Hàng loạt các dịch vụ ngân hàng ứng dụng công nghệ ra đời như Internet Banking, Mobile Banking,… tất cả những gì khách hàng chuẩn bị chỉ là smartphone, máy tính hay bất cứ thiết bị điện
Mục tiêu nghiên cứu
Để tìm hiểu giải pháp bảo mật thông tin trong ngân hàng an toàn hơn, mục tiêu nghiên cứu của đề tài sẽ tập trung vào việc phân tích các phương pháp hiện có và đề xuất những biện pháp cải tiến hiệu quả.
Internet Banking đang trở thành một phần quan trọng trong dịch vụ ngân hàng hiện đại, tuy nhiên, người dùng cần nhận thức về các hình thức tấn công mạng phổ biến như phishing, malware và DDoS Để bảo vệ thông tin cá nhân và tài khoản ngân hàng, các biện pháp bảo mật hiện nay bao gồm xác thực hai yếu tố, mã hóa dữ liệu và giám sát giao dịch Tiêu chuẩn mã hóa tiên tiến AES được áp dụng rộng rãi nhằm đảm bảo an toàn cho dữ liệu trong quá trình giao dịch trực tuyến.
- Thực hiện khảo sát về mức tín nhiệm của khách hàng đối với dịch vụ IB
- Phân tích, đánh giá thực trạng bảo mật trong dịch vụ IB tại Việt Nam và một số nước trên thế giới
Đề xuất mô hình bảo mật cho dịch vụ Internet Banking (IB) của ngân hàng BIDV bao gồm việc sử dụng tiêu chuẩn mã hóa tiên tiến AES để bảo vệ dữ liệu và xác thực giao dịch qua mã xác nhận gửi qua email Nghiên cứu sẽ làm rõ lý thuyết về IB và kỹ thuật mã hóa AES, đồng thời phân tích thực trạng rủi ro bảo mật dịch vụ IB tại Việt Nam và trên thế giới Từ những phân tích này, mô hình bảo mật phù hợp cho dịch vụ IB của BIDV sẽ được đề xuất nhằm nâng cao độ an toàn và bảo mật cho khách hàng.
TỔNG QUAN VÀ CƠ SỞ LÝ THUYẾT
Tổng quan về đơn vị thực tập
Công ty Cổ phần Mattech, thành lập năm 2020, là một công ty trẻ chuyên tư vấn giải pháp công nghệ thông tin và phát triển phần mềm Mattech cam kết lắng nghe và đáp ứng nhu cầu của khách hàng, từ các tổ chức CNTT đến những tổ chức ngoài CNTT, nhằm giúp họ đạt được các mục tiêu đa dạng thông qua các giải pháp kỹ thuật số và công nghệ tiên tiến.
Website: https://mattech.vn/about-us/ Địa chỉ: Tầng 5, Tòa nhà NewSkyLine, Khu đô thị mới Văn Quán - Yên Phúc, Phường
Văn Quán, Quận Hà Đông, Thành phố Hà Nội, Việt Nam
Năm 2024, Mattech sẽ trở thành nhà cung cấp dịch vụ cho ngân hàng số của Ngân hàng TMCP Đầu tư và Phát triển BIDV, mở ra cơ hội quý báu để tiếp cận thông tin và kiến thức cho đề tài khóa luận.
Tổng quan về dịch vụ Internet Banking
Internet Banking, hay Ngân hàng điện tử, là dịch vụ ngân hàng cho phép khách hàng thực hiện giao dịch và quản lý tài khoản trực tuyến thông qua website của ngân hàng (Theo Tan & Teo, 2000).
Hình 1.1 Dịch vụ Internet Banking
Nguồn: https://tanbinhthanhpho.tayninh.gov.vn/
Khi mới ra mắt, dịch vụ Internet Banking (IB) chủ yếu được sử dụng để truy vấn thông tin tài khoản và các dịch vụ ngân hàng Tuy nhiên, nhờ vào sự phát triển của công nghệ không đồng bộ và giao dịch điện tử an toàn, ngày càng nhiều ngân hàng đã tích hợp IB như một kênh giao dịch chính Điều này cho phép khách hàng thực hiện các giao dịch ngân hàng thông thường như thanh toán hóa đơn, chuyển tiền và in sao kê ở bất kỳ đâu, chỉ cần có kết nối internet.
1.2.1.2 Lịch sử hình thành và phát triển Internet Banking
Theo nghiên cứu trong bài báo “Customers' Expectations for Next Generation IB” (Seetharaman, Singhal, Galdhar, Raj, & Saravanan, 2016), dịch vụ ngân hàng trực tuyến (IB) bắt đầu xuất hiện vào đầu những năm 1980, với Nottingham Building Society và The Bank of Scotland là những ngân hàng tiên phong Ban đầu, dịch vụ này chỉ cho phép khách hàng xem sao kê và thanh toán hóa đơn, trong khi các giao dịch như gửi hoặc rút tiền vẫn phải thực hiện tại các chi nhánh ngân hàng truyền thống Thập niên 1980 được xem là thời điểm khởi đầu cho sự phát triển của ngân hàng trực tuyến.
