NGHIÊN CỨU BÀI TOÁN AN TOÀN THÔNG TIN CHO DOANH NGHIỆP VỪA VÀ NHỎNGHIÊN CỨU BÀI TOÁN AN TOÀN THÔNG TIN CHO DOANH NGHIỆP VỪA VÀ NHỎNGHIÊN CỨU BÀI TOÁN AN TOÀN THÔNG TIN CHO DOANH NGHIỆP VỪA VÀ NHỎNGHIÊN CỨU BÀI TOÁN AN TOÀN THÔNG TIN CHO DOANH NGHIỆP VỪA VÀ NHỎNGHIÊN CỨU BÀI TOÁN AN TOÀN THÔNG TIN CHO DOANH NGHIỆP VỪA VÀ NHỎNGHIÊN CỨU BÀI TOÁN AN TOÀN THÔNG TIN CHO DOANH NGHIỆP VỪA VÀ NHỎNGHIÊN CỨU BÀI TOÁN AN TOÀN THÔNG TIN CHO DOANH NGHIỆP VỪA VÀ NHỎNGHIÊN CỨU BÀI TOÁN AN TOÀN THÔNG TIN CHO DOANH NGHIỆP VỪA VÀ NHỎNGHIÊN CỨU BÀI TOÁN AN TOÀN THÔNG TIN CHO DOANH NGHIỆP VỪA VÀ NHỎNGHIÊN CỨU BÀI TOÁN AN TOÀN THÔNG TIN CHO DOANH NGHIỆP VỪA VÀ NHỎ
ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN THỊ HẰNG NGHIÊN CỨU BÀI TỐN AN TỒN THƠNG TIN CHO DOANH NGHIỆP VỪA VÀ NHỎ Ngành: Cơng nghệ thông tin Chuyên ngành: Quản lý Hệ thống thông tin Mã số: Chun ngành đào tạo thí điểm TĨM TẮT LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN Hà Nội - 2017 LUẬN VĂN ĐÃ ĐƯỢC HOÀN THÀNH TẠI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Người hướng dẫn khoa học: TS Lê Phê Đô – TS Phùng Văn Ổn Phản biện 1: TS Nguyễn Ngọc Cương Phản biện 2: TS Nguyễn Long Giang Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ trường Đại học Công Nghệ Vào hồi: 8:00 ngày 11 tháng năm 2017 Có thể tìm hiểu luận văn tại: Trung tâm thông tin Thư viện Đại học Quốc gia Hà Nội MỞ ĐẦU Tính cấp thiết đề tài Trong kinh tế tri thức, thông tin trở thành vấn đề sống lĩnh vực đời sống kinh tế - xã hội đặc biệt quản lý kinh tế, định thành bại doanh nghiệp thương trường họ biết sử dụng cho đạt hiệu Ứng dụng CNTT giúp doanh nghiệp nắm bắt thông tin cách xác kịp thời, đầy đủ, góp phần nâng cao hiệu kinh doanh, sức cạnh tranh với thị trường nước Tuy nhiên, với phát triển nhanh chóng lĩnh vực cơng nghệ nguy an tồn thơng tin vấn đề thiết doanh nghiệp gần xảy nhiều công mạng, công hacker với mức độ hậu nghiêm trọng Theo số liệu phòng Cơng nghiệp Thương mại Việt Nam, lực lượng doanh nghiệp vừa nhỏ Việt Nam chiếm gần 98% tổng số doanh nghiệp nước, phát triển đa dạng ngành nghề, lĩnh vực Mỗi ngành nghề, lĩnh vực đòi hỏi thơng tin cần phải bảo mật, xác thực toàn vẹn Bảo đảm an tồn thơng tin vừa giúp doanh nghiệp phát triển, vừa giúp doanh nghiệp có hình ảnh uy tín, bên đối tác đánh giá tin tưởng hợp tác Xuất phát từ thực tế đó, học viên chọn đề tài “Nghiên cứu toán an tồn thơng tin cho doanh nghiệp vừa nhỏ” làm luận văn thạc sĩ nhằm góp phần giúp DNVVN có thêm số giải pháp quản lý, bảo vệ thơng tin an tồn, hiệu Mục tiêu nghiên cứu Trên sở làm rõ vấn đề lý luận thực tiễn an tồn thơng tin số; sau phân tích đặc điểm hệ thống thơng tin DNVVN, thực trạng an tồn thơng tin giới Việt Nam, học viên tìm hiểu số hệ mật mã đảm bảo an tồn thơng tin sử dụng phổ biến, đề xuất số giải pháp giúp DNVVN đảm bảo an tồn thơng tin; đáp ứng u cầu doanh nghiệp Việt Nam hội