Btl rsa c++

Bài tập lớn An toàn và bảo mật hệ thống thông tin, nghiên cứu hệ mật mã RSA với ngôn ngữ C++, mã hóa được văn bản , lấy dữ liệu từ file txt mã hóa và giải mã xuất ra file khác

MỞ ĐẦU

Ngày nay với sự phát triên bùng nô của công nghệ thông tin, hầu hết cácthông tin của doanh nghiệp như chiến lược kinh doanh, các thông tin về kháchhàng, nhà cung cấp, tài chính, mức lương nhân viên, đều được lưu trữ trênhệ thống máy tính Cùng với sự phát triển của doanh nghiệp là những đòi hỏingày càng cao của môi trường kinh doanh yêu câu doanh nghiệp cân phải chiasẻ thông tin của mình cho nhiều đối tượng khác nhau qua Internet hayIntranet Việc mất mát, rò rỉ thông tin có thê ảnh hưởng nghiêm trọng đến tàichính, danh tiếng của công ty và quan hệ với khách hàng

Các phương thức tấn công thông qua mạng ngày càng tinh vi, phức tạpcó thểdẫn đến mất mát thông tin, thậm chí có thể làm sụp đổ hoàn toàn hệthống thông tin của tổ chức Vì vậy an toàn thông tin là nhiệm vụ quan trọng,nặng nề và khó đoán trước đối với các hệ thống thông tin.

Sau khi được học môn An toàn và bảo mật hệ thống thông tin, với mongmuốn tìm hiểu sau sắc hơn về thực tế, nhóm báo cáo gồm Lê Anh Trung, ChuQuang Bảo Minh, Phạm Anh Quân xin chọn đề tài tiểu luận cho môn học là“Hệ mật mã RSA” với ngôn ngữ C++.

Chân thành cảm ơn

MỤC LỤC

MỞ ĐẦU 1

CHƯƠNG 1 TỔNG QUAN AN TOÀN BẢO MẬT HỆ THỐNG THÔNG TIN 4

1.1 Khái niệm về an toàn thông tin 4

1.1.1 An toàn thông tin là gì? 4

1.1.2 Các thành phần của an toàn thông tin 5

1.1.2.1 AN TOÀN MÁY TÍNH VÀ DỮ LIỆU 6

1.1.2.2 AN NINH MẠNG 6

1.1.2.3 QUẢN LÝ AN TOÀN THÔNG TIN 7

1.1.2.4 CHÍNH SÁCH AN TOÀN THÔNG TIN 8

1.1.3 Sự cần thiết của an toàn thông tin 9

1.2 Khái quát về an toàn hệ thống thông tin 11

1.2.1 Các thành phần của hệ thống thông tin 11

1.2.2 An toàn hệ thống thông tin là gì? 12

1.3 Các yêu cầu đảm bảo an toàn hệ thống thông tin 12

1.3.1 Bí mật 12

1.3.2 Toàn vẹn 14

1.3.3 Sẵn dùng 14

1.4 Bảy vùng trong hạ tầng CNTT và các mối đe dọa 15

1.4.1 Bảy vùng trong cơ sở hạ thầng CNTT 15

1.4.2 Các mối đe dọa 15

1.5 Mô hình tổng quát đảm bảo an toàn hệ thống thông tin 17

1.5.1 Giới thiệu mô hình Phòng về theo chiều sâu 17

1.5.2 Các lớp bảo vệ trong mô hình Phòng vệ theo chiều sâu 18

1.6 Nghiên cứu: An toàn và bảo mật thông tin khách hàng của khách hàngtrong cung cấp dịch vụ 20

1.6.1 Nhiều chiêu trò lừa đảo chiếm đoạt tài khoản, đánh cắp thông tin 20

1.6.2 An toàn thông tin là nhiệm vụ thường xuyên, liên tục của ngân hàng 22

1.6.3 Đồng bộ các giải pháp đảm bảo an toàn thông tin, tài khoản khách hàngvà hoạt động ngân hàng 25

1.6.4 Tuyệt đối không thuê, cho thuê, mượn, cho mượn tài khoản ngân hàng 261.6.5 Ứng dụng eKYC trong ngân hàng 28

2.1 Lý do, mục địch chọn thuật toán RSA 31

2.1.1 Lý do 31

2.1.2 Mục đích 32

2.2 Giới thiệu về hệ mật mã RSA 33

2.2.1 Lịch sử 33

2.2.2 Sơ lược về mã hóa RSA 34

2.3 Phân biệt hệ mã hóa bí mật và hệ mã hóa công khai 34

2.3.1 Mã hóa công khai 34

2.8 Ứng dụng của mã hóa RSA trong cuộc sống 42

CHƯƠNG 3 CODE VÀ DEMO SẢN PHẨM 44

CHƯƠNG 1 TỔNG QUAN AN TOÀN BẢO MẬT HỆ THỐNGTHÔNG TIN

1.1 Khái niệm về an toàn thông tin1.1.1 An toàn thông tin là gì?

An toàn thông tin (Information security) là việc bảo vệ chống truy nhập,

sử dụng, tiết lộ, sửa đổi, hoặc phá hủy thông tin một cách trái phép, theotrang Wikipedia (https://en.wikipedia.org/wiki/Information_security).

Theo cuốn Principles of Information Security, An toàn thông tin là việcbảo vệ các thuộc tính bí mật (confidentiality), tính toàn vẹn (integrity) vàtính sẵn dùng (availability) của các tài sản thông tin trong quá trình chúng

được lưu trữ, xử lý, hoặc truyền tải Hình1.1 minh họa ba thuộc tính cần bảovệ nói trên của các tài sản thông tin, bao gồm dữ liệu (Data) và dịch vụ(Services).

