An toàn bảo mật thông tin

Thực tế ứng dụng công nghệ thông tin trong các lĩnh vực liên quan đến an ninh chính trị, quốc phòng luôn gặp phải những rủi ro đột nhập trái phép, tấn công, lấy cắp thông tin

TIỂU LUẬN HỌC PHẦN BẢO MẬT THÔNG TIN

Phần 1 MỞ ĐẦU

1 Lý do chọn đề tài

Vấn đề đảm bảo an ninh, an toàn thông tin dữ liệu là nội dung nghiên cứu thiết thực, là chủ đề luôn được các cấp, các ngành quan tâm trong lĩnh vực công nghệ thông tin Nhu cầu đảm bảo an toàn thông tin dữ liệu trên mạng máy tính là cấp thiết trong các hoạt động kinh tế xã hội, đặc biệt là đối với các mạng máy tính chuyên dùng phục

vụ công tác an ninh, quốc phòng, đối ngoại của các cơ quan Đảng, Nhà nước Thực tế ứng dụng công nghệ thông tin trong các lĩnh vực liên quan đến an ninh chính trị, quốc phòng luôn gặp phải những rủi ro đột nhập trái phép, tấn công, lấy cắp thông tin

Xuất phát từ nhu cầu của công việc đó, nhóm chúng em chọn đề tài “Tìm hiểu về

thông tin truyền thông và tổng quan về an toàn bảo mật thông tin” làm đề tài nghiên

cứu của mình

2 Mục tiêu của đề tài

- Tìm hiểu các khái niệm, mô hình, yêu cầu về an toàn và bảo mật thông tin

- Giúp cho bản thân hiểu rõ hơn, sâu hơn về an toàn và bảo mật thông tin

3 Đối tượng và phạm vi nghiên cứu

- Nghiên cứu lý thuyết về an toàn và bảo mật thông tin và các vấn đề liên quan

4 Phương pháp nghiên cứu

- Tìm kiếm tài liệu liên quan đến an toàn và bảo mật thông tin ở trường, thư viện, Internet, …

- Phương pháp nghiên cứu lí thuyết

5 Cấu trúc đề tài

Với đề tài này, nhóm chúng em sẽ chia làm 2 chương để tìm hiểu:

Chương 1: Thông tin và truyền thông tin Chương này chúng em sẽ tìm hiểu khái niệm, mô hình và một số vấn đề về entropy

Chương 2: Tổng quan về an toàn và bảo mật thông tin Chương này chúng em

sẽ tìm hiểu về các khái niệm, mục tiêu và yêu cầu đối với an toàn và bảo mật thông tin

Phần 2 NỘI DUNG NGHIÊN CỨU

CHƯƠNG 1: THÔNG TIN VÀ TRUYỀN THÔNG TIN

1.1 THÔNG TIN

Thông tin (information) được sử dụng thường ngày Con người có nhu cầu đọc báo, nghe đài, xem phim, video, đi tham quan, du lịch, tham khảo ý kiến người khác, để nhận được thêm thông tin mới Thông tin mang lại cho con người sự hiểu biết, nhận thức tốt hơn về những đối tượng trong đời sống xã hội, trong thiên nhiên, giúp cho họ thực hiện hợp lý công việc cần làm để đạt tới mục đích một cách tốt nhất

Trong đời sống con người, nhu cầu thông tin là một nhu cầu rất cơ bản Nhu cầu

đó không ngừng tăng lên cùng với sự gia tăng các mối quan hệ trong xã hội Mỗi người sử dụng thông tin lại tạo ra thông tin mới Các thông tin đó lại được truyền cho người khác trong quá trình thảo luận, truyền đạt mệnh lệnh, trong thư từ và tài liệu, hoặc qua các phương tiện truyền thông khác Thông tin được tổ chức tuân theo một số quan hệ logic nhất định, trở thành một bộ phận của tri thức, đòi hỏi phải được khai thác và nghiên cứu một cách hệ thống

