Tải bản đầy đủ (.pdf) (85 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Thạc sĩ - Cao học

Nghiên cứu giải pháp bảo mật xác thực cho văn phòng điện tử

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.47 MB, 85 trang )

B ộ• GIÁO DỤC
• VÀ ĐÀO TẠO

TRƯỜNG ĐẠI HỌC s ư PHẠM HÀ NỘI 2








TRẦN DUY DŨNG

NGHIÊN CỨU GIẢI PHÁP BẢO MẬT XÁC THựC
CHO VĂN PHÒNG ĐIỆN TỬ
Chuyên ngành: Khoa học máy tính
Mã số: 60 48 01 01

LUÂN VĂN THAC SĨ MÁY TÍNH




Người hướng dẫn khoa học: TS. Hồ Văn Hương

HÀ NỘI, 2015


LỜI CẢM ƠN
Sau thời gian nghiên cứu, học tập tại trường Đại học Sư Phạm Hà Nội 2,


được sự giúp đỡ quý báu của các thầy, cô giáo và bạn bè đồng nghiệp, tôi đã
hoàn thành luận văn thạc sỹ với đề tài “ Nghiên cứu giải pháp bảo mật xác thực
cho văn phòng điện tử ”. Vì vậy, cho phép tôi được bày tỏ lòi cảm ơn tói các cá
nhân, tập thể sau:
Tôi xin bày tỏ lòng biết ơn sâu sắc đến thầy giáo hướng dẫn: TS. Hồ Văn
Hương người đã tận tâm giúp đỡ, hướng dẫn tôi trong quá trình nghiên cứu, thực
hiện đề tài.
Tôi xin chân thành cảm ơn Phòng Sau đại học, Ban giám hiệu trường ĐHSP
Hà Nội 2 đã tạo mọi điều kiện cho tôi học tập, nghiên cứu và hoàn thành luận
văn.
Tôi xin chân thành cảm ơn đồng nghiệp, gia đình và bạn bè luôn động viên,
khuyến khích tôi trong suốt quá trình học tập và nghiên cứu.

Hà Nội, tháng... năm 2015


LỜI CAM ĐOAN
Tôi xin cam đoan rằng số liệu và kết quả nghiên cứu trong luận văn này là
trung thực và không trùng lặp với các đề tài khác. Tôi cũng xin cam đoan rằng
mọi sự giúp đỡ cho việc thực hiện luận văn này đã được cảm ơn và các thông tin
trích dẫn trong luận văn đã được chỉ rõ nguồn gốc.

Hà Nội, tháng ... năm 2015

Trần Duy Dũng


1

MỤC LỤC

MỤC LỤC.............................................................................................................. 1
BẢNG KÍ HIỆU CÁC TỪ VIẾT TẮT..................................................................3
DANH MỤC CÁC HÌNH......................................................................................5
MỞ ĐẦU............................................................................................................... 6
1. Lý do chọn đề tài............................................................................................ 6
2. Mục đích nghiên cứu.......................................................................................8
3. Nhiệm vụ nghiên cứu......................................................................................8
4. Đối tượng và phạm vi nghiên cứ u..................................................................8
5. Giả thuyết khoa học........................................................................................8
6. Phương pháp nghiên cứ u................................................................................8
CHƯƠNG 1. TỔNG QUAN VỀ AN NINH AN TOÀN THÔNG TIN VẢN
PHÒNG ĐIỆN TỬ.................................................................................................9
1.1. Khái niệm về an toàn thông tin....................................................................9
1.2. Nguy cơ mất an toàn thông tin.....................................................................9
1.2.1. Thực trạng mất an toàn thông tin trên thế giới.................................... 10
1.2.2. Thực trạng mất an toàn thông tin tại Việt Nam................................... 13
1.3. Văn phòng điện tử......................................................................................16
1.3.1. Một số hệ thống văn phòng điện tử hiện nay....................................... 18
1.3.2. Phần mềm Alữesco..............................................................................22
1.4. Thiết kế văn phòng điện tử an toàn............................................................26
1.4.1. Nhu cầu xác thực và bảo mật trong văn phòng điện tò .......................26
1.4.2. Một số yêu cầu xây dựng Văn phòng điện tử an toàn......................... 28
1.4.3. Phân tích yêu cầu và lựa chọn chính sách an toàn...............................29
1.5. Kết luận chương.........................................................................................31
CHƯƠNG 2. Cơ SỞ LÝ THUYẾT MẬT MÃ ỨNG DỤNG TRONG VẢN
PHÒNG ĐIỆN TỬ...................................!......................................................... 32
2.1. Hệ mật mã khóa đối xứng..........................................................................33
2.2. Hệ mật mã khóa công khai.........................................................................35
2.3. Phân phối khóa công khai..........................................................................39



2

2.4. Hàm băm ....................................................................................................40
2.5. Chữ ký số ...................................................................................................44
2.5.1. Khái niệm.............................................................................................44
2.5.2. Phân loại chữ ký số..............................................................................44
2.5.3. Cách tạo chữ k ý ................................................................................... 45
2.5.4. Sơ đồ chữ ký số....................................................................................47
2.5.5. Các ưu điểm của chữ ký số.................................................................. 47
2.5.6. Quá trình thực hiện chữ ký số khóa công khai.................................... 49
2.6. Kết luận chương.........................................................................................50
CHƯƠNG 3. GIẢI PHÁP BẢO MẬT XÁC THựC CHO VĂN PHÒNG ĐIỆN
TỬ VÀ XÂY DựNG ỨNG DỤNG .....................................................................51
3.1. Thực trạng an toàn bảo mật và xác thực văn phòng điện tử.......................51
3.2. Giải pháp bảo mật văn phòng điện tử ........................................................ 52
3.3. Giải pháp xác thực văn phòng điện tử ....................................................... 53
3.4. Xây dựng ứng dụng mã hóa, ký số, xác thực chữ ký tài liệu lưu trữ trên
văn phòng điện tử Alfresco...............................................................................56
3.4.1. Xây dựng giải pháp đăng nhập duy nhất trên Alfresco....................... 56
3.4.2. Triển khai giải pháp đăng nhập duy nhất trên Alfresco...................... 60
3.4.3. Xây dựng ứng dụng mã hóa, ký số, xác thực chữ k ý .......................... 67
3.4.3.1 Phân tích thiết kế hệ thống ứng dụng mã hóa Alfresco...................67
3.4.3.2. Phân tích thiết kế ứng dụng ký số, xác thực chữ ký.....................68
3.4.3.3. ứng dụng mã hóa, ký số và xác thực chữ ký tài liệu lưu trữ trên
Alfresco.......................................................................................................69
KẾT LUẬN......................................................................................................... 81
TÀI LIỆU THAM KHẢO.................................................................................... 82



