NGHIÊN CỨU BÀI TOÁN AN TOÀN THÔNG TIN CHO DOANH NGHIỆP VỪA VÀ NHỎ (Luận văn thạc sĩ)NGHIÊN CỨU BÀI TOÁN AN TOÀN THÔNG TIN CHO DOANH NGHIỆP VỪA VÀ NHỎ (Luận văn thạc sĩ)NGHIÊN CỨU BÀI TOÁN AN TOÀN THÔNG TIN CHO DOANH NGHIỆP VỪA VÀ NHỎ (Luận văn thạc sĩ)NGHIÊN CỨU BÀI TOÁN AN TOÀN THÔNG TIN CHO DOANH NGHIỆP VỪA VÀ NHỎ (Luận văn thạc sĩ)NGHIÊN CỨU BÀI TOÁN AN TOÀN THÔNG TIN CHO DOANH NGHIỆP VỪA VÀ NHỎ (Luận văn thạc sĩ)NGHIÊN CỨU BÀI TOÁN AN TOÀN THÔNG TIN CHO DOANH NGHIỆP VỪA VÀ NHỎ (Luận văn thạc sĩ)NGHIÊN CỨU BÀI TOÁN AN TOÀN THÔNG TIN CHO DOANH NGHIỆP VỪA VÀ NHỎ (Luận văn thạc sĩ)NGHIÊN CỨU BÀI TOÁN AN TOÀN THÔNG TIN CHO DOANH NGHIỆP VỪA VÀ NHỎ (Luận văn thạc sĩ)NGHIÊN CỨU BÀI TOÁN AN TOÀN THÔNG TIN CHO DOANH NGHIỆP VỪA VÀ NHỎ (Luận văn thạc sĩ)NGHIÊN CỨU BÀI TOÁN AN TOÀN THÔNG TIN CHO DOANH NGHIỆP VỪA VÀ NHỎ (Luận văn thạc sĩ)NGHIÊN CỨU BÀI TOÁN AN TOÀN THÔNG TIN CHO DOANH NGHIỆP VỪA VÀ NHỎ (Luận văn thạc sĩ)
ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN THỊ HẰNG NGHIÊN CỨU BÀI TỐN AN TỒN THÔNG TIN CHO DOANH NGHIỆP VỪA VÀ NHỎ LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN Hà Nội - 2017 Hà Nội - 2017 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN THỊ HẰNG NGHIÊN CỨU BÀI TỐN AN TỒN THƠNG TIN CHO DOANH NGHIỆP VỪA VÀ NHỎ Ngành: Công nghệ thông tin Chuyên ngành: Quản lý Hệ thống thông tin Mã số: Chuyên ngành đào tạo thí điểm LUẬN VĂN THẠC SĨ CƠNG NGHỆ THƠNG TIN NGƯỜI HƯỚNG DẪN KHOA HỌC: TS LÊ PHÊ ĐÔ TS PHÙNG VĂN ỔN Hà Nội - 2017 LỜI CÁM ƠN Đầu tiên, tơi xin bày tỏ lòng biết ơn sâu sắc tới hai thầy hướng dẫn Tiến sĩ Lê Phê Đô Tiến sĩ Phùng Văn Ổn tận tâm, tận lực hướng dẫn, định hướng phương pháp nghiên cứu khoa học cho tôi; đồng thời cung cấp nhiều tài liệu tạo điều kiện thuận lợi suốt trình học tập, nghiên cứu để tơi hồn thành luận văn Tơi xin chân thành cảm ơn thầy cô giáo Bộ môn Hệ thống thông tin Khoa Công nghệ thông tin, trường Đại học Công nghệ - Đại học Quốc gia Hà Nội nhiệt tình giảng dạy, truyền đạt kiến thức, kinh nghiệm quý báu suốt thời gian học tập trường Cuối cùng, xin gửi lời cảm ơn tới gia đình, bạn bè đồng nghiệp quan tâm, ủng hộ động viên, giúp tơi có nghị lực phấn đấu để hồn thành tốt luận văn Hà Nội, tháng năm 2017 Học viên thực luận văn Nguyễn Thị Hằng iii LỜI CAM ĐOAN Luận văn thạc sĩ đánh dấu cho thành quả, kiến thức tiếp thu suốt trình rèn luyện, học tập trường Tơi xin cam đoan luận văn hồn thành q trình học tập nghiên cứu tơi hướng dẫn khoa học hai thầy giáo, TS Lê Phê Đô TS Phùng Văn Ổn Nội