Vào những năm 1990, sự bùng nổ của công nghệ thông tin đã thúc đẩy nhiều ngân hàng triển khai dịch vụ ngân hàng trực tuyến (IB) cho khách hàng Một số ngân hàng bắt đầu cung cấp các dịch vụ như xem giao dịch ngân hàng và thanh toán hóa đơn Tuy nhiên, cách tiếp cận ngân hàng trực tuyến thời điểm đó còn thụ động, với hầu hết các trang web chỉ mang tính chất giới thiệu thông tin.
Hình 1.2 Lịch sử phát triển của Internet Banking
Từ năm 2000, dịch vụ IB đã phát triển mạnh mẽ trên toàn cầu, với trọng tâm vào bảo mật, quyền riêng tư, tốc độ giao dịch, tính dễ sử dụng, độ tin cậy và khả năng phản hồi Đến cuối thập kỷ, việc cung cấp dịch vụ IB trở thành điều thiết yếu cho hầu hết các ngân hàng.
Hiện nay, các ngân hàng đang cạnh tranh quyết liệt để chiếm lĩnh thị phần thông qua việc cung cấp dịch vụ Internet Banking (IB) tiện lợi và hấp dẫn Lĩnh vực IB đã trở thành một "đại dương đỏ" với sự cạnh tranh gay gắt, khi hầu hết các ngân hàng đều cung cấp dịch vụ và tính năng ngân hàng trực tuyến tương tự nhau Do đó, các tổ chức ngân hàng cần liên tục đổi mới mô hình để nâng cao chất lượng dịch vụ IB.
1.2.1.3 Các loại hình Internet Banking
Dựa trên các cấp độ tiện ích khác nhau do ngân hàng cung cấp, IB được chia thành
3 loại hình chính (Gaur, 2023), (DBS Bank, 2022):
Dịch vụ IB giao dịch là ngân hàng trực tuyến cho phép khách hàng thực hiện các giao dịch tài chính như chuyển tiền, thanh toán hóa đơn thẻ tín dụng và hóa đơn tiện ích Để sử dụng dịch vụ này, khách hàng cần có tài khoản IB hoạt động và mật khẩu Ngoài ra, dịch vụ còn hỗ trợ tạo tiền gửi kỳ hạn và đầu tư vào chứng khoán.
Ngân hàng IB cung cấp thông tin ngân hàng trực tuyến cơ bản, cho phép khách hàng truy cập thông tin về các sản phẩm và dịch vụ của ngân hàng Khách hàng có quyền truy cập hạn chế vào thông tin chung trên trang web và có thể gửi câu hỏi qua email để biết thêm chi tiết Thông tin mà IB cung cấp bao gồm các điều khoản ngân hàng cơ bản như các loại tài khoản, khoản vay, dịch vụ ngân hàng ưu tiên, dự án bất động sản liên kết, cũng như vị trí các chi nhánh và ATM gần nhất.
Trong dịch vụ IB, ngân hàng cho phép khách hàng thực hiện các chức năng giao tiếp đơn giản như đăng ký vay tiền và hỏi về số dư tài khoản Giao tiếp diễn ra qua chatbot ảo, được trang bị để cung cấp thông tin tổng hợp và chuyển hướng khách hàng đến bộ phận chăm sóc khách hàng khi cần Khách hàng có thể đặt câu hỏi về yêu cầu số dư tối thiểu, chuyển tiền, cũng như các loại tài khoản và thẻ ngân hàng được cung cấp.
1.2.2 Lợi ích của Internet Banking
Theo nghiên cứu của Obeidat và Saxena (2016) cùng Quân và Quang (2016), Internet Banking (IB) mang lại nhiều lợi ích cho ngân hàng thông qua việc cung cấp dịch vụ thanh toán và truy vấn trực tuyến Công nghệ hiện đại này không chỉ nâng cao chất lượng và hiệu quả dịch vụ mà còn giúp các ngân hàng tăng cường khả năng cạnh tranh và thực hiện chiến lược toàn cầu hóa mà không cần mở chi nhánh ở nước ngoài.