3

BẢNG KÍ HIỆU CÁC TỪ VIÉT TẮT

Tiêng Anh

Ký hiệu
AES

Advanced Encryption

Tiêng Việt
Tiêu chuân mã hóa tiên tiên

Standard
CNTT
CIFS

Công nghệ thông tin
Common Internet File
System

CMIS

Content Managenment
Interoperability Servic

CSDL
ECM


Hệ thông chia sẻ file phô biên trên
mạng
Dịch vụ tương tác hệ quản trị nội
dung
Cơ sở dữ liệu

Enterprise Content

Hệ quản trị nội dung

Management
FTP

File Transfer Protocol

Giao thức truyên tập tin

GSM

Global System for Mobile

Hệ thông thông tin di động toàn câu

communication
IOS

Intremational Organization

Tô chức chuân hóa quôc tê


for Standardization
PI

Application Programming

Giao diện lập trinh ứng dụng

Interfaces
SHA
SMTP

Secure Hash Algorithm

Thuật giải băm bảo mật

Simple Mail Transfer

Giao thức truyên tải tệp tin đơn giản

Protocol
SSL

Secure socket Layer

TT& TT
TTP

Thông tin và truyên thông
Hyper Text Transfer


Giao thức truyên tải siêu văn bản


4

protocol
Internet Protocol suite

Bộ giao thức liên mạng

UID

User Identification

Mã người dùng

URL

Uniform Resource locator

Liên kêt dân địa chỉ web

TCP-IP

VPĐT
WCM

Văn phòng điện tử
Web content Mananement


WebDAV Web-based Distributed
Authoring And versioning

Hệ thông quản trị nội dung web
Hệ thông quản lý chứng thực và
phiên bản dựa trên môi trường web


5

DANH MỤC CÁC HÌNH

Hình 1.1: Sơ đồ kiến trúc bậc cao của alfresco.................................................... 23
Hình 2.1: Sơ đồ biểu diễn thuật toán mã hoá....................................................... 37
Hình 2.2 Minh họa hàm băm ...............................................................................41
Hình 2.3: đường đi đúng của thông tin ................................................................42
Hình 2.4: Thông tin bị lấy trộm và bị thay đổitrên đường truyền....................... 42
Hình 2.5: Quy trình tạo chữ ký số........................................................................46
Hình 2.6: Quy trình kiểm tra chữ ký s ố ...............................................................47
Hình 2.7: Sơ đồ mô tả quá trình ký và gửi các tệp văn bản....................................49
Hình 2.8: Sơ đồ mô tả quá trình nhận các tệp văn bản........................................50
Hình 3.1: Lược đồ ký số dữ liệu..........................................................................54
Hình 3.2: Lược đồ xác thực dữ liệu..................................................................... 55
Hình 3.3: Mô hình đăng xác thực người dùng..................................................... 59
Hình 3.4: X.500 thông qua mô hình OSI - LDAP thông qua ТСРЯР................ 61
Hình 3.5: mối quan hệ giữa LDAP client, LDAP server và nơi chứa giữ liệu.... 62
Hình 3.6: Mô hình kết nối giữa clienưserver....................................................... 63
Hình 3.7: Thao tác tìm kiếm cơ bản.....................................................................64
Hình 3.8: Những thông điệp client gửi cho server............................................... 64
Hình 3.9: Nhiều kết quả tìm kiếm được trả về..................................................... 65

Hình 3.10: Sơ đồ mã hóa......................................................................................70
Hình 3.11. Sơ đồ giải mã......................................................................................71


6

MỞ ĐÀU
1. Lý do chọn đề tài
Đối với bất kỳ một cơ quan, tổ chức hay doanh nghiệp nào thì hệ thống
thông tin chiếm vai trò rất quan trọng. Việc quản lý, điều hành và tác nghiệp theo
phương thức cũ gây khó khăn cho việc trao đổi thông tin giữa các nhân viên bởi
một hệ thống lớn dữ liệu cấu trúc và phi cấu trúc được phát triển theo bề dày lịch
sử của các cơ quan, tổ chức, doanh nghiệp. Hệ thống tài liệu này rất phức tạp,
khó sử dụng và nguy cơ mất an ninh an toàn thông tin là rất cao. Hơn nữa Các cơ
quan, tổ chức, doanh nghiệp là một khối, là một hệ thống cần có sự quản lý chặn
chẽ điều hành tác nghiệp và luôn có sự trao đổi thông tin thường xuyên giữa các
nhân viên. Từ những nhu cầu thực tế trên việc tạo ra môi trường làm việc mói,
cách thức quản lý mới để việc sử dụng công cụ máy tính trong công việc đạt hiệu
quả cao nhất là cấp thiết.
Trước nhu cầu thực tế và chủ chương của Đảng và Nhà nước là đưa công
nghệ thông tin (CNTT) vào cuộc sống, giải pháp Văn phòng điện tử (VPĐT) một văn phòng không giấy tờ, giúp lãnh đạo có thể trao đổi vói nhân viên, phòng
ban trong cơ quan nhanh chóng, kịp thời. VPĐT ra đời là một giải pháp hữu
hiệu.
Nhiều phần mềm VPĐT đã ra đòi trên nhu cầu thực tế đó vói nhiều tính
năng quản lý tài liệu hấp dẫn, giao diện thân thiện, dễ sử dụng. Tuy nhiên, vấn đề
bảo mật và xác thực trên các phần mềm VPĐT hiện nay vẫn còn nhiều lỗ hổng,
thiếu xót và chưa được quan tâm đúng mức.
Xuất phát từ những nhu cầu trên, chúng tôi quyết định lựa chọn đề tài:

