Bài giảng An toàn hệ thống thông tin - Chương 1: Tổng quan về an toàn hệ thống thông tin - Trần Thị Kim Chi

Chương I
TÔM® ®ỊJÂM VỀ
ÂM TỠÀM HỆ ™ỒM@ THÒM® TOM
GV: Trần Thị Kim Chi
NOI DUNG
Các khái niệm cơ bản về an toàn thông tin
Các nguyên tắc nền tảng của an toàn thông tin
Các loại hình tấn công và nguy cơ mất ATTT
Giải pháp đảm bảo an toàn thông tin
Các bài toán an toàn thông tin cơ bản
Pháp luật về an toàn thông tin
CÂU HỎI VÀ BÀI TẬP
Q Tổng quan về CSDL quan hệ - Các khái niệm cơ bản
Dữ’ liệu
Data (dữ lỉệu) và information (thông tin)
Thông tin
Baker, Kenneth D. Doyle, Joan E. Finkle, Clive R. Lewis, John c.
324917628
476193248
548429344
551742186
McFerran, Debra R. 409723145
Class Roster
Course: MGT 500
Semester: spring 2010
Business Policy
Section: 2
Name
ID
Major
GPA
Baker, Kenneth D.
324917628
MGT
2.9
Doyle, Joan E.
476193248
MKT
3.4
Finkle, Clive R.
548429344
PRM
2.8
Lewis, John c.
551742186
MGT
3.7
McFerran. Debra R.
409723145
IS
2.9
Sisneros, Michael
392416582
ACCT
3.3
DỮLIỆU
(DATA)
XỬLÝ
THÔNG TIN
(INFORMATION)
Database System
Các khái niệm và các định nghĩa cơ bản
Data (dữ liệu) và information (thông tin)
• Data: sự biểu diễn của các đối tượng và sự kiện (văn bản, hình ảnh, âm thanh,...) được ghi nhận, có ý nghĩa không rõ ràng và được lưu trữ trên các phương tiện của máy tính.
• Dữ liệu có cấu trúc: số, ngày, chuỗi ký tự,...
• Dữ liệu không có cấu trúc: hình ảnh, âm thanh, đoạn phim,...
• Information: dữ liệu đã được xử lý để làm tăng sự hiểu biết của người sử dụng.
Phân biệt giữa data và information??
•	Tran Thi Kim Chỉ
Hệ thống thông tin
• Hệ thống thông tin (Information Systems)
• Là một hệ thông gồm con người, dữ liệu và những hoạt động xử lý dữ liệu và thông tin trong một tô chức.
• Tài sản của hệ thông thông tin bao gồm:
✓ Phần cứng
J Phần mềm
Dữ liệu
■
Truyền thông giữa các máy tính của hệ thống
Môi trường làm việc
Con người
Tổng quan
Tôi là nhà quàn trị
Cho người dùng A được phép đọc file M
/ / I I I I I ĩ ị
Tôi là nhà quân trị
Cho phép người dùng H được phép đọc file M
Mua cho tôi
1000 cổ phiếu
của công ty ABC
Không từ chối
trách nhiêm
Wrn
Tôi đâu có nhờ
anh mua cô
phiếu cho tôi.
An toàn thông tin bao hàm một lĩnh vực rộng lớn các hoạt động trong một tổ chức. Nó bao gồm cả những sản phẩm và những quy trình nhằm ngăn chặn truy cập trái phép, hiệu chỉnh, xóa thông tin và dữ liệu.
Mục đích là đảm bảo một môi trường thông tin tin cậy, an toàn và trong sạch cho mọi thành viên và tổ chức trong xã hội.
Đảm bảo an toàn thông tin là gì?
• Đảm bảo ATTT là đảm bảo an toàn kỹ thuật cho hoạt động của các cơ sở HTTT, trong đó bao gồm đảm bảo an toàn cho cả phần cứng và phân mềm hoạt động theo các tiêu chuẩn kỹ thuật do nhà nước ban hành; ngăn ngừa khả năng lợi dụng mạng và các cơ sở HTTT đê thực hiện các hành vi trái phép; đảm bảo các tính chất bí mật, toàn vẹn, sẵn sàng của thông tin trong lưu trữ, xử lý và truyền dẫn trên mạng.
• Bảo mật hệ thống thông tin (Information Systems Security)
Bao hàm một lĩnh vực rộng lớn các hoạt động trong một tổ chức.
■
Nó bao gồm cả những sản phẩm và những quy trình nhằm ngăn chặn truy cập trái phép, hiệu chỉnh, xóa, phá hủy, làm lộ và làm gián đoạn thông tin và hoạt động của hệ thông một cách trái phép.
Các nguyên tăc nên tảng của an toàn thông tin
Integrity	Availability
INFORMATION
SYSTEM
Confidentiality Non-repudiation
Các nguyên tăc nên tảng của
an toàn thông tin
• Tính bí mật (Confidentiality): bảo vệ dữ liệu không bị lộ ra ngoài một cách trái phép.
• Ví dụ: Trong hệ thống quản lý sinh viên, một sinh viên được phép xem thông tin kết quả học tập của mình nhưng không được phép xem kết quả học tập của sinh viên khác.
