Nghiên cứu giải pháp tích hợp chữ ký số bảo mật ứng dụng trong hệ điều hành tác nghiệp lotus notes
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.06 MB, 63 trang )
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ
VŨ ĐỨC MẠNH
NGHIÊN CỨU GIẢI PHÁP TÍCH HỢP CHỮ KÝ SỐ
BẢO MẬT ỨNG DỤNG TRONG HỆ ĐIỀU HÀNH TÁC
NGHIỆP LOTUS NOTES
LUẬN VĂN THẠC SĨ NGÀNH CÔNG NGHỆ THÔNG TIN
Hà Nội – Năm 2015
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ
VŨ ĐỨC MẠNH
NGHIÊN CỨU GIẢI PHÁP TÍCH HỢP CHỮ KÝ SỐ
BẢO MẬT ỨNG DỤNG TRONG HỆ ĐIỀU HÀNH TÁC
NGHIỆP LOTUS NOTES
Ngành:
Công nghệ thông tin
Chuyên ngành:
Hệ thống thông tin
Mã số:
60.48.01.04
LUẬN VĂN THẠC SĨ NGÀNH CÔNG NGHỆ THÔNG TIN
THẦY HƢỚNG DẪN KHOA HỌC: TS. HỒ VĂN HƢƠNG
Hà Nội – Năm 2015
1
LỜI CẢM ƠN
Trƣớc tiên tôi xin đƣợc bày tỏ lòng biết ơn tới các thầy cô giáo đã và đang
công tác tại khoa công nghệ thông tin Trƣờng Đại học Công nghệ - Đại học
Quốc Gia Hà Nội, những ngƣời đã giảng dạy và cung cấp những kiến thức khoa
học quý báu trong suốt những năm học vừa qua để tôi có nền tảng kiến thức áp
dụng vào Luận văn này.
Đặc biệt tôi xin bày tỏ lòng biết ơn sâu sắc đến TS. Hồ Văn Hƣơng,
ngƣời đã tận tình chỉ bảo, giúp đỡ và tạo điều kiện về nhiều mặt để tôi có thể
hoàn thành Luận văn này.
Tôi cũng xin gửi lời cảm ơn đến tập thể lớp K19 HTTT, đã giúp đỡ, nhiệt
tình chia sẻ đóng góp những kinh nghiệm quý báu trong quá trình học tập.
Mặc dù, đã có nhiều cố gắng nhƣng do hạn hẹp về thời gian và điều kiện
nên không tránh khỏi khuyết điểm. Tôi chân thành mong nhận đƣợc sự góp ý
của thầy cô và bạn bè.
Hà Nội, ngày
tháng
Học viên
Vũ Đức Mạnh
năm 2015
2
LỜI CAM ĐOAN
Tôi cam đoan đây là công trình nghiên cứu của riêng tôi, đƣợc thực hiện
dƣới sự hƣớng dẫn khoa học của TS. Hồ Văn Hƣơng.
Các số liệu, kết quả nêu trong luận văn là trung thực và chƣa từng đƣợc
công bố trong bất kỳ công trình nào khác.
Tôi xin chịu trách nhiệm về nghiên cứu của mình.
Hà Nội, ngày tháng năm 2015
Học viên
Vũ Đức Mạnh
3
MỤC LỤC
DANH MỤC CÁC TỪ VIẾT TẮT ...................................................................... 5
DANH MỤC CÁC HÌNH ..................................................................................... 6
LỜI MỞ ĐẦU ....................................................................................................... 7
CHƢƠNG 1: TỔNG QUAN VỀ AN TOÀN VĂN PHÒNG ĐIỆN TỬ.............. 9
1.1. Vấn đề an toàn thông tin ............................................................................. 9
1.1.1. Các mối đe dọa và nguy cơ mất an toàn thông tin................................ 9
1.1.2. Thực trạng An toàn thông tin tại Việt nam ........................................... 9
1.1.3. Các biện pháp đảm bảo an toàn thông tin ........................................... 10
1.2. Văn phòng điện tử ..................................................................................... 12
1.2.1. Phần mềm E-Office............................................................................. 14
1.2.2. Phần mềm Net.Office.......................................................................... 15
1.2.3. Phần mềm điều hành tác nghiệp Lotus Note ...................................... 16
1.3. Thiết kế văn phòng điện tử an toàn ........................................................... 20
1.3.1. Phân tích yêu cầu bảo mật .................................................................. 20
1.3.2. Phân tích và lựa chọn chính sách an toàn ........................................... 21
1.4. Kết luận ..................................................................................................... 22
CHƢƠNG 2: CƠ SỞ LÝ THUYẾT MẬT MÃ ỨNG DỤNG AN TOÀN BẢO
MẬT TRONG VĂN PHÒNG ĐIỆN TỬ ........................................................... 23
2.1. Giới thiệu................................................................................................... 23
2.2. Hệ mật mã khóa đối xứng ......................................................................... 24
2.2.1. Khái niệm ............................................................................................ 24
2.2.2. Ƣu điểm và nhƣợc điểm của hệ mã hóa khóa đối xứng ..................... 25
2.3. Hệ mật mã khóa công khai ........................................................................ 25
2.3.1. Khái niệm ............................................................................................ 25
2.3.2. Ƣu điểm và nhƣợc điểm của hệ mã hóa công khai ............................. 27
2.3.3. Thuật toán RSA................................................................................... 27
2.4. Hàm băm ................................................................................................... 29
2.4.1. Định nghĩa ........................................................................................... 29
2.4.2. Phân loại hàm băm .............................................................................. 30
4
2.4.3. Hàm băm SHA .................................................................................... 30
2.5. Chữ ký số .................................................................................................. 32
2.5.1. Khái niệm ............................................................................................ 32
2.5.2. Cách tạo ra chữ ký số .......................................................................... 32
2.5.3. Sơ đồ chữ ký số ................................................................................... 34