“Nghiên


cứu giải pháp bảo mật, xác thực cho ứng dụng Văn phòng điện tử”. Nhiệm vụ
chính của đề tài là nghiên cứu, đề xuất ra các giải pháp bảo mật cho YPĐT, cụ


7

thể là áp dụng cho phần mềm VPĐT Alfresco dựa trên kiến trúc của công nghệ
mở và vận dụng cơ sở lý thuyết mật mã, ứng dụng trong bảo mật xác thực file dữ
liệu.
Nội dung luận văn được trình bày trong ba chương

Chương 1. Tổng quan về an ninh an toàn văn phòng điện tử. Trong chương
này chúng tôi sẽ trình bày về Khái niệm về an toàn thông tin, nguy cơ mất an
toàn thông tin, đánh giá tổng quan về một số phần mềm VPĐT và đặc biệt là
phần mềm VPĐT mã nguồn mở Alfresco. Ngoài ra, chúng tôi còn đề cập đến
vấn đề về cách thiết kế văn phòng điện tử an toàn, phân tích lựa chọn các chính
sách an toàn, bảo mật trên văn phòng điện tử.
Chương 2. Cơ sở lý thuyết mật mã ứng dụng an toàn bảo mật trong văn
phòng điện tử. Trong chương này chúng tôi sẽ trình bày khái quát về cơ sở lý
thuyết mật mã ứng dụng an toàn bảo mật trong VPĐT cụ thể là tổng quan về hệ
mật mã, vai trò của hệ mật mã trong an toàn bảo mật VPĐT, trình bày về thuật
toán AES, thuật toán RSA, vấn đề phân phối khóa công khai, tổng quan về hàm
băm, chữ ký số.
Chương 3. Giải pháp bảo mật, xác thực văn phòng điện tử và xây dựng ứng
dụng. Trong chương này chúng tôi sẽ trình bày thực trạng an toàn bảo mật
VPĐT hiện nay. Từ thực trạng mất an ninh, an toàn trên VPĐT. Chúng tôi sẽ lựa
chọn Alfresco là nền tảng để đề xuất giải pháp bảo mật và xác thực văn phòng
điện tử. Giải pháp bảo mật và xác thực văn phòng điện tử Alfresco bao gồm
những giải pháp sau:

Giải pháp 1: Phân tích, xây dụng giải pháp đăng nhập duy nhất trên
Alfresco và triển khai hệ thống đăng nhập duy nhất với giải pháp được lựa chọn.
Giải pháp 2: Phân tích xây dựng ứng dụng mã hóa, giải mã, chữ ký số và


8

xác thực chữ ký tài liệu lưu trữ trên kho dữ liệu Alfresco.
2. Mục đích nghiên cứu
Nghiên cứu tích hợp chữ ký số cho ứng dụng VPĐT trên nền tảng Alfresco
nhằm đảm bảo an toàn thông tin
3. Nhiệm yụ nghiên cứu
- Nghiên cứu về mã nguồn mở.
- Nghiên cứu về phần mềm Alfresco
- Nghiên cứu về an toàn thông tin
- Nghiên cứu và sử dụng hàm băm, chữ ký số, hệ mật khóa đối xứng, công
khai, hạ tầng khóa công khai...
4. Đổi tượng và phạm vỉ nghiên cứu
- Các kiến thức cơ bản về mã ngồn mở.
- Cách quản lý tài liệu truyền thống thông thường và quản lý bằng Alfresco.
- Hàm băm, chữ ký số
- Đăng nhập duy nhất
5. Giả thuyết khoa học
Nếu tích hợp chữ ký số cho ứng dụng VPĐT trên nền tảng Alfresco sẽ đảm
bảo được an toàn thông tin cho các tài liệu.
6. Phương pháp nghiên cứu
- Xây dựng đề cương chi tiết.
- Thu thập tài liệu liên quan đến đề tài.
- Tìm hiểu các tài liệu, các bài báo của các tác giả trong và ngoài nước.
- Kết hợp các nghiên cứu đã có trước đây của tác giả trong nước cùng vói sự chỉ

bảo, góp ý của thầy hướng dẫn để hoàn thành nội dung nghiên cứu.


9

NỘI DUNG
CHƯƠNG 1. TỔNG QUAN VỀ AN NINH AN TOÀN THÔNG TIN
VĂN PHÒNG ĐIỆN TỬ
1.1. Khái niệm về an toàn thông tin
An toàn thông tin mạng được hiểu là sự bảo vệ hệ thống thông tin và thông
tin trên mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá
hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của
thông tin.
Khi nhu cầu trao đổi thông tin dữ liệu ngày càng lớn và đa dạng, các tiến bộ
về điện tử - viễn thông và CNTT không ngừng được phát triển ứng dụng để nâng
cao chất lượng và lưu lượng truyền tin thì các quan niệm ý tưởng và biện pháp
bảo vệ thông tin dữ liệu cũng được đổi mới. Ngày 19/11/2015 Quốc hội đã thông
qua luật an toàn thông tin mạng. Do đó bảo vệ an toàn thông tin dữ liệu là một
chủ đề rộng, có liên quan đến nhiều lĩnh vực và trong thực tế có thể có rất nhiều
phương pháp được thực hiện để bảo vệ an toàn thông tin dữ liệu. Các phương
pháp bảo vệ an toàn thông tin dữ liệu có thể được quy tụ vào ba nhóm sau:
- Bảo vệ an toàn thông tin bằng các biện pháp hành chính.
- Bảo vệ an toàn thông tin bằng các biện pháp kỹ thuật (phần cứng).
- Bảo vệ an toàn thông tin bằng các biện pháp thuật toán (phần mềm).
Ba nhóm trên có thể được ứng dụng riêng rẽ hoặc phối kết hợp để đảm bảo
an toàn thông tin được nâng cao.
1.2. Nguy C tf mất an toàn thông tín
An ninh, an toàn, bảo mật thông tin là nhu cầu tất yếu của mỗi Quốc gia,
mỗi tổ chức và cả mỗi cá nhân. Trong những năm gần đây, CNTT&TT đã tạo ra
những bước đột phá, mang lại hiệu quả rõ rệt, tác động sâu sắc đến mọi mặt của



