Nghiên cứu vấn đề bảo mật thông tin và đề xuất giải pháp bảo mật cho hệ thống thông tin trường cao đẳng kinh tế kỹ thuật vĩnh phúc
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.27 MB, 107 trang )
..
ĐẠI HỌC THÁI NGUYÊN
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG
TÔ QUANG HIỆP
NGHIÊN CỨU VẤN ĐỀ BẢO MẬT THÔNG TIN
VÀ ĐỀ XUẤT GIẢI PHÁP BẢO MẬT CHO HỆ THỐNG THÔNG TIN
TRƢỜNG CAO ĐẲNG KINH TẾ - KỸ THUẬT VĨNH PHÚC
LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH
THÁI NGUYÊN - 2014
Số hóa bởi Trung tâm Học liệu
/>
ĐẠI HỌC THÁI NGUYÊN
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG
TÔ QUANG HIỆP
NGHIÊN CỨU VẤN ĐỀ BẢO MẬT THÔNG TIN
VÀ ĐỀ XUẤT GIẢI PHÁP BẢO MẬT CHO HỆ THỐNG THÔNG TIN
TRƢỜNG CAO ĐẲNG KINH TẾ - KỸ THUẬT VĨNH PHÚC
Chuyên ngành:
KHOA HỌC MÁY TÍNH
Mã số:
60 48 01
LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH
Ngƣời hƣớng dẫn khoa học: TS. PHÙNG VĂN ỔN
THÁI NGUYÊN - 2014
Số hóa bởi Trung tâm Học liệu
/>
i
LỜI CÁM ƠN
Em xin chân thành cảm ơn sự chỉ bảo tận tình của TS Phùng Văn Ổn,
ngƣời đã tận tình hƣớng dẫn, giúp đỡ em trong suốt thời gian thực hiện luận văn.
Em xin chân thành cảm ơn PGS. TSKH Nguyễn Xuân Huy – ngƣời đã
tận tình giảng dạy hƣớng dẫn, hƣớng dẫn học phần “An toàn và bảo mật
thông tin”, “phƣơng pháp nghiên cứu khoa học” là nguồn kiến thức chính cho
luận văn này.
Em xin chân thành cảm ơn thầy, cô Viện Công nghệ thông tin cùng quý
thầy, cô Trƣờng Đại học Công nghệ thông tin và truyền thông – Đại học Thái
Nguyên đã giảng dạy, giúp đỡ để chúng em có đƣợc những kiến thức quý báu
trong những năm học qua.
Tôi xin chân thành cảm ơn các bạn đồng nghiệp Khoa Công nghệ thông
tin – Trƣờng Cao đẳng Kinh tế - Kỹ thuật Vĩnh Phúc đã cung cấp số liệu hiện
trạng hệ thống thông tin nhà trƣờng và cùng tơi tìm hiểu hiện trạng bảo mật hệ
thống thông tin của nhà trƣờng, đƣa ra giải pháp khắc phục các nguy cơ bảo mật.
Con cảm ơn Cha, Mẹ và gia đình, những ngƣời đã dạy dỗ, khuyến khích,
động viên con trong những lúc khó khăn, tạo mọi điều kiện cho chúng con nghiên
cứu học tập.
Mặc dù đã cố gắng hết sức cùng với sự tận tâm của thầy giáo hƣớng dẫn
song do trình độ cịn hạn chế, nội dung đề tài rộng, mới nên Luận văn khó tránh
khỏi những thiếu sót và hạn chế. Do vậy em rất mong nhận đƣợc sự thơng cảm và
góp ý kiến của thầy cô và các bạn.
Thái Nguyên, tháng 01/2014
HỌC VIÊN
Tô Quang Hiệp
Số hóa bởi Trung tâm Học liệu
/>
ii
LỜI CAM ĐOAN
Tôi xin cam đoan luận văn “Nghiên cứu vấn đề bảo mật thông tin và
đề xuất giải pháp bảo mật cho hệ thống thông tin Trường Cao đẳng Kinh tế
- Kỹ thuật Vĩnh Phúc” này là kết quả nghiên cứu của riêng tôi. Các số liệu sử
dụng trong luận văn là trung thực. Các kết quả nghiên cứu đƣợc trình bày
trong luận văn chƣa từng đƣợc cơng bố tại bất kỳ cơng trình nào khác.
