Giáo trình An toàn và bảo mật thông tin được biên soạn nhằm cung cấp kiến thức về an toàn và bảo mật thông tin theo tiếp cận quản trị rủi ro cho thông tin trong hệ thống thông tin. Giáo trình kết cấu gồm 7 chương và chia thành 2 phần, phần 2 trình bày những nội dung về: mã hóa thông tin; sao lưu và phục hồi thông tin; đảm bảo an toàn cho hệ thống thông tin; an toàn dữ liệu trong thương mại điện tử;... Mời các bạn cùng tham khảo!
Chương MÃ HĨA THƠNG TIN Mã hoá đóng vai trò quan trọng có nhiều ứng dụng đời sống xã hội, đặc biệt lĩnh vực an tồn bảo mật thơng tin Ngày nay, kỹ thuật mã hoá sử dụng ngày phổ biến nhiều lĩnh vực khác an ninh, quốc phòng, và đặc biệt triển khai mạnh mẽ TMĐT, thì việc ứng dụng mã hố ngày trở nên cần thiết Chương trình bày về mã hoá liệu với vấn đề liên quan bao gồm: Các vấn đề về tính an tồn của tḥt tốn mã hóa, kỹ tḥt phá mã và đánh giá độ an toàn của giải thuật mã hoá Với hệ mã hóa đều giới thiệu về đặc điểm, mơ hình hoạt động, ưu, nhược điểm phạm vi ứng dụng bảo mật thông tin Đồng thời, số hệ mã hoá thường dùng bảo mật thông tin hệ thống mã DES, RSA, hệ mã hóa cổ điển giới thiệu chương này 4.1 TỔNG QUAN VỀ MÃ HÓA 4.1.1 Khái niệm hệ mã hóa Mã hóa là phương thức biến đổi thơng tin từ định dạng thơng thường (văn bản, hình ảnh, âm thanh, biểu tượng, ) thành định dạng khác không giống ban đầu có thể khôi phục lại được, (việc khôi phục gọi giải mã) Mục đích chính của mã hóa là để đảm bảo tính bí mật của thơng tin chúng trùn mơi trường khơng đảm bảo an tồn Việc mã hóa thông tin thực việc sử dụng giá trị đặc biệt gọi khóa mã (key) Cả hai phía gửi nhận thơng tin đều phải biết giải thuật mã hóa và khóa để thực việc mã hóa giải mã thơng tin Thơng tin đã mã hóa bị nghe (xem) trộm 135 bị giải mã để lấy thông tin đích thực giải thuật mã hóa và khóa Như vậy, mã hóa cung cấp tính bí mật cho thơng tin q trình truyền thông kênh truyền Ngành khoa học chuyên nghiên cứu về mã hóa giải mã ngành mật mã Đây là ngành khoa học ứng dụng toán học, thuật toán ứng dụng vào biến đổi thông tin từ định dạng ban đầu định dạng khác Nó đóng vai trò quan trọng có nhiều ứng dụng đời sống xã hội ngày nay, từ các lĩnh vực an ninh, quốc phòng, đến hoạt động sản xuất kinh doanh của tổ chức, doanh nghiệp Mã hóa thơng tin nhằm mục đích giấu nội dung thực tế của thông tin mà người dùng muốn truyền trình truyền tin việc lưu trữ thông tin Phương pháp này dùng để tránh tình trạng thơng tin bị đánh cắp sử dụng vào mục đích không tốt Có thể chia q trình mã hóa thơng tin thành hai phần: - Mã hóa: là giai đoạn chuyển đổi thông tin nguyên gốc ban đầu thành các định dạng thơng tin mã hóa (gọi mã) - Giải mã: từ mã thông tin nhận được, tiến hành biến đổi để thu lại thông tin nguyên gốc trước mã hóa Người gửi S Mã hóa X Kênh thơng tin Giải mã Y Người nhận R Thơng tin đã mã hóa Y Kẻ cơng E Hình 4.1 Mơ hình truyền tin có bảo mật 136 Trong truyền thông, để đảm bảo bí mật của thơng tin thì trước trùn, thơng tin mã hố ở phía người gửi sau đó giải mã ở phía người nhận Q trình cịn gọi q trình trùn thơng tin có bảo mật hay trùn tin an tồn Có thể mơ tả mơ hình trùn thơng tin có bảo mật Hình 4.1 Sơ đồ mơ hình trùn tin bảo mật giải thích ngắn gọn: Giả sử có đối tượng tham gia trình truyền tin là người gửi S, người nhận R kẻ công E - S muốn gửi thông điệp X đến R qua kênh truyền thông tin nào đó và E có thể nghe trộm và ăn cắp thông tin này Để chống lại việc thông tin, S sử dụng phép biến đổi (mã hóa) lên thông điệp X ở dạng nguyên gốc ban đầu (dạng đọc - Plaintext) để tạo thành đoạn mã hóa Y (Cryptogram) khơng thể đọc hoặc nội dung đã bị thay đổi nhiều - Khi đó Cryptogram Y (hay còn gọi Ciphertext - thông điệp đã mã hoá) đã thực che giấu nội dung của đoạn Plaintext X ban đầu Khóa dùng để mã hõa liệu thông số có bên gửi S bên nhận R biết mà thôi, sau R nhận Ciphertext sẽ tiến hành giải mã lấy về nội dung ban đầu Giả sử trình truyền tin, E nghe và đánh cắp thơng tin (Y) giải mã biết nội dung của thông tin ban đầu Ngày nay, mã hoá đã trở thành ngành khoa học ứng dụng quan trọng, ứng dụng mã hóa bảo mật thơng tin ngày phổ biến thực cần thiết cho tất các lĩnh vực sử dụng thông tin kể phủ, tổ chức, doanh nghiệp cá nhân: - Đối với phủ: Mã hóa nhằm đảm bảo thông tin quân ngoại giao, bảo