ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ TRẦN MINH THẮNG NGHIÊN CỨU BẢO MẬT HỆ THỐNG THÔNG TIN VÀ ĐỀ XUẤT GIẢI PHÁP BẢO MẬT CHO HỆ THỐNG THÔNG TIN THƢ VIỆN CỦA TRƢỜNG ĐẠI HỌC TÀI NGUYÊN MÔI TRƢỜNG HÀ NỘI LUẬN VĂN THẠC SĨ Hà Nội – 2014 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ TRẦN MINH THẮNG NGHIÊN CỨU BẢO MẬT HỆ THỐNG THÔNG TIN VÀ ĐỀ XUẤT GIẢI PHÁP BẢO MẬT CHO HỆ THỐNG THÔNG TIN THƢ VIỆN CỦA TRƢỜNG ĐẠI HỌC TÀI NGUYÊN MÔI TRƢỜNG HÀ NỘI Ngành: Công nghệ thông tin Chuyên ngành: Kỹ thuật phần mềm Mã số: 60480103 LUẬN VĂN THẠC SĨ Cán hƣớng dẫn khoa học: TS PHÙNG VĂN ỔN Hà Nội - 2014 LỜI CAM ĐOAN Tôi xin cam đoan luận văn “Nghiên cứu bảo mật hệ thống thông tin đề xuất giải pháp bảo mật cho hệ thống thông tin Thư viện Trường Đại học Tài nguyên Môi trường Hà Nội” kết nghiên cứu riêng Các kết nghiên cứu đƣợc trình bày luận văn trung thực chƣa đƣợc cơng bố cơng trình khác Hà Nội 10/2014 HỌC VIÊN Trần Minh Thắng LỜI CẢM ƠN Em xin chân thành cảm ơn bảo tận tình TS Phùng Văn Ổn, ngƣời tận tình hƣớng dẫn, giúp đỡ em suốt thời gian thực luận văn Em xin chân thành cảm ơn thầy, cô Khoa Công nghệ thông Trƣờng Đại học Công nghệ – Đại học Quốc gia Hà Nội dìu dắt, giảng dậy, giúp em có kiến thức quý báu năm học qua Tôi xin chân thành cảm ơn đến cán trung tâm thông tin thƣ viện, ban lãnh đạo nhà trƣờng trƣờng đại học Tài Nguyên Môi trƣờng Hà Nội giúp đỡ, tạo điều kiện tốt cho suốt thời gian làm luận văn Tơi xin cảm ơn bạn bè gia đình bên tôi, cổ vũ động viên lúc khó khăn để vƣợt qua hoàn thành tốt luận văn Mặc dù cố gắng với tận tâm thầy giáo hƣớng dẫn song trình độ cịn hạn chế, nội dung đề tài rộng, nên Luận văn khó tránh khỏi thiếu sót hạn chế Do em mong nhận đƣợc góp ý thầy cô bạn để luận văn em đƣợc hoàn thiện tiếp cận gần với thực tiễn Hà Nội 10/2014 HỌC VIÊN Trần Minh Thắng MỤC LỤC LỜI CAM ĐOAN LỜI CẢM ƠN MỞ ĐẦU CHƢƠNG 1: TỔNG QUAN VỀ BẢO MẬT HỆ THỐNG THÔNG TIN10 1.1 Tổng quan 10 1.1.1 Các khái niệm định nghĩa 10 1.1.2 Những yêu cầu bảo mật hệ thống thông tin 11 1.1.3 Các mối đe doạ hình thức công hệ thống 11 CHƢƠNG CÁC BIỆN PHÁP BẢO MẬT HỆ THỐNG THÔNG TIN18 2.1 Các mục tiêu bảo mật hệ thống 18 2.1.1 Ngăn chặn (prevention) 19 2.1.2 Phát (detection) 19 2.1.3 Phục hồi (recovery) 19 2.2 Chính sách chế 20 2.2.1 Chính sách 20 2.2.2 Cơ chế 20 2.3 Chiến lƣợc bảo mật hệ thống AAA 21 2.3.1 Điều khiển truy xuất 22 2.3.2 Xác Minh 24 2.3.3 Kiểm tra 26 2.4 Tƣờng lửa 29 2.4.1 Phân loại tƣờng lửa theo đặc tính kỹ thuật: 30 2.4.2 Phân loại firewall theo phạm vi bảo vệ: 30 2.4.3 Phân loại firewall theo chế làm việc: 30 2.5 Hệ thống phát xâm nhập 32 2.5.1 Phân loại IDS theo phạm vi giám sát: 33 2.5.2 Phân loại IDS theo kỹ thuật thực hiện: 34 2.6 Mã hóa 35 2.6.1 Tổng quan mã hóa 35 2.6.2 Mã hóa bất đối xứng (asymmetric) 37 2.6.3 Mã hóa đối xứng (symmetric) 39 2.6.4 Hàm băm (Hashing) 40 Hình 2.3: Sơ đồ vịng lặp MD5 