fr eb oo ks @ ee 4v n or g Những kẻ công mạng (hacker) phần tử “thâm canh cố đế” môi trường mạng diện rộng [STE1] Các mạng phủ, quan tài chính, cơng ty viễn thơng tập đoàn tư nhân trở thành nạn nhân vụ đột nhập hacker tương lai mục tiêu săn đuổi chúng Các vụ đột nhập mạng thường có phạm vi tác động rộng số biểu trường hợp ghi lại đây: • Một loạt đợt công hacker vào hàng trăm sở nghiên cứu phủ quân đội Mỹ mô tả chi tiết quan Cliff Stoll [STOL1] Đó trường hợp đợt công thành công (hầu không bị phát hiện) thời gian nhiều tháng trời Thủ phạm quan tình báo nước ngồi Động cá nhân hacker hội thu lợi tài Từ câu truyện Cliff Stoll thơng điệp làm cho thao tác viên mạng người dùng lo lắng dễ dàng mà hacker đột nhập thiết bị sơ đẳng mà chúng sử dụng với trình độ kỹ thuật tầm thường • Con sâu mạng (Internet Worm) thả lên mạng Internet vào tháng 11 năm 1988 sinh viên Robert Morris Jr trường đại học Cornell [SPA1] Con sâu mạng chương trình đột nhập tự nhân Nó tiến hành qt tồn mạng internet để lan nhiễm khống chế hữu hiệu tối thiểu 1200 (có thể lên đến 6000) máy tính mạng internet chạy hệ điều hành UNIX Khó thu thập đầy đủ số liệu tin cậy vụ đột nhập hacker cố an ninh khác, nạn nhân từ chối không tự nhận họ bị (hoặc bị) thiệt hại Có thể thấy xu hướng gia tăng vụ đột nhập nhập mạng internet qua số liệu thống kê cố an ninh đựơc lưu trữ ủy Ban Chịu Trách Nhiệm Về Các Vấn Đề Khẩn Cấp Các Máy Tính Mạng Internet - hình thành từ sau cố sâu mạng Internet (Internet Computer Emergency Response Team, viết tắt CERT) Số cố ghi lại thời kỳ từ 1989 đến 1992 trình bày bảng 1-1 Lưu ý rằng, cố tác động tới địa tác động đến hàng ngàn địa cố có tác động thời gian dài Năm 1989 1990 1991 1992 Số cố 132 252 406 773 Bảng 1-1: Các cố an ninh mạng Internet ghi lại giai đoạn 1989-1992 Có nhiều động sâu xa để công vào mạng thương mại khơng mật phủ Đó vụ đột nhập mạo hiểm phiêu lưu để gian lận tài chính, ăn cắp tài nguyên viễn thông, làm gián điệp công nghiệp, nghe để lấy trộm thơng tin phục vụ cho lợi ích trị tài nhân viên bất bình kẻ cố tình phá hoại Ngồi kiểu cơng cố tình an ninh truyền thơng cần phải ngăn ngừa khai thác vơ tình người dùng Việc kết nối vơ tình phiên truyền thơng nhạy cảm đến địa sai lỗi vơ tình thơng tin nhạy cảm cần bảo vệ gây phá hoại thành cơng cơng có chủ ý 1.1 Các yêu cầu đặc trưng an ninh mạng Sự đe doạ hacker mối quan tâm tất mạng có truy cập cơng cộng hay có sử dụng phương tiện cơng cộng Tuy nhiên, khơng đơn lo lắng Để đưa yêu cầu an ninh mạng xét vấn đề an ninh số môi trường ứng dụng mạng quan trọng Trong lĩnh vực ngân hàng Từ năm 1970, dịch vụ chuyển tiền điện tử CTĐT (Electronic Funds Transfer, viết tắt EFT) tiêu điểm ứng dụng an ninh truyền thông cơng nghiệp tài [PARR1] Mối quan tâm đảm bảo cho không cho can thiệp vào trình CTĐT, cần đơn giản sửa lượng tiền chuyển khoản hay sửa số tài khoản gian lận khoản tài khổng lồ Đây vấn đề quan tài chính, nơi phát sinh xử lý giao dịch, họ phải đương đầu với viễn cảnh chịu đựng chi phí tổn thất gian lận Cho dù có phát gian lận thực tế khó khởi tố nhiều l?