1.2.2.1 Đối với khách hàng Đối với khách hàng, IB đã mang lại khách hàng những trải nghiệm mới, giúp cho khách hàng tiết kiệm thời gian, chi phí,… khi khách hàng có thể thực hiện giao dịch nhanh chóng, thuận tiện và hiệu quả Điều này được thể hiện ở Hình 1.3:
Hình 1.3 Lợi ích của Internet Banking đối với người dùng
● Tiện lợi cho khách hàng
Dịch vụ Internet Banking (IB) mang lại sự tiện lợi vượt trội cho khách hàng với khả năng truy cập và thực hiện giao dịch 24/7 Ngay cả khi không có internet, ngân hàng di động vẫn hỗ trợ một số giao dịch, giúp khách hàng dễ dàng quản lý tài chính Nhìn chung, IB cung cấp giải pháp quản lý tài chính nhanh chóng, thuận tiện và hiệu quả hơn.
● Tiết kiệm thời gian và chi phí
IB mang đến cho khách hàng khả năng liên lạc với ngân hàng nhanh chóng và thuận tiện, cho phép thực hiện các dịch vụ ngân hàng mọi lúc, mọi nơi Trong thời đại 4.0, khi thời gian của khách hàng trở nên quý giá, việc giao dịch trực tuyến trở thành giải pháp lý tưởng Bên cạnh đó, chi phí cho các giao dịch trực tuyến cũng thấp hơn nhiều so với giao dịch trực tiếp.
● Lãi suất có lợi hơn
Các ngân hàng trực tuyến cung cấp dịch vụ IB có lợi thế về chi phí cơ sở hạ tầng và hoạt động thấp hơn, cho phép họ chuyển giao khoản tiết kiệm này cho khách hàng thông qua lãi suất tiền gửi ưu đãi, lãi suất cho vay thấp và phí thế chấp giảm Ngoài ra, nhiều ngân hàng còn cung cấp các lợi ích như không yêu cầu tiền gửi tối thiểu, không yêu cầu số dư tối thiểu và miễn phí dịch vụ.
● Dịch vụ miễn phí bổ sung
Ngân hàng trực tuyến (IB) thường cung cấp các dịch vụ miễn phí như thanh toán hóa đơn trực tuyến cho tiện ích như điện, nước và điện thoại, cùng với quyền truy cập vào các công cụ quản lý tài chính Những công cụ này hỗ trợ khách hàng trong việc quản lý tài chính cá nhân hiệu quả hơn, bao gồm lập ngân sách, dự báo tài chính, tính toán khoản vay và phân tích đầu tư.
● Tính di động trong giao dịch
Các hình thức tấn công mạng phổ biến
Theo VMware, trong nửa đầu năm 2020, các cuộc tấn công mạng nhằm vào tổ chức tài chính đã gia tăng đến 238% Đồng thời, nghiên cứu của IBM và Ponemon Institute chỉ ra rằng chi phí trung bình cho một vụ vi phạm dữ liệu trong lĩnh vực tài chính vào năm 2021 đạt tới 5,72 triệu USD.
1.3.1 Tấn công giả mạo (Phishing) Đây là một trong những hành vi gian lận phổ biến nhất Tấn công giả mạo là hình thức tấn công tập trung đánh cắp thông tin nhạy cảm của người dùng như tên đăng nhập, mật khẩu, thông tin thẻ tín dụng, v.v bằng cách kẻ tấn công giả mạo thành một tổ chức đáng tin cậy trong liên lạc điện tử (Zahoor, Ud-din, & Sunami, 2016)
Hình 1.6 Tấn công giả mạo
Nguồn: https://www.simplilearn.com/
Hình thức giả mạo này thường thông qua email mạo danh hoặc tin nhắn nhanh, yêu cầu người dùng nhấp vào liên kết để bảo mật tài khoản Người dùng sẽ được dẫn đến một trang web giả mạo giao diện của ngân hàng thật, từ đó lừa họ nhập thông tin cá nhân như tên đăng nhập, mật khẩu và thông tin thẻ tín dụng Khi thông tin được nhập, kẻ gian có thể truy cập vào tài khoản ngân hàng trực tuyến và đánh cắp tiền Kẻ lừa đảo sử dụng nhiều kỹ thuật và công cụ như Botnets, Phishing Kits, và phần mềm độc hại để thực hiện hành vi này, bao gồm việc lợi dụng dịch vụ tên miền, chiếm quyền phiên làm việc và các phần mềm độc hại chuyên dụng.
Hình 1.7 minh họa một email lừa đảo giả mạo thông tin khẩn cấp liên quan đến đại dịch vi-rút Corona từ Tổ chức Y tế Thế giới (WHO).
Hình 1.7 Một email lừa đảo giả dạng là thông báo khẩn cấp từ Tổ chức Y tế Thế giới
1.3.2 Tấn công chèn mã độc chéo trang (Cross-site scripting)
Tấn công chèn mã độc chéo trang (XSS) là một lỗ hổng an ninh mạng phổ biến trong các ứng dụng web, cho phép kẻ tấn công chèn mã độc vào trang web Mã độc này sẽ được kích hoạt khi người dùng truy cập vào trang, dẫn đến các rủi ro bảo mật nghiêm trọng Kẻ tấn công có thể sử dụng nhiều loại mã độc khác nhau, bao gồm kịch bản phía client và mã HTML.
