MỞ ĐẦU An toàn hệ thống thông tin đang là một vấn đề rất quan trọng nhằm đảm bảo tính an toàn, tính bí mật, tính tin cậy và tính sẵn sàng của hệ thống. Hiện nay, các phƣơng pháp tấn công vào hệ thống thông tin ngày càng tinh vi, sự đe dọa tới an toàn hệ thống thông tin có thể tới từ nhiều nơi và nhiều nguồn khác nhau, vì thế việc đảm bảo an toàn hệ thống thông tin là rất cần thiết. Mã nguồn mở đang là xu hƣớng phát triển của khoa học công nghệ, những năm gần đây số lƣợng ngƣời dùng các phần mềm nguồn mở trên thế giới nói chung và ở Việt Nam nói riêng tăng lên đáng kể. Ngoài những lợi ích to lớn mà phần mềm nguồn mở mang lại thì bên cạnh đó các phần mềm nguồn mở cũng chứa đựng những yếu tố rủi ro cao, đặc biệt là trong vấn đề đảm bảo an toàn cho các ứng dụng cũng nhƣ các hệ thống triển khai phần mềm nguồn mở.
Việc toàn bộ mã nguồn của các phần mềm nguồn mở đƣợc phổ biến rộng rãi cho tất cả mọi ngƣời là một trong những yếu tố làm cho khả năng bị tấn công của các phần mềm nguồn mở tăng lên rất nhiều. Chính vì vậy, để đảm bảo an toàn cho các ứng dụng sử dụng mã nguồn mở thì một vấn đề đƣợc đặt ra đó là phải xây dựng đƣợc các giải pháp phòng chống tấn công, đột nhập vào hệ thống để đảm bảo an toàn. Việc triển khai phần mềm nguồn mở tại nhiều nƣớc trên thế giới đã và đang đem lại những hiệu quả tích cực và khuynh hƣớng chung cho thấy các chính phủ sẽ dần đƣa phần mềm nguồn mở vào chính sách đầu tƣ và phát triển của mình. Từ sự thành công của phần mềm nguồn mở ở nhiều nƣớc trên thế giới, nƣớc ta cũng đang từng bƣớc hội nhập, và ngày càng nhận thức đƣợc tầm quan trọng của phần mềm nguồn mở trong việc thúc đẩy phát triển công nghiệp công nghệ thông tin nói chung và công nghiệp phần mềm nói riêng.
Có thể nói đảm bảo an toàn thông tin đang là một vấn đề cấp thiết và việc đảm bảo an toàn thông tin cho các hệ thống nguồn mở lại càng cấp thiết hơn. Chính vì vậy tác giả đã lựa chọn đề tài : “Nghiên cứu xây dựng giải pháp phòng chống tấn công, đột nhập vào hệ thống để đảm bảo an toàn thông tin trên hệ điều hành mã nguồn mở”. Đề tài sẽ tập trung vào việc nghiên cứu nhằm xây dựng đƣợc các giải pháp hiệu quả trong việc phòng chống tấn công đột nhập vào hệ thống để đảm bảo an toàn trên hệ điều hành nguồn mở. Đây là một đề tài có tính khoa học và thực tiễn cao bởi những năm gần đây việc sử dụng các phần mềm nguồn mở ở nƣớc ta đã trở nên phổ biến và ngày càng tăng nhanh.
