Đang tải... (xem toàn văn)
Trình bày khái quát về an toàn bảo mật thông tin, an toàn bảo mật thông tin trong hoạt động thư viện điện tử. Giới thiệu hàm băm (hash), các ứng dụng của hàm băm trong việc đảm bảo toàn vẹn dữ liệu và việc ứng dụng thuật toán này trong hoạt động thư viện điện tử.
NGHIÊN CỨU - TRAO ĐỔI ĐẢM BẢO TOÀN VẸN DỮ LIỆU TRONG HOẠT ĐỘNG THƯ VIỆN ĐIỆN TỬ ThS Nguyễn Văn Hiệp, ThS Nguyễn Tấn Công Trường Đại học KHXH&NV, Tp Hồ Chí Minh Tóm tắt: Trình bày khái qt an tồn bảo mật thơng tin, an tồn bảo mật thông tin hoạt động thư viện điện tử Giới thiệu hàm băm (hash), ứng dụng hàm băm việc đảm bảo toàn vẹn liệu việc ứng dụng thuật toán hoạt động thư viện điện tử Từ khóa: An tồn bảo mật thơng tin; thư viện điện tử Ensuring data integrity in e-library Abstract: The article provides overview of information security, information security in e-library activities It introduces hash and its application in ensuring data integrity and in e-library activities Keywords: Information security; e-library Lời nói đầu Hoạt động thơng tin-thư viện (TT-TV) Việt Nam nói chung thư viện điện tử nói riêng q trình phát triển mạnh mẽ, hồn thiện nâng cao chất lượng để hịa nhập với giới Thư viện ngày đáp ứng tốt nhu cầu người sử dụng Ngày nay, để tham khảo sách, giáo trình, hay luận văn, luận án,… người sử dụng không thiết phải đến trực tiếp thư viện, mà cần ngồi nhà nơi nào, thông qua kết nối Internet sử dụng tài liệu cách nhanh chóng dễ dàng Để làm điều thư viện khơng ngừng nỗ lực việc hoàn thiện sở vật chất, trang thiết bị, cơng nghệ hay xây dựng cho sưu tập tài liệu số nội sinh nhằm phục vụ tốt cho người sử dụng Tuy nhiên, việc mở rộng khả truy cập đưa tới nhiều thách thức quan TT-TV, như: vấn đề quyền, quyền tác giả, vấn đề phân cấp, phân quyền người sử dụng, vấn đề kinh phí, đường truyền… đặc biệt vấn đề đảm bảo an tồn thơng tin trước nguy cơng từ đối tượng xấu, vấn đề đảm bảo tồn vẹn liệu, ngăn ngừa việc sửa đổi nội dung thơng tin đặt lên hàng đầu Tồn vẹn liệu hoạt động thư viện việc đảm bảo file liệu không bị thay đổi trình lưu trữ, chuyển giao sử dụng Để đảm bảo liệu tồn vẹn người ta sử dụng nhiều cách khác nhau, cách làm coi tối ưu sử dụng mơ hình mật mã chiều (One Way Hash cripto system) để tính giá trị băm (Message THƠNG TIN VÀ TƯ LIỆU - 6/2017 11 NGHIÊN CỨU - TRAO ĐỔI Digest-MD) văn Giá trị băm coi “dấu tay” văn Mỗi văn có MD Hai văn khác dù bit cho hai MD khác Dựa vào tính chất người ta dùng MD để kiểm tra tính tồn vẹn liệu Tính tồn vẹn thuộc tính quan trọng hệ thống thơng tin (HTTT) nói chung HTTT thư viện nói riêng Nó đảm bảo tính xác, khơng thay đổi liệu tình Đây cách làm không nhiều lĩnh vực khác sống ngày giao dịch điện tử, ngân hàng, quân sự,… Tuy nhiên mẻ hoạt động quan TT-TV, bối cảnh nay, việc áp dụng hàm băm (Hash) hoạt động thư viện điện tử việc làm vô cần thiết An tồn thơng tin thư viện điện tử 2.1 Khái niệm an tồn thơng tin Cơng nghệ thơng tin truyền thông ngày phát triển, khái niệm như: an ninh mạng, bảo mật, an tồn thơng tin,… khơng cịn xa lạ An tồn thơng tin (ATTT) khơng cịn mối quan tâm công ty, tổ chức liên quan đến tài chính, ngân hàng mà mối quan tâm thư viện Đặc biệt thư viện điện tử, thư viện số nơi mà hoạt động thư viện dần tự động hóa, mục lục truyền thống thay mục lục điện tử, với dịch vụ trực tuyến dựa web cung cấp cho người sử dụng Thơng tin tồn nhiều dạng Thơng tin in viết 12 THÔNG TIN VÀ TƯ LIỆU - 6/2017 giấy, lưu trữ dạng điện tử thư viện thực hiện, trình diễn phim, nói đàm thoại Nhưng cho dù tồn dạng nữa, thông tin đưa với hai mục đích chia sẻ lưu trữ, ln cần bảo vệ thích hợp Vậy an tồn thơng tin gì? An tồn thơng tin bao gồm hoạt động quản lý, nghiệp vụ kỹ thuật HTTT nhằm bảo vệ, khôi phục hệ thống, dịch vụ nội dung thông tin nguy tự nhiên người gây Việc bảo vệ thông tin, tài sản người HTTT nhằm bảo đảm cho hệ thống thực chức năng, phục vụ đối tượng cách sẵn sàng, xác tin cậy An tồn thông tin bao hàm nội dung bảo vệ bảo mật thơng tin, an tồn liệu, an tồn máy tính an tồn mạng [1] Theo ISO 17799/27001 [6], ATTT khả bảo vệ môi trường thông tin kinh tế xã hội, đảm bảo cho việc hình thành, sử dụng phát triển lợi ích công dân, tổ chức quốc gia Thơng qua sách ATTT, lãnh đạo thể ý chí lực việc quản lý HTTT ATTT xây dựng tảng hệ thống sách, quy tắc, quy trình giải pháp kỹ thuật nhằm mục đích đảm bảo an tồn tài ngun thơng tin mà tổ chức sở hữu tài nguyên thông tin đối tác, khách hàng mơi trường thơng tin tồn cầu. An tồn thơng tin trì tính bảo mật, tính tồn vẹn tính sẵn sàng thơng tin; ngồi cịn bao hàm NGHIÊN CỨU - TRAO ĐỔI số tính chất khác tính xác thực, kiểm sốt được, khơng từ chối tin cậy [3] 2.2 Các mục tiêu an tồn thơng tin thư viện điện tử Như biết, quan TT-TV, thơng tin/dữ liệu đóng vai trò quan trọng, chúng ảnh hưởng trực tiếp tới tồn phát triển thư viện Vì vậy, việc bảo mật thơng tin liệu điều vô cần thiết, bối cảnh HTTT thư viện ngày mở rộng quy mô khả truy cập Khi phân tích hệ thống bảo mật, cần xuất phát từ tính chất ATTT Có vùng liệu u cầu tính bảo mật thơng tin, có vùng liệu cần tính tồn vẹn, tất liệu phải đáp ứng yêu cầu tính sẵn sàng hệ thống Trong đó: - Tính bảo mật (confidentiality): đảm bảo thơng tin truy cập người dùng hợp pháp Giảm thiểu tối đa hành vi ăn cắp, khai thác thông tin bất hợp pháp - Tính sẵn sàng (availability): đảm bảo người dùng hợp pháp truy cập thơng tin tài sản liên quan có yêu cầu Hệ thống cần sẵn sàng phục vụ đứng vững trước rủi ro khách quan chủ quan [7] - Tính tồn vẹn (integrity): bảo vệ tính xác, đầy đủ thơng tin phương pháp xử lý Ngăn ngừa hành vi sửa đổi, giả mạo thơng tin 2.2.1 Tính bảo mật Dữ liệu HTTT thư viện điện tử đa dạng, chúng khác nội dung, mục đích đối tượng sử dụng Xét khía cạnh ATTT, thông tin cần phân cấp theo mức độ bảo mật, như: thông tin dùng chung (public), thông tin dùng riêng cho số đối tượng (private) thông tin mật (secret)- thông tin, hồ sơ chưa bạch hóa Để đảm bảo tính bảo mật thơng tin, ngồi việc phân cấp bảo mật thơng tin, người ta sử dụng hệ thống mật mã đối xứng bất đối xứng để mã hóa thơng tin Tùy theo mức độ mật môi trường sử dụng thơng tin, ta sử dụng thuật toán mật mã phù hợp Hiện hệ điều hành, như: WINDOWS, LINUX có tích hợp