ý do, trở thành thiệt hại công cộng hiển nhiên quan Do hệ thống tài có chứa đựng yếu tố nguy hại từ phía xã hội, nên việc bảo vệ hệ thống liên quan đến quan phủ Một vụ công nghiêm trọng quy mô lớn vào mạng hệ thống tài quan trọng tác động làm ổn định kinh tế quốc gia Tính chất nghiêm trọng vấn đề an ninh cơng nghiệp tài hỗ trợ từ phía phủ làm cho ứng dụng công nghệ an ninh ngành công nghiệp trở thành vị trí đứng đầu giới thương mại Trong năm 1980, việc mắt mạng máy nói tự động (Automatic Teller Machine, viết tắt ATM) dịch vụ CTĐT nơi bán (EFTPOS) làm tăng vấn đề an ninh truyền thông thị trường kinh doanh ngân hàng bán lẻ [DAV1, MEY1] Việc đưa vào sử dụng tiện ích yêu cầu sử dụng thẻ nhựa số nhận dạng cá nhân SNDCN (Personal Identification Number, viết tắt PIN) Nhưng, thẻ thường xuyên bị cắp dễ bị làm giả, nên an ninh hệ thống phụ thuộc vào bí mật SNDCN Việc giữ bí mật SNDCN bị phức tạp hố thực tế trình xử lý giao dịch phải liên quan đến mạng quản lý đa phân chia Hơn nữa, ngân hàng nhìn thấy trước tiết kịêm chi phí việc thay dịch vụ giao dịch giấy dịch vụ giao dịch điện tử Nên dịch vụ giao dịch điện tử đời ngày nhiều an ninh mạng yêu cầu phải phát triển theo Càng ngày, ngân hàng cần phải bảo đảm người tham gia mở giao dịch phải chủ (xác thực) Do vậy, cần có chữ k?ý điện tử tương đương với chữ k?ý giấy khách hàng Các ngân hàng chịu trách nhiệm bí mật giao dịch Trong thương mại điện tử Việc trao đổi liệu điện tử TĐDLĐT bắt đầu làm xuất vùng ứng dụng viễn thông từ năm 1980 [SOK1] Mục tiêu TĐDLĐT thay tồn hình thức giao dịch thương mại giấy (ví dụ đơn đặt hàng, hố đơn toán, chứng từ, v.v ) giao dịch điện tử tương đương TĐDLĐT đem lại giảm giá thành đáng kể hoạt động kinh doanh Để làm cho TĐDLĐT chấp nhận rộng rãi hoạt động kinh doanh thương mại an ninh yếu tố thiếu Người dùng cần phải đảm bảo chắn rằng, hệ thống điện tử cung cấp cho họ bảo vệ tương đương (khơng nói tốt hơn) để tránh sai sót, hiểu lầm chống lại hành vi gian lận so với bảo vệ mà họ quen thuộc trước hệ thống quản lý giấy tờ chữ ký giấy Trong TĐDLĐT có nhu cầu thiết yếu để bảo vệ chống lại việc sửa đổi liệu vơ tình hay cố ?ý ?và để đảm bảo rằng, xuất sứ giao dịch hợp lệ Tính chất bí mật riêng tư giao dịch cần phải đảm bảo có chứa thơng tin bí mật cơng ty Về khía cạnh TĐDLĐT hồn tồn giống dịch vụ CTĐT Tuy nhiên, dịch vụ CTĐT đưa thách thức an ninh, cộng đồng người dùng lớn tổ chức kinh doanh ngày phát triển nhiều Dịch vụ CTĐT đưa yêu cầu Các giao dịch CTĐT cấu thành hợp đồng kinh doanh, có nghĩa chúng phải có chữ k?ý điện tử có tính hợp pháp giống chữ k?