Thái Ngun, tháng 01/2014
HỌC VIÊN
Tơ Quang Hiệp
Số hóa bởi Trung tâm Học liệu
/>
iii
MỤC LỤC
Trang
LỜI CÁM ƠN ...................................................................................................... i
LỜI CAM ĐOAN ............................................................................................... ii
MỤC LỤC .......................................................................................................... iii
DANH MỤC CÁC KÝ HIỆU, CHỮ CÁI VIẾT TẮT ....................................... v
DANH MỤC CÁC BẢNG................................................................................. vi
DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ ........................................................... vii
MỞ ĐẦU ............................................................................................................. 1
CHƢƠNG 1. TỔNG QUAN VỀ BẢO MẬT THÔNG TIN .............................. 3
1.1. Các định nghĩa về bảo mật thông tin ........................................................ 3
1.2. Những hiểm hoạ ảnh hƣởng đến bảo mật thông tin ................................. 4
1.2.1. Động cơ ảnh hƣởng đến bảo mật. ..................................................... 4
1.2.2. Các hiểm họa và sự rị rỉ thơng tin .................................................... 4
1.2.3. Các hình thức tấn cơng bảo mật hệ thống thơng tin. ......................... 6
CHƢƠNG 2. CÁC BIỆN PHÁP BẢO MẬT ................................................... 14
2.1. Các mức bảo mật thông tin ..................................................................... 14
2.2. Firewall và các cơ chế bảo mật của Firewall. ......................................... 15
2.2.1. Giới thiệu về Firewall...................................................................... 15
2.2.2. Các công nghệ FireWall ................................................................. 18
2.2.2.1. FireWall kiểu bộ lọc gói: ........................................................... 18
2.2.2.2. FireWall kiểu cổng ứng dụng hay còn gọi là máy chủ .............. 19
2.2.2.3. FireWall kiểu kiểm duyệt trạng thái .......................................... 20
2.2.3. Những đe dọa FireWall không thể chống lại .................................. 20
2.3. Các kỹ thuật mã hoá ............................................................................... 24
2.3.1. Tổng quan về mã hóa: ..................................................................... 24
2.3.2. Chuẩn mật mã nâng cao AES .......................................................... 30
2.3.2.1. Giới thiệu về mã hóa AES ........................................................ 30
Số hóa bởi Trung tâm Học liệu
/>
iv
2.3.2.2 Cấu trúc AES ............................................................................. 32
...................................................................... 34
2.3.2.4. Đánh giá thuật tốn AES .......................................................... 38
2.3.3. Hệ mật mã khóa cơng khai RSA ..................................................... 39
2.3.3.1. Bài tốn phân tích số ngun ..................................................... 39
2.3.3.2. Định nghĩa các tập làm việc của hệ RSA .................................. 40
2.3.3.3. Q trình tạo khố, mã hố và giải mã ...................................... 40
2.3.3.4. Tính đúng của q trình giải mã ................................................ 42
2.3.3.5. Đánh giá hệ mật mã khóa cơng khai RSA ................................. 44
2.3.3.6. Một số phƣơng pháp tấn công hệ mã RSA. ............................... 45
2.3.3.7. Độ an toàn của hệ mã RSA. ....................................................... 47
CHƢƠNG 3. BẢO MẬT HỆ THỐNG THÔNG TIN TRONG TRƢỜNG
CAO ĐẲNG KINH TẾ - KỸ THUẬT VĨNH PHÚC ...................................... 49
3.1. Hệ thống thông tin trƣờng cao đẳng kinh tế - kỹ thuật Vĩnh Phúc ........ 49
3.2. Đề xuất giải pháp bảo mật cho hệ thống ................................................ 52
3.2.1. Biện pháp bảo mật các files trên máy tính . ................................... 52
3.2.2. Thiết lập các chính sách bảo mật trên server. ................................. 55
3.2.3. Sử dụng Firewall ............................................................................ 57
3.2.4. Bảo mật cơ sở dữ liệu. .................................................................... 61
3.2.5. Thực hiện gửi thông tin bảo mật trên mạng. .................................. 66
3.2.6. Cơ chế phân quyền trong phần mềm đào tạo ................................. 67
3.2.7. Xác minh hai bƣớc. ........................................................................ 70
3.2.8. Sử dụng công nghệ trắc sinh học. ................................................... 70
KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN ........................................................ 72
TÀI LIỆU THAM KHẢO ................................................................................. 73
PHỤ LỤC LUẬN VĂN ...................................................................................... 1
MÃ NGUỒN 2 LỚP MÃ HÓA AES VÀ RSA .............................................. 1
Xây dựng lớp AES ...................................................................................... 1
Xây dựng lớp RSA .................................................................................... 21
Số hóa bởi Trung tâm Học liệu
/>
v
DANH MỤC CÁC KÝ HIỆU, CHỮ CÁI VIẾT TẮT
ADSL
AES
BCB
BSD
CFB
CPU
CTR
DES
DNS
DOS
ECB
FEAL
FTP
GNFS
HAS
ICMP
IDEA
IP
ISA
LAN
MIPS
NIST
NNTP
NSA
NTFS
OFB
PKCS
RSA
SMTP
TCP/UDP
Asymmetric Digital Subscriber Line
Advanced Encryption Standard
Cipher Block Chaining
Berkeley Software Distribution
Cipher Feedback Mode
Central Processing Unit
Counter mode
Data Encryption Standard
Domain Name System
Disk Operating System
Electronic code book
Fast Encryption Algorithm
File Transfer Protocol
General Number Field Sieve ().
Human Auditory System
Internetwork Control Message Protocol
International Data Encryption Algorithm)
Internet Protocol
Internet Security Accelerator
Local Area Network
Million instructions per second
National Institute of Standards and Technology
Network News Transfer Protocol
National Security Agency
New Technology File System
Output Feedback Mode
Public Key Cryptography Standards
Revised Statutes Annotated
Simple Mail Transfer Protocol
Transmission control protocol/ User Datagram Protocol
Số hóa bởi Trung tâm Học liệu
/>
vi
DANH MỤC CÁC BẢNG
Bảng: 1 Chính sách lọc gói ............................................................................. 18
Bảng: 2 Các hàm chính của AES .................................................................... 33
Bảng: 3 Tóm tắt các bƣớc tạo khố, mã hố, giải mã của Hệ RSA ................ 41
Bảng: 4 Thống kê thiết bị CN thông tin trƣờng CĐ Kinh tế - Kỹ thuật VP ... 50
Số hóa bởi Trung tâm Học liệu
/>
vii
DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ
Hình 1: Các mức bảo mật thơng tin ............................................................... 14
Hình 2: Sử dụng Firewall bảo vệ hệ thống mạng với mơi trƣờng ngồi ....... 16
Hình 3: Tấn cơng cƣớp kênh truyền .............................................................. 22
Hình 4: Tấn công thu trộm thông tin trên kênh truyền .................................. 24
Hình 5: Hệ mã hóa đối xứng .......................................................................... 26
Hình 6: Hệ Mã hóa cơng khai ........................................................................ 28
Hình 7: Cấu trúc khóa AES ............................................................................ 32
Hình 8: Sơ đồ thuật tốn AES ........................................................................ 34
Hình 9: Sơ đồ hệ thống mạng Trƣờng CĐ Kinh tế - Kỹ thuật Vĩnh Phúc .... 49
Hình 10: Giao diện chƣơng trình mơ phỏng mã hóa ..................................... 53
Hình 11: Chức năng chọn kiểu và các tham số cho mã hóa .......................... 54
Hình 12: Cửa sổ chứa Bản gốc - Bản mã - Bản giải mã ................................ 55
Hình 13: Thiết lập chính sách bảo mật .......................................................... 56
Hình 14:Mơ mạng có tƣờng lửa bảo vệ ......................................................... 58
Hình 15:Mơ hình xác thực bằng Cisco Secure .............................................. 64
Hình 16: Mơ hình sử dụng tầng kiểm sốt Proxy .......................................... 64
Hình 17: Mơ hình cập nhật và khai thác dữ liệu giữa máy trạm và máy chủ 65
Hình 18: Mơ hình mã hóa dữ liệu trên đƣờng truyền .................................... 66
Hình 19: Giao diện phần mềm quản lý đào tạo ............................................. 67
Hình 20: Giao diện phần Quản trị hệ thống ................................................... 68
Hình 21: Chức năng quản lý ngƣời dùng ....................................................... 69
Số hóa bởi Trung tâm Học liệu
/>
1
MỞ ĐẦU
V
phát triển nhanh
công nghệ thông tin, hiện nay đa số dữ
và lƣu trữ trong máy tính đã tạo nên sự thuận tiện cho con ngƣời.