vệ thông tin các lĩnh vực trọng yếu mang tầm cỡ quốc gia 137 - Đối với tổ chức, doanh nghiệp: Mã hóa nhằm bảo vệ thơng tin nhạy cảm, thơng tin mang tính chiến lược của tổ chức, doanh nghiệp - Đối với cá nhân: Mã hóa nhằm bảo vệ các thơng tin riêng tư liên lạc với giới bên ngồi thơng qua kênh trùn tin, đặc biệt mạng Internet phương tiện truyền thông xã hội 4.1.2 Vài nét về lịch sử mã hóa Mật mã học hay mã hóa ngành có lịch sử xuất từ hàng nghìn năm nay, lịch sử mật mã học lịch sử của phương pháp mật mã học cổ điển hay gọi là các phương pháp mật mã hóa với bút, giấy có hỗ trợ từ dụng cụ khí đơn giản dao, đá khắc lên vật liệu thẻ tre, da động vật, vách đá Vào năm đầu của kỷ 20, xuất của các cấu khí và điện cơ, chẳng hạn máy Enigma, đã cung cấp chế phức tạp hiệu cho việc mật mã hóa Sự đời phát triển mạnh mẽ của ngành điện tử máy tính thập kỷ gần đã tạo điều kiện để mật mã học phát triển nhảy vọt lên tầm cao mới, phát triển của mật mã học luôn kèm với phát triển của kỹ thuật phá mã (hay thám mã) Những chứng sớm về sử dụng mật mã học chữ tượng hình tìm thấy tượng Ai Cập cổ đại (cách khoảng 4500 năm) Những ký hiệu tỏ để phục vụ mục đích trùn thơng tin bí mật mà thường nhằm mục đích gợi nên điều thần bí, trí tị mị hoặc thậm chí để tạo thích thú cho người xem Muộn hơn, các học giả về tiếng Hebrew có sử dụng phương pháp mã hóa thay bảng chữ cái đơn giản chẳng hạn mật mã Atbash (khoảng năm 500 đến năm 600) Người Hy Lạp cổ đại biết đến là đã sử dụng kỹ thuật mật mã Cũng có chứng rõ ràng chứng tỏ người La Mã nắm kỹ thuật mật mã (mật mã Caesar biến thể) Thậm chí đã có đề cập đến sách nói về mật mã quân đội La Mã, nhiên sách này đã thất truyền Tại Ấn Độ, mật mã học khá tiếng, sách Kama Sutra, mật mã học 138 xem cách người yêu trao đổi thông tin mà không bị phát Mật mã học ngày trở nên quan trọng tác động của thay đổi, cạnh tranh trị tôn giáo Chẳng hạn châu Âu, sau thời kỳ Phục Hưng, công dân của thành bang thuộc Ý, gồm thành bang thuộc giáo phận Công giáo La Mã, đã sử dụng phát triển rộng rãi kỹ thuật mật mã Ngoài các nước ở Trung Đông Châu Âu, mật mã học không phát triển Tại Nhật Bản, 1510, mật mã học chưa sử dụng kỹ thuật tiên tiến biết đến sau nước mở cửa với phương Tây (thập kỷ 1860) Tuy mật mã học có lịch sử lâu dài phức tạp, mãi kỷ 19 của kỷ 20 phát triển cách có hệ thống, khơng cịn tiếp cận thời, vơ tổ chức, ví dụ về phân tích mã bao gồm cơng trình của Charles Babbage kỷ ngun của Chiến tranh Krim về tốn phân tích mật mã đơn ký tự, cơng trình của ơng đã Friedrich Kasiski, người Phổ, khôi phục công bố, thời điểm này, để hiểu mật mã học, người ta thường phải dựa vào kinh nghiệm trải qua để kiểm nghiệm Trong thời gian trước tới thời điểm của Thế chiến II, nhiều phương pháp toán học đã hình thành (đáng ý là ứng dụng của William F Friedman dùng kỹ thuật thống kê để phân tích kiến tạo mật mã thành công bước đầu của Marian Rejewski việc bẻ gãy mật mã của hệ thống Enigma của Quân đội Đức) Sau Thế chiến II trở đi, hai ngành, mật mã học phân tích mã, ngày sử dụng nhiều các sở toán học, thế, đến máy tính và các phương tiện truyền thông mạng Internet trở nên phổ biến, người ta mang tính hữu dụng của mật mã học vào thói quen sử dụng hàng ngày của người, thay dùng bởi quyền quốc gia hay hoạt động kinh doanh lớn trước đó 139 4.1.3 Vai trị mã hóa quy trình mã hóa u cầu của hệ mật mã cần phải thỏa mãn yêu cầu sau: - Hệ mật mã phải che dấu nội dung của văn rõ (PlainText) để đảm bảo cho người chủ hợp pháp của thơng tin có qùn truy cập thơng tin (Secrety), hay nói cách khác chống truy nhập khơng quyền hạn - Tạo yếu tố xác thực thông tin, đảm bảo thông tin lưu hành hệ thống đến người nhận hợp pháp xác thực (Authentication) - Tổ chức các sơ đồ chữ ký điện tử, đảm bảo khơng có tượng giả mạo, mạo danh để gửi thông tin mạng Ưu điểm lớn của hệ mật mã đó là có thể đánh giá độ phức tạp tính toán mà “kẻ địch” phải giải tốn lấy thơng tin đã mã hố Tuy nhiên hệ mật mã có số ưu và nhược điểm khác nhau, nhờ đánh giá độ phức tạp tính tốn nên áp dụng tḥt toán mã hoá khác cho ứng dụng cụ thể tuỳ theo yêu cầu về độ an toàn của ứng dụng 4.1.4 Các yêu cầu hệ mã hóa Để đảm bảo yêu cầu về an tồn bảo mật thơng tin, hệ mã hố cần phải có tính chất sau: (1) Tính hỗn loạn (Confusion): Mã