10

đời sống xã hội, an ninh - quốc phòng, kinh tế - văn hóa, khoa học kỹ thuật, ứng
dụng CNTT&TT hiện đại là nhu cầu, là xu thế tất yếu trên con đường phát triển
của mọi quốc gia. Ở Việt Nam, CNTT&TT thực sự đóng vai trò quan trọng đối
với sự nghiệp công nghiệp hóa, hiện đại hóa đất nước.
Bên cạnh những ưu thế do CNTT&TT mang lại, thì mặt trái là sự bộc lộ
những hiểm họa và nguy cơ mất an toàn, an ninh thông tin trên môi trường
CNTT&TT. Với sự hình thành thế giói phẳng, trên không gian mạng mở, không
còn giói hạn về địa lý, thòi gian, chế độ chính trị - xã hội,văn hóa. Và cùng với
lượng thông tin khổng lồ trên mạng máy tính toàn cầu, là cơ hội hết sức thuận lọi
cho sự hoành hành của virus, SPAM, mã độc, tin tặc và sự phá hoại, can thiệp,
lấy cắp thông tin... của các thế lực thù địch và bọn tội phạm quốc tế.
An toàn, an ninh thông tin và tác chiến không gian mạng là một chủ đề nóng
bỏng hiện nay, có quy mô toàn cầu, việc mất an toàn thông tin số diễn biến phức
tạp, đe dọa nghiêm trọng đến việc ứng dụng CNTT phục vụ phát triển kinh tế- xã
hội và an ninh - quốc phòng. Hiện nay, hệ thống CNTT của một số cơ quan, đơn
vị còn nhiều điểm yếu về an toàn thông tin, chưa áp dụng được các giải pháp kỹ
thuật về bảo mật bảo đảm an toàn thông tin phù hợp. Các giải pháp tổ chức, kỹ
thuật về công tác bảo đảm an toàn, bảo mật thông tin trên không gian mạng máy
tính chưa được quan tâm đúng mức; nhận thức của ngưòi dùng về nguy cơ tiềm
ẩn thất thoát thông tin ra ngoài còn hạn chế, chưa kiểm soát hết khả năng mất an
toàn thông tin số do các phần mềm, thiết bị phần cứng ngoại nhập.
1.2.1.

Thực trạng mất an toàn thông tín trên thế giói

Theo PCWorld [14], năm 2014 là một năm tồi tệ đáng để quên trong lĩnh

vực an ninh thông tin. Hàng loạt vụ hack gây chấn động, những lỗ hổng bảo mật


11

nghiêm trọng được phát hiện và một lượng dữ liệu thông tin lớn chưa từng thấy
bị đánh cắp gây kinh hoàng trên toàn thế giới.
- Từ tháng 4/2014 cả nước Mỹ đã giật mình với thông tin 56 triệu số thẻ tín
dụng đã bị lấy cắp từ hệ thống của Home Depot, tập đoàn hàng đầu nước Mỹ về
sửa chữa nhà ở và vật liệu xây dựng. Không chỉ vậy, tin tặc còn đánh cắp 53
triệu địa chỉ email từ hệ thống máy chủ của hãng.
- Sự kiện Heartbleed: lỗ hổng bảo mật này được phát hiện trong tháng 4.
Heartbleed cho phép kẻ tấn công đột nhập vào các máy chủ có tính năng “the
heartbeat extension” trong thư viện OpenSSL được kích hoạt, lấy đi những dữ
liệu nhạy cảm như thông tin thẻ tín dụng, tài khoản ngân hàng và các giao dịch
trực tuyến khác của người dùng được bảo mật bằng mã hóa SSL
- Ngày 21/5/2014 trong thông báo của eBay cho biết, Hacker tấn công 145
triệu người dùng của eBay, cơ sở dữ liệu chứa mật khẩu được mã hóa đã bị xâm
nhập. Hãng đấu giá trực tuyến này đã kêu gọi 145 triệu người dùng bị ảnh hưởng
hãy thay đổi mật khẩu của họ.
- Sự kiện Sony Pictures: Tin tặc đã khiến cho các nhân viên của Sony
Pictures phải chuyển sang sử dụng bút và giấy. Hacker đã lấy được hơn 100 thiết
bị dữ liệu khác nhau, từ mật khẩu của nhân viên, thông tin chi tiết thẻ tín dụng
tới lịch sử y tế và các chi tiết về tiền lương, điều hành. Không chỉ vậy, các tin tặc
đã tung ra 5 bộ phim mới nhất của Sony Pictures và 4 trong số những bộ phim đó
chưa được công chiếu trên màn ảnh rộng.
- Sự kiện Shellshock: Chỉ sau vài tháng của lỗ hổng bảo mật Heartbleed, cả
thế giới lại hoảng lên với một lỗ hổng bảo mật nghiêm trọng khác mang tên
Shellshock. Lỗ hổng trong Bash shell này có mặt trên các máy chạy Linux và OS
X cũng như các máy chủ web và thiết bị mạng dùng trong gia đình. Shellshock



12

nguy hiểm ở chỗ cho phép hacker chạy từ xa các lệnh shell quan trọng trên một
máy dính lỗ hổng. Nhiều chuyên gia bảo mật đánh giá, Shellshock đáng sợ hơn
cả Heartbleed vì nó cho phép kẻ tấn công tàn phá một hệ thống máy tính mục
tiêu và ảnh hưởng đến nhiều dạng thiết bị hơn.
-

Tháng 11/2014 phát hiện Wirelurker tấn công Apple: Wirelurker nguy

hiểm với khả năng lây nhiễm sang cả các thiết bị

ios

chưa bị jailbreak.

