ĐẠI HỌC THÁI NGUYÊN
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG

SYVILAY KEOVIVANH

NGHIÊN CỨU MỘT SỐ GIẢI PHÁP ĐẢM BẢO AN
NINH VÀ XÁC THỰC TRONG TÍCH HỢP NGƯỜI DÙNG
ĐA MIỀN DỊCH VỤ CỦA CỔNG THÔNG TIN ĐIỆN TỬ
VIỆN KHOA HỌC XÃ HỘI QUỐC GIA LÀO

LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH

Thái Nguyên năm 2020


ĐẠI HỌC THÁI NGUYÊN
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG

SYVILAY KEOVIVANH

NGHIÊN CỨU MỘT SỐ GIẢI PHÁP ĐẢM BẢO AN NINH VÀ XÁC THỰC
TRONG TÍCH HỢP NGƯỜI DÙNG ĐA MIỀN DỊCH VỤ CỦA CỔNG
THÔNG TIN ĐIỆN TỬ VIỆN KHOA HỌC XÃ HỘI QUỐC GIA LÀO

Chuyên ngành: Khoa học máy tính
Mã số: 8 48 01 01

LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH

Người hướng dẫn khoa học: TS. Nguyễn Đức Bình

Thái Nguyên - 2020


i

LỜI CẢM ƠN
Trước tiên, tôi xin được gửi lời cảm ơn đến các quý thầy cô đã giảng dạy
trong chương trình Cao học do Trường Đại học Cơng nghệ thơng tin và Truyền
thông tổ chức, những người đã truyền đạt cho tơi những kiến thức hữu ích về khoa
học máy tính, làm cơ sở cho tơi thực hiện tốt luận văn này.
Tôi xin chân thành cảm ơn TS. Nguyễn Đức Bình đã tận tình hướng dẫn cho
tơi trong thời gian thực hiện luận văn. Mặc dù trong quá trình thực hiện luận văn
gặp nhiều khó khăn, nhưng với sự hướng dẫn của Thầy, tôi đã học hỏi được nhiều
bài học kinh nghiệm q báu, là nền tảng để tơi hồn thiện được nội dung luận văn
của mình.
Tơi cũng xin gửi lời cảm ơn đến tất cả các đồng nghiệp đang làm việc tại
Viện Khoa học xã hội quốc gia Lào đã tận tình giúp đỡ tơi trong việc thu thập thông
tin, lấy số liệu về hệ thống làm cơ sở dữ liệu cho luận văn.
Sau cùng tôi xin gửi lời biết ơn sâu sắc đến các anh, chị trong lớp và gia đình
đã ln tạo điều kiện tốt nhất cho tơi trong suốt q trình học cũng như thực hiện
luận văn.
Do thời gian có hạn và kinh nghiệm nghiên cứu khoa học của bản thân còn
hạn chế nên luận văn cịn nhiều thiếu sót, rất mong nhận được ý kiến góp ý của
Thầy/Cơ và các anh chị học viên.
Thái Ngun, tháng … năm 20…
Học viên

Keovivanh SYVILAY



ii

LỜI CAM ĐOAN
Tôi xin cam đoan những kết quả trong luận văn là của việc tìm hiểu, nghiên
cứu và có trích dẫn, tham chiếu đến các nguồn tư liệu tin cậy. Nội dung luận văn
chưa từng được công bố hay xuất bản dưới bất kỳ hình thức nào.
Tất cả phần mã nguồn của chương trình thuộc nội dung luận văn này đều do
tôi tự thiết kế và xây dựng, trong đó có sử dựng một số thư viện chuẩn và các thuật
tốn được các tác giả xuất bản cơng khai và miễn phí trên mạng Internet.
Thái Nguyên, tháng 11 năm 2020
Tác giả luận văn

Keovivanh SYVILAY


iii

MỤC LỤC
LỜI CẢM ƠN .............................................................................................................. i
LỜI CAM ĐOAN .......................................................................................................ii
MỤC LỤC ................................................................................................................. iii
DANH MỤC HÌNH ẢNH .......................................................................................... v
DANH MỤC CÁC TỪ VIẾT TẮT ........................................................................... vi
MỞ ĐẦU ..................................................................................................................... 1
CHƯƠNG 1 TỔNG QUAN VỀ ĐẢM BẢO AN NINH VÀ XÁC THỰC NGƯỜI
DÙNG ......................................................................................................................... 5
1.1. Hệ thống thông tin và vấn đề đảm bảo an ninh ............................................... 5
1.1.1 Các vấn đề hệ thống thông tin ................................................................... 5
1.1.2. Phân loại các hệ thống thông tin .............................................................. 6
1.1.3. Đặc điểm hệ thống thông tin dữ liệu Viện khoa học xã hội quốc gia Lào7

1.2. Vấn đề bảo mật, an toàn và xác thực người dùng.......................................... 10
1.2.1. Vấn đề an ninh thông tin ........................................................................ 10
1.2.2. Hệ thống thông tin đa miền dùng dịch vụ .............................................. 11
1.2.3. Vấn đề an ninh trong hệ thống thông tin đa người dùng ........................ 13
CHƯƠNG 2 MỘT SỐ PHƯƠNG PHÁP ĐẢM BẢO AN NINH VÀ XÁC THỰC
TRONG TÍCH HỢP NGƯỜI DÙNG ĐA MIỀN DỊCH VỤ ................................... 15
2.1. Yêu cầu về đảm bảo an ninh và xác thực trong các hệ thống đa miền dịch vụ .... 15
2.1.1. Một số vấn đề an ninh trong hệ thống đa miền dịch vụ ......................... 15
2.1.2. Yêu cầu về xác thực trong hệ thống đa miền dịch vụ ............................ 17
2.2. Các phương pháp đảm bảo an ninh cho người dùng đa miền dịch vụ .......... 19
2.2.1. Nguyên lý mã hóa................................................................................... 19
2.2.2 Phương pháp ký số và quản lý khóa ........................................................ 21
2.2.3. Phương pháp bảo mật định danh người dùng......................................... 23
2.2.4. Phương pháp bảo mật CSDL .................................................................. 27


iv

2.3. Các phương pháp đảm bảo xác thực danh tính người dùng đa miền dịch vụ 34
2.3.1. Xác thực đăng nhập Single sign on (SSO) ............................................. 34
2.3.2. Xác thực hai yếu tố SMS, Voice, Call, Email ........................................ 35
CHƯƠNG 3 XÂY DỰNG GIẢI PHÁP ĐẢM BẢO AN NINH VÀ XÁC THỰC
NGƯỜI DÙNG ĐA MIỀN DỊCH VỤ CHO CỔNG THÔNG TIN ĐIỆN TỬ VIỆN
KHOA HỌC XÃ HỘI QUỐC GIA LÀO ................................................................. 38
3.1. Đặt vấn đề ...................................................................................................... 38
3.2. Hiện trạng và nhu cầu đảm bảo an ninh và xác thực người dùng đa miền dịch vụ.... 39
3.2.1 Về phần cứng ........................................................................................... 41
3.2.2 Về phần mềm........................................................................................... 41
3.3. Giải pháp triển khai thử nghiệm sử dụng đăng nhập một lần SSO cho hệ
thống cổng thông tin điện tử Viện khoa học xã hội quốc gia Lào ........................ 42