hoá phải làm cho phụ thuộc của mã (ciphertext) vào rõ (plaintext) thực phức tạp, nhằm gây rối loạn người có ý định tìm quy luật để phá mã nhằm thu thông tin nguyên (2) Tính khuếch tán (Diffusion): Làm cân tỉ lệ xuất ký tự mã hóa, qua đó tạo khó khăn cho người có ý định phá mã phương pháp thống kê dựa tỷ lệ mẫu lặp Chẳng hạn, để san xác suất xuất của ký tự các nhóm ký tự, thêm đoạn văn thừa vào văn sau mã hóa 140 Các thuật toán mã hóa đều có điểm chung đó là sử dụng loại khóa mã trình mã hóa giải mã Độ an tồn của giải thuật mã hóa phụ thuộc nhiều vào đảm bảo bí mật của khóa mã này, nghĩa là phụ thuộc vào việc làm nào để người gửi và người nhận thông tin đích thực biết khoá mã Các hệ mã hóa nói chung đều thường bị cơng nhằm xác định khóa mã cách nhanh để tìm thơng tin nguyên Độ an toàn của hệ mã hóa: Trên phương diện lý thuyết, về độ an tồn của hệ mã hóa phân làm loại: an toàn vơ điều kiện an tồn tính tốn Một hệ mã hóa coi là an toàn vô điều kiện mã thu không chứa đủ thông tin để xác định ngun tương ứng Nói cách khác, khơng thể giải mã với thời gian kéo dài với tốc độ nguồn lực máy tính lớn đến Trên thực tế, nay, có hệ mã hóa độn lần là an toàn vô điều kiện Một hệ thống mã hóa coi an tồn tính tốn thỏa mãn hai điều kiện sau: (1) Chi phí để phá mã vượt giá trị mà thông tin mang lại Chẳng hạn, để trộm cắp tỷ đồng của ngân hàng mà kẻ công tỷ để phá mã thì khơng mang lại lợi ích cho người phá mã Trong trường hợp nói chi phí phá mã vượt giá trị mà thông tin mang lại (2) Thời gian phá mã vượt tuổi thọ thông tin Chẳng hạn thông báo có giá trị tháng mà thời gian giải mã kéo dài tới hai tháng xem thời gian phá mã vượt tuổi thọ của thơng tin hay nói cách khác giải mã xong kẻ cơng khơng đạt lợi ích Như vậy, cần hệ mã hóa đạt độ an toàn tính toán là đủ cho ứng dụng thực tế Cho dù kẻ công có phá mã thơng tin nhận không còn giá trị sử dụng Tuy nhiên, để 141 thỏa mãn hai điều kiện là khó để đánh giá, nên nay, hệ thống mã hoá đánh giá là an toàn thỏa mãn hai điều kiện sau đây: (1) Hệ mã hóa khơng có nhược điểm, (2) Hệ mã hóa có khóa mã có q nhiều giá trị khơng thể thử hết Như vậy, hệ mã hóa thỏa mãn hai điều kiện thì coi an tồn sử dụng ứng dụng cho nhiều lĩnh vực khác Có hai hệ mã hóa hệ mã hóa đối xứng (hệ mã hóa khóa hay hệ mã hóa khóa bí mật) hệ mã hóa khơng đối xứng (mã hóa hai khóa hay hệ mã hóa khóa cơng khai) Hai phương pháp này khác ở số lượng khóa sử dụng, hệ mã hóa đối xứng sử dụng khóa bí mật để người gửi dùng để mã hóa và người nhận dùng để giải mã Trong đó, mã hóa khơng đối xứng sử dụng hai khóa khác nhau: khóa cơng khai khóa bí mật, khóa cơng khai dùng để mã hóa khóa bí mật dùng để giải mã Mỗi phương pháp mã hóa có ưu, nhược điểm riêng và đó, có lĩnh vực ứng dụng khác 4.1.5 Các kỹ thuật phá mã phổ biến Phá mã nỗ lực giải mã văn đã mã hóa trường hợp khơng biết trước khóa của hệ mã hóa, phá mã dựa giả thiết người giải mã nhận biết nguyên cần tìm, phá mã còn gọi hack mã Phương pháp phá mã dù tốt đến đâu thì là vô nghĩa người giải mã không xác định nguyên sau giải có xác hay khơng Có thể lấy ví dụ người nước ngồi muốn giải mã tiếng Việt lại tiếng, cho dù có tìm khóa nhận biết nội dung văn bản, có hai phương pháp phá mã phổ biến là phương pháp vét cạn và phương pháp thám mã 4.1.5.1 Phương pháp vét cạn Phương pháp vét cạn phá mã là phương pháp thử tất khóa xác định nguyên từ mã, thực tế, phương pháp này là không khả thi các khoá có độ dài lớn 142 Như vậy, với kích thước khóa 168 bit, với máy giải mã 1012 mã 1giây (chưa có thực tế) thì phải tới 5.9 x 1030 năm xong Vì vậy, sử dụng khóa độ dài 168 ký tự coi an toàn việc phá mã phương pháp vét cạn Tuy nhiên, với các phương pháp khác hệ mã hóa khơng an tồn Thời gian để dị khóa sử dụng phương pháp vét cạn Bảng 4.1 sau Bảng 4.1 Thời gian tìm khố đới với khố có kích thước khác Kích thước khóa (bit) Sớ lượng khóa Thời gian cần thiết (1 giải mã/μs) Thời gian cần thiết (106 giải mã/μs) 32 232 = 4,3 x 109 231 μs = 35,8 phút 2,15 ms 56 128 256 = 7,2 x 1016 2128 = 3,4 x 1038 255 μs = 1142 năm 2127 μs = 5,4 x 1024 năm 10,01 giờ 5,4 x 1018 năm 168 26 ký tự (hoán vị) 2168 = 3,7 x 1050 2167 μs = 5,9 x 1036 năm 5,9 x 1030 năm 26! = x 1026 x 1026 μs = 6,4 x 1012 năm 6,4 x 106 năm 4.1.5.2 Phương pháp thám mã Dùng