Hình 1.1: Các thuộc tính cần bảo vệ của tài sản thông tin: Bí mật(Confidentiality), Toàn vẹn (Integrity) và Sẵn dùng (Availability)

An toàn thông tin gồm hai lĩnh vực chính là An toàn công nghệ thôngtin (Information technology security, hay IT security) và Đảm bảo thông tin(Information assurance) An toàn công nghệ thông tin, hay còn gọi là Antoàn máy tính (Computer security) là việc đảm bảo an toàn cho các hệ thống

công nghệ thông tin, bao gồm các hệ thống máy tính và mạng, chống lạicác cuộc tấn công phá hoại Đảm bảo thông tin là việc đảm bảo thông tinkhông bị mất khi xảy ra các sự cố, như thiên tai, hỏng hóc, trộm cắp, pháhoại,… Đảm bảo thông tin thường được thực hiện sử dụng các kỹ thuật

sao lưu ngoại vi (offsite backup), trong đó dữ liệu thông tin từ hệ thống gốc

được sao lưu ra các thiết bị lưu trữ vật lý đặt ở một vị trí khác.

Một số khái niệm khác trong an toàn thông tin:

Truy nhập (Access) là việc một chủ thể, người dùng hoặc một đối tượng

có khả năng sử dụng, xử lý, sửa đổi, hoặc gây ảnh hưởng đến một chủ thể,người dùng hoặc một đối tượng khác Trong khi người dùng hợp pháp cóquyền truy nhập hợp pháp đến một hệ thống thì tin tặc truy nhập bất hợppháp đến hệ thống.

Tài sản (Asset) là tài nguyên của các tổ chức, cá nhân được bảo vệ Tài

sản có thể là tài sản lô gíc, như một trang web, thông tin, hoặc dữ liệu Tàisản có thể là tài sản vật lý, như hệ thống máy tính, thiết bị mạng, hoặc các tàisản khác.

Tấn công (Attack) là hành động có chủ ý hoặc không có chủ ý có khả

năng gây hại, hoặc làm thỏa hiệp các thông tin, hệ thống và các tài sản đượcbảo vệ Tấn công có thể chủ động hoặc thụ động, trực tiếp hoặc gián tiếp.

1.1.2 Các thành phần của an toàn thông tin.

Hình 1.2: Các thành phần chính của An toàn thông tin.

An toàn thông tin có thể được chia thành ba thành phần chính: an toànmáy tính và dữ liệu (Computer & data security), an ninh mạng (Networksecurity) và quản lý an toàn thông tin (Management of information security).

Ba thành phần của an toàn thông tin có quan hệ mật thiết và giao thoa với

nhau, trong đó phần chung của cả ba thành phần trên là chính sách an toànthông tin (Policy) như minh họa trên Hình 1.2.

1.1.2.1 An toàn máy tính và dữ liệu.

An toàn máy tính và dữ liệu là việc đảm bảo an toàn cho hệ thống phầncứng, phần mềm và dữ liệu trên máy tính; đảm bảo cho máy tính có thể vậnhành an toàn, đáp ứng các yêu cầu của người sử dụng An toàn máy tính vàdữ liệu bao gồm các nội dung:

- Đảm bảo an toàn hệ điều hành, ứng dụng, dịch vụ.- Vấn đề điều khiển truy nhập

- Vấn đề mã hóa và bảo mật dữ liệu- Vấn đề phòng chống phần mềm độc hại

- Việc sao lưu tạo dự phòng dữ liệu, đảm bảo dữ liệu lưu trong máytính không bị mất mát khi xảy ra sự cố.

Hình 1.3: Hình ảnh minh họa đảm bảo an toàn máy tính và dữ liệu.

1.1.2.2 An ninh mạng

An ninh mạng là việc đảm bảo an toàn cho hệ thống mạng và các thôngtin truyền tải trên mạng, chống lại các tấn công, xâm nhập trái phép Các kỹthuật và công cụ thường được sử dụng trong an ninh mạng bao gồm:

- Các tường lửa, proxy cho lọc gói tin và điều khiển truy nhập;

- Mạng riêng ảo và các kỹ thuật bảo mật thông tin truyền như SSL/TLS,PGP;

- Các kỹ thuật và hệ thống phát hiện, ngăn chặn tấn công, xâm nhập;Vấn đề giám sát mạng.

Hình 1.4: Đảm bảo an toàn cho hệ thống mạng và thông tin trên mạng.

1.1.2.3 Quản lý an toàn thông tin

Quản lý an toàn thông tin là việc quản lý và giám sát việc thực thi cácbiện pháp đảm bảo an toàn thông tin, giúp nâng cao hiệu quả của chúng Mộttrong các nội dung cốt lõi của quản lý an toàn thông tin là việc quản lý các rủiro (Risk management), trong đó việc nhận dạng và đánh giá rủi ro (Riskassessment) đóng vai trò then chốt Các nội dung khác của quản lý an toànthông tin, bao gồm các chuẩn an toàn thông tin, chính sách an toàn thông tinvà vấn đề đào tạo, nâng cao ý thức an toàn thông tin của người dùng.

Hình 1.5: Chu trình quản lý an toàn thông tin.

1.1.2.4 Chính sách an toàn thông tin

Hình 1.6: Chính sách an toàn thông tin.

Chính sách an toàn thông tin (Information security policy) là các nộiquy, quy định của cơ quan, tổ chức, nhằm đảm bảo các biện pháp đảm bảoan toàn thông tin được thực thi và tuân thủ Chính sách an toàn thông tin,như minh họa trên Hình 1.6 gồm 3 thành phần:

- Chính sách an toàn ở mức vật lý (Physical security policy);

- Chính sách an toàn ở mức tổ chức (Organizational security policy);- Chính sách an toàn ở mức logic (Logical security policy).