Trong hoạt động của con người thông tin được thể hiện qua nhiều hình thức đa dạng và phong phú như: con số, chữ viết, âm thanh, hình ảnh v.v Thuật ngữ thông tin dùng ở đây không loại trừ các thông tin được truyền bằng ngôn ngữ tự nhiên Thông tin cũng có thể được ghi và truyền thông qua nghệ thuật, bằng nét mặt và động tác, cử chỉ Hơn nữa con người còn được cung cấp thông tin dưới dạng mã di truyền Những hiện tượng này của thông tin thấm vào thế giới vật chất và tinh thần của con người, cùng với sự đa dạng phong phú của nó đã khiến khó có thể đưa ra một định nghĩa thống nhất về thông tin

Thông tin có nhiều mức độ chất lượng khác nhau Các số liệu, dữ kiện ban đầu thu thập được qua điều tra, khảo sát là các thông tin nguyên liệu, còn gọi là dữ liệu (data) Từ các dữ liệu đó qua xử lý, phân tích, tổng hợp sẽ thu được những thông tin có giá trị cao hơn, gọi là thông tin có giá trị gia tăng (value added information) Ở mức độ cao hơn nữa là các thông tin quyết định trong quản lý và lãnh đạo - kết quả xử lý của những nhà quản lý có năng lực và kinh nghiệm, các thông tin chứa đựng trong các quy luật khoa học - kết quả của những công trình nghiên cứu, thử nghiệm của các nhà khoa

học và chuyên môn

1.2 MÔ HÌNH QUÁ TRÌNH TRUYỀN TIN

Lý thuyết thông tin được xét ở đây theo quan điểm của Shannon Đối tượng nghiên cứu là một hệ thống liên lạc truyền tin (communication system) như sơ đồ dưới đây:

o Dãy số nghị phân (Digital) dạng: 01010101, cũng giống như mã máy tính

o Sóng liên tục (Analog) cũng giống như truyền radio

- Kênh (channel) là phương tiện truyền mã của thông tin

- Nhiễu (noise) được sinh ra do kênh truyền tin Tùy vào chất lượng của kênh truyền mà nhiễu nhiều hay ít

- Giải mã (decode) ở đầu ra (output) đưa dãy mã trở về dạng thông báo ban đầu với xác suất cao nhất Sau đó thông báo sẽ được chuyển cho nới nhận Trong sơ đồ

trên, chúng ta quan tâm đến 2 khối mã hóa và giải mã trong toàn bộ môn học

1.3 LƯỢNG TIN BIẾT VÀ CHƯA BIẾT

Một biến ngẫu nhiên (BNN) x luôn mang một lượng tin nào đó Nếu x chưa xảy

ra (hay ta chưa biết cụ thể thông tin về x) thì lượng tin của nó là chưa biết, trong trường hợp này x có một lượng tin chưa biết Ngược lại nếu x đã xảy ra (hay ta biết cụ thể thông tin về x) thì lượng tin về biến ngẫu nhiên x coi như đã biết hoàn toàn, trong trường hợp này x có một lượng tin đã biết Nếu biết thông tin của một BNN x thông

Ta xét ví dụ về một người tổ chức trò chơi may rủi khách quan với việc tung một đồng tiền “có đầu hình – không có đầu hình” Nếu người chơi chọn mặt không có đầu hình thì thắng khi kết quả tung đồng tiền là không có đầu hình, nguợc lại thì thua Tuy nhiên người tổ chức chơi có thể “ăn gian” bằng cách sử dụng 2 đồng tiền “thật- giả” khác nhau sau:

+ Đồng tiền loại 1 (hay đồng tiền thật): Đồng chất có 1 mặt có đầu hình

+ Đồng tiền loại 2 (hay đồng tiền giả ): Đồng chất, mỗi mặt đều có 1 đầu hình

Mặc dù người tổ chức chơi có thể “ăn gian” nhưng quá trình trao đổi 2 đồng tiền cho nhau là ngẫu nhiêu, vậy liệu người tổ chức chơi có thể “ăn gian” hoàn toàn được không? Hay lượng tin biết và chưa biết của sự kiện lấy một đồng tiền từ 2 đồng tiền nói trên được hiểu như thế nào?