để khai thác nhược điểm của giải thuật mã hóa dựa đặc trưng chung của nguyên hoặc số cặp nguyên - mã mẫu Để tiện cho việc nghiên cứu độ an tồn của giải tḥt mã hóa, người ta phân loại số trường hợp để phá mã Một tḥt tốn mã hóa nên đảm bảo độ an tồn trường hợp đề ra: Chỉ có mã: Chỉ biết giải thuật mã hóa mã có Biết nguyên bản: Biết thêm số cặp nguyên - mã Chọn nguyên bản: Chọn nguyên bản, biết mã tương ứng 143 Chọn mã: Chọn mã, biết nguyên tương ứng Chọn văn bản: Kết hợp chọn nguyên chọn mã Trên thực tế gặp tất các trường hợp Nhưng khả người giải mã biết giải thuật mã hóa số mã lớn là trường hợp khó phá mã 4.2 HỆ MÃ HÓA ĐỚI XỨNG 4.2.1 Khái niệm về hệ mã hóa đới xứng Mã hóa khóa đối xứng (hay gọi là mã hóa khóa đồng bộ, mã hóa khóa) hệ mã hóa mà đó hai trình mã hóa giải mã đều dùng chung khóa mã Để đảm bảo tính an tồn, khóa phải giữ bí mật Vì tḥt tốn mã hóa khóa đối xứng cịn có tên gọi khác mã hóa với khóa bí mật (secret key cryptography) Một điều cần lưu ý là người mã hóa văn gốc (plaintext) thành mã khóa K (ciphertext) gửi mã cho người nhận người nhận sau nhận muốn giải mã cần phải có khóa K, nghĩa là trước đó hai người gửi nhận đã phải trao đổi hoặc chia sẻ khóa K Có thể hiểu mã hóa đối xứng (mã hố khố bí mật) hệ thống mã hóa mà bên gửi bên nhận tin sử dụng chung khóa Tức việc mã hóa giải mã đều dùng khóa chung Đây là kỹ thuật mã hóa trước năm 1970 và dùng phổ biến Mã hóa đối xứng còn gọi mà mã hố khóa riêng hay khóa bí mật để phân biệt với hệ thống mã hóa khóa cơng khai hay hệ mã hóa hai khóa Một hệ thống mã hóa đối xứng gồm có thành phần gồm: (1) Nguyên bản: thông điệp trước mã hóa hay nguyên (2) Giải thuật mã hóa: thuật toán dùng để mã hóa nguyên hay chuyển đổi nguyên thành mã 144 dùng, hoặc cho phép chiếm quyền truy cập liệu gồm thông tin định vị, và các thông tin cá nhân khác có liên quan đến tài khoản người dùng Thứ ba các nguy bị nhiễm mã độc nhiều ứng dụng lại lợi dụng việc người dùng đã nhiễm virus để tiếp tục lây nhiễm thêm loại virus vào máy tính hoặc chúng giả dạng làm ứng dụng chống virus để thực chất làm máy tính của người dùng nhiễm mã độc Cuối nguy an toàn qua mạng, hoặc tin nhắn nhanh/ hòm thư điện tử bị kẻ xấu lợi dụng các phương tiện truyền thông xã hội để lừa đảo qua mạng (social engineering) hoặc qua email Nguy an toàn qua các trò chơi xã hội rò rỉ thông tin cá nhân hoặc người dùng sử dụng số phần mềm miễn phí qua các phương tiện truyền thông xã hội Bị lộ thông tin vị trí/ bị theo dõi theo địa IP hoặc bị đánh cắp thơng tin 7.5.3 An tồn thơng tin các phương tiện truyền thông xã hội Trong thơng cáo báo chí phát ra, Facebook cho biết đợt kiểm tra an ninh thường lệ vào tháng 1/2019, công ty đã phát nhiều mật khẩu của người dùng lưu trữ dạng rõ hệ thống lưu trữ liệu nội Trong đó, các hệ thống truy cập của Facebook thiết kế bảo mật mật khẩu cơng nghệ mã hóa chống truy cập, đọc 600 triệu người dùng chiếm tỷ lệ lớn tổng số 2,7 tỷ người dùng Facebook Vì vậy, cơng ty cho biết sẽ sớm thơng báo tới người dùng có mật khẩu không mã hóa để thay đổi mật khẩu tài khoản Theo thông tin từ The Digital kẻ công (tháng 4/2020), 267 triệu liệu người dùng Facebook rao bán trang web đen với giá 600 USD Bên cạnh đó, 500 nghìn tài khoản Zoom rao bán các trang web đen Những thông tin cá nhân của người dùng bị rò rỉ họ đã bị tin tặc công tài khoản Facebook lấy số thông tin cá nhân Những liệu chủ yếu đến từ tài khoản Facebook Mỹ 307 Các liệu người dùng bị đánh cắp không chứa mật khẩu tài khoản, nhiên, bao gồm số thơng tin khác họ tên đầy đủ, địa email, ngày sinh, số điện thoại số thông tin định danh khác Mặc dù thông tin tạo giao dịch thu về số tiền lớn cho tin tặc Đặc biệt là cá nhân mua thông tin với mục đích lừa đảo Từ liệu này, tin tặc dễ dàng thu thập thêm thông tin của người dùng cách đóng giả thành công ty tuyển dụng hay ngân hàng Trong năm 2019, hệ thống CyStack Attack Map ghi nhận 563.000 cơng vào website tồn cầu Trong đó, 236.000 cơng nhắm vào website có máy chủ đặt Mỹ, chiếm tỉ trọng tới 41,9% toàn giới Với 9.300 vụ xâm phạm vào website của tổ chức, Việt Nam xếp thứ 11 giới xếp thứ Đông Nam Á, sau Indonesia Singapore Một tin tặc đã tung thông tin của 15 triệu người dùng đăng ký Tokopedia, sàn thương mại điện tử lớn Indonesia, lên mạng