Tải bản đầy đủ (.doc) (25 trang)

Báo cáo tổng hợp bảo mật Email

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (752.23 KB, 25 trang )

ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN

Báo cáo đồ án
Môn: ƯDTT & ANTT
Đề tài:
SECURE EMAIL
Sinh viên thực hiện: MSSV:
Ngô Duy Thống 07520338
Nguyễn Hồng Hải 07520110
Vũ Văn Hiệu 07520125
Nguyễn Quang Gia Khang 07520170
Lê Phan Định 07520086
Giảng viên hướng dẫn: Ths. Tô Nguyễn Nhật Quang
Thành phố Hồ Chí Minh, tháng 5 năm 2011.
Đại học Công Nghệ Thông Tin Môn: ƯDTT & ANTT
Khoa: Mạng Máy Tính & Truyền Thông
Đề tài: Secure Email
Mục Lục
Mục Lục ................................................................................................................................................... 2
Lời nói đầu
Theo các bản báo cáo tổng hợp về an ninh thông tin của nhiều hãng bảo mật nước
ngoài như McAfee, Kaspersky hay CheckPoint…, năm 2010 Việt Nam tiếp tục được
nhắc đến là “địa chỉ đen” trong nhiều danh sách quốc tế, trong giới truyền thông và
các hãng bảo mật. Nguy cơ mất an toàn thông tin ở Việt Nam đang ngày càng tăng
lên khi đã rơi vào top 10 quốc gia có nguy cơ mất an toàn thông tin cao nhất trong
năm 2010. Cùng với đó là mối nguy từ những nhân viên “bất mãn” có thể sẵn sàng
bán đứng doanh nghiệp, tổ chức bằng việc tuồn nguồn thông tin ra ngoài dang càng
trở nên đáng lo ngại.
Email là một phương tiện thông tin liên lạc tiện lợi và ngày càng được sử dụng rộng
rãi hiện nay. Vì vậy nó cũng là phương tiện và mục tiêu để những kẻ tấn công nhắm


tới. Việc bảo mật email tránh những rò rỉ thông tin người sử dụng email là một nhiệm
vụ quan trọng mà các nhà cung cấp và người quản trị cần quan tâm.
Để hiểu rõ hơn về những mối đe dọa và những biện pháp bảo mật email, đồng thời
thực hiện việc nghiên cứu vấn đề do thầy phụ trách bộ môn hướng dẫn, nhóm chúng
em đã tiến hành nghiên cứu và thực hiện bài báo cáo về vấn đề bảo mật email. Do
thời gian thực hiện có hạn nên chúng em không tránh khỏi những thiếu sót, mong
thầy bỏ qua.
Nhóm sinh viên thực hiện.
Nhóm sinh viên thực hiện.
GVHD: Ths. Tô Nguyễn Nhật Quang
Trang 2
Đại học Công Nghệ Thông Tin Môn: ƯDTT & ANTT
Khoa: Mạng Máy Tính & Truyền Thông
Đề tài: Secure Email
Phần I: Giới thiệu về email.
Email - Electronic mail (e-mail, email, E-Mail...) hay còn gọi là thư điện tử là
cách gọi phổ thông của cách thức giao tiếp, liên lạc của hệ thống xây dựng dựa trên
những chiếc máy tính.
Tại 1 thời điểm cách đây khá lâu, thuật ngữ máy tính được dùng để ám chỉ những cỗ
máy làm việc với kích thước khổng lồ, người dùng phải áp dụng phương pháp dial-up
để truy cập, và mỗi chiếc máy tính đều được trang bị bộ nhớ và thiết bị lưu trữ dành
cho nhiều tài khoản. Sau đó không lâu, những nhà phát minh đã tìm cách để các bộ
máy này “giao tiếp” với nhau. Ứng dụng đầu tiên ra đời, nhưng họ chỉ gửi được tin
nhắn đến các người sử dụng khác trong cùng 1 hệ thống cho tới tận năm 1971. Và
thời gian qua đi, công nghệ đã được phát triển lên 1 tầm cao mới khi Ray Tomlinson
trở thành người đầu tiên trên toàn thế giới gửi được bức thư điện tử tới người khác sử
dụng ký hiệu @. Và đó là nền tảng đầu tiên của khái niệm Email – chúng ta đang đề
cập tới.
Nhóm sinh viên thực hiện.
GVHD: Ths. Tô Nguyễn Nhật Quang