2.5.4. Các ƣu điểm của chữ ký số ................................................................. 35
2.5.5. Chữ ký số RSA ................................................................................... 36
2.6. Kết luận ..................................................................................................... 38
CHƢƠNG 3: GIẢI PHÁP BẢO MẬT, XÁC THỰC VĂN PHÒNG ĐIỆN TỬ
VÀ XÂY DỰNG ỨNG DỤNG .......................................................................... 40
3.1. Thực trạng an toàn bảo mật văn phòng điện tử ........................................ 40
3.2. Giải pháp bảo mật văn phòng điện tử Lotus Note .................................... 41
3.3. Giải pháp xác thực văn phòng điện tử Lotus Note ................................... 42
3.4. Xây dựng ứng dụng mã hóa, ký số, xác thực và giải mã trên Lotus Note 44
3.4.1. Phân tích thiết kế hệ thống ứng dụng mã hóa ..................................... 44
3.4.2. Phân tích thiết kế ứng dụng ký số, xác thực chữ ký ........................... 46
3.4.3. Ứng dụng mã hóa, ký số xác thực và giải mã trên Lotus Note .......... 48
3.5. Kết luận ..................................................................................................... 59
KẾT LUẬN ......................................................................................................... 60
TÀI LIỆU THAM KHẢO ................................................................................... 61
5
DANH MỤC CÁC TỪ VIẾT TẮT
STT
Ký hiệu
Tiếng Anh
Advanced Encryption
Tiếng Việt
1
AES
2
API
3
CA
Certificate Authority
4
CRL
Certificate Revocation List
5
MD5
Message Digest algorithm 5
Thuật toán băm MD5
6
SHA
Secure Hash Algorithm
Thuật toán băm bảo mật
7
SMTP
Simple Mail Transfer
Giao thức truyền tập tin
Protocol
đơn giản
8
PKCS
Public-key Cryptography
Chuẩn mã hóa khóa
Standards
công khai
9
PKI
Standard
Chuẩn mã hóa tiên tiến
Application Programming
Giao diện lập trình ứng
Interface
dụng
Public Key Infrastructure
Nhà cung cấp dịch vụ
chứng thực chữ ký số
Danh sách chứng thƣ số
bị thu hồi
Cơ sở hạ tầng khóa
công khai
6
DANH MỤC CÁC HÌNH
Hình 1.1 Một số chức năng chính trên Lotus Note ............................................. 17
Hình 1.2 Sơ đồ kiến trúc Lotus Note .................................................................. 19
Hình 2.1 Quá trình thực hiện mã hóa khóa đối xứng .......................................... 24
Hình 2.2 Quá trình thực hiện mã hóa khóa công khai ........................................ 26
Hình 2.3 Sơ đồ biểu diễn thuật toán mã hóa RSA .............................................. 29
Hình 2.4 Hình minh họa hàm băm ...................................................................... 29
Hình 2.5 Quy trình tạo chữ ký số ........................................................................ 33
Hình 2.6 Quy trình xác thực chữ ký số ............................................................... 34
Hình 3.1 Lƣợc đồ ký số dữ liệu........................................................................... 43
Hình 3.2 Lƣợc đồ xác thực chữ ký số ................................................................. 44
Hình 3.3 Biểu đồ trình tự module mã hóa/giải mã Lotus Note........................... 45
Hình 3.4 Biểu đồ trình tự module ký số trên Lotus Note.................................... 47
Hình 3.5 Biểu đồ trình tự module xác thực chữ ký số trên Lotus Note .............. 48
Hình 3.6 Thực hiện tạo một e-mail mới cho việc mã hóa................................... 53
Hình 3.7 Truy cập đến thiết bị USB Token ........................................................ 54
Hình 3.8 Lựa chọn ngƣời nhận đƣợc phép giải mã............................................. 54
Hình 3.9 Thông báo quá trình mã hóa thành công .............................................. 55
Hình 3.10 Kết quả giải mã thành công................................................................ 55
Hình 3.11 Nạp chữ ký số vào Token................................................................... 56
Hình 3.12 Tạo email mới để thực hiện ký số ...................................................... 57
Hình 3.13 Chọn chứng thƣ số trên thiết bị Token để thực hiện ký số ................ 57
Hình 3.14 Quá trình ký số thành công ................................................................ 58
Hình 3.15 Xác thực chữ ký thành công............................................................... 58
7
LỜI MỞ ĐẦU
Ngày nay, trong bối cảnh xã hội thông tin ngày càng phát triển, việc quản
lý, điều hành tác nghiệp theo phƣơng thức cũ lộ nhiều tính bất cập, tính hiệu quả
không cao. Mặc dù việc cơ quan tổ chức doanh nghiệp đƣợc trang bị máy tính
cho mỗi nhân viên phụ vụ công việc không còn xa lạ. Nhƣng hầu hết tại các cơ
quan, doanh nghiệp việc sử dụng máy tính chƣa phát huy nhiều hiệu quả, chỉ
phục vụ cho một cá nhân. Các cơ quan, tổ chức, doanh nghiệp là một khối, một
hệ thống cần có sự quản lý chặt chẽ điều hành tác nghiệp và luôn có sự trao đổi
thông tin thƣờng xuyên giữa các nhân viên. Từ những nhu cầu thực tế trên việc
tạo ra môi trƣờng làm việc mới, cách thức quản lý mới để việc sử dụng công cụ
máy tính trong công việc đạt hiệu quả cao nhất là cấp thiết.
Trƣớc nhu cầu thực tế và chủ trƣơng chính sách của Đảng và Nhà nƣớc là
ứng dụng công nghệ thông tin vào môi trƣờng làm việc, giải pháp phần mềm
văn phòng điện tử - một văn phòng không giấy tờ, giúp lãnh đạo có thể trao đổi
với nhân viên, phòng ban trong cơ quan nhanh chóng, kịp thời. Văn phòng điện
tử ra đời là một giải pháp hữu hiệu.