Tin tặc khẳng định liệu lấy vụ xâm nhập diễn tháng 3/2020 phần nhỏ toàn sở liệu bị lấy cắp vụ cơng Kẻ rị rỉ chia sẻ thông tin của 15 triệu người dùng với hi vọng đó giúp bẻ khóa mật khẩu của nạn nhân truy cập vào tài khoản của họ Tập tin công bố là sở liệu PostgreSQL, chứa thông tin họ tên, email, số điện thoại, mật khẩu mã hóa, sinh nhật chi tiết liên quan tới hồ sơ Tokopedia (ngày khởi tạo tài khoản, lần đăng nhập cuối, mã kích hoạt email, mã làm mật khẩu, chi tiết vị trí, ID chat, sở thích, học vấn Theo Cnet, Google thu thập lượng liệu đáng kinh ngạc về thông tin cá nhân người dùng, thậm chí người dùng tưởng tượng: Mọi từ khóa tìm kiếm, video YouTube đã xem, dù sử dụng Android hay iOS, Google Map lưu giữ thông tin nơi người dùng di chuyển, lộ trình đến thời gian ở lại, người dùng không hề mở ứng dụng Hàng loạt vụ rò rỉ liệu xâm phạm quyền riêng tư 308 làm giảm niềm tin của người dùng vào các đế chế công nghệ Google họ đáp lại cách tạo trung tâm bảo mật cho phép người dùng truy cập, xóa hạn chế liệu công ty nắm giữ từ khách hàng Tuy nhiên, không dễ để điều chỉnh tất thiết lập khác hay khơng phải lúc người dùng cho phép Google làm rõ ràng Bất người dùng thực thay đổi nhằm hạn chế thời gian và lượng thông tin Google theo dõi, công ty sẽ đưa cảnh báo dịch vụ hoạt động không hiệu khơng có qùn truy cập vào liệu Bất chấp nỗ lực tăng tính minh bạch của Google, tiết lộ gần cho thấy gã khổng lồ bí mật chia sẻ thơng tin cá nhân người dùng với nhà quảng cáo bên thứ ba Tóm lại, các phương tiện trùn thơng xã hội có nhiệu lợi ích đem lại khơng vấn đề cho người dùng Từ thực trạng thấy việc đảm bảo an toàn thông tin các phương tiện truyền thông xã hội tốn khơng dễ dàng cho nhà bảo mật thơng tin 7.5.4 Biện pháp đảm bảo an tồn thơng tin các phương tiện truyền thông xã hội Xuất phát từ thực trạng thủ đoạn của các đối tượng, nhằm đảm bảo an toàn thông tin cá nhân, người dùng không gian mạng, cần tập trung thực số biện pháp sau: - Đối với ban ngành chức năng, quan, tổ chức, doanh nghiệp: Các bộ, ban, ngành và địa phương cần tăng cường công tác tuyên truyền, giáo dục, phổ biến hệ thống pháp luật về phương thức, thủ đoạn của tội phạm sử dụng công nghệ cao nhằm nâng cao ý thức, trách nhiệm của toàn thể người dân loại tội phạm Tuyên truyền, hướng dẫn tổ chức, cá nhân sử dụng giải pháp kỹ thuật công nghệ để tự bảo vệ trước công của tội phạm sử dụng công nghệ cao Đưa cảnh báo về việc phải bảo mật tuyệt đối thông tin cá nhân số điện thoại, số chứng minh thư, tài khoản ngân hàng khuyến cáo người dân cần nâng cao cảnh giác, không chuyển tiền, cung cấp thông tin cá nhân đặc biệt mã OTP của ngân hàng cho người lạ qua 309 điện thoại dù tình nào Đặc biệt, cần khuyến cáo người dân nên sử dụng phần mềm có quyền; sử dụng mật khẩu có tính bảo mật cao và thường xun thay đổi mật khẩu; cài đặt sử dụng phần mềm bảo vệ (diệt vi rút) hoặc thiết lập tường lửa (firewall) Ngoài ra, cần nâng cao ý thức cảnh giác của người dân và doanh nghiệp hoạt động quản lý, sử dụng công nghệ cao; đồng thời cảnh báo, phòng ngừa việc lạm dụng, thiếu hiểu biết về pháp luật dẫn đến vi phạm pháp luật sử dụng công nghệ cao, là nhóm đối tượng học sinh, sinh viên Tiếp tục hoàn thiện hệ thống pháp luật, quán triệt triển khai thực nghiêm túc văn quy định về công tác bảo đảm an ninh, an tồn thơng tin Thường xun kiểm tra xây dựng các văn sách bảo mật đặc thù quan, đơn vị Các quy định phải tuyệt đối tuân thủ quán triệt trực tiếp tới người sử dụng (có quy chế, chế tài cụ thể vi phạm) Nâng cao hiệu quản lý về bảo đảm an ninh an tồn thơng tin, thường xun tổ chức phối hợp các quan chức kiểm tra thực tế việc chấp hành các quy định bảo đảm an ninh an tồn thơng tin mạng Cần phải tiến hành kiểm tra rà soát tất hệ thống mạng, hệ thống thông tin của các quan, đơn vị thuộc phạm vi quản lý để phát các nguy an ninh an toàn Tiến hành kiểm tra quét vi rút, làm máy vá lỗ hổng hệ thống Các máy tính cần cài đặt phần mềm diệt vi rút thường xuyên cập nhật Việc cài đặt phần mềm cần đảm bảo an ninh, an toàn Đối với máy tính có chứa liệu quan trọng nên có biện pháp mã hóa liệu ổ cứng Các quan, đơn vị, doanh nghiệp cần nghiêm túc đầu tư thiết lập hạ tầng, xây dựng đội ngũ chuyên trách về bảo đảm an ninh mạng Khi mua trang thiết