Tải bản đầy đủ
CHƯƠNG 3: BẢO MẬT TRANG THÔNG TIN ÐIỆN TỬ

CHƯƠNG 3: BẢO MẬT TRANG THÔNG TIN ÐIỆN TỬ

Tải bản đầy đủ

47

tin điện tử, các khái niệm về bảo mật an toàn thông tin và cách bảo đảm thông tin
trên mạng.
3.1 Giới thiệu trang thông tin điện tử
3.1.1 Khái niệm trang thông tin
Cổng thông tin là địa chỉ tổng hợp các ứng dụng của một tổ chức như thư
điện tử, chia sẻ tài liệu, lịch công tác thông qua giao diện Web. Các thành viên của
doanh nghiệp có thể thông qua giao diện web (hay gọi là cổng thông tin, webportal)
mà truy cập và sử dụng các ứng dụng của doanh nghiệp đơn giản tiện lợi.
Thông qua mạng internet người dùng có thể thực hiện không hạn chế các
chức năng mà thông thường chỉ thực hiện được đối với mạng intranet (mạng nội bộ
doanh nghiệp). Cổng thông tin trở thành công cụ đắc lực cho các hoạt động của mọi
doanh nghiệp.
Cổng thông tin giúp người dùng có thể tận dụng tối đa những tài nguyên có
sẵn và nâng cao giá trị của thông tin.
Những yêu cầu này nảy sinh từ mục tiêu ban đầu: cổng thông tin là điểm đi
tới của tất cả các ứng dụng khác (cùng cung cấp bởi một hãng, công ty). Chúng ta
sử dụng khái niệm sau cho trang thông tin điện tử tích hợp:
“Trang thông tin điện tử tích hợp là điểm truy cập tập trung và duy nhất,
tích hợp các kênh thông tin, các dịch vụ và ứng dụng, phân phối tới người sử dụng
thông qua một phương thức thống nhất và đơn giản trên nền tảng Web”
3.1.2 Phân loại trang thông tin
Trang thông tin cung cấp cho người dùng cuối nhiều loại dịch vụ khác nhau
với nhiều nhu cầu khác nhau, có thể phân loại các công thông tin như sau:


Trang thông tin công cộng (Public portals): ví dụ như Yahoo, loại trang

thông tin này thường được sử dụng để ghép nối các thông tin lại với nhau từ nhiều
nguồn, nhiều ứng dụng và từ nhiều người, cho phép cá nhân hoá (personalization)
các website theo tuỳ từng đối tượng sử dụng.


Trang thông tin doanh nghiệp (“Enterprise portals” hoặc “Corporate

Desktops”): được xây dựng để cho phép các thành viên của doanh nghiệp sử dụng
và tương tác trên các thông tin và ứng dụng nghiệp vụ tác nghiệp của doanh nghiệp.

48



Cổng giao dịch điện tử (Marketplace portals): ví dụ như eBay và ChemWeb,

trang thông tin này là nơi liên kết giữa người bán và người mua.


Trang thông tin ứng dụng chuyên biệt (Specialized portals): ví dụ như SAP

portal, trang thông tin loại này cung cấp các ứng dụng chuyên biệt khác nhau.
3.1.3 Các tính năng cơ bản của một portal
Tuy có nhiều loại trang thông tin khác nhau, cung cấp nhiều loại dịch vụ và
ứng dụng khác nhau, nhưng tất cả các loại trang thông tin đều có chung một số tính
năng cơ bản. Các tính năng này là được sử dụng như là một tiêu chuẩn để phân
biệt giữa trang thông tin với một website tổng hợp tin tức, với ứng dụng quản trị
nội dung web (web content management system - Web CMS), hoặc với một ứng
dụng chạy trên nền tảng Web (web application).
Các tính năng cơ bản (bắt buộc phải có) của một portal bao gồm:
 Khả năng cá nhân hoá (Customization hay Personalization): cho phép thiết
đặt các thông tin khác nhau cho các loại đối tượng sử dụng khác nhau theo yêu cầu.
Tính năng này dựa trên hoạt động thu thập thông tin về người dùng và cộng đồng
người dùng, từ đó cung cấp các thông tin chính xác tại thời điểm được yêu cầu.
 Tích hợp nhiều loại thông tin (Content aggregation): cho phép xây dựng nội
dung thông tin từ nhiều nguồn khác nhau cho nhiều đối tượng sử dụng. Sự khác biệt
giữa các nội dung thông tin sẽ được xác định qua các ngữ cảnh hoạt động của người
dùng (user-specific context), ví dụ như đối với từng đối tượng sử dụng sau khi
thông qua quá trình xác thực thì sẽ được cung cấp các thông tin khác nhau, hoặc nội
dung thông tin sẽ được cung cấp khác nhau trong quá trình cá nhân hoá thông tin.
 Xuất bản thông tin (Content syndication): thu thập thông tin từ nhiều nguồn
khác nhau, cung cấp cho người dùng thông qua các phương pháp hoặc giao thức
(protocol) một cách thích hợp. Một hệ thống xuất bản thông tin chuyên nghiệp phải
có khả năng xuất bản thông tin với các định dạng đã được quy chuẩn, ví dụ như
RDF (Resource Description Format), RSS (Realy Simple Syndication), NITF
(News Industry Text Format) và NewsXML. Ngoài ra, các tiêu chuẩn dựa trên
XML cũng phải được áp dụng để quản trị và hiển thị nội dung một cách thống nhất,
xuyên suốt trong quá trình xuất bản thông tin. Các tiêu chuẩn dựa trên XML này