Hình 1.8 Tấn công chèn mã độc chéo trang Cross-site scripting
Kẻ tấn công có thể lợi dụng lỗ hổng XSS để vượt qua kiểm soát truy cập của trang web, với mức độ nguy hại phụ thuộc vào tính nhạy cảm của dữ liệu và biện pháp bảo vệ mà chủ sở hữu trang web áp dụng XSS có thể gây ra những phiền toái nhỏ hoặc trở thành một lỗ hổng bảo mật nghiêm trọng.
Kể từ năm 2019, Trend Micro đã theo dõi chiến dịch đe dọa mang tên “Water Pamola”, bắt đầu bằng việc xâm phạm các cửa hàng thương mại điện tử tại Nhật Bản, Úc và châu Âu thông qua email spam chứa tệp đính kèm độc hại Chiến dịch này đã gửi các đơn đặt hàng trực tuyến có kèm theo mã độc XSS nhằm tấn công các quản trị viên của các trang thương mại điện tử.
1.3.3 Lừa đảo qua điện thoại (Vishing)
Theo nghiên cứu của Zahoor, Ud-din và Sunami (2016), lừa đảo qua điện thoại, hay còn gọi là Vishing (từ ghép của Voice và Phishing), là một hình thức tấn công mạng sử dụng các kỹ thuật xã hội để lừa đảo người dùng.
VoIP là phương thức mà kẻ tấn công sử dụng để truy cập thông tin tài chính từ các tổ chức tài chính uy tín thông qua việc giả mạo nhân viên ngân hàng Họ gọi điện cho người dùng, đặc biệt là những người có tài khoản ngân hàng, và yêu cầu xác nhận thông tin tài khoản bằng cách đưa ra lý do như tài khoản đã hết hạn Khi người dùng cung cấp thông tin nhạy cảm như tên đăng nhập, mật khẩu và số thẻ tín dụng, kẻ tấn công có thể dễ dàng truy cập vào tài khoản và đánh cắp tiền.
Hình 1.9 Tấn công lừa đảo qua điện thoại Vishing
Nguồn: https://www.spiceworks.com/
Trong nửa đầu năm 2020, các ngân hàng Anh ghi nhận sự gia tăng 84% số vụ lừa đảo mạo danh, với hơn 15.000 vụ và thiệt hại lên tới 58 triệu bảng Anh do tội phạm lợi dụng khủng hoảng Covid-19 Kẻ lừa đảo giả mạo nhân viên ngân hàng, thường sử dụng số điện thoại và ID giả, thông báo rằng tài khoản của nạn nhân đang gặp rủi ro và yêu cầu chuyển tiền vào "tài khoản an toàn" Nhiều vụ lừa đảo kết hợp giữa email và cuộc gọi điện thoại để tiếp cận nạn nhân.
1.3.4 Chiếm đoạt tên miền (Cybersquatting)
Hành vi đăng ký tên miền nổi tiếng nhằm mục đích bán lại kiếm lời được gọi là cướp tên miền Những kẻ cướp này thường đăng ký các tên miền tương tự với các nhà cung cấp dịch vụ uy tín, nhằm thu hút người dùng và trục lợi từ việc này.
Hình 1.10 Tấn công chiếm đoạt tên miền
Nguồn: https://www.kaspersky.com/
Nhiều quốc gia đã ban hành các luật đặc biệt nhằm chống lại hành vi cướp tên miền, vượt ra ngoài các quy định về thương hiệu thông thường Tại Hoa Kỳ, Đạo luật Bảo vệ Người tiêu dùng chống Cướp tên miền (ACPA) được thông qua vào năm 1999, nhằm bảo vệ quyền lợi của cá nhân và các chủ sở hữu thương hiệu trước tình trạng cướp tên miền.
Ví dụ 1.3.4.1: Palo Alto Networks đã phát hiện ra các tên miền chiếm dụng thương hiệu sau, được sử dụng cho các mục đích độc hại:
● Walrmart44.com: Phát tán phần mềm quảng cáo (adware), phần mềm gián điệp (spyware) và các tiện ích mở rộng trình duyệt độc hại
● Secure-wellsfargo.org: Đánh cắp thông tin nhận dạng cá nhân, thông tin đăng nhập và mã PIN ATM của người dùng
Facebookwinners2020.com là một trang web lừa đảo cung cấp giải thưởng hoặc sản phẩm miễn phí giả mạo cho người dùng Để nhận được các giải thưởng này, người dùng buộc phải điền vào biểu mẫu với các thông tin cá nhân như tên, địa chỉ email, số điện thoại, ngày sinh và thu nhập, điều này có thể dẫn đến việc lộ thông tin cá nhân và các rủi ro khác.