Ta thử xét một trường hợp sau: nếu người chơi lấy ngẫu nhiên 1 đồng tiền và sau

đó thực hiện việc tung đồng tiền lấy được 2 lần, qua 2 lần tung đồng tiền, ta đếm được

số đầu hình xuất hiện, dựa vào số đầu hình xuất hiện, ta có thể phán đoán được người

tổ chức chơi đã lấy được đồng tiền nào

Chẳng hạn: Nếu số đầu hình đếm được sau 2 lần tung là 1 thì đồng tiền đã lấy được là đồng tiền thật Ngược lại, nếu số đầu hình đếm được là 2 thì đồng tiền đã lấy được có thể là thật hay cũng có thể là giả Như vậy, ta đã nhận được một phần thông tin về loại đồng tiền qua số đầu hình đếm được sau 2 lần tung Ta có thể tính được lượng tin đó bằng bao nhiêu? (việc tính lượng tin này sẽ được thảo luận sau) Dưới đây

là một số bảng phân phối của bài toán trên:

Gọi BNN x về loại đồng tiền (x=1 nếu lấy được đồng tiền loại 1 và x=1 nếu lấy được đồng tiền loại 2 được lấy)

Khi đó phân phối của x có dạng:

Đặt BNN y là BNN về số đầu hình đếm được sau 2 lần tung, khi đó ta có thể xác định được phân phối của y với điều kiện xảy ra của x trong 2 trường hợp sau

Phân phối của y khi biết x=1 có dạng:

Y/X=1 0 1 2

P 0.25 0.5 0.25

X 1 2

Y 0.5 0.5

Phân phối của y khi biết x=2 có dạng:

1.4 ĐỊNH LÝ CƠ SỞ KỸ THUẬT TRUYỀN TIN

Trong “New Basic of Information Theory (1954)” Feinstein đã đưa ra định lý sau: “Trên một kênh truyền có nhiễu, người ta luôn có thể thực hiện một phương pháp truyền sao cho đạt được sai số nhỏ hơn sai số cho phép (nhỏ bất kỳ) cho trước đối với kênh truyền.”

Mô tả trạng thái truyền tin có nhiễu

Giả sử, một thông báo được truyền đi trên một kênh truyền nhị phân rời rạc Thông báo cần truyền được mã hóa thành dãy số nhị phân (0,1) và có độ dài được tính theo đơn vị bit Giả sử 1 bit truyền trên kênh nhiễu với xác suất 1/4 (hay tính trung bình cứ truyền 4 bit thì có thể nhiễu 1 bit)

Ta có sơ đồ trạng thái truyền tin sau:

Minh họa kỹ thuật giảm nhiễu

Trong kỹ thuật truyền tin, người ta có thể làm giảm sai lầm khi nhận tin bằng cách truyền lặp lại 1 bit với số lẻ lần

Ví dụ:Truyền lặp lại 3 cho 1 bit cần truyền (xác suất nhiễu 1 bit bằng 1/4) Khi nhận 3 bit liền nhau ở cuối kênh được xem như là 1 bit Giá trị của bit này được hiểu là

0 (hay 1) nếu bit 0 (bit 1) có số lần xuất hiện nhiều hơn trong dãy 3 bit nhận được liền nhau (hay giải mã theo nguyên tắc đa số) Ta cần chứng minh với phương pháp truyền này thì xác suất truyền sai thật sự < 1/4 (xác suất nhiễu cho trước của kênh truyền)

Y/X=2 0 1 2

P 0 0 1

Sơ đồ truyền tin:

Thật vậy:

Giả sử Xi xác định giá trị đúng hay sai của bit thứ i nhận được ở cuối kênh truyền với Xi =1 nếu bit thứ i nhận được là sai và Xi =0 nếu bit thứ i nhận được là đúng Theo giả thiết ban đầu của kênh truyền thì phân phối xác suất của Xi có dạng Bernoulli b(1/4):

Gọi Y ={X1 + X2 + X3 } là tổng số bit nhận sai sau 3 lần truyền lặp cho 1 bit Trong trường hợp này Y tuân theo phân phối Nhị thức B(p,n), với p=1/4 (xác suất truyền sai một bit) và q =3/4 (xác suất truyền đúng 1 bit):

Hay

(đpcm)

Chi phí phải trả cho kỹ thuật giảm nhiễu

Theo cách thức lặp lại như trên, ta có thể giảm sai lầm bao nhiêu cũng được (lặp càng nhiều thì sai càng ít), nhưng thời gian truyền cũng tăng lên và chi phí truyền cũng

sẽ tăng theo

Hay ta có thể hiểu như sau:

