Nghiên cứu giải pháp bảo mật xác thực cho văn phòng điện tử

thể là áp dụng cho phần mềm VPĐT Alfresco dựa trên kiến trúc của công nghệ mở và vận dụng cơ sở lý thuyết mật mã, ứng dụng trong bảo mật xác thực file dữ liệu.. Hiện nay, hệ thống CNTT c

TRẦN DUY DŨNG

NGHIÊN CỨU GIẢI PHÁP BẢO MẬT XÁC THựC

CHO VĂN PHÒNG ĐIỆN TỬ

Chuyên ngành: Khoa học máy tính

Mã số: 60 48 01 01

LUÂN VĂN THAC SĨ MÁY TÍNH• •

Người hướng dẫn khoa học: TS Hồ Văn Hương

HÀ NỘI, 2015

được sự giúp đỡ quý báu của các thầy, cô giáo và bạn bè đồng nghiệp, tôi đã

hoàn thành luận văn thạc sỹ với đề tài “ Nghiên cứu giải pháp bảo mật xác thực

cho văn phòng điện tử ” Vì vậy, cho phép tôi được bày tỏ lòi cảm ơn tói các cá

nhân, tập thể sau:

Tôi xin bày tỏ lòng biết ơn sâu sắc đến thầy giáo hướng dẫn: TS Hồ Văn Hương người đã tận tâm giúp đỡ, hướng dẫn tôi trong quá trình nghiên cứu, thực hiện đề tài

Tôi xin chân thành cảm ơn Phòng Sau đại học, Ban giám hiệu trường ĐHSP

Hà Nội 2 đã tạo mọi điều kiện cho tôi học tập, nghiên cứu và hoàn thành luận văn

Tôi xin chân thành cảm ơn đồng nghiệp, gia đình và bạn bè luôn động viên, khuyến khích tôi trong suốt quá trình học tập và nghiên cứu

Hà Nội, tháng năm 2015

mọi sự giúp đỡ cho việc thực hiện luận văn này đã được cảm ơn và các thông tin trích dẫn trong luận văn đã được chỉ rõ nguồn gốc.