3.3.1 OpenID Connect và SSO ......................................................................... 46
3.3.2 Xác thực người dùng với OpenID Connect............................................. 47
3.4. Cài đặt thử nghiệm và đánh giá hiệu quả ...................................................... 48
3.4.1. Cài đặt và cấu hình SSL cổng thơng tin với Liferay ............................. 48
KẾT LUẬN VÀ ĐỀ NGHỊ ....................................................................................... 54
TÀI LIỆU THAM KHẢO ......................................................................................... 55


v

DANH MỤC HÌNH ẢNH
Hình 2.1: Chuẩn MD5 ...............................................................................................20
Hình 2.2: Quy trình ký và thấm tra chữ ký số ...........................................................21
Hình 2.3: Quá trình ký vào tài liệu điện tử sử dụng Private Key.............................22
Hình 2.4: Quản lý khóa sử dụng Private key ............................................................23
Hình 2.5: Các đặc trưng sinh trắc học phổ biến ........................................................25
Hình 2.6: Mơ hình client - server ..............................................................................28
Hình 2.7: Mơ hình trao đổi dữ liệu ...........................................................................29
Hình 2.8: Trao đổi thơng tin theo giao thức SSL ......................................................32
Hình 2.9: Xác thực bằng mã code .............................................................................36
Hình 3.1: Khởi tạo Server và cổng thơng tin điện tử với Liferay .............................48
Hình 3.2: Tạo chứng chỉ số .......................................................................................49
Hình 3.3: File chứng chỉ số .......................................................................................49
Hình 3.4: Cài đặt chứng chỉ số ..................................................................................50
Hình 3.5: Thử nghiệm chứng chỉ số..........................................................................50
Hình 3.6: Cài đặt SSL xác thực người dùng sử dụng dịch vụ Google ......................51
Hình 3.7: Cài đặt SSL trong Facebook .....................................................................51
Hình 3.8: Tích hợp xác thực người dùng vào cổng thơng tin ...................................52
Hình 3.9: Cấu hình OpenID ......................................................................................52



vi

DANH MỤC CÁC TỪ VIẾT TẮT

Tên tiếng Anh

Tên tiếng Việt

Từ viết tắt

Vitual Private Network

Mạng riêng ảo

VPN

Single Sign On

đăng nhập một lần

SSO

Database

Cơ sở dữ liệu

CSDL

Secure Sockets Layer


chứng chỉ số

SSL

Uninterruptible Power Supplier

Bộ lưu trữ điện dự phòng

UPS

Database management system

Hệ quản trị cơ sở dữ liệu

DBMS

Xtensible Markup Language

Ngôn ngữ đánh dấu mở rộng

XML

Internet protocol suite

Bộ giao thức liên mạng

TCP/IP

Local Area Network


Mạng cục bộ

LAN

Advanced Encryption Standard

Chuẩn mã hóa tiên tiến

AES

Windows Communication

Nền tảng kết nối

WCF

Foundation


1
MỞ ĐẦU
1. Lý do chọn đề tài
Cổng thông tin điện tử được xây dựng với mục tiêu là điểm truy cập tập
trung và duy nhất; tích hợp các kênh thơng tin các dịch vụ, ứng dụng cho phép thực
hiện trao đổi dữ liệu với các hệ thống thơng tin tích hợp, đồng thời thực hiện cung
cấp trao đổi thông tin với người sử dụng thông qua một phương thức thống nhất dựa
trên nền tảng Web không hạn chế về không gian và thời gian. Với đặc điểm đó
Cổng thơng tin điện tử là lựa chọn phù hợp cho nhiều tổ chức cơ quan có nhu cầu
lưu trữ, trao đổi thơng tin lớn và đa dạng như Viện Khoa học xã hội quốc gia Lào.

Bên cạnh đó, nhằm hỗ trợ nhiều đối tượng người dùng được cung cấp và sử
dụng định danh từ các nhà cung cấp định danh khác nhau (đa miền dịch vụ) có thể
thực hiện trao đổi thơng tin với cổng thông tin thông qua một phương thức thống
nhất dựa trên nền tảng. Cổng thông tin thường được hỗ trợ cơ chế tích hợp và đăng
nhập một lần (Single Sign On). Tuy nhiên mỗi nền tảng công nghệ lại có khả năng
và cơ chế hỗ trợ riêng biệt. Điều này dẫn tới các vấn đề về an ninh và xác thực
thơng tin người dùng.
Những lí do trên thúc đẩy việc nghiên cứu một cách đầy đủ các yếu tố liên
quan đến vấn đề an ninh và xác thực thông tin người dùng cổng thông tin điện tử
Viện Khoa học xã hội quốc gia Lào. Đề tài này cung cấp góc nhìn tổng thể về đặc
điểm người dùng đa miền dịch vụ, cũng như các vấn đề an ninh và cơ chế xác thực
người dùng tương tác với cổng thông tin điện tử Viện Khoa học xã hội quốc gia
Lào. Từ đó cung cấp một số giải pháp để giải quyết các vấn đề an ninh và xác thực
cơ bản đối với cổng thông tin điện tử Viện Khoa học xã hội Lào, bao gồm các vấn
đề chính yếu sau: Cơ chế quản trị và tích hợp người dùng từ một miền dịch vụ, quản
trị an ninh đối với người dùng từ các miền dịch vụ và quản lý cơ chế xác thực thông
tin người dùng từ các miền dịch vụ.
Ngày nay, lĩnh vực bảo mật an tồn thơng tin đang được nghiên cứu, phát
triển và ứng dụng rộng rãi trong nhiều hệ thống thông tin nhằm đảm bảo một hệ
thống có tính bảo mật, tin cậy và sẵn sàng. Đặc biệt là những hệ thống cơ sở dữ liệu


2
lưu trữ lớn hoặc cổng thơng tin tích hợp dữ liệu cần phải có những giải pháp đảm
bảo an tồn và bí mật trong hệ thống đào tạo, nghiên cứu. Người ta đều xây dựng và
triển khai các cổng thông tin tích hợp dữ liệu nhưng việc nghiên cứu các giải pháp
đảm bảo an tồn và bảo mật thì chưa được quan tâm nhiều. Vấn đề này ở Lào là một
trong vấn đề mới cần được quan tâm đầu tư, chính vì vậy việc nghiên cứu giải pháp
đảm bảo an tồn và bảo mật, tính xác thực người dùng cho cổng thông tin điện tử là
rất cần thiết. Để triển khai nội dung trên thì chúng ta cần tập trung xem xét các vấn