dung trình bày luận văn cá nhân tổng hợp từ nhiều nguồn tài liệu tham khảo khác có xuất xứ rõ ràng trích dẫn hợp pháp Tơi xin hồn tồn chịu trách nhiệm chịu hình thức kỷ luật theo quy định cho lời cam đoan Hà Nội, tháng năm 2017 Người cam đoan Nguyễn Thị Hằng iv MỤC LỤC LỜI CÁM ƠN iii LỜI CAM ĐOAN iv MỤC LỤC v DANH SÁCH CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT vii DANH MỤC CÁC HÌNH VẼ viii DANH MỤC CÁC BẢNG xi MỞ ĐẦU CHƯƠNG 1: BÀI TỐN AN TỒN THÔNG TIN CHO DNVVN 1.1 Cơ sở lý luận an tồn thơng tin 1.1.1 An tồn thơng tin 1.1.2 Tấn công luồng thông tin mạng 1.1.3 Phân loại kiểu công luồng thông tin mạng 1.2 Thực trạng ATTT DNVVN 1.2.1 Đặc điểm hệ thống thông tin DNVVN 1.2.2 Thực trạng ATTT giới 10 1.2.3 Thực trạng ATTT doanh nghiệp Việt Nam 12 1.3 Bài tốn an tồn thơng tin cho DNVVN 14 1.3.1 Các nguy ATTT DNVVN 14 1.3.2 Những tổn thất DNVVN trước nguy ATTT 16 1.3.3 Danh mục tài sản thông tin DNVVN cần bảo vệ 16 CHƯƠNG 2: CÁC HỆ MẬT MÃ ĐẢM BẢO ATTT ĐƯỢC DÙNG PHỔ BIẾN HIỆN NAY 19 2.1 Tổng quan hệ mật mã 19 2.1.1 Định nghĩa 19 2.1.2 Phân loại hệ mật mã 19 2.1.3 Một số khái niệm sử dụng mật mã 20 2.2 Hệ mật AES 20 2.2.1 Giới thiệu 20 2.2.2 Thuật toán 20 2.2.3 Đánh giá 27 2.3 Hệ mật RC4 27 2.3.1 Giới thiệu 27 2.3.2 Thuật toán 28 2.3.3 Đánh giá 29 2.4 Hệ mã hóa RC5 29 2.4.1 Giới thiệu 29 2.4.2 Thuật toán 29 2.4.3 Đánh giá 32 2.5 Hệ mã hóa RC6 32 2.5.1 Giới thiệu 32 2.5.2 Thuật toán 32 2.5.3 Đánh giá 35 2.6 Hệ mật RSA 35 v 2.6.1 Giới thiệu 35 2.6.2 Thuật toán 36 2.5.3 Đánh giá 38 CHƯƠNG 3: MỘT SỐ GIẢI PHÁP ĐẢM BẢO ATTT CHO CÁC DNVVN 39 3.1 Nhóm giải pháp Quản lý ATTT 39 3.1.1 Thiết lập hệ thống quản lý ATTT cho DNVVN theo tiêu chuẩn ISO 39 3.1.2 Đánh giá rủi ro ATTT 45 3.1.3 Chính sách phòng chống virus 45 3.1.4 Chính sách lưu phục hồi 46 3.2 Nhóm giải pháp công nghệ 46 3.2.1 Mã hóa liệu lưu trữ 46 3.2.2 Phòng chống cơng website 48 3.2.3 Sử dụng chữ ký số giao dịch điện tử 49 3.2.4 Xây dựng hệ thống mạng an toàn 52 3.3 Các biện pháp giảm nhẹ rủi ro ATTT cho DNVVN 54 3.3.1 Vai trò giảm nhẹ rủi ro ATTT 54 3.3.2 Kiểm soát kiểm định 55 3.3.3 Đánh giá quy trình ATTT 57 3.4 Ứng phó cố ATTT 57 CHƯƠNG 4: CÀI ĐẶT VÀ THỬ NGHIỆM CHỮ KÝ SỐ ĐẢM BẢO ATTT TRONG VIỆC KÝ KẾT HỢP ĐỒNG ĐIỆN TỬ CỦA DNVVN 62 4.1 Tổng quan hợp đồng điện tử 62 4.1.1 Khái niệm 62 4.1.2 Một số hợp đồng điện tử 62 4.1.3 Lợi ích hợp đồng điện tử 63 4.1.4 Một số điểm cần lưu ý ký kết thực hợp đồng điện tử 63 4.2 Quy trình để ký kết hợp đồng điện tử có sử dụng chữ ký số 64 4.2.1 