Hà Nội, tháng năm 2015

Trần Duy Dũng

MỤC LỤC

MỤC LỤC 1

BẢNG KÍ HIỆU CÁC TỪ VIẾT TẮT 3

DANH MỤC CÁC HÌNH 5

MỞ ĐẦU 6

1 Lý do chọn đề tài 6

2 Mục đích nghiên cứu 8

3 Nhiệm vụ nghiên cứu 8

4 Đối tượng và phạm vi nghiên cứ u 8

5 Giả thuyết khoa học 8

6 Phương pháp nghiên cứ u 8

CHƯƠNG 1 TỔNG QUAN VỀ AN NINH AN TOÀN THÔNG TIN VẢN PHÒNG ĐIỆN TỬ 9

1.1 Khái niệm về an toàn thông tin 9

1.2 Nguy cơ mất an toàn thông tin 9

1.2.1 Thực trạng mất an toàn thông tin trên thế giới 10

1.2.2 Thực trạng mất an toàn thông tin tại Việt Nam 13

1.3 Văn phòng điện tử 16

1.3.1 Một số hệ thống văn phòng điện tử hiện nay 18

1.3.2 Phần mềm Alữesco 22

1.4 Thiết kế văn phòng điện tử an toàn 26

1.4.1 Nhu cầu xác thực và bảo mật trong văn phòng điện t ò 26

1.4.2 Một số yêu cầu xây dựng Văn phòng điện tử an toàn 28

1.4.3 Phân tích yêu cầu và lựa chọn chính sách an toàn 29

1.5 Kết luận chương 31

CHƯƠNG 2 Cơ SỞ LÝ THUYẾT MẬT MÃ ỨNG DỤNG TRONG VẢN PHÒNG ĐIỆN TỬ ! 32

2.1 Hệ mật mã khóa đối xứng 33

2.2 Hệ mật mã khóa công khai 35

2.3 Phân phối khóa công khai 39

2.4 Hàm băm 40

2.5 Chữ ký số 44

2.5.1 Khái niệm 44

2.5.2 Phân loại chữ ký số 44

2.5.3 Cách tạo chữ k ý 45

2.5.4 Sơ đồ chữ ký số 47

2.5.5 Các ưu điểm của chữ ký số 47

2.5.6 Quá trình thực hiện chữ ký số khóa công khai 49

2.6 Kết luận chương 50

CHƯƠNG 3 GIẢI PHÁP BẢO MẬT XÁC THựC CHO VĂN PHÒNG ĐIỆN TỬ VÀ XÂY DựNG ỨNG DỤNG 51

3.1 Thực trạng an toàn bảo mật và xác thực văn phòng điện tử 51

3.2 Giải pháp bảo mật văn phòng điện tử 52

3.3 Giải pháp xác thực văn phòng điện tử 53

3.4 Xây dựng ứng dụng mã hóa, ký số, xác thực chữ ký tài liệu lưu trữ trên văn phòng điện tử Alfresco 56

3.4.1 Xây dựng giải pháp đăng nhập duy nhất trên Alfresco 56

3.4.2 Triển khai giải pháp đăng nhập duy nhất trên Alfresco 60

3.4.3 Xây dựng ứng dụng mã hóa, ký số, xác thực chữ k ý 67

3.4.3.1 Phân tích thiết kế hệ thống ứng dụng mã hóa Alfresco 67

3.4.3.2 Phân tích thiết kế ứng dụng ký số, xác thực chữ ký 68

3.4.3.3 ứng dụng mã hóa, ký số và xác thực chữ ký tài liệu lưu trữ trên Alfresco 69

KẾT LUẬN 81

TÀI LIỆU THAM KHẢO 82

BẢNG KÍ HIỆU CÁC TỪ VIÉT TẮT

AES Advanced Encryption

Standard

Tiêu chuân mã hóa tiên tiên

CIFS Common Internet File

Hệ quản trị nội dung

FTP File Transfer Protocol Giao thức truyên tập tin

GSM Global System for Mobile

communication

Hệ thông thông tin di động toàn câu

IOS Intremational Organization

for Standardization

Tô chức chuân hóa quôc tê

PI Application Programming

Interfaces

Giao diện lập trinh ứng dụng

SHA Secure Hash Algorithm Thuật giải băm bảo mật

SMTP Simple Mail Transfer

Protocol

Giao thức truyên tải tệp tin đơn giản

SSL Secure socket Layer

TTP Hyper Text Transfer Giao thức truyên tải siêu văn bản

protocolTCP-IP Internet Protocol suite Bộ giao thức liên mạng

UID User Identification Mã người dùng

URL Uniform Resource locator Liên kêt dân địa chỉ web

DANH MỤC CÁC HÌNH

Hình 1.1: Sơ đồ kiến trúc bậc cao của alfresco 23

Hình 2.1: Sơ đồ biểu diễn thuật toán mã hoá 37

Hình 2.2 Minh họa hàm băm 41

Hình 2.3: đường đi đúng của thông tin 42

Hình 2.4: Thông tin bị lấy trộm và bị thay đổi trên đường truyền 42

Hình 2.5: Quy trình tạo chữ ký số 46

Hình 2.6: Quy trình kiểm tra chữ ký s ố 47

Hình 2.7: Sơ đồ mô tả quá trình ký và gửi các tệp văn bản 49

Hình 2.8: Sơ đồ mô tả quá trình nhận các tệp văn bản 50

Hình 3.1: Lược đồ ký số dữ liệu 54

Hình 3.2: Lược đồ xác thực dữ liệu 55

Hình 3.3: Mô hình đăng xác thực người dùng 59

Hình 3.4: X.500 thông qua mô hình OSI - LDAP thông qua ТСРЯР 61

Hình 3.5: mối quan hệ giữa LDAP client, LDAP server và nơi chứa giữ liệu 62

Hình 3.6: Mô hình kết nối giữa clienưserver 63

Hình 3.7: Thao tác tìm kiếm cơ bản 64

Hình 3.8: Những thông điệp client gửi cho server 64

Hình 3.9: Nhiều kết quả tìm kiếm được trả về 65

Hình 3.10: Sơ đồ mã hóa 70

Hình 3.11 Sơ đồ giải mã 71

MỞ ĐÀU

1 Lý do chọn đề tài

Đối với bất kỳ một cơ quan, tổ chức hay doanh nghiệp nào thì hệ thống thông tin chiếm vai trò rất quan trọng Việc quản lý, điều hành và tác nghiệp theo phương thức cũ gây khó khăn cho việc trao đổi thông tin giữa các nhân viên bởi một hệ thống lớn dữ liệu cấu trúc và phi cấu trúc được phát triển theo bề dày lịch

sử của các cơ quan, tổ chức, doanh nghiệp Hệ thống tài liệu này rất phức tạp, khó sử dụng và nguy cơ mất an ninh an toàn thông tin là rất cao Hơn nữa Các cơ quan, tổ chức, doanh nghiệp là một khối, là một hệ thống cần có sự quản lý chặn chẽ điều hành tác nghiệp và luôn có sự trao đổi thông tin thường xuyên giữa các nhân viên Từ những nhu cầu thực tế trên việc tạo ra môi trường làm việc mói, cách thức quản lý mới để việc sử dụng công cụ máy tính trong công việc đạt hiệu quả cao nhất là cấp thiết

Trước nhu cầu thực tế và chủ chương của Đảng và Nhà nước là đưa công nghệ thông tin (CNTT) vào cuộc sống, giải pháp Văn phòng điện tử (VPĐT) - một văn phòng không giấy tờ, giúp lãnh đạo có thể trao đổi vói nhân viên, phòng ban trong cơ quan nhanh chóng, kịp thời VPĐT ra đời là một giải pháp hữu hiệu

Nhiều phần mềm VPĐT đã ra đòi trên nhu cầu thực tế đó vói nhiều tính năng quản lý tài liệu hấp dẫn, giao diện thân thiện, dễ sử dụng Tuy nhiên, vấn đề bảo mật và xác thực trên các phần mềm VPĐT hiện nay vẫn còn nhiều lỗ hổng, thiếu xót và chưa được quan tâm đúng mức

Xuất phát từ những nhu cầu trên, chúng tôi quyết định lựa chọn đề tài: “Nghiên cứu giải pháp bảo mật, xác thực cho ứng dụng Văn phòng điện tử” Nhiệm vụ

chính của đề tài là nghiên cứu, đề xuất ra các giải pháp bảo mật cho YPĐT, cụ

thể là áp dụng cho phần mềm VPĐT Alfresco dựa trên kiến trúc của công nghệ

mở và vận dụng cơ sở lý thuyết mật mã, ứng dụng trong bảo mật xác thực file dữ liệu

Nội dung luận văn được trình bày trong ba chương

Chương 1 Tổng quan về an ninh an toàn văn phòng điện tử Trong chương

này chúng tôi sẽ trình bày về Khái niệm về an toàn thông tin, nguy cơ mất an toàn thông tin, đánh giá tổng quan về một số phần mềm VPĐT và đặc biệt là phần mềm VPĐT mã nguồn mở Alfresco Ngoài ra, chúng tôi còn đề cập đến vấn đề về cách thiết kế văn phòng điện tử an toàn, phân tích lựa chọn các chính sách an toàn, bảo mật trên văn phòng điện tử

Chương 2 Cơ sở lý thuyết mật mã ứng dụng an toàn bảo mật trong văn

phòng điện tử Trong chương này chúng tôi sẽ trình bày khái quát về cơ sở lý thuyết mật mã ứng dụng an toàn bảo mật trong VPĐT cụ thể là tổng quan về hệ mật mã, vai trò của hệ mật mã trong an toàn bảo mật VPĐT, trình bày về thuật toán AES, thuật toán RSA, vấn đề phân phối khóa công khai, tổng quan về hàm băm, chữ ký số