đề an tồn bảo mật thơng tin, các công nghệ triển khai cho cổng thông tin điện tử,
trên cơ sở đó đề xuất giải pháp đảm bảo an tồn và bảo mật cho cổng thơng tin.
Triển khai xây dựng giải pháp thử nghiệm cho một số ứng dụng đảm bảo an tồn,
bảo mật thơng tin và xác thực người dùng đa miền dịch vụ cho cổng thông tin điện
tử Viện khoa học xã hội Quốc gia Lào.
2. Tính thực tiễn của đề tài
Lĩnh vực nghiên cứu, đào tạo khơng ngừng phát triển. Tiếp cận và tích hợp
đa miền dịch vụ để nâng cao chất lượng nghiên cứu, đào tạo là điều rất cần thiết đối
với Viện Khoa học xã hội Quốc gia Lào. Với sự phát triển mạnh mẽ của ngành
Công nghệ thông tin, một trong những ngành mũi nhọn của nhiều quốc gia trên thới
giới. Sự phát triển vượt bậc đó là kết quả tất yếu của việc ứng dụng của nó trong
nhiều lĩnh vực khác nhau trong cuộc sống như: giáo dục, y tế, kinh tế, khoa học, xây
dựng nó đã trở thành một phần không thể thiếu được trong cuộc sống hàng ngày của
con người. Trong kỷ ngun bùng nổ thơng tin, việc tìm kiếm thơng tin từ những
nguồn dữ liệu khác nhau, tích hợp đa miền dịch vụ, đa hệ thống vào chung một
cổng để giao tiếp và sử dụng là nhu cầu thiết thực cho người dùng hiện nay. Tuy
nhiên, một hệ thống lớn bao gồm nhiều dịch vụ, phần mềm nhỏ sẽ gặp phải vấn đề
bảo mật an tồn thơng tin và xác thực người dùng. Các nguy cơ bị đánh cắp dữ liệu
người dùng, truy cập không cho phép, phá hoại dữ liệu…thường xuyên xảy ra và
mang đến hậu quả thiệt hại lớn. Xuất phát từ những thực tế trên, tôi đã chọn đề tài
“Nghiên cứu một số giải pháp đảm bảo an ninh và xác thực trong tích hợp người
dùng đa miền dịch vụ của cổng thông tin điện tử Viện Khoa học xã hội Quốc gia
Lào” để nghiên cứu cho luận văn thạc sĩ của mình.


3

3. Mục tiêu nghiên cứu
Mục tiêu và nội dụng của luận văn này là nghiên cứu một số giải pháp đảm
bảo an ninh và xác thực trong tích hợp người dùng đa miền dịch vụ của cổng thông

tin điện tử Viện Khoa học xã hội Quốc gia Lào. Để giải quyết các vấn đề trên thì đề
tài tập trung vào các vấn đề sau:
 Nghiên cứu về an toàn bảo mật thông tin, mật mã, xác thực thông tin.
 Nghiên cứu về mơ hình hệ thống, cơng nghệ, và thuật tốn liên quan tới cổng
thơng tin điện tử.
 Đề xuất được những giải pháp đảm bảo an toàn và bảo mật cho cổng thông
tin điện tử Viện Khoa học xã hội Quốc gia Lào.
 Triển khai xây dựng thử nghiệm đảm bảo an tồn và bảo mật thơng tin, xác thực
người dùng cho cổng thông tin điện tử Viện Khoa học xã hội Quốc gia Lào.
4. Đối tượng và phạm vi nghiên cứu
Lý thuyết
 Tìm hiểu đặc điểm người dùng đa miền dịch vụ hệ thống cổng thông tin điện tử.
 Tìm hiểu một số phương pháp đảm bảo xác thực người dùng đa miền dịch vụ.
 Tìm hiểu một số phương pháp đảm bảo an ninh trong tích hợp người dùng đa
miền dịch vụ.
 Lựa chọn phương pháp đảm bảo an ninh và xác thực trong tích hợp người
dùng đa miền dịch vụ phù hợp với cổng thông tin điện tử Viện Khoa học xã
hội Lào.
Thực nghiệm
 Thực hiện thử nghiệm các tham số đối với các tham số của một số phương
pháp đảm bảo an ninh và xác thực người dùng đa miền.
 Phân tích, đánh giá kết quả thu được.


4
 Cài đặt và cấu hình thử nghiệm hệ thống đảm bảo an toàn an ninh và xác
thực người dùng đa miền dịch vụ cổng thông tin điện tử Viện Khoa học xã
hội Lào.
5. Phương pháp nghiên cứu
Nghiên cứu một số phương pháp đảm bảo an ninh và xác thực người dùng đa

miền dịch vụ đã được công bố ở trong và ngoài nước. (Từ nguồn học liệu tại trường
Đại học Công nghệ thông tin và Truyền thông, các nhà khoa học, các tạp chí mạng),
thực hiện khảo sát và đưa ra ưu/nhược điểm của các phương pháp; lựa chọn phương
pháp phù hợp có thể đảm bảo an tồn an ninh và xác thực;
Nghiên cứu một số phương pháp cơ chế đảm bảo xác thực thông tin người
dùng đa miền dịch vụ đã được công bố; lựa chọn phương pháp có hiệu quả cao nhất.
Nghiên cứu một số phương pháp đảm bảo an ninh trong tích hợp người dùng
đa dịch vụ đã được công bố; lựa chọn giải pháp đảm bảo an tồn tốt nhất.
Cài đặt và cấu hình thử nghiệm hệ thống đảm bảo an ninh và xác thực người
dùng cho cổng thông tin người dùng cổng thông tin điện tử Viện Khoa học xã hội
Lào; phân tích và đánh giá kết quả thu được; so sánh hiệu quả trong các trường hợp
sử dụng thực tế.
6. Bố cục luận văn
Luận văn bao gồm: mục lục, phần mở đầu, phụ lục.
Chương 1: Tổng quan về đảm bảo an ninh và xác thực người dùng
Chương 2: Một số phương pháp đảm bảo an ninh và xác thực trong tích hợp
người dùng đa miền dịch vụ.
Chương 3: Xây dựng giải pháp đảm bảo an ninh và xác thực người dùng đa
miền dịch vụ cho cổng thông tin điện tử Viện khoa học xã hội Quốc gia Lào.
Kết luận và đề nghị.