sẵn cơng cụ mật mã như: DES, 3DES, RSA… Ngồi ra, ta xây dựng phần mềm mật mã dùng riêng, phục vụ nhu cầu thư viện Tính mật thơng tin đại diện quyền READ (đọc) 2.2.2 Tính sẵn sàng Khả đáp ứng thông tin điều quan trọng, điều thể tính sẵn sàng phục vụ dịch vụ Khả đáp ứng hệ thống chịu ảnh hưởng nhiều thành phần phần cứng, phần mềm hay hệ thống Backup Khả đáp ứng hệ thống cần tính đến dựa số người truy cập mức độ quan trọng liệu 2.2.3 Tính Tồn vẹn Tính tồn vẹn liệu trước hết liên quan đến an ninh vật lý Nếu thiết bị vật lý bị hư hỏng tính toàn vẹn thư viện điện tử bị phá hủy Tiếp theo việc đảm bảo an toàn phần mềm, ta biết hoạt động HTTT thư viện xây THÔNG TIN VÀ TƯ LIỆU - 6/2017 13 NGHIÊN CỨU - TRAO ĐỔI dựng phần mềm hệ thống, hệ thống bị nhiễm virus, tài liệu bị phá hủy tính tồn vẹn HTTT thư viện điện tử bị phá hủy Bên cạnh đó, cần quan tâm tới vấn đề phịng chống phá hoại hacker hệ thống viết này, tác giả đề cập tới việc chống lại phá hoại hacker liệu thư viện điện tử Tính tồn vẹn thuộc tính quan trọng HTTT nói chung HTTT thư viện nói riêng Nó đảm bảo tính xác, khơng thay đổi liệu tình Tính tồn vẹn thông tin đại diện đặc trưng quyền sửa đổi Và nói phần trên, để đảm bảo tính tồn vẹn phương pháp sử dụng phổ biến sử dụng mơ hình mật mã chiều (One Way Hash cripto system) để tính MD văn Hàm băm ứng dụng 3.1 Khái niệm hàm băm Hàm băm (Hash) thuật tốn dùng để “tóm tắt” (băm) tài liệu, tin thông điệp cho kết giá trị “băm” có kích thước cố định Giá trị băm gọi “đại diện tài liệu”, “đại diện tin” hay “đại diện thông điệp” [6] Hàm băm hàm chiều mà đưa lượng liệu qua hàm cho chuỗi có độ dài cố định đầu 3.2 Tính chất hàm băm • Tính chiều: khơng thể suy liệu ban đầu từ kết quả, điều tương tự việc bạn khơng thể 14 THƠNG TIN VÀ TƯ LIỆU - 6/2017 dựa vào dấu vân tay lạ mà suy chủ • Tính nhất: xác suất để có vụ va chạm (hash collision), tức hai thông điệp khác có kết hash nhỏ 3.3 Các ứng dụng hàm băm • Xác thực mật khẩu: Mật thường không lưu dạng văn rõ (clear text), mà dạng tóm tắt Để xác thực người dùng, mật người nhập vào băm hàm Hash so sánh với kết băm lưu trữ • Xác thực thơng điệp (Message authentication-Thơng điệp tóm tắtmessage digests): Giá trị đầu vào (tin nhắn, liệu ) bị thay đổi tương ứng giá trị băm bị thay đổi Do vậy, kẻ công phá hoại, chỉnh sửa liệu server biết • Bảo vệ tính tồn vẹn tập tin, thông điệp gửi qua mạng: Hàm băm mật mã có tính chất hàm chiều Từ khối liệu hay giá trị đầu vào đưa giá trị băm Như biết tính chất hàm chiều, người dù bắt giá trị băm họ suy ngược lại giá trị, đoạn tin nhắn băm khởi điểm Ví dụ, việc xác định xem file hay thơng điệp có bị sửa đổi hay khơng thực cách so sánh tóm tắt tính trước sau gửi (hoặc kiện đó), dùng tóm tắt thơng NGHIÊN CỨU - TRAO ĐỔI điệp làm phương tiện đáng tin cậy cho việc nhận dạng file. Hàm băm thường dùng bảng băm nhằm giảm chi phí tính tốn tìm khối liệu tập hợp Giá trị băm đóng vai trị gần khóa để phân biệt khối liệu • Tạo chữ ký điện tử (Digital signatures): Chữ ký số có cách đem mã hố tóm tắt thơng điệp khố bí mật người ký Nếu kết băm giống nhau, Thơng điệp xác thực