Theo Palo Alto Networks, vào tháng 12 năm 2019, một số tên miền phổ biến khác đã bị kẻ chiếm dụng thương hiệu lợi dụng, như thể hiện trong biểu đồ Hình 1.11 dưới đây.
Hình 1.11 Một số tên miền bị kẻ chiếm dụng thương hiệu lợi dụng tháng 12/2019
Nguồn: https://www.paloaltonetworks.com/
Bot là các chương trình độc hại xâm nhập vào hệ thống, cho phép kẻ tấn công điều khiển từ xa thông qua nhiều giao thức như HTTP và nhắn tin nhanh Nhiều bot có thể được điều khiển bởi một kẻ xấu, tạo thành một "Botnet" Máy tính bị nhiễm botnet thường do người dùng vô tình tải xuống phần mềm độc hại như "Trojan Horse" qua email Các hệ thống bị nhiễm này được gọi là "zombie", và kẻ điều khiển bot có thể thực hiện các hoạt động bất hợp pháp thông qua chúng.
● Trung gian để gửi email spam và email phishing
● Cập nhật phần mềm độc hại hiện có
Hình 1.12 Tấn công theo hình thức Botnet
Nguồn: https://www.wallarm.com/
Các biện pháp bảo mật trong ngân hàng
1.4.1 Mã hóa cơ sở dữ liệu (Database encryption)
Các ngân hàng áp dụng các phương pháp mã hóa dữ liệu để bảo vệ thông tin cá nhân, tài khoản và giao dịch của khách hàng Việc mã hóa này được thực hiện cho cả dữ liệu trong quá trình chuyển tiếp và khi lưu trữ.
Hình 1.22 Cột thông tin khách hàng được mã hóa trong cơ sở dữ liệu của ngân hàng
Nguồn: https://www.researchgate.net/
1.4.2 Kiểm tra an ninh định kỳ
Để đảm bảo an toàn cho bảo mật thông tin, việc duy trì kiểm thử xâm nhập định kỳ và đánh giá các lỗ hổng hệ thống là rất quan trọng Theo nghiên cứu của Zahoor, Ud-din và Sunami (2016), nhiệm vụ này cần được thực hiện bởi các chuyên gia bảo mật thông tin độc lập và được đào tạo bài bản trong ngân hàng Kiểm thử xâm nhập là một hình thức đánh giá mức độ an toàn của hệ thống CNTT, thông qua việc mô phỏng các cuộc tấn công thực tế để phát hiện các lỗ hổng và điểm yếu, từ đó xác định các biện pháp phòng ngừa hiệu quả chống lại các cuộc tấn công của tin tặc.
Hình 1.23 Quy trình kiểm tra xâm nhập pentest
Nguồn: https://www.stealthlabs.com/
Các ngân hàng cần thực hiện rà soát toàn diện về kiến trúc an ninh mạng và tiến hành kiểm tra, đánh giá (pentest) định kỳ để phát hiện các lỗ hổng trong hệ thống, mạng lưới và thiết bị mạng Việc này giúp họ tìm ra giải pháp khẩn cấp cho những lỗ hổng trước khi bị hacker tấn công.
1.4.3 Quản lý danh sách kiểm soát truy cập (ACL)
ACL kiểm soát quyền truy cập vào tài nguyên trong hệ thống, đảm bảo rằng chỉ những người được ủy quyền mới có quyền truy cập vào dữ liệu và chức năng quan trọng.
Hình 1.24 Quản lý danh sách kiểm soát truy cập ACL
Nguyên tắc hoạt động của ACL được thiết lập từ trước, xác định quyền truy cập cụ thể cho từng tài khoản Mỗi quy tắc trong ACL bao gồm thông tin về nhóm người dùng hoặc người dùng (principal), quyền truy cập (permission) và tài nguyên (resource) Khi một máy tính hoặc tài khoản người dùng cố gắng truy cập tài nguyên, hệ thống sẽ kiểm tra ACL để xác định quyền truy cập của họ.
1.4.4 Bảo vệ từ các mối đe dọa nội bộ
Sự gia tăng sử dụng công nghệ thông tin trong ngành ngân hàng đồng nghĩa với việc gia tăng rủi ro bảo mật do nhân viên nội bộ Nhân viên ngân hàng có thể vô tình hoặc cố ý tiết lộ, sửa đổi, hoặc truy cập trái phép dữ liệu, dẫn đến những hậu quả nghiêm trọng Để giảm thiểu các mối đe dọa này, các ngân hàng cần triển khai quy trình bảo mật mạnh mẽ, bao gồm giám sát hoạt động của nhân viên, áp dụng nguyên tắc lưỡng mã hóa và đảm bảo rằng chỉ những người có nhu cầu công việc mới được phép truy cập vào các hệ thống quan trọng.