ý giấy Ví dụ, chúng chấp nhận chứng việc giải tranh chấp trước án luật pháp Để chữ k?ý điện tử có vị trí hợp pháp bây giờ, người ta phải tranh luận nhiều năm trời Ví dụ, năm 1992, Hiệp hội Đạo luật Hợp chủng quốc Hoa kỳ có đưa Nghị có nội dung sau: Ghi nhận, thơng tin dạng điện tử, điều kiện thích hợp, coi thoả mãn yêu cầu hợp pháp so với chữ viết chữ ký giấy dạng truyền thống khác phạm vi, chấp nhận thủ tục, kỹ thuật thực tiễn an ninh tương ứng Vì tiết kiệm chi phí cho người dùng hội thị trường mở rộng cho nhà cung cấp thiết bị, dịch vụ CTĐT xem hội lớn người dùng nhà bán hàng Các giải pháp kỹ thuật tiêu chuẩn hỗ trợ cho an ninh CTĐT trở thành điều quan trọng hầu hết tất ngành cơng nghiệp Trong quan phủ Các quan phủ ngày sử dụng nhiều mạng truyền thơng máy tính để truyền tải thơng tin Nhiều số thơng tin hồn tồn không liên quan đến an ninh quốc gia, nên chúng thông tin mật Tuy nhiên, chúng lại yêu cầu cần bảo vệ an ninh l?ý khác, chẳng hạn bảo vệ tính riêng tư hợp pháp Những thông tin không mật nhạy? cảm truyền tải thơng qua thiết bị nối mạng thương mại có sẵn sử dụng cấp giám sát an ninh thoả đáng Ví dụ, Mỹ, Đạo luật An ninh Máy tính năm 1987 có đưa khái niệm gọi “thông tin nhạy cảm” định nghĩa “mọi thơng tin bất kỳ, mà làm thất nó, sử dụng sai truy nhập trái phép hay sửa đổi tác động chống lại lợi ích quốc gia chống lại đạo chương trình Liên bang, quyền riêng tư cá nhân nêu Điều 552a, Khoản 5, Luật Hoa kỳ ( Đạo luật quyền cá nhân), chưa đăng ký quyền đặc biệt theo tiêu chuẩn mà Quốc hội phê chuẩn phải giữ bí mật để bảo vệ lợi ích quốc gia ngoại giao” Uỷ ban tiêu chuẩn Hoa kỳ (NIST) giao “trách nhiệm phát triển đề tiêu chuẩn hướng dẫn thi hành để đảm bảo an ninh tính bí mật riêng tư thơng tin nhạy cảm” Quy dịnh phân biệt khác thông tin nhạy cảm thông tin mật thuộc quản lý Cơ quan An ninh Quốc gia Nhiều quốc gia khác có sách thích ứng để cơng nhận quản lý liệu không mật nhạy cảm Vấn đề an ninh bật đảm bảo giữ tính bí mật riêng tư, có nghĩa là, thơng tin khơng bị lộ vơ tình hay cố ý tất khơng có quyền sở hữu thơng tin Một nội dung an ninh khác đảm bảo rằng, thông tin không bị truy nhập sửa đổi quyền đáng Những tiết kịêm chi phí giao dịch điện tử so với giao dịch giấy, ví dụ tạo hồ sơ điện tử hồn trả thuế, quan phủ triển khai nhanh chóng Ngồi đảm bảo tính bí mật riêng tư, hệ thống đưa yêu cầu chữ ký điện tử khả thi mặt luật pháp Năm 1991, với việc dỡ bỏ rào chắn điều luật Chính phủ Hoa kỳ mở đường cho viêc sử dụng chữ ký điện tử Một Quyết nghị của Uỷ ban Kiểm sốt có nêu rằng, hợp đồng có sử dụng chữ ký điện tử có giá trị pháp l?