Nhiều phần mềm văn phòng điện tử đã ra đời trên nhu cầu thực tế đó với
nhiều tính năng quản lý tài liệu hấp dẫn, giao diện thân thiện, dễ sử dụng. Tuy
nhiên vấn đề bảo mật và xác thực trên các phần mềm văn phòng điện tử hiện nay
còn lỏng lẻo, thiếu sót và chƣa đƣợc quan tâm đúng mức.
Xuất phát từ những nhu cầu trên, tôi quyết định lựa chọn đề tài: Nghiên
cứu giải pháp tích hợp chữ ký số bảo mật ứng dụng trong hệ điều hành tác
nghiệp Lotus Notes. Nhiệm vụ chính của đề tài là nghiên cứu, đề xuất ra các
giải pháp bảo mật xác thực cho văn phòng điện tử. Cụ thể là áp dụng trong phần
mềm văn phòng điện tử Lotus Note dựa trên cơ sở lý thuyết mật mã, ứng dụng
trong bảo mật xác thực dữ liệu.
8
Nội dung Luận văn đƣợc trình bày trong ba chƣơng:
Chƣơng 1: Tổng quan về an toàn văn phòng điện tử.
Trong chƣơng này, trình bày về an toàn thông tin, đánh giá tổng quan về
một số phần mềm văn phòng điện tử, và đặc biệt là phần mềm văn phòng điện tử
Lotus Note. Ngoài ra, còn đề cập đến vấn đề về cách thiết kế văn phòng điện tử
an toàn, phân tích lựa chọn các chính sách an toàn bảo mật trên văn phòng điện
tử.
Chƣơng 2: Cơ sở lý thuyết mật mã ứng dụng an toàn bảo mật trong
văn phòng điện tử
Trong chƣơng này, trình bày khái quát về lý thuyết mật mã, ứng dụng an
toàn bảo mật trong văn phòng điện tử. Cụ thể trình bày vai trò của mật mã trong
việc bảo mật văn phòng điện tử. Tổng quan về hệ mật mã khóa đối xứng, hệ mật
mã khóa công khai, về hàm băm và chữ ký số.
Chƣơng 3: Giải pháp bảo mật, xác thực văn phòng điện tử và xây
dựng ứng dụng
Trong chƣơng này, trình bày thực trạng an toàn bảo mật văn phòng điện
tử hiện nay. Từ thực trạng mất an toàn trên văn phòng điện tử, lựa chọn Lotus
Note là nền tảng để xây dựng văn phòng điện tử, tích hợp giải pháp bảo mật và
xác thực cho ứng dụng văn phòng điện tử Lotus Note.
9
CHƢƠNG 1: TỔNG QUAN VỀ AN TOÀN VĂN PHÒNG ĐIỆN
TỬ
1.1. Vấn đề an toàn thông tin
1.1.1. Các mối đe dọa và nguy cơ mất an toàn thông tin
Trƣớc nhu cầu trao đổi thông tin dữ liệu ngày càng lớn và đa dạng, các tiến
bộ về điện tử viễn thông và công nghệ thông tin không ngừng đƣợc phát triển,
ứng dụng để nâng cao chất lƣợng và lƣu lƣợng truyền tin thì đồng thời xuất hiện
các nguy cơ, các mối đe dọa an toàn thông tin ngày càng gia tăng.
Các mối đe doạ an toàn mạng bao gồm những khả năng tác động lên hệ
thống mạng máy tính, tác động lên hệ thống cơ sở dữ liệu, khi nguy cơ xảy ra sẽ
dẫn tới sự sao chép, biến dạng, huỷ hoại dữ liệu, các mốt đe dọa tác động tới các
thành phần của hệ thống dẫn tới sự mất mát, sự phá huỷ hoặc sự ngừng trệ hoạt
động của hệ thống mạng…
Các mối đe doạ an toàn mạng đƣợc phân thành ba loại:
- Mối đe doạ phá vỡ tính bí mật: là nguy cơ việc thông tin trong quá trình
xử lý bị xem trộm, dữ liệu trao đổi trên đƣờng truyền bị lộ, bị khai thác
trái phép…
- Mối đe doạ phá vỡ tính toàn vẹn: là dữ liệu khi truyền đi từ nơi này đến
nơi khác, hay đang lƣu trữ có nguy cơ bị thay đổi, sửa chữa làm sai lệch
nội dung thông tin.
- Mối đe dọa phá vỡ tính sẵn sàng: là hệ thống mạng có nguy cơ rơi vào
trạng thái từ chối phục vụ, khi mà hành động cố ý của kẻ xấu làm ngăn
cản tiếp nhận tới tài nguyên của hệ thống.
1.1.2. Thực trạng An toàn thông tin tại Việt nam
Theo thống kê của We are social tính đến 1/1/2015, có 44% dân số Việt
Nam sử dụng internet, 141% dân số sở hữu thuê bao di động và 31% có sử
dụng tài khoản mạng xã hội. Đa số các doanh nghiệp và tổ chức có hệ thống
10
mạng và website giới thiệu, quảng bá thƣơng hiệu (136.953 tên miền .vn và
hàng triệu tên miền thƣơng mại). Trong đó, có rất nhiều doanh nghiệp đã ứng
dụng thanh toán trực tuyến vào công việc kinh doanh, giao dịch…
Theo Báo cáo tổng kết của Microsoft ƣớc tính rằng có khoảng 80% máy
tính tại Việt Nam nhiễm các loại mã độc và phần mềm độc hại. Theo báo cáo
gần đây của Hiệp hội An toàn Thông tin Việt Nam (VNISA), phần lớn các cơ
quan tổ chức tại Việt Nam cho phép dùng thiết bị cá nhân (di động và máy tính
bảng) truy cập vào mạng lƣới tại nơi làm việc nhƣng có tới 74% trong số thiết
bị không hề sử dụng bất kỳ biện pháp bảo mật thông tin nào. Những thông số
này đã dấy lên một mối lo ngại rất lớn và cũng đặt ra một áp lực không hề nhỏ
cho các lãnh đạo, chuyên gia về công nghệ thông tin tìm ra giải pháp để đối phó
với tình trạng mất an toàn thông tin trong môi trƣờng hiện nay [6].
