Chương 1: Tập trung tìm hiểu một số khái niệm về án toàn thông tin, đánh giá thực trạng và nhu cầu về an toàn thông tin trong các cơ quan nhà nước. - Chương 2: Trình bày tổng hợp, phân tích một số cơ sở mật mã cần thiết để áp dụng trong việc bảo mật thông tin trên môi trường mạng. - Chương 3: Tập trung phân tích thiết kế giải pháp xác thực và bảo mật thông tin trong trao đổi tài liệu trên môi trường mạng. Trang 8 TIEU LUAN MOI download : skknchat@gmail.com Chƣơng-1.
TỔNG QUAN VỀ AN TOÀN THÔNG TIN Để có hướng nghiên cứu và giải pháp phù hợp, chương này tập trung tìm hiểu một số khái niệm về an toàn thông tin, đánh giá thực trạng và nhu cầu về an toàn thông tin trong các cơ quan nhà nước. Một số khái niệm cơ bản 1. Khái niệm về an toàn thông tin Thông tin được lưu trữ bởi các sản phẩm và hệ thống CNTT là một tài nguyên quan trọng cho sự thành công của tổ chức đó, là tài sản của một cá nhân hay tổ chức. Các thông tin cá nhân lưu trữ trong hệ thống thông tin cần được giữ bí mật, bảo vệ và không bị thay đổi khi không được phép.
Trong khi các sản phẩm và hệ thống CNTT thực hiện các chức năng của chúng, các thông tin cần được kiểm soát để đảm bảo chúng được bảo vệ chống lại các nguy cơ, ví dụ như việc phổ biến và thay đổi thông tin không mong muốn và trái phép, nguy cơ mất mát thông tin. An toàn thông tin là an toàn kỹ thuật cho các hoạt động của các cơ sở hạ tầng thông tin, trong đó bao gồm an toàn phần cứng và phần mềm theo các tiêu chuẩn kỹ thuật do nhà nước ban hành; duy trì các tính chất bí mật, toàn vẹn, chính xác, sẵn sàng phục vụ của thông tin trong lưu trữ, xử lý và truyền tải trên mạng (theo định nghĩa trong Nghị định 64-2007/NĐ-CP) [4]. Thuật ngữ an toàn CNTT thường sử dụng để chỉ việc ngăn chặn và làm giảm nhẹ các mối nguy hại tương tự đối với các sản phẩm và hệ thống CNTT. Khái niệm về đảm bảo an toàn thông tin Mục tiêu hướng tới của người dùng là bảo vệ các tài sản nói trên.
Tuy nhiên, các sản phẩm và hệ thống thường luôn tồn tại những điểm yếu dẫn đến những rủi ro có thể xảy ra, làm tổn hại đến giá trị tài sản thông tin. Các đối tượng tấn công (tin tặc) có chủ tâm đánh cắp, lợi dụng hoặc phá hoại tài sản Trang 9 TIEU LUAN MOI download : skknchat@gmail.com của các chủ sở hữu, tìm cách khai thác các điểm yếu để tấn công, tạo ra các nguy cơ và các rủi ro cho các hệ thống. Với các biện pháp an toàn thông tin người dùng có được công cụ trong tay để nhận thức được các điểm yếu, giảm thiểu các điểm yếu, ngăn chặn các nguy cơ tấn công, làm giảm các yếu tố rủi ro. Như vậy, các biện pháp và kỹ thuật đảm bảo an toàn thông tin chính là mang lại sự tin cậy cho các sản phẩm và hệ thống.