Những khía cạnh cần thiết an tồn thơng tin 64 4.2.2 Cài đặt thử nghiệm 66 KẾT LUẬN 71 TÀI LIỆU THAM KHẢO 72 vi DANH SÁCH CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT TT VIẾT TẮT TIẾNG ANH TIẾNG VIỆT AES Advanced Encryption Standard Chuẩn mã hoá tiên tiến ATTT Information Security An tồn thơng tin CA Certification Authority Tổ chức chứng nhận CIA Confidentiality, Integrity, Availability Bộ ba tính bí mật, tồn vẹn, sẵn sàng CNTT Information Technology Công nghệ thông tin DES Data Encryption Standard Chuẩn mã hoá liệu DNVVN Small and Medium Enterprise Doanh nghiệp vừa nhỏ HTTT Information System Hệ thống thông tin RA Registration Authority Tổ chức đăng ký 10 RSA Rivest, Shamir, & Adleman Thuật tốn mật mã khố cơng khai 11 IP Internet Protocol Address Địa IP máy tính 12 IPS Intrusion Prevention Systems Hệ thống ngăn ngừa xâm nhập 13 ISMS Information Security Management System Hệ thống quản lý an toàn thông tin 14 TMĐT E-commerce Thương mại điện tử vii DANH MỤC CÁC HÌNH VẼ Hình 1 Đặc tính an tồn thơng tin Hình Mơ hình công luồng thông tin Hình Phân loại kiểu công luồng thông tin mạng Hình Tỷ lệ máy tính doanh nghiệp Hình Tỷ lệ ứng dụng phần mềm DNVVN .7 Hình Tỷ lệ DNVVN có cán chun trách CNTT qua năm .8 Hình Tỷ lệ doanh nghiệp có cán chuyên trách CNTT TMĐT theo lĩnh vực kinh doanh .8 Hình Khó khăn việc tuyển dụng nhân có kỹ CNTT TMĐT .9 Hình Cơ cấu chi phí cho hạ tầng công nghệ thông tin Hình 10 Tình hình cơng mạng giới năm 2016 11 Hình 11 Chỉ số ATTT qua năm 12 Hình Q trình mã hố giải mã .19 Hình 2 AddRoundKey 23 Hình SubBytes .23 Hình ShiftRows .24 Hình MixColumns 24 Hình Quy trình giải mã AES 26 Hình Sơ đồ tạo gama hệ mật RC4 27 Hình Sơ đồ khối q trình mã hóa giải mã RC5 .31 Hình Cấp bậc quản lý ATTT 44 Hình Minh họa chữ ký số bên gửi cho thông báo M 50 Hình 3 Ký văn 51 Hình Xác thực chữ ký 51 Hình Mơ hình Kiosk 53 Hình Mơ hình Office-Internet .53 Hình Mơ hình Office-DMZ-Internet .54 Hình Mơ hình Office-MultiDMZ-Internet 54 Hình Đánh giá quy trình ATTT theo giai đoạn .57 Hình 10 Các bước ứng phó với cố ATTT .58 Hình Vai trò xác thực người dùng 64 Hình Sơ đồ trình ký số hợp đồng điện tử 65 Hình Mẫu hợp đồng .69 Hình 4 Tạo cặp khóa RSA cho người dùng 69 Hình Ký hợp đồng chữ ký điện tử 70 Hình Quá trình kiểm tra chữ ký .70 viii DANH MỤC CÁC BẢNG Bảng 1 Phân loại tài sản thông tin quan trọng dựa đặc tính .18 Bảng Bảng số mở rộng Rcon AES – 128 .22 Bảng 2 Bảng khóa mở rộng AES – 128 22 Bảng Mối liên hệ Nk, Nb Nr 22 Bảng Các thành phần