tải văn qua mạng
Bảo mật và an tồn thơng tin trong hệ thống mạng cục bộ của cơ quan nhà nước
● Trao đổi dữ liệu điện tử: là sự trao đổi dưới dạng có cấu trúc từ máy tính này sang máy tính khác trong cùng một hệ thống hoặc giữa các cơ quan nhà nước hoặc tổ chức có thỏa thuận với nhau một cách tự động.
3.4. Bảo mật và chứng thực việc gửi/nhận Email và truyền tải văn bản
3.4.1. Bảo mật việc gửi/nhận Email và truyền tải văn bản qua mạng
Việc giảm các rủi ro trong gửi/nhận Email và truyền tải văn bản trong hệ thống mạng cục bộ và qua mạng Internet là một quá trình phức tạp liên quan đến các công nghệ, thủ tục và các chính sách pháp luật cũng như các tiêu chuẩn công nghệ. Phần lớn các chính sách an to àn địi hỏi an toàn vật lý, an toàn mạng, an toàn truy cập, bảo vệ chống lại virus và khôi phục sau thảm họa. Chính sách an tồn phải được phát triển liên tục, thơng tin hoặc tài liệu an tồn phải được tra cứu và cập nhật định kì.
Một trong các nguyên nhân chủ yếu dẫn đến rủi ro vẫn là các cơ quan nhà nước chưa có chính sách đảm bảo an ninh, quản lý thơng tin nội bộ, quản lý mật khẩu,.. Ngồi ra các tiêu chuẩn an ninh mạng (ISO 27001) còn quá mới mẻ đối với các cơ quan nhà nước. Các hình thức xử phạt vẫn chưa nghiêm vì đến nay các hình thức xử phạt vẫn chủ yếu là xử phạt hành chính. Luật Cơng nghệ thơng tin đã bước đầu đề cập đến biện pháp xử lý, tuy nhi ên đến đầu năm 2006 mới chỉ có duy nhất một hacker bị xử lý.
An tồn ln chỉ mang tính tương đối, bất cứ hệ thống an tồn nào đều có thể bị phá vỡ. An toàn là một chuỗi liên kết và thường bị đứt ở những điểm yếu nhất. Mặc dù q trình bảo mật thơng tin có rất nhiều kế và hành động, nhưng chúng ta có thể chia chúng thành ba giai đoạn rõ ràng:
+ Phịng ngừa
+ Phát hiện tấn cơng
Bảo mật và an tồn thơng tin trong hệ thống mạng cục bộ của cơ quan nhà nước
Mỗi giai đoạn trên đều yêu cầu có các kế hoạch và hành động để chuyển sang giai đoạn kế tiếp. Sự phát triển của những kỹ thuật tấn công cũng nh ư sự xuất hiện của các lỗ hổng bảo mật mới đ òi hỏi người quản trị hệ thống phải điều chỉnh thời gian cũng như các phương pháp trong q trình phịng ngừa, phát hiện và đối phó với những cuộc tấn cơng. Nếu khơng có sự đi ều chỉnh thích hợp thì một sự thay đổi trong giai đoạn bất kỳ sẽ ảnh h ưởng đến toàn bộ q trình đảm bảo an tồn hệ thống.
Để đảm bảo an tồn tuyệt đối là rất khó, thậm chí là khơng thể, mà có thể tạo ra các rào cản đủ để ngăn chặn sự xâm phạm. An to àn tích hợp là việc kết hợp tất cả các biện pháp với nhau nhằm ngăn chặn việc khám phá, phá hủy hoặc sửa đổi trái phép các thông tin khi trao đổi tr ên mạng. Thơng tin dữ liệu cũng có thể được xem là đảm bảo độ an toàn nếu như khi tội phạm tấn cơng khai thác được thì đã mất hiệu lực sử dụng.
Bảo vệ an toàn thơng tin dữ liệu là một chủ đề khó mà đánh giá được thế nào là tối ưu. Vấn đề là sự lựa chọn hoặc căn cứ vào tiêu chí nào để đánh giá, ví dụ độ bảo mật, tính hiệu quả, tính kinh tế hoặc sự phức tạp của hệ th ống…, Một hệ thống được chấp nhận là bảo mật an tồn thơng tin nếu như gửi/nhận Email và truyền tải văn bản qua mạng giữa các cơ quan diễn ra một cách an tồn.