5
CHƯƠNG 1
TỔNG QUAN VỀ ĐẢM BẢO AN NINH VÀ XÁC THỰC NGƯỜI DÙNG
1.1. Hệ thống thông tin và vấn đề đảm bảo an ninh
1.1.1 Các vấn đề hệ thống thông tin
An ninh mạng đặt ra các vấn đề với các tổ chức, doanh nghiệp, cá nhân. Đặc
biệt, với đặc trưng có mặt ở khắp nơi, liên tục thu thập thơng tin về hoạt động của
con người, môi trường xung quanh và liên tục kết nối, hàng chục tỷ thiết bị đang

hoạt động trên thế giới có thể bị lợi dụng để tạo ra những mạng lưới thu thập thông
tin với phạm vi hoạt động cực rộng, len lỏi vào từng khía cạnh của đời sống con
người, tạo ra những nguy cơ chưa từng có với các tổ chức, cá nhân trước hoạt động
của tội phạm mạng. Có thể nói, đề tài về bảo đảm an ninh thông tin (ANTT) đang là
một trong những vấn đề được ưu tiên toàn cầu, khu vực và mỗi quốc gia.
Các giải pháp bảo vệ an ninh thông tin trong thời đại công nghệ số:
Một là thống nhất và nâng cao nhận thức về an tồn thơng tin trong thời kỳ
kỹ thuật số. Xác định cơng tác bảo đảm an ninh, phịng, chống vi phạm và tội phạm
mạng là một bộ phận trọng yếu của cuộc đấu tranh bảo vệ an ninh quốc gia, giữ gìn
trật tự, an tồn xã hội, là nhiệm vụ của cả hệ thống các cấp, các ngành, cho đến từng
cơ quan, đoàn thể.
Hai là coi trọng việc đẩy mạnh xây dựng nguồn nhân lực ANTT Lào cả số
lượng lẫn chất lượng. Đào tạo thêm nhiều kỹ sư thuộc các chuyên ngành an ninh
mạng, đảm bảo nhu cầu khát nhân lực hiện nay. Không chỉ đảm bảo về mặt số
lượng, cần phải nâng cao chất lượng trong ngành bằng việc đào tạo đội ngũ giảng
dạy có phương pháp và quy trình chuẩn.
Ba là tăng cường năng lực và nâng cao một bước hiệu quả quản lý nhà nước
về công nghệ thông tin và truyền thông, về ANTT, an ninh mạng. Tiếp tục xây
dựng, hoàn thiện hệ thống pháp luật về an ninh mạng, quy chuẩn về an tồn thơng
tin. Kiện tồn tổ chức bộ máy thực thi quản lý nhà nước về an ninh, an tồn mạng
thơng tin quốc gia, hệ thống các đơn vị chuyên trách về ANTT, công nghệ thơng
tin. Hồn thiện hệ thống quản lý theo pháp luật, đảm bảo.


6

Bốn là xây dựng mơ hình phát triển và sử dụng công nghệ thông tin phù hợp
với luật pháp, trên cơ sở tôn trọng quyền tự do và những quyền cơ bản khác của con
người, đồng thời không can thiệp cơng việc nội bộ lẫn nhau; phản đối mọi hình thức
lợi dụng vấn đề “tự do thông tin”, “nhân quyền”, “dân chủ” trên khơng gian mạng

để xâm hại lợi ích của các quốc gia, quyền và lợi ích hợp pháp của các cơng dân.
Năm là chủ động có phương án, chiến lược phịng chống các cuộc tấn cơng
mạng. Lập kế hoạch triển khai khi có sự cố sảy ra để khơng bị động trước những tấn
cơng bất thường [11].
Vai trị của an ninh thông tin ngày càng quan trọng kéo theo nhu cầu về
nguồn nhân lực ngày càng gia tăng. Ở Lào, ngành an ninh thông tin và quản trị
mạng đang được rất nhiều bạn trẻ theo học.
Trung tâm tích hợp dữ liệu được hiểu là một khu vực mà trong đó tích hợp
cơ sở dữ liệu (CSDL) của các ứng dụng trong một cơ quan, tổ chức, doanh nghiệp
và trong đó có các kết nối mạng, máy chủ chạy ứng dụng CSDL thực hiện việc trao
đổi dữ liệu giữa tổ chức,...với CSDL trung tâm qua mạng cục bộ, mạng Internet.
Ngoài việc đảm bảo an toàn cho nơi lưu trữ dữ liệu thì việc đảm bảo an ninh
cho bản thân dữ liệu cũng rất quan trọng. Tuỳ theo cách thức dữ liệu được truy xuất
và lưu trữ thì vấn đề về đảm bảo an ninh cho dữ liệu có các điều kiện khác nhau. Ví
dụ như việc đảm bảo an ninh cho dữ liệu được lưu trữ lại CSDL thì cần phải chống
lại những nguy cơ mất an ninh cho dữ liệu như: trộm cắp dữ liệu, sửa đổi trái phép.
Bảo đảm tính tồn vẹn dữ liệu và an ninh cho dữ liệu khi dữ liệu được trao đổi cho
ứng dụng thì cần bảo vệ dữ liệu trên đường truyền. Do đó việc đảm bảo an ninh, an
tồn và xác thực người dùng trên cổng thông tin là thiết yếu và cũng là vấn đề lớn
mà Viện khoa học xã hội Quốc gia Lào cần phải nghiên cứu, triển khai trên thực tế.
1.1.2. Phân loại các hệ thống thông tin
Hệ thống thông tin là một tập hợp và kết hợp của các thành phần sử dụng đề
thu thập, tạo, tái tạo, phân phối và chia sẻ các dữ liệu, thông tin và tri thức nhằm
phục vụ các mục tiêu của tổ chức; có thể là thủ cơng nếu dựa vào các công cụ như
giấy, bút. Hệ thống thông tin hiện đại là hệ thống tự động hóa dựa vào máy tính


7

(phần cứng, phần mềm) và các công nghệ thông tin học cịn hệ thống thơng tin quản

lý được phân loại theo cấp bậc quản lý như sau:
-

Hệ thống thông tin quản lý (Management Information System-MIS)

-

Hệ thống xử lý giao địch (Transactions Processing Systems- TPS)

-

Hệ tự động văn phòng (Office Automation Systems- OAS)

-

Hệ thống chuyên môn (Knowledge Word System- KWS)

-

Hệ hỗ trợ quyết định (Decision Support System – DSS)

-

Hệ thông tin hỗ trợ lãnh đạo (Executive Support Systems- ESS)

1.1.3. Đặc điểm hệ thống thông tin dữ liệu Viện khoa học xã hội quốc gia Lào
Để đảm bảo các hệ thống ứng dụng công nghệ thông tin (CNTT) hoạt động
tốt trên mạng Internet, đa số các cơ quan đã bước đầu quan tâm thực hiện theo các
quy định của pháp luật nhằm đảm bảo an tồn, an ninh thơng tin trong hoạt động
ứng dụng CNTT cho cơ sở.