Integrity	Availability
	 INFORMATION	
SYSTEM
Confidentiality Non-repudiation
Tràn Thị Kira Chi
Các nguyên tăc nên tảng của
an toàn thông tin
• Tính toàn vẹn (Integrity): Chỉ những người dùng được ủy quyền mới được phép chỉnh sửa dữ liệu.
• ví dụ: Trong hệ thông quản lý sinh viên, không cho phép sinh viên được phép tự thay đổi thông tin kết quả học tập của mình.
Integrity
Availability
INFORMATION
SYSTEM
Confidentiality
Non-repudiation
Các nguyên tắc nền tảng của
an toàn thông tin
• Tính sẵn sàng (Availability): Đảm bảo dữ liệu luôn sẵn sàng khỉ những người dùng hoặc ứng dụng được ủy quyền yêu cầu.
• Ví dụ: Trong hệ thống quản lý sinh viên, cần đảm bảo rằng sinh viên có thể truy vấn thông tin kết quả học tập của mình bất cứ lúc nào.
Integrity
Availability
INFORMATION
SYSTEM
Confidentiality
1	Trần'
N on-repudiation
‘hị Kìm Chi
Các nguyên tắc nền tảng của an toàn thông tin
• Tính chống thoái thác (Non-repudiation): Khả năng ngăn chặn việc từ chối một hành vi đã làm.
• ví dụ: Trong hệ thống quản lý sinh viên, có khả năng cung cấp bằng chứng để chứng minh một hành vi sinh viên đã làm, như đăng ký học phần, hủy học phần.
Non-
INFORMATION
SYSTEM
Confidentiality 	„ J. ‘ .
J ^TWK,„arepudiation
Các mối đe doạ đối với một hệ thống và các biện pháp ngăn chặn
• Có 3 hình thức chủ yếu đe dọa đôi với hệ thông:
Phá hoại: kẻ thù phá hỏng thiết bị phân cứng hoặc phần mêm hoạt động trên hệ thông.
Sửa đổi: Tài sản của hệ thông bị sửa đổi trái phép. Điều này thường làm cho hệ thống không làm đúng chức năng của nó. Chẳng hạn như thay đổi mật khẩu, quyền người dùng trong hệ thống làm họ không thể truy cập vào hệ thống đê làm việc.
Can thiệp: Tài sản bị truy cập bởi những người không có thẩm quyền. Các truyền thông thực hiện trên hệ thống bị ngăn chặn, sửa đổi.
Các mối đe doạ đối với một hệ thống và các biện pháp ngăn chặn
• Các đe dọa đối với một hệ thông thông tin có thê đến từ ba loại đôi tượng như sau:
J Các đối tượng từ ngay bên trong hệ thông (insider), đây là những người có quyền truy cập hợp pháp đôi với hệ thống.
•S Những đối tượng bên ngoài hệ thống (hacker, cracker), thường các đối tượng này tân công qua những đường kết nối với hệ thống như Internet chẳng hạn.
J Các phần mềm (chẳng hạn như spyware, adware ...) chạy trên hệ thông.
Các mối đe doạ đối với một hệ thống và các biện pháp ngăn chặn
Mức quần lý
Lớp ímg dụng
Lớp dịch vụ
Lớp hạ tảng
Mức người sừ dụng
Mức kiểm soát
Kiêm soát truy nhập
Chứng thực
Chống chối bò
Bào mật số liệu
An toàn luồng tin
Nguyên vẹn số liệu
Khả dụng
Riêng trr
Định nghĩa chung: Tấn công (attack) là hoạt động có chủ ý của kẻ phạm tội lợi dụng các thương tổn của hệ thống thông tin và tiến hành phá vỡ tính sẵn sàng, tính toàn vẹn và tính bí mật của hệ thống thông tin.
Tấn công HTTT là các tác động hoặc là trình tự liên kết các tác động với nhau để phá huỷ, dẫn đến việc hiện thực hoá các nguy cơ bằng cách lợi dụng đặc tính dễ bị tổn thương của các hệ thống thông tin này.
• Tân công ngăn chặn thông tin (interruption)
Xguỏn
thông tin
• Tài nguyên thông tin bị phá hủy, không sẵn sàng phục vụ hoặc không sử dụng được. Đây là hình thức tấn công làm mất khả năng sẵn sàng phục vụ của thông tin.
Đích thông tin
Ngăn chặn thõng túi
• Tân công chặn bắt thông tin (interception)
• Kẻ tấn công có thể truy nhập tới tài nguyên thông tin. Đây là hình thức tấn công vào tính bí mật của thông tin.
Nguòn
thông tin
Đích thõng tin
Chặn bAt thòng tin
Hình 1-1. Xem trộm thông điệp
• Tấn công sửa đổi thông tin (Modification)
Kẻ tấn công truy nhập, chỉnh sửa thông tin trên mạng.
Đây là hình thức tấn công vào tính toàn vẹn của thông tin.
Trudy
24
Alice
Bob
Hình 1-2. Sứa thông điệp
An toan thông tin
Chèn thông tin giả mạo (Fabrication)
Kẻ tấn công chèn các thông tin và dữ liệu giả vào hệ thống.
Đây là hình thức tấn công vào tính xác thực của thông tin.