Theo báo cáo gần đây của Hiệp hội An toàn Thông tin Việt Nam phần lớn
các cơ quan tổ chức tại Việt Nam cho phép dùng thiết bị cá nhân (di động và
máy tính bảng) truy cập vào mạng lƣới tại nơi làm việc nhƣng có tới 74% trong
số thiết bị không hề sử dụng bất kỳ biện pháp bảo mật thông tin nào.
Từ những báo cáo trên ta có thể nhận thấy những thách thức rất lớn và đặt
ra những yêu cầu hết sức cấp thiết cho công tác bảo đảm An toàn thông tin của
Việt Nam đặc biệt là vấn đề bảo mật thông tin và dữ liệu của các tổ chức, cá
nhân.
1.1.3. Các biện pháp đảm bảo an toàn thông tin
Khi nhu cầu trao đổi thông tin dữ liệu ngày càng lớn và đa dạng, các tiến
bộ về điện tử viễn thông và công nghệ thông tin không ngừng đƣợc phát triển
ứng dụng để nâng cao chất lƣợng và lƣu lƣợng truyền tin thì các quan niệm ý
tƣởng và biện pháp bảo vệ thông tin dữ liệu cũng đƣợc đổi mới. Bảo vệ an toàn
thông tin dữ liệu là một chủ đề rộng, có liên quan đến nhiều lĩnh vực và trong
thực tế có thể có rất nhiều phƣơng pháp đƣợc thực hiện để bảo vệ an toàn thông
tin dữ liệu. Các phƣơng pháp bảo về an toàn thông tin dữ liệu có thể quy tụ vào
ba nhóm sau:
11
- Bảo đảm an toàn thông tin tại máy chủ.
- Bảo đảm an toàn thông tin tại máy trạm.
- An toàn thông tin trên đƣờng truyền.
Ba nhóm trên có thể đƣợc ứng dụng riêng rẽ hoặc phối hợp. Môi trƣờng
khó bảo vệ an toàn thông tin nhất và cũng là môi trƣờng đối phƣơng dễ xâm
nhập nhất đó là môi trƣờng mạng và truyền tin. Biện pháp hiệu quả nhất và kinh
tế nhất hiện nay trên mạng truyền tin và mạng máy tính là biện pháp thuật toán.
An toàn thông tin cần đảm bảo các nội dung sau:
- Đảm bảo tính bí mật: là đảm bảo thông tin trong quá trình xử lý không bị
xem trộm, dữ liệu trao đổi trên đƣờng truyền không bị lộ, không bị khai
thác trái phép…
- Đảm bảo tính toàn vẹn: đảm bảo dữ liệu khi truyền đi từ nơi này đến nơi
khác, hay đang lƣu trữ luôn phải đảm bảo không bị thay đổi, sửa chữa làm
sai lệch nội dung thông tin.
- Đảm bảo tính xác thực: đảm bảo xác thực đúng thực thể cần kết nối, giao
dịch. Xác thực đúng thực thể có trách nhiệm về nội dung thông tin, xác
định nguồn gốc thông tin.
- Đảm bảo tính sẵn sàng: hệ thống mạng luôn ở trạng thái sẵn sàng phục vụ,
sẵng sàng cung cấp thông tin, dịch vụ… cho bất kỳ một yêu cầu hợp pháp
nào.
Để đảm bảo an toàn thông tin dữ liệu trên đƣờng truyền tin và trên mạng
máy tính có hiệu quả thì trƣớc tiên phải lƣờng trƣớc đƣợc các nguy cơ không an
toàn, các sự cố rủi ro có thể xảy ra đối với thông tin dữ liệu đƣợc lƣu trữ và trao
đổi trên đƣờng truyền tin cũng nhƣ trên mạng. Xác định đƣợc càng chính xác
nguy cơ nói trên thì càng quyết định đƣợc tốt các giải pháp để giảm thiểu các
thiệt hại.
12
1.2. Văn phòng điện tử
Nhằm tăng cƣờng ứng dụng công nghệ thông tin, nhất là trong các hoạt
động của cơ quan Nhà nƣớc trong đó có hoạt động tác nghiệp hành chính, Chính
phủ đã ban hành Nghị định số 64/2007/NĐ-CP ngày 10/04/2007 và Quyết định
số 51/2007/QĐ-TTg ngày 12/04/2007, chỉ đạo tăng cƣờng ứng dụng giải pháp
phần mềm vào quy trình tác nghiệp trong hoạt động của các cơ quan Nhà nƣớc.
Theo đó ngƣời đứng đầu cơ quan Nhà nƣớc ở các cấp có trách nhiệm chỉ đạo
việc ứng dụng công nghệ thông tin vào xử lý công việc, tăng cƣờng sử dụng văn
bản điện tử, từng bƣớc thay thế văn bản giấy trong quản lý, điều hành và trao đổi
thông tin. Đẩy mạnh việc ứng dụng công nghệ thông tin, các giải pháp phần
mềm vào quy trình tác nghiệp của các cơ quan, tổ chức, doanh nghiệp.
Trƣớc nhu cầu thực tế và chủ chƣơng chính sách của Đảng và Nhà nƣớc,
giải pháp phần mềm văn phòng điện tử - một văn phòng không giấy tờ, giúp
lãnh đạo có thể trao đổi với nhân viên, phòng ban trong cơ quan nhanh chóng,
kịp thời ra đời nhƣ là một giải pháp hữu hiệu.
Phần mềm văn phòng điện tử ra đời phải thỏa mãn các mục tiêu chính:
- Tạo môi trƣờng thống nhất và tin học hóa các quy trình hoạt động tác
nghiệp, các hình thức tiếp nhận, lƣu trữ, trao đổi, tìm kiếm, xử lý thông
tin.
- Tạo môi trƣờng trao đổi ý kiến, thảo luận, chia sẻ thông tin rộng rãi,
nhanh chóng, đầy đủ, kịp thời góp phần tích cực trong việc phát triển văn
hóa doanh nghiệp.