Hệ thống phần mềm dùng chung, phần mềm chuyên ngành, phần mềm ứng
dụng nội bộ cơ bản được đảm bảo an tồn, an ninh thơng tin đều được sự hỗ trợ tích
cực của các chuyên gia, công ty cung cấp phần mềm. Hàng năm, Viện Khoa học Xã
hội quốc gia Lào cũng tổ chức các lớp đào tạo, tập huấn về CNTT nhằm nâng cao
trình độ giúp cho cán bộ, công chức, chủ động thực hiện các biện pháp bảo đảm an
tồn, an ninh thơng tin; nâng cao kiến thức về chuyên môn và kỹ năng sử dụng
CNTT, đảm bảo an tồn thơng tin mạng cho đội ngũ cán bộ chuyên trách CNTT
trong cơ quan. Đồng thời yêu cầu các đơn vị trực thuộc tổ chức kiểm tra, rà soát và
đánh giá tổng thể về cơng tác đảm bảo an tồn thơng tin cho các hệ thống thuộc
phạm vi quản lý, tổ chức thực hiện các biện pháp kỹ thuật cơ bản đảm bảo an tồn
thơng tin cho trang thơng tin điện tử.
Tuy nhiên, cơng tác đảm bảo an tồn thơng tin mạng ở Viện khoa học xã hội
quốc gia Lào vẫn chưa được cập nhật với mặt bằng chung của khu vực và thế giới.
Hệ thống mạng kết nối ngang hàng, thiếu các trang thiết bị đảm bảo an tồn thơng
tin mạng, các hệ thống thơng tin cịn tồn tại lỗ hổng bảo mật, tiềm ẩn nguy cơ gây


8
mất dữ liệu, lây nhiễm các phần mềm độc hại ảnh hưởng đến ứng dụng và phát triển
CNTT.
Mặt khác, kinh phí tổng thể đầu tư cho xây dựng hạ tầng kỹ thuật CNTT và
cơng tác đảm bảo an tồn và an ninh thơng tin cịn hạn chế; việc đảm bảo an tồn,
an ninh thơng tin đối với các hệ thống thơng tin nói chung và các hệ thống thư điện
tử, quản lý văn bản và điều hành, trang thông tin điện tử nói riêng chưa được quan
tâm đầu tư tương xứng. Đa số mới chỉ dừng lại ở mức trang bị các phần mềm diệt
virus có bản quyền cho các máy tính, chưa có biện pháp đảm bảo an tồn an ninh
thơng tin được cài đặt đồng bộ trên tồn cơ quan do vậy khả năng phòng chống
virus, bảo mật không cao.
Đội ngũ cán bộ chuyên viên phụ trách an tồn, an ninh thơng tin tại Viện
khoa học xã hội quốc gia Lào còn thiếu, cần được đào tạo, tập huấn chun sâu về

an tồn, an ninh thơng tin. Do đó để đảm bảo an tồn, an ninh thơng tin trong hoạt
động của Viện khoa học xã hội quốc gia Lào hiện nay cần có những giải pháp, cơ
chế chính sách cụ thể nhằm hạn chế nguy cơ mất ATTT trên môi trường mạng,
ngăn ngừa mã độc, phần mềm gián điệp tấn công vào các hệ thống thông tin trọng
yếu, máy tính cá nhân của cán bộ, cơng chức, viên chức. Trong đó cần ưu tiên thực
hiện ngay một số biện pháp sau:
Một là, nâng cao nhận thức của cán bộ, công chức, viên chức trong đơn vị về
mức độ quan trọng của việc đảm bảo an toàn, an ninh thông tin. Thường xuyên tổ
chức đào tạo, tập huấn, tuyên truyền về cơng tác đảm bảo an tồn, an ninh thông tin;
tổ chức diễn tập, đào tạo chuyên sâu ATTT để nâng cao trình độ, chun mơn
nghiệp vụ cán bộ chuyên trách CNTT.
Hai là, thường xuyên kiểm tra, rà soát, đánh giá mức độ đảm bảo ATTT cho
hệ thống mạng nội bộ (LAN) gồm: Máy chủ, máy trạm, thiết bị mạng, phần cứng,
phần mềm hệ thống và các hệ thống thông tin, phần mềm ứng dụng nhằm đánh giá
tổng thể mức độ ATTT mạng, kịp thời phát hiện và xử lý sự cố, lỗ hổng, ngăn chặn,
bóc gỡ mã độc tấn công vào hệ thống mạng.


9
Ba là, về phòng chống mã độc, virus, phần mềm gián điệp: Cách hiệu quả
nhất để có thể ngăn chặn, phòng ngừa các phần mềm độc hại trên lây nhiễm trên hệ
thống mạng máy tính của đơn vị đó là phải triển khai cài đặt phần mềm chống virus
cho tất cả các máy chủ, máy trạm và thiết bị di động trong hệ thống mạng. Sử dụng
cơ chế phòng chống tấn công, truy nhập trái phép vào hệ thống mạng, tự động phát
hiện và loại trừ mã độc được truyền tải từ thư điện tử, file đính kèm, từ các trang
web độc hại trên mạng Internet. Thường xuyên cập nhật phiên bản mới, bản vá lỗi
của hệ điều hành, phần mềm chống virus. Kiểm soát chặt chẽ cài đặt phần mềm trên
máy chủ, máy trạm, không cài đặt phần mềm khơng rõ nguồn gốc hoặc khơng có
bản quyền; cử cán bộ thường xuyên theo dõi hoạt động của cổng/trang thông tin
điện tử của đơn vị nhằm tránh các cuộc tấn công deface gây ảnh hưởng đến việc

cung cấp thông tin phục vụ người dân và doanh nghiệp. Thiết lập cơ chế bảo mật
cho mạng không dây như thay đổi các tham số mặc định của thiết bị, mã hóa dữ
liệu, đặt mật khẩu truy cập ở mức an toàn cao nhất.
Xây dựng, ban hành quy chế về đảm bảo an tồn, an ninh thơng tin trên mơi
trường mạng trong hoạt động nội bộ của đơn vị. Bố trí kinh phí thường xuyên cho
việc triển khai các biện pháp đảm bảo ATTT trong nội bộ cơ quan, mua sắm trang
thiết bị CNTT chuyên dụng như thiết bị tường lửa (Firewall), thiết bị lưu trữ dữ
liệu, phần mềm phòng chống virus; tăng cường đào tạo tập huấn…
Khi hệ thống bị tấn công, xảy ra sự cố hoặc nguy cơ mất ATTT cần nhanh
chóng cách ly hệ thống với mơi trường mạng, áp dụng mọi biện pháp để khắc phục
và hạn chế thiệt hại ở mức thấp nhất.
Cơng tác đảm bảo an tồn, an ninh thông tin trong hoạt động của Viện khoa
học xã hội quốc gia Lào đang là một nhiệm vụ quan trọng và không thể thiếu trong
công tác ứng dụng CNTT và hoạt động chỉ đạo điều hành. Do đó, phải thường
xuyên kiểm tra, rà soát, đánh giá mức độ an toàn bảo mật để đơn vị đưa ra giải pháp
kịp thời để đối phó, ngăn chặn các nguy cơ rủi ro có thể xảy ra bất cứ lúc nào [10].