Nguồn
thòng tin
Chèn thòng tin gia
Trudy
Bob
Hình 1-3. Mạo danh
Phân loại
Tấn công bị động và chủ động
Tân công bị động (passive attacks)
• Mục đích của kẻ tấn công là biết được thông tin truyền trên mạng.
Có hai kiểu tấn công bị động là khai thác nội dung thông điệp và phân tích dòng dữ liệu.
Tấn công bị động rất khó bị phát hiện vì nó không làm thay đổi dữ liệu và không để lại dấu vết rõ
_ X _ r~A • A _ _ 1 _ / _ _	 1 _ • A _ J- A9 1 Az__ _ 1 _ ■ 1 _ • A9_ _ , A'_
ràng. Biện pháp hữu hiệu đê chống lại kiêu tãn công này là ngăn chặn (đối với kiểu tấn công này, ngăn chặn tốt hơn là phát hiện).
Tân công chủ động (active attacks)
• Tấn công chủ động được chia thành 4 loại sau:
Giả mạo (Masquerade): Một thực thê’ (người dùng, máy tính, chương trình...) đóng giả thực thể khác.
Dùng lại (replay): Chặn bắt các thông điệp và sau đó truyền lại nó nhằm đạt được mục đích bất hợp pháp.
Sửa thông điệp (Modification of messages): Thông điệp bị sửa đổi hoặc bị làm trễ và thay đổi trật tự để đạt được mục đích bất hợp pháp.
□Từ chối dịch vụ (Denial of Service - DoS): Ngăn cấm việc sử dụng bình thường hoặc làm cho truyền thông ngừng hoạt động.
2®	An toàn thông tin
Các bước tân công mạng (bỏ)
Một số kỹ thuật tấn công mạng
Tấn công thăm dò.
Tân công sử dụng mã độc.
Tân công xâm nhập.
Tân công từ chối dịch vụ.
Tấn công sử dụng kỹ nghệ xã hội
Tân công thăm dò
Thăm dò là việc thu thập thông tin trái phép về tài nguyên, các lỗ hổng hoặc dịch vụ của hệ thống.
Tấn công thăm dò thường bao gồm các hình thức:
Sniffing (Nghe lén)
Ping Sweep: Chủ yếu hoạt động trên các mạng sử dụng thiết bị chuyển mạch (switch).
Ports Scanning: là một quá trình kết nối các cổng (TCP
và UDP) trên một hệ thống mục tiêu nhằm xác định xem dịch vụ nào đang "chạy” hoặc đang trong trạng thái "nghe”. Xác định các cổng nghe là một công việc rất quan trọng nhằm xác định được loại hình hệ thống và những Ú3ig dụng đang được sử dụng.	An toàn thông tin
Tấn công từ chối dịch vụ (Denial of Service)
• về cơ bản, tân công từ chối dịch vụ là tên gọi chung của kiểu tân công làm cho một hệ thống nào đó bị quá tải không thể cung cấp dịch vụ, gây ra gián đoạn hoạt động hoặc làm cho hệ thống ngừng hoạt động.
Tân công từ chôi dịch vụ (Denial of Service)
• Khởi thủy là lợi dụng sự yếu kém của giao thức TCP (Transmỉsion Control Protocol] để thực hiện tấn công từ chối dịch vụ DoS (Denial of Service], mới hơn là tấn công từ chối dịch vụ phân tán DDoS (Distributed DoS], mới nhất là tấn công từ chối dịch vụ theo phương pháp phản xạ DRDoS (Distributed Reflection DoS].
Tấn công sử dụng mâ độc (malicious code)
• Khái niệm: Mã độc là những chương trình khi được khởi chạy có khả năng phá hủy hệ thống, bao gồm Virus, sâu (Worm) và Trojan,...
• Tấn công bằng mã độc có thể làm cho hệ thống hoặc các thành phần của hệ thống hoạt động sai lệch hoặc có thể bị phá hủy.
Tần công xâm nhập (Intrusion attack)
Là hình thức tân công, nhằm truy nhập bất hợp pháp vào các HTTT.
Kiểu tấn công này được thực hiện với mục đích đánh cắp dữ liệu hoặc thực hiện phá hủy bên trong HTTT.
Tân công sử dụng kỹ nghệ xd hội
(Social engineering)
Là một nhóm các phương pháp được sử dụng để đánh lừa người sử dụng tiết lộ các thông tin bí mật.
Là phương pháp tấn công phi kỹ thuật, dựa trên sự thiếu hiểu biết của người dùng để lừa gạt họ cung cấp các thông tin nhạy cảm như password hay các thông tin quan trọng khác.
Xu hướng tấn công HTTT
1. Sử dụng các công cụ tấn công tự động
Những kẻ tấn công sẽ sử dụng các công cụ tấn công tự động có khả năng thu thập thông tin từ hàng nghìn địa chỉ trên Internet một cách nhanh chóng, dễ dàng và hoàn toàn tự động.
Các HTTT có thể bị quét từ một địa điểm từ xa đê phát hiện ra những địa chỉ có mức độ bảo mật thấp. Thông tin này có thê được lưu trữ, chia sẻ hoặc sử dụng với mục đích bất hợp pháp.