Lặp càng nhiều lần 1 bit=>thời gian truyền càng nhiều=>chi phí càng tăng

1.5 MỘT SỐ VẤN ĐỀ VỀ ENTROPY

Entropy là một đại lượng toán học dùng để đo lượng tin không chắc (hay lượng

thông tin ngẫu nhiên) của một sự kiện hay của phân phối ngẫu nhiên cho trước

Entropy của một sự kiện

Giả sử có một sự kiện A có xác suất xuất hiện là p Khi đó, ta nói A có một lượng không chắc chắn được đo bởi hàm số h(p) với p [0,1] Hàm h(p) được gọi là Entropy nếu nó thoả 2 tiêu đề toán học sau:

Tiên đề 01: h(p) là hàm liên tục không âm và đơn điệu giảm

Tiên đề 02: Nếu A và B là hai sự kiện độc lập nhau, có xác suất xuất hiện lần lượt là pA và pB Khi đó, p(A,B) = pA.pB nhưng h(A,B) = h(pA) + h(pB)

Entropy của một phân phối

Xét biến ngẫu nhiên X có phân phối:

Nếu gọi Ai là sự kiện X=xi, (i=1,2,3, ) thì Entropy của Ai là: h(Ai)= h(pi)

Gọi Y=h(X) là hàm ngẫu nhiên của X và nhận các giá trị là dãy các Entropy của các sự kiện X=xi, tức là Y=h(X)={h(p1), h(p2), …, h(pn)}

Vậy, Entropy của X chính là kỳ vọng toán học của Y=h(X) có dạng:

H(X)=H(p1, p2, p3, …,pn) = p1h(p1)+ p2h(p2)+…+pnh(pn)

Tổng quát:

Định lý dạng giải tích của Entropy

Định lý: Hàm H(X) = H(p1, p2, ,pM)

C = const >0

Cơ số logarithm là bất kỳ

Bổ đề: h(p)=-C log(p)

Trường hợp C=1 và cơ số logarithm = 2 thì đơn vị tính là bit

Khi đó: h(p)=-log2(p) (đvt: bit) và

Qui ước trong cách viết: log(pi)= log2(pi)

Ví dụ minh họa

Nếu sự kiện A có xác suất xuất hiện là 1/2 thì h(A)=h(1/2)= -log(1/2) = 1 (bit) Xét BNN X có phân phối sau:

H(X) = H(1/2, 1/4, 1/4) = -(1/2log(1/2)+1/4log(1/4)+1/4log(1/4)) =3/2 (bit)

Các tính chất cơ bản của Entropy

Xét biến ngẫu nhiên X = {x1, x2, …, xM} Entropy của biến ngẫu nhiên X có các tính chất:

1 Hàm số f(M) = H(1/M,…, 1/M ) đơn điệu tăng

Bổ đề: Cho 2 bộ {p1, p2, …,pM} và {q1, q2,…,qM} là các bộ số dương bất kỳ và

Đẳng thức xảy ra khi pi=qi với ∀i=1, ,M

Định nghĩa Entropy của nhiều biến

Giả sử: X và Y là 2 biến ngẫu nhiên cho trước với pịj = p(X=xi,Y=yj) (∀ i=1, ,M và j=1,…,L) Khi đó, Entropy H(X,Y) có dạng:

Hay

Một cách tổng quát:

Định nghĩa Entropy có điều kiện

Entropy của Y với điều kiện X=xi (i=1, ,M) được định nghĩa là:

Entropy của Y với điều kiện X xảy ra được định nghĩa là:

1.6 CÂU HỎI VÀ BÀI TẬP

Câu 1: Trình bày khái niệm thông tin, mô hình truyền tin và một số vấn đề của an toàn

và bảo mật thông tin

Câu 2: Bài tập entropy: Tính H(Y/X)

Xét biến ngẫu nhiên X và biến ngẫu nhiên Y có tương quan nhau Các phân phối như sau:

X 1 2

P 0.5 0.5 Phân phối của Y có điều kiện X:

Y/X=1 0 1 2

P 0.25 0.5 0.25

Y/X=2 0 1 2

P 0 0 1

Entropy của Y/X=1 và Y/X=2 như sau :