10
1.2. Vấn đề bảo mật, an toàn và xác thực người dùng
1.2.1. Vấn đề an ninh thông tin
Với một nền tảng công nghệ vững mạnh và ngày càng phát triển, mở rộng,
việc giám sát các thông tin an ninh trong hệ thống là thật sự cần thiết. Điều này sẽ
giúp cho cơng tác kiểm sốt một hệ thống với rất nhiều thành phần khác nhau được
quản lý, cảnh báo tập trung và tự động đưa ra phân tích, đánh giá đối với từng thành
phần cũng như tổng thể hệ thống một cách kịp thời. Hơn thế nữa, việc giám sát còn
cho phép tương quan, xâu chuỗi các sự kiện của nhiều hệ thống khác nhau nhằm
đưa ra luồng thông tin chính xác từ các cuộc tấn cơng để từ đó xác định nguồn gốc
và có biện pháp xử lý kịp thời.
Ngồi ra, giải pháp An ninh thơng tin cịn cho phép đo lường, quản lý rủi ro

và quản lý việc tuân thủ các quy trình kinh doanh quan trọng để mang lại những
hiệu quả:
1. Phát hiện các vấn đề bảo mật và đưa ra thời gian xử lý sự cố an ninh thông
tin từ việc thu thập dữ liệu từ tất cả các nền tảng công nghệ, phần mềm, ứng dụng.
Tương quan các sự kiện với các ngữ cảnh khác nhau, dò quét các sự cố nghiêm
trọng, đồng thời giám sát các hành vi của người dùng, phát hiện các mối đe dọa từ
bên trong.
2. Đưa ra các báo cáo về tính tuân thủ của hệ thống CNTT dựa theo các tiêu
chuẩn quốc tế ISO 27001, PCI-DSS, NIST…một cách tự động hay bất kỳ khi nào tổ
chức yêu cầu. Quản lý sự cố và tổ chức các sự kiện trên toàn bộ hệ thống với một
giao diện thân thiện, thống nhất và hiệu quả hơn.
Theo Cục An ninh thông tin Lào, phần mềm độc hại mã hóa tống tiền; lừa
đảo trực tuyến, lây nhiễm phần mềm độc hại trên mạng xã hội; tấn cơng có chủ
đích; lỗ hổng khi kết nối Internet; hay tấn công mạng vào các hạ tầng viễn thông và
công nghệ thông tin là những vấn đề nóng về an tồn thơng tin.
 Lừa đảo trực tuyến, lây nhiễm phần mềm độc hại trên mạng xã hội
Cùng với sự phát triển phổ biến của mạng xã hội đặc biệt là những trang
mạng xã hội có đơng người sử dụng như Facebook, nhiều đối tượng xấu đang sử


11
dụng mạng xã hội làm nền tảng để lừa đảo trực tuyến hay phát tán những phần mềm
độc hại, gây ra những rủi ro, mất an tồn thơng tin cho người sử dụng.
Với một lượng người dùng mạng xã hội và Internet không ngừng gia tăng tại
Lào như hiện nay thì các nguy cơ mất an tồn thơng tin từ mạng xã hội sẽ vẫn tiếp
tục là một xu hướng nóng trong năm 2019 và các năm tiếp theo.
 Tấn cơng có chủ đích (APT)
Trong vài năm trở lại đây xu hướng tấn cơng có chủ đích (APT) đang diễn
biến hết sức phức tạp trên diện rộng. Đây là hình thức tấn cơng tinh vi và rất khó
phát hiện do kẻ tấn công sử dụng các kỹ thuật mới để ẩn nấp và những cuộc tấn

công này nhằm vào những người dùng hay các hệ thống quan trọng nhằm đánh cắp
thơng tin, phá hoại hệ thống và có thể xem là mối rủi ro nguy hiểm thường trực hiện
nay trên Internet không chỉ ở Lào và trên thế giới. Không nằm ngồi xu thế đó thì
đây vẫn là xu hướng chính và cần tiếp tục được quan tâm và chú trọng trong năm 2020.
 Tấn công mạng vào hạ tầng viễn thông và CNTT
Trong những năm gần đây, thế giới đã chứng kiến nhiều các cuộc tấn công
mạng với quy mô lớn nhắm vào các hệ thống cơ sở hạ tầng trọng yếu của quốc gia
như: Hệ thống điện, các nhà máy điện hạt nhân, các hệ thống công nghiệp,
SCADA… Tấn công vào các hạ tầng trọng yếu sẽ tăng theo xu hướng phát triển các
chiến dịch tấn công hiện đại do các quốc gia hoặc các tổ chức tội phạm thực hiện.
Tại Lào các cơ sở hạ tầng trọng yếu đều đang sử dụng hệ thống CNTT phục vụ cho
các hoạt động quản lý và vận hành do đó có thể nói đây sẽ trở thành đích ngắm của
nhóm, đối tượng muốn tấn công nhắm vào trong thời gian gần đây [12].
1.2.2. Hệ thống thông tin đa miền dùng dịch vụ
Hệ thống thông tin đa miền dùng dịch vụ là các ứng dụng CNTT cơ bản phục
vụ công tác vận hành, quản trị hệ thống CNTT, cũng như các hoạt động thiết yếu
của người dùng trong một tổ chức. Có nhiều phần mềm ứng dụng phục vụ người
dùng trong Viện khoa học xã hội quốc gia Lào. Tuy nhiên, cơ bản nhất là các ứng
dụng phục vụ trao đổi thông tin, từ thông tin dạng Text (văn bản) đến thông tin đa
phương tiện. Kinh điển và không thể thiếu trong trao đổi và điều hành công việc là
ứng dụng thư điện tử. Ngày nay, thư điện tử chỉ còn là một thành phần tính năng cơ


12
bản nhất trong hệ thống tạo môi trường làm việc cộng tác (Collaboration). Bên cạnh
đó cũng phải kể đến các phần mềm phục vụ cho nhu cầu công việc hàng ngày của
Viện như phần mềm kế toán, phần mềm đào tạo, thư viện điện tử, website, phần
mềm xem camera, quản lý nhân sự….Đây được coi là một hệ thống đa miền dịch vụ
cho Viện khoa học xã hội quốc gia Lào.
Một hệ thống chỉ có thể hoạt động tốt, có tính sẵn sàng cao và đạt được hiệu