Một ví dụ về chính sách an toàn thông tin: để tăng cường an toàn cho hệthống công nghệ thông tin, một tổ chức có thể áp dụng chính sách xác thực‘mạnh’ sử dụng các đặc điểm sinh trắc (Biometrics), như xác thực sử dụngvân tay thay cho mật khẩu truyền thống cho hệ thống cửa ra vào trung tâmdữ liệu, hoặc đăng nhập vào hệ thống máy tính.

1.1.3 Sự cần thiết của an toàn thông tin

Hình 1.7: Số lượng các thiết bị kết nối vào Internet đến 2015 và dự báođến 2021

Trong những năm gần đây, cùng với sự phát triển mạnh mẽ của cácthiết bị di động, và đặc biệt là các thiết bị IoT (Internet of Things), số lượngngười dùng mạng Internet và số lượng thiết bị kết nối vào mạng Internettăng trưởng nhanh chóng Theo thống kê và dự báo của Forbes [3] cho trênHình 1.7, số lượng các thiết bị có kết nối Internet là khoảng 15 tỷ và dự báosẽ tăng mạnh lên khoảng 28 tỷ thiết bị có kết nối vào năm 2021 Các thiết bịIoT kết nối thông minh là nền tảng cho phát triển nhiều ứng dụng quan trọngtrong các lĩnh vực của đời sống xã hội, như thành phố thông minh, cộngđồng thông minh, ngôi nhà thông minh, ứng dụng giám sát và chăm sóc sứckhỏe,…

Cùng với những lợi ích to lớn mà các thiết bị kết nối Internet mạng lại,các sự cố mất an toàn thông tin đối với các hệ thống máy tính, điện thoại diđộng thông minh, các thiết bị IoT và người dùng cũng tăng vọt Theo số liệughi nhận của Cơ quan Thống kê quốc gia Hoa Kỳ cho trên Hình 1.8, số lượngcác sự cố mất an toàn hệ thống thông tin được thông báo đến Cơ quan ứngcứu khẩn cấp máy tính (US-CERT) trong giai đoạn 2006 – 2014 tăng rấtmạnh, từ 5.503 vụ vào năm 2006 lên đến 67.168 vụ vào năm 2014 Ở Việt

Nam, trong báo cáo “Tổng kết an ninh mạng năm 2015 và dự báo xu hướng2016” [5], Tập đoàn Bkav cho biết 8.700 tỷ đồng là tổng thiệt hại ước tính do

vi rút máy tính gây ra đối với người dùng Việt Nam trong năm 2015 Con sốnày vẫn ở mức cao và tiếp tục tăng so với 8.500 tỷ đồng của năm 2014 Dự

báo trong năm 2016 và các năm tiếp theo, số lượng sự cố và thiệt hại do mấtan toàn thông tin gây ra còn có thể lớn hơn nữa, do số lượng thiết bị kết nốităng trưởng nhanh chóng và nguy cơ từ sự phát triển mạnh của các phần mềmđộc hại và các kỹ thuật tấn công, phá hoại tinh vi.

Hình 1.8: Số lượng các sự cố toàn hệ thống thông tin được thông báo đến Cơquan ứng cứu khẩn cấp máy tính (US-CERT) trong giai đoạn 2006-2014

Như vậy, việc đảm bảo an toàn cho thông tin, máy tính, hệ thống mạngvà các thiết bị kết nối khác, chống lại các truy nhập trái phép và các cuộc tấncông phá hoại là rất cần thiết không chỉ đối với các cá nhân, cơ quan, tổchức, doanh nghiệp mà còn đối với an ninh quốc gia Hơn nữa, việc xâydựng các giải pháp an toàn thông tin chỉ thực sự hiệu quả khi được thực hiệnbài bản, đồng bộ, đảm bảo cân bằng giữa tính an toàn, tính hữu dụng của hệthống và chi phí đầu tư cho các biện pháp đảm bảo an toàn.

1.2 Khái quát về an toàn hệ thống thông tin

1.2.1 Các thành phần của hệ thống thông tin

Hình 1.9 Mô hình hệ thống thông tin của cơ quan, tổ chức

Hệ thống thông tin (Information system), theo cuốn sách Fundamentals of

Information Systems Security [2] là một hệ thống tích hợp các thành phầnnhằm phục vụ việc thu thập, lưu trữ, xử lý thông tin và chuyển giao thôngtin, tri thức và các sản phẩm số Trong nền kinh tế số, hệ thống thông tinđóng vai trò rất quan trọng trong hoạt động của các tổ chức, cơ quan vàdoanh nghiệp (gọi chung là tổ chức) Có thể nói, hầu hết các tổ chức đều sửdụng các hệ thống thông tin với các quy mô khác nhau để quản lý các hoạtđộng của mình Hình 1.9 minh họa mô hình một hệ thống thông tin điểnhình Trong mô hình này, mỗi hệ thống thông tin gồm ba thành phần chính:(i) thành phần thu thập thông tin (Input), (ii) thành phần xử lý thông tin(Processing) và (iii) thành phần kết xuất thông tin (Output) Hệ thống thôngtin được sử dụng để tương tác với khách hàng (Customers), với nhà cung cấp(Suppliers), với cơ quan chính quyền (Regulatory Agencies), với cổ đông vàvới đối thủ cạnh tranh (Competitors) Có thể nêu là một số hệ thống thông tinđiển hình như các hệ lập kế hoạch nguồn lực doanh nghiệp, các máy tìmkiếm và các hệ thống thông tin địa lý.