nhập ngày sâu rộng thành công vào kinh tế khu vực giới Nội dung nghiên cứu Ngoài phần mở đầu kết luận, nội dung luận văn bao gồm: Chương 1: Bài tốn an tồn thơng tin cho DNVVN Chương 2: Các hệ mật mã đảm bảo an tồn thơng tin dùng phổ biến Chương 3: Một số giải pháp đảm bảo an tồn thơng tin cho DNVVN Chương 4: Cài đặt thử nghiệm chữ ký số đảm bảo ATTT việc ký kết hợp đồng điện tử cho DNVVN CHƯƠNG 1: BÀI TOÁN AN TỒN THƠNG TIN CHO DNVVN 1.1 Cơ sở lý luận an tồn thơng tin 1.1.1 An tồn thơng tin Các yếu tố đảm bảo an tồn thơng tin Hình 1 Đặc tính an tồn thơng tin Tính bảo mật: Là tâm điểm giải pháp an tồn cho sản phẩm/hệ thống CNTT Tính tồn vẹn: Khơng bị sửa đổi đặc tính phức hợp dễ bị hiểu lầm thông tin Tính sẵn sàng: Đảm bảo độ sẵn sàng thơng tin, tức thơng tin truy xuất người phép vào họ muốn Các nguy an tồn thơng tin - Mối đe doạ phá vỡ tính tồn vẹn liệu truyền từ nơi đến nơi khác, hay lưu trữ có nguy bị thay đổi, sửa chữa làm sai lệch nội dung thông tin - Mối đe doạ phá vỡ tính sẵn sàng hệ thống mạng có nguy rơi vào trạng thái từ chối phục vụ, mà hành động cố ý kẻ xấu làm ngăn cản tiếp nhận tới tài nguyên hệ thống; 1.1.2 Tấn công luồng thông tin mạng Luồng thông tin truyền từ nơi gửi (nguồn) đến nơi nhận (đích) Trên đường truyền cơng khai, thông tin bị công người không uỷ quyền nhận tin (gọi kẻ công) 1.1.3 Phân loại kiểu công luồng thông tin mạng Các kiểu công luồng thông tin phân chia thành hai lớp công bị động (passive attacks) chủ động (active attacks) Tấn công bị động Là kiểu công chặn bắt thông tin nghe trộm quan sát truyền tin Mục đích kẻ cơng biết thơng tin truyền mạng Tấn công chủ động Là kiểu cơng sửa đổi dòng liệu hay tạo dòng liệu giả Tấn công chủ động chia thành loại nhỏ sau: 1.2 Thực trạng ATTT DNVVN 1.2.1 Đặc điểm hệ thống thông tin DNVVN Về hạ tầng kỹ thuật Hạ tầng kỹ thuật bao gồm thiết bị CNTT máy tính, máy in, thiết bị trực tiếp xử lý thơng tin mạng máy tính Hình Tỷ lệ máy tính doanh nghiệp [3] Mạng kết nối Internet điều kiện kỹ thuật sở để doanh nghiệp ứng dụng CNTT toàn doanh nghiệp tham gia thị trường thương mại điện tử, có 98% số doanh nghiệp tham gia khảo sát kết nối Internet Về ứng dụng CNTT hoạt động quản lý điều hành [3] Hầu hết DNVVN sử dụng phần mềm phục vụ tác nghiệp đơn giản thư điện tử, phần mềm văn phòng, ngồi có hai phần mềm sử dụng phổ biến phần mềm kế tốn, tài (89%) quản lý nhân (49%) Hình Tỷ lệ ứng dụng phần mềm DNVVN Bên cạnh việc ứng dụng phần mềm phục vụ tác nghiệp kể trên, DNVVN thiết lập website vào hoạt động sản xuất kinh doanh phổ biến Về nguồn nhân lực phụ trách CNTT Tỷ lệ doanh nghiệp có cán chuyên trách CNTT TMĐT tăng qua năm, từ 20% năm 2010 lên 73% năm 2015 Hình Tỷ lệ DNVVN có cán chuyên trách CNTT qua năm [3] Tuy nhiên việc tuyển dụng nhân có kỹ CNTT lại gặp khó khăn, kết khảo sát năm gần cho thấy tỷ lệ có chiều hướng giảm, từ 29% năm 2013 xuống 24% năm 