quả khi cơng tác quản trị, giám sát, vận hành hệ thống được thực hiện bài bản, chặt
chẽ. Các tổ chức, hãng công nghệ cũng đã chuẩn hóa các quy trình, xây dựng các
ứng dụng, công cụ hỗ trợ mạnh mẽ công tác quản trị và vận hành hệ thống.
Hơn nữa hệ thống thông tin đa miền bao gồm các hệ thống con. Để phục vụ
cho việc liên lạc giữa các lĩnh vực hoạt động khác nhau của tổ chức thì các hệ con
này được kết nối và tương tác với nhau. Từng thành viên trong tổ chức sẽ được hệ
thống chuyển giao cho những thông tin cần thiết để xác định, chọn lựa các hành
động phù hợp với mục tiêu của tổ chức cũng như các hành động giúp kiểm soát lĩnh
vực mà thành viên đó chịu trách nhiệm. Hệ thống thơng tin đa miền là một kết cấu
hệ thống mềm dẻo và có khả năng tiến hóa. Một hệ thống phải có khả năng thay đổi
mềm dẻo và mở rộng được để phù hợp với sự biển đổi và phát triển của tổ chức, nếu
khơng nó có thể trở nên lỗi thời nhanh chóng.
Và có thể nới rằng hệ thống thơng tin đa miền là một tập hợp và kết hợp của
các phần cứng, phần mềm và các hệ mạng truyền thông được xây dựng và sử dụng
để thu thập, tạo, tái tạo, phân phối và chia sẻ các dữ liệu, thông tin và tri thức nhằm
phục vụ các mục tiêu của tổ chức. Tuỳ theo mục đích mà các tổ chức có thể sử dụng
các hệ thống thơng tin khác nhau. Ví dụ trong việc quản trị nội bộ, hệ thống thông
tin sẽ giúp đạt được sự thông hiểu nội bộ, thống nhất hành động, duy trì sức mạnh
của tổ chức, đạt được lợi thế cạnh tranh.
Với bên ngoài, hệ thống thông tin giúp nắm bắt được nhiều thông tin về khách
hàng hơn hoặc cải tiến dịch vụ, nâng cao sức cạnh tranh, tạo đà cho phát triển.


13
 Hệ thống thông tin đa miền bao gồm 3 thành phần chính như sau:
-

Phần cứng: các thiết bị hay phương tiện kỹ thuật dùng để lưu trữ và xử lý
thơng tin như: máy tính và các thiết bị ngoại vi dùng để lưu trữ và nhập vào,
xuất ra dữ liệu.


-

Phần mềm: các chương trình, phần mềm ứng dụng hệ thống, phần mềm
chuyên dụng dành cho người dùng.

-

Dữ liệu: các thông tin, con người trong hệ thống thông tin.

1.2.3. Vấn đề an ninh trong hệ thống thông tin đa người dùng
An ninh trong hệ thống đa người dùng là việc bảo vệ các hệ thống phần
cứng, phần mềm, mạng lưới, máy tính, thiết bị di động, chương trình và dữ liệu
khỏi những cuộc tấn công kỹ thuật số độc hại hướng vào hệ thống của một tổ chức,
doanh nghiệp nào đó. Tội phạm mạng có thể thực hiện các cuộc tấn công chống lại
các cá nhân hoặc doanh nghiệp đơn lẻ như truy cập, sửa đổi hoặc xóa bỏ những dữ
liệu nhạy cảm, tống tiền hoặc can thiệp vào các quy trình kinh doanh.
Để theo kịp xu hướng tồn cầu, ngành công nghiệp an ninh mạng phải không
ngừng cải tiến, đổi mới và sử dụng các phương pháp tiếp cận dựa trên trí tuệ nhân
tạo (AI) tiên tiến, với mục tiêu phân tích các hành vi mạng và ngăn chặn sự tấn
công của tội phạm. Hiện nay, việc nghiêm túc thực hiện các vấn đề về đảm bảo an
ninh mạng trở nên quan trọng hơn bao giờ hết cho các doanh nghiệp và tổ chức. Với
việc phát triển CNTT ngày càng mạnh mẽ, các tổ chức có đầy đủ tiềm lực cần thiết
để tối ưu hóa cơng cụ tìm kiếm (SEO), quản lý ngân sách chung cũng như nhu cầu
chi tiêu riêng lẻ của công ty, doanh nghiệp.
An ninh trong hệ thống thông tin hoạt động đa dịch vụ thông qua một cơ sở
hạ tầng chặt chẽ, gồm ba phần chính: bảo mật cơng nghệ thơng tin, an ninh mạng và
an ninh máy tính.
-


Bảo mật CNTT (hay bảo mật thơng tin điện tử): Bảo vệ dữ liệu ở nơi chúng
được lưu trữ và cả khi các dữ liệu này di chuyển trên các mạng lưới thông
tin. Trong khi an ninh mạng chỉ bảo vệ dữ liệu số, bảo mật CNTT bảo vệ cả
dữ liệu kỹ thuật số lẫn dữ liệu vật lý khỏi những kẻ xâm nhập trái phép.


14

-

An ninh mạng: là một tập hợp con của bảo mật CNTT. An ninh mạng thực
hiện nhiệm vụ đảm bảo dữ liệu kỹ thuật số trên các mạng lưới, máy tính và
thiết bị cá nhân nằm ngồi sự truy cập, tấn công và phá hủy bất hợp pháp.

-

An ninh máy tính: là một tập hợp con của an ninh mạng. Loại bảo mật này sử
dụng phần cứng và phần mềm để bảo vệ bất kỳ dữ liệu nào được gửi từ máy
tính cá nhân hoặc các thiết bị khác đến hệ thống mạng lưới thơng tin. An
ninh máy tính thực hiện chức năng bảo vệ cơ sở hạ tầng CNTT và chống lại
các dữ liệu bị chặn, bị thay đổi hoặc đánh cắp bởi tội phạm mạng.


15
CHƯƠNG 2
MỘT SỐ PHƯƠNG PHÁP ĐẢM BẢO AN NINH VÀ XÁC THỰC TRONG
TÍCH HỢP NGƯỜI DÙNG ĐA MIỀN DỊCH VỤ
2.1. Yêu cầu về đảm bảo an ninh và xác thực trong các hệ thống đa miền dịch vụ
2.1.1. Một số vấn đề an ninh trong hệ thống đa miền dịch vụ
2.1.1.1. Lỗi và sự bỏ sót lỗi