44 Hình 2.4: Sơ đồ vòng lạp MD5 44 Hình 2.5: Sơ đồ vịng lặp SHA 47 2.7 Chữ ký điện tử 49 2.7.1 Tổng quan 49 2.7.2 Quy trình sử dụng chữ ký điện tử 50 2.7.3 Một số sơ đồ chữ ký điện tử phổ biến 52 CHƢƠNG ĐỀ XUẤT GIẢI PHÁP BẢO MẬT CHO HỆ THỐNG THÔNG TIN THƢ VIỆN TRƢỜNG ĐẠI HỌC TÀI NGUYÊN VÀ MÔI TRƢỜNG HÀ NỘI 61 3.1 Hệ thống thông tin Thƣ viện Trƣờng Đại học Tài nguyên 61 Môi trƣờng Hà Nội 61 3.1.1 Sơ đồ tổng quan 61 3.1.2 Trang thiết bị: 62 3.2 Đánh giá ƣu nhƣợc điểm hệ thống: 62 3.2.1 Ƣu điểm: 62 3.2.2 Nhƣợc điểm: 62 3.3 Đề xuất giải pháp bảo mật cho hệ thống 63 3.3.1 Giả pháp phần cứng 63 3.3.2 Về ngƣời: 67 3.3.3 Về liệu 68 3.3.4 Đề xuất giả pháp chữ ký số cho trang thông tin điện tử 68 3.3.5 Triển khai dịch vụ chứng thực 70 KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN 72 TÀI LIỆU THAM KHẢO 73 DANH MỤC HÌNH ẢNH Hình 2.1: Mơ hình lắp đặt Firewall 297 Hình 2.2: Mơ hình hệ thống mã hoá 354 Hình 2.3: Sơ đồ vịng lặp MD5 442 Hình 2.4: Sơ đồ vòng lạp MD5 445 Hình 2.5: Sơ đồ vịng lặp SHA 475 Hình 3.1: Sơ đồ mạng Thƣ Viện 618 Hình 3.2: Sơ đồ mạng tổng quát 663 THUẬT NGỮ VIẾT TẮT - RSA: Rivest Shamir Adleman - SHA: Secure Hash Algorithm - MD5: Message Digest - CA: Certificate Authority - UCLN: Ƣớc chung lớn - DES: Triple Data Encryption Standard - AAA: Access Control, Authentication, Auditing - AES: Advanced Encryption Standard - CHAP: Challenge Handshake Authentication Protocol - CIA: Confidentiality, Integrity, Availability - DAC: Discretionary Access Control - CPU: Central Processing Unit - DoS: Denial of Service - DDoS: Distributed Denial of Service - DES: Data Encryption Standard DoS Denial of Service MỞ ĐẦU Bảo mật hệ thống thông tin lĩnh vực mà giới công nghệ thông tin quan tâm Khi internet đời phát triển, nhu cầu trao đổi thông tin trở nên cần thiết Mục tiêu việc nối mạng làm cho ngƣời sử dụng chung tài nguyên từ vị trí địa lý khác Cũng mà tài nguyên dễ dàng bị phân tán, dẫn đến điều hiển nhiên chúng bị xâm phạm, gây mát liệu nhƣ thơng tin có giá trị Từ đó, vấn đề bảo vệ thông tin đồng thời xuất hiện: Bảo mật đời Tất nhiên, mục tiêu bảo mật khơng nằm gói gọn lĩnh vực bảo vệ thơng tin mà cịn nhiều phạm trù khác nhƣ kiểm duyệt web, bảo mật internet, bảo mật http, bảo mật hệ thống toán điện tử giao dịch trực tuyến… Theo thống kê tổ chức bảo mật tiếng CERT (Computer Emegancy Response Team) số vụ cơng mạng ngày tăng mạnh Điều dễ hiểu, thực thể ln tồn hai mặt đối lập Sự phát triển mạnh mẽ công nghệ thông tin kỹ thuật làm cho nạn công, ăn cắp, phá hoại internet bùng phát mạnh mẽ Vì lý bảo mật thông tin quan trọng nhƣ nên chọn đề tài “Nghiên cứu bảo mật hệ thống thông tin đề xuất giải pháp bảo mật cho hệ thống thông tin Thư viện Trường Đại học Tài ngun Mơi trường Hà Nội”, góp phần đƣa kiến thức học tập vào thực tiễn nơi cơng tác Để hồn thành đƣợc luận văn, chọn phƣơng pháp nghiên cứu lý thuyết bảo mật