2015 Về cấu chi phí cho hạ tầng CNTT doanh nghiệp Chi phí cho hạ tầng công nghệ thông tin doanh nghiệp tương tự qua năm Năm 2015, phần cứng chiếm tỷ trọng đầu tư cao (42%), tiếp đến phần mềm (26%), nhân đào tạo (17%) Hình Cơ cấu chi phí cho hạ tầng cơng nghệ thông tin [3] Số liệu tổng hợp cho thấy, quy mô nguồn nhân lực vốn, hệ thống thông tin DNVVN so với doanh nghiệp lớn nhiều hạn chế: Các DNVVN khơng thể đầu tư có chiều sâu vào ứng dụng CNTT hệ thống mạng an toàn Các phần mềm mang tính đồng bộ, an tồn, hiệu ERP “bài tốn khó” doanh nghiệp Về mặt nhân CNTT, DNVVN chưa đầu tư cách lâu dài, chưa có cán chuyên trách đảm nhiệm vai trò an tồn thơng tin, việc đào tạo ý thức ATTT cho toàn người dùng DNVVN gần chưa triển khai Bên cạnh đó, nhiều doanh nghiệp khơng biết cách thiết lập quy trình chuẩn biện pháp bảo vệ hệ thống Do đó, việc nghiên cứu giải pháp đảm bảo ATTT cho doanh nghiệp vừa nhỏ vấn đề cấp thiết 1.2.2 Thực trạng ATTT giới Năm 2016 tình hình cơng mạng giới gia tăng đáng kể, có diễn biến phức tạp khó đốn trước, hàng loạt cơng ty bị đánh cắp tài khoản người dùng, bật vụ đánh cắp người dùng Yahoo tháng 12/2016 Năm 2016 năm mã độc tống tiền - Ransomware trở thành vấn nạn Ngoài công mạng mã độc lây nhiễm thiết bị IoT xảy tràn lan 1.2.3 Thực trạng ATTT doanh nghiệp Việt Nam Theo khảo sát Hiệp hội An tồn thơng tin Việt Nam, số ATTT Việt Nam năm 2016 59,9% Đây bước tiến đáng kể năm qua, năm 2015, số 47,4% 1.3 Bài tốn an tồn thơng tin cho DNVVN 1.3.1 Các nguy ATTT DNVVN Nguy an tồn thơng tin khía cạnh vật lý Nguy an tồn thơng tin khía cạnh vật lý nguy điện, nhiệt độ, độ ẩm không đảm bảo, hỏa hoạn, thiên tai, thiết bị phần cứng bị hư hỏng, phần tử phá hoại nhân viên xấu bên kẻ trộm bên Nguy bị mất, hỏng, sửa đổi nội dung thông tin: Người dùng vơ tình để lộ mật khơng thao tác quy trình tạo hội cho kẻ xấu lợi dụng để lấy cắp làm hỏng thông tin Nguy bị công phần mềm độc hại Các phần mềm độc hại công nhiều phương pháp khác để xâm nhập vào hệ thống với mục đích khác như: virus, sâu máy tính (Worm), phần mềm gián điệp (Spyware), Nguy xâm nhập từ lỗ hổng bảo mật Lỗ hổng bảo mật thường lỗi lập trình, lỗi cố phần mềm, nằm nhiều thành phần tạo nên hệ điều hành chương trình cài đặt máy tính Nguy xâm nhập bị công cách phá mật Quá trình truy cập vào hệ điều hành bảo vệ khoản mục người dùng mật Nguy ATTT sử dụng e-mail Tấn cơng có chủ đích thư điện tử công email giả mạo giống email gửi từ người quen, gắn tập tin đính kèm nhằm làm cho thiết bị bị nhiễm virus Nguy ATTT với website Về mặt kỹ thuật, website DNVVN tồn lỗ hổng nghiêm trọng cho phép xâm nhập chiếm quyền điều khiển Các lỗ hổng thường gặp như: SQL Injection, Cross-site Scripting, Upload Nguy ATTT kỹ nghệ xã hội Các nghiên cứu lĩnh vực kỹ nghệ xã hội nhiều điểm yếu người mà giới đạo chích tận dụng để thực hành vi lừa đảo Nhưng phẩm chất tốt lòng nhân ái, hào