HẠ TẦNG MẬT MÃ KHÓA CÔNG KHAI (PKI) VÀ
CHIẾN LƯỢC AN NINH THÔNG TIN QUỐC GIA

TS. Trần ðức Lịch
Ban Cơ yếu Chính phủ
Hà Nội – 03/2009


I. Những nội dung cơ bản của Chiến lược an
toàn thông tin quốc gia

Chiến lược là sự thể hiện các hướng phát triển cơ
bản trong một lĩnh vực. Chiến lược ATTT quốc gia
cần phải bao quát ñược các nội dung sau :
Quan ñiểm về ATTT và Mục tiêu của Chiến lược
Phân tích và chỉ rõ các hiểm họa ñe dọa an toàn
thông tin quốc gia
Những biện pháp cơ bản trong việc ñảm bảo an
toàn thông tin quốc gia
Những nội dung cơ bản của Chính sách nhà nước
về an toàn thông tin.


1.Quan ñiểm

An toàn thông tin quốc gia phải ñược nhìn
nhận như một bộ phận cấu thành của An
ninh quốc gia , bởi vậy ñảm bảo ATTT là góp
phần vào ñảm bảo sự ổn ñịnh, phát triển bền
vững của nhà nước cộng hòa Xã hội chủ
nghĩa Việt nam, sự bất khả xâm phạm ñộc

lập chủ quyền, thống nhất và toàn vẹn lãnh
thổ của Tổ quốc


2. Mục tiêu

Chiến lược an toàn thông tin quốc gia cần hướng tới những mục tiêu
sau:
-ðảm bảo lợi ích quốc gia trong lĩnh vực an toàn thông tin : ñảm bảo ATTT
trong các khu vực trong yếu như An ninh, Quốc phòng, ðối ngoại của
ðảng và Nhà nước; ðảm bảo an toàn thông tin cho các cơ quan chính
phủ, các nguồn tài nguyên thông tin quốc gia
-ðảm bảo quá trình trao ñổi thông tin giữa các cơ quan Nhà nước và công
dân ñược thông suốt và an toàn
-ðảm bảo lợi ích của công dân trong lĩnh vực an toàn thông tin: Tiếp cận các
nguồn tài nguyên thông tin quốc gia theo qui ñịnh của Luật pháp, quyền bí
mật và an toàn thông tin các nhân, ñảm bảo cho công dân tham gia hội
nhập an toàn hoạt ñộng thương mại ñiện tử và các hoạt ñộng khác.
-ðảm bảo lợi ích xã hội trong lĩnh vực an toàn thông tin: ñược tiếp cận thông
tin về chính sách của ðảng, luật pháp của Nhà nước trong các lĩnh vực
của ñời sống chính trị, kinh tế xã hội, giáo dục , y tế, quốc phòng , ñối
ngoại .
-ðảm bảo an toàn hạ tầng thông tin quốc gia, khả năng ñáp ứng ñối với các
sự cố của hạ tầng thông tin


3. Những nguy cơ chính ñe dọa ATTT
quốc gia
- Sự không ñầy ñủ và kém hiệu lực của hệ thống luật pháp: Hệ thống
pháp lí là cơ sở ñể triển khai các nội dung ñảm bảo ATTT. Sự không

ñầy ñủ trong hệ thống luật luật , việc không thi hành hoặc chậm trể
trong thi hành pháp luật ñều dẫn ñến những tác hại to lớn , làm ảnh
hưởng ñén việc thực hiện ñầy ñủ chính sách của ðảng và Nhà nước
trong lĩnh vực này.
- Các khiếm khuyết trong việc tổ chức xây dựng hạ tầng thông tin viễn
thông quốc gia: Việc thiết lập thiếu ñịnh hướng, không có khả năng
kiểm soát, thiếu phân tích kĩ lưỡng các vấn ñề về ñảm bảo an toàn
các hệ thống thông tin viễn thông quốc gia sẽ dẫn tới không chỉ mất
khả năng thiết lập không gian thông tin ñồng bộ thống nhất mà còn
làm mất khả năng ñảm bảo an toàn và tin cậy cho chúng..
- Năng lực bảo mật và an toàn thông tin không theo kịp sự phát triển của
CNTT-viễn thông


