Đang tải... (xem toàn văn)
MC LC:A - BẢNG TỰ ĐÁNH GIÁ LÀM VIỆC NHÓMB - NỘI DUNG1.GIỚI THIỆU VỀ TIỂU LUẬN1.1 An Toàn Thông Tin trong Thế Giới Kỹ Thuật Số: 51.2 Tầm Quan Trọng của Tính Toàn Vẹn và Minh Bạch:: 52.G
Trang 1BỘ CÔNG THƯƠNG
TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP TP HỒ CHÍ MINHKHOA CÔNG NGHỆ THÔNG TIN
MÔN: AN TOÀN THÔNG TIN
Đề tài: Nâng cao An Toàn Thông Tin và Tích Hợp Blockchain cho Hệ ThốngThông Tin Sinh Viên - Trường Đại học Công Nghiệp Thành phố Hồ Chí Minh
Giảng viên hướng dẫn :
Trang 2MC LC:
A - BẢNG TỰ ĐÁNH GIÁ LÀM VIỆC NHÓMB - NỘI DUNG
1.GIỚI THIỆU VỀ TIỂU LUẬN
1.1 An Toàn Thông Tin trong Thế Giới Kỹ Thuật Số: 51.2 Tầm Quan Trọng của Tính Toàn Vẹn và Minh Bạch:: 5
2.GIỚI THIỆU VỀ HỆ THỐNG THÔNG TIN SINH VIÊN TRƯỜNG ĐẠI HỌCCÔNG NGHIỆP THÀNH PHỐ HỒ CHÍ MINH:
2.1 Mô tả các chức năng của hệ thống thông tin sinh viên: 62.2 Mô tả các thông tin của hệ thống thông tin sinh viên: 62.3 Mô tả các quy trình thủ tục của hệ thống thông tin sinh viên: 7
3.CHỨC NĂNG HOẶC CÁC THÔNG TIN, DỮ LIỆU HOẶC QUY TRÌNH NGHIỆPV CỦA HỆ THỐNG MÀ CÓ THỂ GẶP CÁC NGUY CƠ VỀ AN TOÀN THÔNGTIN:
3.1 Các nguy cơ về an toàn thông tin mà “Chức năng của hệ thống” có thể gặp phải: 7
3.2 Các nguy cơ về an toàn thông tin mà “Thông tin của hệ thống” có thể gặp phải: 7
4.TÌNH HUỐNG MINH HỌA CÁC MỐI ĐE DỌA CÓ THỂ XẢY RA VÀ PHÂNTÍCH HẬU QUẢ NẾU XẢY RA CÁC RỦI RO
5.GIẢI PHÁP TĂNG CƯỜNG BẢO MẬT CHO HỆ THỐNG VỚI CÔNG NGHỆBLOCKCHAIN
5.1 Giới thiệu về Blockchain: 10
5.2 Nguyên lý tạo khối cho hệ thông sinh viên: 115.3 Ứng dụng Smart Contract cho hệ thống sinh viên: 115.4 Ứng Dụng Proof of Work: 12
6.ƯU ĐIỂM VÀ NHƯỢC ĐIỂM CỦA CÔNG NGHỆ BLOCKCHAIN
6.1 Ưu điểm: 136.2 Nhược điểm: 14
7.KẾT LUẬN
C - TÀI LIỆU THAM KHẢO
Trang 3
Trang 3A - BẢNG TỰ ĐÁNH GIÁ LÀM VIỆC NHÓM:
Đánh giá hoạt động nhóm:
- Đội trưởng rõ ràng và hiệu quả trong quản lý công việc và tập trung sức lực.- Các thành viên hợp tác tốt với nhau và chia sẻ ý kiến một cách tổng thể.- Các trao đổi được thực hiện một cách mở và trung thực.
- Hoạt động đạt được mục tiêu và kết quả mong muốn.- Các vấn đề được giải quyết một cách hiệu quả và nhanh chóng.