Wirelurker thu thập thông tin về các cuộc gọi, danh bạ và các dữ liệu nhạy cảm
khác từ các thiết bị ios.
Theo tạp chí An toàn thông tin, trong tháng 8/2015, tình hình an toàn thông
tin mạng trên thế giói diễn biến phức tạp, tin tặc liên tục tấn công vào các trang
web và hệ thống máy tính đánh cắp nhiều thông tin quan trọng [8]. Cụ thể: ngày
3/8/2015, bộ công cụ mã độc RIG Exploit Kit 3.0 đã lây nhiễm rất nhanh với tốc
độ trung bình 27 nghìn máy tính bị lây nhiễm/ngày, ảnh hưởng tới 1,3 triệu máy
tính trên toàn cầu. Trong đó, có khoảng 450 nghìn máy tính bị lây nhiễm tại
Brazil, hơn 45 nghìn tại Mỹ, 10 nghìn tại Anh, 4 nghìn tại Canada và hơn 300
nghìn máy bị lây nhiễm tại Việt Nam. Tỷ lệ lây nhiễm này liên quan đến lỗ hổng
zero-day của phần mềm Adobe Flash Player từ vụ rò rỉ dữ liệu của Hacking
Team.

Ngày 5/8/2015, các chuyên gia an toàn thông tin của công ty bảo mật RSA
Security đã phát hiện nhóm tin tặc APT lợi dụng các dịch vụ VPN của Trung
Quốc để thực hiện xâm nhập máy chủ Windows trên khắp thế giới thông qua các
điểm nút VPN trong mạng. Ngày 6/8/2015, tin tặc được cho là có nguồn gốc ở
Nga đã xâm nhập vào hệ thống email Bộ Tổng Tham mưu, Bộ Quốc phòng Mỹ,
khiến hệ thống này dừng hoạt động gần 2 tuần. Cuộc tấn công này ảnh hưởng
đến hoạt động của 4 nghìn quân nhân và các cá nhân liên quan. Ngày 8/8/2015,


13

một nhổm khủng bố từ Trung Đông đã xâm nhập vào máy tính của các quan
chức chính phủ Ấn Độ; Ngày 11/8/2015, một nhóm tin tặc đe dọa sẽ thực hiện
tấn công mạng quy mô lớn chưa từng có trong lịch sử Malaysia nhắm vào các cơ
quan chính phủ nếu Thủ tướng Najib Razak không từ chức. Ngày 17/8/2015, tập
đoàn viễn thông AT&T hỗ trợ cho phép các nhân viên tình báo cơ quan an ninh
quốc gia Hoa Kỳ truy cập hàng tỷ email khách hàng của hãng. Ngày 21/8/2015,
Kaspersky Lab đã phát hiện nhóm tin tặc APT Blue Termite (được xác định có
nguồn gốc từ Trung Quốc), thường xuyên tấn công các tổ chức Nhật Bản, xâm
hại dữ liệu của 1,25 triệu người và làm lây nhiễm máy tính sau khi khai thác lỗ
hổng Flash Player do Hacking Team làm rò rỉ.
1.2.2. Thưc
trang

I
o mất an toàn thông
o tín tai
• Vỉêt
• Nam
Trong năm 2014, Việt Nam đã tổn thất 8500 tỷ đồng do các sự cố từ virus

máy tính. Đây là kết quả được đưa ra từ chương trình khảo sát do Bkav thực hiện
vào tháng 12/2014 [10]. Nguyên nhân là do:
- Tin nhắn rác: không giảm mà còn bùng nổ. 90% người dùng thường
xuyên bị tin nhắn rác làm phiền, trong đó 43% là nạn nhân của tin rác hằng ngày,
gần gấp đôi con số của năm 2013.
- WiFi miễn phí tại Việt Nam không an toàn: Trong năm 2014, nghiên cứu
của Bkav chỉ ra, WiFi miễn phí tại tất cả các thành phố của Việt Nam tiềm ẩn
nhiều nguy cơ mất an ninh an toàn thông tin. Trong khi đó theo kết quả khảo sát,
24% người dùng cho biết họ thường xuyên sử dụng mạng WiFi miễn phí để thực
hiện các giao dịch ngân hàng và thanh toán trực tuyến. Điều này rất nguy hiểm
bởi người dùng có thể bị đánh cắp các thông tin nhạy cảm như tài khoản, mật
khẩu, thông tin thẻ tín dụng...
- 85% máy tính từng nhiễm virus lây lan qua USB.


14

-

Cuối năm 2014, thông tin hơn 73000 camera IP, trong đó có gần 1000

camera tại Việt Nam có thể bị theo dõi được công bố rộng rãi. Nguyên nhân là
do người dùng chưa có thói quen quan tâm đến an ninh của những thiết bị này,
không thay đổi mật khẩu mặc định của hệ thống trước khi kết nối Internet.
Theo thống kê của SecurityDaily từ các diễn đàn an ninh mạng, diễn đàn
hacker... trong nửa đầu tháng 9/2014, đã có tổng cộng 1039 website của Yiệt
Nam bị tấn công, đây là con số cao nhất trong năm 2014. Còn trong 9 tháng đầu
năm nay, đã có 4767 website của Việt Nam bị tấn công, tăng gấp đôi so với các
năm tò 2011-2013. Trung bình mỗi ngày có hơn 18 website của Yiệt Nam bị
chiếm quyền điều khiển. Năm 2014 thực sự là một năm rất nóng về tình hình tấn

công ứng dụng web.
Trong tháng 8/2015, tình hình an toàn thông tin mạng tại Việt Nam đã diễn
biến theo nhiều chiều hướng. Nhiều lỗ hổng bảo mật được công bố, trong đó có
các lỗ hổng liên quan đến trình duyệt: Internet Explorer, Mozilla Firefox,... lỗ
hổng từ các dịch vụ phổ biến như Google Drive, Dropbox,... Các lỗ hổng này đã
được các cơ quan, tổ chức về an toàn thông tin tại Việt Nam khuyến cáo và
hướng dẫn khắc phục.
Đầu tháng 8/2015, bộ công cụ mã độc RIG Exploit Kit 3.0 lây nhiễm hơn
300 nghìn máy tính tại Yiệt Nam. Điều này cho thấy tỉ lệ máy tính ở Yiệt Nam bị
nhiễm các loại mã độc rất cao, dẫn đến nguy cơ gây mất an toàn thông tin.
Ngày 4/8/2015, trang web thương mại điện tử nganluong.vn bị tin tặc tấn
công làm thay đổi giao diện. Thiệt hại được xác nhận là không lớn, tài khoản của
khách hàng không bị tin tặc đánh cắp, nhưng nó đã khiến người dùng cảm thấy
bất an và lo lắng về độ bảo mật khi sử dụng trang web này.