Sự phát triển của mạng máy tính đã giúp con ngƣời khai thác thơng tin một
cách dễ dàng nhƣng bên cạnh đó cũng này sinh vấn đề rất quan trọng về việc
bảo về các thông tin riêng của cá nhân hay của tập thể. Thông tin riêng (cá
nhân) có thể là mật khẩu đăng nhập vào hệ thống, chiến lƣợc kinh doanh, các
phát minh sáng chế chƣa đƣợc công bố, kế hoạch quân sự … thơng tin này
rất quan trọng, nếu bị lộ có thể sẽ ảnh hƣởng lớn đến cá nhân, tổ chức, hệ
thống về mọi mặt nhƣ kinh tế, chính trị, thời gian, con ngƣời …
Khi có đƣợc thơng tin đăng nhập hệ thống thơng tin thì có thể sẽ có
nhiều quyền với hệ thống đó. Khi đó các thơng tin trên hệ thống có thể bị sửa
đổi, chuyển cho ngƣời khác, thậm chí cịn có thể bị phá cả hệ thống. Nhƣ vậy
đi liền với phát triển hệ thống thơng tin thì bảo vệ hệ thống thông tin cũng là
vấn đề quan trọng. Để một hệ thống thơng tin hoạt động chính xác, tin cậy, an
toàn đáp ứng đƣợc nhu cầu của cá nhân, tập thể thì cần thiết phải áp dụng biện
pháp, chính sách bảo mật. Bảo mật thơng tin là các phƣơng thức nhằm bảo vệ
tính bí mật của thơng tin. Phƣơng pháp chủ yếu là biến đổi thông tin để ngƣời
khác không thể đọc, không thể hiểu đƣợc. Chỉ ngƣời có thẩm quyền mới có
thể biến đổi ngƣợc lại để đọc đƣợc nội dung của thơng tin đó.
Từ xƣa con ngƣời đã có nhiều cách biến đổi thơng tin nhằm đảm bảo tính
bí mật khi gửi đi nhƣ thay thế bằng các biểu tƣợng, ký hiệu, viết ngƣợc, viết
vào gỗ sau đó phủ sáp lên, viết vào dây quấn quanh gậy, dùng hóa chất để viết
khi hơ nóng sẽ hiện chữ ... Nếu một ngƣời có đƣợc thơng tin biến đổi và biết
đƣợc phƣơng pháp biến đổi thông tin thì dễ dàng biết cách để đọc đƣợc thơng
tin. Vậy để giữ bí mật thơng tin cần phải giữ bí mật cả phƣơng pháp biến đổi
thơng tin.
Số hóa bởi Trung tâm Học liệu
/>
2
Ngày nay hầu hết thơng tin đã đƣợc số hóa và truyền trên mạng mỗi khi
cần trao đổi với ngƣời khác. Do đó đã ra đời nhiều phƣơng pháp biến đổi
thông tin nhằm đảm bảo các thông tin này không bị lộ trên đƣờng truyền.
Việc nghiên cứu xây dựng hệ thống đã khó thì việc bảo vệ nó lại càng
khó hơn. Hiện nay nhiều quốc gia trên thế giới đã và đang đầu tƣ mạnh cho
việc nghiên cứu và xây dựng hạ tầng cơ sở cho việc đảm bảo an tồn bảo mật
thơng tin. Nhiều giao thức bảo mật đƣợc thiết kế trƣớc đây an tồn thì nay đã
lộ ra những lỗ hổng . Vì vậy nghiên cứu bảo mật thông tin luôn luôn đi cùng
với sự phát triển của cơng nghệ thơng tin.
Vì lý do bảo mật thơng tin quan trọng nhƣ vậy nên tôi chọn đề tài về
“Nghiên cứu vấn đề bảo mật thông tin” trong luận văn tốt nghiệp, qua đó đề
xuất giải pháp bảo mật hệ thống thông tin trƣờng cao đẳng kinh tế - kỹ thuật
Vĩnh Phúc nơi tơi đang cơng tác.
Để hồn thành đƣợc luận văn tôi chọn phƣơng pháp nghiên cứu tài liệu
về vấn đề bảo mật thông tin, xác thực thông tin, thuật tốn mã hóa hiện đại
đang đƣợc áp dụng. Kết hợp với khảo sát thực tiễn, qua đó phân tích, đánh giá
rồi đề xuất triển khai giải pháp bảo mật nhằm bảo đảm cho hệ thống thơng tin
hoạt động chính xác, tin cậy, ổn định. Hạn chế tối đa sự cố lộ thông tin.
Luận văn bao gồm ba chƣơng:
Chƣơng 1. Tổng quan về bảo mật thông tin.
Chƣơng 2. Các biện pháp bảo mật.
Chƣơng 3. Bảo mật hệ thống thông tin trong trƣờng Cao đẳng kinh tế kỹ thuật Vĩnh Phúc.
Mặc dù đã cố gắng hết sức, song do trình độ cịn hạn chế, nội dung đề tài
rộng, cơng nghệ mới nên luận văn khó tránh khỏi những thiếu sót. Do vậy em
mong nhận đƣợc sự góp ý của quý thầy cơ và các bạn để luận văn hồn thiện hơn,
đáp ứng đƣợc nhu cầu bảo mật trong thực tiễn.