Trang 4
Trang 4B - NỘI DUNG:
1 GIỚI THIỆU VỀ TIỂU LUẬN
-Trong thời đại kỹ thuật số, an toàn thông tin đóng vai trò quan trọng trong việc bảo vệthông tin quan trọng và giữ cho các hệ thống hoạt động một cách an toàn Tính toàn vẹnvà minh bạch là hai yếu tố then chốt giúp đảm bảo rằng dữ liệu không chỉ được bảo vệkhỏi sự tấn công mà còn giữ cho mọi thay đổi diễn ra một cách minh bạch và minh chứngđược.
1.1 An Toàn Thông Tin trong Thế Giới Kỹ Thuật Số
-Trong bối cảnh mạng lưới kết nối liên tục và sự phổ biến của công nghệ, an toàn thôngtin không chỉ là vấn đề của các tổ chức lớn mà còn là mối quan tâm hàng ngày của mọingười Các cuộc tấn công mạng, vi rút, và lừa đảo trực tuyến trở thành những thách thứcngày càng lớn An toàn thông tin không chỉ đề cập đến việc bảo vệ dữ liệu mà còn đảmbảo tính xác thực, sẵn sàng và khả năng khôi phục nhanh chóng khi có sự cố.
1.2 Tầm Quan Trọng của Tính Toàn Vẹn và Minh Bạch
-Tính Toàn Vẹn: Tính toàn vẹn đảm bảo rằng dữ liệu không bị thay đổi một cách trái
phép hoặc không được phép Mọi thay đổi đều cần phải được ghi lại và kiểm tra để đảmbảo tính xác thực của thông tin.
- Minh Bạch: Sự minh bạch đối với dữ liệu và quy trình giúp tạo ra một môi trường
trong suốt, nơi mọi người có thể xem và kiểm tra các giao dịch một cách dễ dàng Điềunày không chỉ làm tăng tính minh bạch mà còn làm giảm nguy cơ lừa đảo.
- Xác Thực và Tin Cậy: Tính minh bạch tạo ra niềm tin trong cộng đồng và giữ cho mọi
giao dịch được thực hiện một cách minh bạch, đảm bảo rằng thông tin là đáng tin cậy vàxác thực.
- Nguy Cơ Tấn Công và Hậu Quả: Việc duy trì tính minh bạch và toàn vẹn giúp giảm
thiểu nguy cơ tấn công và tăng cường khả năng đối phó khi có sự cố xảy ra.
- Tính Tương Tác và Trải Nghiệm Người Dùng: Môi trường minh bạch làm tăng tính
tương tác và trải nghiệm tích cực cho người dùng, vì họ có thể dễ dàng theo dõi và kiểmsoát thông tin cá nhân của mình.
- Để giải quyết những thách thức này, cả cộng đồng quốc tế cũng như từng tổ chức và cánhân đều cần hợp tác chặt chẽ trong việc xây dựng và duy trì một môi trường an toànthông tin Điều này bao gồm việc đầu tư vào công nghệ bảo mật, đào tạo người dùng, và
tuân thủ các quy định về bảo mật thông tin
Too long to read onyour phone? Save to
read later on yourcomputer
Save to a Studylist
Trang 52 GIỚI THIỆU VỀ HỆ THỐNG THÔNG TIN SINH VIÊN TRƯỜNG ĐẠI HỌC CÔNGNGHIỆP THÀNH PHỐ HỒ CHÍ MINH
- Cổng thông tin sinh viên của Trường Đại học công nghiệp Thành phố Hồ Chí Minh làmột trang web trực tuyến cho phép sinh viên truy cập vào các thông tin và dịch vụ củatrường, như xem điểm, đăng ký học phần, thanh toán học phí, xem thông báo, v.v Cổngthông tin sinh viên cũng là kênh giao tiếp giữa sinh viên và các đơn vị quản lý củatrường, như các phòng ban, các khoa, các viện, v.v Cổng thông tin sinh viên giúp sinhviên tiết kiệm thời gian và chi phí, tăng cơ hội và sự lựa chọn, nâng cao sự hài lòng vàniềm tin khi học tập tại trường.