49

cho phép đưa ra giải pháp nhanh nhất để khai thác và sử dụng thông tin trên các
Website khác nhau thông qua quá trình thu thập và bóc tách thông tin với các định
dạng đã được quy chuẩn.
 Hỗ trợ nhiều môi trường hiển thị thông tin (Multidevice support): cho phép
hiển thị cùng một nội dung thông tin trên nhiều loại thiết bị khác nhau như: màn
hình máy tính (PC), thiết bị di động (Mobile phone, Wireless phone, PDA), sử dụng
để in hay cho bản fax…. tự động bằng cách xác định thiết bị hiển thị thông qua các
thuộc tính khác nhau.
 Khả năng đăng nhập một lần (Single Sign On - SSO): cho phép dịch vụ xuất
bản thông tin hoặc các dịch vụ khác của portal lấy thông tin về người dùng khi hoạt
động mà không phải yêu cầu người dùng phải đăng nhập lại mỗi khi có yêu cầu.
Đây là một tính năng rất quan trọng vì các ứng dụng và dịch vụ trong portal sẽ phát
triển một cách nhanh chóng khi xuất hiện nhu cầu, mà các ứng dụng và dịch vụ này
tất yếu sẽ có các nhu cầu về xác thực hoặc truy xuất thông tin người dùng.
 Quản trị portal (Portal administration): xác định cách thức hiển thị thông tin
cho người dùng cuối. Tính năng này không chỉ đơn giản là thiết lập các giao diện
người dùng với các chi tiết đồ họa (look-and-feel), với tính năng này, người quản trị
phải định nghĩa được các thành phần thông tin, các kênh tương tác với người sử
dụng cuối, định nghĩa nhóm người dùng cùng với các quyền truy cập và sử dụng
thông tin khác nhau.
 Quản trị người dùng (Portal user management): cung cấp các khả năng quản
trị người dùng cuối, tuỳ thuộc vào đối tượng sử dụng của portal. Tại đây, người sử
dụng có thể tự đăng ký trở thành thành viên tại một cổng thông tin công cộng (như
Yahoo, MSN…) hoặc được người quản trị tạo lập và gán quyền sử dụng tương ứng
đối với các cổng thông tin doanh nghiệp. Mặt khác, tuỳ vào từng kiểu portal mà số
lượng thành viên có thể từ vài nghìn tới hàng triệu.
Hiện tại phương pháp phân quyền sử dụng dựa trên vai trò (Role-based security)
được sử dụng như một tiêu chuẩn để cung cấp thông tin phân quyền sử dụng cho
các đối tượng khác nhau trong các portal cũng như các ứng dụng Web