bị phải kiểm tra an ninh, an toàn thông tin trước đưa vào sử dụng Hạn chế sử dụng thiết bị không rõ xuất xứ nguồn gốc - Đối với cá nhân người dùng: Hạn chế chia sẻ thông tin cá nhân mạng Internet Đây là phương án đơn giản lại cách bảo mật hiệu Khi người dùng chia sẻ nhiều thông tin cá nhân, sẽ có nhiều hội cho các đối tượng thực hành vi phạm tội Cách tốt để bảo mật thông tin cá nhân mạng xã hội chia sẻ với giới 310 thơng tin tốt, tránh việc truy cập vào các đường link lạ, đặc biệt tránh cung cấp thông tin chi tiết ngày sinh, số điện thoại, địa email, mối quan hệ gia đình, nơi làm việc, địa riêng, loại giấy tờ tùy thân Trong trường hợp cần phải chia sẻ các thơng tin đó, thân người dùng nên có hình thức bảo mật khác hoặc thay đổi thông tin tài khoản cung cấp xong Sử dụng mật khẩu đủ mạnh Mật khẩu là phương pháp xác thực phổ biến giúp người dùng dễ dàng đăng nhập vào tài khoản, dịch vụ trực tuyến Mật khẩu ngắn độ an tồn thấp và ngược lại, nhiên quy chuẩn để tạo mật khẩu đủ mạnh khơng hồn tồn phụ thuộc vào độ dài, ngắn Để đảm bảo tính bảo mật người dùng nên đặt mật khẩu có tối thiểu ký tự (số, ký hiệu, dấu câu), ký tự phải nhất, chọn lọc ngẫu nhiên và đặc biệt không tuân theo trật tự, ý nghĩa nào (tên loài hoa, ngày sinh, số điện thoại ) Cũng không nên sử dụng mật khẩu cho hoặc nhiều tài khoản Ngoài ra, để tăng tính bảo mật cho tài khoản quan trọng, người dùng nên kích hoạt tính xác thực hai bước để cao tính bảo mật liệu Tránh việc kết nối vào mạng wifi công cộng các điểm nóng Hầu hết các điểm truy cập wifi khơng mã hóa thơng tin người dùng gửi qua Internet và đó khơng an tồn Trên thực tế, mạng không yêu cầu mật khẩu WPA hoặc WPA2, khơng an tồn Đây sẽ là trường hợp hầu hết các điểm nóng cơng cộng Khơng có cách nào để đảm bảo chủ sở hữu doanh nghiệp hoặc nhân viên thiết lập mạng đã có biện pháp để đảm bảo bảo vệ liệu Điều phổ biến nhân viên thiết lập đơn giản là để mặc định lưu thông tin người dùng mật khẩu định tuyến wifi, làm cho thông tin dễ dàng truy cập về sau Nếu phải sử dụng Wifi công cộng, hãy đảm bảo sử dụng ứng dụng mã hóa liệu hoặc sử dụng VPN Tuyệt đối tránh trao đổi công việc riêng tư hay thực giao dịch tài chính sử dụng wifi công cộng Thường xuyên cập nhập hệ thống Các phầm mềm độc hại ngày xuất biến thể hàng giờ, hàng phút Khi máy tính đưa sử dụng sẽ không tránh khỏi vấn đề về virus, bảo mật Do vậy, không thường xuyên cập nhập phần mềm hệ thống để vá lỗi sẽ dẫn tới việc phần mềm bảo mật hoạt động không hiệu quả, không 311 bảo vệ người dùng trước nguy an tồn thơng tin Thường xuyên cập nhật quét virus phiên của phần mềm diệt virus sẽ giúp hạn chế tối đa nguy lây nhiễm virus vào máy tính, tăng cường khả phòng, chống virus cho máy tính Để đảm bảo an toàn cho máy tính, người dùng nên chọn phần mềm quyền để cài đặt sử dụng lâu dài TỔNG KẾT CHƯƠNG Chương đã trình bày vấn đề về an toàn liệu thương mại điện tử bao gồm hai công cụ chữ ký số chứng thực số nhằm đảm bảo an toàn cho giao dịch thương mại điện tử Đưa các vấn đề liên quan đến toán điện tử giải pháp đảm bảo an toàn cho liệu quá trình toán điện tử Vấn đề bảo mật website bảo đảm an toàn cho người dùng các phương tiện trùn thơng xã hội trình bày phần cuối của chương CÂU HỎI ÔN TẬP VÀ BÀI TẬP CHƯƠNG I CÂU HỎI ƠN TẬP Trình bày khái niệm về chữ ký số? Nguyên tắc xây dựng chữ ký số quy trình hoạt động của chữ ký số? Có loại chữ ký số ứng dụng của chúng hoạt động của doanh nghiệp thương mại điện tử? Chứng thực số gì? Trình bày thành phần chứng thực số? Trình bày giống khác chữ ký số chứng thực số? Có cách phân loại chứng thực số nào? Thanh toán điện tử gì? Các thành phần tham gia giao dịch điện tử có tốn? Hãy lấy ví dụ minh họa Các nguy của giao dịch điện tử có tốn? Lấy ví dụ minh họa Hãy trình bày số giải pháp nhằm đảm bảo an toàn cho giao dịch điện tử giao dịch điện tử có tốn? 312 Bảo mật website là gì? Hãy trình bày các nguy website thông thường và website thương mại điện tử? Hãy trình bày số giải pháp đảm bảo an toàn cho website thương mại điện tử? Lấy ví dụ minh họa Phương tiện truyền thơng xã hội gì? Vai trị của các phương tiện truyền thông xã hội hoạt động của doanh nghiệp thương mại điện tử? Trình bày các nguy người dùng tổ chức, doanh nghiệp sử dụng các phương tiện truyền thông