Xu hường tân công HTTT (tiêp)
Sử dụng các công cụ tấn công khó phát hiện
• Một số cuộc tấn công được dựa trên các mẫu tân công mới, không bị phát hiện bởi các chương trình bảo mật, các công cụ này có thể có tính năng đa hình, siêu đa hình cho phép chúng thay đối hình dạng sau mỗi lân sử dụng.
Xu hướng tân công HTTT (tiêp)
Phát hiện nhanh các ỉỗ hổng bảo mật
Thông qua các lỗ hổng bảo mật của hệ thống, phân mềm kẻ tấn công khai thác các lỗ hổng này để thực hiện các cuộc tấn công.
Hàng năm, nhiều lỗ hổng bảo mật được phát hiện và công bố, tuy nhiên điều này cũng gây khó khăn cho các nhà quản trị hệ thống đê luôn cập nhật kịp thời các bản vá. Đây cũng chính là điểm yếu mà kẻ tấn công tận dụng đê thực hiện các hành vi tân công, xâm nhập bất hợp pháp.
Xu hướng tân công HTTT (tiêp)
Tấn công bất đối xứng và tấn công diện rộng
Tấn công bất đối xứng xảy ra khi bên tấn công mạnh hơn nhiều so với đối tượng bị tấn công.
Tấn công diện rộng thực hiện khi kẻ tấn công tạo ra một mạng lưới kết hợp các hoạt động tấn công.
Xu hướng tân công HTTT (tiêp)
Thay đổi mục đích tấn công
Thời gian trước, các tấn công chỉ từ mục đích thử nghiệm, hoặc khám phá hệ thống an ninh.
Hiện nay, mục đích tấn công với nhiều lý do khác nhau như v'ê tài chính, giả mạo thông tin, phá hủy, và đặc biệt nguy hiểm đó là mục đích chính trị, chính vì vậy mà độ phức tạp của các cuộc tấn công đã tăng lên và tác hại lớn hơn rất nhiều so với trước đây.
Các nguy cơ mat ATTI
Cơ sở hạ tâng mạng: Cơ sở hạ tâng không đồng bộ, không đảm bảo yêu cầu thông tin được truyền trong hệ thống an toàn và thông suốt.
Thông tin: Dữ liệu chưa được mô hình hóa và chuẩn hóa theo tiêu chuẩn về mặt tổ chức và mặt kỹ thuật. Yếu tố pháp lý chưa được chú trọng trong việc truyền các dữ liệu trên mạng, nghĩa là các dữ liệu được truyền đi trên mạng phải đảm bảo tính hợp pháp v'ê mặt tổ chức và mặt kỹ thuật.
Các nguy cơ mat Al I I (tiêp)
• công nghệ: Chưa chuẩn hóa cho các loại công nghệ, mô hình kiến trúc tham chiếu nhằm đảm bảo cho tính tương hợp, tính sử dụng lại được, tính mở, an ninh, mở rộng theo phạm vi, tính riêng tư vào trong HTTT.
• Con người: Sự hiểu biết của những người trực tiếp quản lý, vận hành các HTTT, xây dựng và phát triển hệ thống phần mềm, hệ thống thông tin còn chưa đồng đều và chưa theo quy chuẩn của các cơ quan tổ chức đó.
Các nguy cơ mat Al I I (tiêp)
Quy trình, quản lý.
Chưa chuẩn hóa qui trình nghiệp vụ trong vận hành HTTT.
Chưa chuẩn hóa các thủ tục hành chính, các qui định pháp lý trong việc đảm bảo ATTT.
Tố chức quản lý thay đổi hệ thống, ứng dụng chưa đúng cách, chưa chuẩn hóa và có chế tài mang tính bắt buộc thực hiện.
Như vậy đê đảm bảo ATTT thì các cơ quan tô chức phải làm tốt và hạn chế tối đa 5 yếu tô trên.
Giải pháp đảm bảo an toàn thông tin
• Bộ ba các đặc tính then chốt của thông tin đ'ê cập đến ở trên bao trùm toàn bộ các mặt của việc đảm
■ ■ ■
bảo an toàn thông tin.
• Một ma trận được tạo nên bởi 3 yếu tố là 3 trạng thái của thông tin (truyền dẫn, lưu giữ, xử lí) được minh họa ở trục hoành (hình 2).
Giải pháp đảm bảo an toàn thông tin (tiếp)
• Ba đặc tính then chốt của thông tin (tính bí mật, tính toàn vẹn, tính sẵn sàng] được minh họa trên trục tung có thể được sử dụng làm nền tảng cho mô hình thể hiện các biện pháp an toàn thông tin (hình 2).
Giải pháp đảm bảo an toàn thông tin (tiếp)
Các biện pháp ATHTTT được phân loại thành 3 lớp như sau, tạo thành chiều thứ 3 của không gian ma trận:
■
Các biện pháp công nghệ (Technology): Bao hàm tất cả các biện pháp phân cứng, các phần mềm, phần sụn cũng như các kỹ thuật công nghệ liên quan được áp dụng nhằm đảm các yêu cầu an toàn của thông tin trong các trạng thái của nó.
Giải pháp đảm bảo an toàn thông tin
Các biện pháp về chính sách và tổ chức (Policy
& Practices): Đưa ra các chính sách, quy định, phương thức thực thi.