50

3.1.4 Giới thiệu trang thông tin của Sở thông tin & Truyền thông tỉnh Bắc Giang
a) Giới thiệu
Ngày 01/9/2005 Sở Bưu chính, Viễn thông tỉnh Bắc Giang được thành lập
và đi vào hoạt động. Đến ngày 31/3/2008, UBND tỉnh Bắc Giang ban hành Quyết
định số 24/2008/QĐ-UBND thành lập Sở Thông tin và Truyền thông tỉnh Bắc
Giang trên cơ sở Sở Bưu chính Viễn thông và sát nhập thêm chức năng quản lý nhà
nước về Báo chí - Xuất bản từ Sở Văn hóa Thông tin chuyển sang.
Sở có chức năng tham mưu, giúp Ủy ban nhân dân tỉnh thực hiện quản lý
nhà nước về: Báo chí; xuất bản; bưu chính và chuyển phát; viễn thông và internet;
truyền dẫn phát sóng; tần số vô tuyến điện; công nghệ thông tin, điện tử; phát thanh
và truyền hình; cơ sở hạ tầng thông tin truyền thông; quảng cáo trên báo chí, mạng
thông tin máy tính và xuất bản phẩm (sau đây gọi tắt là thông tin và truyền thông);
các dịch vụ công thuộc phạm vi quản lý của Sở; thực hiện một số nhiệm vụ, quyền
hạn theo sự phân cấp, uỷ quyền của Ủy ban nhân dân cấp tỉnh và theo quy định của
pháp luật. Sở Thông tin và Truyền thông là Sở quản lý nhà nước đa ngành, đa lĩnh
vực, có thể tóm lại thành 3 nhiệm vụ chính là: quản lý nhà nước về thông tin tuyên
truyền; thông tin liên lạc; công nghệ thông tin.

b) Sơ đồ website

51

c) Một số giao diện

Giao diện trang chủ



Văn bản QPPL



Liên hệ

52

3.2 Bảo mật an toàn thông tin
3.2.1 Giới thiệu
Trước đây khi công nghệ máy tính chưa phát triển, khi nói đến vấn đề an
toàn bảo mật thông tin (Information Security), chúng ta thường hay nghĩ đến các
biện pháp nhằm đảm bảo cho thông tin được trao đổi hay cất giữ một cách an toàn
và bí mật. Chẳng hạn là các biện pháp như:
• Đóng dấu và ký niêm phong một bức thư để biết rằng lá thư có được chuyển
nguyên vẹn đến người nhận hay không.
• Dùng mật mã mã hóa thông điệp để chỉ có người gửi và người nhận hiểu được
thông điệp. Phương pháp này thường được sử dụng trong chính trị và quân sự.
• Lưu giữ tài liệu mật trong các két sắt có khóa, tại các nơi được bảo vệ nghiêm
ngặt, chỉ có những người được cấp quyền mới có thể xem tài liệu.
Với sự phát triển mạnh mẽ của công nghệ thông tin, đặt biệt là sự phát triển
của mạng Internet, ngày càng có nhiều thông tin được lưu giữ trên máy vi tính và
gửi đi trên mạng Internet. Và do đó xuất hiện nhu cầu về an toàn và bảo mật thông
tin trên máy tính. Có thể phân loại mô hình an toàn bảo mật thông tin trên máy tính
theo hai hướng chính như sau:
a. Bảo vệ thông tin trong quá trình truyền thông tin trên mạng (Network Security).
b. Bảo vệ hệ thống máy tính, và mạng máy tính, khỏi sự xâm nhập phá hoại từ bên
ngoài (System Security).
3.2.2 Bảo đảm thông tin trong quá trình truyền thông tin trên mạng
3.2.2.1 Các loại hình tấn công
Để xét những vấn đề bảo mật liên quan đến truyền thông trên mạng, chúng
ta hãy lấy một bối cảnh sau: có ba nhân vật trên là Hương, Lan và Nam, trong đó

53

Hương và Lan thực hiện trao đổi thông tin với nhau, còn Nam là kẻ xấu, đặt thiết bị
can thiệp vào kênh truyền tin giữa Hương và Lan. Sau đây là các loại hành động tấn
công của Nam mà ảnh hưởng đến quá trình truyền tin giữa Hương và Lan:
a. Xem trộm thông tin (Release of Message Content)
Trong trường hợp này Nam chặn các thông điệp Hương gửi cho Lan, và xem được
nội dung của thông điệp.

b. Thay đổi thông điệp (Modification of Message)
Nam chặn các thông điệp Hương gửi cho Lan và ngăn không cho các thông
điệp này đến đích. Sau đó Nam thay đổi nội dung của thông điệp và gửi tiếp cho
Lan. Lan nghĩ rằng nhận được thông điệp nguyên bản ban đầu của Hương mà
không biết rằng chúng đã bị sửa đổi.

c. Mạo danh (Masquerade)
Trong trường hợp này Nam giả là Hương gửi thông điệp cho Lan. Lan không
biết điều này và nghĩ rằng thông điệp là của Hương.

