Tài liệu

Tài liệu này trình bày cách chuyển kết quả mô hình đe dọa (Threat Modeling) thành thiết kế an toàn (Secure Design) có thể kiểm chứng trong kiến trúc phần mềm. Nội dung tập trung vào việc xác định phạm vi, ranh giới tin cậy (trust boundary), giả định thiết kế, yêu cầu bảo mật đo lường được, điểm thực thi chính sách (Policy Enforcement Point, PEP), điểm ra quyết định chính sách (Policy Decision Point, PDP), kiểm soát dữ liệu, quyền riêng tư, rủi ro còn lại và bằng chứng phục vụ rà soát thiết kế bảo mật (Security Design Review, SDR). Tài liệu cũng sử dụng các case study như DOMJudge và hệ thống bán hàng trực tuyến để minh họa cách lập danh mục giao diện, phân tích STRIDE, xây dựng checklist kiểm soát và chuẩn bị hồ sơ qua cổng SDR.

Tài liệu này giới thiệu vai trò của mật mã học (cryptography) trong thiết kế an toàn (secure by design), tập trung vào cách bảo vệ dữ liệu khi truyền (data in transit) và dữ liệu khi lưu trữ (data at rest). Nội dung trình bày các công cụ mật mã cốt lõi như bộ sinh số ngẫu nhiên an toàn (CSPRNG), hàm băm (hash), mã xác thực thông điệp (MAC/HMAC), mã hóa đối xứng (symmetric encryption), mã hóa bất đối xứng (asymmetric encryption), chữ ký số (digital signature), chứng thư số (digital certificate), hạ tầng khóa công khai (PKI), trao đổi khóa (key exchange) và vòng đời quản lý khóa (key management lifecycle). Tài liệu phù hợp cho sinh viên và nhóm phát triển phần mềm cần hiểu cách sử dụng mật mã đúng trong Secure SDLC, tránh tự chế thuật toán và tránh các lỗi triển khai phổ biến như dùng sai mode, tái sử dụng nonce, hard code khóa hoặc kiểm tra chữ ký không đầy đủ.

Tài liệu này trình bày cách chuyển kết quả mô hình đe dọa (threat modeling) thành biện pháp giảm thiểu (mitigation) và mẫu thiết kế bảo mật (security design patterns) có thể triển khai trong Secure SDLC. Nội dung tập trung vào các chiến lược giảm bề mặt tấn công, thu hẹp cửa sổ phơi bày, giảm lộ dữ liệu, kiểm soát truy cập, bảo vệ giao diện, truyền thông và dữ liệu lưu trữ. Tài liệu cũng giới thiệu các patterns quan trọng như Least Privilege, Least Information, Complete Mediation, Defense in Depth, Fail Securely, Allowlists over Blocklists, cùng các anti patterns cần tránh như Confused Deputy, Backflow of Trust, Third Party Hooks và Unpatchable Components.

Tài liệu này giới thiệu nền tảng về chu trình phát triển phần mềm (Software Development Life Cycle) và cách tích hợp bảo mật vào toàn bộ vòng đời phát triển thông qua Secure SDLC. Nội dung trình bày các khái niệm cốt lõi như CIA, AAA, trust boundary, Security by Design, work products, traceability, milestones, quality gates, cùng các cổng kiểm soát quan trọng gồm SDR, Bug Bar và FSR. Tài liệu phù hợp cho sinh viên, giảng viên và nhóm phát triển phần mềm muốn hiểu cách đưa bảo mật vào yêu cầu, thiết kế, lập trình, kiểm thử, triển khai và vận hành hệ thống.

Tài liệu giới thiệu mô hình hóa mối đe dọa (Threat Modeling) trong giai đoạn thiết kế hệ thống, tập trung vào bốn câu hỏi cốt lõi: đang xây dựng gì, điều gì có thể sai, cần xử lý thế nào và đã làm tốt chưa. Nội dung hướng dẫn người học nhận diện tài sản (Asset), bề mặt tấn công (Attack Surface), ranh giới tin cậy (Trust Boundary), điểm vào hệ thống (Entry Point), sơ đồ luồng dữ liệu (Data Flow Diagram) và các luồng dữ liệu cần kiểm soát. Tài liệu cũng trình bày cách sử dụng STRIDE để phân loại mối đe dọa, đánh giá rủi ro theo Likelihood × Impact, lựa chọn biện pháp giảm thiểu và chuẩn bị bằng chứng cho các cổng kiểm soát như SDR, Bug Bar và FSR. Đây là tài liệu nền tảng giúp sinh viên hiểu cách đưa tư duy bảo mật vào sớm trong Secure SDLC, trước khi bước sang xây dựng và kiểm thử phần mềm.

Tài liệu Các phương pháp tính toán: Từ toán học cổ điển đến trí tuệ nhân tạo cung cấp một cách nhìn hệ thống về các nhóm phương pháp nền tảng trong toán học ứng dụng, khoa học máy tính, kỹ thuật và AI. Thay vì chỉ liệt kê thuật toán, tài liệu phân tích logic toán học, điều kiện áp dụng, giới hạn tính toán và các đánh đổi kỹ thuật phía sau từng phương pháp. Nội dung bắt đầu từ phương pháp tất định (Deterministic), nơi cùng một đầu vào luôn tạo ra cùng một đầu ra, sau đó mở rộng sang phương pháp ngẫu nhiên (Stochastic) để xử lý bài toán lớn, nhiều chiều hoặc khó mô hình hóa đầy đủ. Tiếp theo, tài liệu giải thích phương pháp xấp xỉ (Approximation), nội suy và ngoại suy (Interpolation and Extrapolation), tối ưu hóa (Optimization), học máy (Machine Learning) và heuristic như các cơ chế hỗ trợ việc tìm nghiệm trong điều kiện thực tế. Phần cuối của tài liệu đặt AI hiện đại trong mối liên hệ với các nền tảng toán học cổ điển. AI được nhìn nhận như sự kết hợp của approximation, optimization, stochastic learning, inductive bias và khả năng khai thác cấu trúc dữ liệu thực tế. Từ đó, tài liệu giúp người đọc hiểu rằng AI không thay thế các phương pháp tính toán truyền thống, mà mở rộng chúng trong bối cảnh dữ liệu lớn, mô hình nhiều tham số và yêu cầu suy luận phức tạp.