1.4.5 Đào tạo và nâng cao nhận thức về an ninh
Theo nghiên cứu của Zahoor, Ud-din và Sunami (2016), các ngân hàng cần đầu tư vào đào tạo nhân viên để nâng cao nhận thức về an ninh, từ đó giảm thiểu rủi ro từ các cuộc tấn công xâm nhập Việc xây dựng các chính sách và quy trình phù hợp là điều cần thiết để bảo vệ hệ thống ngân hàng khỏi những mối đe dọa này.
Người dùng đóng vai trò quan trọng trong mọi lĩnh vực, nhưng họ cũng có thể trở thành mắt xích yếu nhất Dù ngân hàng áp dụng các công nghệ bảo mật tiên tiến, nhưng nếu khách hàng không biết cách sử dụng, những công nghệ đó sẽ trở nên vô ích.
Các ngân hàng cần tổ chức thường xuyên các chương trình nâng cao nhận thức cho người dùng về các tính năng bảo mật mới nhất Điều này không chỉ giúp khách hàng hiểu rõ hơn về các biện pháp bảo vệ tài khoản mà còn hướng dẫn họ cách sử dụng hiệu quả các tính năng này.
SSL (Secure Socket Layer) là một phương thức bảo mật thiết lập kết nối an toàn giữa máy chủ web và trình duyệt, tạo ra liên kết mã hóa giúp bảo vệ thông tin nhạy cảm như số thẻ tín dụng Công nghệ này được áp dụng cho hàng triệu website toàn cầu, đặc biệt là các trang ngân hàng, nhằm đảm bảo an toàn cho dữ liệu truyền tải trong môi trường internet.
Hình 1.25 Phương thức bảo mật SSL
Để thiết lập giao tiếp SSL, máy chủ web cần có chứng chỉ SSL do CA (Cơ quan cấp chứng chỉ) cấp Chứng chỉ SSL bao gồm một cặp khóa: khóa công khai và khóa riêng Sau khi nhận được, chứng chỉ sẽ được cài đặt trên máy chủ.
Giao thức SSL sử dụng một quy trình handshakel để thiết lập kết nối bảo mật giữa trình duyệt web và máy chủ Trong phương thức SSL, có ba loại khóa quan trọng: khóa công khai, khóa bí mật và khóa phiên Khóa công khai và khóa bí mật được sử dụng để trao đổi khóa phiên, trong khi khóa phiên được dùng để mã hóa các thông tin trao đổi sau đó Hiện nay, các ngân hàng thường áp dụng giao thức SSL với độ bảo mật 128-bit hoặc 256-bit.
1.4.7 Các thiết bị bảo vệ hệ thống mạng lưới (Network protection devices) 1.4.7.1 Tường lửa (Firewalls)
Tường lửa là thiết bị hoặc phần mềm dùng để quản lý lưu lượng giữa các mạng hoặc máy chủ, nhằm phân loại các đặc điểm bảo mật Mục tiêu chính của hệ thống tường lửa là kiểm soát quyền truy cập.
Hình 1.26 Biện pháp bảo mật tường lửa
Tường lửa đóng vai trò quan trọng trong việc giảm thiểu các hình thức tấn công từ cả bên trong lẫn bên ngoài tổ chức Các tổ chức tài chính thường sử dụng bốn loại tường lửa cơ bản: Lọc gói (Packet Filtering), Kiểm tra trạng thái (Stateful Inspection), máy chủ proxy và tường lửa mức ứng dụng Mỗi sản phẩm đều cần tích hợp một hoặc nhiều đặc điểm của các loại tường lửa này để đảm bảo an ninh mạng hiệu quả.
1.4.7.2 Công nghệ chống xâm nhập và phát hiện xâm nhập (IDS/IPS)
Theo NIST, hệ thống phát hiện xâm nhập là sản phẩm phần cứng hoặc phần mềm, có khả năng tổng hợp và phân tích thông tin từ nhiều vị trí trong máy tính hoặc mạng, nhằm phát hiện các cuộc tấn công tiềm ẩn, bao gồm cả các xâm nhập từ bên ngoài tổ chức.
Tiêu chuẩn mã hóa AES
DES (Data Encryption Standard) là một thuật toán mã hóa dữ liệu tiêu chuẩn được phát triển từ những năm 1970 Tuy nhiên, do kích thước khóa ngắn và các vấn đề về an toàn, thuật toán này đã trở nên lạc hậu vào những năm 1990.
AES là một tiêu chuẩn mã hóa quốc tế phổ biến, được ứng dụng rộng rãi trong nhiều lĩnh vực như bảo vệ dữ liệu cá nhân, quân sự và chính phủ Sự chấp nhận toàn cầu đối với AES chứng minh tính hiệu quả và độ mạnh mẽ của nó trong việc bảo vệ thông tin khi truyền tải qua mạng và lưu trữ trên thiết bị.
Hình 1.28 Tiêu chuẩn mã hóa tiên tiến AES
AES là một thuật toán mã hóa khối đối xứng với độ dài khối cố định là 128 bit, trong khi độ dài khóa có thể thay đổi Cả bản rõ và bản mã đều có cùng độ dài bit, đảm bảo tính nhất quán trong quá trình mã hóa.
128, 192 hoặc 256 bít Các khóa này tương ứng với 10, 12 và 14 vòng lặp mã hóa AES được thiết kế dựa trên mạng hoán vị-thay thế SPN (Substitution-permutation network)
Sự kết hợp này tạo ra một hệ mã hóa mạnh mẽ và khó bị tấn công Cấu trúc SPN cụ thể là:
Trong bước mạng thay thế (Substitution Layer), mỗi byte của khối dữ liệu đầu vào được thay thế bằng giá trị khác thông qua một hộp thay thế, hay còn gọi là “hộp S” (S-box) Hộp S là bảng 16x16 byte, trong đó mỗi giá trị byte đầu vào được ánh xạ sang một giá trị byte đầu ra duy nhất, tạo ra sự không tương đương giữa dữ liệu đầu vào và đầu ra, từ đó tăng cường tính phức tạp của quá trình mã hóa.
Mạng hoán vị (Permutation Layer) là bước quan trọng trong quy trình mã hóa, nơi dữ liệu được thay thế và sau đó hoán vị các byte để tạo ra thứ tự mới mà không làm thay đổi giá trị của chúng Quá trình này tạo ra một cấu trúc dữ liệu khó phân tích cho kẻ tấn công Tiếp theo, Khóa Round (Round Key Addition) được áp dụng, trong đó khối dữ liệu kết hợp với một khóa con để tạo ra khóa round duy nhất cho mỗi vòng lặp Điều này làm cho mỗi vòng lặp của AES có cấu hình dữ liệu và khóa khác nhau, tăng cường độ phức tạp của quá trình mã hóa.
Vòng lặp trong thuật toán AES bao gồm quá trình hoán vị, thay thế và kết hợp khóa con, được lặp lại nhiều lần để nâng cao tính an toàn Cụ thể, số lần lặp là 10 cho AES-128, 12 cho AES-192 và 14 cho AES-256, nhằm tăng cường độ bền của thuật toán mã hóa.
AES đã được tích hợp vào bộ vi xử lý Intel thông qua tính năng “Intel AES New Instructions” (AES-NI), cung cấp hỗ trợ phần cứng cho mã hóa và giải mã AES Từ thế hệ Westmere trở đi, AES-NI giúp tăng cường hiệu suất cho các ứng dụng mã hóa, đặc biệt trong truyền dữ liệu và lưu trữ Công nghệ này đóng vai trò quan trọng trong việc nâng cao bảo mật và hiệu suất của hệ thống máy tính và máy chủ Intel, giảm gánh nặng cho phần mềm mã hóa và cải thiện khả năng xử lý dữ liệu mật mã.
Dựa theo các nghiên cứu của (Lu, 2022), (Viettel IDC, 2018), nguyên lý hoạt động của AES có thể được diễn giải như sau:
1 Khởi tạo khóa và dữ liệu: Dữ liệu đầu vào và khóa được chia thành các khối cố định
2 Bước Khởi Tạo (AddRoundKey): Mỗi byte trong mỗi khối dữ liệu được kết hợp với một byte tương ứng trong khóa bí mật bằng phép toán XOR
3 Rounds (vòng lặp): Quá trình này được thực hiện nhiều lần (10 vòng cho AES-
128, 12 vòng cho AES-192, và 14 vòng cho AES-256), mỗi vòng bao gồm các bước sau:
- SubBytes: Mỗi byte trong khối dữ liệu được thay thế bằng một giá trị khác nhau từ một bảng thay thế đã được xác định trước
- ShiftRows: Các byte trong mỗi hàng của khối dữ liệu được di chuyển sang trái một số bước khác nhau
- MixColumns: Mỗi cột của khối dữ liệu được kết hợp thông qua một phép toán tuyến tính
- AddRoundKey: Mỗi byte trong khối dữ liệu được kết hợp với một byte tương ứng trong khóa con bằng phép toán XOR
4 Bước cuối cùng (Final Round): Bước này khác biệt trong số vòng lặp cuối cùng Nó bao gồm:
- SubBytes: Thực hiện thay thế byte dựa trên bảng thay thế
- ShiftRows: Di chuyển các byte trong mỗi hàng của khối dữ liệu
- AddRoundKey: Áp dụng khóa con cuối cùng vào khối dữ liệu
5 Trả về dữ liệu đã mã hóa: Kết quả của quá trình mã hóa là khối dữ liệu đã được mã hóa