Số hóa bởi Trung tâm Học liệu
/>
3
CHƢƠNG 1. TỔNG QUAN VỀ BẢO MẬT THÔNG TIN
1.1. Các định nghĩa về bảo mật thông tin
Bảo mật (security) là việc giữ bí mật những thứ có giá trị.
Bảo mật thông tin (information security) là những vấn đề bảo mật có liên
quan đến lƣu trữ và xử lý thơng tin.
Bảo mật máy tính (computer security) là lĩnh vực liên quan đến việc xử
lý ngăn ngừa và phát hiện những hành động bất hợp pháp/trái phép (đối với
thông tin và tài nguyên hệ thống) của ngƣời dùng trong một hệ thống máy
tính”. Lĩnh vực nghiên cứu chính của bảo mật thơng tin rất rộng gồm các vấn
đề về pháp lý nhƣ hệ thống chính sách, các quy định, yếu tố con ngƣời; các
vấn đề thuộc tổ chức nhƣ kiểm toán xử lý dữ liệu điện tử, quản lý, nhận thức;
và các vấn đề kỹ thuật nhƣ kỹ thuật mật mã, bảo mật mạng, cơng nghệ thẻ
thơng minh…
Mục đích của bảo mật máy tính nhằm bảo đảm các tính chất sau của
thơng tin:
Tính bí mật: Thơng tin khơng bị lộ ra ngồi, với những ngƣời khơng có
thầm quyền thì khơng đƣợc biết thơng tin.
Tính tồn vẹn: Thơng tin khơng bị sửa đổi trái phép bởi ngƣời khơng có
thẩm quyền.
Tính sẵn sàng: Sẵn sàng đáp ứng nhu cầu của ngƣời dùng có thẩm quyền.
Trên thực tế, kỹ thuật mật mã được triển khai rộng rãi để đảm bảo tính
bí mật và tồn vẹn của thông tin được lưu trữ hay truyền nhận nhưng kỹ thuật
này khơng bảo đảm cho tính sẵn sàng của hệ thống.[6]
Bảo mật mạng (network security) là các vấn đề về mã hóa thơng tin khi
truyền qua mạng và kiểm sốt truy xuất thơng tin trên đƣờng truyền.
Nhƣ vậy bảo mật là khái niệm bao gồm tất cả các phƣơng pháp nhƣ các
kỹ thuật xác nhận danh tính, mật mã hố, che giấu thơng tin, xáo trộn …
Số hóa bởi Trung tâm Học liệu
/>
4
nhằm đảm bảo cho các thông tin đƣợc truyền đi, cũng nhƣ các thơng tin lƣu
trữ đƣợc chính xác và an tồn.
Bảo mật ln đi đơi với an tồn “an toàn và bảo mật”, đây là hai yếu tố
quan trọng và gắn bó mật thiết với nhau trong một hệ thống. Có thể nói hệ
thống mất an tồn thì khơng bảo mật đƣợc và ngƣợc lại hệ thống không bảo
mật đƣợc thì mất an tồn [2].
Hệ thống sẽ là an tồn khi các khiếm khuyết khơng thể làm cho hoạt
động chủ yếu của nó ngừng hẳn và các sự cố đều xảy ra sẽ đƣợc khắc phục
kịp thời mà không gây thiệt hại đến mức độ nguy hiểm cho chủ sở hữu.
Mục đích của an tồn và bảo mật thơng tin là tránh đƣợc ngƣời khơng có
thẩm quyền đọc, sửa, thay đổi thông tin. Nhƣng đồng thời đảm bảo ngƣời có
thầm quyền sẵn sàng khai thác thơng tin trong phạm vi quyền hạn của họ.
1.2. Những hiểm hoạ ảnh hƣởng đến bảo mật thông tin
1.2.1. Động cơ ảnh hưởng đến bảo mật.
Một ngƣời nếu có đủ thầm quyền về hệ thống thì họ truy cập vào hệ
thống trong phạm vi, quyền hạn cho phép của họ. Nhƣng nếu một ngƣời khác
khơng có thẩm quyền lại tìm cách truy cập hệ thống để thực hiện những việc
không đƣợc phép đối với hệ thơng có thể suất phát từ những động cơ nhƣ chỉ
để tìm hiểu, giải trí, hoặc muốn thể hiện khả năng cá nhân, để ăn cắp các bí
mật thƣơng mại, bí mật quốc gia hoặc các thơng tin độc quyền, làm tê liệt
mạng, phát động chiến tranh thông tin trên mạng…
1.2.2. Các hiểm họa và sự rị rỉ thơng tin
Một hệ thống thơng tin khi vận hành có nhiều đối tƣợng tham gia tác
động nên nó, mối đối tƣợng đều có thể tiềm ẩn những nguy cơ về bảo mật làm
ảnh hƣởng đến hệ thống. Bao gồm 02 nhóm
chính sau:
- Đ
ữ
.
Số hóa bởi Trung tâm Học liệu
/>
5
-
(hacker, cracker), thông
hoặc qua c
y ngầm bên trong
, adware, trojan
.
Đối tƣợng sử dụng ở bên trong hệ thống có nhiều quyền với hệ thống. Họ
có thơng tin nhƣ tên, mật khẩu. Thơng tin này có thể bị lộ, bị lợi dụng và tấn
công. Do vậy để hạn chế lỗi bảo mật giúp cho hệ thống vận hành an toàn, ổn
định thì cần thiết phải có những chính sách cụ thể, có cơ chế phân quyền hệ
thống cụ thể… khi xảy ra lỗi dễ dàng xác định thiệt hại, nguyên nhân, đối
tƣợng gây lỗi. Quy trách nhiệm pháp luật đối với đối tƣợng gây hại [3].
Ảnh hƣởng đến bảo mật thông tin còn do hành vi của đối tƣơng tham gia
hệ thông thông tin qua các hiểm họa nhƣ dƣới đây:
- Hiểm họa vơ tình: Khi ngƣời sử dụng tắt nguồn của một hệ thống
và khi đƣợc khởi động lại, hệ thống ở chế độ single-user (đặc quyền) ngƣời sử dụng có thể làm mọi thứ anh ta muốn đối với hệ thống.