sách ATTT 42 xi MỞ ĐẦU Tính cấp thiết đề tài Trong kinh tế tri thức, thơng tin trở thành vấn đề sống lĩnh vực đời sống kinh tế - xã hội đặc biệt quản lý kinh tế, định thành bại doanh nghiệp thương trường họ biết sử dụng cho đạt hiệu Ứng dụng CNTT giúp doanh nghiệp nắm bắt thơng tin cách xác kịp thời, đầy đủ, góp phần nâng cao hiệu kinh doanh, sức cạnh tranh với thị trường nước Tuy nhiên, với phát triển nhanh chóng lĩnh vực cơng nghệ nguy an tồn thơng tin vấn đề thiết doanh nghiệp gần xảy nhiều công mạng, công hacker với mức độ hậu nghiêm trọng Theo số liệu phòng Cơng nghiệp Thương mại Việt Nam, lực lượng doanh nghiệp vừa nhỏ Việt Nam chiếm gần 98% tổng số doanh nghiệp nước, phát triển đa dạng ngành nghề, lĩnh vực Mỗi ngành nghề, lĩnh vực đòi hỏi thơng tin cần phải bảo mật, xác thực tồn vẹn Bảo đảm an tồn thơng tin vừa giúp doanh nghiệp phát triển, vừa giúp doanh nghiệp có hình ảnh uy tín, bên đối tác đánh giá tin tưởng hợp tác Xuất phát từ thực tế đó, học viên chọn đề tài “Nghiên cứu tốn an tồn thơng tin cho doanh nghiệp vừa nhỏ” làm luận văn thạc sĩ nhằm góp phần giúp DNVVN có thêm số giải pháp quản lý, bảo vệ thông tin an toàn, hiệu Mục tiêu nghiên cứu Trên sở làm rõ vấn đề lý luận thực tiễn an tồn thơng tin số; sau phân tích đặc điểm hệ thống thơng tin DNVVN, thực trạng an tồn thơng tin giới Việt Nam, học viên tìm hiểu số hệ mật mã đảm bảo an tồn thơng tin sử dụng phổ biến, đề xuất số giải pháp giúp DNVVN đảm bảo an tồn thơng tin; đáp ứng yêu cầu doanh nghiệp Việt Nam hội nhập ngày sâu rộng thành công vào kinh tế khu vực giới Nội dung nghiên cứu Ngoài phần mở đầu kết luận, nội dung luận văn bao gồm: Chương 1: Bài tốn an tồn thông tin cho DNVVN Chương 2: Các hệ mật mã đảm bảo an tồn thơng tin dùng phổ biến Chương 3: Một số giải pháp đảm bảo an tồn thơng tin cho DNVVN Chương 4: Cài đặt thử nghiệm chữ ký số đảm bảo ATTT việc ký kết hợp đồng điện tử cho DNVVN ... THỊ HẰNG NGHIÊN CỨU BÀI TỐN AN TỒN THƠNG TIN CHO DOANH NGHIỆP VỪA VÀ NHỎ Ngành: Cơng nghệ thông tin Chuyên ngành: Quản lý Hệ thống thông tin Mã số: Chuyên ngành đào tạo thí điểm LUẬN VĂN THẠC SĨ... triển, vừa giúp doanh nghiệp có hình ảnh uy tín, bên đối tác đánh giá tin tưởng hợp tác Xuất phát từ thực tế đó, học viên chọn đề tài Nghiên cứu toán an tồn thơng tin cho doanh nghiệp vừa nhỏ ... tổng số doanh nghiệp nước, phát triển đa dạng ngành nghề, lĩnh vực Mỗi ngành nghề, lĩnh vực đòi hỏi thơng tin cần phải bảo mật, xác thực toàn vẹn Bảo đảm an tồn thơng tin vừa giúp doanh nghiệp