4. Các giải pháp ñảm bảo ATTT
a. Các phương pháp ñảm bảo ANTT bằng pháp luật
- ðiều chỉnh, bổ sung văn bản luật pháp trong lĩnh vực ñảm bảo ATTT,
loại bỏ những chồng chéo, mâu thuẫn bên trong pháp luật, bổ sung
các qui ñịnh còn thiếu , cụ thể hóa các quy phạm pháp luật ;xác ñịnh
hệ thống tổ chức các cơ quan nhà nước trong hệ thống bảo vệ thông
tin , xác ñịnh mục ñích, nhiệm vụ và cơ chế tham gia trong hoạt ñộng
của các tổ chức xã hội và công dân; thiết lập trách nhiệm của tổ chức
,các cá nhân trong việc vi phạm các qui ñịnh ñã ñược luật pháp qui
ñịnh. Về phương pháp cần phân chia ñối tượng của ATTT thành khu
vực bí mật nhà nước và không thuôc bí mât nhà nước và xây dựng
các ñịnh chế cho từng khu vực.
- Ban hành hệ thống các tiêu chuẩn và Qui chuẩn kĩ thuật làm cơ sở cho
các hoạt ñộng nghiên cứu ,sản xuất , sửu dụng và quản lí chất lượng.



4. Các giải pháp ñảm bảo ATTT

b.Các phương pháp tổ chức- kỹ thuật ñảm bảo ATTT:
-ðảm bảo phát triển cơ sở hạ tầng thông tin quốc gia
có ñinh hướng và có kiểm soát .
-Thiết kế và xây dựng mạng lưới thông tin quốc gia và
việc kết nối Internet phải trên cơ sở phân tích và
ñảm bảo tính an toàn về công nghệ và an toàn thông
tin
-Tiến hành triển khai các giải pháp và phương tiện kĩ
thuật kĩ thuật ñảm bảo an toàn thông tin :


4. Các giải pháp ñảm bảo ATTT

c. Các biện pháp kinh tế ñảm bảo ANTT
Xây dựng các chương trình, dự án ñảm bảo
ATTT và ñầu tư kinh phí ñể triển khai thực
hiện các chương trình, dự án ñó.


5. Về chính sách nhà nước trong ATTT
Chính sách nhà nước về an toàn thông tin cần hướng tới:
- Xây dựng ñược chính sách quốc gia nhất quán về công nghệ an
toàn thông tin ñảm bảo hài hòa lợi ích của công dân,xã hội và quốc
gia; khuyến khích, hỗ trợ phát triển công nghiệp ATTT trong nước và
hỗ trợ các doanh nghiệp hoạt ñộng trong lĩnh vực an toàn thông tin
- Khuyến khich các hoạt ñộng nghiên cứu khoa học và phát triển
công nghệ trong lĩnh vực ñảm bảo an toàn thông tin.
- Khuyến khích và hỗ trợ ñào tạo ñội ngũ nhân lực, phát triển hệ

thống ñào tạo ñể ñáp ứng nhu cầu ñào tạo nhân lực trong khu vực
nhà nước cũng như xã hội .
- Xây dựng các chinh sách kiểm soát của nhà nước về an toàn
thông tin, hỗ trợ việc xây dựng và phát triển hệ thống kiểm ñịnh sản
phẩm bảo mật và an toàn thông tin.
- Xây dựng chính sách hợp tác quốc tế , chuyển giao công nghệ về
ATTT


II. Hạ tầng mật mã khóa công
khai (PKI) và ñảm bảo an
toàn hạ tầng an ninh thông
tin quốc gia


1.Vài nét về bảo vệ thông tin bằng kỹ
thuật mật mã
Trong các công nghệ bảo vệ thông tin thì kĩ thuật mật
mã ñóng vai trò quan trọng hàng ñầu ðó là kĩ thuật
biến ñổi thông tin rõ sang dạng không có khả năng
ñọc hiểu nếu không nắm ñược yếu tố quan trọng
nhất của hệ thống mật mã, ñược gọi là khóa.
Công nghệ mật mã có khả năng ñể ñảm bảo các dịch
vụ cơ bản sau ñây của an toàn thông tin:
- Xác thực nguồn gốc thông tin
- Bảo mật nội dung thông tin
- ðảm bảo tính toàn vẹn của thông tin


1.Vài nét về bảo vệ thông tin bằng kĩ thuật

mật mã
ðể ñảm bảo các dịch vụ trên ñây kĩ thuật mật
mã ñược thiết kế theo bốn thành phần:
- Các hệ mật ñối xứng
- Các hệ mật phi ñối xứng hay còn gọi hệ mật
khóa công khai
- Hệ thống chữ kí số
- Hệ thống quản lí khóa mã


2.Khái niệm và cấu trúc hạ tầng mật
mã khóa công khai

Hạ tầng khóa công khai là tổ hợp các giải
pháp tổ chức - kĩ thuật và các phương tiện
phần cứng - phần mềm ñể triển khai công
nghệ khóa công khai.