- Hiểm họa cố ý: Có thể xảy ra đối với dữ liệu trên mạng hoặc máy
tính cá nhân thơng qua các tấn cơng tinh vi có sử dụng các kiến thức hệ
thống đặc biệt.
- Hiểm hoạ thụ động: Có thể bị lợi dụng bởi ngƣời khác để thực
hiện hành vi vi phạm bảo mật hệ thống.
- Hiểm hoạ chủ động: Là việc cố tình thực hiện hành vi vi phạm
bảo mật.
Trong giao dịch điện tử mối đe dọa và hậu quả tiềm ẩn đối với thông tin
rất lớn. Nguy cơ rủi ro đối với thông tin trong giao dịch điện tử đƣợc thể hiện
hoặc tiềm ẩn trên nhiều khía cạnh khác nhau nhƣ ngƣời sử dụng, kiến trúc hệ
thống cơng nghệ thơng tin, chính sách bảo mật thơng tin, các cơng cụ quản lý
và kiểm tra, quy trình phản ứng ...
Số hóa bởi Trung tâm Học liệu
/>
6
- Hiểm hoạ từ phía ngƣời sử dụng: xâm nhập bất hợp pháp, ăn cắp
thơng tin có giá trị của các đối tƣợng khác tham gia giao dịch điện tử ...
- Nguy cơ rủi ro tiềm ẩn trong kiến trúc hệ thống cơng nghệ thơng
tin, đó là các hệ thống khơng có cơ chế bảo vệ thơng tin trong việc tổ
chức và khai thác cơ sở dữ liệu; tiếp cận từ xa; sử dụng phần mềm ứng
dụng; chƣơng trình kiểm tra, khơng kiểm sốt ngƣời sử dụng, thiếu phát
hiện và xử lý sự cố...
- Mất thơng tin có thể cịn tiềm ẩn ngay trong cấu trúc phần cứng
của các thiết bị tin học và trong phần mềm hệ thống và ứng dụng do
hãng sản xuất cài sẵn các loại mã độc theo ý đồ định trƣớc, thƣờng gọi là
“bom điện tử”. Khi cần thiết, thông qua kênh viễn thông, ngƣời ta có thể
điều thiết bị đang lƣu trữ thơng tin, hoặc tự động rẽ nhánh thông tin vào
một địa chỉ đã định trƣớc ...
1.2.3. Các hình thức tấn cơng bảo mật hệ thống thông tin.
* Tấn công trực tiếp:
Sử dụng một máy tính để tấn cơng một máy tính khác với mục đích dị
tìm mật mã, tên tài khoản tƣơng ứng, …. Họ có thể sử dụng một số chƣơng
trình giải mã để giải mã các file chứa password trên hệ thống máy tính của
nạn nhân. Do đó những mật khẩu ngắn và đơn giản thƣờng rất dễ bị phát hiện.
Ngồi ra, hacker có thể tấn cơng trực tiếp thơng qua các lỗi của chƣơng
trình hay hệ điều hành làm cho hệ thống đó tê liệt hoặc hƣ hỏng. Trong một
số trƣờng hợp, hacker đoạt đƣợc quyền của ngƣời quản trị hệ thống.
* Kỹ thuật đánh lừa: Social Engineering
Đây là thủ thuật đƣợc nhiều hacker sử dụng cho các cuộc tấn công và
thâm nhập vào hệ thống mạng và máy tính bởi tính đơn giản mà hiệu quả của
nó. Thƣờng đƣợc sử dụng để lấy cấp mật khẩu, thông tin, tấn cơng vào và phá
hủy hệ thống.
Số hóa bởi Trung tâm Học liệu
/>
7
Ví dụ: kỹ thuật đánh lừa Fake Email Login.
Về nguyên tắc, mỗi khi đăng nhập vào hộp thƣ thì phải nhập thơng tin tài
khoản của mình bao gồm username và password rồi gởi thông tin đến Mail
Server xử lý. Lợi dụng việc này, những ngƣời tấn công đã thiết kế một trang
web giống hệt nhƣ trang đăng nhập mà hay sử dụng. Tuy nhiên, đó là một
trang web giả và tất cả thông tin mà điền vào đều đƣợc gởi đến cho họ. Kết
quả, bị đánh cắp mật khẩu!.
Nếu là ngƣời quản trị mạng, nên chú ý và dè chừng trƣớc những email,
những messengers, các cú điện thoại yêu cầu khai báo thông tin. Những mối
quan hệ cá nhân hay những cuộc tiếp xúc đều là một mối nguy hiểm tiềm ẩn.
* Kỹ thuật tấn công vào vùng ẩn:
Những phần bị dấu đi trong các website thƣờng chứa những thông tin về
phiên làm việc của các client. Các phiên làm việc này thƣờng đƣợc ghi lại ở
máy khách chứ không tổ chức cơ sở dữ liệu trên máy chủ. Vì vậy, ngƣời tấn
cơng có thể sử dụng chiêu chức View Source của trình duyệt để đọc phần đầu
đi này và từ đó có thể tìm ra các sơ hở của trang Web mà họ muốn tấn cơng.
Từ đó, có thể tấn cơng vào hệ thống máy chủ.
Ví dụ: Một website cho phép sửa các cấp thành viên Mod, Members,
Banned nhƣng không cho phép sửa lên cấp Admin. Thử View Code của
website này, có thể thấy nhƣ sau:
<form action=”” method=”post” name=”settings”>...
<select class=search name=status>
Moderator
Member
Banned
</select>
Từ dịng mã trên, có thể suy luận nhƣ sau:
Số hóa bởi Trung tâm Học liệu
/>
8
Banned sẽ mang giá trị là 3, Member mang giá trị 2, Moderator mang giá
trị 1. Vậy có thể suy luận Admin có giá trị là 0 chẳng hạn. Tiếp tục, lƣu trang
setting member đó, sau đó chuyển sang một trình text để hiệu chỉnh đoạn
code đó nhƣ sau:
<form action=”” method=”post” name=”settings”>...