- Để sử dụng cổng thông tin sinh viên, sinh viên cần có mã sinh viên và mật khẩu để đăngnhập vào hệ thống Sinh viên có thể thay đổi mật khẩu sau khi đăng nhập lần đầu tiên.Sinh viên cũng cần cập nhật thông tin cá nhân và liên lạc của mình để hệ thống có thể gửicác thông báo quan trọng.
2.1 Mô tả các chức năng của hệ thống thông tin sinh viên
- Chức năng đăng nhập: là chức năng cho phép sinh viên xác thực danh tính bằng mã
sinh viên và mật khẩu để truy cập vào hệ thống.
- Chức năng xem điểm: là chức năng cho phép sinh viên xem điểm các môn học, điểm
trung bình chung, điểm rèn luyện, điểm xét tốt nghiệp.
- Chức năng đăng ký môn học: là chức năng cho phép sinh viên đăng ký các môn học
theo học kỳ và theo chương trình đào tạo.
- Chức năng thanh toán học phí: là chức năng cho phép sinh viên thanh toán học phí
qua các kênh trực tuyến hoặc trực tiếp.
2.2 Mô tả các thông tin của hệ thống thông tin sinh viên
-Thông tin cá nhân của sinh viên: họ tên, ngày sinh, giới tính, quê quán, số CMND, sốđiện thoại, email, v.v.
-Thông tin học tập của sinh viên: điểm số, thời khóa biểu, lịch thi, kết quả xét tốt nghiệp,v.v.
-Thông tin học phí của sinh viên: số tài khoản, số thẻ, mã OTP, số tiền nộp, số tiền cònnợ, v.v.
-Thông tin giáo dục quốc phòng, chứng chỉ tiếng Anh và các thông tin khác liên quan đếnquá trình học tập của sinh viên.
2.3 Mô tả các quy trình thủ tục của hệ thống thông tin sinh viên
Trang 6
Trang 6- Quy trình cập nhật thông tin sinh viên:
Bước 1: Sinh viên đăng nhập hệ thống thông tin sinh viên ( sv.iuh) bằng mã sinhviên và mật khẩu.
Bước 2: Sinh viên chọn mục “Công tác sinh viên” “Thông tin sinh viên”. Bước 3: Sinh viên kiểm tra toàn bộ dữ liệu thông tin của mình, như họ tên, ngày
sinh, giới tính, quê quán, số CMND, số điện thoại, email, v.v.
Bước 4: Sinh viên thực hiện thay đổi thông tin địa chỉ tạm trú tại TP Hồ Chí Minhvà số điện thoại cá nhân (nếu có) và nhấn nút “Cập nhật”.
Bước 5: Sinh viên xác nhận lại thông tin đã thay đổi và đăng xuất khỏi hệ thống.
Bước 2: Sinh viên chọn mục học phí
Bước 3: Sinh viên chọn mục thanh toán trực tuyến và chọn ngân hàng muốnthanh toán.
3 CÁC CHỨC NĂNG HOẶC CÁC THÔNG TIN, DỮ LIỆU HOẶC QUY TRÌNHNGHIỆP V CỦA HỆ THỐNG MÀ CÓ THỂ GẶP CÁC NGUY CƠ VỀ AN TOÀNTHÔNG TIN
3.1 Các nguy cơ về an toàn thông tin mà “Chức năng của hệ thống” có thể gặpphải:
- Chức năng đăng nhập: Chức năng này có nguy cơ bị hacker phá mật khẩu hoặc giả
mạo thông tin để đăng nhập trái phép và lấy cắp thông tin của sinh viên.
- Chức năng xem điểm: Chức năng này có nguy cơ bị eavesdropping, là đối tượng nghe
trộm thông tin trên mạng để lấy cắp thông tin điểm của sinh viên.