thơng tin, thuật tốn mã hóa đƣợc áp dụng Từ đề xuất triển khai giải pháp bảo mật cho hệ thống thông tin Thƣ viện nhà trƣờng nhằm bảo đảm cho hệ thống hoạt động ổn định, an toàn Luận văn bao gồm ba chƣơng: Chƣơng Tổng quan bảo mật hệ thống thông tin Chƣơng Các biện pháp bảo mật hệ thống thông tin Chƣơng Đề xuất giải pháp bảo mật cho hệ thống thông tin Thƣ viện Kế luận hƣớng phát triển CHƢƠNG 1: TỔNG QUAN VỀ BẢO MẬT HỆ THỐNG THÔNG TIN 1.1 Tổng quan 1.1.1 Các khái niệm định nghĩa - Hệ thống thơng tin gì: Hệ thống thơng tin hệ thống bao gồm yếu tố nhƣ: phần cứng, phần mềm, hệ thống mạng, liệu, ngƣời,… có quan hệ với làm nhiệm vụ thu thập, xử lý, lƣu trữ liệu thông tin, cung cấp chế phản hồi để đạt đƣợc mục tiêu định trƣớc Hệ thống thông tin đƣợc phân loại theo mục đính phục vụ hay theo tổ chức bao gồm dạng nhƣ: Hệ thống thông tin xử lý giao dịch, hệ thống thông tin quản lý, hệ thống hỗ trợ định, hệ thống hỗ trợ điều hành… - Bảo mật hệ thống thông tin (Information Systems Confidentiality) bảo vệ hệ thống thông tin chống lại việc truy cập, sử dụng, chỉnh sửa, phá hủy, làm lộ làm gián đoạn thông tin hoạt động hệ thống cách trái phép - Bảo mật mạng (network Confidentiality) vấn đề mã hóa thơng tin truyền qua mạng kiểm sốt truy xuất thơng tin đƣờng truyền - Bảo mật máy tính (computer Confidentiality) lĩnh vực liên quan đến việc xử lý ngăn ngừa phát hành động bất hợp pháp trái phép (đối với thông tin tài nguyên hệ thống) ngƣời dùng hệ thống máy tính Lĩnh vực nghiên cứu bảo mật thơng tin rộng gồm vấn đề pháp lý nhƣ hệ thống sách, quy định, yếu tố ngƣời; vấn đề thuộc tổ chức nhƣ kiểm toán xử lý liệu điện tử, quản lý, nhận thức; vấn đề kỹ thuật nhƣ kỹ thuật mật mã, bảo mật mạng, công nghệ thẻ thông minh… Nhƣ bảo mật khái niệm bao gồm tất phƣơng pháp nhƣ kỹ thuật xác nhận danh tính, mật mã hố, che giấu thơng tin, xáo trộn… nhằm đảm bảo cho thông tin đƣợc truyền đi, nhƣ thơng tin lƣu trữ đƣợc xác an tồn 10 thƣờng dựa chứng thực khóa cơng khai thành phần hạ tầng khóa cơng khai * Tấn công dựa thời gian Vào năm 1995, Paul Kocher mô tả dạng công lên RSA: Nếu kẻ công nắm đủ thông tin phần cứng thực mã hóa xác định đƣợc thời gian giải mã số mã lựa chọn nhanh chóng tìm khóa d Dạng cơng áp dụng hệ thống chữ ký điện tử sử dụng RSA Năm 2003, Dan Boneh David Brumley chứng minh dạng cơng thực tế hơn: Phân tích thừa số RSA dùng mạng máy tính (Máy chủ web dùng SSL) Tấn cơng khai thác thơng tin rị rỉ việc tối ƣu hóa định lý số dƣ Trung quốc mà nhiều ứng dụng thực Để chống lại công dựa thời gian đảm bảo q trình giải mã ln diễn thời gian không đổi văn mã Tuy nhiên, cách làm giảm hiệu suất tính tốn Thay vào đó, hầu hết ứng dụng RSA sử dụng kỹ thuật gọi che mắt Kỹ thuật dựa tính nhân RSA: thay tính cd mod n, chọn số ngẫu nhiên r tính (rec)d mod n Kết phép tính rm mod n tác động r đƣợc loại bỏ cách nhân kết với nghịch đảo r Đối với văn