<select class=search name=status>
Admin
Moderator
Member
Banned
</select>
Đến đây, mở trang web đó và nhấn submit. Lúc này vẫn khơng có
chuyện gì xảy ra. Nhƣng nên lƣu ý đến một chiêu thức này để khai thơng lỗ
hổng của nó />Sửa code nhƣ sau:
<form action=” name=”settings”>
<select class=search name=status>
Admin
Moderator
Member
Banned
</select>
Bây giờ thử submit một lần nữa và xem kết quả. Sẽ thành cơng nếu code
đó ẩn.
* Tấn công vào các lỗ hổng bảo mật:
Hiện, nay các lỗ hổng bảo mật đƣợc phát hiện càng nhiều trong các hệ
điều hành, các web server hay các phần mềm khác, ... Và các hãng sản xuất
Số hóa bởi Trung tâm Học liệu
/>
9
luôn cập nhật các lỗ hổng và đƣa ra các phiên bản mới sau khi đã vá lại các lỗ
hổng của các phiên bản trƣớc. Do đó, ngƣời sử dụng phải luôn cập nhật thông
tin và nâng cấp phiên bản cũ mà mình đang sử dụng nếu khơng các hacker sẽ
lợi dụng điều này để tấn công vào hệ thống.
Thông thƣờng, các forum của các hãng nổi tiếng luôn cập nhật các lỗ
hổng bảo mật và việc khai thác các lỗ hổng đó nhƣ thế nào thì tùy từng ngƣời.
* Khai thác tình trạng tràn bộ đệm:
Tràn bộ đệm là một tình trạng xảy ra khi dữ liệu đƣợc gởi quá nhiều so
với khả năng xử lý của hệ thống hay CPU. Nếu hacker khai thác tình trạng
tràn bộ đệm này thì họ có thể làm cho hệ thống bị tê liệt hoặc làm cho hệ
thống mất khả năng kiểm soát.
Để khai thác đƣợc việc này, hacker cần biết kiến thức về tổ chức bộ nhớ,
stack, các lệnh gọi hàm. Shellcode.
Khi hacker khai thác lỗi tràn bộ đệm trên một hệ thống, họ có thể đoạt
quyền root trên hệ thống đó. Đối với nhà quản trị, tránh việc tràn bộ đệm
khơng mấy khó khăn, họ chỉ cần tạo các chƣơng trình an tồn ngay từ khi
thiết kế.
* Nghe trộm:
Các hệ thống truyền đạt thông tin qua mạng đôi khi không chắc chắn lắm
và lợi dụng điều này, hacker có thể truy cập vào data paths để nghe trộm hoặc
đọc trộm luồng dữ liệu truyền qua.
Hacker nghe trộm sự truyền đạt thơng tin, dữ liệu sẽ chuyển đến sniffing
hoặc snooping. Nó sẽ thu thập những thông tin quý giá về hệ thống nhƣ một
packet chứa password và username của một ai đó. Các chƣơng trình nghe
trộm cịn đƣợc gọi là các sniffing. Các sniffing này có nhiệm vụ lắng nghe các
cổng của một hệ thống mà hacker muốn nghe trộm. Nó sẽ thu thập dữ liệu
trên các cổng này và chuyển về cho hacker.
Số hóa bởi Trung tâm Học liệu
/>
10
* Kỹ thuật giả mạo địa chỉ:
Thông thƣờng, các mạng máy tính nối với Internet đều đƣợc bảo vệ bằng
Tƣờng lửa (firewall). Tƣờng lửa có thể hiểu là cổng duy nhất mà ngƣời đi vào
nhà hay đi ra cũng phải qua đó và sẽ bị “điểm mặt”. Tƣờng lửa hạn chế rất
nhiều khả năng tấn cơng từ bên ngồi và gia tăng sự tin tƣởng lẫn nhau trong
việc sử dụng tài nguyên chia sẻ trong mạng nội bộ.
Sự giả mạo địa chỉ nghĩa là ngƣời bên ngoài sẽ giả mạo địa chỉ máy tính
của mình là một trong những máy tính của hệ thống cần tấn cơng. Họ tự đặt
địa chỉ IP của máy tính mình trùng với địa chỉ IP của một máy tính trong
mạng bị tấn cơng. Nếu nhƣ làm đƣợc điều này, hacker có thể lấy dữ liệu, phá
hủy thông tin hay phá hoại hệ thống.
* Kỹ thuật chèn mã lệnh:
Một kỹ thuật tấn công căn bản và đƣợc sử dụng cho một số kỹ thuật tấn
công khác là chèn mã lệnh vào trang web từ một máy khách bất kỳ của ngƣời
tấn công.
Kỹ thuật chèn mã lệnh cho phép ngƣời tấn công đƣa mã lệnh thực thi vào
phiên làm việc trên web của một ngƣời dùng khác. Khi mã lệnh này chạy, nó
sẽ cho phép ngƣời tấn công thực hiện nhiều nhiều chuyện nhƣ giám sát phiên
làm việc trên trang web hoặc có thể tồn quyền điều khiển máy tính của nạn
nhân. Kỹ thuật tấn cơng này thành công hay thất bại tùy thuộc vào khả năng
và sự linh hoạt của ngƣời tấn công.
* Tấn công vào hệ thống có cấu hình khơng an tồn:
Cấu hình khơng an tồn cũng là một lỗ hổng bảo mật của hệ thống. Các
lỗ hổng này đƣợc tạo ra do các ứng dụng có các thiết lập khơng an tồn hoặc
ngƣời quản trị hệ thống định cấu hình khơng an tồn. Chẳng hạn nhƣ cấu hình
máy chủ web cho phép ai cũng có quyền duyệt qua hệ thống thƣ mục. Việc
Số hóa bởi Trung tâm Học liệu
/>
11
thiết lập nhƣ trên có thể làm lộ các thơng tin nhạy cảm nhƣ mã nguồn, mật
khẩu hay các thông tin của khách hàng.