Tại sao? Vì BIT M hay SIG bị thay đổi, kết băm khác 3.4 Ứng dụng hàm băm đảm bảo toàn vẹn liệu hoạt động thư viện điện tử Thư viện kỷ XXI không trung tâm tri thức, mà cịn trở thành trung tâm thơng tin, khơng có sách, báo, tạp chí in giấy mà cịn có xuất phẩm dạng điện tử Vì vậy, hình thức tổ chức phương pháp hoạt động thư viện có nhiều thay đổi; việc sử dụng máy tính để lưu giữ, khai thác thông tin xây dựng sưu tập số xu hướng quan trọng việc phát triển tự động hố thư viện Khơng thế, để đáp ứng tốt nhu cầu ngày cao người dùng, thư viện sử dụng mạng Internet “mở kết nối” nhằm tạo điều kiện tối đa cho người sử dụng truy cập từ xa tới nguồn liệu Những thay đổi phương thức phục vụ đem lại nhiều lợi ích cho người sử dụng nâng cao vị thư viện mắt người dùng xã hội Tuy nhiên, việc mở rộng khả truy cập tới nguồn tài nguyên lại đem tới nhiều rủi ro cho thư viện, như: tăng khả bị hacker công, dễ dẫn tới mát liệu,… đặc biệt đối tượng xấu lợi dụng thư viện làm nơi để thực âm mưu đen tối Đảm bảo toàn vẹn liệu thư viện điện tử bao gồm nhiều cơng việc khác nhau, đảm bảo toàn vẹn việc vận hành hệ thống quản lý thư viện, đảm bảo việc lưu trữ mật khẩu, thơng tin hệ thống giữ bí mật đảm bảo tài liệu điện tử sưu tập số ln ln tồn vẹn lưu trữ truyền mạng Internet Với việc sử dụng hàm băm, thư viện xác định xem file hay thơng điệp có bị sửa đổi hay không thực cách so sánh tóm tắt tính trước sau gửi (hoặc kiện đó) Hoặc dùng tóm tắt thơng điệp làm phương tiện đáng tin cậy cho việc nhận dạng file Một ứng dụng thư viện áp dụng kiểm tra mật trình bày phần Các hàm băm dùng để tạo bit giả ngẫu nhiên (pseudorandom) kể tới như: SHA-1, MD5,… 3.4.1 Ứng dụng lưu trữ mật tài khoản hệ thống thư viện Hầu hết phần mềm quản lý thư viện ngày có chứng thực người sử dụng Nghĩa để sử dụng ứng dụng, người sử dụng phải qua chế chứng thực username mật khẩu, từ cung cấp quyền sử dụng tương THÔNG TIN VÀ TƯ LIỆU - 6/2017 15 NGHIÊN CỨU - TRAO ĐỔI ứng thư viện cung cấp Do đó, vấn đề bảo mật mật vấn đề vô quan trọng thư viện điện tử nhập ứng dụng Mật người sử dụng thường gồm chữ thường hoa, cộng thêm chữ số Giả sử mật lưu trữ dạng thường, khơng mã hóa máy chủ, file liệu hay hệ quản trị thư viện tích hợp Như vậy, xuất nguy có người khác, người quản trị (administrator), hacker, mở file liệu sở liệu, xem trộm mật Do vậy, mật khơng thể giữ bí mật tuyệt đối sưu tập số Một phương pháp để bảo vệ mật dùng mã hóa, chương trình phần mềm dùng khóa bí mật để mã hóa mật trước lưu mật xuống file hay sở liệu Do đó, tránh vấn đề xem trộm mật Tuy nhiên, phương pháp có nhược điểm lại phải lo bảo vệ khóa bí mật Nếu khóa bí mật bị lộ việc mã hóa khơng cịn ý nghĩa Phương pháp bảo vệ mật hiệu dùng hàm băm Khi người sử dụng đăng ký mật khẩu, giá trị băm mật tính hàm băm (MD5 hay SHA-1,…) Giá trị băm lưu trữ vào file hay sở liệu Vì hàm băm chiều, nên dù biết giá trị băm loại hàm băm, hacker suy mật Khi người sử dụng đăng nhập, mật đăng nhập tính giá trị băm so sánh với giá trị băm lưu trữ Do tính chống trùng, có mật có giá trị băm tương ứng, nên khơng khác ngồi người sử dụng có mật đăng 