mã, ngƣời ta chọn giá trị r Vì vậy, thời gian giải mã khơng cịn phụ thuộc vào giá trị văn mã * Tấn công phƣơng pháp lựa chọn thích nghi mã Năm 1981, Daniel Bleichenbacher mơ tả dạng cơng lựa chọn thích nghi mã (adaptive chosen ciphertext attack) thực thực tế văn mã hóa RSA Văn đƣợc mã hóa dựa tiêu chuẩn PKCS #1, tiêu chuẩn chuyển đổi rõ có khả kiểm tra tính hợp lệ văn sau giải mã Do khiếm khuyết PKCS #1, Bleichenbacher thực công lên RSA dùng cho giao thức SSL (tìm khóa phiên) Do phát này, mơ hình chuyển đổi an tồn nhƣ chuyển đổi mã hóa bất đối xứng tối ƣu (Optimal Asymmetric Encryption Padding) đƣợc khuyến cáo sử dụng Đồng thời phòng nghiên cứu RSA đƣa phiên PKCS #1 có khả chống lại dạng cơng nói 59 60 CHƢƠNG ĐỀ XUẤT GIẢI PHÁP BẢO MẬT CHO HỆ THỐNG THÔNG TIN THƢ VIỆN TRƢỜNG ĐẠI HỌC TÀI NGUYÊN VÀ MÔI TRƢỜNG HÀ NỘI 3.1 Hệ thống thông tin Thƣ viện Trƣờng Đại học Tài nguyên Môi trƣờng Hà Nội 3.1.1 Sơ đồ tổng quan Do Trung tâm Thơng tin Thƣ viện có vị trí độc lập nằm riêng biệt với khối văn phịng nhà trƣờng hệ thống thơng tin Thƣ viện đƣợc thiết kế độc lập với hệ thống thông tin nhà trƣờng dƣới sơ đồ tổng thể trung tâm Thƣ viện: Hình 3.1: Sơ đồ mạng Thƣ Viện Diện tích sử dụng trung tâm thông tin thƣ viện 500 m2, đƣợc chia thành phong nhƣ sau: - Hai phòng đọc mở - Một phòng mƣợn trả - Một phòng nghiệp vụ - Một phòng hội thảo (media) 61 - Một phòng tra cứu - Bốn kho sách 3.1.2 Trang thiết bị: Ba máy chủ: Một đặt Cty Netnam, hai đặt trung tâm,100 máy PC, ba máy in, hai máy chiếu, máy số hoá tài liệu, Swith, Acess point Hệ thống cài winserver 2008 Phần mềm quản lý thƣ viện truyền thống ilLib me 5.0, trang thông tin điện tử: http://www.lib.hunre.edu.vn Về phƣơng pháp bảo mật trung tâm chia thành hai giải pháp là: - Giải pháp hệ thống: dùng phƣơng pháp xác minh thông tin Username password server, Acess point - Giải pháp liệu: liệu phần mƣợn trả sách truyền thống đƣợc lƣu trữ trung tâm, thủ thƣ bạn đọc truy cập thông qua phần mềm iLibme CMC cung cấp Dữ liệu số đƣợc lƣu máy chủ đặt Cty Netnam, bạn đọc truy cập thông qua cổng thông tin điện tử http://lib.hunre.edu.vn Trên cổng thông tin điện tử trung tâm tạo acout, phân quyền cho bạn đọc theo mức khac Nhƣ đọc tóm tắt, đọc tồn văn, hay download Trên hệ thống thông tin thƣ viện trƣờng Đại học Tài nguyên Môi trƣờng Hà Nội 3.2 Đánh giá ƣu nhƣợc điểm hệ thống: 3.2.1 Ƣu điểm: - Phù hợp cho hệ thống thông tin thƣ viện vừa nhỏ, - Cần nhân lực hiểu biết cơng nghệ thơng tin - Chi phí thấp - Dễ vận hành 3.2.2 Nhƣợc điểm: - Tính an tồn hệ thống chƣa cao 62 - Không tự quản lý đƣợc liệu - Hệ thống bảo mật chƣa cao - Phụ thuộc nhiều vào nhà cung cấp 3.3 Đề xuất giải pháp bảo mật cho hệ thống Để mô hình hệ thống mạng nói chung hệ thống thơng tin Thƣ viện trƣờng đại học Tài nguyên môi trƣờng nói riêng hoạt động ổn định đảm bảo an tồn thơng tin giải pháp an ninh mạng cho hệ thống thông tin