- Nâng cao trình độ ứng dụng và sử dụng các công cụ công nghệ thông tin,
tạo tác phong làm việc hiện đại, hiệu quả trong môi trƣờng mạng, tạo sự
thay đổi tích cực trong các quy trình xử lý thông tin, xử lý công việc của
lãnh đạo, cán bộ chuyên viên trong cơ quan, góp phần thực hiện cải cách
hành chính.
13
Trƣớc mục tiêu đề ra, văn phòng điện tử đƣợc xây dựng với các chức năng
chính:
- Quản lý công việc: thông qua hình thức trao đổi trực quan nhƣ giao việc,
nhắc việc và theo dõi tiến trình công việc cho toàn bộ nhân viên một cách
đồng thời và việc nhân viên báo cáo công việc thƣờng xuyên.
- Quản lý văn bản và hồ sơ: quản lý việc lƣu trữ và xử lý các văn bản đến,
đi, văn bản dự thảo và hồ sơ văn bản.
- Quản lý lịch làm việc: đặt lịch làm việc cho các cá nhân và nhóm, thông
báo tới các thành viên.
- Quản lý nhân sự: quản lý hồ sơ cán bộ, quá trình làm việc, đào tạo, lịch
nghỉ phép...
- Tin điều hành tác nghiệp: nơi trao đổi thông tin, điều hành tác nghiệp.
- Phân quyền ngƣời dùng: phân quyền các bộ phân chức năng và nhân viên
theo chức năng hợp lý.
Ngoài ra còn nhiều chức năng khác nhƣ: quản lý nhân sự, quản lý tài
nguyên, tài sản công ty, họp trực tuyến, tin nhắn nội bộ …
Với các chức năng và hiệu quả văn phòng điện tử mang lại đã không chỉ
phục vụ công tác quản lý trong một tổ chức, doanh nghiệp mà còn hỗ trợ, đẩy
mạnh việc thực hiện các công việc một cách nhanh chóng, hiệu quả. Xây dựng
hệ thống các kho công văn điện tử tập trung, khắc phục tình trạng tản mạn, thất
lạc, sai lệch thông tin. Cung cấp thông tin về văn bản và hồ sơ công việc phục
vụ yêu cầu của lãnh đạo, cán bộ quản lý và cán bộ chuyên môn nhanh chóng,
chính xác, đầy đủ và kịp thời. Tạo môi trƣờng trao đổi ý kiến, thảo luận, chia sẻ
thông tin rộng rãi, nhanh chóng. Xây dựng hệ thống quản lý, trình duyệt, xử lý
và phát hành văn bản, hỗ trợ khả năng thiết kế luồng công việc, phân quyền cho
từng cá nhân, đơn vị.
Tuy nhiên, để sử dụng văn phòng điện tử hiệu quả cần phải đảm bảo tính
an toàn thông tin trong văn phòng điện tử.
14
Hiện nay có nhiều giải pháp, sản phẩm phần mềm văn phòng điện tử đƣợc
nghiên cứu ứng dụng. Có thể kể đến một số sản phẩm nhƣ phần mềm E-Office,
phần mềm Net.Office, phần mềm Lotus Note,...
1.2.1. Phần mềm E-Office
E-Office là phần mềm văn phòng điện tử do Trung tâm An ninh mạng
BKIS Đại học Bách khoa Hà Nội nghiên cứu, thiết kế và xây dựng [14].
E-Office là hệ thống phần mềm trao đổi thông tin, điều hành tác nghiệp và
quản lý trình duyệt văn bản, hồ sơ công việc trực tuyến trên mạng máy tính. Với
nhiều tính năng tích hợp, tiện dụng, dễ dùng nhƣ: email, hội thoại, trƣng cầu ý
kiến, nhắc việc, lập lịch làm việc, gửi thông báo, gửi tin nhắn ra di dộng và xử lý
công văn, hồ sơ công việc, đặc biệt chức năng cấu hình linh hoạt, đáp ứng nhu
cầu mọi cơ quan, doanh nghiệp cũng nhƣ là thay đổi quy trình làm việc trong
chính các cơ quan đang sử dụng.
Các chức năng chính của E-Office là:
- Quản lý, trình duyệt văn bản đến
- Quản lý, trình duyệt, phát hành văn bản đi
- Quản lý hồ sơ công việc
- Quản lý các thông báo chung
- Hệ thống chuyển văn bản liên thông
- Quản lý gửi nhận email, chia sẻ file
- Hệ thống phân quyền
- Khai thác thông tin
- Quản trị hệ thống
- Quản lý lịch làm việc
- Công cụ định nghĩa luồng công việc
Đánh giá phần mềm E-Office:
Cách phân phối công văn và cách giao việc truyền thống bằng một giải
pháp hiện đại: Từ máy tính của mình, văn thƣ cập nhật và phân phối công văn
15
đến các bộ phận. Lãnh đạo các bộ phận xem xét công văn và phân chia công
việc đến các nhân viên. Tìm kiếm tổng hợp công văn một cách nhanh chóng
theo loại nhóm, dự án, cơ quan ban hành, ...
Nhƣng vấn đề bảo mật trong quá trình truyền tải công việc ở đây chƣa
đƣợc đề cập, chƣa có những giải pháp bảo mật và xác thực cho các luồng công
việc trong quá trình trao đổi.
1.2.2. Phần mềm Net.Office
Net.Office là phần mềm đƣợc xây dựng bởi Đại học Khoa hoc Tự Nhiên.
Phiên bản mới nhất là Net.Office 4 đƣợc phát triển từ năm 2007. NetOffice tích
hợp khả năng xác thực tài liệu bằng chữ ký điện tử và khả năng định nghĩa các
luồng công việc trực quan bằng lƣu đồ phục vụ cho triển khai ISO. Với các công
cụ này, việc thiết lập quy trình kiểm soát giải quyết các thủ tục hành chính trở
nên đơn giản mà ngƣời sử dụng có thể tự thực hiện [15].