Nguy cơ lỗi và sự bỏ sót lỗi được xếp vào hàng nguy hiểm nhất. Khi lập
trình, chúng ta thường bỏ qua các cảnh báo và lỗi do trình biên dịch đưa ra, điều đó
có thể dẫn đến những sự việc khơng đáng có như tràn bộ đệm, tràn heap. Nếu người
dùng vơ tình (hay cố ý) sử dụng các đầu vào không hợp lý thì chương trình sẽ xử lý
sai, hoặc dẫn đến việc bị khai thác, đổ vỡ (crash). Kỹ thuật lập trình có ý nghĩa rất
quan trọng trong mọi ứng dụng và lập trình viên phải ln ln cập nhật thơng tin,
các lỗi bị khai thác, cách phòng chống, sử dụng phương thức lập trình an tồn.
Để phịng tránh tốt nhất là sử dụng chính sách “lease privilege” (tức là ít
quyền hạn nhất có thể). Khi đó, người dùng sẽ chỉ được xử lý, truy cập đến một số
vùng thông tin nhất định. Vì vậy, đối với hệ thống của Viện khoa học xã hội quốc
gia Lào, cán bộ chuyên trách CNTT phải thường xuyên theo dõi, bám sát tình hình
thực tế để phát hiện ra những lỗi xuất hiện và từ đó có phương án để xử lý ngay.
2.1.1.2. Lừa đảo và lấy cắp thông tin
Trong hoạt động của Viện khoa học xã hội quốc gia Lào có rất nhiều thông
tin mật không công khai trên mạng Internet nhưng vẫn có thể bị lấy cắp do mục đích
xấu. Việc đánh cắp thơng tin mật có thể được thực hiện dưới nhiều hình thức như: lấy
cắp văn bản in hay lấy cắp thông tin số, cung cấp thông tin nội bộ cho bên ngồi.
Cách tốt nhất để phịng tránh nguy cơ này là phải có những chính sách bảo
mật được thiết kế tốt. Những chính sách có thể giúp người quản lý bảo mật thơng
tin thu thập thơng tin, từ đó điều tra và đưa ra những kết luận chính xác, nhanh
chóng. Khi đã có một chính sách tốt, người quản trị có thể sử dụng các kỹ thuật điều
tra số (forensics) để truy vết các hành động tấn công.


16

2.1.1.3. Hacker (Tin tặc)
Có rất nhiều cách tấn cơng hệ thống. Mỗi kẻ tấn cơng đều có những thủ
thuật, cơng cụ, kiến thức, hiểu biết về hệ thống. Trước tiên, tin tặc thu thập thơng tin
nhiều nhất có thể về hệ thống. Càng nhiều thơng tin, thì khả năng thành công của

việc tấn công sẽ càng lớn. Những thông tin đó có thể là: tên ứng dụng, phiên bản
ứng dụng, hệ điều hành, email quản trị… Sau đó tin tặc qt hệ thống để tìm lỗ
hổng (có thể gây ra bởi ứng dụng xử lý thông tin hoặc do hệ điều hành, hoặc bất kỳ
thành phần nào có liên quan). Từ đó, họ sẽ lợi dụng các lỗ hổng tìm được, hoặc sử
dụng các tài khoản mặc định nhằm chiếm quyền truy cập vào ứng dụng. Khi đã
thành công, tin tặc sẽ cài đặt các phần mềm, mã độc để có thể xâm nhập vào hệ
thống trong các lần sau.
Để phịng tránh nguy cơ bị tấn cơng, các ứng dụng tương tác với người dùng,
dữ liệu cần phải giấu đi những thông tin quan trọng như: phiên bản, loại ứng dụng,
các thành phần kèm theo… Sử dụng các phần mềm phát hiện truy cập trái phép, rà soát
hệ thống thường xuyên để phát hiện các phần mềm lạ (nếu có), cấu hình tường lửa hợp
lý, thiết lập chính sách truy cập của từng nhóm người dùng, quản lý truy cập…
2.1.1.4. Lây lan mã độc
Các loại mã độc có thể kể đến như: virus, sâu máy tính, Trojan horse, logic
bomb… Nguy cơ do chúng gây ra rất rõ ràng, và vô cùng phong phú. Khi đã xâm
nhập vào máy nạn nhân, mã độc có thể: mở cổng hậu (back door) để kẻ tấn cơng có
thể truy cập và làm mọi việc trên máy nạn nhân; ghi lại thông tin sử dụng máy tính
(thao tác bàn phím, sử dụng mạng, thơng tin đăng nhập…). Đã có rất nhiều cơng ty
bị cài đặt mã độc. Cài mã độc vào máy tính có thể qua nhiều con đường: lỗ hổng
phần mềm; hệ thống đã bị hacker điều khiển; sử dụng phần mềm crack… Cách tốt
nhất để tránh nguy cơ lây lan mã độc là luôn cập nhật phần mềm xử lý dữ liệu, hệ
điều hành và phần mềm an ninh mạng, diệt virus.
2.1.1.5. Tấn công từ chối dịch vụ
Nếu tin tặc không thể chiếm quyền truy cập vào một hệ thống, họ sẽ tìm cách
tấn công từ chối dịch vụ (làm hệ thống không thể phục vụ người dùng được trong


17
một khoảng thời gian, bằng cách truy cập đến hệ thống liên tục, số lượng lớn, có tổ
chức). Có 2 kiểu tấn công từ chối dịch vụ:

DoS (Denny of Service – tấn công từ chối dịch vụ): tấn công này có thể xảy
ra với cả ứng dụng trực tuyến và ứng dụng offline. Với ứng dụng trực tuyến, hacker
sử dụng các công cụ (tấn công Syn floods, Fin floods, Smurfs, Fraggles) trên một
máy tính để tấn cơng vào hệ thống, khiến nó khơng thể xử lý được u cầu, hoặc
làm nghẽn băng thông khiến người dùng khác không thể truy cập được. Với ứng
dụng offline, hacker tạo ra những dữ liệu cực lớn, hoặc các dữ liệu xấu (làm cho
quá trình xử lý của ứng dụng bị ngưng trệ, treo).
DDoS (Distributed Denny of Service – tấn công từ chối dịch vụ phân tán): là
một hình thức cao cấp của DoS, các nguồn tấn công được điều khiển bởi một (một
vài) server của hacker (gọi là server điều khiển), cùng tấn cơng vào hệ thống. Loại
tấn cơng này khó phát hiện ra hơn cho các hệ thống phát hiện tự động, giúp hacker
ẩn mình tốt hơn.
Để chống lại nguy cơ tấn cơng từ chối dịch vụ, hệ thống cần có nhiều server
phục vụ, server phân tải, cơ chế phát hiện tấn công DoS hiệu quả.
2.1.1.6. Tấn công Social Engineering
Social Engineering là một thuật ngữ khá phổ biến trong CNTT và an tồn
thơng tin (ATTT). Đây là một kỹ thuật khai thác nhằm vào điểm yếu con người –
đối tượng trực tiếp quản lý phần mềm, hệ thống, họ nắm được mọi thông tin quan
trọng nhất. Kỹ thuật này ngày càng hữu ích và có độ chính xác tương đối cao.
2.1.2. Yêu cầu về xác thực trong hệ thống đa miền dịch vụ
2.1.2.1. Tính bí mật
Bí mật là thuật ngữ được sử dụng để tránh lộ thông tin đến những đối tượng
không được xác thực hoặc để lọt vào các hệ thống khác. Ví dụ: một giao dịch tín
dụng qua Internet, số thẻ tín dụng được gửi từ người mua hàng đến người bán, và từ
người bán đến nhà cung cấp dịch vụ thẻ tín dụng. Hệ thống sẽ cố gắng thực hiện
tính bí mật bằng cách mã hóa số thẻ trong suốt q trình truyền tin, giới hạn nơi nó
có thể xuất hiện (cơ sở dữ liệu, log file, sao lưu (backup), in hóa đơn…) và bằng