ý quan phủ có trang bị hệ thống an ninh hồn hảo (Thơng báo phủ liên bang luật quyền tiêu chuẩn chữ ký số hoá phải tuân thủ) Trong tổ chức viễn thông công cộng Việc quản lý mạng viễn thông công cộng gồm nhiều chức chung như: Vận hành, Quản trị, Bảo trì Giám sát VQB&G (tiếng Anh viết tắt OAM&P) Những chức quản lý lại có tiện ích nối mạng liệu cấp thấp để liên kết thiết bị thuộc chủng loại khác có cộng đồng người dùng đơng đúc (những nhân viên vận hành bảo trì) Trong việc truy cập vào mạng bị khống chế khắt khe lần, đường truy cập lại để ngỏ Các khả quản lý mạng khách hàng cung cấp cho nhân viên làm dịch vụ khách hàng truy cập mạng quản lý để thực chức quản lý mạng tài nguyên mạng tổ chức người dùng sử dụng Các mạng hệ thống quản lý truyền thông dễ bị hacker đột nhập? [STE1] Động chung vụ đột nhập ăn cắp dịch vụ truyền thông Khi đột nhập vào quản lý mạng việc ăn cắp nghĩ nhiều hình thức khác nhau, chẳng hạn gọi hàm chẩn đốn, điều khiển ghi tính tiền, sửa đổi sở liệu giám sát Các vụ đột nhập quản lý mạng thực trực tiếp từ nghe trộm gọi thuê bao Vấn đề quan viễn thơng tìm kiếm tổn hại an ninh làm chậm thời gian truy cập mạng mà phải trả giá đắt cho quan hệ khách hàng, thất thu ngân sách giá thành phục hồi Các vụ công cố ý vào khả sẵn sàng hạ tầng viễn thông quốc gia chí cịn coi vấn đề an ninh quốc gia Ngoài vụ đột nhập từ bên ngồi, quan viễn thơng phải quan tâm đến tổn hại từ nguồn bên thay đổi không hợp lệ sở liệu quản lý mạng từ phía nhân viên khơng có trách nhiệm thực cơng việc Những biểu vơ ý cố ?tình, chẳng hạn hành vi nhân viên bất mãn Để bảo vệ chống lại tượng việc truy cập vào chức quản lý cần phải giới hạn nghiêm ngặt dành cho có nhu cầu hợp pháp Điều quan trọng cần phải biết xác nhận dạng cá nhân có ý định truy cập chức quản lý mạng Trong mạng công ty/tư nhân Hầu hết tất cơng ty có yêu cầu bảo vệ thông tin sở hữu tài sản nhạy cảm Việc tiết lộ thông tin cho đối thủ cạnh tranh cá nhân tổ chức bên ngồi làm thiệt hại nghiêm trọng cho công việc kinh doanh, chừng mực đem lại thắng thầu hợp đồng kinh tế ảnh hưởng đến tồn vong công ty Các mạng ngày sử dụng để chuyển thông tin sở hữu tài sản, ví dụ cá nhân, địa điểm văn phịng, cơng ty và/hoặc đối tác kinh doanh Mạng cơng ty khép kín trở thành khái niệm lạc hậu, xu hướng phát triển làm việc nhà Việc bảo vệ thông tin sở hữu tài sản khơng mối quan tâm Có nhiều tổ chức tin tưởng giữ gìn thơng tin riêng tư tổ chức cá nhân khác mà họ có trách nhiêm phải bảo đảm việc bảo vệ bí mật Ví dụ tổ chức chăm sóc sức khoẻ quan pháp luật Các yêu cầu bảo đảm tính xác thực tin nhắn tăng lên mạng công ty Một tin nhắn điện tử quan trọng cần phải xác thực, tương tự tài liệu giấy quan trọng cần phải có chữ ký Cho đến nay, công ty hoạt động với giả thiết rằng, cấu bảo vệ tương đối đơn giản thoả mãn yêu cầu an ninh họ Họ hồn tồn khơng bận tâm vụ đột nhập với công nghệ phức tạp lĩnh vực mật phủ Tuy nhiên, ngày có nhiều chứng cho thấy, tài nguyên trí tuệ số phủ ngoại quốc sử dụng vào mục đích tình báo cơng nghiệp