cần phải đáp ứng đƣợc yêu cầu sau: - Yêu cầu phải bảo vệ hệ thống thông tin trƣớc nguy đe dọa - Mơ hình bảo mật u cầu đƣợc thiết lập với nhiều lớp - Các thiết bị an ninh mạng cần phải đƣợc quản lý tập trung - Có sách nâng cấp, cập nhật sản phẩm hỗ trợ kỹ thuật nhằm đáp ứng khả bảo vệ thiết bị trƣớc nguy nảy sinh - Các thiết bị cần đảm bảo thông lƣợng, tránh gây nghẽn mạng thiết bị - Giải pháp cần đảm bảo khả mở rộng 3.3.1 Giả pháp phần cứng a Về hệ thống Sử dụng Firewall Cyberoam Firewall-UTM Lý chọn Cyberoam Firewall-UTM đáp ứng đƣợc đầy đủ tính bảo mật cho hệ thống mạng tầng ứng dụng cụ thể có tính nhƣ sau: Tính Năng Mơ tả Stateful Inspection Firewall • Sử dụng bảng trạng thái kiểm sốt gói (Đƣợc chứng nhận ICSA tin Labs) • Ngăn chặn dịch vụ(DoS ) tần cơng dồn dập từ nguồn bên ngồi vào bên 63 • Nhận dạng ngƣời sử dụng & kiểm soát ứng dụng ( P2P, IM) Cổng kết nối mạng riêng ảo • IPSec, L2TP, PPTP, SSL VPN (VPN) • Độ sẵn sàng cao cho kết nối VPN IPSec, L2TP • Dual VPNC Certifications - Basic and AES Interop Gateway Anti-Virus • Theo dõi luồng HTTP, HTTPs,FTP, & Anti-Spyware IMAP, POP3 and SMTP • Phát loại bỏ viruses, worms, Trojans • Kiểm sốt email vào hệ thống sách • Kiểm sốt file trao đổi dựa từ khóa • Nhận dạng ngƣời dung tức thời trƣờng hợp bị cơng Gateway Anti-Spam • Theo dõi nhận dạng công spam qua cổng SMTP, POP3 IMAP cách ly đính kèm nội dung dựa sách (Policy) danh sách (black list & white list) • Bảo vệ khỏi bùng nổ lây nhiêm virus • Bảo vệ khỏi hình thức spam bao gồm spam ảnh (image-spam) việc sử dung cơng nghệ dị tìm mẫu (Recurrent Pattern Detection RPD) Hệ thống phịng chống thâm • Cơ sở liệu bao gồm 3500 signatures nhập trái phép – IPS • Hỗ trợ khả đa sách dựa signature 64 • Nhận dạng phịng chống thâm nhập sử dụng dấu hiệu ngƣời sử dụng thiết lập dựa hành vi • Phịng chống thâm nhập dựa phƣơng pháp thử sai (Attempts), từ chối dịch vụ (DoS), attacks, chèn mã độc (malicious code), backdoor, dang cơng lớp mạng, kiểm sốt sử dụng proxy mạo danh bang HTTP signatures, khả khoa hoạt động “phone home” Bộ lọc nội dung lọc ứng dụng (Content & Application Filtering) • Tự động hóa phân loại web theo nhóm, nhóm bao gồm hàng triệu trang web đƣợc phân loại sẵn 82 nhóm nội dung • Bộ lọc URL đƣợc sử dụng cho ứng dụng HTTP & HTTPS • Phân cấp sách theo nhóm, phịng ban, ngƣời sử dụng, thời gian sử dụng, • Kiểm sốt download streaming media, gaming, tickers etc… • hỗ trợ tiêu chuẩn CIPA đƣợc sử dụng cho trƣờng học, thƣ viện Quản lý băng thông • Đảm bảo băng thông tối thiểu tối đa (Bandwidth Management) việc phân cấp theo phịng ban, nhóm ngƣời sử dụng theo tƣng cá nhân riêng lẻ, theo ứng dụng giao thức sử dụng Quản lý đa kết nối (Multiple • Bảo mật thơng qua việc quản lý đa kết nối Link Management) (multiple ISP links) thiết bị đơn • Phân tải dựa việc đánh giá luồng (Weighted round robin distribution) 65 • Tự động chuyển