Trang 7
Trang 7- Chức năng đăng ký môn học: Chức năng này có nguy cơ bị hacker tấn công từ chối
dịch vụ, làm cho hệ thống bị quá tải và không thể phục vụ cho sinh viên.
- Chức năng thanh toán học phí: Chức năng này có nguy cơ bị hacker trộm cắp và gian
lận thông tin thanh toán, như số tài khoản, số thẻ, mã OTP, v.v
3.2 Các nguy cơ về an toàn thông tin mà “Thông tin của hệ thống” có thể gặpphải:
- Thông tin cá nhân của sinh viên: Thông tin này có thể bị lấy cắp, lộ lên mạng, hoặc bị
sử dụng cho các mục đích xấu, như lừa đảo, đe dọa, quấy rối, v.v.
- Thông tin học tập của sinh viên: Thông tin này có thể bị thay đổi, gian lận, hoặc bị tiết
lộ cho những người không có quyền, ảnh hưởng đến quyền lợi và uy tín của sinh viên.
- Thông tin học phí của sinh viên: Thông tin này có thể bị trộm cắp, gian lận, hoặc bị
lạm dụng, gây thiệt hại về tài chính cho sinh viên.
- Thông tin giáo dục quốc phòng, chứng chỉ tiếng Anh và các thông tin khác liênquan đến quá trình học tập của sinh viên: Thông tin này có thể bị mất, hỏng, hoặc bị
sử dụng sai mục đích, gây khó khăn cho sinh viên khi cần chứng minh năng lực hoặc xinviệc.
4 TÌNH HUỐNG MINH HỌA CÁC MỐI ĐE DỌA CÓ THỂ XẢY RA VÀ PHÂN TÍCHHẬU QUẢ NẾU XẢY RA CÁC RỦI RO
Tình huống 1: Một giảng viên dùng máy tính công cộng để đăng nhập vào hệ thống
thông tin sinh viên ( sv.iuh) để sắp xếp lịch học và quên đăng xuất (Hành động vô ý)
- Phân tích hậu quả nếu xảy ra các rủi ro:
1 Bảo mật Thông Tin Sinh Viên:
Rủi ro: Nếu người sử dụng sau đó có thể truy cập thông tin cá nhân của
sinh viên mà giảng viên đã xem trước đó.
Hậu quả: Việc tiếp cận thông tin cá nhân của sinh viên có thể vi phạm quy
định về bảo mật thông tin và gây lo ngại về quyền riêng tư.
2 Rủi ro Về An Ninh Hệ Thống:
Rủi ro: Nếu máy tính công cộng không được đảm bảo an ninh, thông tin
đăng nhập của giảng viên có thể bị đánh cắp.
Trang 8
Trang 8 Hậu quả: Tài khoản giảng viên có thể bị lợi dụng để truy cập thông tin
nhạy cảm khác, gây thiệt hại lớn cho hệ thống và ảnh hưởng đến uy tín củatrường.
Tình huống 2: Một sinh viên CNTT của trường khác thực hiện tấn công vào trang web
Cổng thông tin sinh viên Trường ĐH Công nghiệp để thu thập thông tin cá nhân của cácsinh viên để bán và thu lợi cá nhân (Hành động cố ý)
- Phân tích hậu quả nếu xảy ra các rủi ro:
1 Thất Thoát An Ninh Dữ Liệu:
Rủi ro: Dữ liệu quan trọng, chẳng hạn như điểm số, thông tin học phí, và
lịch trình học, có thể bị mất mát hoặc sửa đổi.
Hậu quả: Mất mát dữ liệu có thể gây ra những vấn đề nghiêm trọng trong
quản lý học vụ, ảnh hưởng đến độ tin cậy của trường và uy tín của sinhviên.
2 Rủi ro về Quản lý Tài Khoản và Mật Khẩu:
Rủi ro: Nếu người tấn công có thể truy cập vào hệ thống quản lý tài khoản
và mật khẩu, họ có thể thay đổi thông tin và kiểm soát tài khoản của sinhviên.