Thực tế cho thấy, ATTT không chỉ đơn thuần là vấn đề thuộc phạm trù công nghệ, kỹ thuật. Hệ thống chính sách và ki ... ếu tô
Khả năng sử dụng
Bảo mật
Hiệu suất
■
Lựa chọn cơ
chê bảo mật
Xác định cơ chê' bảo mật phù hợp để hiện thực
các chính sách bảo mật và đạt được các mục
■ ■ ■ ■
tiêu bảo mật đề ra
■
có 4 cơ chế bảo mật:
■
Điêu khiển truy cập (Access control]
Điểu khiển suy luận (Inference control]
Điều khiển dòng thông tin (Flow control]
Mã hóa (Encryption]
Điều khiển truy cập
• Điêu khiển truy cập (Access control): là cơ chê điều khiển, quản lý các truy cập vào hệ thống cơ sở dữ liệu.
Các bước trong điều khiển truy cập
Đinh danh (Identification):
Người dùng cung cấp danh định (identity)
Xác thưc (Authentication
Người dùng chứng minh danh định đó là đúng
Authorization
1-60
Xác đinh quyên mà người dùng có
Điều khiển truy cập
• Cơ chế để xây dựng các tập luật điêu khiển truy cập-, cách thức để xét một truy cập là cho phép hoặc bị từ chối
■
Điều khiển truy cập tùy quyền (Discretionary Access Control)
Điều khiển truy cập bắt buộc (Mandatory Access Control)
Điêu khiên truy cập
Điều khiển suy luận (Inference control): là việc quản lý, điền khiển các truy cập vào những cơ sở dữ liệu thống kê (statistical database) bởi vì từ những dữ liệu thống kê có thê suy luận ra được những thông tin nhạy cảm.
Tập dữ liệu X: user A có thể đọc
Tập dừ liệu Y: user A không được phép đọc
... nhưng: Y = f(X)
• Nếu user A biết được hàm f thì có thể tìm được tập Y (mà user A không được phép xem) từ tập X
Cơ sở dữ liệu không nhạy cảm
Cơ sở dữ liệu nhạy cảm
Trân Thị Kim
1-63
Dòng thông tin (Information flow) giữa đối tượng (object) X và đối tượng Y xảy ra khi có một chương trình đọc dữ liệu từ X và ghi vào Y.
Điều khiển dòng thông tin (Flow control) nhằm ngăn chặn dòng thông tin đi từ đối tượng dữ liệu được bảo vệ sang đối tượng dữ liệu ít được bảo vệ hơn.
• Kênh biến đối (Covert Channels) là những kênh truyền mà qua đó dòng thông tin có thể được truyền ngầm ra bên ngoài một cách bất hợp pháp. Có 2 loại convert channel:
Kênh lưu trữ (Storage channel): thông tin được truyền qua những đôi tượng lưu trữ trung gian
Kênh thời gian (Timing channel): một phân thông tin có thê bị lộ ra ngoài thông qua thời gian tính toán các dữ liệu liên quan đến thông tin đó.
Mã hóa
• Mã hóa (Encryption) là những giải thuật tính toán nhằm chuyên đổi những văn bản gốc [plaintext], dạng văn bản có thê đọc được, sang dạng văn bản mã hóa (cyphertext), dạng văn bản không thể đọc được.
• Chỉ người dùng có được khóa đúng mới có thê giải mã được văn bản mã hóa vê dạng văn bản rõ ban đâu.
Bảng
thế
• Mã hóa dữ liệu được sử dụng đê bảo vệ những dữ liệu nhạy cảm.
Plaintext letter: abcdefghij klmnopqrstuvwxyz Ciphertext letter: mnbvcxzasdfghj klpoiuytrewq
Thòng plaintext: bob. See you this monday. alice điệp ciphertext:
Bài toán bảo mật: mã hóa và phong bì số
Bài toán chứng thực và toàn vẹn : chữ ký điện tử và mã chứng thực
Bên gửi
chuyển đổi
liên quan đến
an toàn
chuyên đổi
liên quan đến
an toàn
kênh thông tin
thông tin bí mật
Bên nhặn
thông tin
bí mật
Đối thù
Hình 1-5. Mô hình bảo mật truyền thông tin trên mạng
Bài toán bảo mật:
Mã hóa và phong bì số
Chữ ký số (Digital signature)-.
Là thông điệp (có thể là văn bản, hình ảnh, hoặc video...) đã được ký bằng khóa bí mật của người dùng nhằm mục đích xác định người chủ của thông điệp đó.
Mục đích của chữ ký số:
Xác thực: xác định ai là chủ của thông điệp
Tính toàn vẹn : kiếm tra xem thông điệp có bị thay đổi
Tính chống thoái thác: ngăn chặn việc người dùng từ chối đã tạo ra và gửi thông điệp
Chữ ký số (Digital signature)-.
Dùng khóa bí mật để ký (mã hóa) lên thông điệp ->chữ ký
Dùng khóa công khai để xác thực (giải mã) chữ ký
original text
signed text
Tràn Thị Kìm chi
verifvtna
verified text
1-72
Quá trình đơn giản của chữ ký số
Alice viết một văn bản và muốn gửi cho Bob
Alice ký lên văn bản bằng khóa bí mật ->văn bản đã ký
Alice gửi văn bân gốc và văn bản đã ký cho Bob qua đường truyền mạng
Bob nhận được văn bản gốc và văn bản đã ký
Bob dùng khóa công khai của Alice để giải mã văn bản đã ký
Bob so sánh văn bản giải mã được và văn bản gốc, nếu giông nhau thì đây chính là do Alice gửi, nếu sai thì đây không phải văn bản do Alice gửi.
Chữ ký sô an toàn:
hash function
plaintext
message digest
digest signed with private key
Tràn Thị Kim chi nrivate ki=»v
plaintext + signature
■ Doanh nghiệp A ký số và gửi doanh nghiệp B
A dùng khóa bí mật để ký (i.e.mã hóa rút gọn của) thông điệp
B dùng khóa công khai của A để kiểm tra chữ ký của A
Rút gọn đã mã hóa
Khóa bí mật cũa A1
Rút gọn cũa thòng điệp
Thông điệp'
Kho chứa khóa còng khai
Trần Thị Kìm chi
Khỏa cõng khai cúa A
I
Tựtính rút gọn của thòng điệp k Sỡ sánh với kết qua
giãi ma mà hóa của rút \ gọn được gữi dền
(3) Mà hóa bằng khóa
(8) Sư dụng hâm
băm
Thông điệp
tóm tẳt mới
GỬI
Phong bì số
1
(5) Gừi cho người nhận
NHẬN
Phong bì số
1 .
(6) Giãi mã băng khóa bí mật của ng nhận
ị
ị
(1)
Chữ ký số
cộng cua người nhận
Thông
điệp gốc
(7) Giai mã bàng khóa công khai
cua người gửĩ
Thông điệp
Tràn Thị Kìm Chi t , tắt *
htkk
HTKK
Xuátra K tớ khai p
Website Tổng Cục Thuế
Kỷsố Gửi tờ khai denCQĨ
Máy chù Tông Cục thuê
Phân hối của
Tông Cục thuế
Hình 2: Mô hình kê^^ĩỉề^ĩtìbế qua mạng
1-77
Chứng chi sô (Chứng thư điện tử)
B1. CQCT tạo cặp
khóa cho thuê bao
NGƯỜI GỨ1
cập khoa của nguói gưi
Pubficto
B2. CQCT tạo nội
dung chững thư sổ
CHỬNG THƯ SỐ - Thông tin vè NG KHOA C.KHAĨ -Sổ
• Hạn sử dụng ...
B3. Rut gọn	RÙT GỌN
chững thư số Nội dung rút gọn
Chữ ký điện tử và mã chứng thực
Khách hàng
) Tin cần ?
I Toàn vẹn ?
Nhà cung cấp
Ngàn hàng
Xác thực ?
Thoái thác ?
Giao dịch truyền thống
4- Tin cân
4- Toàn vẹn
4- Xác thực
4- Chống thoái thác
Phong bao
Chữ ký, con dấu, mã vạch
Công chứng, chứng minh thư, gặp mặt nhau
Chừ ký, biên nhận, công dạứtìg, xác nhận
Chữ ký điện tử và mã chứng thực
Giải pháp cho môi trường điện tử
4- Tin cẩn	Mã hóa dữ liệu
I Xác tỊiưc	> Chứng chỉ số, Chừ ký điện tử
. — ,	> Băm, chừ ký điện tử
ị- 1 oàn vẹn
Chừ ký điện tử, nhật ký
T Chống thoái thác
Xây dựng các hệ thống dự
4- Tính sẵn sàng phpng, tự động phục hôi
<—■	Trần Thị Kìm bhi	J.	1
Bài toán chứng thực và
Chữ ký điện tử và mã chứng thực
Chữ ký điện tử là thông tin được mã hoá bằng Khoá riêng của người gửi, được gửi kèm theo văn bản nhằm đảm bảo cho người nhận định danh, xác thực đúng nguồn gốc và tính toàn vẹn của tài liệu nhận
■
Chữ ký điện tử thể hiện văn bản gửi đi là đã được ký bởi chính người sở hữu một Khoá riêng tương ứng với một Chứng chỉ điện tử nào đó.
Sử dụng chữ ký điện tử
Đảm bảo tính toàn vẹn
■
Chống thoái thác
toàn
Chứng chỉ điện tử
Là một thành phần dữ liệu
Gắn thông tin của người sở hữu khóa riêng với khóa công khai
Nó được tạo bởi tổ chức có thẩm quyền chứng thực, được gọi là CA
Loại chứng chỉ điện tử được dùng phổ biến là X.509 Certificate
Có thể coi chứng chỉ điện tử như là chứng minh thư trong giao dịch diệnxửc,.
khci Lim trú.
l»-in mật
Chứng thực sô (digital certificate), hoặc chứng thực khóa công khai (public key certificate), là một tài liệu điện tử dùng đê xác minh một khóa công khai là của ai.
Trong mô hình hạ tầng khóa công khai (public key infrastructure), CA (Certificate Authority) là nhà cung cấp chứng thực sô.
