HĐ của DN, nâng cao uy tín DN, tạo điều kiện thuận
lợi cho sự hội nhập MT TT lành mạnh. Ngược lại, nếu để lọt những thông tin này ra
ngoài đặc biệt là vào tay các đối thủ cạnh tranh thì thực sự rất nguy hiểm với DN.
1. Xác định, nhận dạng các nguy cơ gây mất an toàn và bảo mật thông tin:
Trong bước này, phân tích trực tiếp toàn bộ hệ thống dữ liệu và thông tin, nhận
dạng, phát hiện những kẽ hở mà các tin tặc có thê lợi dụng đề tấn công gây mắt an
toàn và bảo mật thông tỉn, xác định các rủi ro, các mối hiểm họa, các nguy cơ mả
thông tin có thể gặp phải khi vận hành hệ thông thông tin. Trên cơ sở tổng hợp, lập
danh mục các nguy cơ, hiểm họa, tiến hành sắp xếp, phân loại các rủi ro mà thông tin
và hệ thống thông tin có thê gặp phải trong quá trình hoạt động; đồng thời chỉ ra các
nguy cơ đặc biệt nghiêm trọng, mức độ nguy hiểm cao. Để thực hiện tốt công đoạn
này, phải trả lời được 3 câu hỏi:
(1) Bảo vệ cái gì?
(2) Bảo vệ khỏi ai?
(3) Bảo vệ bằng cách nào?
Để tìm ra những điểm yếu hoặc lỗ hồng trong hệ thống thông tin, người quản trị
hãy xem mình như một kẻ tấn công, có gắng dự đoán được tất cả các kịch bản tấn công
có thề có đề tắn công vào chính hệ thống của mình. Một hệ thống thông tin dù hoàn
thiện đến đâu cũng không tránh khỏi những kẽ hở, những lỗ hỏng, dù là rất nhỏ, trong
khi đó, các kỹ thuật tấn công ngày càng phát triên, các đôi tượng xâm phạm ngày càng
thông minh, thủ đoạn ngày càng tỉnh vi, vì vậy những người quản trị an toàn và bảo
mật thông tin càng ngày càng gặp nhiều khó khăn trong các biện pháp phòng chống và
Câu 21: An toàn và bảo mật thông tin là gì? Vì sao an toàn và bảo mật thông
tin lại đóng vai trò quan trọng trong DN hiện nay?
An toàn:
Là sự đảm bảo yên ổn hoàn toàn, không gặp trắc trở, không bị nguy hiểm về
tính mạng, sức khỏe và vật chất
Là sự ổn định, phát triển bền vững, tránh được các thiệt hại về vật chất và con
người
Là sự thoải mái về tâm lý, sự yên tâm về thể xác, tâm hồn và tài sản
An toàn thông tin là hành động ngăn cản, phòng ngừa sự sử dụng, truy cập,
tiết lộ, chia sẻ, phát tán, ghi lại or phá hủy thông tin chưa có sự cho phép
Một hệ thống thông tin được cho là an toàn khi:
+ Đảm bảo an toàn thông tin
+ Đảm bảo hệ thống có khả năng hoạt động liên tục
+ Đảm bảo khả năng phục hồi khi gặp sự cố
Bảo mật thông tin:
SET Giao thức thanh toán Đảm bảo tính chính xác của thông tin cho cả
trực tuyến trên mạng hai bên gửi và nhận, đảm bảo tính toàn vẹn của
dựa trên kỹ thật sử dụng thoongt in.
đồng tiền số Sử dụng mã kháo công khai nên khó bị bẻ
khóa, có cơ chế xác thực cho 2 phí nhận và gửi
WEP Đươc thiết kế để đảm Với phương thức mã hóa RC4, WEP cung cấp
bảo tính bảo mật cho tính bảo mật và toàn vẹn thông itn trên mạng
mạng không dây đạt không dây, đồng thời được xem như một
mức như mạng nối cáp phương pháp kiểm soát truy cập. Tuy nhiên
truyền thống gần đây giới phân tich cho thấy nếu bắt được
một số lượng lớn dữ lieeuju và mã hóa và sử
dụng WEP, thì có thể dò tìm được chính xác
khóa WEP trong thời gian ngắn
Câu 34: Bảo mật website là gì? Trình bày các nguy cơ mất an toàn đối với
các loại website
Bảo mật Website: một loại chức năng hoặc thao tác quan trọng, cần thiết trong
quá trình sử dụng và vận hành website. Là một hình thức cho phép chúng ta bảo vệ các
thông tin và tài nguyên của hệ thống máy tính, đảm bảo cho trang Web được hoạt
động một cách liên tục.