hiệp, chân thực kẽ hở để đạo chích lợi dụng Vì vậy, ngồi việc nắm kiến thức chung phẩm chất người, giới kỹ sư xã hội trọng phân biệt đặc tính kiểu người hình thành nghề nghiệp 1.3.2 Những tổn thất DNVVN trước nguy ATTT Có nhiều tổn thất xảy ra, phân thành loại sau: DNVVN bị phá sản; Doanh nghiệp bị ngừng kinh doanh; Tổn thất tài chính; Trách nhiệm pháp lý; … 1.3.3 Danh mục tài sản thông tin DNVVN cần bảo vệ [10] Tài sản thông tin doanh nghiệp thứ mà doanh nghiệp cần bảo vệ mặt ATTT bao gồm 02 dạng tài sản liệu tài sản dịch vụ Tài sản liệu Dưới danh sách tài sản liệu phổ biến DNVVN Tài sản dịch vụ Tài sản dịch vụ bao gồm dịch vụ cung cấp trực tiếp cho khách hàng Tài sản liệu tài sản dịch vụ có mối liên hệ chặt chẽ với nhau, ví dụ dịch vụ lương phụ thuộc vào liệu hồ sơ nhân sự, mức lương, thời gian làm việc, vv CHƯƠNG 2: CÁC HỆ MẬT MÃ ĐẢM BẢO ATTT ĐƯỢC DÙNG PHỔ BIẾN HIỆN NAY 2.1 Tổng quan hệ mật mã 2.1.1 Định nghĩa Hệ mật mã [7] định nghĩa năm (P, C, K, E, D), đó: P: tập hữu hạn rõ C: tập hữu hạn mã K: tập hữu hạn khố E: tập hữu hạn hàm lập mã D: tập hàm giải mã Với k ∈ K có hàm lập mã 𝑒𝑘 ∈ 𝐸, 𝑒𝑘 ∶ P → C hàm giải mã 𝑑𝑘 ∈ 𝐷, 𝑑𝑘 : 𝐶 → 𝑃 cho 𝑑𝑘 (𝑒𝑘 (𝑥)) = 𝑥 với ∀𝑥 ∈ 𝑃 Khoá k Khoá k Văn rõ (X) E Văn mã (Y) D Văn rõ (X) X = Dk(Y) Y = Ek(X) Hình Q trình mã hố giải mã 2.1.2 Phân loại hệ mật mã Hệ mật mã có nhiều loại chia làm hai loại chính: Hệ mật mã khố đối xứng Hệ mật mã khố cơng khai 2.1.3 Một số khái niệm sử dụng mật mã [6] Bản rõ X gọi là tin gốc Bản rõ chia nhỏ có kích thước phù hợp Bản mã Y tin gốc mã hoá Ở ta thường xét phương pháp mã hóa mà khơng làm thay đổi kích thước rõ, tức chúng có độ dài Khố K thơng tin tham số dùng để mã hố, có người gửi nguời nhận biết Khóa độc lập với rõ có độ dài phù hợp với yêu cầu bảo mật Mã hố q trình chuyển rõ thành mã, thông thường bao gồm việc áp dụng thuật tốn mã hóa số q trình xử lý thông tin kèm theo Giải mã chuyển mã thành rõ, trình ngược lại mã hóa 2.2 Hệ mật AES [9] 2.2.1 Giới thiệu AES (Advanced Encryption Standard - Tiêu chuẩn mã hóa nâng cao) thiết kế Joan Daemen Vincent Rijmen, hai nhà khoa học người Bỉ 2.2.2 Thuật toán 2.2.2.1 Cơ sở toán học AES Trong AES phép toán cộng nhân thực byte trường hữu hạn GF(28) 2.2.2.2 Mở rộng khóa AES thực việc mở rộng khóa dựa khóa gốc K, tạo thành chu trình tạo khóa để sinh 10, 12 14 khóa con, tương ứng với 10, 12 14 chu kỳ lặp giải thuật AES 2.2.2.3 Q trình mã hóa Q trình mã hóa giải thuật AES trải qua 10, 12 14 chu kỳ, tương ứng với độ dài khóa 128, 192 256 bit Mỗi chu kỳ bao gồm bước thự tuần tự: Bước 1: AddRoundKey - byte khối trạng thái kết hợp với khóa Các khóa tạo từ q trình tạo khóa Bước 2: SubBytes - byte khối trạng thái thay byte khác bảng tra S-box Bước 3: ShiftRows - Các hàng khối dịch vòng, số lượng vòng dịch phụ thuộc vào thứ tự hàng Bước 4: MixColumns - cột khối trộn theo phép biến đổi tuyến tính Các bước q