xã hội hoạt động kinh doanh? Hãy đề xuất số giải pháp đảm bảo an toàn cho người dùng tổ chức doanh nghiệp sử dụng các phương tiện truyền thông xã hội hoạt động kinh doanh? II BÀI TẬP TÌNH HUỐNG Bài tập 1: Cho tình sau đây: Năm 2018 lên hiện tượng lấy cắp tài khoản Facebook thông qua comment dạo (bình luận Facebook) Hơn 83% người sử dụng mạng xã hội Facebook gặp bình luận kiểu này Đây là năm mà thế giới chứng kiến nhiều vụ việc rị rỉ thơng tin cá nhân người dùng nhiều từ trước đến có thể kể tới như: Facebook liên tiếp gây rò rỉ thông tin người dùng; Google+ bị khai tử tồn lỗ hổng bảo mật gây rò rỉ liệu người dùng; tin tặc đánh cắp 90 GB liệu Apple Tại Việt Nam xảy nhiều vụ việc liên quan đến liệu cá nhân nghiêm trọng như: Rò rỉ thông tin liệu 5,4 triệu khách hàng Thế Giới Di Động; lộ liệu thơng tin khách hàng FPT Shop; 275 nghìn liệu Ngân hàng Hợp tác xã Việt Nam bị tin tặc khai thác (Theo https://vnisa.org.vn/) 313 Hãy trả lời câu hỏi sau đây: Trong tình liệt kê rủi ro mà người dùng gặp phải giải thích? Xác định mối đe dọa lỗ hổng mà tổ chức, doanh nghiệp cần kiểm soát? Hãy đề xuất số giải pháp để kiểm soát mối đe dọa lỗ hổng đó? Bài tập 2: Cho tình sau đây: Theo báo cáo công ty Check Point (Israel) phát hành ngày 18/3, tin tặc lợi dụng dịch Covid-19 để đăng ký các tên miền liên quan đến virus SARS-CoV-2 bán phần mềm độc hại trang web đen Check Point cho biết, tin tặc đưa các ưu đãi đặc biệt nhằm quảng bá hàng hóa (thường phần mềm độc hại hoặc công cụ khai thác) các web đen và sử dụng mã giảm giá là “COVID19” hoặc “Coronavirus” Có thể kể đến: Một số cơng cụ có sẵn với giá ưu đãi WinDefender bypass Build to bypass email and chrome security Hay nhóm tin tặc với biệt danh SSHacker cung cấp dịch vụ công vào tài khoản Facebook với mã COVID-19 giảm giá 15% Cịn tin tặc với bí danh True Mac rao bán mẫu MacBook Air 2019 với giá 390 USD với lý ưu đãi đặc biệt mùa Corona Chỉ ba tuần kể từ nửa cuối tháng đến nay, số lượng tên miền trung bình tăng gấp gần 10 lần so với tuần trước đó Khoảng 0,8% số đó là độc hại (93 trang web) và 19% khác là web đáng ngờ (hơn 2.200 trang web) (Theo https://vnisa.org.vn/) Hãy trả lời câu hỏi sau đây: Trong tình liệt kê rủi ro mà người dùng gặp phải giải thích? 314 Xác định mối đe dọa lỗ hổng mà tổ chức, doanh nghiệp cần kiểm soát? Hãy đề xuất số giải pháp để kiểm soát mối đe dọa lỗ hổng đó? Hãy trình bày giải pháp nhằm hạn chế các nguy này? Bài tập 3: Cho tình sau đây: Theo Ngân hàng Nhà nước, tính đến số lượng giao dịch tài qua kênh Internet đạt 200 triệu giao dịch, giá trị 10 triệu tỷ đồng (tăng 51,8% so với kỳ năm 2018) Số lượng giá trị giao dịch toán nội địa thẻ ngân hàng tiếp tục tăng; nhiều tính năng, tiện ích tích hợp vào thẻ ngân hàng để sử dụng tốn hàng hóa, dịch vụ Chẳng hạn, gần đây, khá nhiều cửa hàng, siêu thị ưu đãi lớn cho khách hàng sử dụng QR Code (mã phản ứng nhanh) Với dịch vụ này, khách hàng cần quét mã QR camera điện thoại di động nhập số tiền tốn giao dịch hồn tất Hệ thống tự động trừ tiền tài khoản ngân hàng khách hàng Hiện có 78 tổ chức cung ứng dịch vụ toán qua Internet 45 tổ chức cung ứng dịch vụ toán di động (mobile payment), với số lượng giao dịch lên đến vài trăm triệu tỷ đồng tính riêng tháng năm 2019 Số liệu cho thấy, tốn khơng dùng tiền mặt phát triển mạnh ở nước ta Hiện có 26 tổ chức khơng phải là ngân hàng Ngân hàng Nhà nước cấp phép hoạt động cung ứng dịch vụ trung gian toán, đó có 23 tổ chức cung ứng dịch vụ ví điện tử, tập trung tính nạp tiền điện thoại, toán qua mã QR, toán hóa đơn dịch vụ cước điện thoại di động, hóa đơn điện, nước, Internet, khoản vay tài chính, vay trả góp, vay tiêu dùng, mua vé máy bay, vé xem phim, vé xe, bảo hiểm Trong số đó, ví điện tử thuộc công ty fintech MoMo, Payoo, Vimo, Moca có tốc độ phát triển nhanh (Theo http://tapchitaichinh.vn/) 315 Hãy trả lời câu hỏi sau đây: Trong tình liệt kê rủi ro mà người dùng gặp phải giải thích? Xác định mối đe dọa lỗ hổng mà tổ chức, doanh nghiệp cần kiểm soát? Hãy đề xuất số giải pháp để kiểm soát mối đe dọa lỗ hổng đó? Hãy trình bày giải pháp nhằm hạn chế nguy này? 316 TÀI LIỆU THAM KHẢO Tiêu chuẩn quốc gia - TCVN 7635: 2007, Kỹ thuật mã hóa chữ ký số, Cryptography technique - Digital signature Hiệp hội Thương mại