Trong lớp các hệ thống thông tin, hệ thống thông tin dựa trên máy tính(Computer- based information system), hay sử dụng công nghệ máy tính đểthực thi các nhiệm vụ là lớp hệ thống thông tin được sử dụng rộng rãi nhất.Hệ thống thông tin dựa trên máy tính thường gồm các thành phần: phần cứng(Hardware) để thu thập, lưu trữ, xử lý và biểu diễn dữ liệu; phần mềm(Software) chạy trên phần cứng để xử lý dữ liệu; cơ sở dữ liệu (Databases) đểlưu trữ dữ liệu; mạng (Networks) là hệ thống truyền dẫn thông tin/dữ liệu; vàcác thủ tục (Procedures) là tập hợp các lệnh kết hợp các bộ phận nêu trên đểxử lý dữ liệu, đưa ra kết quả mong muốn.

1.2.2 An toàn hệ thống thông tin là gì?

An toàn hệ thống thông tin (Information systems security) là việc đảm bảocác thuộc tính an ninh, an toàn của hệ thống thông tin, bao gồm tính bí mật(confidentiality), tính toàn vẹn (integrity) và tính sẵn dùng (availability) Hình

1.10 minh họa các thành phần của Hệ thống thông tin dựa trên máy tính vàAn toàn hệ thống thông tin.

Hình 1.10 Các thành phần của hệ thống và an toàn hệ thống thông tin

1.3 Các yêu cầu đảm bảo an toàn hệ thống thông tin1.3.1 Bí mật

Tính bí mật đảm bảo rằng chỉ người dùng có thẩm quyền mới được truynhập thông tin, hệ thống Các thông tin bí mật có thể bao gồm: (i) dữ liệuriêng của cá nhân, (ii) các thông tin thuộc quyền sở hữu trí tuệ của các

doanh nghiệp hay các cơ quan, tổ chức và(iii) các thông tin có liên quanđến an ninh của các quốc gia và các chính phủ Hình 1.11 minh họa một văn

bản được đóng dấu Confidential (Mật), theo đó chỉ những người có thẩm

quyền (có thể không gồm người soạn thảo văn bản) mới được đọc và phổbiến văn bản.

Hình 1.11 Một văn bản được đóng dấu Confidential (Mật)

Hình 1.12 Đảm bảo tính bí mật bằng đường hầm VPN, hoặc mã hóa

Thông tin bí mật lưu trữ hoặc trong quá trình truyền tải cần được bảo vệbằng các biện pháp phù hợp, tránh bị lộ lọt hoặc bị đánh cắp Các biện phápcó thể sử dụng để đảm bảo tính bí mật của thông tin như bảo vệ vật lý, hoặcsử dụng mật mã (cryptography) Hình 1.12 minh họa việc đảm bảo tính bímật bằng cách sử dụng đường hầm VPN, hoặc mã hóa để truyền tải thôngtin.

1.3.2 Toàn vẹn

Tính toàn vẹn đảm bảo rằng thông tin và dữ liệu chỉ có thể được sửa đổibởi những người dùng có thẩm quyền Tính toàn vẹn liên quan đến tính hợp lệ(validity) và chính xác (accuracy) của dữ liệu Trong nhiều tổ chức, thông tinvà dữ liệu có giá trị rất lớn, như bản quyền phần mềm, bản quyền âm nhạc,bản quyền phát minh, sáng chế Mọi thay đổi không có thẩm quyền có thể ảnhhưởng rất nhiều đến giá trị của thông tin Thông tin hoặc dữ liệu là toàn vẹnnếu nó thỏa mãn ba điều kiện: (i) không bị thay đổi, (ii) hợp lệ và (iii) chínhxác.

1.3.3 Sẵn dùng

Tính sẵn dùng, hoặc khả dụng đảm bảo rằng thông tin, hoặc hệ thống cóthể truy nhập bởi người dùng hợp pháp bất cứ khi nào họ có yêu cầu Tínhsẵn dùng có thể được đo bằng các yếu tố:

- Thời gian cung cấp dịch vụ (Uptime);

- Thời gian ngừng cung cấp dịch vụ (Downtime);- Tỷ lệ phục vụ: A = (Uptime) / (Uptime + Downtime);- Thời gian trung bình giữa các sự cố;

- Thời gian trung bình ngừng để sửa chữa;- Thời gian khôi phục sau sự cố.

Hình 1.13 Minh họa tính sẵn dùng: (a) Không đảm bảo (b) Đảm bảo tính sẵnsàng

Hình 1.13 minh họa tính sẵn dùng: trường hợp (a) hệ thống không đảmbảo tính sẵn dùng khi có một số thành phần gặp sự cố thì không có khảnăng phục vụ tất cả các yêu cầu của người dùng và (b) hệ thống đảm bảotính sẵn dùng khi các thành phần của nó hoạt động bình thường.

1.4 Bảy vùng trong hạ tầng CNTT và các mối đe dọa1.4.1 Bảy vùng trong cơ sở hạ thầng CNTT

Hạ tầng công nghệ thông tin (IT Infrastructure) của các cơ quan, tổchức, doanh nghiệp có thể có quy mô lớn hay nhỏ khác nhau, nhưng thườnggồm bảy vùng theo mức kết nối mạng như minh họa trên Hình 1.14.

Các vùng cụ thể gồm: vùng người dùng (User domain), vùng máy trạm(Workstation domain), vùng mạng LAN (LAN domain), vùng LAN-to-WAN(LAN-to-WAN domain), vùng mạng WAN (WAN domain), vùng truy nhậptừ xa (Remote Access domain) và vùng hệ thống/ứng dụng(Systems/Applications domain) Do mỗi vùng kể trên có đặc điểm khác nhaunên chúng có các mối đe dọa và nguy cơ mất an toàn thông tin khác nhau.

Hình 1.14 bảy vùng trong hạ tầng CNTT theo mức kết nối mạng

1.4.2 Các mối đe dọa

Vùng người dùng

Có thể nói vùng người dùng là vùng có nhiều mối đe dọa và nguy cơnhất do người dùng có bản chất khó đoán định và khó kiểm soát hành vi Các

vấn đề thường gặp như thiếu ý thức, coi nhẹ vấn đề an ninh an toàn, vi phạmcác chính sách an ninh an toàn; đưa CD/DVD/USB với các file cá nhân vàohệ thống; tải ảnh, âm nhạc, video trái phép; phá hoại dữ liệu, ứng dụng vàhệ thống; các nhân viên bất mãn có thể tấn công hệ thống từ bên trong,hoặc nhân viên có thể tống tiền hoặc chiếm đoạt thông tin nhạy cảm, thôngtin quan trọng.

Vùng máy trạm

Vùng máy trạm cũng có nhiều mối đe dọa và nguy cơ do vùng máytrạm tiếp xúc trực tiếp với vùng người dùng Các nguy cơ thường gặp gồm:truy nhập trái phép vào máy trạm, hệ thống, ứng dụng và dữ liệu; các lỗ hổngan ninh trong hệ điều hành, trong các phần mềm ứng dụng máy trạm; cáchiểm họa từ vi rút, mã độc và các phần mềm độc hại Ngoài ra, vùng máytrạm cũng chịu các nguy cơ do hành vi bị cấm từ người dùng, như đưaCD/DVD/USB với các file cá nhân vào hệ thống; tải ảnh, âm nhạc, video tráiphép.

Vùng mạng LAN

Các nguy cơ có thể có đối với vùng mạng LAN bao gồm: truy nhập tráiphép vào mạng LAN vật lý, truy nhập trái phép vào hệ thống, ứng dụng vàdữ liệu; các lỗ hổng an ninh trong hệ điều hành và các phần mềm ứng dụngmáy chủ; nguy cơ từ người dùng giả mạo trong mạng WLAN; tính bí mật dữliệu trong mạng WLAN có thể bị đe dọa do sóng mang thông tin của WLANtruyền trong không gian có thể bị nghe trộm Ngoài ra, các hướng dẫn và cấuhình chuẩn cho máy chủ LAN nếu không được tuân thủ nghiêm ngặt sẽ dẫnđến những lỗ hổng an ninh mà tin tặc có thể khai thác.

Vùng mạng LAN-to-WAN

Vùng mạng LAN-to-WAN là vùng chuyển tiếp từ mạng nội bộ ramạng diện rộng, nên nguy cơ lớn nhất là tin tặc từ mạng WAN có thểthăm dò và rà quét trái phép các cổng dịch vụ, nguy cơ truy nhập trái phép.Ngoài ra, một nguy cơ khác cần phải xem xét là lỗ hổng an ninh trong các bộđịnh tuyến, tường lửa và các thiết bị mạng khác.

Vùng mạng WAN

Vùng mạng WAN, hay mạng Internet là vùng mạng mở, trong đó hầuhết dữ liệu được truyền dưới dạng rõ, nên các nguy cơ lớn nhất là dễ bị nghe

trộm và dễ bị tấn công phá hoại, tấn công từ chối dịch vụ (DoS) và từ chốidịch vụ phân tán (DDoS) Kẻ tấn công có thể tự do, dễ dàng gửi email cóđính kèm vi rút, sâu và các phần mềm độc hại.

Vùng truy nhập từ xa

Trong vùng truy nhập từ xa, các nguy cơ điển hình bao gồm: tấn côngkiểu vét cạn vào tên người dùng và mật khẩu, tấn công vào hệ thống đăngnhập và điều khiển truy nhập; truy nhập trái phép vào hệ thống CNTT, ứngdụng và dữ liệu; các thông tin bí mật có thể bị đánh cắp từ xa; và vấn đề rò rỉdữ liệu do vi phạm các tiêu chuẩn phân loại dữ liệu.

Vùng hệ thống và ứng dụng

Trong vùng hệ thống và ứng dụng, các nguy cơ có thể bao gồm: truynhập trái phép đến trung tâm dữ liệu, phòng máy hoặc tủ cáp; các khó khăntrong quản lý các máy chủ với yêu cầu tính sẵn dùng cao; các lỗ hổng trongquản lý các phần mềm ứng dụng của hệ điều hành máy chủ; các vấn đề anninh trong các môi trường ảo của điện toán đám mây; và vấn đề hỏng hóchoặc mất dữ liệu.

1.5 Mô hình tổng quát đảm bảo an toàn hệ thống thông tin1.5.1 Giới thiệu mô hình Phòng về theo chiều sâu

Mô hình tổng quát đảm bảo an toàn hệ thống thông tin là Phòng vệ theo chiềusâu (Defence in Depth) Theo mô hình này, ta cần tạo ra nhiều lớp bảo vệ, kết

hợp tính năng, tác dụng của mỗi lớp để đảm bảo an toàn tối đa cho thông tin,hệ thống và mạng Một lớp, một công cụ phòng vệ riêng rẽ dù có hiện đại,nhưng vẫn không thể đảm bảo an toàn Do vậy, việc tạo ra nhiều lớp bảo vệcó khả năng bổ sung cho nhau là cách làm hiệu quả Một điểm khác cần lưu ýkhi thiết kế và triển khai hệ thống đảm bảo an toàn thông tin là cần cân bằng

giữa tính hữu dụng (Usability), chi phí (Cost) và an toàn (Security), như minh

họa trên Hình 1.15 Hệ thống đảm bảo an toàn thông tin chỉ thực sự phù hợpvà hiệu quả khi hệ thống được bảo vệ đạt mức an toàn phù hợp mà vẫn cókhả năng cung cấp các tính năng hữu dụng cho người dùng, với chi phí chođảm bảo an toàn phù hợp với tài sản được bảo vệ.