H(Y/X=1)=H(0.25, 0.5 , 0.25)= -0.25 log0.25 – 0.5 log0.5-0.25 log0.25

=0.5 + 0.5 + 0.5= 1.5 (Bit)

H(Y/X=2)= H(0; 0; 1)= 0 (Bit)

Entropy của Y khi X xảy ra:

H(Y/X)=P(X=1) H(Y/X=1)+ P(X=2) H(Y/X=2)=(0.5x1.5) + ((0.5x0)=0.75 (Bit)

CHƯƠNG 2: TỔNG QUAN VỀ AN TOÀN VÀ BẢO MẬT

THÔNG TIN

2.1 CÁC KHÁI NIỆM

Dữ liệu (Data) là các giá trị của thông tin định lượng hoặc đính tính của các sự vật, hiện tượng trong cuộc sống.Trong tin học, dữ liệu được dùng như một cách biểu diễn hình thức hoá của thông tin về các sự kiện, hiện tượng thích ứng với các yêu cầu truyền nhận, thể hiện và xử lí bằng máy tính

Thông tin (Information) là dữ liệu đã được xử lý, phân tích, tổ chức nhằm mục đích hiểu rõ hơn sự vật, sự việc, hiện tượng theo một góc độ nhất định

Hệ thống thông tin (Information Systems) là một hệ thống gồm con người, dữ liệu và những hoạt động xử lý dữ liệu và thông tin trong một tổ chức

Bảo mật hệ thống thông tin (Information Systems Security) là bảo vệ hệ thống thông tin chống lại việc truy cập, sử dụng, chỉnh sửa, phá hủy, làm lộ và làm gián đoạn

thông tin và hoạt động của hệ thống một cách trái phép

An toàn thông tin: Một hệ thống thông tin được gọi là an toàn thông tin không bị làm hỏng hóc, không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không được phép

Một hệ thống thông tin an toàn thì các sự cố có thể xảy ra không thể làm cho hoạt động chủ yếu của nó ngừng hẳn và chúng sẽ được khắc phục kịp thời mà không gây

Bí mật nghĩa là đảm bảo thông tin chỉ được tiếp cận bởi những người được cấp quyền tương ứng

Tính trọn vẹn là bảo vệ sự chính xác, hoàn chỉnh của thông tin và thông tin chỉ được thay đổi bởi những người được cấp quyền

Tính sẵn sàng của thông tin là những người được quyền sử dụng có thể truy xuất thông tin khi họ cần

Bảo mật hệ thống thông tin: hệ thống được coi là bảo mật nếu tính riêng tư của nội dung thông tin được đảm bảo theo đúng các tiêu chí trong một thời gian nhất định

2.2 MỤC TIÊU VÀ YÊU CẦU CỦA AN TOÀN VÀ BẢO MẬT THÔNG TIN

2.2.1 Mục tiêu

Ba mục tiêu của an toàn và bảo mật thông tin:

Ngăn chặn: Ngăn chặn kẻ tấn công vi phạm các chính sách bảo mật

Phát hiện: Phát hiện các vi phạm chính sách bảo mật

Phục hồi: Chặn các hành vi vi phạm đang diễn ra, đánh giá và sửa lỗi Tiếp

tục hoạt động bình thường ngay cả khi tấn công đã xảy ra

Hai nguyên tắc an toàn bảo mật thông tin:

Việc thẩm định về bảo mật phải là khó và cần tính tới tất cả các tình huống, khả năng tấn công có thể được thực hiện

Tài sản được bảo vệ cho tới khi hết giá trị sử dụng hoặc hết ý nghĩa bí mật

là máy tính hoặc phần mềm, kể cả phần mềm phá hoại như virus, worm, spyware, …

Ví dụ: Trong hệ thống ngân hàng, một khách hàng được phép xem thông tin số

dư tài khoản của mình nhưng không được phép xem thông tin của khách hàng khác Tuỳ theo tính chất của thông tin mà mức độ bí mật của chúng có khác nhau

Ví dụ: các thông tin về chính trị và quân sự luôn được xem là các thông tin nhạy cảm nhất đối với các quốc gia và được xử lý ở mức bảo mật cao nhất Các thông tin