Thành phần của Hạ tầng khóa công
khai bao gồm :
Thành phần của Hạ tầng khóa công khai bao gồm :
Phần lõi:
CA - Certification Authority: Bộ phận chịu trách nhiệm phát hành chứng chỉ.
RA – Regitration Authority: Bộ phận ñăng ký chứng chỉ.
CR – Certificate repository: Cơ sở dữ liệu chứng chỉ.
Hệ thống sinh khóa.
Các thành phần bổ trợ:
Hệ thống OCSP hoặc CRL - kiểm tra tính hiệu lực của chứng chỉ.
Hệ thống tem thời gian.

Firewall, IDS, IPS, SMS, NMS,...
Các thành phần cuối gồm:
Các thuê bao.
Các bên tin cậy.


Một mô hình PKI ñơn giản

CA

Thự
Thực thể
thể
chứ
chứng thự
thực

HÖ thèng
sinh khãa

Yêu cầu
Chứ
Chứng chỉ
chỉ

RA
Chứ
Chứng chỉ
chỉ ñã
ñược ký


USER ở
xa

Internet

Certs,
Certs,
CRLs

USER
cục bộ


Các thành phần của PKI quốc gia

Xây dựng luật,
Các chuẩn PKI

Chính phủ

Cấp phép

Root CA

CA ñược thừa nhận

Xây dựng trung tâm
PKI
Chứng chỉ ñược công nhận


Ứng dụng, dịch vụ, các tổ chức hoặc các công ty
Phát triển các ứng
dụng PKI có thể
Người dùng chữ ký số ñược công nhận


Hệ thống PKI quốc gia
Hạ tầng khóa công khai quốc gia ñược thiết kế theo
cấu trúc phân cấp hình cây, mô hình cầu, mô hình
mắt lưới hoặc hỗn hợp.
Theo mô hình phân cấp hình cây thì tại cấp 1 chỉ có
một trung tâm cấp chứng chỉ cho các trung tâm trực
thuộc cấp dưới gọi là Trung tâm gốc (Root CA).
Chức năng cơ bản của CA gốc là nhận ñăng kí của
các trung tâm và thuê bao trực thuộc, hình thành và
cấp phát các chứng chỉ khóa công khai cho các
trung tâm trực thuộc.


Hệ thống PKI quốc gia
Hạ tầng khóa công khai quốc gia có ý nghĩa
hết sức quan trọng ñối với an ninh quốc gia
nên vấn ñề bảo ñảm an toàn rất ñược chú
trọng Ngoài việc triển khai các giải pháp an
toàn logic chống lại các cuộc xâm nhập phá
hoại dữ liệu, ñánh cắp thông tin…, Cơ quan
chứng thực gốc phải ñược bố trí ở những
nơi ñược bảo vệ vững chắc .



3. Hiện trạng PKI ở Việt Nam
Ở Việt Nam
Trước nhu cầu sử dụng PKI, ở Việt Nam một số tổ chức ñã triển
khai hoạt ñộng cung cấp dịch vụ trong lĩnh vực này.
Trong khu vực Nhà nước Ban Cơ yếu Chính phủ ñã xây dựng và
thử nghiệm tại hạ tầng TT của một số Bộ, ngành ở qui mô nhỏ,
ñồng thời sử dụng trong một số dịch vụ bảo mật và an toàn.
Ngân hàng Nhà nước, Bộ Công thương… cũng ñã tổ chức thử
nghiệm các CA chuyên dùng ñáp ứng hoạt ñộng nghiệp vụ nội
bộ.
Khu vực ngoài nhà nước các tổ chức như VASC, VDC ñã cung
cấp CTðT cho một số tổ chức và cá nhân. Nhìn chung nhu cầu
sử dụng PKI ở Việt Nam ngày càng tăng tuy nhiên việc triển
khai trên thực tế hiện tại chưa nhiều.