%^\cA
Mỗi chứng thực số bao gồm các thông tin cơ bản sau:
Tên và URL của CA cung cấp chứng thực
Khóa công khai
Tên sở hữu: cá nhân, tổ chức, máy chủ
Thời hạn sử dụng
CA sẽ chịu trách nhiệm ký lên mỗi chứng thực số
Certificate - Certificate Authority (CA)
Certificate
Là chứng nhận về gía trị Public key (P) của một Object
Các Thông tin và Public key (P) của Object sẽ được chứng nhận bởi Đơn vị chứng nhận (Certificate Authority - CA)
Certificate của Object bao gồm : Thông tin Object + Public Key (P) Object + Digital Signature của Certificate Authority
Object dùng Certificate được cấp đê thực hiện các giao dịch
QA PA
Thông tin
PA
Certificate
Object A
Object A
Certificate Authority
(CA)
Certificate - Certificate Authority (CA)
Là Đơn vị chứng nhận về gía trị Public key (P) của một Object
Certificate Authority thực hiện tạo Digital Signature (DS) dựa trên Thông tin và Public key (P) của Object xin cấp
QA PA	PB QB
t Thõng tin 	 Certificate	Ề
PA	ObjectA	I
Object A	< Certificate Authority
( CA )
ThÔnW^+=flfoW
X [ E] QB -> DS
Bài toán chứng thực và
toàn vẹn
■
Chữ ký điện tử và mã chứng thực
Chứng thực (authentication)
Chứng minh "Tôi chính là tôi chứ không phải ai khác”
Là một phần quan trọng trong ĐỊNH DANH và CHỨNG THỰC (Identification & Authentication - I &A).
Ba yếu tố của chứng thực:
Cái bạn biết ( Something you know)- Mật mã hay số PIN
Cái bạn có ( Something you have) - Một card thông minh hay một thiết bị chứng thực
Cái bạn sở hữu (Something you are) - dấu vân tay hay võng mạc mắt của bạn
■
Những phương thức chứng thực thông dụng:
Dùng username/Password
Giao thức chứng thực CHAP - (Challenge Handshake
Authentication Protocol)
Chứng chỉ: Certificate Authority (CA)
Bảo mật bằng token
Phương pháp Kerberos
Chứng thực đa yếu tố
Chứng thực bằng thẻ thông minh (Smart card)
Chứng thực bằng sinh trắc học
Bài toán chứng thực và toàn Chữ ký điện tử và mã chứng thực
• Dùng username/Password
login: administrator
Logon or Security Server
Bài toán chứng thực và toàn
Chữ ký điện tử và mã chứng thực
• Giao thức chứng thực CHAP - (Challenge Handshake Authentication Protocol)
Authorize or Fail
Compare
Encrypted Results
Bài toán chứng thực và toàn Chữ ký điện tử và mã chứng thực
• Chứng chỉ: Certificate Authority (CA)
Application Server
Client
1 Authentication
Security Server
J	Trân Thị Kim Chi
• Bảo một bâng token
Challenge
ven
■
Bài toán chứng thực và toàn
Chữ ký điện tử và mã chứng thực
• Phương pháp Kerberos
Kerberos cho phép một đăng nhập đơn vào mạng phân tán.
Server Providing Services to User
1. User requests access to service running on a different server.
2 KDC authenticates user and sends a ticket to be used between the user and the service on tne server
3. User's workstation sends ticket to service to autfrentffeafe’afld use the requested service.
Bài toán chứng thực và toàn
Chữ ký điện tử và mã chứng thực
• Chứng thực đa yếu tố
login: administrator
Smart Card Reader
Both factors must be valid:
•UserID Password
•Smart Card
Bài toán chứng thực và toàn Chữ ký điện tử và mã chứng thực
• Chứng thực bằng thẻ thông minh (Smart card)
Bài toán chứng thực và
toàn vẹn
■
Chữ ký điện tử và mã chứng thực
Chứng thực bâng sinh trắc học:
Nhận dạng cá nhân bằng các đặc điểm riêng biệt của từng cá thể.
Hệ thống sinh trắc học gôm các thiết bị quét tay, quét võng mạc mắt, và sắp tới sẽ có thiết bị quét DNA
Để có thê truy cập vào tài nguyên thì bạn phải trải qua quá trình nhận dạng vật lý
Vân đê sở hữu trí tuệ và bản quyên
• Luật bản quyền được quy định trong Bộ luật dân sự của nước Cộng hoà Xã hội chủ nghĩa Việt Nam.
• Về cơ bản, quyền tác giả (quyền tinh thần] được cấp cho những người trực tiếp sáng tạo ra phần mềm; quyền sở hữu (quyền thương mại] được cấp cho người đầu tư; quyền sử dụng (licence] do chủ sở hữu cấp phép cho người sử dụng.
Vân đê sở hữu trí tuệ và bản quyên (tiê|
về mặt luật, phân mêm hiện đang được đối xử như một tác phẩm viết và còn rất nhiều điều bất cập. Chắc chắn luật sở hữu trí tuệ phải được tiếp tục hoàn thiện, nhất là đối với phần mềm.
Tình trạng dùng phần mềm sao chép không có bản quyền rất phổ biến không chỉ riêng ở các nước đang phát triển. Ngay ở Mỹ cũng có đến 1/3 số phần mềm được dùng không có bản quyền.
Vân đê sở hữu trí tuệ và bản quyên (tiếp)
Theo thống kê của các tổ chức có trách nhiệm tình trạng dùng phần mềm không có bản quyền đã gây thiệt hại cho những người làm phân mềm nhiều tỷ đô la môĩ năm.