Nếu quản trị hệ thống cấu hình hệ thống khơng an tồn sẽ rất nguy hiểm
vì nếu ngƣời tấn cơng duyệt qua đƣợc các file pass thì họ có thể download và
giải mã ra, khi đó họ có thể làm đƣợc nhiều thứ trên hệ thống.
* Tấn công dùng Cookies:
Cookies là những phần tử dữ liệu nhỏ có cấu trúc đƣợc chia sẻ giữa
website và trình duyệt của ngƣời dùng.
Cookies đƣợc lƣu trữ dƣới những file dữ liệu nhỏ dạng text (size dƣới
4KB). Chúng đƣợc các site tạo ra để lƣu trữ, truy tìm, nhận biết các thông tin
về ngƣời dùng đã ghé thăm site và những vùng mà họ đi qua trong site.
Những thông tin này có thể bao gồm tên, định danh ngƣời dùng, mật khẩu, sở
thích, thói quen, …
Cookies đƣợc Browser của ngƣời dùng chấp nhận lƣu trên đĩa cứng của
máy tính, khơng phải Browser nào cũng hổ trợ cookies.
* Can thiệp vào tham số trên URL:
Đây là cách tấn công đƣa tham số trực tiếp vào URL. Việc tấn cơng có
thể dùng các câu lệnh SQL để khai thác cơ sở dữ liệu trên các máy chủ bị lỗi.
Điển hình cho kỹ thuật tấn công này là tấn công bằng lỗi “SQL INJECTION”.
Kiểu tấn công này gọn nhẹ nhƣng hiệu quả bởi ngƣời tấn công chỉ cần
một công cụ tấn công duy nhất là trình duyệt web và backdoor.
* Vơ hiệu hóa dịch vụ:
Kiểu tấn công này thông thƣờng làm tê liệt một số dịch vụ, đƣợc gọi là
DOS (Denial of Service - Tấn công từ chối dịch vụ).
Các tấn công này lợi dụng một số lỗi trong phần mềm hay các lỗ hổng
bảo mật trên hệ thống, hacker sẽ ra lệnh cho máy tính của chúng đƣa những
u cầu khơng đâu vào đâu đến các máy tính, thƣờng là các server trên mạng.
Số hóa bởi Trung tâm Học liệu
/>
12
Các yêu cầu này đƣợc gởi đến liên tục làm cho hệ thống nghẽn mạch và một
số dịch vụ sẽ không đáp ứng đƣợc cho khách hàng.
Đôi khi, những yêu cầu có trong tấn cơng từ chối dịch vụ là hợp lệ. Ví dụ
một thơng điệp có hành vi tấn cơng, nó hồn tồn hợp lệ về mặt kỹ thuật.
Những thông điệp hợp lệ này sẽ gởi cùng một lúc. Vì trong một thời điểm mà
server nhận quá nhiều yêu cầu nên dẫn đến tình trạng là khơng tiếp nhận thêm
các yêu cầu. Đó là biểu hiện của từ chối dịch vụ.
* Chặn bắt gói tin (Network Packet Sniffing)
Những chƣơng trình chặn bắt gói tin có thể chặn bất kỳ một gói tin trong
mạng và hiển thị nội dung gói tin một cách dễ đọc nhất. Hai đầu của kết nối
có thể khơng biết đƣợc gói tin của mình bị xem trộm. Đây là cơng cụ ƣa thích
của những ngƣời quản trị mạng dùng để kiểm tra mạng. Khi mạng nội bộ
đƣợc kết nối vào Internet, một kẻ khả nghi bên ngồi dùng Packet Sniffer có
thể dễ dàng chặn gói tin đƣợc gửi đến một máy tính nào đó trong mạng và dễ
dàng nghe trộm thông tin.
* Sử dụng virus máy tính
Là một chƣơng trình gắn vào một chƣơng trình hợp lệ khác và có khả
năng lây lan nó vào các mơi trƣờng đích mỗi khi chƣơng trình hợp lệ đƣợc
chạy. Sau khi virus lây nhiễm vào hệ thống nó sẽ thực hiện phá hoại mỗi khi
nó muốn, thơng thƣờng là phá hoại theo thời gian định trƣớc. Đúng nhƣ tên
gọi của nó, một trong những hành động của virus đó là lây lan bản thân nó
vào tất cả các chƣơng trình mà nó tìm thấy trong mơi trƣờng hệ thống. Chúng
chuyển từ máy tính này sang máy tính khác mỗi khi chƣơng trình đƣợc sao
chép bất kể qua mạng hay qua thiết bị lƣu trữ vật lý.
* Lợi dụng lỗi quản trị hệ thống
Yếu tố con ngƣời với những tính cách chủ quan và khơng hiểu rõ tầm
quan trọng của việc bảo mật hệ thống nên dễ dàng để lộ các thơng tin quan
Số hóa bởi Trung tâm Học liệu
/>
13
trọng cho hacker. Ngày nay, trình độ của các hacker ngày càng giỏi hơn, trong
khi đó các hệ thống mạng vẫn còn chậm trong việc xử lý các lỗ hổng của
mình. Điều này địi hỏi ngƣời quản trị mạng phải có kiến thức tốt về bảo mật
mạng để có thể giữ vững an tồn cho thơng tin của hệ thống. Đối với ngƣời
dùng cá nhân, họ không thể biết hết các thủ thuật để tự xây dựng cho mình
một Firewall, nhƣng cũng nên hiểu rõ tầm quan trọng của bảo mật thơng tin
cho mỗi cá nhân, qua đó tự tìm hiểu để biết một số cách phòng tránh những
sự tấn công đơn giản của các hacker. Vấn đề là ý thức, khi đã có ý thức để
phịng tránh thì khả năng an tồn sẽ cao hơn[14].