1 Khởi tạo khóa và dữ liệu: Dữ liệu đã mã hóa và khóa được chia thành các khối cố định
2 Bước Khởi Tạo (AddRoundKey): Tương tự như quá trình mã hóa, mỗi byte trong mỗi khối dữ liệu được kết hợp với một byte tương ứng trong khóa bí mật bằng phép toán XOR
3 Rounds (vòng lặp): Quá trình giải mã làm ngược lại quá trình mã hóa, bao gồm các bước:
- InvShiftRows: Di chuyển các byte trong mỗi hàng của khối dữ liệu theo hướng ngược lại so với bước ShiftRows trong quá trình mã hóa
- InvSubBytes: Thực hiện thay thế ngược lại dựa trên bảng thay thế
- AddRoundKey: Áp dụng khóa con ngược lại vào khối dữ liệu
- InvMixColumns: Mỗi cột của khối dữ liệu được kết hợp thông qua một phép toán tuyến tính ngược lại so với bước MixColumns trong quá trình mã hóa
4 Bước cuối cùng (Final Round): Tương tự như quá trình mã hóa, bước này khác biệt trong số vòng lặp cuối cùng và bao gồm các bước:
5 Trả về dữ liệu đã giải mã: Kết quả của quá trình giải mã là khối dữ liệu đã được giải mã Để có cái nhìn cụ thể, Hình 1.29 dưới đây minh họa quy trình mã hóa của AES-
128, một ví dụ điển hình cho mã hóa dữ liệu của thuật toán AES:
Hình 1.29 Quá trình mã hóa và giải mã AES
Nguồn: https://www.researchgate.net/
Ví dụ 1.5.2.1: Bản rõ = “abcdefghijklmnop” Ma trận là P0, P1, …, P15 từ trên xuống dưới và từ trái sang phải Khi đó “a” tương ứng với “P0” và “p” tương ứng với
“P15” Hình 1.30 dưới đây cung cấp một hình dung trực quan về cách thức hoạt động cụ thể:
Hình 1.30 Xử lý bản rõ
Nguồn: https://www.spiedigitallibrary.org/
● Hàm thay thế phi tuyến tính (Substitute Bytes)
Sau khi vào các vòng, bước đầu tiên là thực hiện thay thế byte thông qua S-Box S-Box là một ma trận phức tạp có kích thước 16×16, như được minh họa trong Hình 1.31.
Hình 1.31 Cấu trúc của S-box
Đối với ánh xạ 8 bit đến 8 bit, đầu vào được biểu diễn dưới dạng a = a0 a1 a2 a3 a4 a5 a6 a7 Khi qua S-box, đầu ra sẽ được tính là S[a0 a1 a2 a3][a4 a5 a6 a7] Ví dụ, nếu a = 00000000 (đọc là không không không không không không không mười), đầu ra sẽ là S[0][0] = 63 H (đọc là sáu ba Hêxadecimal).
S-box là một thành phần quan trọng trong cấu trúc của các thuật toán mã hóa khối, cung cấp hàm trộn và bảo vệ chống lại nhiều loại tấn công khác nhau Đặc biệt, trong AES-128, S-box được áp dụng 160 lần trong quá trình mã hóa và xử lý dữ liệu.
Tính bảo mật của S-box có ảnh hưởng trực tiếp đến an toàn của toàn bộ hệ thống mã hóa Để đảm bảo an ninh và khả năng chống lại các cuộc tấn công, thiết kế S-box cần xem xét phân tích giải mã vi phân và phân tích tuyến tính Quy trình thiết kế S-box thường được giữ bí mật và phải đáp ứng một số yêu cầu nhất định.
- Đảo ngược được để đáp ứng cho cả mã hóa và giải mã
Trường GF(2^8) là một trường Galois với 256 phần tử, được xây dựng dựa trên đa thức không phân tích f(x) = x^8 + x^4 + x^3 + x + 1 trong vành Z2[x].
Giải thích đại số về hộp S: Bắt đầu bằng một byte (8 bít), mỗi bít có giá trị 0 hoặc
1 Giá trị đầu ra của S-box có thể được tìm thấy bằng cách áp dụng các phép toán trên trường GF(2 8 )
● Hàm đổi chỗ (Shift Rows)
Trong thuật toán AES, bước "ShiftRows" thực hiện việc dịch các hàng của ma trận trạng thái sang trái với một số lượng byte cố định Thao tác này góp phần tạo ra tính không đổi cho dữ liệu được mã hóa.
Cụ thể, trong bước này:
− Hàng đầu tiên không thay đổi
− Hàng thứ hai dịch sang trái 1 byte
− Hàng thứ ba dịch sang trái 2 byte
− Hàng thứ tư dịch sang trái 3 byte