15

Ngoài ra, mã độc có tên Vietnam Rose đã được phát tán nhanh và lan rộng
trên mạng xã hội Facebook. Theo đó, người dùng bị ảnh hưởng bỏi Vietnam
Rose sau khi nhấp chuột vào các liên kết được chia sẻ như hình ảnh khiêu dâm
sẽ tự động tải mã độc về máy tính, sau đó chiếm quyền điều khiển tài khoản
Facebook và tiếp tục đăng các liên kết khiêu dâm với tần suất khoảng 5 - 1 0
lần/ngày.
Theo thống kê từ kết quả giám sát an toàn thông tin mạng của Trung tâm
CNTT&GSANM thì trong tháng 7/2015, các cuộc tấn công liên quan đến mã
độc chiếm 28%. Tuy nhiên chỉ trong tháng 8/2015, con số này đã tăng lên 52%,
tỉ lệ này cho thấy sự gia tăng của các nguy cơ tấn công bằng mã độc.
Theo thống kê của Cục An toàn thông tin (Bộ TT&TT) công bố, trong tháng
8/2015 vừa qua có 907 máy chủ và 2.088 website tại Việt Nam đã bị hacker tấn

công [12]. Tỷ lệ trang web có tên miền .com cao hơn cả, chiếm tới 57%; tiếp đó
là các website tên miền .vn với 25%; website tên miền .net là 10%; website tên
miền .org chiếm 3% và 6% là các website tên miền khác.
Vói những thống kê trên cho thấy, thực tế ở Việt Nam hiện nay, hầu hết
người dùng máy tính, sử dụng Internet hay phương tiện thông tin hiện đại còn
chủ quan, bất cẩn và thiếu ý thức trong việc bảo đảm an toàn thông tin. Các hình
thức, giải pháp bảo mật thông tin chưa được quán triệt và thực thi một cách sâu
sắc, còn thiếu sâu sát về yêu cầu bảo mật thông tin trên các hệ thống CNTT hiện
đại hoặc còn “khoán trắng” cho các cơ quan, tổ chức chuyên trách, thiếu sự kiểm
tra, đôn đốc thể hiện qua một số sơ hở: Sử dụng máy tính có kết nối Internet để
soạn thảo và lưu trữ tài liệu có nội dung bí mật Nhà nước, bí mật thương mại
(nhất là các văn bản đang trong thời kỳ dự thảo); Sử dụng máy tính thiếu giải
pháp chống bức xạ điện từ qua đường điện lưới hoặc qua màn hình; Sử dụng hệ


16

thống chuyên dụng như phần mềm tác nghiệp, hội nghị truyền hình không có
thiết bị bảo mật; Sử dụng tùy tiện thiết bị nhớ qua cổng USB tạo cơ hội cho việc
phát tán, lây nhiễm phần mềm gián điệp, phần mềm đánh cắp thông tin; Sử dụng
tùy tiện hộp thư điện tử trên máy chủ của nước ngoài.
1.3. Văn phòng điện tử
Văn phòng điện tử là một giải pháp phần mềm dùng chung để trao đổi thông
tin, điều hành tác nghiệp và trao đổi công văn, văn bản, hồ sơ công việc trên
mạng máy tính.
Phát triển, ứng dụng CNTT phục vụ công nghiệp hóa, hiện đại hóa là chủ
chương chính sách ưu tiên của Đảng và Nhà nước ta. Nhằm tăng cường ứng
dụng CNTT, Nghị định số 64/2007/NĐ-CP (ngày 10 tháng 4 năm 2007) và
Quyết định số 51/2007/QĐ-TTg (ngày 12 tháng 4 năm 2007), chỉ đạo tăng
cường ứng dụng CNTT giải pháp phần mềm vào quy trình tác nghiệp trong các

hoạt động của cơ quan Nhà nước. Theo đó, người đứng đầu cơ quan Nhà nước ở
các cấp có trách nhiệm chỉ đạo việc ứng dụng CNTT vào xử lý công việc, tăng
cường sử dụng văn bản điện tử, từng bước thay thế văn bản giấy trong quản lý,
điều hành và trao đổi thông tin, đẩy mạnh việc ứng dụng CNTT, ứng dụng giải
pháp phần mềm vào các quy trình tác nghiệp của các cơ quan, tổ chức và doanh
nghiệp.
Trong bối cảnh xã hội CNTT đang dần phát triển, việc quản lý, điều hành
tác nghiệp theo phương thức cũ đã ngày càng lộ nhiều tính bất cập, tính hiệu quả
không cao. Mặc dù, việc cơ quan tổ chức doanh nghiệp được trang bị máy tính
cho mỗi nhân viên phục vụ công việc không còn xa lạ, nhưng hầu hết tại các cơ
quan, doanh nghiệp việc sử dụng máy tính còn rất hạn chế, chỉ phục vụ một cá
nhân. Cơ quan tổ chức là một khối, một hệ thống cần có sự quản lý chặt chẽ điều