3. Hiện trạng Hạ tầng PKI
Ở Việt Nam
Năm 2007 Ban Cơ yếu Chính phủ thành lập Trung
tâm Chứng thực ñiện tử chuyên dùng với chức
năng cung cấp, quản lý chứng thư số và các dịch vụ
chứng thực chữ ký số cho các cơ quan thuộc hệ
thống Chính trị .
Năm 2008 Bộ Thông tin- Truyền thông ñã thành lập
Trung tâm chứng thực số quốc gia (N -RootCA) và
giao Cục ứng dụng CNTT tổ chức quản lý, cấp
phép và cung cấp dịch vụ chứng thực số cho khu
vực công cộng;



Hệ thống CA chuyên dùng trong hệ thống
chính trị
Hạ tầng mật mã khóa công khai hay hệ thống chứng th điện tử CA
cho các cơ quan nhà nớc do Ban Cơ yếu Chính phủ đảm nhiệm là hạ
tầng tổ chức - kĩ thuật để tạo ra các phơng tiện và cơ sở pháp lí cho
các cơ quan nhà nớc, các tổ chức thuộc hệ thống chính trị sử dụng
chứng thực điện tử với mục tiêu:
- Xác lập hệ thống định danh điện tử thống nhất cho hoạt động giao
dịch điện tử giữa các tổ chức thuộc hệ thống chính trị và giao tiếp với
công dân.
- Đảm bảo an toàn cho hoạt động giao dịch điện tử
- Xây dựng hệ thống quản lí khóa thông nhất có phân cấp
- Xây dựng các phơng tiện chứng nhận ( công chứng ) điện tử


Hệ thống CA chuyên dùng trong hệ thống
chính trị
Về cấu trúc hệ thống CA sẽ đợc thiết kế theo mô hình hai
cấp, cấp 1 gồm 01 Trung tâm gốc ( Root CA - hay trung
tâm cấp 1) đặt tại Hà nội. Trung tâm gốc có chức năng cấp
phép cho các trung tâm cấp dới. Các trung tâm cấp 2 là
trung tâm ở các miền.
Hệ thống CA đợc tổ chức theo mô hình phân cấp nhằm
tạo, cung cấp, quản lý chứng chỉ số phục vụ an ton v
bảo mật thông tin thuộc phạm vi bí mật nhà nớc.


HÖ thèng CA chuyªn dïng trong hÖ thèng
chÝnh trÞ

M« h×nh ph©n cÊp hÖ thèng CA cho hÖ thèng chÝnh trÞ


HÖ thèng CA chuyªn dïng trong hÖ thèng
chÝnh trÞ
Hệ thống bao gồm: 01 RootCA, 06 SubCA:
CA phục vụ các cơ quan ðảng: ðCS-CA
CA phục vụ Bộ Công an: CA-CA
CA phục vụ Bộ Quốc phòng: CA-Qð
CA phục vụ Bộ Ngoại giao: CA-NG
CA phục vụ các cơ quan Chính phủ: CA-CP
CA của Ban Cơ yếu Chính phủ: CA-BCY


4. ðánh giá hiện trạng và giải pháp
Nhìn chung việc triển khai chứng thư số và dịch vụ chứng thực chữ ký số ở nước
ta còn chậm, chưa theo kịp tốc ñộ phát triển mạng CNTT-TT và các dịch vụ
giao dịch ñiện tử. Theo các chuyên gia các nguyên nhân chính gồm:
●Xây dựng PKI là một vấn ñề lớn, ñặc biệt là ñối với những hệ thống có số lượng
thuê bao nhiều thì việc ñảm bảo cho PKI hoạt ñộng hiệu quả và ổn ñịnh ñòi hỏi
phải giải quyết nhiều vấn ñề rất phức tạp. Bản thân công nghệ PKI là sự kết
hợp của rất nhiều công nghệ thuộc công nghệ cao.
●Bài toán tổ chức xây dựng PKI trên phạm vi quốc gia thường gặp nhiều khó khăn
bởi tình trạng “mạnh ai nấy chạy “, dẫn ñến các CA không tương tác ñược với
nhau không ñồng bộ về công nghệ và chuẩn.
● Thiếu hiểu biết về PKI. Nếu nhận thức ñược ñầy ñủ vai trò của PKI thì việc triển
khai chứng thư số và dịch vụ chứng thực chữ ký số sẽ trở nên thuận lợi hơn
rất nhiều.
●Khó khăn gắn liền chi phí tốn kém, nhất là ñối với những hệ thống lớn.