Số hóa bởi Trung tâm Học liệu
/>
14
CHƢƠNG 2. CÁC BIỆN PHÁP BẢO MẬT
2.1. Các mức bảo mật thông tin
Các đối tƣợng tƣơng tác với hệ thống thơng tin có rất nhiều và sự tƣơng
tác với hệ thống cũng khác nhau phụ thuộc vào tính chất cơng việc của đối
tƣợng nhƣ: ngƣời quản trị, ngƣời quản lý, ngƣời sử dụng … tại mỗi sự tƣơng
tác này đều có thể nảy sinh vấn đề về bảo mật. Do vậy khơng thể có một giải
pháp an tồn tuyệt đối cho một hệ thống thông tin. Để bảo mật cho một hệ
thống ta phải kết hợp nhiều mức bảo mật khác nhau để tạo thành rào chắn
vững rắc đối với hoạt động xâm phạm trái phép.
Việc bảo mật chủ yếu là bảo vệ các thông tin lƣu trữ trên máy tính do
vậy ngồi một số biệt pháp để hạn chế thơng tin thất thốt (lộ, sai hỏng, sửa
đổi) trên đƣờng truyền thì chủ yêu tập chung vào các giải pháp nghiên cứu
các truy cập thơng tin từ bên ngồi vào trong hệ thống[1].
Tƣờng
lửa
(Fire
Walls)
Lớp
bảo vệ
vật ly
Mã
hóa
thơng
tin
Đăng
ký và
mật
khẩu
Quyền
truy
nhập
Thơng
tin
Hình 1: Các mức bảo mật thông tin
Quyền truy nhập (Access Right): Lớp bảo vệ này nhằm kiểm soát việc
truy nhập tài nguyên mạng và quyền hạn trên tài nguyên đó. Cụ thể là việc
quản lý đƣợc tiến hành ở mức truy nhập tệp. Việc xác lập các quyền này đƣợc
quyết định bởi ngƣời quản trị mạng (supervisor).
Đăng ký tên/mật khẩu (login/password): Mỗi ngƣời sử dụng muốn vào
sử dụng mạng đều phải đăng ký tên/mật khẩu. Nếu ngƣời ngồi khơng biết
tên, mật khẩu thì khơng thể truy nhập vào hệ thống. Phƣơng pháp này đơn
giản, hiệu quả. Nhƣng nếu không cẩn thận để kẻ thâm nhập biết tên, mật khẩu
Số hóa bởi Trung tâm Học liệu
/>
15
thì có thể gây nguy hiểm. Phƣơng pháp này khơng mấy hiệu quả với những kẻ
quá hiểu biết về hệ thống.
Mã hoá dữ liệu (Data Encryption): Phƣơng pháp này nhằm mục đích
biến đổi dữ liệu từ dạng nhận thức đƣợc đến dạng khơng nhận thức đƣợc theo
một thuật tốn nào đó và sẽ đƣợc biến đổi ngƣợc lại ở trạm nhập.
Lớp bảo vệ vật lý (Physical Protection): Lớp này nhằm ngăn cản các
truy cập vật lý bất hợp pháp vào hệ thống. Thƣờng dùng các biện pháp nhƣ
cấm tuyệt đối khơng cho ngƣời khơng có phận sự vào phịng máy, dùng ổ
khố trên máy tính, khố bàn phím, dùng các trạm không sử dụng ổ đĩa mềm
hoặc các biện pháp dùng khoá cứng…
Tƣờng lửa (Fire Wall): để bảo vệ an tồn và ngăn chặn từ xa một máy
tính hay cả mạng nội bộ . Đây là biện pháp phổ biến để bảo vệ các mạng nội
bộ, nó ngăn chặn các thâm nhập trái phép và có thể lọc bỏ các gói tin mà
khơng muốn gửi đi hoặc nhận vào vì những lý do nào đó [1,Tr5].
2.2. Firewall và các cơ chế bảo mật của Firewall.
2.2.1. Giới thiệu về Firewall
Ngày nay Internet cho phép chúng ta truy cập tới mọi nơi trên thế giới,
nhờ đó mà ta có thể biết đƣợc thơng tin trên tồn cầu. Nhƣng cũng chính vì
thế mà các hệ thống máy tính có thể bị xâm nhập vào bất kỳ lúc nào. Do vậy
việc bảo vệ hệ thống là một vấn đề chúng ta đáng phải quan tâm. Ngƣời ta đã
đƣa ra kỹ thuật FireWall để giải quyết vấn đề này. FireWall là một kỹ thuật
đƣợc tích hợp vào hệ thống mạng để chống lại sự truy cập trái phép nhằm bảo
vệ các nguồn thông tin nội bộ cũng nhƣ hạn chế sự xâm nhập vào hệ thống
thơng tin khác khơng mong muốn. Nói cách khác FireWall đóng vai trị là
một trạm gác ở cổng vào của mạng. FireWall là một giải pháp rất hiệu quả
trong việc bảo vệ máy tính khi tham gia vào mạng. Nó đƣợc coi nhƣ là tƣờng
Số hóa bởi Trung tâm Học liệu
/>
16
lửa bảo vệ máy tính của ngƣời dùng trƣớc sự tấn cơng của các hình thức tấn
cơng trên mạng.
Trong một số trƣờng hợp, Firewall có thể đƣợc thiết lập ở trong cùng
một mạng nội bộ và cô lập các miền an tồn.
Ví dụ: Mơ hình sử dụng Firewall để bảo vệ hệ thống mạng nội bộ
(LAN) bên trong với môi trƣờng internet bên ngồi.
Hình 2: Sử dụng Firewall bảo vệ hệ thống mạng với mơi trƣờng ngồi
FireWall là cổng chắn giữa mạng nội bộ với thế giới bên ngoài
(Internet), mục đích là tạo nên một lớp vỏ bọc bao quanh mạng để bảo vệ các
máy bên trong mạng, tránh các đe dọa từ bên ngoài. Cơ chế làm việc của
tƣờng lửa là dựa trên việc kiểm tra các gói dữ liệu IP lƣu truyền giữa máy chủ
và trạm làm việc. FireWall quyết định những dịch vụ nào từ bên trong đƣợc
phép truy cập từ bên ngoài, những ngƣời nào từ bên ngồi đƣợc phép truy cập
Số hóa bởi Trung tâm Học liệu
/>