17

hành tác nghiệp và luôn có sự trao đổi thông tin thường xuyên giữa các nhân
viên, do đó đòi hỏi cần tạo ra một môi trường làm việc mới, cách thức quản lý
doanh nghiệp mới để việc sử dụng công cụ máy tính được hiệu quả.
Trước nhu cầu thực tế và chủ chương chính sách của Đảng và Nhà nước,
giải pháp phần mềm VPĐT - một văn phòng không giấy tờ, giúp lãnh đạo có thể
trao đổi với nhân viên, phòng ban trong cơ quan nhanh chóng, kịp thời đã ra đòi
như là một giải pháp hữu hiệu.
Phần mềm VPĐT ra đòi phải thỏa mãn các mục tiêu chính:
• Tạo môi trường thống nhất và tin học hóa các quy trình hoạt động tác
nghiệp, các hình thức tiếp nhận, lưu trữ, trao đổi, tìm kiếm, xử lý thông tin.
• Tạo môi trường trao đổi ý kiến, thảo luận, chia sẻ thông tin rộng rãi, nhanh
chóng, đầy đủ, kịp thòi góp phần tích cực trong việc phát triển văn hóa doanh
nghiệp.
• Nâng cao trình độ ứng dụng và sử dụng các công cụ CNTT, tạo tác phong

làm việc hiện đại, hiệu quả trong môi trường mạng, tạo sự thay đổi tích cực trong
các quy trình xử lý thông tin, xử lý công việc của lãnh đạo, cấn bộ chuyên viên
trong cơ quan, góp phần thực hiện cải cách hành chính.
Trước mục tiêu đề ra, VPĐT được xây dựng với các chức năng chính:
• Quản lý công việc: thông qua hình thức trao đổi như giao việc, nhắc việc
và theo dõi tiến trình công việc cho toàn bộ nhân viên một cách đồng thòi và
việc nhân viên báo cáo công việc thường xuyên.
• Quản lý văn bản và hồ sơ: quản lý việc lưu trữ và xử lý các văn bản đến,
đi, văn bản dự thảo và hồ sơ văn bản.
• Quản lý lịch làm việc: đặt lịch làm việc cho các cá nhân và nhóm, thông
báo tới các thành viên.


18

• Quản lý nhân sự: quản lý hồ sơ cán bộ, quá trình làm việc, đào tạo, lịch
nghỉ phép...
• Tin điều hành tác nghiệp: nơi trao đổi thông tin, điều hành tác nghiệp.
• Phân quyền người dùng: phân quyền các bộ phận chức năng và nhân viên
theo chức năng hợp lý.
Ngoài ra còn nhiều chức năng khác như: quản lý nhân sự, quản lý tài
nguyên, tài sản công ty, họp trực tuyến, tin nhắn nội bộ ...
Với các chức năng, và hiệu quả VPĐT mang lại đã không chỉ phục vụ công
tác quản lý trong một tổ chức, doanh nghiệp mà còn hỗ trợ, đẩy mạnh việc thực
hiện các công việc một cách nhanh chóng, hiệu quả: xây dựng hệ thống các kho
công văn điện tử tập trung, khắc phục tình trạng tản mạn, thất lạc, sai lệch thông
tin. Cung cấp thông tin về văn bản và hồ sơ công việc phục vụ yêu cầu của lãnh
đạo, cán bộ quản lý và cán bộ chuyên môn nhanh chóng, chính xác, đầy đủ và
kịp thòi; tạo môi trường trao đổi ý kiến, thảo luận, chia sẻ thông tin rộng rãi,
nhanh chóng; xây dựng hệ thống quản lý, trình duyệt, xử lý và phát hành văn

bản, hỗ trợ khả năng thiết kế luồng công việc, phân quyền cho từng cá nhân, đơn
vị.
1.3.1. Một số hệ thống văn phòng điện tử hiện nay
Phần m ần E-OfJỉce
E-Office là phần mềm do trung tâm an ninh mạng BKIS Đại học Bách Khoa


Hà Nội nghiên cứu, thiết kế và xây dựng nhằm giúp cho các hệ thống mạng máy
tính ở Việt Nam có thể được sử dụng hiệu quả hơn [13].
E-Office: là hệ thống phần mềm trao đổi thông tin, điều hành tác nghiệp và
quản lý trình duyệt công văn, văn bản, hồ sơ công việc trên mạng máy tính. Phần
mềm được thiết kế thân thiện đối với người sử dụng, giao diện hoàn toàn tiếng


19

Việt. Tiêu chí của E-Office là đưa đến cho người sử dụng phần lớn những tiện
ích của mạng máy tính, của Internet với một cách tiếp cận tự nhiên nhất, giúp họ
dần có một tác phong làm việc hiện đại, hiệu quả, dễ dàng tiếp cận với các ứng
dụng công nghệ thông tin hơn.
Tính năng của E-Office rất đa dạng, đáp ứng tối đa nhu cầu của người sử
dụng máy tính văn phòng như gửi nhận email, gửi thông báo trong cơ quan tói
từng cá nhân, hay tới nhóm, phòng ban. Người dùng có thể hội thoại, nhắn tin,
gửi file, trưng cầu ý kiến, gửi tin nhắn ra điện thoại di động, nhắc việc (tự nhắc
mình, nhắc người khác qua mạng), lưu sổ địa chỉ, ... Đặc biệt, cũng cùng hệ
thống này, người dùng có thể xử lý, tạo, duyệt các công văn, giấy tờ theo những
chu trình (luồng công việc) một cách rất mềm dẻo và tiện lọi. Các chức năng của
E-Ofice là:
• Quản lý lịch làm việc, nhắc việc, giao việc qua mạng.
• Quản lý các thông báo chung.

• Duyệt bài viết cho các trang web.
• Quản lý gửi nhận email, chia sẻ file.
• Video conference, chatting.
• Trưng cầu ý kiến.
• Quản lý tin nhắn di động.
• Hệ thống notify.
• Hệ thống phân quyền.
• Quản lý, trình duyệt công văn đến.
• Quản lý, trình duyệt, phát hành công văn đi.
• Quản lý hồ sơ công việc.
• Công cụ định nghĩa luồng công việc.