Tóm lại, để ngăn chặn sự tấn công từ bên trong cũng như từ bên ngoài đảm bảo sự an tồn cho hệ thống thì q trình tổ chức bảo mật phải được chuẩn bị đúng đắn. Đây là q trình khơng có điểm đích và khơng có giới hạn thời gian. Đó là một q trình động, u cầu đến các kỹ năng quản lý linh hoạt và thực hiện theo một kỹ thuật nhất định. Các q tr ình bảo vệ, phát hiện và đối phó địi hỏi phải được liên tục cải tiến.
Bảo mật và an tồn thơng tin trong hệ thống mạng cục bộ của cơ quan nhà nước
3.4.2. Các khía cạnh an tồn
An tồn thơng tin và an toàn hệ thống là những vấn đề hết sức quan trọng trong gửi/nhận Email và truyền tải văn bản. Vấn đề an tồn hệ thống có vai trị rất lớn trong an ninh quốc gia. Để đảm bảo an toàn trong gửi/nhận Email và truyền tải văn bản qua mạng, hệ thống phải đảm bảo được sáu khía cạnh sau:
Tính tồn vẹn: Khả năng đảm bảo an toàn cho các thông tin được chuyển đi trên mạng.
Tính chống phủ định: Khả năng đảm bảo các bên tham gia gửi/nhận Email và truyền tải văn bản qua mạng Internet.
Tính xác thực: Khả năng đảm bảo nhận biết các đối tác tham gia gửi / nhận Email và truyền tải văn bản qua mạng Internet.
Tính tin cậy:Khả năng đảm bảo khơng ai có thể truy cậ p các thơng điệp và dữ liệu có giá trị.
Tính riêng tư: Khả năng kiểm sốt các thơng tin cá nhân mà khách hàng cung cấp về chính bản thân họ.
Tính sẵn dùng: Khả năng đảm bảo các chức năng của một kênh truyền khi thực hiện gửi/nhận Email và truyền tải văn bản qua mạng được thực hiện đúng như mong đợi.
Có thể nghiên cứu các yêu cầu an toàn khi gửi/nhận Email và truyền tải văn bản qua mạng bằng cách kiểm tra tồn bộ quy trình, bắt đầu với máy khách và kết thúc với máy chủ. Khi cần xem xét trong hệ thống c ần được bảo vệ nhằm đảm bảo gửi/nhận Email và truyền tải văn bản qua mạng Internet l à an toàn bao gồm các máy khách, đường truyền dẫn, các máy chủ web và máy chủ hệ thống. Do vậy gửi/nhận Email và truyền tải văn bản qua mạng chỉ được an toàn chừng nào tất cả các yếu tố của hệ thống đều được an toàn.
Bảo mật và an tồn thơng tin trong hệ thống mạng cục bộ của cơ quan nhà nước
- Máy khách (máy của từng cá nhân trong hệ thống); - Máy chủ ( server );
- Kênh truyền dữ liệu
Internet đóng vai trị kết nối một máy khách với một tài nguyên để có gửi nhận Email và truyền tải văn bản qua mạng (giữa các máy tính dịch vụ). Các truyền tải văn bản trên mạng được gửi đi theo một đường dẫn ngẫu nhiên, từ nút nguồn tới nút đích. Các truyền tải văn bản đi qua một số trạm trung gian trên mạng trước khi tới đích cuối cùng và mỗi lần đi chúng có thể theo những tuyến đường khác nhau. Khơng có gì đảm bảo rằng tất cả các máy tính mà các văn bản được truyền tải trên mạng đều tin cậy và an toàn. Chúng ta khơng thể kiểm sốt đường dẫn và khơng biết các gói thơng tin đang ở đâu, những đối tượng trung gian có thể đọc các gói thơng tin, sửa đổi hoặc có thể loại bỏ các gói thơng tin của chúng ta ra khỏi đường truyền. Do vậy các gói thơng tin được gửi đi trên mạng có thể bị xâm phạm đến tính bí mật, tính to àn vẹn và tính sẵn sàng.
Trong thực tế bọn tội phạm có thể xâm nhập v ào bất kỳ thời điểm nào mà gói thơng tin đi qua hoặc được lưu trữ. Điểm đó có thể trên đường truyền dẫn, nút mạng, máy tính chủ có nhiều ng ười dùng hoặc tại các giao diện kết nối mạng. Trong quan hệ tương tác người – máy thì các thiết bị ngoại vi đặc biệt là các thiết bị đầu cuối là các cửa ngõ thuận lợi nhất cho các xâm nhập. Ngoài ra cũng phải kể đến các loại phát xạ điện từ của các thiết bị điện tử v à các máy tính. Bằng các thiết bị chun dùng có thể đón bắt các phát xạ này và giải mã chúng.
3.4.3. Các kỹ thuật đảm bảo an toàn cho gửi/nhận Email và truyền tảivăn bản văn bản
Bảo mật và an tồn thơng tin trong hệ thống mạng cục bộ của cơ quan nhà nước
An tồn trước các cuộc tấn cơng là một vấn đề mà hệ thống mạng của các cơ quan nhà nước cần tập trung giải quyết. Thông tin truyền trên mạng gặp rất nhiều rủi ro và nguy cơ bị mất thông tin là thường xuyên. Thường gặp một số rủi ro sau:
- Thơng tin từ trình duyệt web của người sử dụng ở dạng thuần văn bản nên có thể bị lọt vào tay kẻ tấn cơng.
- Trình duyệt web của người sử dụng khơng thể xác định được máy chủ mà nó gửi/nhận Email và truyền tải thơng tin là thật hay một web giả mạo.
- Khơng ai có thể đảm bảo được dữ liệu gửi đi có bị thay đổi hay khơng. Vì vậy các hệ thống cần phải có một c ơ chế đảm bảo an tồn trong q trình gửi/nhận Email và truyền tải văn bản qua mạng. Một hệ thống thơng tin trao đổi dữ liệu an tồn phải đáp ứng được một số yêu cầu sau:
- Hệ thống phải đảm bảo dữ liệu trong quá tr ình truyền đi là khơng bị đánh cắp.
- Hệ thống phải có khả năng xác thực, tránh trường hợp giả danh, giả mạo người gửi hoặc người nhận.
- Hệ thống phải có tính năng kiểm tra tính to àn vẹn của dữ liệu.
Do vậy cần tập trung vào việc bảo vệ các gói thơng tin khi chúng được chuyển tiếp giữa máy khách và máy chủ. Việc cung cấp kênh an toàn đồng nghĩa với việc đảm bảo tính tồn vẹn của thơng tin và tính sẵn sàng của kênh. Thêm vào đó, một kế hoạch an tồn đầy đủ cịn bao gồm cả tính xác thực.
Các kỹ thuật đảm bảo an toàn khi gửi/nhận Email và truyền tải văn bản qua mạng chính là sử dụng các hệ mật mã, chữ ký số và các chứng chỉ số trong q trình thực hiện các trao đổi thơng tin trên mạng.
3.5. Chương trình ứng dụng
Dùng phần mềm mã hoá PGP trong trao đổi Email và truyền tải văn bản trên mạng máy tính trong các cơ quan nhà nước.
Bảo mật và an tồn thơng tin trong hệ thống mạng cục bộ của cơ quan nhà nước
3.5.1. Thuật toán RSA triển khai quá trình xác nhận bằng cách sử dụng chữ ký điện tử
+ Khóa cơng cộng của người gửi được u cầu dùng cho người nhận và sau đó được chuyển hướng về phía trước (forward).
+ Người gửi sử dụng hàm băm để làm giảm kích thước mẩu tin gốc. Thơng điệp tổng hợp thì được hiểu như là một thông điệp phân loại (message digest (MD)).
+ Người gửi mã hóa thơng điệp phân loại bằng khóa bí mật của nó được rút ra từ sự phát sinh chữ ký điện tử độc nhất.
+ Thông điệp và chữ ký điện tử được kết hợp và chuyển hướng đến người nhận.
+ Trong lúc nhận thơng điệp đã mã hóa, người nhận phục hồi lại thơng điệp phân loại bằng cách sử dụng cùng một hàm băm như người gửi.
+ Người nhận sau đó giải mã chữ ký điện tử bằng cách sử dụng khóa cơng cộng của người gửi.
+ Người nhận sẽ so sánh thông điệp phân loại vừa đ ược phục hồi và thông điệp phân loại nhận được từ chữ ký điện tử. Nếu cả hai đồng nhất, tức là dữ liệu không bị chặn đứng, giả mạo hoặc chỉnh sửa trong suốt quá tr ình trao đổi. Ngược lại, dữ liệu sẽ không được chấp nhận, bị từ chối.
3.5.2. Giới thiệu phần mềm mã hóa PGP (Pretty Good Privacy)
PGP là một phần mềm máy tính dùng để mật mã hóa dữ liệu và xác thực. Phiên bản PGP đầu tiên do Phil Zimmermann [12] được công bố vào năm 1991. Kể từ đó, phần mềm này đã có nhiều cải tiến và hiện nay tập đoàn PGP cung cấp nhiều phần mềm dựa trên nền tảng này. Với mục tiêu ban đầu là phục vụ cho mã hóa thư điện tử, PGP hiện nay đã trở thành một giải pháp mã hóa cho các chính phủ, các cơ quan nhà nước cũng như các cá nhân. Các phần mềm dựa trên PGP được dùng để mã hóa và bảo vệ thơng tin lưu trữ trên
Bảo mật và an tồn thơng tin trong hệ thống mạng cục bộ của cơ quan nhà nước
máy tính xách tay, máy tính để bàn, máy chủ và trong q trình trao đổi thơng qua Email, IM hoặc chuyển file dữ liệu. Giao thức hoạt động của hệ thống này có ảnh hưởng lớn và trở thành một trong hai tiêu chuẩn mã hóa (tiêu chuẩn cịn lại là S/MIME).
Mục tiêu ban đầu của PGP nhằm vào mật mã hóa nội dung các thơng điệp của thư điện tử và các tệp đính kèm cho người dùng phổ thơng. Bắt đầu từ 2002, các sản phẩm PGP đã được đa dạng hóa thành một tập hợp ứng dụng mật mã và có thể được đặt dưới sự quản trị của một máy chủ. Các ứng dụng PGP giờ đây bao gồm: thư điện tử, chữ ký số, mật mã hóa ổ đĩa cứng máy tính xách tay, bảo mật tệp và thư mục, bảo mật các phiên trao đổi IM(Instant
Message-tin nhắn nhanh), mật mã hóa luồng chuyển tệp, bảo vệ các tệp và thư mục lưu trữ trên máy chủ mạng.
Phiên bản PGP Desktop 9.x hiện tại bao gồm các tính năng: thư điện tử, chữ ký số, bảo mật IM, mật mã hóa ổ đĩa cứng máy tính xách tay, bảo mật tệp và thư mục, tệp nén tự giải mã, xóa file an tồn. Các tính năng riêng biệt được cấp phép theo các cách khác nhau tùy theo yêu cầu.
Phần mềm này giúp loại bỏ việc sử dụng các plug-in của thư điện tử và tránh cho người dùng việc sử dụng các ứng dụng khác. Tất cả các hoạt động của máy chủ cũng như máy khách đều tự động tuân theo một chính sách an ninh. PGP Universal server cịn tự động hóa các q trình tạo, quản lý và kết thúc các khóa chia sẻ giữa các ứng dụng PGP.
3.5.3. Hoạt động của PGP [12][14]
PGP sử dụng kết hợp mật mã hóa khóa cơng khai và thuật tốn khóa đối xứng cộng thêm với hệ thống xác lập mối quan hệ giữa khóa cơng khai v à chỉ danh người dùng (ID). Phiên bản đầu tiên của hệ thống này thường được biết dưới tên mạng lưới tín nhiệm dựa trên các mối quan hệ ngang hàng (khác với hệ thống X.509 với cấu trúc cây dựa v ào các nhà cung cấp chứng thực số).
Bảo mật và an toàn thông tin trong hệ thống mạng cục bộ của cơ quan nhà nước
Các phiên bản PGP hiện đang sử dụng dựa trên các kiến trúc tương tự như hạ tầng khóa cơng khai.
PGP sử dụng thuật tốn mật mã hóa khóa bất đối xứng. Trong các hệ thống này, người sử dụng đầu tiên phải có một cặp khóa: khóa cơng khai v à khóa bí mật. Người gửi sử dụng khóa cơng khai của ng ười nhận để mã hóa một khóa chung (cịn gọi là khóa phiên) dùng trong các thuật tốn mật mã hóa khóa đối xứng. Khóa phiên này chính là khóa để mật mã hóa các thơng tin được gửi qua lại trong phiên giao dịch. Rất nhiều khóa cơng khai của những người sử dụng PGP được lưu trữ trên các máy chủ.
Hình 3.1: Sơ đồ mật mã khóa cơng khai
Người nhận trong hệ thống PGP sử dụng khóa phi ên để giải mã các gói tin. Khóa phiên này cũng được gửi kèm với thơng điệp nhưng được mật mã hóa bằng hệ thống mật mã bất đối xứng và có thể tự giải mã với khóa bí mật của người nhận. Hệ thống phải sử dụng cả 2 dạng thuật toán để tận dụng ưu thế của cả hai: thuật toán bất đối xứng đ ơn giản trong việc phân phối khóa cịn thuật tốn đối xứng có ưu thế về tốc độ (nhanh hơn cỡ 1000 lần).
Một chiến lược tương tự cũng được dùng (mặc định) để phát hiện xem thơng điệp có bị thay đổi hoặc giả mạo người gửi. Để thực hiện 2 mục tiêu