54

d. Phát lại thông điệp (Replay)
Nam sao chép lại thông điệp Hương gửi cho Lan. Sau đó một thời gian Nam
gửi bản sao chép này cho Lan. Lan tin rằng thông điệp thứ hai vẫn là từ Hương, nội
dung hai thông điệp là giống nhau. Thoạt đầu có thể nghĩ rằng việc phát lại này là
vô hại, tuy nhiên trong nhiều trường hợp cũng truy ra tác hại không kém so với việc
giả mạo thông điệp.
Xét tình huống sau: giả sử Lan là ngân hàng còn Hương là một khách hàng.
Hương gửi thông điệp đề nghị Lan chuyển cho Nam 1000$. Hương có áp dụng các
biện pháp như chữ ký điện tử với mục đích không cho Nam mạo danh cũng như sửa
thông điệp. Tuy nhiên nếu Nam sao chép và phát lại thông điệp thì các biện pháp
bảo vệ này không có ý nghĩa. Lan tin rằng Hương gửi tiếp một thông điệp mới để
chuyển thêm cho Nam 1000$ nữa.

3.2.2.2 Yêu cầu của một hệ truyền thông tin an toàn và bảo mật
Phần trên đã trình bày các hình thức tấn công, một hệ truyền tin được gọi là
an toàn và bảo mật thì phải có khả năng chống lại được các hình thức tấn công
trên. Như vậy hệ truyền tin phải có các đặt tính sau:
Tính bảo mật (Confidentiality): Ngăn chặn được vấn đề xem trộm thông điệp.

55

Tính chứng thực (Authentication): Nhằm đảm bảo cho Lan rằng thông điệp
mà Lan nhận được thực sự được gửi đi từ Hương, và không bị thay đổi trong quá
trình truyền tin. Như vậy tính chứng thực ngăn chặn các hình thức tấn công sửa
thông điệp, mạo danh, và phát lại thông điệp.
Tính không từ chối (Nonrepudiation): Xét tình huống sau:
Giả sử Lan là nhân viên môi giới chứng khoán của Hương. Hương gởi thông
điệp yêu cầu Lan mua cổ phiếu của công ty Z. Ngày hôm sau, giá cổ phiếu công ty
này giảm hơn 50%. Thấy bị thiệt hại, Hương nói rằng Hương không gửi thông điệp
nào cả và quy trách nhiệm cho Lan. Lan phải có cơ chế để xác định rằng chính
Hương là người gởi mà Hương không thể từ chối trách nhiệm được. Khái niệm chữ
ký trên giấy mà con người đang sử dụng ngày nay là một cơ chế để bảo đảm tính
chứng thực và tính không từ chối. Trong lĩnh vực máy tính, người ta cũng thiết lập
một cơ chế như vậy, cơ chế này được gọi là chữ ký điện tử.

Hình 3.5 Mô hình bảo mật truyền thông tin trên mạng
3.2.2.3 Vai trò của mật mã trong việc bảo mật thông tin trên mạng
Mật mã hay mã hóa dữ liệu (cryptography), là một công cụ cơ bản thiết yếu
của bảo mật thông tin. Mật mã đáp ứng được các nhu cầu về tính bảo mật
(confidentiality), tính chứng thực (authentication) và tính không từ chối (nonrepudiation) của một hệ truyền tin.
3.2.2.4 Các giao thức (protocol) thực hiện bảo mật.
Sau khi tìm hiểu về mật mã, chúng ta sẽ tìm hiểu về cách ứng dụng chúng
vào thực tế thông qua một số giao thức bảo mật phổ biến hiện nay là:



Keberos: là giao thức dùng để chứng thực dựa trên mã hóa đối xứng.
Chuẩn chứng thực X509: dùng trong mã hóa khóa công khai.

56



Secure Socket Layer (SSL): là giao thức bảo mật Web, được sử dụng phổ biến

trong Web và thương mại điện tử.