Các nhà sản xuất phần mềm đã tìm các phương pháp chống sao chép nhưng "không lại" được với dân tin tặc. Cho đến nay, chưa một phần mềm nào của Việt Nam chống được nạn bẻ khoá.
Bất cứ một nước phát triển nào cũng phải có quy định dưới dạng các văn bản pháp luật để chống lại các tội phạm tin học.
Ở Việt Nam, nhận thức được tính nghiêm trọng của các tội phạm tin học, Quốc hội Cộng hoà Xã hội Chủ nghĩa Việt Nam đã ban hành một số điều luật chống tội phạm tin học trong bộ luật hình sự (13/1/2000).
Luật tội phạm tin học ở Việt Nam (tiếp)
• Điêu 224. Tội tạo ra và lan truyền, phát tán các chương trình virus tin học
Điêu 225. Tội vi phạm các quy định v'ê vận hành, khai thác và sử dụng mạng máy tính điện tử
Điều 226. Tội sử dụng trái phép thông tin trên mạng và trong máy tính
Luật tội phạm tin học ở Việt Nam
(tiếp)
Nghị định 55/2001/NĐ-CP
Ngày 23/8/2001 Chính phủ ban hành nghị định 55/2001/NĐ-CP quy định một sô mức xử phạt các vi phạm khi sử dụng Internet.
Al I I tại Việt Nam: Hệ thông văn bản
• Hệ thống văn bản pháp luật
Luật an ninh quốc gia sô 32/2004/QH11 được Quốc hội
thông qua ngày 03/12/2004; Luật Giao dịch điện tử số 51/2005/QH11	được	Quốc	hội thông	qua	ngày
29/11/2005; Luật Công nghệ thông tin số 67/2006/QH11	được	Quốc	hội thông	qua	ngày
29/6/2006; Luật Cơ yếu sô 05/2011/QH13 được Quốc hội thông qua ngày 26/11/2011 và Pháp lệnh số 13/2002/L/CTN ngày 07/6/2002 của Chủ tịch nước vê Công bô' Pháp lệnh Bưu chính, Viễn thông
Nghị quyết, nghị định Chính phủ. Quyết định Thủ tướng.
Thông tư các bộ	106
ATTT tại Việt Nam: Hệ thông văn bản
• Luật ATTT mạng
Qua 4 phiên bản
19/11/2015, Luật ATTT mạng số 86/2015/QH13 Quốc hội khóa XIII thông qua tại Kỳ hợp thứ 10 và luật này có hiệu lực vào ngày 01/07/2016
Thuật ngữ liên quan
■ ->Mỗi nhóm tìm hiểu các luật và báo cáo
■
Một số cơ quan tổ chức ATT!
• Bộ TTTT và Cục ATTT
_ Tì A rTtrrirT'rT’ 1 \ 	? 1 l ù z 'A A rT',rT',rr’
Bộ TTTT là cơ quan quản lý nhà nước về ATTT
Cục ATTT:  tham mưu, giúp Bộ trưởng Bộ TTTT quản lý nhà nước và tổ chức thực thi pháp luật về ATTT
Một số cơ quan tổ chức ATT!
Hiệp hội ATTT
Vietnam Information Security Association: VNISA.
Trung tâm ứng cứu khẩn cấp máy tính VN
Vietnam Computer Emergency Response Team: VNCERT. 
điều phối hoạt động ứng cứu sự cổ máy tính trên toàn quốc; cảnh báo kịp thời các vấn đê vê an toàn mạng máy tính; v.v.
Tóm tăt nội dung
f	/\' -t'A 'A A rprprp
• Các vân đe về ATTT
Các nguy cơ ATTT
Các mục tiêu ATTT
Các loại hình tân công HTTT
Một sô giải pháp đảm bảo ATTT
Một sô vấn đề liên quan đến luật ATTT
Các phần mềm độc hại
Thảo luận
Vai trò của ATTT trong xã hội?
Tình hình ATTT trên thế giới và tại Việt Nam?
Các mục tiêu của ATTT?
Các nguy cơ về mất ATTT?
Một số kỹ thuật tấn công mạng?
Một số vấn đề liên quan đến luật ATTT?
CAU HOI VA BAI TẠP
Câu 1: Trình bày các khái niệm vê tính bí mật, tính sẵn sàng và tính an toàn trong ATTT?
Câu 2: Trình bày một sô kiểu tân công mạng?
Tấn công quét mạng
Tấn công từ chối dịch vụ
Tấn công mã độc
Tấn công kỹ nghệ xã hội
Câu 3: Trình bày và phân tích các nguy cơ về ATTT?
Câu 4: Trình bày và phân tích các giải pháp
bảo đảm ATTT?
Câu 5: Trình bày tổng quan về thực trạng ATTT trên thê giới và tại Việt Nam?
Câu 6: Trình bày các khái niệm vê tin tặc và tội phạm kỹ thuật?
CÂU HỎI VÀ BÀI TẬP (tiếp)
Câu 7: Trình bày vân đề tội phạm tin học liên quan đến lạm dụng mạng?
Câu 8: Trình bày một sô vân đề về sở hữu trí tuệ và luật bản quyên?
Câu 9: Trình bày một sô hiếu biết về luật tội phạm tin học ở Việt Nam?