Đảm bảo an toàn thông tin là đảm bảo an toàn kỹ thuật cho hoạt động của các cơ sở hạ tầng thông tin, trong đó bao gồm đảm bảo an toàn cho cả phần cứng và phần mềm hoạt động theo các tiêu chuẩn kỹ thuật do nhà nước ban hành; ngăn ngừa khả năng lợi dụng mạng và các cơ sở hạ tầng thông tin để thực hiện các hành vi trái phép gây hại cho cộng đồng, phạm pháp hay khủng bố; đảm bảo các tính chất bí mật, toàn vẹn, chính xác, sẵn sàng phục vụ của thông tin trong lưu trữ, xử lý và truyền tải trên mạng. Như vậy khái niệm đảm bảo an toàn thông tin bao hàm đảm bảo an toàn cho cả phần cứng và phần mềm. An toàn phần cứng là bảo đảm hoạt động cho cơ sở hạ tầng thông tin. An toàn phần mềm gồm các hoạt động quản lý, kỹ thuật nhằm bảo vệ hệ thống thông tin, đảm bảo cho các hệ thống thực hiện đúng chức năng, phục vụ đúng đối tượng một cách sẵn sàng, chính xác, tin cậy.
An toàn công nghệ thông tin là đảm bảo an toàn kỹ thuật cho các sản phẩm, dịch vụ và hệ thống công nghệ thông tin. Khái niệm về đánh giá an toàn thông tin Một nhu cầu thực tế đặt ra là làm thế nào để biết các sản phẩm và hệ thống có tin cậy hay không, có áp dụng các biện pháp và kỹ thuật an toàn phù hợp hay không, mức độ an toàn như thế nào? Đánh giá an toàn thông tin chính là để đáp ứng nhu cầu đó, nhằm cung cấp bằng chứng về việc đảm bảo an toàn cho các sản phẩm và hệ thống. Trang 10 TIEU LUAN MOI download : skknchat@gmail.com Mặt khác, nhiều người tiêu dùng CNTT không có đủ kiến thức, chuyên môn và tài nguyên cần thiết để phán xét về sự an toàn của các sản phẩm và hệ thống CNTT có phù hợp hay không, và cũng không thể chỉ dựa vào cam kết của các nhà phát triển. Bởi vậy, người tiêu dùng có thể nâng cao tin cậy trong các biện pháp an toàn của một sản phẩm hoặc hệ thống CNTT bằng cách đặt hàng phân tích về an toàn cho chúng, nghĩa là đánh giá an toàn.
Thực trạng về an toàn thông tin trong các cơ quan nhà nước Theo Báo cáo Ứng dụng Công nghệ thông tin năm 2010 của Bộ Thông tin và Truyền thông, hoạt động ứng dụng CNTT trong các cơ quan nhà nước đã đạt được một số kết quả sau: Hạ tầng kỹ thuật CNTT bao gồm mạng truyền dẫn, mạng máy tính nội bộ, trang thiết bị tin học trong các cơ quan nhà nước đã được hoàn thiện đáng kể đáp ứng việc triển khai ứng dụng CNTT cơ bản trong các cơ quan nhà nước trước mắt và tạo cơ sở nâng cấp, mở rộng trong tương lai. Một số ứng dụng cơ bản như: Cổng Thông tin điện tử, trang thông tin điện tử, hệ thống thư điện tử, phần mềm phục vụ công tác trao đổi văn bản, quản lý điều hành. đã được triển khai từ Chính phủ, cấp bộ ngành và các tỉnh trong cả nước. Và tiếp tục được đầu tư triển khai nhiều ứng dụng mới, theo số liệu thống kê của Cục Ứng dụng CNTT đến tháng 5/2012, các bộ, cơ quan ngang bộ và UBND các tỉnh, TP trực thuộc Trung ương đã cung cấp gần 100.000 dịch vụ công trực tuyến (có hơn 800 dịch vụ mức độ 3 và 8 dịch vụ mức độ 4).
Những ứng dụng nội bộ phục vụ chỉ đạo, điều hành đã và đang được khai thác, mở rộng nhằm nâng cao hiệu quả hoạt động, phục vụ người dân và doanh nghiệp tốt hơn. Bên cạnh việc đầu tư cho ứng dụng CNTT thì vấn đề an toàn và bảo mật thông tin còn chưa thực sự được chú trong đầu tư. Theo phát biểu của Thứ trưởng Bộ Thông tin và Truyền thông Nguyễn Minh Hồng tại Hội thảo về Trang 11 TIEU LUAN MOI download : skknchat@gmail.com công tác an toàn thông tin trong chính phủ điện tử ngày 25/5/2012 tại Hà Nội đã nhận định: “Vấn đề an toàn thông tin (ATTT) hiện nay đang đặt ra nhiều thách thức, số liệu thống kê 2011 cho thấy, chỉ có khoảng 35% cơ quan, tổ chức đã xây dựng và áp dụng chính sách ATTT. Các Cổng/Trang thông tin điện tử của các cơ quan Nhà nước còn tồn tại nhiều lỗ hổng, chưa áp dụng những giải pháp đảm bảo ATTT phù hợp.