Cơng nghiệp thương mại khơng cịn tiếp tục tự mãn sức mạnh biện pháp an ninh dùng để bảo vệ thông tin tài sản nhạy cảm 1.2 An ninh hệ thống mở Những thuật ngữ an ninh mạng hệ thống mở xuất trái ngược khái niệm, thực khơng phải Khái niệm hệ thống mở biểu diễn phản ứng người mua nhiều năm cấm đoán người bán máy tính cá nhân phần cứng phần mềm truyền thơng Nó coi đường dẫn đến lựa chọn mở nhà cung cấp cấu thành riêng rẽ hệ thống với đảm bảo rằng, cấu thành từ nhà cung cấp khác hoàn toàn làm việc với để thoả mãn nhu cầu người mua Chương trình điều khiển hệ thống mở bị ràng buộc chặt chẽ với việc thiết lập thực thi rộng rãi tiêu chuẩn Nối mạng máy tính hệ thống mở gắn liền với Sự đời hệ thống mở – Nối kết hệ thống mở (Open Systems Interconnection, viết tắt OSI) - tiến hành từ năm 1970 việc phát triển tiêu chuẩn cho thủ tục truyền thơng máy tính thoả thuận quốc gia giới Ngoài hệ thống tiêu chuẩn thức OSI thủ tục nối mạng hệ thống mở thiết lập tập đoàn khác - đặc biệt Hiệp hội Internet với thủ tục TCP/IP Thông qua hoạt động nối mạng hệ thống mở này, thủ tục có khả kết nối thiết bị từ nhiều nhà cung cấp khác nhau, cho phép sử dụng tất công nghiệp truyền thông thoả mãn yêu cầu hầu hết ứng dụng Việc đưa bảo vệ an ninh vào mạng hệ thống mở nỗ lực đáng kể Nó cho thấy, nhiệm vụ phức tạp quy mơ rộng lớn, thể giao kết hai công nghệ - công nghệ an ninh thiết kế thủ tục truyền thông Để cung cấp an ninh mạng hệ thống mở cần phải sử dụng kỹ thuật an ninh kết hợp với thủ tục an ninh , sau tích hợp vào thủ tục mạng truyền thông Cần phải đưa tiêu chuẩn tương thích đầy đủ bao trùm lên ba lĩnh vực rộng lớn sau: - Các kỹ thuật an ninh - Các thủ tục an ninh mục đích chung - Các thủ tục ứng dụng đặc biệt ngân hàng, thư điện tử v.v Các thủ tục liên quan cho lĩnh vực lấy từ bốn nguồn là: - Các tiêu chuẩn quốc tế công nghệ thông tin xây dựng Tổ chức tiêu chuẩn quốc tế ISO, Uỷ ban điện kỹ thuật Quốc tế (IEC), Liên hiệp Viễn thông Quốc tế (ITU), Viện Kỹ sư Điện Điện tử (IEEE) - Các tiêu chuẩn công nghiệp ngân hàng, phát triển tổ chức ISO Viện Tiêu chuẩn Quốc gia Hoa kỳ, - Các tiêu chuẩn quốc gia, đặc biệt phủ liên bang Hoa kỳ - Các thủ tục mạng internet xây dựng Hiệp hội Internet Những tiêu chuẩn liên quan đến an ninh từ tất nguồn trình bày sách Kết luận chương An ninh mạng trở thành u cầu chun mơn hố mơi trường an ninh quốc gia quốc phòng Các yêu cầu an mạng xuất hầu hết môi trường ứng dụng mạng, bao gồm mạng ngân hàng, mạng thương mại điện tử, mạng phủ (khơng mật), mạng truyền thông tổ chức truyền thông mạng công ty/ tư nhân Tập hợp yêu cầu đặc trưng môi trường tổng hợp bảng 1-2 An ninh mạng cần phải thực thi hài hoà với phát triển mạng hệ thống mở (có nghĩa mạng khơng phụ thuộc vào nhà cung cấp thiết bị) Điều có nghĩa cấu thành an ninh mạng – kỹ thuật an ninh thủ tục an ninh cần phải phản ánh tiêu chuẩn hệ thống mở tương ứng Trong chương sử dụng yêu cầu an ninh bảng 1-2 minh hoạ chuyển dịch thân tình từ yêu cầu thành mối đe doạ làm sử dụng dịch vụ an ninh để rà xét oạmois đe doạ Các chương sau trình bày phương pháp thực thi dịch vụ an ninh Bảng 1-2: Môi trường ứng dụng Tất mạng Mạng ngân hàng Mạng thương mại điện tử Mạng phủ Các yêu cầu Bảo vệ chống đột nhập từ bên (hacker) Bảo vệ chống gian lận sửa đổi vơ tình giao dịch Nhận dạng khách hàng giao dịch lẻ Bảo vệ chống tiết lộ SNDCN Bảo đảm tính bí mật riêng tư khách hàng Đảm bảo nguồn tính nguyên vẹn giao dịch Bảo vệ bí mật cơng ty Bảo đảm ràng buộc chữ ký điện tử với giao dịch Bảo vệ chống lại tiết lộ vận hành không hợp pháp thông tin không mật nhạy cảm Cung cấp chữ ký điện tử cho giấy tờ hành phủ Mạng tổ chức Hạn chế truy cập vào chức quản lý cho truyền thơng cá nhân có thẩm quyền Bảo vệ chống lại việc làm gián đoạn dịch vụ Bảo vệ bí mật cho thuê bao Mạng công ty/riêng lẻ Bảo vệ riêng tư bí mật cơng ty/ cá nhân Đảm bảo tính trung thực tin nhắn Các tài liệu tham khảo [DAV1] - D.W Davies W.L Price, “An ninh cho mạng máy tính”, Tái lần thứ hai, NXB John Wiley and Sons, New York, 1989 [MAR1] – P Marion, “”, NXB Calmann – Lévy, Pháp, 1991 [MEY1] - C.H Meyer, S.M Matyas R.E Lennon, “Các tiêu chuẩn trung thực mã hoá cần thiết hệ thống chuyển tiền điện tử”, Báo cáo Hội nghị an ninh bí mật Oakland Canada, Tạp chí IEEE Computer Society, 1981 [NUT1] - G.J Nutt, “Các hệ thống mở ”, NXB Prentice Hall, EngleWood Cliffs, New Jessy, 1992 [PAR1] - D.B Parker, “Những tổn thất quốc tế từ nguy dễ bị tổn thương chuyển tiền điện tử ”, Tạp chí Communications of the ACM, kỳ thứ 22, số 12, (tháng 12 năm 1979), trang 654-660 [SOK1] - P.K Sokol, “EDI: Lưỡi dao cạnh tranh”, NXB Intext Publications, Công ty sách McGraw-Hill phát hành, New York, 1988 [SPA1] - E.H Spafford, “Con sâu Internet: khủng hoảng hậu quả”, Tạp chí Communications of the ACM, kỳ thứ 32, số 6, (tháng năm 1989), trang 678-687 [STE1] - B Sterling, “Trừng trị hacker: Luật pháp hỗn độn mặt trận điện tử ”, Hãng Bantam phát hành, New York, 1992 [STO1] - C Stoll, “Quả trứng chim cu”, NXB Doubleday, New York, 1989  ... an ninh mạng Internet ghi l? ?i giai đoạn 1989-1992 Có nhiều động sâu xa để công vào mạng thương m? ?i khơng mật phủ Đó vụ đột nhập mạo hiểm phiêu lưu để gian lận t? ?i chính, ăn cắp t? ?i nguyên viễn... kỳ (NIST) giao “trách nhiệm phát triển đề tiêu chuẩn hướng dẫn thi hành để đảm bảo an ninh tính bí mật riêng tư thơng tin nhạy cảm” Quy dịnh phân biệt khác thông tin nhạy cảm thông tin mật thuộc... Quốc tế (ITU), Viện Kỹ sư ? ?i? ??n ? ?i? ??n tử (IEEE) - Các tiêu chuẩn công nghiệp ngân hàng, phát triển tổ chức ISO Viện Tiêu chuẩn Quốc gia Hoa kỳ, - Các tiêu chuẩn quốc gia, đặc biệt phủ liên bang