16 THƠNG TIN VÀ TƯ LIỆU - 6/2017 3.4.2 Ứng dụng hàm băm để kiểm tra toàn vẹn liệu lưu trữ Hiện nay, thư viện xây dựng cho sưu tập số cung cấp khả truy cập từ xa tới sưu tập cho người sử dụng Tuy nhiên, câu hỏi đặt làm cách thư viện kiểm tra rằng, tài liệu số lưu trữ cung cấp cho người sử dụng có bị thay đổi nội dung hay không? Đây thật tốn khó thư viện điện tử Một số cách thư viện thực là: đặt mật cho tài liệu điện tử, để tài liệu chế độ xem,… Tuy nhiên, tất cách tồn nhược điểm dễ để hacker phá bỏ tìm mật tập tin Một cách đơn giản để thư viện đảm bảo tính tồn vẹn liệu số sử dụng hàm băm Như ta biết, hai văn dù khác ký tự cho ta hai giá trị băm khác nhau, đó, trước lưu trữ gửi liệu cho người sử dụng, cán thư viện tiến hành trình băm gắn giá trị băm tìm vào tài liệu, người sử dụng sau nhận tài liệu dùng phần mềm để kiểm tra giá trị băm từ tài liệu nhận được, so sánh hai giá trị này, trùng khớp tài liệu khơng thay đổi, ngược lại, không trùng khớp tức tài liệu bị thay đổi so với nội dung ban đầu NGHIÊN CỨU - TRAO ĐỔI Tạo giá trị SHA - với phần mềm Mutihasher Kết luận Mở rộng khả truy cập từ xa đến thư viện nói chung, đến sưu tập số dịch vụ thư viện nói riêng xu tất yếu hoạt động thư viện ngày Đây việc làm cần thiết thư viện với mong muốn ngày đáp ứng tốt nhu cầu người sử dụng Tuy nhiên, để đảm bảo hoạt động thư viện ổn định xun suốt, thư viện nên có lộ trình thực cụ thể có bước chuẩn bị kỹ trình độ cán thư viện, sở vật chất giải pháp công nghệ an toàn bảo mật Các giải pháp nên việc xây dựng sách an tồn bảo mật, tới việc trang bị máy móc, trang thiết bị cuối giải pháp công nghệ Việc sử dụng hàm băm giải pháp tối ưu cho thư viện việc xây dựng giải pháp cơng nghệ nhằm đảm bảo an tồn, tồn vẹn liệu cho hoạt động TÀI LIỆU THAM KHẢO Cryptography and Network Security Principles and Practices, 4th Edition - William Stallings- Prentice Hall - 2005 Nguyễn Đình Vinh (2011) Giáo trình sở an tồn thơng tin H Ban Cơ yếu phủ, Học viện Kỹ thuật Mật mã, 2011 Phan Đình Diệu (2002) Lý thuyết mật mã & An tồn thơng tin, Đại học quốc gia Hà Nội, Hà Nội, 2002 Trần Minh Văn (2008) Giáo trình An tồn bảo mật thông tin, Đại học Nha Trang, Nha Trang Trịnh Nhật Tiến (2008) Giáo trình An tồn liệu, NXB ĐHQGHN H 2008 Truy cập từ: http://vnexperts.net/bai-vietky-thuat/security/661-chun-bo-mt-iso-17799toan-tp.html(ngày 24/10/2016) (Ngày Tòa soạn nhận bài: 4-5-2017; Ngày phản biện đánh giá: 12-10-2017; Ngày chấp nhận đăng: 20-10-2017) THÔNG TIN VÀ TƯ LIỆU - 6/2017 17 ... lợi dụng thư viện làm nơi để thực âm mưu đen tối Đảm bảo tồn vẹn liệu thư viện điện tử bao gồm nhiều công việc khác nhau, đảm bảo tồn vẹn việc vận hành hệ thống quản lý thư viện, đảm bảo việc... băm đảm bảo toàn vẹn liệu hoạt động thư viện điện tử Thư viện kỷ XXI không trung tâm tri thức, mà trở thành trung tâm thơng tin, khơng có sách, báo, tạp chí in giấy mà cịn có xuất phẩm dạng điện. .. dịch điện tử, ngân hàng, qn sự,… Tuy nhiên cịn mẻ hoạt động quan TT-TV, bối cảnh nay, việc áp dụng hàm băm (Hash) hoạt động thư viện điện tử việc làm vơ cần thiết An tồn thơng tin thư viện điện tử