mạch có lỗi xảy cổng kết nối (Link Failover ) Hệ thống báo cáo tích hợp • Hệ thống báo cáo hồn thiện có sẵn (On-Appliance Reporting) thiết bị • Báo cáo theo thời gian thực lƣu lƣợng • Báo cáo theo ngƣời dùng Hình 3.2: Sơ đồ mạng tổng quát b Về phần mềm - Thiết lập sách bảo mật server - Thiết lập chế lƣu liệu đồng tự động Trong chiến lƣợc tổng quan an ninh thông tin, không kể đến phƣơng án phục hồi đối phó cố Tổ chức hệ thống mạng phải có hệ thống lƣu trữ chuyên nghiệp, đáp ứng nhu cầu lƣu trữ thông tin ngày nhiều, đảm bảo yêu cầu độ tin cậy, khả mở rộng, quản trị dễ dàng, đảm bảo lƣu trữ cho ứng dụng toàn hệ thống 66 - Thiết lập chế phục hồi liệu - Thiết lập sách tài khoản - Thiết lập sách giám sát, - Thiết lập kiện đăng nhập cho hệ thống - Có áp dụng sách IP Sec đƣợc áp dụng để kiểm soát IP truy cập vào server - Thiết lập sách tài khoản (Account policies) c Bảo mật cho hệ thống Windows (Máy trạm) Một yếu tố quan tâm hàng đầu việc thiết kế bảo mật hệ thống thơng tin kiểm sốt chặt chẽ tất máy tính tổ chức Vì chúng nơi cất giữ tài sản thơng tin có giá trị tổ chức Kẻ cơng trực tiếp cơng thẳng vào máy tính lấy liệu quý báu Việc xác định mối đe dọa lỗ hỗng tất máy tính tổ chức điều thiết yếu cấp bách - Thiết lập chế tạo account password an tồn - Vận hành máy tính quy trình - Sử dụng password phức hợp, chánh sử dụng password cho nhiều account 3.3.2 Về ngƣời: Nguồn nhân lực vấn đề cốt lõi công tác an tồn, bảo mật hệ thống thơng tin Làm để quản lý ngƣời dùng? Chúng ta thiết lập quy chế sử dụng thiết bị nhƣ cách bắt buộc Nhƣng làm để phát nhƣ ngăn chặn hành động cố ý: Nhƣ cấm ngƣời dùng cài đƣợc phần mềm không đƣợc phép Hoặc trƣờng hợp phát dấu hiệu vi phạm Công việc cần đủ phải khoanh đƣợc vùng 67 yêu cầu ngƣời sử dụng sử dụng thiết bị nhƣ phần mềm cách hợp lý - Thiết lập chế sách phù hợp với yêu cầu trung tâm - Thƣờng xuyên hƣớng dẫn, đào tạo cán trung tâm có kiến thức cơng nghệ thơng tin an tồn, bảo mật thông tin Sử dụng hệ thống quy trình, ln ln tn thủ chế sách đề - Đề cao tính bảo mật hệ thống thông tin 3.3.3 Về liệu - Về liệu lƣu trữ trung tâm xây dựng phần mềm mã hóa liệu theo giải thuật RSA/ DES/AES để mã hóa liệu - Các liệu đƣa lên trang thơng tin điện tử đƣợc ký số để xác minh, chứng thực nguồn gốc tài liệu 3.3.4 Đề xuất giả pháp chữ ký số cho trang thơng tin điện tử Mơ hình chứng thực quốc gia: Mơ hình chứng thực quốc gia gồm khu vực: Khu vực công cộng khu vực chuyên dùng phục vụ quan thuộc hệ thống trị Khu vực công cộng cung cấp dịch vụ chứng thực cho quan, tổ chức, cá nhân sử dụng hoạt động công cộng Khu vực chuyên dùng cung cấp dịch vụ cho quan thuộc hệ thống trị.[5] Theo điều nghị định 26/2007/NĐ-CP quy định trách nhiệm quản lý dịch vụ chứng thực chữ ký số, Bộ Bƣu chính, Viễn thơng ( Bộ Thông Tin Truyền Thông) thành lập trì hoạt động tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia Tổ chức chứng thực chữ ký số quốc gia cung cấp dịch vụ chứng thực cho tổ chức chứng thực chữ ký số công cộng Ban Cơ yếu Chính phủ thành lập trì hoạt động tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng phục vụ quan thuộc hệ thống trị Tổ chức chứng thực chuyên dùng: Tổ chức chứng thực chuyên dùng tổ chức cung cấp dịch vụ chứng thực cho quan, tổ chức, cá nhân có tính chất hoạt động mục 68 đích cơng việc đƣợc liên kết với thông qua điều lệ hoạt động văn quy phạm pháp luật quy định cấu tổ chức chung hình thức liên kết, hoạt động chung Hoạt động tổ chức chứng thực chuyên dùng nhằm phục vụ nhu cầu giao dịch nội không nhằm mục đích kinh doanh Trung tâm chứng thực điện tử chuyên dùng Chính phủ - Ban Cơ yếu Chính phủ tổ chức chứng thực chuyên dùng có nhiệm vụ cung cấp dịch vụ tảng nhằm đảm bảo an toàn cho giao dịch mạng phục vụ quan thuộc hệ thống trị Các dịch vụ cung cấp hệ thống chứng thực chun dùng Chính phủ gồm: - Cơng bố thơng tin hệ thống chứng thực - Nhóm dịch vụ chứng thƣ số - Cấp mới, cấp lại, thu hồi chứng thƣ số - Duy trì CSDL chứng thƣ số danh sách chứng thƣ số thu hồi - Dịch vụ chứng thực chữ ký số - Hỗ trợ tạo chữ ký số - Kiểm tra tính hợp lệ chữ ký số - Dịch vụ thời gian - Cung cấp thời gian đồng tới máy - Cung cấp tem (nhãn, dấu) thời gian cho giao dịch Quy trình cấp chứng thƣ số: - Lập danh sách thuê bao Đối tƣợng cấp chứng thƣ số đƣợc gọi thuê bao Thuê bao đề nghị cấp chứng thƣ số phải tổ chức cá nhân thuộc hệ thống trị Thuê bao gửi đề nghị cấp chứng thƣ số đến ngƣời có trách nhiệm quản lý thuê bao Ngƣời có trách nhiệm quản lý thuê bao ngƣời đứng đầu quan Ngƣời có trách nhiệm quản lý thuê bao yêu cầu đảm bảo an tồn 69 xác minh thơng tin giao dịch điện tử phục vụ nhiệm vụ quan, tổ chức mình, xét duyệt lập danh sách thuê bao đề nghị cấp chứng thƣ số - Gửi yêu cầu cấp phát chứng thƣ số Danh sách thuê bao đề nghị cấp chứng thƣ số đƣợc gửi tới Cơ quan tiếp nhận yêu cầu chứng thực - Cục Cơ yếu 893 – Ban Cơ yếu Chính phủ (địa chỉ: 60 Nguyễn Chí Thanh, Đống Đa, Hà Nội Email: c893@ca.gov.vn) Sau nhận đƣợc đề nghị cấp chứng thƣ số, Cơ quan tiếp nhận yêu cầu chứng thực kiểm tra hồ sơ, hợp lệ lập danh sách đề nghị cấp chứng thƣ số gửi Trung tâm chứng thực chuyên dùng Chính phủ - Ban Cơ yếu Chính phủ - Phát hành chứng thƣ số Ngay sau nhận đƣợc danh sách đề nghị cấp chứng thƣ số Cơ quan tiếp nhận yêu cầu chứng thực, Trung tâm chức chứng chuyên dùng Chính phủ tạo chứng thƣ số cho thuê bao - Chuyển giao chứng thƣ số tới thuê bao Trung tâm chứng thực chuyên dùng Chính phủ chuyển giao chứng thƣ số cho Cơ quan tiếp nhận yêu cầu chứng thực để chuyển giao cho Ngƣời có trách nhiệm quản lý thuê bao Ngƣời có trách nhiệm quản lý thuê bao bàn giao chứng thƣ số tới thuê bao 3.3.5 Triển khai dịch vụ chứng thực Nội dung triển khai: Nội dung triển khai dịch vụ chứng thực tới quan thuộc hệ thống trị bao gồm cơng việc sau: Tƣ vấn triển khai ứng dụng dịch vụ chứng thực Cấu hình thiết bị đƣờng truyền liệu tới Trung tâm chứng thực chuyên dung Chính phủ - Ban Cơ yếu Chính phủ Cấp phát chứng thƣ số phần mềm (client) ký tài liệu Cài đặt phần mềm ký liệu 70 Hƣớng dẫn sử dụng phần mềm ký tài liệu Hƣớng dẫn tích hợp dịch vụ chứng thực vào phần mềm nghiệp vụ quan nhà nƣớc Tƣ vấn vấn đề có liên quan khác Điều kiện triển khai: Để triển khai hệ thống chứng thực, quan cần thỏa mãn số điều kiện sau: - Có nhu cầu sử dụng hệ thống chứng thực để đảm bảo an tồn cho giao dịch mạng - Có phận chun trách cơng nghệ thơng tin có khả hỗ trợ ngƣời dùng cuối - Có hệ thống mạng nội kết nối với mạng số liệu chuyên dùng quan Đảng, Nhà nƣớc mạng Internet Hiện tai triển khai ứng dụng nhƣ: - Bảo mật email - Bảo mật máy chủ (webserver), VPN - Phần mềm client mã hóa email - Phần mềm client ký tài liệu 71 KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN Luận văn có kết là: - Nghiên cƣ́u tổ ng quan về Bảo mật hệ thống thơng tin - Nghiên cứu số tốn bảo mật, mã hóa, đảm bảo an tồn hệ thống thông tin - Đề xuất phƣơng pháp bảo mật cho hệ thống an toàn thông tin Thƣ viện trƣờng đại học Tài Nguyên Môi trƣờng Hà Nội - Kế t hợp với nhà cung cấp ứng dụng PKI: dịch vụ chứng số FPT, VNPT, BKAV, để đề xuất giải pháp tƣ vấn phù hợp triển khai cho mơ hình hệ thống Hƣớng phát triển luận văn: Tiếp tục nghiên cứu để hƣớng đến xây dựng hoàn thiện hệ thống khác với độ bảo mật cao Áp dụng nghiên cứu tiên tiến giới giải pháp kỹ thuật bảo mật hệ thống, từ hồn thiện tối ƣu hố mơ hình ứng dụng Kế t hơ ̣p thuâ ̣t toán t ối ƣu mã hóa khóa đối xứng mã hóa khóa cơng khai vào chƣơng trin ̀ h mã hóa tài liê ̣u Xây dựng phần mềm chữ ký điện tử, áp dụng web phục vụ cho trung tâm thông tin Thƣ viên Tác giả mong tiếp tục nhận đƣợc ủng hộ góp ý quý báu thầy cô, bạn bè để luận văn đƣợc hoàn thiện hơn, mang lại ứng dụng hiệu thiết thực tƣơng lai./ 72 TÀI LIỆU THAM KHẢO Tiếng Việt [1] Phan Đình Diệu (2002), Lý thuyết mật mã an tồn thơng tin Nxb Hà Nội [2] An tồn bảo mật thơng tin Lê Thụy Khoa công nghệ thông tin – Đại học dân lập Hải Phịng [3] Giáo trình an tồn bảo mật thơng tin Đại học Hàng Hải [4] Bài giảng bảo mật hệ thống thơng tin Học viện Bƣu Viễn Thông [5] http://ca.gov.vn [6] http://www.m.tapchibcvt.gov.vn 73 ... luận văn ? ?Nghiên cứu bảo mật hệ thống thông tin đề xuất giải pháp bảo mật cho hệ thống thông tin Thư viện Trường Đại học Tài nguyên Môi trường Hà Nội? ?? kết nghiên cứu riêng Các kết nghiên cứu đƣợc...ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ TRẦN MINH THẮNG NGHIÊN CỨU BẢO MẬT HỆ THỐNG THÔNG TIN VÀ ĐỀ XUẤT GIẢI PHÁP BẢO MẬT CHO HỆ THỐNG THÔNG TIN THƢ VIỆN CỦA TRƢỜNG ĐẠI HỌC TÀI... CHƢƠNG ĐỀ XUẤT GIẢI PHÁP BẢO MẬT CHO HỆ THỐNG THÔNG TIN THƢ VIỆN TRƢỜNG ĐẠI HỌC TÀI NGUYÊN VÀ MÔI TRƢỜNG HÀ NỘI 61 3.1 Hệ thống thông tin Thƣ viện Trƣờng Đại học Tài nguyên 61 Môi trƣờng