Đƣợc chạy trên nền tảng TCP/IP, ngoài ra phần mềm cũng có thể chạy
trên Internet hay Intranet, thiết bị sử dụng là máy chủ làm Database server, Web
server, Mail Server, thậm chí nếu muốn, ngƣời dùng cũng có thể tích hợp với
điện thoại di động cần thêm GSM modem.
Chức năng cơ bản của phần mềm là có thể quản lý toàn bộ các loại văn
bản nhƣ công văn đi, công văn đến, văn bản nội bộ, các quyết định, các tài liệu,
ý kiến xử lý... Các văn bản đều có thể cập nhật, tìm kiếm, gửi tài liệu theo các
kênh khác nhau, công báo tự động, thiết lập các quyền hạn sử dụng văn bản, lập
các báo cáo thống kê. Chứng thực văn bản với chữ ký điện tử. Phần mềm có thể
quản lý các thủ tục hành chính công, cho phép ghi nhận nhanh chóng các hồ sơ
thủ tục hành chính với thông tin về công dân, hồ sơ, cơ chế liên lạc sau đó có thể
áp quy trình để có thể kiểm soát tự động. Cung cấp công cụ định nghĩa một cách
động các quy trình giải quyết các công việc dƣới dạng sơ đồ trực quan...
16
Hệ thống đƣợc chạy hoàn toàn trên web nên rất dễ dùng, có thể sử dụng
trên mạng diện rộng cho phép làm việc trên một phạm vi địa lý không hạn chế,
Tài liệu không chỉ ở dạng văn bản mà tất cả các tài liệu đƣợc Windows hỗ trợ
nhƣ văn bản trên word, pdf, bảng tính, trình diễn trên Powerpoint, hình ảnh, âm
thanh, video số, Có khả năng tích hợp với nhiều nguồn tài liệu và qua nhiều
kênh truyền thông nhƣ fax, email, SMS và chính các hệ thống chạy trên
Net.Office truyền thông với nhau...
Chức năng cơ bản của phần mềm là có thể quản lý toàn bộ các loại văn
bản nhƣ công văn đi đến, văn bản nội bộ, các quyết định, các tài liệu, ý kiến xử
lý,... Các văn bản đều có thể cập nhật, tìm kiếm, gửi tài liệu theo các kênh khác
nhau, thông báo tự động, thiết lập các quyền hạn sử dụng văn bản, lập các báo
cáo thống kê. Chức thực văn bản với chữ ký điện tử. Phần mềm có thể quản lý
các thủ tục hành chính công, cho phép ghi nhận nhanh chóng các hồ sơ thủ tục
hành chính với các thông tin về công dân, hồ sơ, cơ chế liên lạc sau đó có thể áp
dụng quy trình để kiểm soát tự động. Cung cấp công cụ, quy trình giải quyết các
công việc dƣới dạng sơ đồ trực quan,...
Đánh giá phần mềm Net.Office:
Ƣu điểm phần mềm
Nhƣợc điểm phần mềm
+ Xác thực tài liệu bằng chữ ký điện
+ Chỉ có thể thực hiên việc xác thực
tử.
ngƣời dùng trong nội bộ một cơ quan.
+ Định nghĩa các luồng công việc trực
quan bằng lƣu đồ.
1.2.3. Phần mềm điều hành tác nghiệp Lotus Note
Lotus Notes là một hệ thống cung cấp chức năng hợp tác tích hợp, bao
gồm email, lịch, quản lý địa chỉ liên lạc, quản lý công việc, nhắn tin, bộ phần
mềm văn phòng (IBM Lotus Symphony), và cơ sở dữ liệu. Lotus Notes cũng có
17
thể đƣợc tích hợp với khả năng hợp tác bổ sung bao gồm hội nghị truyền hình,
cuộc họp trực tuyến, thảo luận, diễn đàn, blog, chia sẻ tập tin, blog, và thƣ mục
ngƣời dùng [11].
Hình 1.1 Một số chức năng chính trên Lotus Note
Các máy chủ Domino đã cài đặt một hệ thống tiêu chuẩn với Internet, đơn
giản trong quản trị hệ thống và tích hợp với các hệ thống nền. Với quá trình phát
triển lâu dài, Lotus Notes đã vƣợt qua các rào cản về sử dụng chung tài nguyên,
quản lý hệ thống, phân phối thông tin, trợ giúp ngƣời sử dụng với các tiến trình
đồng bộ và tự động, đã giúp cho khách hàng cải tiến các hoạt động trong công ty
mình.
Lotus Notes làm cho các tiến trình thông tin, cộng tác và phối hợp giữa
các nhân viên trong công ty đƣợc đồng bộ và dễ dàng. Nó là sự kết hợp của các
cơ sở dữ liệu hƣớng văn bản, một cơ sở hạ tầng về thƣ tín điện tử mởi rộng và sự
phát triển ứng dụng có thể chạy trên nhiều hệ điều hành.
18
Lotus Notes đang dẫn đầu trong thị trƣờng phần mềm mô hình
Client/Server cho hệ thống thông tin cộng tác và thƣơng mại điện tử. Với sức
mạnh của hệ thƣ tín điện tử và truyền dẫn dữ liệu, Lotus Notes có thể mang đến
cho bạn tất cả những thông tin mà bạn cần nhƣ:
- Thƣ tín điện tử (Email)
- Lịch làm việc (Calendar)
- Các công việc cần làm ( To do list)
- Sổ địa chỉ ( Address book)
- Tìm kiếm địa chỉ trên Internet
- Trình duyệt Web
- Phần mềm thƣ tín theo chuẩn Internet
Kiến trúc của Lotus Notes
Kiến trúc của Lotus Notes đƣợc thể hiện trên Hình 1.2. Trong đó các yếu
tố phần cứng là máy tính của ngƣời sử dụng Notes, máy chủ Domino và mạng
kết nối giữa chúng.