Hậu quả: Việc kiểm soát tài khoản có thể dẫn đến việc đánh cắp thông tin
cá nhân hoặc thực hiện các hành động gian lận sử dụng tên của sinh viên.
3 Liên Quan Đến Pháp Lý:
Rủi ro: Nếu thông tin cá nhân bị đánh cắp, trường có thể phải đối mặt với
các hành động pháp lý từ phía sinh viên và có thể bị xử lý vì việc bảo mậtkhông đảm bảo.
Hậu quả: Trường có thể phải đối mặt với các yêu cầu đòi bồi thường, phạt,
và mất uy tín do không bảo vệ đúng mức thông tin cá nhân của sinh viên.
Tình huống 3: Trang web không đánh chặn đầu vào đúng cách, cho phép tấn công SQL
Injection Điều này có nghĩa là kẻ tấn công có thể nhập các lệnh SQL độc hại vào cáctrường nhập liệu để thực hiện các hành động không được ủy quyền, như truy xuất hoặcsửa đổi cơ sở dữ liệu (Lỗi kỹ thuật)
- Phân tích hậu quả nếu xảy ra các rủi ro:
1 Đánh Cắp Thông Tin Cá Nhân:
Trang 9
Trang 9 Hậu quả: Kẻ tấn công có thể sử dụng SQL Injection để truy xuất thông tin
cá nhân của sinh viên từ cơ sở dữ liệu, bao gồm tên, địa chỉ, số điện thoại,và thông tin khác.
Hậu quả mở rộng: Thông tin cá nhân có thể được sử dụng cho mục đích
lừa đảo, gian lận, hoặc bán trên thị trường đen.
2 Thay Đổi hoặc Xóa Dữ Liệu Học Vụ:
Hậu quả: Kẻ tấn công có thể sửa đổi hoặc xóa dữ liệu liên quan đến học vụ
của sinh viên, chẳng hạn như điểm số, lịch học, hay thông tin đăng ký mônhọc.
Hậu quả mở rộng: Điều này có thể gây khó khăn lớn trong quản lý học vụ
và đánh giá cá nhân của sinh viên.
3 Tấn Công Mặt Pháp Lý:
Hậu quả: Nếu thông tin cá nhân bị đánh cắp, trường có thể phải đối mặt
với các hành động pháp lý từ phía sinh viên và có thể bị xử lý vì việc bảomật không đảm bảo.
Hậu quả mở rộng: Các yêu cầu đòi bồi thường, phạt, và chi phí pháp lý có
thể gây thiệt hại tài chính lớn cho trường.
5 GIẢI PHÁP TĂNG CƯỜNG BẢO MẬT CHO HỆ THỐNG VỚI CÔNG NGHỆBLOCKCHAIN:
5.1 Giới thiệu về Blockchain
Blockchain hay còn gọi là chuỗi khối Blockchain là một cơ sở dữ liệu phân cấp, cónhiệm vụ lưu trữ thông tin trong các khối thông tin được liên kết với nhau bằng mã hóavà mở rộng theo thời gian.
Blockchain với sự kết hợp giữa 3 loại công nghệ:
Mật mã học: Công nghệ Blockchain sử dụng public key và hàm hash funtion để
đảm bảo tính riêng tư và minh bạch.
Lý thuyết trò chơi: Tất cả các nút tham gia đều phải tuân thủ luật chơi đồng
thuận (giao thức PoW, PoS, ).
Mạng lưới ngang hàng: Mỗi một nút được xem như một mô hình client server đểlưu trữ bản sao chép.
Trang 10
Trang 10Công nghệ Blockchain cho phép một nhóm gồm những người tham gia được chọn chiasẻ dữ liệu Dữ liệu được chia thành cách block được liên kết với nhau bằng các số nhậndạng duy nhất (unique identifier) ở dạng hàm hash (mật mã học (cryptographic hash).