Trang 3
Đại học Công Nghệ Thông Tin Môn: ƯDTT & ANTT
Khoa: Mạng Máy Tính & Truyền Thông
Đề tài: Secure Email
Hình 1: Thời kỳ đầu của máy tính và email.
1. Cấu trúc của địa chỉ email
Một địa chỉ email sẽ bao gồm ba phần chính có dạng:
Tên_định_dạng_thêm tên_email@tên_miền
• Phần tên_định_dạng_thêm: Đây là một dạng tên để cho người đọc
có thể dễ dàng nhận ra người gửi hay nơi gửi. Tuy nhiên, trong các thư
điện tử người ta có thể không cần cho tên định dạng và lá thư điện tử vẫn
được gửi đi đúng nơi. Thí dụ: Trong địa chỉ gửi thư tới viết dưới dạng
Nguyễn Thị A hay viết dưới dạng
thì phần mềm thư điện tử vẫn hoạt động chính
xác và gửi đi đến đúng địa chỉ.
Nhóm sinh viên thực hiện.
GVHD: Ths. Tô Nguyễn Nhật Quang
Trang 4
Đại học Công Nghệ Thông Tin Môn: ƯDTT & ANTT
Khoa: Mạng Máy Tính & Truyền Thông
Đề tài: Secure Email
• Phần tên_email: Đây là phần xác định hộp thư. Thông thường, cho
dễ nhớ, phần này hay mang tên của người chủ ghép với một vài kí tự đặc
biệt. Phần tên này thường do người đăng kí hộp thư điện tử đặt ra. Phần
này còn được gọi là phần tên địa phương.
• Phần tên_miền: Đây là tên miền của nơi cung cấp dịch vụ thư điện tử.
Ngay sau phần tên_email bắt đầu bằng chữ "@" nối liền sau đó là tên
miền.
2. Những chức năng cơ bản của email
Ngoài chức năng thông thường để gởi, nhận và soạn thảo email, các phần mềm

thư điện tử có thể còn cung cấp thêm những chức năng khác như là:
• Lịch làm việc (calendar): người ta có thể dùng nó như là một thời khoá
biểu. Trong những phần mềm mạnh, chức năng này còn giữ nhiệm vụ
thông báo sự kiện đã đăng kí trong lịch làm việc trước giờ xảy ra cho
người chủ hộp thư.
• Sổ địa chỉ (addresses hay contacts): dùng để ghi nhớ tất cả các địa chỉ cần
thiết cho công việc hay cho cá nhân.
• Sổ tay (note book hay notes): để ghi chép, hay ghi nhớ bất kì điều gì.
• Công cụ tìm kiếm thư điện tử (find hay search mail).
Nhóm sinh viên thực hiện.
GVHD: Ths. Tô Nguyễn Nhật Quang
Trang 5
Đại học Công Nghệ Thông Tin Môn: ƯDTT & ANTT
Khoa: Mạng Máy Tính & Truyền Thông
Đề tài: Secure Email
Để hiểu hết tất cả các chức năng của một phần mềm thư điện tử người dùng có
thể dùng chức năng giúp đỡ (thường có thể mở chức năng này bằng cách nhấn nút
<F1> bên trong phần mềm thư điện tử).
3. Phương thức hoạt động của một hệ thống thư điện tử
Hoạt động của hệ thống email hiện nay có thể dược minh họa qua phân tích một
thí dụ như sau:
Hình 2: Hoạt động của email.
Khi chúng ta muốn gửi email, cần phải chỉ định rõ ràng địa chỉ của người
nhận dưới dạng Như trong ví dụ trên là
Nhóm sinh viên thực hiện.
GVHD: Ths. Tô Nguyễn Nhật Quang
Trang 6
Đại học Công Nghệ Thông Tin Môn: ƯDTT & ANTT
Khoa: Mạng Máy Tính & Truyền Thông
Đề tài: Secure Email