Các bộ, ban, ngành của chính phủ đã và đang từng bƣớc triển khai phần mềm nguồn mở, nhiều trƣờng đại học trên cả nƣớc đầu tƣ giảng dạy, nghiên cứu nhằm phát triển và ứng dụng phần mềm nguồn mở cho học viên, sinh viên…Đặc biệt là sau khi thủ tƣớng chính phủ ký quyết định phê duyệt dự án tổng thể về ứng dụng và phát triển phần mềm nguồn mở ở Việt Nam giai đoạn 2004-2008, tiếp đó Bộ thông tin truyền thông ra chỉ thị số 07/2008/CT-BTTTT đẩy mạnh sử dụng phần mềm mã nguồn mở trong các hoạt động của cơ quan, tổ chức nhà nƣớc, Bộ Giáo dục và Đào Học viên: Đặng Văn Nam Chuyên ngành: Hệ thống thông tin TIEU LUAN MOI download : skknchat@gmail.com -8- tạo cũng ra thông tƣ số 08/2010/TT-BGDĐT năm 2010 quy định về việc sử dụng phần mềm tự do mã nguồn mở trong các cơ sở giáo dục …đây là những cơ sở pháp lý quan trọng trong việc thúc đẩy ứng dụng và phát triển phần mềm nguồn mở ở Việt Nam. Mục tiêu chính của luận văn này nhằm nghiên cứu và tìm hiểu một số vấn đề trong việc đảm bảo an toàn thông tin trên hệ điều hành nguồn mở, cụ thể nhƣ sau: Tổng quan về an toàn thông tin, phần mềm nguồn mở nói chung và hệ điều hành nguồn mở nói riêng. Tình hình ứng dụng phần mềm nguồn mở trên thế giới và tại Việt Nam. Tầm quan trọng của việc đảm bảo an toàn thông tin trên hệ điều hành nguồn mở.
Phân tích các nguy cơ gây mất an toàn thông tin trên hệ điều hành nguồn mở. Trình bày một số giải pháp phòng chống tấn công, đột nhập vào hệ điều hành nguồn mở nhƣ: giải pháp an toàn nhân Kernel, giải pháp đảm bảo an toàn file, giải pháp đảm bảo an toàn ngƣời dùng, giải pháp đảm bảo an toàn các giao dịch qua mạng. Tiến hành triển khai một số giải pháp đảm bảo an toàn thông tin cho hệ điều hành nguồn mở. Nghiên cứu phát triển mã nguồn mở nói chung và phát triển mã nguồn chƣơng trình OpenSSH theo hƣớng tăng cƣờng khả năng an toàn, bảo mật.
Luận văn đƣợc bố cục thành 3 chƣơng: Chƣơng I: Tổng quan về an toàn thông tin, phần mềm nguồn mở và hệ điều hành nguồn mở. Chƣơng II: Một số giải pháp đảm bảo an toàn thông tin trên hệ điều hành nguồn mở. Chƣơng III: Triển khai giải pháp đảm bảo an toàn thông tin trên hệ điều hành nguồn mở. Kết luận, hƣớng phát triển của đề tài.
Học viên: Đặng Văn Nam Chuyên ngành: Hệ thống thông tin TIEU LUAN MOI download : skknchat@gmail.com -9- CHƢƠNG I: TỔNG QUAN VỀ AN TOÀN THÔNG TIN, PHẦN MỀM NGUỒN MỞ VÀ HỆ ĐIỀU HÀNH NGUỒN MỞ 1.1 Tổng quan về an toàn thông tin Với sự phát triển mạnh mẽ của khoa học công nghệ, đặc biệt trong thế kỷ 21 này, máy tính là công cụ không thể thiếu của các tổ chức, doanh nghiệp và cá nhân. Nó phục vụ mọi nhu cầu từ công việc, mua sắm tới giải trí… Do đó, nhu cầu trao đổi thông tin ngày càng lớn và đa dạng. Vì thế, thông tin ngày càng trở nên quan trọng và có ý nghĩa sống còn. Chính vì vậy, thông tin cũng là một loại tài sản quan trọng nhƣ các loại tài sản khác và cần phải đƣợc đảm bảo an toàn.
Vấn đề an toàn thông tin đang ngày càng cấp bách trên thế giới. Hàng loạt các sự cố về mạng, các vấn nạn trong các lĩnh vực ngân hàng, tài chính, thƣơng mại điện tử…liên quan đến an toàn thông tin. Còn tại Việt Nam cùng với sự hội nhập và phát triển của Công nghệ thông tin (CNTT), vấn đề đảm bảo an toàn thông tin đang trở thành một nhu cầu thiết thực và quan trọng. Thời gian gần đây, tình hình mất an toàn thông tin số ở nƣớc ta diễn biến phức tạp, xuất hiện nhiều nguy cơ đe dọa nghiêm trọng đến việc ứng dụng công nghệ thông tin phục vụ phát triển kinh tế - xã hội và đảm bảo quốc phòng, an ninh.
Theo số liệu thống kê, số vụ tấn công trên mạng và các vụ xâm nhập hệ thống công nghệ thông tin nhằm do thám, trục lợi, phá hoại dữ liệu, ăn cắp tài sản, cạnh tranh không lành mạnh và một số vụ việc mất an toàn thông tin số khác đang gia tăng ở mức báo động về số lƣợng, đa dạng về hình thức, tinh vi hơn về công nghệ. Kết quả nghiên cứu khảo sát cũng cho thấy nhiều hệ thống công nghệ thông tin của các cơ quan nhà nƣớc và doanh nghiệp, đặc biệt là các cổng, trang thông tin điện tử có nhiều điểm yếu về an toàn thông tin, chƣa đƣợc áp dụng các giải pháp đảm bảo an toàn và bảo mật thông tin phù hợp. Do đó, vấn đề tăng cƣờng khả năng phòng, chống các nguy cơ tấn công, xâm nhập hệ thống công nghệ thông tin và ngăn chặn, khắc phục kịp thời các sự cố an toàn thông tin là một vấn đề thời sự và rất cấp bách. Thông tin đƣợc lƣu trữ bởi các sản phẩm và hệ thống CNTT là một tài nguyên quan trọng cho sự thành công của tổ chức, doanh nghiệp và cá nhân.
Các thông tin lƣu trữ trong hệ thống thông tin cần đƣợc giữ bí mật, bảo vệ và không bị thay đổi khi không đƣợc phép. Trong khi các sản phẩm và hệ thống CNTT thực hiện các chức năng của chúng, các thông tin cần đƣợc kiểm soát để đảm bảo chúng đƣợc bảo vệ chống lại các nguy cơ, ví dụ nhƣ việc phổ biến và thay đổi thông tin không mong muốn và trái phép, nguy cơ mất mát thông tin. An toàn thông tin bao gồm các hoạt động quản lý, nghiệp vụ và kỹ thuật đối với hệ thống thông tin nhằm bảo vệ, khôi phục các hệ thống, các dịch vụ và nội dung thông tin đối với nguy cơ tự nhiên hoặc do con ngƣời gây ra. Việc bảo vệ thông tin, tài sản và con ngƣời trong hệ thống thông tin nhằm bảo đảm cho các hệ thống thực hiện Học viên: Đặng Văn Nam Chuyên ngành: Hệ thống thông tin TIEU LUAN MOI download : skknchat@gmail.com - 10 - đúng chức năng, phục vụ đúng đối tƣợng một cách sẵn sàng, chính xác và tin cậy.
An toàn thông tin bao hàm các nội dung bảo vệ và bảo mật thông tin, an toàn dữ liệu, an toàn máy tính và an toàn mạng. (theo Nghị định 64/2007/NĐ-CP) Hệ thống thông tin thƣờng tồn tại những điểm yếu dẫn đến những rủi ro có thể xảy ra, làm tổn hại đến giá trị tài sản thông tin. Các đối tƣợng tấn công có chủ tâm đánh cắp, lợi dụng hoặc phá hoại tài sản của các chủ sở hữu, tìm cách khai thác các điểm yếu để tấn công, tạo ra các nguy cơ và các rủi ro cho các hệ thống. Với các biện pháp an toàn thông tin ngƣời dùng có đƣợc công cụ trong tay để nhận thức đƣợc các điểm yếu, giảm thiểu các điểm yếu, ngăn chặn các nguy cơ tấn công, làm giảm các yếu tố rủi ro.
Nhƣ vậy, các biện pháp và kỹ thuật đảm bảo an toàn thông tin chính là mang lại sự tin cậy cho các sản phẩm và hệ thống. Đảm bảo an toàn thông tin là đảm bảo an toàn kỹ thuật cho hoạt động của các cơ sở hạ tầng thông tin, trong đó bao gồm đảm bảo an toàn phần cứng và phần mềm hoạt động theo các tiêu chuẩn kỹ thuật do nhà nƣớc ban hành; ngăn ngừa khả năng lợi dụng mạng và các cơ sở hạ tầng thông tin để thực hiện các hành vi trái phép gây hại cho cộng đồng, phạm pháp hay khủng bố; đảm bảo các tính chất bí mật, toàn vẹn, chính xác, sẵn sàng phục vụ của thông tin trong lƣu trữ, xử lý và truyền tải trên mạng.