trình mã hóa thực trạng thái hành S Kết S’ bước trở thành đầu vào bước 2.2.2.4 Quá trình giải mã Là trình ngược trình mã hóa AES 2.2.3 Đánh giá Ưu điểm: AES giải thuật mã hóa có tốc độ xử lý nhanh, phủ Hoa Kỳ tuyên bố có độ an tồn cao, sử dụng làm tiêu chuẩn mã hóa thay cho tiêu chuẩn DES lỗi thời AES sử dụng để mã hóa thông tin mật đến tuyệt mật, kháng lại nhiều cơng Nhược điểm AES: • Mặc dù AES đánh giá an toàn với phương pháp “tấn cơng kênh biên” chưa thực an tồn • Cấu trúc tốn học AES mơ tả đơn giản Điều dẫn tới số mối nguy hiểm tương lai • Ngoài ra, AES cồng kềnh cần nhiều tài nguyên cho việc cài đặt [1] 2.3 Hệ mật RC4 2.3.1 Giới thiệu RC4 hệ mã dòng với chiều dài khóa biến đổi nêu năm 1987, tác giả RC4 Ronald Rivest, Trong RC4, để sinh chuỗi Gama xuất xung cần thực thao tác sau đây: Tăng Q1 lên 1: Q1 = (Q1 + 1) mod 256 Thay đổi giá trị Q2: Q2 = (Q2 + S[Q1]) mod 256 Hoán đổi giá trị phần tử: S[Q1] ↔ S[Q2] Tính trổng T phần tử này: T = (S[Q1] + S[Q2]) mod 256 Gán giá trị cho γ: γ = S[T] vậy, S bảng t = 2(r+1) giá trị nhị phân ngẫu nhiên định khóa K Q trình mở rộng khóa bao gồm bước sau: + Bước 1: Chép khóa bí mật K[0, ,b-1] vào mảng L[0, ,c-1] + Bước 2: Khởi tạo mảng S với mẫu bit ngẫu nhiên đặc biệt, cách dùng phép tính số học module 2w định số lý tưởng PW Qw + Bước : Trộn khóa bí mật người sử dụng vào mảng L S 2.4.2.3 Q trình mã hóa Q trình mã hóa giải mã minh họa sau: Hình 2 Sơ đồ khối q trình mã hóa giải mã RC5 2.4.2.4 Quá trình giải mã : Quá trình giải mã RC5 ngược lại trình mã hóa để có giá trị gốc Thuật tốn giải mã sau : For i = r downto { B' = ((B' - S[2i + 1]) >>> A') XOR A' A' = ((A' - S[2i]) >>> B' XOR B' } B = B' - S[1] A = A' - S[0] 2.4.3 Đánh giá + Theo kết đánh giá độ an tồn thuật tốn, RC5 với 12 vòng lặp mã hóa khối 64-bit cung cấp độ an tồn tương đương với thuật tốn DES thử với phương pháp giả mã, 244 cho RC5 243 DES 10 2.5 Hệ mã hóa RC6 [19] 2.5.1 Giới thiệu RC6 cải tiến RC5, thiết kế để giải yêu cầu chuẩn mã hóa cao cấp AES (Advanced Encryption Standard) Giống RC5, RC6 sử dụng vòng lặp 2.5.2 Thuật tốn 2.5.2.1 Định nghĩa giá trị w: kích thước khối cần mã hóa (giá trị chuẩn 32 bit, ngồi ta chọn 16 hay 64 bit) r: số vòng lặp (giá trị từ 0,1, ,255) b: chiều dài khóa theo byte (0 đến 255) 2.5.2.2 Mở rộng khóa Q trình mở rộng khóa bao gồm bước sau: Bước : - Chép khóa bí mật K[0, ,b-1] vào mảng L[0, ,c-1] - Thao tác sử dụng u byte liên tục khóa K để điền vào cho L, theo thứ tự từ byte thấp đến byte cao Các byte lại L điền vào giá trị - Trong trường hợp b = c = 0, đặt c L[0] Bước : - Khởi tạo mảng S với toán tử ngẫu nhiên đặc biệt, cách dùng phép tính số học module 2w định số lý tưởng PW Qw Bước 3: - Trộn khóa bí mật người sử dụng vào mảng L S Lưu ý hàm mở rộng khóa chiều khơng dễ dàng tìm khóa K từ S 2.5.2.3 Thuật tốn mã hóa: B = B + S[0] D = D + S[1] For i = to r { t = (B x (2B + 1))