Những vụ việc mất ATTT, vấn nạn thư rác, tấn công xâm nhập gia tăng ở mức báo động về số lượng, đa dạng về hình thức và ngày càng tinh vi hơn”. Theo thống kê của Bkav, tính từ đầu năm 2012 đến nay, mỗi ngày có tới 6 website tại Việt Nam bị tấn công, tương ứng với hơn 2.000 website bị hack mỗi năm. Đã có 175 website của các cơ quan, doanh nghiệp tại Việt Nam bị hacker xâm nhập, trong đó có 24 trường hợp gây ra bởi hacker trong nước, 151 trường hợp do hacker nước ngoài. Hầu hết nguyên nhân của các vụ hack này là do website tồn tại nhiều lỗ hổng.
Nhu cầu về an toàn thông tin trong ứng dụng tại các cơ quan nhà nước Những thông tin trên cho thấy việc lựa chọn giải pháp và đầu tư cho an toàn thông tin là vấn đề cần được các cơ quan nhà nước chú trọng đầu tư, bên cạnh đó là việc hoàn thiện hành lang chính sách và pháp lý trong lĩnh vực này để việc ứng dụng CNTT thực sự có hiệu quả. Tại Thái Bình, đến nay đã triển khai xây dựng Công thông tin điện tử, hệ thống thư điện tử và hệ thống mạng văn phòng điện tử liên thông triển khai cho các sở, ngành và UBND các huyện, thành phố vào năm 2012 và đến cấp xã phường vào năm 2013. Bên cạnh việc phát triển ứng dụng Công nghệ thông tin, thì giải pháp an toàn thông tin là nhu cầu được các cơ quan đơn vị sử dụng quan tâm. Trang 12 TIEU LUAN MOI download : skknchat@gmail.
Một số kỹ thuật mật mã Kỹ thuật mật mã [1], [9] đóng vai trò thiết yếu trong việc giải quyết vấn đề an toàn thông tin.1 liệt kê một số kỹ thuật và công nghệ để giải quyết yêu cầu xác thực, toàn vẹn, bí mật, chống chối bỏ trong an toàn và bảo mật thông tin. Một số kỹ thuật và công nghệ giải quyết yêu cầu an toàn và bảo mật Yêu cầu Công nghệ - Kỹ thuật Bí mật Mã hóa và giải mã dựa vào khóa Sử dụng tên và mật khẩu của người dùng, đặc điểm sinh Xác thực trắc học, ký số và kiểm tra chữ ký số dựa vào khóa Tin cậy Ký số và kiểm tra chữ ký số dựa vào khóa Chống chối bỏ Ký số và kiểm tra chữ ký số dựa vào khóa Toàn vẹn Tóm lược thông báo Áp dụng chính sách kiểm soát truy nhập và quản lý Trao quyền quyền hạn Kiểm toán Lưu nhật ký và sử dụng công cụ kiểm toán 1. Các hệ mật mã Hệ mật chính là hệ thống cung cấp các kỹ thuật mã hóa và giải mã dữ liệu, được phân loại thành hệ mật khóa công khai và hệ mật khóa đối xứng. Hệ mật khóa đối xứng sử dụng cùng một khóa khi mã hóa và giải mã, được minh hoạ trong Hình 1.
Độ an toàn của hệ mật này phụ thuộc chính vào sự bí mật của khóa. Hệ mật khóa đối xứng đảm bảo tính bí mật và xác thực Trang 13 TIEU LUAN MOI download : skknchat@gmail.