PGP và S/MIME: bảo mật thư điện tử email.
3.3 Bảo đảm hệ thống khỏi sự xâm nhập phá hoại từ bên ngoài
Ngày nay, khi mạng Internet đã kết nối các máy tính ở khắp nơi trên thế giới
lại với nhau, thì vấn đề bảo đảm máy tính khỏi sự thâm nhập phá hoại từ bên ngoài
là một điều cần thiết. Thông qua mạng Internet, các hacker có thể truy cập vào các
máy tính trong một tổ chức, lấy trộm các dữ liệu quan trọng như mật khẩu, thẻ tín
dụng, tài liệu… Hoặc đơn giản chỉ là phá hoại, gây trục trặc hệ thống mà tổ chức đó
phải tốn nhiều chi phí để khôi phục lại tình trạng hoạt động bình thường.
Để thực hiện việc bảo đảm này, người ta dùng khái niệm “kiểm soát truy
cập” (Access Control). Khái niệm kiểm soát truy cập này có hai yếu tố sau:
• Chứng thực truy cập (Authentication): xác nhận rằng đối tượng (con người
hay chương trình máy tính) được cấp phép truy cập vào hệ thống. Ví dụ: để sử dụng
máy tính thì trước tiên đối tượng phải logon vào máy tính bằng username và
password. Ngoài ra, còn có các phương pháp chứng thực khác như sinh trắc học
(dấu vân tay, mống mắt…) hay dùng thẻ (thẻ ATM…).
• Phân quyền (Authorization): các hành động được phép thực hiện sau khi đã
truy cập vào hệ thống. Ví dụ: bạn được cấp username và password để logon vào hệ
điều hành, tuy nhiên bạn chỉ được cấp quyền để đọc một file nào đó. Hoặc bạn chỉ
có quyền đọc file mà không có quyền xóa file.
Với nguyên tắc như vậy thì một máy tính hoặc một mạng máy tính được bảo vệ
khỏi sự thâm nhập của các đối tượng không được phép. Tuy nhiên thực tế chúng ta
vẫn nghe nói đến các vụ tấn công phá hoại. Để thực hiện điều đó, kẻ phá hoại tìm
cách phá bỏ cơ chế Authentication và Authorization bằng các cách thức sau:
• Dùng các đoạn mã phá hoại (Malware): như virus, worm, trojan, backdoor…
những đoạn mã độc này phát tán lan truyền từ máy tính này qua máy tính khác dựa
trên sự bất cẩn của người sử dụng, hay dựa trên các lỗi của phần mềm. Lợi dụng các
quyền được cấp cho người sử dụng (chẳng hạn rất nhiều người login vào máy tính
với quyền administrator), các đoạn mã này thực hiện các lệnh phá hoại hoặc dò tìm

57

password của quản trị hệ thống để gửi cho hacker, cài đặt các cổng hậu để hacker
bên ngoài xâm nhập.
• Thực hiện các hành vi xâm phạm (Intrusion): việc thiết kế các phần mềm có
nhiểu lỗ hổng, dẫn đến các hacker lợi dụng để thực hiện những lệnh phá hoại.
Những lệnh này thường là không được phép đối với người bên ngoài, nhưng lỗ
hổng của phần mềm dẫn đến được phép. Trong những trường hợp đặc biệt, lỗ hổng
phần mềm cho phép thực hiện những lệnh phá hoại mà ngay cả người thiết kế
chương trình không ngờ tới. Hoặc hacker có thể sử dụng các cổng hậu do các
backdoor tạo ra để xâm nhập.
Để khắc phục các hành động phá hoại này, người ta dùng các chương trình
có chức năng gác cổng, phòng chống. Những chương trình này dò tìm virus hoặc dò
tìm các hành vi xâm phạm đển ngăn chặn chúng, không cho chúng thực hiện hoặc
xâm nhập. Đó là các chương trình chống virus, chương trình firewall… Ngoài ra
các nhà phát triển phần mềm cần có quy trình xây dựng và kiểm lỗi phần mềm
nhằm hạn chế tối đa những lỗ hổng bảo mật có thể có.

Hình 3.6 Mô hình phòng chống xâm nhập và phá hoại hệ thống
 Trong khuôn khổ của tài liệu này đề cập các nội dung về an toàn và bảo mật
thông tin trên mạng, đó là một công cụ đang phát triển rất rộng rãi và áp dụng ngày
càng nhiều đó là phương pháp chữ ký số.
3.4 Giao thức bảo mật ứng dụng chữ ký số cho các văn bản pháp quy
trên trang thông tin
3.4.1 Giao thức SSL
a) Giới thiệu giao thức SSL