Các nguy cơ mất an toàn đối với các loại Website:
Câu 38: Phân quyền người dùng là gì? Vì sao trong HTTT DN cần phân
quyền người dùng?
Phân quyền người dùng: những biện pháp giúp phân chia rõ ràng quyền hạn,
các thức thao tác đối với hệ thống theo những yêu cầu khác nhau nhằm đảm bảo được
sự an toàn của hệ thống cũng như đảm bảo tính riêng tư của mỗi người.
Trong HTTT DN cần phân quyền người dùng vì:
Ngày nay, trong công việc hàng ngày chúng ta thường xuyên phải làm việc trong
môi trương làm việc với các hệ thống máy tính lớn được kết nối liên thông với nhau,
ngoài ra ngay trên 1 máy cũng có thể có nhiều người dùng khác nhau. Vì vậy, nếu
chúng ta không phân biệt rõ ràng về quyền hạn người dùng thì sẽ gây ra tình trạng mất
an toàn trong hệ thống đồng thời làm mất tính riêng tư cảu những người dùng trong hệ
thống. Tóm lại, phân quyền người sử dụng giúp:
- Đảm bảo tính riêng tư của người dùng
- Đảm bảo an toàn thông tin của hệ thống
- Nâng cao tính bảo mật cho hệ thống
Câu 39: Chứng thực điện tử là gì? Trình bày và giải thích đặc điểm của các
loại chứng thực điện tử được sử dụng phổ biến hiện nay? Chứng thực điện tử
được xây dựng dựa trên hệ mã hóa nào? Lấy ví dụ minh họa?
Hệ thống chứng thực: một hạ tầng an ninh mạng được xây dựng trên một hạ
tầng cơ sở khóa công khai (PKI) cung cấp các giải pháp đảm bảo an toàn cho các hoạt
động (gọi chung là giao dịch) thông qua mạng.
Hãy trình bày các cách phân quyền người dùng trên website đó?
5 nhóm người dùng mặc định để quy định các quyền hạn của các nhóm người
dùng này, bao gồm:
Super Admin – Nhóm người dùng cao nhất và có quyền quản trị toàn bộ hệ
thống. Ngoài ra, Super Admin có quyền xóa các người dùng trong nhóm
Administrator.
Administrator – Nhóm người dùng có quyền sử dụng toàn bộ các tính năng có
trong một website du lịch, không bao gồm chức năng quản lý và xóa người dùng trong
hệ thống.
Editor – Nhóm này có quyền đăng bài viết lên website (publish) và quản lý các
post khác của những người dùng khác.
Author – Nhóm này sẽ có quyền đăng bài lên website và quản lý các post của
họ.
Mã Đơn giản trong việc lưu Tốc độ xử lý chậm, không thích hợp cho những
hóa chuyển khóa. trường hợp mã hóa thông thường, thường dùng
công Mỗi người chỉ cần một cặp trao đổi khóa bí mật đầu phiên truyền tin.
khai khóa công khai – khóa bí Tính xác thực của khóa công khai:
mật là có thể trao đổi + Có thể gặp tình huống là khóa công khai có
thông tin với tất cả mọi thể bị giả mạo.
người +Bất cứ ai cũng có thể tạo ra một khóa và công
- Là tiền đề cho sự ra bố đó là của một người khác.
đời của chữ ký điện tử và + Chừng nào việc giả mạo chưa bị phát hiện thì
các phương pháp chứng đều có thể đọc được nội dung của các thông báo
thực điện tử sau này gửi cho người kia.
+Cần có cơ chế đảm bảo những người đăng ký
khóa là đáng tin .
Một hệ thống mã hóa được đánh giá là an toàn vô điều nếu nó thỏa mãn hai điều
kiện:
- Không có nhược điểm.
- Khóa có quá nhiều giá trị không thể thử hết.
Có hai phương pháp mã hóa cơ bản là phương pháp mã hóa đối xứng ( còn gọi là
mã hóa khóa bí mật ) và phương pháp mã hóa bất đối xứng ( mã khóa công khai). Hai
phương pháp này đều có nhược điểm , đồng thời đều có giới hạn về số lượng khóa sử
dụng.
Ð Các hệ mã hóa đều không thể thỏa mãn an toàn vô điều kiện.