Cách thực hoạt động: Cơ sở dữ liệu chính là Blockchain và mỗi nút trên Blockchain đều
sở hữu quyền truy cập vào tất cả Blockchain Không một nút hoặc bất kỳ máy tính nào cóquyền điều chỉnh thông tin chứa trong cơ sở dữ liệu Mọi nút đều có thể xác thực các bảnghi của Blockchain Toàn bộ những điều này được thực hiện mà không có bên thứ bakiểm soát mọi thứ.
Trong hệ thống blockchain, gian lận và giả mạo dữ liệu khó có thể xẩy ra vì dữ liệukhông thể bị thay đổi nếu không có sự cho phép của Quorum Một số sổ cái blockchaincó thể được chia sẻ, nhưng không được thay đổi Nếu ai đó cố gắng thay đổi dữ liệu, tấtcả những người tham gia sẽ được cảnh báo và sẽ biết ai là người thực hiện hành vi đó.
5.2 Nguyên lý tạo khối cho hệ thông sinh viên
- Sử dụng hàm hash dể băm các dử liệu trước khi lưu trử và previous hash dể liên kết giátrị băm tạo nên tính bất biến cho hệ thống sinh viên
- Bảo Mật Dữ Liệu: Mọi thông tin quan trọng như thông tin cá nhân của sinh viên, điểmsố, lịch học, và các dữ liệu khác có thể được hash trước khi lưu trữ
- Liên Kết Các Khối: Mỗi khối trong chuỗi có thể chứa giá trị hash của khối trước đó(previous hash) Điều này tạo ra một liên kết an ninh giữa các khối, làm cho việc thay đổidữ liệu trong một khối trở nên rất khó khăn vì nó sẽ yêu cầu thay đổi tất cả các khối kếtiếp và thực hiện lại Proof of Work.
- Ứng Dụng Cụ Thể trong Quản Lý Sinh Viên:
Thông Tin Sinh Viên: Dữ liệu về sinh viên bao gồm tên, MSSV, địa chỉ, và các
thông tin cá nhân khác có thể được hash và lưu trữ trên blockchain.
Dữ Liệu Học Tập: Điểm số, lịch học, và thông tin về học phần có thể được hash
và liên kết với previous hash của các khối trước đó, tạo ra một chuỗi dữ liệu khôngthể thay đổi một cách dễ dàng.
5.3 Ứng dụng Smart Contract cho hệ thống sinh viên
- Smart Contract (Hợp đồng thông minh) là các chương trình chạy trên blockchain, tự
động thực hiện, kiểm soát và ghi lại những sự kiện, hành động có liên quan đến nhau vềmặt pháp lý dựa theo những điều khoản của hợp đồng hoặc thỏa thuận.
* Sau đây là ứng dụng Smart Contract vào Hệ thông sinh viên:
- Đăng kí học phần:
Trang 11
Trang 11 Hiện Tại: Sinh viên đăng ký học phần thông qua giao diện trực tuyến hoặc tạiphòng đăng ký.
Ứng Dụng Smart Contract: Smart contract tự động xác minh tính hợp lệ của mỗiđăng ký dựa trên quy tắc và điều kiện được xác định trước Nếu hợp lệ, hợp đồngđược thực hiện và thông báo được gửi đến sinh viên.
- Quản lý quyền truy cập
Hiện Tại: Quản trị viên thường phải thực hiện việc quản lý quyền truy cập mộtcách thủ công.
Ứng Dụng Smart Contract: Smart contract có thể tự động kiểm soát quyền truycập dựa trên các điều kiện như đăng ký học phần, nghỉ học, và hoàn thành khóahọc.
5.4 Ứng Dụng Proof of Work
- Proof of Work hay bằng chứng công việc là thuật toán đồng thuận thường thấy ở cácblockchain, được sử dụng trong việc xác nhận các dữ liệu muốn đưa vào và tạo ra cáckhối mới trên blockchain (chuỗi khối) đó.
Trang 12