Hình 1.15 Các lớp bảo vệ cần cân bằng giữa Tính hữu dụng (Usability), Chiphí (Cost) và An toàn (Security)

1.5.2 Các lớp bảo vệ trong mô hình Phòng vệ theo chiều sâu

Hình 1.16 minh họa mô hình đảm bảo an toàn thông tin với bảy lớp bảovệ, bao gồm lớp chính sách, thủ tục, ý thức (Policies, procedures, awareness);lớp vật lý (Physical); lớp ngoại vi (Perimeter); lớp mạng nội bộ (Internalnetwork); lớp host (Host); lớp ứng dụng (Application) và lớp dữ liệu (Data).Trong mô hình này, để truy nhập được đến đối tượng đích là dữ liệu, tin tặccần phải vượt qua cả 7 lớp bảo vệ.

Hình 1.16 Mô hình đảm bảo an toàn thông tin với bảy lớp

Tương tự, Hình 1.17 minh họa mô hình phòng vệ gồm 3 lớp: lớp anninh cơ quan/tổ chức, lớp an ninh mạng và lớp an ninh hệ thống Mỗi lớptrên lại gồm một số lớp con như sau:

- Lớp an ninh cơ quan/tổ chức (Plant Security), gồm 2 lớp con:

+ Lớp bảo vệ vật lý (Physical Security) có nhiệm vụ kiểm soát cáctruy nhập vật lý đến các trang thiết bị hệ thống và mạng.

+ Lớp chính sách & thủ tục (Policies & procedures) bao gồm cácquy trình quản lý ATTT, các hướng dẫn vận hành, quản lý hoạtđộng liên tục và phục hồi sau sự cố.

- Lớp an ninh mạng (Network Security), gồm 2 lớp con:

+ Lớp bảo vệ vùng hạn chế truy nhập (Security cells and DMZ)cung cấp các biện pháp bảo vệ cho từng phân đoạn mạng.

+ Lớp các tường lửa, mạng riêng ảo (Firewalls and VPN) đượctriển khai như điểm truy nhập duy nhất đến một phân đoạn mạng.- Lớp an ninh hệ thống (System Integrity), gồm 4 lớp con:

+ Lớp tăng cường an ninh hệ thống (System hardening) đảm bảoviệc cài đặt và cấu hình các thành phần trong hệ thống đảm bảo cácyêu cầu an toàn.

+ Lớp quản trị tài khoản người dùng (User Account Management)thực hiện kiểm soát truy nhập dựa trên quyền truy nhập và các đặcquyền của người dùng.

+ Lớp quản lý các bản vá (Patch Management) có nhiệm vụ định kỳcài đặt các bản vá an ninh và các bản cập nhật cho hệ thống.

+ Lớp phát hiện và ngăn chặn phần mềm độc hại (Malware detectionand prevention) có nhiệm vụ bảo vệ hệ thống, chống vi rút và cácphần mềm độc hại khác.

Hình 1.17 Mô hình đảm bảo an toàn thông tin với ba lớp chính

1.6 Nghiên cứu: An toàn và bảo mật thông tin khách hàng của khách hàng trong cung cấp dịch vụ

Theo Ngân hàng Nhà nước Việt Nam (NHNN), tính đến cuối tháng6/2022, có gần 5,5 triệu tài khoản mở bằng phương thức trực tuyến (eKYC)đang hoạt động, gần 8,9 triệu thẻ mở bằng eKYC đang lưu hành và khoảng123 triệu tài khoản thanh toán Với sự phát triển của thương mại điện tử,thanh toán điện tử cũng tăng trưởng mạnh mẽ Tuy nhiên, cũng từ đó, kẻ gianlợi dụng lỗi bất cẩn hay nhẹ dạ của khách hàng khi sử dụng tài khoản ngânhàng và khi giao dịch trên môi trường điện tử để lừa đảo

Đảm bảo an toàn cho các hệ thống công nghệ thông tin (CNTT) cungcấp dịch vụ ngân hàng là nhiệm vụ thường xuyên và liên tục của ngành Ngânhàng Đặc biệt, an toàn thông tin, bảo mật dữ liệu khách hàng luôn được cácngân hàng quan tâm Đây còn trách nhiệm của các ngân hàng và tổ chức cungứng dịch vụ trung gian thanh toán phải bảo vệ quyền lợi hợp pháp của kháchhàng khi sử dụng dịch vụ.

1.6.1 Nhiều chiêu trò lừa đảo chiếm đoạt tài khoản, đánh cắp thôngtin

Gần đây, Bộ Công an đã cảnh báo, qua quá trình điều tra các vụ án liênquan đến hoạt động sử dụng không gian mạng, các thiết bị công nghệ caođược sử dụng phổ biến để lừa đảo chiếm đoạt tài sản Trong đó, Công anThành phố Đà Nẵng phát hiện các đối tượng hầu hết sử dụng tài khoản ngânhàng không chính chủ để làm địa chỉ nhận tiền lừa đảo Đa phần các tài khoảnnày là của người dân vì hoàn cảnh khó khăn hoặc do bị dụ dỗ, không biết việcmình mở tài khoản để bán, cho thuê, cho mượn là vi phạm pháp luật Từ đó,

tạo điều kiện cho tội phạm sử dụng làm công cụ thực hiện lừa đảo trên khônggian mạng.