điện tử Việt Nam, Báo cáo Chỉ số Thương mại điện tử Việt Nam 2019 Luật an ninh mạng, Luật số: 24/2018/QH14 ISO 27001:2013 Phan Đình Diệu (1999), Lý thuyết mật mã an tồn thơng tin, NXB Đại học Quốc gia Hà Nội Đàm Gia Mạnh (2009), Giáo trình An toàn bảo mật liệu thương mại điện tử, NXB Thống kê Trần Hùng (2017), Giáo trình Quản trị rủi ro, NXB Thống kê Thái Thanh Tùng (2011), Giáo trình Mật mã học Hệ thống thơng tin an tồn, NXB Thơng tin Trùn thơng Brotby, Krag (2009), Information Security Management Metrics: A Definitive Guide to Effective Security Monitoring and Measurement Auerbach, 2009 10 ITIL IT Service Management-Publications www.itilofficialsite.com/Publications/Publications.aspx Jackson, Chris (2010), Network Security Auditing Cisco Press 11 Jaquith, Andrew (2007), Security Metrics: Replacing Fear, Uncertainty, and Doubt Addison-Wesley, 2007 12 Kruse, Warren, and Jay Heiser (2001), Computer Forensics: Incident Response Essentials Addison-Wesley, 2001 13 Man Young Rhee (2003) Internet Security: Cryptographic principles, algorithms and protocols John Wiley & Sons, 2003 317 14 Manzuik, Steve, Andre Gold, and Chris Gatford (2006), Network Security Assessment: From Vulnerability to Patch Syngress, 2006 15 Maras, Marie-Helen (2011), Computer Forensics: Cybercriminals, Laws, and Evidence Jones & Bartlett Learning, 2011 16 Mark Rhodes - Ousley (2013), Second Edittion, The Complete References: Information Security, The McGraw-Hill Companies ISBN: 978-0-07-178436-8, MHID: 0-07-178436-5 17 Matt Bishop (2002), Computer Security: Art and Science, Addison, Wesley 18 McEntire, David Disaster Response and Recovery Wiley, 2006 Phillips, Brenda Disaster Recovery Auerbach, 2009 19 McNab, Chris (2007), Network Security Assessment: Know Your Network O’Reilly, 2007 20 Michael E Whitman, Herbert J Mattor (2011), Fourth Edittion, Principles of Information Security, Course Technology, 20 Channel Center Boston, MA 02210, USA, ISBN-13: 978-1-111-13821-9, ISBN10: 1-111-13821-4 21 Schultz, Eugene, and Russell Shumway (2001), Incident Response: A Strategic Guide to Handling System and Network Security Breaches Sams, 2001 22 Tony Campbell, (2016), Practical Information Security Management: A Complete Guide to Planning and Implementation, Burns Beach Australia ISBN-13 (pbk): 978-1-4842-1684-2 ISBN-13 (electronic): 978-1-4842-1685-9 DOI 10.1007/978-1-4842-1685-9 23 Wallace, Michael, and Lawrence Webber (2010), The Disaster Recovery Handbook: A Step-by-Step Plan to Ensure Business Continuity 2nd ed AMACOM, 2010 318 24 William Stallings (2005), Cryptography and Network Security Principles and Practices, Fourth Edition, Prentice Hall 25 http://m.antoanthongtin.vn/ 26 https://quantrimang.com/ 27 http://tapchitaichinh.vn/ 28 https://vnisa.org.vn/ 29 https://www.securitymagazine.com/ 30 https://www.cyberdefensemagazine.com/ 31 https://cybersecurityventures.com/ 32 http://www.hightseclabs.com/ 33 http://ssl.vn/ 34 http://www.cloudflare.com/ 35 http://internetpharming.yolasite.com/ 319 Chịu trách nhiệm xuất bản: Q Giám đốc NGUYỄN VIẾT QUÂN Chịu trách nhiệm nội dung: Tổng Biên tập NGUYỄN THỊ THÚY HẰNG Biên tập: LÊ TUYẾT MAI Trình bày: Bìa: DŨNG THẮNG Ruột: TRẦN KIÊN - In 500 cuốn, khổ 1624 cm tại NXB Thống kê - Công ty CP In và Thương mại Đông Bắc, Địa chỉ: Số 15, Ngõ 14, phố Pháo Đài Láng, phường Láng Thượng, quận Đống Đa, Hà Nội - Đăng ký xuất bản: 963-2021/CXBIPH/05-05/TK CXBIPH cấp ngày 23/3/2021 - QĐXB số 111/QĐ-NXBTK ngày 02/8/2021 của Quyền Giám đốc NXB Thống kê - In xong nộp lưu chiểu tháng năm 2021 - ISBN: 978-604-75-1912-5 320 ISBN-13: 978-604-75-1912-5 786047 519125 Giá: 161.000đ ... giải mã/μs) Thời gian cần thiết (106 giải mã/μs) 32 2 32 = 4,3 x 109 23 1 μs = 35,8 phút 2, 15 ms 56 128 25 6 = 7 ,2 x 1016 21 28 = 3,4 x 1038 25 5 μs = 11 42 năm 21 27 μs = 5,4 x 1 024 năm 10,01 giờ... tính: c1 - a * c2 mod p = m bởi rằng: c1 - a * c2 mod p = (gk )- a * Ak * m = g-a * k * Ak * m = (ga)-k * Ak * m = A-k * Ak * m = * m = m 4.3.4 .2 Hệ mật mã “xếp ba lô” Merkle-Hellman Mật mã... tổ chức, doanh nghiệp cá nhân: - Đối với phủ: Mã hóa nhằm đảm bảo thơng tin qn ngoại giao, bảo vệ thông tin các lĩnh vực trọng yếu mang tầm cỡ quốc gia 137 - Đối với tổ chức, doanh nghiệp: