Giao trinh chung thuc dien tu
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.72 MB, 222 trang )
GIÁO TRÌNH
CHỨNG THỰC ĐIỆN TỬ
HÀ NỘI, 2013
GIÁO TRÌNH
CHỨNG THỰC ĐIỆN TỬ
HÀ NỘI, 2013
MỤC LỤC
MỤC LỤC.................................................................................................................. i
DANH MỤC TỪ VIẾT TẮT .................................................................................. vi
DANH MỤC HÌNH VẼ........................................................................................... ix
LỜI NÓI ĐẦU ........................................................................................................ xii
Chƣơng 1:
CÁC KHÁI NIỆM CƠ BẢN ...............................................................1
1.1
CHỨNG THỰC ĐIỆN TỬ ...............................................................1
1.2
AN TOÀN THÔNG TIN ..................................................................1
1.2.1 Khái niệm về an toàn thông tin ....................................................1
1.2.2 Khái niệm về đảm bảo an toàn thông tin ......................................2
1.2.3 Khái niệm về đánh giá an toàn thông tin ......................................3
1.2.4 Những đặc tính cơ bản của thông tin cần đƣợc đảm bảo .............3
1.2.5 Mô hình tổng quát về các biện pháp đảm bảo an toàn thông
4
tin
1.2.6 Nhu cầu về đánh giá an toàn thông tin và các tiêu chí đánh giá
chung
6
1.3
GIAO DỊCH ĐIỆN TỬ ....................................................................6
1.4
CHÍNH PHỦ ĐIỆN TỬ....................................................................7
1.4.1 Một số khái niệm Chính phủ điện tử: ...........................................7
1.4.2 Các chức năng của Chính phủ điện tử ..........................................8
1.4.3 Mục tiêu của Chính phủ điện tử ...................................................8
1.4.4 Các giao dịch điện tử cơ bản trong chính phủ điện tử: ................8
1.4.5 Ƣu nhƣợc điểm của Chính phủ điện tử ........................................9
1.5
MẬT MÃ TRONG AN TOÀN THÔNG TIN ...............................10
1.5.1 Mật mã khóa đối xứng................................................................12
1.5.2 Mật mã khóa công khai ..............................................................13
1.5.3 Chữ ký số ....................................................................................15
Chƣơng 2:
CÁC LÝ THUYẾT CƠ BẢN VỀ HỆ THỐNG PKI.........................19
2.1
GIỚI THIỆU CHUNG ....................................................................19
2.2
TẠI SAO CẦN CÓ CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI
20
2.3
TỔNG QUAN VỀ PKI ...................................................................20
PKI
i
2.3.1 Khái niệm ...................................................................................20
2.3.2 Mô hình tổng thể của một hệ thống PKI ....................................21
2.3.3 Các chuẩn và đặc tả PKI.............................................................28
2.4
CÁC DỊCH VỤ CỦA PKI ..............................................................29
2.4.1 Dịch vụ đảm bảo tính bí mật ......................................................29
2.4.2 Dịch vụ đảm bảo tính toàn vẹn...................................................31
2.4.3 Dịch vụ xác thực .........................................................................36
2.4.4 Dịch vụ hỗ trợ chống chối bỏ .....................................................39
2.4.5 Dịch vụ dấu thời gian .................................................................40
2.5
CHỨNG THƢ SỐ ..........................................................................41
2.5.1 Chứng thƣ số ..............................................................................41
2.5.2 Giới thiệu về các chứng thƣ khoá công khai ..............................42
2.5.3 Đƣờng dẫn chứng thực ...............................................................44
2.6
CÁC MÔ HÌNH KIẾN TRÚC TIN CẬY ......................................46
2.6.1 Giới thiệu về kiến trúc hệ thống PKI .........................................46
2.6.2 Hệ thống kiến trúc CA đơn ........................................................47
2.6.3 Hệ thống kiến trúc cho doanh nghiệp (thƣơng mại) ..................50
QUY TRÌNH HOẠT ĐỘNG CỦA HỆ THỐNG PKI ......................59
Chƣơng 3:
3.1
CHỨC NĂNG THÀNH PHẦN CA ...............................................59
3.2 CHỨC NĂNG THÀNH PHẦN RA – REGISTRATION
AUTHORITY ......................................................................................................60
3.3
CHỨC NĂNG NGƢỜI DÙNG/THỰC THỂ ĐẦU CUỐI ............61
3.4 CHỨC NĂNG CỦA CÁC HỆ THỐNG DỊCH VỤ CHỨNG
THỰC CHỮ KÝ SỐ ............................................................................................61
3.5
QUY TRÌNH QUẢN LÝ VÕNG ĐỜI CHỨNG THƢ SỐ............63
3.5.1 Hoạt động đăng ký chứng thƣ số và cơ quan đăng ký ...............63
3.5.2 Quản lý, duy trì khóa và chứng thƣ số .......................................66
3.5.3 Công bố chứng thƣ số.................................................................70
3.5.4 Các phƣơng pháp hủy bỏ chứng thƣ số ......................................72
3.6
Chƣơng 4:
QUAN
BÀI THỰC HÀNH SỐ 1 ................................................................82
MỘT SỐ GIAO THỨC QUẢN LÝ PKI VÀ CÁC CHUẨN LIÊN
83
ii
4.1
CÁC GIAO THỨC QUẢN LÝ PKI...............................................83
4.1.1 Các chuẩn PKCS ........................................................................83
4.1.2 Giao thức quản lý chứng thƣ số (CMP) .....................................97
4.1.3 Giao thức đăng ký chứng thƣ số đơn giản (SCEP) ..................100
4.2
CRL
NHÓM CHUẨN VỀ KHUÔN DẠNG CHỨNG THƢ SỐ VÀ
101
4.2.1 Chứng thƣ số X.509 version 3..................................................102
4.2.2 Danh sách chứng thƣ số bị thu hồi (CRL) và hồ sơ các trƣờng
mở rộng của CRL ...........................................................................................110
4.2.3 Các trƣờng sử dụng trong CRL ................................................111
4.2.4 Các trƣờng trong CertificateList ..............................................112
4.2.5 Trƣờng trong tbsCertList ..........................................................113
4.2.6 Các trƣờng CRL mở rộng .........................................................114
4.3
NHÓM CHUẨN VỀ GIAO THỨC HOẠT ĐỘNG.....................118
4.3.1 RFC 2585 – Internet X.509 Public Key Infrastructure
Operational Protocols: FTP and HTTP ..........................................................118
4.3.2 Quy ƣớc FTP ............................................................................119
4.3.3 Quy ƣớc HTTP .........................................................................120
4.3.4 Đăng ký MIME.........................................................................121
4.4
NHÓM CHUẨN VỀ GIAO THỨC QUẢN LÝ ..........................122
4.4.1 Giới thiệu Internet X.509 Public Key Infrastructure
Certificate Request Message Format (CRMF) ..............................................123
4.4.2 Tổng quan .................................................................................123
4.4.3 Cấu trúc CertReqMessage ........................................................124
4.4.4 Chứng minh tính sở hữu (Proof of Possesion – POP)..............124
4.4.5 Cú pháp CertReq ......................................................................124
4.4.6 Cú pháp thuộc tính kiểm soát (Controls syntax) ......................125
4.4.7 Kiểm soát RegInfo (RegInfo Controls) ....................................128
4.4.8 Object Identifiers ......................................................................128
4.5
NHÓM CHUẨN VỀ CHÍNH SÁCH ...........................................129
4.5.1 Chính sách chứng thƣ. ..............................................................130
4.5.2 Quy chế chứng thực..................................................................131
iii
4.5.3 Mối quan hệ giữa chính sách chứng thƣ và quy chế chứng
thực.
132
4.6
DỮ LIỆU
NHÓM CHUẨN VỀ DẤU THỜI GIAN VÀ CHỨNG THỰC
133
4.6.1 Giới thiệu ..................................................................................133
4.6.2 Khái niệm chung.......................................................................134
4.6.3 Các chính sách gắn dấu thời gian .............................................136
4.6.4 Nghĩa vụ và trách nhiệm ..........................................................136
4.6.5 Những yêu cầu về nghiệp vụ TSA ...........................................137
4.6.6 Những xem xét đến an ninh .....................................................143
4.7
BÀI THỰC HÀNH SỐ 2 ..............................................................144
MỘT SỐ HỆ THỐNG PKI ĐIỂN HÌNH VÀ CÁC ỨNG DỤNG
145
Chƣơng 5:
CỦA PKI
5.1
CÁC HỆ THỐNG PKI ĐIỂN HÌNH ............................................145
5.1.1 Hệ thống mã đóng ....................................................................145
5.1.2 Hệ thống mã mở .......................................................................163
5.2
CÁC ỨNG DỤNG PKI ................................................................170
5.2.1 Ứng dụng của PKI trong bảo mật thƣ điện tử S/MIME ...........170
5.2.2 Ứng dụng của PKI trong hệ thống mạng riêng ảo VPN ..........173
5.2.3 Ứng dụng của PKI trong việc bảo mật kênh SSL ....................174
5.2.4 Ứng dụng của PKI trong hệ thống Single Sign On ..................179
5.3
TOKEN)
CÁC THIẾT BỊ PHẦN CỨNG AN TOÀN (HSM, USB
180
5.3.1 Vai trò của các thiết bị phần cứng an toàn trong hệ thống PKI180
5.3.2 Thiết bị an toàn cá nhân USB Token .......................................186
5.3.3 Thiết bị an toàn cho hệ thống PKI HSM ..................................189
5.3.4 Chuẩn PKCS#11 sử dụng giao tiếp với USB Token và HSM .189
5.4
BÀI TẬP THỰC HÀNH SỐ 3 .....................................................194
Chƣơng 6: HÀNH LANG PHÁP LÝ PKI Ở VIỆT NAM VÀ XU HƢỚNG
PHÁT TRIỂN PKI .................................................................................................195
6.1
MÔ HÌNH PKI TẠI VIỆT NAM .................................................195
6.2
HÀNH LANG PHÁP LÝ .............................................................195
iv
6.2.1 Luật giao dịch điện tử số 51/2005/QH11 .................................197
6.2.2 Nghị định 26/2007/NĐ-CP .......................................................202
6.3
XU HƢỚNG PHÁT TRIỂN .........................................................203
TÀI LIỆU THAM KHẢO .....................................................................................207
v
DANH MỤC TỪ VIẾT TẮT
3DES
Triple Data Encryption Standard
ACL
Access Control List
AES
Advanced Encryption Standard
ANSI
American National Standards Institute
API
Application Programming Interface
ATTT
An Toàn Thông Tin
ASN.1
Abstract Syntax Notation One
CA
Certificate Authority
CKS
Chữ Ký Số
CMS
Cryptographic Message Syntax
CNTT
Công Nghệ Thông Tin
CP
Certificate Policy
CPĐT
Chính Phủ Điện Tử
CPS
Certificate Practise Statement
CRL
Certificate Revoke List
CTĐT
Chứng Thực Điện Tử
CTS
Chứng Thƣ Số
CSDL
Cơ Sở Dữ Liệu
DES
Data Encryption Standard
DOC
Document
DSS
Digital Signature Standard
EE
End Entity
EME
Encoding Method for Encryption
EMSA-PSS
Encoding Method for Signature Appendise – Probalilistic
Signature Scheme
FIPS
Federal Information Processing Standard
FQDN
Fully Qualified Domain Name
FTP
File Transfer Protocol
HTTP
Hypertext Transfer Protocol
HSM
Hardware Security Module
IEEE
Institute of Electrical and Electronics Engineers
vi
IETF
Internet Engineering Task Force
ISO/IEC
International Organization for Standardization/ International
Electrotechnical Commission
KTMM
Kỹ thuật mật mã
LDAP
Lightweight Directory Access Protocol
MAC
Message Authentication Code
MD5
Message-Digest algorithm 5
MDB
Microsoft Database
MGF
Mask Generation Function
NIST
National Institute of Science and Technology
OAEP
Optimal Asymmetric Encryption Padding
OID
Object Identity
Portable Document Format
PDU
Protocol Data Unit
PFX
Personal Information Exchange
PIN
Personal Identificate Number
PKCS
Public Key Cryptography Standards
PKI
Public Key Infrastructure
RA
Registration Authority
RFC
Request For Comments
RSA
Ron Rivest, Adi Shamir và Len Adleman
RSAES
RSA Encryption Scheme
RSASSA
RSA Signature Scheme with Appendise
SDK
Software Development Kit
SEC
Standard for Efficient Cryptography
SHA
Secure Hash Algorithm
SIM
Subscriber Identity Module
SO
Security Officer
SSL
Secure Socket Layer
S/MIME
Secure/Multipurpose Internet Mail Extensions
TCP/IP
Transmission Control Protocol/ Internet Protocol
TMĐT
Thƣơng Mại Điện Tử
vii
TLS
Transport Layer Security
TSA
Time Stamping Authority
TSP
Time stamp protocol
TTP
Trusted Third Party
VPN
Virtual Private Network
USB
Universal Serial Bus
XML
eXtensible Markup Language
viii
DANH MỤC HÌNH VẼ
Hình 1-1: Cơ sở cho một mô hình tổng quát .............................................................5
Hình 1-2: Mô hình mã hóa chung ............................................................................12
Hình 1-3: Mật mã khóa đối xứng .............................................................................12
Hinh 1-4: Mã hóa khóa công khai............................................................................14
Hình 1-5: Hàm băm..................................................................................................16
Hình 1-6: Cách tạo chữ ký số...................................................................................17
Hình 1-7: Kiểm tra chữ ký số...................................................................................18
Hình 2-1: Mô hình tổng thể một hệ thống PKI ........................................................22
Hình 2-2: Lƣợc đồ kết hợp mật mã khóa công khai và mật mã khóa đối xứng ......30
Hình 2-3: Kiểm tra tính chẵn lẻ ...............................................................................31
Hình 2-4: Mã dƣ thừa vòng......................................................................................32
Hình 2-5: Sử dụng mã khối đối xứng DES-CBC-MAC ..........................................34
Hình 2-6: Sử dụng hàm băm mật mã HMAC-SHA-1 .............................................35
Hình 2-7: Sơ đồ ký số chứng minh toàn vẹn dữ liệu ...............................................36
Hình 2-8: Xác thực từ xa dựa trên khoá công khai ..................................................38
Hình 2-9: Xác thực dựa trên bên thứ 3 tin cậy ........................................................39
Hình 2-10: Sơ đồ cấp dấu thời gian .........................................................................40
Hình 2-11: Mô hình tạo dấu thời gian an toàn .........................................................41
Hình 2-12: Kiểm tra tính hợp lệ của dấu thời gian an toàn .....................................41
Hình 2-13: Chứng thƣ số khóa công khai đơn giản .................................................43
Hình 2-14: Đƣờng dẫn chứng thực ..........................................................................46
Hình 2-15: Mô hình kiến trúc CA đơn.....................................................................47
Hình 2-16: Mô hình danh sách tin cậy cơ bản .........................................................49
Hình 2-17: Kiến trúc phân cấp .................................................................................51
Hình 2-18: Thêm CA mới làm CA gốc ...................................................................52
Hình 2-19: Kiến trúc mạng lƣới ...............................................................................53
Hình 2-20: Hệ thống lai ...........................................................................................55
Hình 2-21: Kiến trúc danh sách mở rộng tin cậy .....................................................56
Hình 2-22: Chứng thực chéo ....................................................................................56
ix
Hình 2-23: Mô hình đƣờng dẫn chứng thực của chứng thực chéo ..........................57
Hình 2-24: Kiến trúc cầu nối ...................................................................................58
Hình 3-1: Định dạng danh sách hủy bỏ CRL...........................................................75
Hình 3-2: Thông tin chứng thƣ số bị thu hồi ...........................................................76
Hình 3-3: Xác minh bằng CRL chuyển hƣớng ........................................................80
Hình 3-4: Giao thức kiểm tra chứng thƣ số trực tuyến ............................................81
Hình 4-1: Khuôn dạng chứng thƣ số x509.............................................................102
Hình 4-2: Tên phân biệt của chứng thƣ số.............................................................104
Hình 4-3: Khuôn dạng chứng thƣ số x509 phiên bản 3 .........................................107
Hình 4-4: Mô hình các hoạt động của PKI ............................................................119
Hình 4-5: Mối quan hệ giữa các chính sách ..........................................................130
Hình 4-6: Quản lý dịch vụ cấp dấu thời gian .........................................................144
Hình 5-1: Kiến trúc giải pháp Quản lý chứng thƣ RSA Solution ..........................146
Hình 5-2: Module quản trị .....................................................................................146
Hình 5-3: Module đăng ký .....................................................................................146
Hình 5-4: Module cấp mới chứng thƣ số ...............................................................147
Hình 5-5: Module danh sách thu hồi .....................................................................147
Hình 5-6: Module SCEP ........................................................................................148
Hinh 5-7: Module OCSP ........................................................................................148
Hình 5-8: Module giao tiếp thƣ mục......................................................................149
Hình 5-9: Module LogServer .................................................................................150
Hình 5-10: Module CMP Server ............................................................................150
Hình 5-11: Các giao thức đƣợc sử dụng ................................................................151
Hình 5-12: Các thành phần giải pháp Quản lý chứng thƣ RSA ............................152
Hình 5-13: Mô hình tƣơng tác giữa các ứng dụng của Entrust PKI ......................157
Hỉnh 5-14: Kiến trúc tổng thể hệ thống Entrus PKI ..............................................157
Hình 5-15: Quản lý CSDL và thƣ mục ..................................................................158
Hình 5-16: Thành phần quản trị Security Manager ...............................................159
Hình 5-17: Dịch vụ quản trị ủy quyền ...................................................................160
Hình 5-18: Cây cơ sở dữ liệu .................................................................................164
Hình 5-19: Thiết kế các nút ...................................................................................165
x
Hình 5-20: Các giao diện nút của OpenCA ...........................................................166
Hình 5-21: Vòng đời của các đối tƣợng.................................................................167
Hình 5-22: Mô hình tổng thể EJBCA ....................................................................169
Hình 5-24: Quá trình bảo mật thƣ điện tử bằng SMIME.......................................172
Hình 5-25: Sơ đồ mã hóa .......................................................................................173
Hình 5-26: Sơ đồ ký số ..........................................................................................173
Hình 5-27: Mô tả quá trình bắt tay của giao thức SSL ..........................................176
Hình 5-28: Mô hình kết nối SSL............................................................................178
Hình 5-29: Đăng nhập tới nhiều ứng dụng ở xa ....................................................179
Hình 6-1: Mô hình PKI tại Việt Nam ....................................................................195
xi
LỜI NÓI ĐẦU
Trong những năm trở gần đay, hạ tầng CNTT ngày càng mở rộng và phát
triển mạnh mẽ khi các tổ chức, ngƣời dùng sử dụng nền tảng CNTT để trao đổi
và liên lạc với nhau. Các thông tin nhạy cảm, bí mật và quan trọng cũng đƣợc
lƣu trữ và trao đổi dƣới hình thức điện tử để đảm bảo việc truyền nhận một cách
nhanh chóng, tiện lợi. Sự sang trang từ truyền thống đến điện tử của hoạt động
truyền thông đã mở ra nhiều cơ hội cho các doanh nghiệp, tổ chức, nhƣng cũng
gặp nhiều các thách thức không nhỏ với sự can thiệp, tấn công phá hoại hoặc ý
thức ngƣời dùng với các thông tin nhạy cảm và quan trọng. Trƣớc vấn đề đƣợc
đặt ra, cơ sở hạ tầng khóa công khai (PKI – Public Key Infrastructure) đang
đƣợc coi là một giải pháp mang tính tổng hợp để giúp giải quyết các vấn đề về
xác thực và bảo đảm an toàn dữ liệu quan trọng.
Trên thế giới các tổ chức, các Chinh phủ đang hoàn thiện, đầu tƣ và xây
dựng các hệ thống PKI với nhiều chuẩn bảo mật trên mạng internet nhƣ
SSL/TLS, VPN hay các thiết bị phần cứng HSM, USB Token. PKI đang ứng
dụng rộng rãi trong mọi hoạt động cuộc sống nhƣ giao dịch điện tử, chứng minh
thƣ điện tử, hộ chiếu điện tử,….
Giáo trình này đƣợc thực hiện với mục đích giúp sinh viên tìm hiểu và
nghiên cứu về PKI bao gồm các vấn đề cơ bản về mật mã, chứng thƣ số, khái
niệm tổng của PKI, chức năng và các thành phần của PKI cũng nhƣ mô hình tin
cậy, các dịch vụ, giao thức, bộ tiêu chuẩn PKCS. Nhóm tác giả cũng giới thiệu
các mô hình hệ thống PKI đóng và mở đƣợc sử dụng phổ biến hiện nay nhƣ
EntrustPKI, OpenCA, EJBCA đồng thời trình bày sơ lƣợc các ứng dụng PKI
trong VPN, SSL, S/MIME,… và các thiết bị phần cứng an toàn.
Với giới hạn những vấn đề tìm hiểu và nghiên cứu, giáo trình gồm 06
chƣơng cụ thể nhƣ sau:
Chƣơng 1: Các khái niệm cơ bản
Nhắc lại một số kiến thức về mật mã và an toàn thông tin trong lĩnh vực hoạt
động điện tử
Chƣơng 2: Các lý thuyết cơ bản về hệ thống PKI
Nêu tổng quan và các khái niệm của PKI. Giới thiệu các dịch vụ, kiến trúc tin
cậy của PKI. Đồng thời giới thiệu về chứng thƣ số và chữ ký số
Chƣơng 3: Quy trình hoạt động của hệ thống PKI
xii
Giới thiệu các chức năng thành phần tham gia vào hệ thống PKI, và vấn đề quản
lý vòng đời chứng thƣ số nhƣ: đăng ký chứng thƣ số, quản lý duy trì khóa, công
bố và hủy bỏ chứng thƣ số.
Chƣơng 4: Một số giao thức quản lý PKI và các chuẩn liên quan
Giới thiệu các giao thức quản lý PKI, các nhóm chuẩn về khuôn dạng chứng thƣ
số, CRL, các nhóm chuẩn về giao thức hoạt động, quản lý, chính sách và dấu
thời gian
Chƣơng 5: Một số hệ thống PKI điển hình và các ứng dụng của PKI
Giới thiệu 1 số các hệ thống PKI điển hình nhƣ Entrust, Verisign, OpenCA,…
Nêu lên ứng dụng của PKI trong việc bảo mật thƣ điện tử, VPN, kênh truyền…
đồng thời giới thiệu các thiết bị phần cứng an toàn chuyên dùng cho PKI
Chƣơng 6: Hành lang pháp lý PKI ở Việt Nam và xu hƣớng phát triển
PKI.
Các kiến thức trên nhằm giúp cho sinh viên có thể khái quát hơn về hệ thống
PKI để giúp vận dụng xây dựng một hệ thống cung cấp chứng thƣ số có khả
năng ứng dụng an toàn cho cơ quan, tổ chức theo các nhu cầu đƣợc đặt ra. Tuy
nhiên, các thiếu sót là điều không thể tránh khỏi trong giáo trình, nhóm tác giả
rất mong nhận đƣợc những góp ý chân thành của đồng nghiệp và bạn đọc để
giúp hoàn thiện giáo trình một cách tốt nhất.
Hà nội, tháng 9 năm 2013
Nhóm tác giả
xiii
Chƣơng 1: CÁC KHÁI NIỆM CƠ BẢN
1.1
CHỨNG THỰC ĐIỆN TỬ
Cùng với sự phát triển của các ứng dụng trên mạng, đặc biệt các ứng
dụng nhƣ Chính phủ điện tử, thƣơng mại điện tử thì chứng thực điện tử trở
thành một yếu tố không thể thiếu đƣợc. Việc ra đời chứng thực điện tử không
những đáp ứng đƣợc các nhu cầu hiện nay của xã hội mà còn có tác dụng rất
to lớn trong việc phát triển các ứng dụng trên mạng.
Vậy chứng thực điện tử là gì? Chứng thực điện tử là hoạt động chứng
thực danh tính của những ngƣời tham gia vào việc gửi và nhận thông tin
qua mạng, đồng thời cung cấp cho họ những công cụ, những dịch vụ cần
thiết để thực hiện việc bảo mật thông tin, chứng thực nguồn gốc và nội
dung thông tin. Hạ tầng công nghệ của chứng thực điện tử là cơ sở hạ tầng
khoá công khai (PKI - Public Key Infrastructure) với nền tảng là mật mã khoá
công khai và chữ ký số. [5]
1.2
AN TOÀN THÔNG TIN
1.2.1 Khái niệm về an toàn thông tin
Thông tin đƣợc lƣu trữ bởi các sản phẩm và hệ thống công nghệ thông
tin (CNTT) là một tài nguyên quan trọng, là tài sản của một cá nhân hay tổ
chức. Các thông tin cá nhân lƣu trữ trong hệ thống thông tin cần đƣợc giữ bí
mật, bảo vệ và không bị thay đổi khi không đƣợc phép. Trong khi các sản
phẩm và hệ thống CNTT thực hiện các chức năng của chúng, các thông tin
cần đƣợc kiểm soát để đảm bảo chúng đƣợc bảo vệ chống lại các nguy cơ, ví
dụ nhƣ việc đọc trộm hoặc thay đổi thông tin không mong muốn và trái phép,
nguy cơ mất mát thông tin.
An toàn thông tin là sự bảo vệ thông tin và các hệ thống thông tin tránh
bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm
bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin.[4]
1
An toàn thông tin: bao gồm các hoạt động quản lý, nghiệp vụ và kỹ
thuật đối với hệ thống thông tin nhằm bảo vệ, khôi phục các hệ thống, các dịch
vụ và nội dung thông tin đối với nguy cơ tự nhiên hoặc do con ngƣời gây ra.
Việc bảo vệ thông tin, tài sản và con ngƣời trong hệ thống thông tin nhằm bảo
đảm cho các hệ thống thực hiện đúng chức năng, phục vụ đúng đối tƣợng một
cách sẵn sàng, chính xác và tin cậy. An toàn thông tin bao hàm các nội dung
bảo vệ và bảo mật thông tin, an toàn dữ liệu, an toàn máy tính và an toàn
mạng.[3]
Thuật ngữ an toàn CNTT thƣờng sử dụng để chỉ việc ngăn chặn và
làm giảm nhẹ các mối nguy hại tƣơng tự đối với các sản phẩm và hệ thống
CNTT.
An ninh thông tin là việc bảo đảm thông tin trên mạng không gây
phƣơng hại đến an ninh quốc gia, trật tự an toàn xã hội, bí mật nhà nƣớc,
quyền và lợi ích hợp pháp của tổ chức, cá nhân.
Xâm phạm an toàn thông tin là hành vi truy cập, sử dụng, tiết lộ, làm
gián đoạn, sửa đổi, làm sai lệch chức năng, phá hoại trái phép thông tin và hệ
thống thông tin.
Nguy cơ mất an toàn thông tin là những nhân tố bên trong hoặc bên
ngoài có khả năng ảnh hƣởng tới trạng thái an toàn thông tin.
1.2.2 Khái niệm về đảm bảo an toàn thông tin
Mục tiêu hƣớng tới của ngƣời dùng là cá nhân hay tổ chức là bảo vệ
các tài sản thông tin mình sở hữu. Tuy nhiên, các sản phẩm và hệ thống
CNTT thƣờng luôn tồn tại những điểm yếu dẫn đến những rủi ro có thể xảy
ra, làm tổn hại đến giá trị tài sản thông tin. Các đối tƣợng tấn công (tin tặc) có
chủ tâm đánh cắp, lợi dụng hoặc phá hoại tài sản của các chủ sở hữu, tìm cách
khai thác các điểm yếu để tấn công, tạo ra các nguy cơ và các rủi ro cho các
hệ thống.
Với các biện pháp an toàn thông tin ngƣời dùng có đƣợc công cụ trong
tay để nhận thức đƣợc các điểm yếu, giảm thiểu các điểm yếu, ngăn chặn các
nguy cơ tấn công, làm giảm các yếu tố rủi ro. Nhƣ vậy, các triển khai các biện
pháp và kỹ thuật đảm bảo an toàn thông tin chính là mang lại sự tin cậy cho
các sản phẩm và hệ thống.
Đảm bảo an toàn thông tin là đảm bảo an toàn kỹ thuật cho hoạt động
của các cơ sở hạ tầng thông tin, trong đó bao gồm đảm bảo an toàn cho cả
phần cứng và phần mềm hoạt động theo các tiêu chuẩn kỹ thuật đƣợc các
quốc gia hay tổ chức an ninh an toàn trên thế giới quy định; ngăn ngừa khả
năng lợi dụng mạng và các cơ sở hạ tầng thông tin để thực hiện các hành vi
2
trái phép gây hại cho cộng đồng, phạm pháp hay khủng bố; đảm bảo các tính
chất bí mật, toàn vẹn, xác thực, sẵn sàng phục vụ của thông tin trong lƣu trữ,
xử lý và truyền tải trên mạng.
Nhƣ vậy khái niệm đảm bảo an toàn thông tin bao hàm đảm bảo an
toàn cho cả phần cứng và phần mềm. An toàn phần cứng là bảo đảm hoạt
động cho cơ sở hạ tầng thông tin. An toàn phần mềm gồm các hoạt động quản
lý, kỹ thuật nhằm bảo vệ hệ thống thông tin, đảm bảo đảm cho các hệ thống
thực hiện đúng chức năng, phục vụ đúng đối tƣợng một cách sẵn sàng, chính
xác, tin cậy. An toàn công nghệ thông tin là đảm bảo an toàn kỹ thuật cho các
sản phẩm, dịch vụ và hệ thống công nghệ thông tin.
1.2.3 Khái niệm về đánh giá an toàn thông tin
Một nhu cầu thực tế đặt ra là làm thế nào để biết các sản phẩm và hệ
thống có tin cậy hay không, có áp dụng các biện pháp và kỹ thuật an toàn phù
hợp hay không, mức độ an toàn nhƣ thế nào? Đánh giá an toàn thông tin
chính là để đáp ứng nhu cầu đó, nhằm cung cấp bằng chứng về việc đảm bảo
an toàn cho các sản phẩm và hệ thống.
Mặt khác, nhiều ngƣời tiêu dùng CNTT không có đủ kiến thức, chuyên
môn và tài nguyên cần thiết để phán xét về sự an toàn của các sản phẩm và hệ
thống CNTT có phù hợp hay không, và cũng không thể chỉ dựa vào cam kết
của các nhà phát triển. Bởi vậy, ngƣời tiêu dùng có thể nâng cao tin cậy trong
các biện pháp an toàn của một sản phẩm hoặc hệ thống CNTT bằng cách đặt
hàng phân tích về an toàn cho chúng, nghĩa là đánh giá an toàn.
Đánh giá rủi ro an toàn thông tin là việc xác định, phân tích nguy cơ
mất an toàn thông tin có thể có và dự báo mức độ, phạm vi ảnh hƣởng và khả
năng gây thiệt hại khi xảy ra sự cố mất an toàn thông tin (dự thảo Luật an toàn
thông tin số).
Quản lý rủi ro an toàn thông tin là việc thực hiện đánh giá rủi ro an toàn
thông tin, xác định yêu cầu bảo vệ thông tin và hệ thống thông tin và áp dụng
giải pháp phòng, chống, giảm thiểu thiệt hại khi có sự cố mất an toàn thông
tin.
1.2.4 Những đặc tính cơ bản của thông tin cần đƣợc đảm bảo
An toàn thông tin yêu cầu nhằm đảm bảo 3 đặc điểm quan trọng nhất
của thông tin, đó là: tính bí mật, tính toàn vẹn và tính sẵn sàng. Các đặc điểm
này bao trùm toàn bộ phạm trù an toàn các hệ thống thông tin. Các đặc điểm
này cũng đúng với mọi tổ chức, không lệ thuộc vào việc chúng chia sẻ thông
tin nhƣ thế nào.
Tính bí mật
3
Tính bí mật là tâm điểm chính của mọi giải pháp an toàn cho một sản
phẩm/hệ thống CNTT. Một giải pháp an toàn là tập hợp các quy tắc xác định
quyền đƣợc truy cập đến với thông tin đang tìm kiếm, đối với một số lƣợng
ngƣời sử dụng thông tin nhất định và một số lƣợng thông tin là tài sản nhất
định. Trong trƣờng hợp kiểm soát truy cập cục bộ, nhóm ngƣời truy cập sẽ
đƣợc kiểm soát xem là họ đã truy cập những số liệu nào. Tính bí mật là sự
đảm bảo rằng các chức năng kiểm soát truy cập có hiệu lực.
Đảm bảo tính bí mật là nhằm loại bỏ những sự truy cập không đựợc
phép vào các khu vực là độc quyền của các cá nhân, tổ chức.
Tính toàn vẹn
Tính toàn vẹn, không bị sửa đổi là đặc tính phức hợp nhất và dễ bị hiểu
lầm của thông tin. Một định nghĩa khái quát hơn là vấn đề cấp độ, chất lƣợng
của số liệu (thông tin), chứ không phải là con ngƣời đƣợc/hoặc không đƣợc
phép truy cập. Đặc tính toàn vẹn đƣợc hiểu là chất lƣợng của thông tin đƣợc
xác định căn cứ vào độ xác thực khi phản ánh thực tế. Số liệu càng gần với
thực tế bao nhiêu thì chất lƣợng thông tin càng chuẩn bấy nhiêu.
Để đảm bảo tính toàn vẹn của thông tin là môt loạt các các biện pháp
đồng bộ nhằm hỗ trợ và đảm bảo tính thời sự kịp thời và sự đầy đủ trọn vẹn,
cũng nhƣ sự bảo mật hợp lý cho thông tin.
Tính sẵn sàng
Tính sẵn sàng của thông tin cũng là một đặc tính quan trọng, đó là khía
cạnh sống còn của an toàn thông tin, đảm bảo cho thông tin đến đúng địa chỉ
(ngƣời đƣợc phép sử dụng) khi có nhu cầu, hoặc đƣợc yêu cầu.
Tính sẵn sàng đảm bảo độ ổn định đáng tin cậy của thông tin, cũng nhƣ
đảm nhiệm chức năng là thƣớc đo, xác định phạm vi tới hạn của an toàn một
hệ thống thông tin.
1.2.5 Mô hình tổng quát về các biện pháp đảm bảo an toàn thông tin
Bộ ba các đặc tính then chốt của thông tin đề cập đến ở trên bao trùm
toàn bộ các mặt của việc đảm bảo an toàn thông tin. Một ma trận đƣợc tạo
nên bởi 3 yếu tố là 3 trạng thái của thông tin (truyền dẫn, lƣu giữ, xử lí) đƣợc
minh họa ở trục hoành; cùng với 3 đặc tính then chốt của thông tin (độ tin
cậy, tính toàn vẹn, tính sẵn sàng) đƣợc minh họa trên trục tung có thể đƣợc sử
dụng làm nền tảng cho mô hình thể hiện các biện pháp an toàn thông tin đƣợc
trình bày trong phạm vi phần này (xem hình 1-1).
4
TRẠNG THÁI THÔNG TIN
rữ
ut
Xử
Bí
To
à
Sẵ
mậ
nv
ns
t
ẹn
àn
g
lý
Giáo dục đào
tạo nhận
thức
Lư
Biện pháp an ninh
an toàn
tin
Chính sách &
Quy chế
ền
Công nghệ
Các đặc tính thông
tin quan trọng
y
Tru
Hình 1-1: Cơ sở cho một mô hình tổng quát
Các biện pháp an toàn hệ thống thông tin đƣợc phân loại thành 3 lớp
tạo thành chiều thứ 3 của không gian ma trận:
- Các biện pháp công nghệ: bao hàm tất cả các biện pháp thiết bị
phần cứng, các phần mềm, phần sụn (firmware) cũng nhƣ các kỹ thuật công
nghệ liên quan đƣợc áp dụng nhằm đảm các yêu cầu an toàn của thông tin
trong các trạng thái của nó nhƣ đã kể trên.
- Các biện pháp về tổ chức: đƣa ra các chính sách, quy định, phƣơng
thức thực thi. Thực tế cho thấy, an toàn thông tin không chỉ đơn thuần là vấn
đề thuộc phạm trù công nghệ, kỹ thuật. Hệ thống chính sách và kiến trúc tổ
chức đóng một vai trò hữu hiệu trong việc đảm bảo an toàn thông tin.
- Các biện pháp về đào tạo, tập huấn, nâng cao nhận thức: Các
biện pháp công nghệ hay các biện pháp về tổ chức thích hợp phải dựa trên các
biện pháp đào tạo, tập huấn và tăng cƣờng nhận thức để có thể triển khai đảm
bảo an toàn thông tin từ nhiều hƣớng khác nhau. Các nhà nghiên cứu và các
kỹ sƣ cũng cần phải hiểu rõ các nguyên lý an toàn hệ thống thông tin, thì mới
mong các sản phẩm và hệ thống do họ làm ra đáp ứng đƣợc các nhu cầu về an
toàn thông tin của cuộc sống hiện tại đặt ra.
Mô hình ma trận không gian 3 chiều kể trên có thể áp dụng làm cơ sở
cho đánh giá an toàn thông tin một cách khái quát nhất. Ví dụ, ngƣời đánh giá
an toàn thông tin cho một sản phẩm là một hệ thống thông tin sẽ phải xác định
các trạng thái thông tin trong hệ thống cần đƣợc đánh giá. Mô hình tổng quát
này sẽ cho phép xác định các trạng thái thông tin không bị lệ thuộc vào bất kỳ
công nghệ cụ thể nào đang đƣợc áp dụng.
5
1.2.6 Nhu cầu về đánh giá an toàn thông tin và các tiêu chí đánh giá
chung
Đánh giá an toàn thông tin là một nhu cầu thực tế, giúp ngƣời dùng xác
định xem sản phẩm hoặc hệ thống CNTT có đủ an toàn và tin cậy chƣa khi
đƣa vào sử dụng, các rủi ro an toàn tiềm ẩn khi sử dụng có chấp nhận đƣợc
hay không, hoặc các sản phẩm và hệ thống có áp dụng các biện pháp và kỹ
thuật an toàn phù hợp hay không, mức độ an toàn nhƣ thế nào. Ngoài ra, việc
đánh giá an toàn thông tin còn giúp các doanh nghiệp trong việc phát triển các
sản phẩm và hệ thống CNTT đảm bảo các yêu cầu về an toàn thông tin.
Thực tế cho thấy, một mô hình tổng thể cho đánh giá an toàn thông tin
hết sức cần thiết. Mô hình này không những đáp ứng nhu cầu đảm bảo an toàn
các hệ thống thông tin, mà đồng thời còn là một phƣơng tiện hữu hiệu để khảo
sát qui hoạch, phát triển hệ thống và đánh giá kết quả.
Mô hình tổng thể cần có khả năng vận hành không phụ thuộc vào tình
trạng phát triển của công nghệ. Các phƣơng pháp nêu ra trong mô hình phải là
cơ sở chung cho mọi đối tƣợng và không bị hạn chế bởi những khác biệt về
mô hình tổ chức. Ngay cả khi chúng ta chỉ đề cập đến những khía cạnh ít liên
quan đến kỹ thuật của an toàn cho các hệ thống thông tin, nhƣ là các vấn đề
về chính sách, mô hình tổ chức, và nhân sự liên quan đến an toàn,… mô hình
tổng thể cũng hữu ích cho việc đánh giá an toàn thông tin về những khía cạnh
này.
Để đạt đƣợc sự so sánh hiệu quả giữa các kết quả đánh giá, các đánh
giá cần đƣợc thực hiện theo một khung của mô hình chính thức trong đó các
tiêu chí đánh giá chung (Common Criteria), các thành phần giám sát chất
lƣợng của quá trình đánh giá và các tổ chức có thẩm quyền đánh giá tƣơng
thích với nhau trong cùng một ngữ cảnh đánh giá.
Sử dụng phƣơng pháp đánh giá chung làm tăng thêm tính chính xác
và khách quan của kết quả đánh giá, song chỉ sử dụng phƣơng pháp đánh giá
chung vẫn chƣa đủ. Cần có những tiêu chí đánh giá chung và lƣợc đồ đánh
giá. Nhiều tiêu chí đánh giá đòi hỏi có các kinh nghiệm chuyên gia và kiến
thức cơ bản, nhằm đạt đƣợc sự nhất quán và khách quan trong các kết quả
đánh giá.
Để tăng cƣờng sự nhất quán và khách quan cho các kết quả đánh giá,
cần có một quy trình công nhận/phê chuẩn. Quy trình này xem xét kỹ càng
một cách độc lập các kết quả đánh giá để đƣa ra chứng nhận/ phê chuẩn về
mức độ an toàn cho các sản phẩm/ hệ thống CNTT khi vào sử dụng.
1.3
GIAO DỊCH ĐIỆN TỬ
6
Định nghĩa về giao dịch: một chuỗi các hoạt động trao đổi thông tin và
các công việc có liên quan nhằm thực hiện một mục tiêu xác định, có bắt đầu
và kết thúc, thực hiện giữa hai hay nhiều bên.
Công nghệ thông tin và truyền thông cùng Internet đã giúp cho con
ngƣời một phƣơng thức giao dịch mới trong quan hệ xã hội, đó là giao dịch,
quan hệ với nhau qua phƣơng tiện điện tử, nhất là qua mạng. Giao dịch điện
tử đƣợc định nghĩa là giao dịch đƣợc thực hiện bằng phƣơng tiện điện
tử[1]. Cũng nhƣ quy định trong giao dịch dân sự, giao dịch điện tử có thể là
đơn phƣơng, ví dụ: các doanh nghiệp đƣa lên mạng các bảng chào hàng, cá
nhân tổ chức thiết lập các báo cáo tài chính, báo cáo công tác để lƣu,v.v.. có
thể là có các bên giao dịch nhƣ: Trao đổi thƣ điện tử, giao kết hợp đồng trên
mạng, thảo luận, họp trên mạng... Hình thức thể hiện của giao dịch điện tử là
thông điệp dữ liệu có gắn kèm hoặc không gắn kèm chữ ký điện tử.
Nếu nhƣ trong cuộc sống hiện nay giao dịch đƣợc thể hiện qua lời nói,
văn bản thì giao dịch điện tử đƣợc thể hiện qua thƣ điện tử, văn bản điện tử,
chứng từ điện tử, dữ liệu điện tử... mà nhiều tài liệu quốc tế kiến nghị dùng
một từ chung là Thông điệp dữ liệu. Thực chất Thông điệp dữ liệu là một hình
thức thể hiện độc lập mới trong giao dịch, bên cạnh lời nói, văn bản viết.
1.4
CHÍNH PHỦ ĐIỆN TỬ
Vào những năm 1995-2000 chính phủ điện tử đã đƣợc các nƣớc tiếp
thu và ứng dụng rộng rãi, thúc đẩy phát triển và ngày càng đƣợc các nƣớc coi
nhƣ một giải pháp hữu hiệu để tăng hiệu quả làm việc của các cơ quan chính
phủ, phục vụ ngƣời dân và doanh nghiệp tốt hơn. Cho đến nay chính phủ điện
tử vẫn tiếp tục đƣợc các nƣớc thúc đẩy phát triển mạnh mẽ, ngày càng sâu
rộng hơn, các nƣớc đã coi phát triển chính phủ điện tử là bắt buộc.
Ngày nay, với sự bùng nổ của các phƣơng tiện di động, băng rộng,
công nghệ, … nên nhiều nƣớc đã đẩy mạnh phát triển chính phủ điện tử đa
dạng hơn, liên thông hơn dƣới khái niệm chính phủ di động, chính phủ ở mọi
lúc, mọi nơi và trên mọi phƣơng tiện.
Đã có rất nhiều tổ chức và chính phủ đƣa ra định nghĩa “Chính phủ
điện tử”. Tuy nhiên, hiện không có một định nghĩa thống nhất về chính phủ
điện tử, hay nói cách khác, hiện không có một hình thức chính phủ điện tử
đƣợc áp dụng giống nhau cho các nƣớc. Các tổ chức khác nhau đƣa ra những
định nghĩa về Chính phủ điện tử của riêng mình.
1.4.1 Một số khái niệm Chính phủ điện tử:
7
Khái niệm phổ biến nhất: Chính phủ điện tử là chính phủ ứng dụng công
nghệ thông tin và truyền thông nhằm tăng hiệu quả hoạt động của các cơ quan
chính phủ, phục vụ ngƣời dân và doanh nghiệp tốt hơn.
Hoặc chi tiết hơn:
Chính phủ điện tử là việc các cơ quan chính phủ sử dụng công nghệ
thông tin (nhƣ máy tính, các mạng diện rộng, Internet, và sử dụng công nghệ
di động) có khả năng biến đổi những quan hệ với ngƣời dân, các doanh
nghiệp, và các tổ chức khác của Chính phủ (làm việc và trao đổi qua mạng
không cần đến trực tiếp công sở). Những công nghệ đó có thể phục vụ những
mục đích khác nhau: cung cấp dịch vụ chính phủ đến ngƣời dân tốt hơn, cải
thiện những tƣơng tác giữa chính phủ với doanh nghiệp, tăng quyền cho
ngƣời dân thông qua truy nhập đến thông tin, hoặc quản lý của chính phủ hiệu
quả hơn.
1.4.2 Các chức năng của Chính phủ điện tử
- Thứ nhất, CPĐT đã đƣa chính phủ tới gần dân và đƣa dân tới gần
chính phủ.
- Thứ hai, CPĐT làm minh bạch hóa hoạt động của chính phủ, chống
tham nhũng, quan liêu, độc quyền
- Thứ ba, CPĐT giúp chính phủ hoạt động có hiệu quả trong quản lý
và phục vụ dân (cải cách hành chính và nâng cao chất lƣợng dịch vụ công)
1.4.3 Mục tiêu của Chính phủ điện tử
- Tạo môi trƣờng kinh doanh tốt hơn;
- Khách hàng trực tuyến, không phải xếp hàng;
- Tăng cƣờng sự điều hành có hiệu quả của chính phủ và sự tham gia
rộng rãi của ngƣời dân;
- Nâng cao năng suất và tính hiệu quả của các cơ quan chính phủ;
- Nâng cao chất lƣợng cuộc sống cho các cộng đồng vùng sâu vùng xa.
1.4.4 Các giao dịch điện tử cơ bản trong chính phủ điện tử:
Việc cung cấp thông tin, dịch vụ trực tuyến, các quan hệ tƣơng
tác của chính phủ điện tử đƣợc xác định trong mô hình chính phủ điện tử dựa
trên các quan hệ giữa các cơ quan chính phủ, ngƣời dân, doanh nghiệp, các
cán bộ, công chức, viên chức, bao gồm các quan hệ sau:
- Chính phủ và ngƣời dân (G2C);
- Chính phủ và các doanh nghiệp (G2B);
8
- Giữa các cơ quan chính phủ các cấp với nhau và trong các cơ quan
chính phủ (G2G);
- Giữa các cơ quan chính quyền với các cán bộ, công chức, viên chức
(G2E).
Đôi khi ngƣời ta cũng xác định rõ cả chiều của quan hệ tƣơng
tác, nhƣ trong quan hệ giữa chính phủ và ngƣời dân, thì có quan hệ chính phủ
với ngƣời dân (G2C) và quan hệ giữa ngƣời dân và chính phủ (C2G). Tƣơng
tự nhƣ vậy có quan hệ giữa chính phủ và doanh nghiệp (G2B) và giữa doanh
nghiệp với chính phủ (B2G).
1.4.5 Ƣu nhƣợc điểm của Chính phủ điện tử
Lợi ích của chính phủ điện tử là đáp ứng mọi nhu cầu của công
dân bằng việc nâng cao chất lƣợng hoạt động của bộ máy chính quyền từ
trung ƣơng tới cơ sở nhƣ quản lý nhân sự, quy trình tác nghiệp, v.v... Chính
phủ Điện tử đem lại sự thuận tiện, cung cấp các dịch vụ một cách hiệu quả và
kịp thời cho ngƣời dân, doanh nghiệp, các cơ quan và nhân viên chính phủ.
Đối với ngƣời dân và doanh nghiệp, chính phủ điện tử là sự đơn giản hóa các
thủ tục và tăng tính hiệu quả của quá trình xử lý công việc. Đối với chính phủ,
chính phủ điện tử hỗ trợ quan hệ giữa các cơ quan của chính quyền nhằm đảm
bảo đƣa ra các quyết định một cách chính xác và kịp thời.
Tuy nhiên, việc tin học hóa hành chính cũng có thể đem lại nhiều
bất lợi. Một bất lợi cho các cơ quan có thẩm quyền sẽ là phải tăng chi phí an
ninh. Để bảo vệ sự riêng tƣ và thông tin mật của dữ liệu sẽ phải có các biện
pháp bảo mật (để chống các sự tấn công, xâm nhập, ăn cắp dữ liệu từ bên
ngoài, hay của các hacker), mà sẽ đòi hỏi chi phí bổ sung. Đôi khi chính
quyền phải thuê mƣớn một cơ quan tƣ nhân độc lập, khách quan để giám sát,
bảo đảm sự quản lý thông tin cá nhân không bị nhà nƣớc lạm dụng trái hiến
pháp và bảo vệ ngƣời dân cũng nhƣ cung cấp thông tin cho ngƣời dân. Một
bất lợi nữa là chức năng của hệ thống đƣợc sử dụng phải cập nhật và nâng cấp
liên tục, để thích ứng với hiện tình công nghệ mới. Các hệ thống cũng có thể
không tƣơng thích với nhau hoặc không tƣơng thích với hệ điều hành hoặc
không thể hoạt động độc lập (ngoại tuyến) mà không cần liên kết hay phụ
thuộc với những thiết bị khác.
Đối với ngƣời dân, việc tập hợp và lƣu trữ những thông tin cá
nhân của họ có thể đƣa đến việc bị kiểm soát đời sống riêng tƣ, bị các cơ quan
nhà nƣớc lạm dụng; chƣa kể đến việc thông tin cá nhân có thể bị rò rỉ, ăn cắp
dữ liệu, lƣu truyền trái phép hay dùng cho mục đích thƣơng mại hoặc là họ
không có phƣơng tiện hay cơ sở pháp lý để biết (và để yêu cầu xóa) những
9
thông tin cá nhân nào của mình đang bị lƣu trữ cũng nhƣ giám sát mức độ
chính xác của thông tin
1.5
MẬT MÃ TRONG AN TOÀN THÔNG TIN
Liên lạc thông tin bắt đầu từ việc giao tiếp đơn giản bằng ký tự từ nhiều
thế kỷ trƣớc đã phát triển thành nhiều dạng liên lạc khác nhau, ngày nay
internet là một ví dụ điển hình cho sự phát triển này.
Các phƣơng thức liên lạc ngày nay bao gồm:
- Liên lạc vô tuyến
- Liên lạc thoại
- Liên lạc mạng
- Thông tin di động
Các phƣơng thức và phƣơng tiện của liên lạc đóng vai trò quan trọng
trong cuộc sống, nhƣng trong mấy năm trở lại đây, liên lạc mạng lƣới, đặc
biệt là qua internet, đã nổi lên nhƣ một trong những phƣơng tiện liên lạc mạnh
mẽ nhất với sự ảnh hƣởng rất lớn đến đời sống.
Sự tiến bộ nhanh chóng trong công nghệ truyền thông cũng làm gia
tăng các hiểm họa an toàn an ninh cho cá nhân và tổ chức. Trong vòng vài
năm gần đây, hàng loại các phƣơng pháp và dịch vụ khác nhau đã đƣợc phát
triển để chống lại các hiểm họa trên Internet.
Từ việc bảo vệ thông tin nhạy cảm quốc phòng tới việc bảo đảm thông
tin cá nhân, ngƣời ta tạo ra các vỏ bọc hay mặt nạ để bảo vệ thông tin. Một
trong các phƣơng thức quan trọng góp phần đảm bảo an toàn cho thông tin
trong quá trình truyền là mật mã.
Mật mã giúp việc truyền nhận phân phát thông tin đƣợc an ninh an toàn
và xác thực.
Những vấn đề cơ bản của mật mã
Mật mã là một khoa học bảo vệ dữ liệu, cung cấp cách thức và phƣơng
tiện chuyển đổi dữ liệu sang dạng không dễ dàng đọc đƣợc, do vậy:
- Ngƣời dùng bất hợp pháp không thể truy cập dữ liệu
- Nội dung của cấu trúc dữ liệu bị ẩn
- Tính chất xác thực của dữ liệu có thể đƣợc chứng minh
- Ngăn chặn đƣợc việc sửa đổi dữ liệu trái phép
- Ngƣời khởi tạo thông điệp không thể từ chối đƣợc trách nhiệm của
mình với dữ liệu
10