Hình 1.18 Minh họa bảo mật thông tin của ngân hàng.

Bên cạnh đó, thời gian qua xuất hiện nhiều thủ đoạn đối tượng giả danhlà cơ quan Công an, Viện Kiểm sát, Tòa án không làm việc trực tiếp màđiện thoại hoặc thông qua mạng xã hội Zalo, Viber liên lạc, hù dọa, yêu cầungười dân cung cấp thông tin cá nhân, mở tài khoản ngân hàng, cung cấp mãOTP (mật khẩu chỉ sử dụng 01 lần được ngân hàng tạo ra gửi đến số điệnthoại chủ tài khoản nhằm xác nhận giao dịch) hoặc yêu cầu người dân nộptiền, chuyển tiền để xác minh, giải quyết các vụ án nhằm lừa đảo chiếm đoạttiền

Thực tế, do chưa nắm được quy định pháp luật, người dân dễ bị dụ dỗbán hoặc cho mượn tài khoản ngân hàng, không những thế, tình trạng bị lộthông tin tài khoản ngân hàng cũng có nguyên nhân từ chính khách hàng Khihàng rào bảo mật của các ngân hàng thương mại (NHTM) đã được nâng cấp,chặt chẽ hơn, tội phạm công nghệ sẽ tấn công vào những lỗi bất cẩn củakhách hàng Theo các chuyên gia về an ninh bảo mật, có rất nhiều cách mà dữliệu tài khoản ngân hàng của người dùng bị đánh cắp Theo đó, các đối tượnglừa đảo, hacker lập ra những trang web giả mạo ngân hàng với tên miền gầngiống, chỉ thay đổi một vài ký tự Điều này khiến người dùng dễ dàng bị đánhlừa khi đăng nhập tài khoản ngân hàng khiến việc lộ thông tin một cách dễdàng Các hacker sẽ thu thập mọi dữ liệu của người dùng tại đây Ngoài ra,người dân hiện đang mua bán trực tuyến khá nhiều nên khi thanh toán sẽ phải

đăng nhập tài khoản ngân hàng Nếu không có các kỹ năng bảo mật thì đâycũng là một trong những nguyên nhân chính dẫn đến việc lộ thông tin các tàikhoản ngân hàng.

Chẳng hạn, đối tượng sẽ gửi email hoặc tin nhắn giả mạo của ngân hàng,gọi điện yêu cầu khách hàng truy cập vào các đường link xác nhận chuyểntiền Sau khi có được số tài khoản của “con mồi”, kẻ gian sẽ chuyển mộtkhoản tiền nhỏ vào tài khoản của người này, sau đó giả làm nhân viên ngânhàng gọi điện, gửi tin nhắn cho khách hàng để thông báo giao dịch chuyểntiền bị treo và yêu cầu khách hàng truy cập vào đường link trong tin nhắn đểxác nhận thông tin, mở khóa lệnh chuyển tiền Đường link này sẽ dẫn dụkhách hàng cung cấp các thông tin bảo mật như: Tên truy cập, mật khẩu, mãOTP… sau đó chiếm quyền kiểm soát tài khoản và rút tiền

Hoặc kẻ gian giả mạo ngân hàng gửi email để thông báo khách hàngnhận được một khoản tiền và yêu cầu khách hàng xác nhận giao dịch bằngcách truy cập vào tệp hoặc đường link có chứa mã độc gửi kèm trong emailnhằm chiếm đoạt thông tin và tiền trong tài khoản Các đối tượng này tìmnhững shop bán hàng online trên Facebook, sau đó nh ắn tin hỏi mua hàng vànói dối là đang ở nước ngoài, yêu cầu các shop bán hàng đưa số tài khoản đểhọ chuyển tiền từ nước ngoài về Tiếp theo, chúng sẽ gửi cho các shop đườnglink, nói là truy cập vào đường link đó để nhận tiền chuyển khoản từ nướcngoài về, trong đường link này sẽ yêu cầu nhập số tài khoản và mã OTP…

Cách khác, kẻ gian lừa đảo bằng thủ đoạn chuyển nhầm tiền vào tàikhoản Theo đó, các đối tượng sẽ vờ chuyển nhầm một khoản tiền vào tàikhoản của khách hàng với nội dung cho vay, sau một thời gian, người này sẽgọi điện đòi tiền cùng với lãi vay Hoặc, đối tượng lừa đảo giả danh nhân viênngân hàng thông báo có người chuyển nhầm tiền vào tài khoản của kháchhàng và hướng dẫn thủ tục hoàn trả, sau đó gửi đường link yêu cầu kháchhàng điền thông tin cá nhân gồm các thông tin bảo mật và chiếm đoạt tiềntrong tài khoản

1.6.2 An toàn thông tin là nhiệm vụ thường xuyên, liên tục củangân hàng

Về phía ngành Ngân hàng, đảm bảo an toàn cho các hệ thống CNTTcung cấp dịch vụ ngân hàng là nhiệm vụ thường xuyên và liên tục của ngành

Ngân hàng Đặc biệt, an toàn thông tin, bảo mật dữ liệu khách hàng luôn đượccác ngân hàng quan tâm

Thời gian qua, NHNN đã ban hành nhiều văn bản chỉ đạo các tổ chức tíndụng (TCTD), tổ chức cung ứng dịch vụ trung gian thanh toán tăng cường cácbiện pháp đảm bảo an ninh, an toàn, bảo mật trong mở tài khoản thanh toánbằng phương thức điện tử Đồng thời, NHNN đã rà soát, sửa đổi hoặc banhành mới nhiều văn bản hướng dẫn các TCTD triển khai các dịch vụ ngânhàng điện tử đảm bảo an toàn, bảo mật

Ngày 13/01/2022, Thống đốc NHNN đã ban hành Chỉ thị số NHNN về việc đẩy mạnh chuyển đổi số và bảo đảm an ninh, an toàn thông tintrong hoạt động ngân hàng Theo đó, NHNN yêu c ầu các NHNN chi nhánhtỉnh, thành phố: Tăng cường công tác quản lý, theo dõi, giám sát, thanh tra,kiểm tra để phát hiện, xử lý theo thẩm quyền các vi phạm pháp luật trong hoạtđộng ngân hàng điện tử và công tác đảm bảo an ninh, an toàn tài sản, bảo mậtthông tin khách hàng; yêu c ầu các TCTD, tổ chức cung ứng dịch vụ trunggian thanh toán: Thực hiện nghiêm túc công tác báo cáo về các sự cố an toànthông tin theo quy định tại Thông tư số 09/2020/TT-NHNN ngày 21/10/2020của Thống đốc NHNN quy định về an toàn hệ thống thông tin trong hoạt độngngân hàng; tăng cường chia sẻ thông tin về các mối đe dọa an ninh mạng giữacác thành viên Mạng lưới ứng cứu sự cố an ninh CNTT ngành Ngân hàng

02/CT-Tại Thông tư số 35/2016/TT-NHNN ngày 29/12/2016 của Thống đốcNHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàngtrên Internet đã quy định rõ trách nhiệm của các TCTD phải bảo vệ quyền lợicủa khách hàng khi sử dụng dịch vụ, cụ thể bao gồm: Cung cấp thông tin dịchvụ Internet Banking trước khi khách hàng đăng ký sử dụng dịch vụ Trong đóbao gồm các điều kiện cần thiết về trang thiết bị sử dụng; cách thức truy cậpdịch vụ; hạn mức giao dịch và các biện pháp xác thực giao dịch; các rủi roliên quan đến sử dụng dịch vụ; hướng dẫn khách hàng sử dụng dịch vụ antoàn, bảo mật; cung cấp cho khách hàng thông tin về đầu mối tiếp nhận thôngtin, số điện thoại đường dây nóng và chỉ dẫn cho khách hàng quy trình, cáchthức phối hợp xử lý các lỗi và sự cố trong quá trình sử dụng dịch vụ

NHNN cũng chủ động theo dõi và nắm bắt tình hình an ninh mạng trongNgành và là đầu mối thường xuyên tiếp nhận các cảnh báo về lỗ hổng bảomật, nguy cơ mất an toàn CNTT từ các đơn vị, đối tác và cảnh báo các đơn vịtrong Ngành kịp thời cập nhật các lỗ hổng bảo mật và sẵn sàng các biện pháp

để phát hiện, ngăn chặn và xử lý kịp thời các sự cố (nếu có phát sinh) Hằngnăm, NHNN tổ chức kiểm tra tuân thủ các quy định về an toàn bảo mật tại cácTCTD, tổ chức trung gian thanh toán để đánh giá, phát hiện và xử lý sớm cácrủi ro, sai phạm cũng như khuyến nghị, chấn chỉnh kịp thời những tồn tại hạnchế về an ninh, bảo mật tại các TCTD

Bên cạnh đó, NHNN đã triển khai công tác tuyên truyền, giáo dục tàichính cho người dân, với các chương trình như “Tiền khéo, tiền khôn”, “Tayhòm chìa khóa” nhằm nâng cao kiến thức, kỹ năng cho khách hàng trong sửdụng dịch vụ ngân hàng, giúp giảm thiểu rủi ro, đảm bảo an toàn thông tin tàikhoản khách hàng

Về phía các NHTM, để đảm bảo an toàn, bảo mật cho giao dịch ngânhàng và thông tin, tài khoản khách hàng trước nguy cơ tấn công mạng, cácNHTM đã tăng cường phối hợp với NHNN để thực hiện các chính sách đãban hành về CNTT trong lĩnh vực ngân hàng; chủ động trong việc giám sáthoạt động hệ thống CNTT và xử lý các sự cố phát sinh (nếu có); tăng cườngcác biện pháp giám sát, theo dõi hoạt động và nhật ký của các hệ thống thôngtin quan trọng, các cổng, trang tin điện tử, hệ thống Internet Banking để kịpthời phát hiện và xử lý sự việc nghi ngờ là hành động tấn công (nếu có); thựchiện sao lưu và lưu trữ đầy đủ dữ liệu cũng như sẵn sàng kịch bản và phươngán đảm bảo hoạt động liên tục cho các hệ thống thông tin quan trọng, cáccổng, trang tin điện tử, hệ thống Internet Banking

Theo thống kê của NHNN, việc đầu tư của các NHTM cho an toàn thôngtin chiếm 15% đầu tư cho CNTT ứng dụng công nghệ mới (AI, Big Data )hoặc thuê ngoài để giám sát an toàn thông tin

Bên cạnh đó, các NHTM cũng đẩy mạnh công tác truyền thông, tuyêntruyền, nâng cao nhận thức của khách hàng trong việc sử dụng ngân hàng điệntử, khuyến khích, hỗ trợ người dân trong việc tiếp cận, sử dụng hiệu quả cácdịch vụ ngân hàng trực tuyến; đồng thời tiếp nhận ý kiến trực tiếp từ kháchhàng nhằm hoàn thiện và nâng cao chất lượng sản phẩm, dịch vụ.

Tuy nhiên, tình hình tội phạm công nghệ cao ngày càng phức tạp, tinh vi,có phạm vi toàn cầu, vấn đề an ninh, bảo mật thông tin tài khoản ngân hàngcủa khách hàng và ngân hàng đang là thách thức với ngành Ngân hàng