, email được gửi đi từ phía client với chuẩn giao
thức Simple Mail Transfer Protocol – SMTP, có thể tạm hình dung đây giống
như bưu điện trung gian, có nhiệm vụ kiểm tra tem và địa chỉ trên bức thư để
biết điểm đến chính xác. Nhưng nó lại không hiểu rõ về domain – tên miền,
khái niệm này khá trừu tượng và tương đối khó hiểu. Tại bước này, server
SMTP sẽ phải liên lạc với server Domain Name System. Server DNS này
tương tự như chiếc điện thoại hoặc cuốn sổ địa chỉ trên Internet, nhiệm vụ
chính là biên dịch các domain như arrakis.com thành địa chỉ IP như
74.238.23.45. Sau đó, nó sẽ tìm ra bất cứ domain nào có MX hoặc server mail
exchange trên hệ thống và tạm thời đánh dấu domain đó. Để đơn giản hơn, các
bạn hãy hình dung quá trình này như sau: bưu điện nơi bạn gửi thư sẽ tiến
hành kiểm tra trên bản đồ để xác định điểm đến, liên lạc với bưu điện tại đó
để kiểm tra người nhận có hộp thư để nhận hay không.
Giờ đây, khi server SMTP đã có đủ lượng thông tin cần thiết, tin nhắn sẽ được gửi từ
server đó đến server mail exchange của domain - Mail Transfer Agent (MTA). Nó sẽ
quyết định chính xác thư đến sẽ đặt tại đâu, tương ứng với việc bưu điện ở khu vực
người nhận sẽ chuyển thư đến địa chỉ nào thuận tiện nhất. Và sau đó, người bạn sẽ đi
nhận thư, thông thường sử dụng chuẩn giao thức POP hoặc IMAP.
<Tìm hiểu cách thức hoạt động của email>.
Nhóm sinh viên thực hiện.
GVHD: Ths. Tô Nguyễn Nhật Quang
Trang 7
Đại học Công Nghệ Thông Tin Môn: ƯDTT & ANTT
Khoa: Mạng Máy Tính & Truyền Thông
Đề tài: Secure Email
Phần II: Nguyên tắc cơ bản của bảo mật email.
1. Confidentiality (Tính bảo mật)
Để thực hiện việc đảm bảo dữ liệu không bị phơi bày trước tiên phải quan tâm từ
tầng vật lý, phòng làm việc và nơi cất trữ những tài liệu quan trọng phải được bảo
mật, bởi khi có kẻ đột nhập copy toàn bộ dữ liệu thì dù hệ thống mạng có an toàn

mấy cũng như không, trước tiên cần phải quan tâm tới tầng vật lý, đảm bảo nơi
lưu.
Khi các điều kiện về phòng ốc và các thiết bị an ninh đã được đảm bảo bạn cần
quan tâm tới việc điều khiển truy cập. Trong Access Control hai vấn đề lớn nhất
cần được quan tâm đó là Subject và Object phải đảm bảo rằng những người
không có thẩm quyền không thể truy cập vào được.
Dữ liệu cần được mã hoá khi lưu trữ và khi truyền tải thông tin trên mạng để
tránh rò rỉ thông tin.
2. Integrity (Tính toàn vẹn)
Nhóm sinh viên thực hiện.
GVHD: Ths. Tô Nguyễn Nhật Quang
Trang 8
Đại học Công Nghệ Thông Tin Môn: ƯDTT & ANTT
Khoa: Mạng Máy Tính & Truyền Thông
Đề tài: Secure Email
Đảm bảo tính nguyên vẹn của dữ liệu cũng là một yêu cầu trong bảo mật email,
ngăn chặn những người không có thẩm quyền chỉnh sửa, phá hoại dữ liệu là việc
cần thiết không kém. Và với yêu cầu trên các việc cần phải làm để thoả mãn là
trước tiên vẫn phải quan tâm tới tầng vật lý đặc biệt là Clients/Servers cần phải
được đảm bảo an toàn. Người yêu cầu truy cập dữ liệu là phải được xác thực, và
thông tin yêu cầu của đối tượng phải được trả lại đúng như yêu cầu của họ không
bị chỉnh sửa khi truyền trên mạng.
3. Availability (Tính sẵn sàng)
Luôn có giải pháp phòng chống sự cố từ tầng vật lý cho tới aplication. Nguồn
điện phải có giải pháp UPS, chống cháy nổ, với các thiết bị chống sét…Với
Server phải có giải pháp cluster, load-balancing... Với thiết bị mạng phải có các
đường backup khi xảy ra vấn đề với đường truyền.
4. Non-Repudiation (Tính không thể từ chối)
Thông tin được cam kết về mặt pháp luật của người cung cấp. Khi thông tin được
gửi đi, phải đảm bảo chắc chắn rằng đó là thông tin của người gửi và người gửi

không thể từ chối rằng mình đã gửi thông tin đó.
Nhóm sinh viên thực hiện.
GVHD: Ths. Tô Nguyễn Nhật Quang
Trang 9

×