20

• Khai thác thông tin.
• Quản tri hệ thống.
Đánh giá phần mềm E-Office
Cách phân phối công văn và cách giao việc truyền thống bằng một giải
pháp hiện đại: Từ máy tính của mình, văn thư cập nhật và phân phối công văn
đến các bộ phận. Lãnh đạo các bộ phận xem xét công văn và phân chia công việc
đến các nhân viên. Tìm kiếm tổng họp công văn một cách nhanh chóng theo loại,
nhóm, dự án, cơ quan ban hành...
Nhưng vấn đề bảo mật trong quá trình chuyển tải công việc ở đây chưa
được đề cập, chưa có những giải pháp bảo mật và xác thực cho các luồng công
việc, thông tin trong quá trình trao đổi.
Phần mềm Net-Office
Net-Office: Là phần mềm được xây dụng bởi Đại học Khoa học Tự nhiên



[11]. Đây chính là sản phẩm được gửi đi dự thi cuộc thi Nhân tài Đất Việt 2007
và đã lọt vào vòng chung khảo. Hơn hẳn về "chất" so vói các phiên bản trước
đây, Net-Office tích họp khả năng xác thực tài liệu bằng chữ ký điện tử và khả
năng định nghĩa các luồng công việc trực quan bằng lưu đồ phục vụ cho triển
khai ISO. Vói các công cụ này, việc thiết lập quy trình kiểm soát giải quyết các
thủ tục hành chính trở nên đơn giản mà người sử dụng có thể tự thực hiện. Được
chạy trên nền tảng TCP/IP, ngoài ra cũng có thể chạy trên Internet hay Intranet,
thiết bị sử dụng là máy chủ làm Database server, Web server, Mail Server và
người dùng cũng có thể tích hợp với các thiết bị di động Smartphone.
Chức năng cơ bản của phần mềm là có thể quản lý toàn bộ các loại văn bản
như công văn đi, công văn đến, văn bản nội bộ, các quyết định, các tài liệu, ý
kiến xử lý,... Các văn bản đều có thể cập nhật, tìm kiếm, gửi tài liệu theo các


21

kênh khác nhau, thông báo tự động, thiết lập các quyền hạn sử dụng văn bản, lập
các báo cáo thống kê, chứng thực văn bản và chữ ký điện tử. Phần mềm có thể
quản lý các thủ tục hành chính công, cho phép ghi nhận nhanh chóng các hồ sơ
thủ tục hành chính vói thông tin về công dân, hồ sơ, cơ chế liên lạc sau đó có thể
áp quy trình để có thể kiểm soát tự động. Cung cấp công cụ định nghĩa một cách
động các quy trình giải quyết các công việc dưới dạng sơ đồ trực quan...
Hệ thống được chạy hoàn toàn trên web nên rất dễ dùng, có thể sử dụng trên
mạng rộng cho phép làm việc trên một phạm vi địa lý không hạn chế. Tài liệu
được dùng trong phần mềm không chỉ ở dạng văn bản mà tất cả các tài liệu được
Windows hỗ frợ như văn bản trên word, pdf, bảng tính, trình diễn trên
PowerPoint, hình ảnh, âm thanh, video số. Đồng thòi, phần mềm có khả năng
tích hợp vói nhiều nguồn tài liệu và qua nhiều kênh truyền thông như fax, email,
SMS và chính các hệ thống chạy trên Net-Office truyền thông với nhau...
>


■>

Đảnh giả phân mêm Net-Office
Ưu điểm của phần mềm

Nhược điêm của phân mêm

Xác thực tài liệu băng chữ ký điện tử. Chỉ có thê thực hiện việc xác thực
Định nghĩa các luồng công việc trực người dùng trong phạm vi nội bộ một
quan bằng lưu đồ.

cơ quan.

Chức năng cơ bản của phân mêm là có thê quản lý toàn bộ các loại văn bản
như công văn đi, công văn đến, văn bản nội bộ, các quyết định, các tài liệu, ý
kiến xử lý... Các văn bản đều có thể cập nhật, tìm kiếm, gửi tài liệu theo các
kênh khác nhau, thông báo tự động, thiết lập các quyền hạn sử dụng văn bản, lập
các báo cáo thống kê. Chứng thực văn bản với chữ ký điện tử. Phần mềm có thể
quản lý các thủ tục hành chính công, cho phép ghi nhận nhanh chóng các hồ sơ
thủ tục hành chính vói thông tin về công dân, hồ sơ, cơ chế liên lạc sau đó có thể


22

áp quy trình để có thể kiểm soát tự động. Cung cấp công cụ, các quy trình giải
quyết các công việc dưới dạng sơ đồ trực quan...
1.3.2. Phần mềm Alfresco

Alfresco là phần mềm nguồn mở theo giấy phép GNU, dùng để quản lý tài

liệu hiệu quả, hỗ được cho các doanh nghiệp trong việc tổ chức lưu trữ tài liệu
điện tử một cách khoa học và hiệu quả nhất.
Alfresco là một hệ thống quản tri nội dung mã nguồn mở dùng cho
Microsoft Windows và các hệ điều hành tương tự Unix khác [9]. Alfresco hiện
tại có ba phiên bản: Alfresco Community Edition là phần mềm miễn phí dựa trên
các chuẩn mở và giấy phép mã nguồn mở LGPL (Lesser General Public
License), Alfresco Enterprise Edition là phiên bản thương mại cho đối tượng
doanh nghiệp và Alfresco Cloud Edition là phiên bản phần mềm dịch vụ phục vụ
cho việc quản lý tài liệu dựa trên công nghệ điện toán đám mây.
Ở Việt Nam phần mềm Alfresco đã được doanh nghiệp Việt Nam cung cấp
như công ty EcoIT-nhà cung cấp dịch vụ công nghệ thông tin xanh ở châu Á tại
địa chỉ: />Kiến trúc của Alfresco
Nhiều đối thủ cạnh tranh của Alfresco (phần lớn là mã nguồn đóng) có thiết
kế phức tạp bao gồm nhiều công nghệ đôi khi đối lập nhau. Alfresco không đi
theo con đường đó. Alfresco bảo đảm các điều kiện sau:
• Tương đối đơn giản và minh bạch trong kiến trúc.
• Xây dựng tò các framework và các thành phần nguồn mở mạnh mẽ và uy
tín nhất.
• Hồ trợ nhiều phương thức tương tác với dữ liệu và các chuẩn liên quan.


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×