Có ba mức kiến trúc đƣợc sử dụng giống nhau trên cả máy chủ và máy
khách nhƣ sau:
- Phần mềm Client và Server : Phần mềm Client và Server sử dụng NOS
để tạo mới, sửa chữa, đọc và quản lý các Cơ sở dữ liệu và tệp.
- Notes Object Services (NOS): là một tập hợp các hàm C/C++ sử dụng
để tạo ra và truy cập các thông tin trong Database và tệp, biên dịch và
thông dịch các công thức và ngôn ngữ kịch bản. Nó tạo ra các giao
diện tới các dịch vụ của hệ thống một cách thống nhất. Sử dụng ngôn
ngữ lập trình C với chức năng call-back, có thể tùy biến rất nhiều hàm
của NOS.
- Cơ sở dữ liệu và các tệp: Máy chủ có các Database dùng chung, máy
trạm có các Database nội bộ của nó. Một Database đƣợc gọi là dùng
chung nếu nhƣ nó có thể đƣợc truy cập trên mạng bởi một chƣơng
trình chạy trên một máy tính khác. Domino Server chỉ là một chƣơng
19
trình chứa đựng những tiến trình để đáp ứng cho các yêu cầu từ các
máy tính khác trên mạng cho việc truy cập thông tin trên các Database.
Bởi vì Domino Server chỉ chạy trên các máy chủ nên chỉ các Cơ sở dữ
liệu nằm trên máy chủ là có thể đƣợc dùng chung. Một Cơ sở dữ liệu
hoặc tệp là nội bộ nếu nhƣ nó có thể đƣợc truy cập bởi một chƣơng
trình chạy trên cùng một máy tính. Trong khi các Cơ sở dữ liệu chứa
đựng phần lớn là dữ liệu trong một mạng của Notes, một số dữ liệu
đƣợc lƣu giữ trong các tệp không phải là Database, ví dụ nhƣ ID File
và Notes.ini.
Hình 1.2 Sơ đồ kiến trúc Lotus Note
Trong các phần mềm văn phòng điện tử đã trình bày ở trên thì Lotus
Notes đang dẫn đầu trong thị trƣờng phần mềm hệ thống thông tin cộng tác và
thƣơng mại điện tử.
Do đó tôi xin lựa chọn Lotus Note là giải pháp nền tảng để nghiên cứu và
phát triển trong Luận văn này.
20
1.3. Thiết kế văn phòng điện tử an toàn
Vấn đề an toàn thông tin luôn đƣợc đặt ra khi xây dựng và triển khai một
hệ thống thông tin. Văn phòng điện tử cũng không nằm ngoài điều đó. Văn
phòng điện tử đƣợc xây dựng nhằm giúp việc tổ chức, điều hành và quản lý
công việc diễn ra một cách nhanh chóng, chính xác và thuận tiện.
Nền tảng của điều này là thiết kế một hệ thống, mô hình, hỗ trợ việc lƣu
trữ, trao đổi thông tin dễ dàng qua môi trƣờng truyền tin và mạng. Mặc dù, môi
trƣờng này giúp hoạt động trong các văn phòng điện tử diễn ra nhanh chóng
nhƣng cũng hay bị tin tặc dựa vào để tấn công hệ thống, gây hậu quả khôn
lƣờng. Từ đó, cần thiết kế và xây dựng những giải pháp nhằm đảm bảo an toàn
thông tin trong văn phòng điện tử trên môi trƣờng mạng.
1.3.1. Phân tích yêu cầu bảo mật
Từ mô hình và các chức năng của văn phòng điện tử nhận thấy những yêu
cầu cần bảo mật nhƣ sau:
- Trong văn phòng điện tử, với chức năng quản lý hồ sơ, văn bản và quản lý
tài liệu, các văn bản này đƣợc lƣu trữ trong cơ sở dữ liệu của công ty, cơ
quan, tạo thƣ viện chia sẻ tài nguyên giữa các nhân viên trong công ty.
Tuy nhiên, dù nằm trong cùng một cơ sở dữ liệu nhƣng không phải văn
bản nào cũng đƣợc phép truy cập. Vì thế cần các giải pháp đảm bảo an
toàn cho cơ sở dữ liệu.
- Trong văn phòng điện tử, các văn bản đƣợc số hóa, phân phối và trao đổi
thông qua môi trƣờng mạng, trong các giao dịch điện tử. Các văn bản này
có thể chỉ là một văn bản thông thƣờng, nhƣng cũng có thể là văn bản
nhạy cảm cần bảo mật hay văn bản cần xác nhận, chứng thực. Trong khi
môi trƣờng mạng là môi trƣờng kém an toàn nhất nên việc các thông tin bị
đánh cắp, làm sai lệnh rất dễ xảy ra. Điều này đặt ra vấn đề cần có giải
pháp bảo mật và xác thực thông tin cho văn phòng điện tử trong quá trình
trao đổi thông tin.
21
- Ngoài ra, việc các nhân viên trao đổi thƣ tín với nhau hay với môi trƣờng
bên ngoài là điều không tránh khỏi. Thông qua dịch vụ thƣ điện tử, tội
phạm có thể tấn công lấy cắp thông tin cá nhân, dữ liệu gửi và nhận.
Trong văn phòng điện tử có hỗ trợ việc gửi và nhận thƣ thì cần chú trọng
đến vấn đề bảo mật thƣ điện tử.
Trƣớc những phân tích trên đây, có thể thấy việc bảo mật và xác thực
trong văn phòng điện tử bao gồm nhiều lĩnh vực. Việc nghiên cứu và triển khai
giải pháp cần nhiều thời gian và công sức, tiến hành trên nhiều giai đoạn.
1.3.2. Phân tích và lựa chọn chính sách an toàn
An toàn trong văn phòng điện tử là đảm bảo hệ thống thực hiện đúng chức
năng, dữ liệu đƣợc chống truy cập trái phép, các hoạt động trao đổi thông tin
thông qua giao dịch điện tử đƣợc thực hiện đúng đắn. Tức là thông tin lƣu trữ
không thể truy cập trái phép việc gửi đi đƣợc toàn vẹn, tin cậy đảm bảo đúng
ngƣời gửi, đúng ngƣời nhận và tránh đƣợc việc thất lạc, sửa đổi thông tin.
Một văn phòng điện tử an toàn đƣợc thực hiện theo hai biện pháp sau:
- An toàn trong văn phòng điện tử bằng biện pháp phần cứng.
- An toàn trong văn phòng điện tử bằng biện pháp thuật toán – phần mềm.
Biện pháp phần cứng: để đảm bảo an toàn văn phòng điện tử cần có các
thiết kế mô hình các máy tính, tƣờng lửa, các thiết bị ngoại vi tạo thành một hệ
thống hoạt động nhịp nhàng, ngăn chặn, kiểm soát hoạt động nhƣ việc lƣu
chuyển gói tin trên mạng, việc gói tin ra vào hệ thống,...
Biện pháp phần mềm: là việc sử dụng các gói phần mềm có tính năng hỗ
trợ đảm bảo an toàn thông tin tích hợp vào hệ thống.
Trong các biện pháp đảm bảo an toàn thông tin, việc kiểm soát hành chính
chỉ áp dụng ở một mức độ nào, việc sử dụng biện pháp phần cứng thƣờng tốn
kém, mất nhiều thời gian, tiền bạc và công sức. Giải pháp phần mềm thực hiện
đơn giản mà hiệu quả cao. Trong khi đó, văn phòng điện tử là một ứng dụng
phần mềm nên giải pháp tích hợp các ứng dụng phần mềm vào dễ dàng, đơn
22
giản, hiệu quả cao. Vì thế việc đảm bảo an toàn trong văn phòng điện tử bằng
cách sử dụng biện pháp “thuật toán - phần mềm” là tốt nhất.
Trong văn phòng điện tử, việc quản lý, phân phối hồ sơ giấy tờ, văn bản
là một chức năng chính, quan trọng đƣợc thực hiện liên tục. Các văn bản, hồ sơ
giấy tờ phải lƣu chuyển trên đƣờng truyền, mạng nhiều lần. Nếu không có biện
pháp bảo mật thì thông tin dễ bị lấy cắp, sửa đổi, làm giả, mạo danh.
Nhằm giải quyết vấn đề này, sử dụng biện pháp thuật toán, xây dựng một
ứng dụng nhằm thực hiện mục tiêu dù văn bản này lấy về cũng không thể đọc
đƣợc, không thể chỉnh sửa, thay đổi đƣợc.
1.4. Kết luận
Trong chƣơng này, đã trình bày đƣợc tổng quan về vấn đề an toàn thông
tin, tổng quan về một số phần mềm văn phòng điện tử nhƣ E-Office, Net.Office
và đặc biệt là phần mềm văn phòng điện tử Lotus Note. Đồng thời cũng phân
tích sơ bộ những yêu cầu bảo mật trong văn phòng điện tử, phân tích một số
chính sách an toàn bảo mật văn phòng điện tử.
Từ những phân tích trên, trong chƣơng tiếp theo sẽ đề cập đến cơ sở lý
thuyết mật mã ứng dụng cho giải pháp bảo mật và xác thực cho văn phòng điện
tử, cụ thể là cho phần mềm văn phòng điện tử Lotus Note.
23
CHƢƠNG 2: CƠ SỞ LÝ THUYẾT MẬT MÃ ỨNG DỤNG AN
TOÀN BẢO MẬT TRONG VĂN PHÒNG ĐIỆN TỬ
2.1. Giới thiệu
Ngày nay, khi thời đại công nghệ thông tin phát triển, việc quản lý văn
bản theo kiểu truyền thống ngày càng ít, thay vào đó các phần mềm văn phòng
điện tử đang đƣợc khuyến khích sử dụng rộng rãi ở các cơ quan nhà nƣớc, chính
phủ. Các phần mềm văn phòng điện tử hiện nay hoạt động chủ yếu trên đƣờng
truyền internet hoặc mạng nội bộ, một môi trƣờng không an toàn, rất dễ bị tấn
công, phá hoại, ăn cắp những thông tin quan trọng. Do đó, đặt ra vấn đề cần phải
tìm ra giải pháp bảo mật thông tin trên đƣờng truyền, thông tin lƣu trữ các phần
mềm văn phòng điện tử. Có thể nói sử dụng hệ mật mã để mã hóa thông tin là
phƣơng pháp tối ƣu và hiệu quả đáp ứng các yêu cầu đảm bảo an toàn thông tin
trong văn phòng điện tử. Để bảo vệ thông tin trên đƣờng truyền, thông tin
thƣờng đƣợc biến đổi từ dạng nhận thức đƣợc sang dạng không nhận thức đƣợc
trƣớc khi truyền đi trên mạng (gọi là mã hóa - encryption), tại trạm nhận phải
thực hiện quá trình ngƣợc lại từ thông tin mã hóa sang thông tin gốc (gọi là giải
mã - decryption). Phƣơng pháp này đƣợc sử dụng rộng rãi trong môi trƣờng
mạng cho đến nay vẫn thể hiện tính hiệu quả.
Có nhiều tiêu chí khác nhau trong việc phân loại hệ mật mã nhƣ: theo thời
gian, cách tạo khóa,... trong đó tiêu chí cách tạo khóa đang đƣợc sử dụng rộng
rãi hiện nay để phân loại các hệ mật mã với nhau. Có hai hệ mật mã đƣợc phân
loại theo tiêu chí này là: hệ mật mã khóa đối xứng và hệ mật mã khóa công khai.
Hệ mật mã khóa đối xứng: Là hệ mật mã chỉ dùng một khóa duy nhất cho
cả hai quá trình mã hóa và giải mã.
Hệ mật mã khóa công khai: Là hệ mật mã dùng hai khóa, một khóa để mã
hóa, một khóa để giải mã. Hai khóa tạo nên cặp chuyển đổi đối ngƣợc nhau và
rất khó có thể suy ra nhau.