Chương 3 Giải pháp bảo mật, xác thực văn phòng điện tử và xây dựng ứng

dụng Trong chương này chúng tôi sẽ trình bày thực trạng an toàn bảo mật VPĐT hiện nay Từ thực trạng mất an ninh, an toàn trên VPĐT Chúng tôi sẽ lựa chọn Alfresco là nền tảng để đề xuất giải pháp bảo mật và xác thực văn phòng điện tử Giải pháp bảo mật và xác thực văn phòng điện tử Alfresco bao gồm những giải pháp sau:

Giải pháp 1: Phân tích, xây dụng giải pháp đăng nhập duy nhất trên Alfresco và triển khai hệ thống đăng nhập duy nhất với giải pháp được lựa chọn.Giải pháp 2: Phân tích xây dựng ứng dụng mã hóa, giải mã, chữ ký số và

xác thực chữ ký tài liệu lưu trữ trên kho dữ liệu Alfresco.

2 Mục đích nghiên cứu

Nghiên cứu tích hợp chữ ký số cho ứng dụng VPĐT trên nền tảng Alfresco nhằm đảm bảo an toàn thông tin

3 Nhiệm yụ nghiên cứu

- Nghiên cứu về mã nguồn mở

- Nghiên cứu về phần mềm Alfresco

- Nghiên cứu về an toàn thông tin

- Nghiên cứu và sử dụng hàm băm, chữ ký số, hệ mật khóa đối xứng, công khai, hạ tầng khóa công khai

4 Đổi tượng và phạm vỉ nghiên cứu

- Các kiến thức cơ bản về mã ngồn mở

- Cách quản lý tài liệu truyền thống thông thường và quản lý bằng Alfresco

- Hàm băm, chữ ký số

- Đăng nhập duy nhất

5 Giả thuyết khoa học

Nếu tích hợp chữ ký số cho ứng dụng VPĐT trên nền tảng Alfresco sẽ đảm bảo được an toàn thông tin cho các tài liệu

6 Phương pháp nghiên cứu

- Xây dựng đề cương chi tiết

- Thu thập tài liệu liên quan đến đề tài

- Tìm hiểu các tài liệu, các bài báo của các tác giả trong và ngoài nước

- Kết hợp các nghiên cứu đã có trước đây của tác giả trong nước cùng vói sự chỉ bảo, góp ý của thầy hướng dẫn để hoàn thành nội dung nghiên cứu

NỘI DUNG

CHƯƠNG 1 TỔNG QUAN VỀ AN NINH AN TOÀN THÔNG TIN

VĂN PHÒNG ĐIỆN TỬ 1.1 Khái niệm về an toàn thông tin

An toàn thông tin mạng được hiểu là sự bảo vệ hệ thống thông tin và thông tin trên mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin

Khi nhu cầu trao đổi thông tin dữ liệu ngày càng lớn và đa dạng, các tiến bộ

về điện tử - viễn thông và CNTT không ngừng được phát triển ứng dụng để nâng cao chất lượng và lưu lượng truyền tin thì các quan niệm ý tưởng và biện pháp bảo vệ thông tin dữ liệu cũng được đổi mới Ngày 19/11/2015 Quốc hội đã thông qua luật an toàn thông tin mạng Do đó bảo vệ an toàn thông tin dữ liệu là một chủ đề rộng, có liên quan đến nhiều lĩnh vực và trong thực tế có thể có rất nhiều phương pháp được thực hiện để bảo vệ an toàn thông tin dữ liệu Các phương pháp bảo vệ an toàn thông tin dữ liệu có thể được quy tụ vào ba nhóm sau:

- Bảo vệ an toàn thông tin bằng các biện pháp hành chính

- Bảo vệ an toàn thông tin bằng các biện pháp kỹ thuật (phần cứng)

- Bảo vệ an toàn thông tin bằng các biện pháp thuật toán (phần mềm)

Ba nhóm trên có thể được ứng dụng riêng rẽ hoặc phối kết hợp để đảm bảo

an toàn thông tin được nâng cao

1.2 Nguy C tf mất an toàn thông tín

An ninh, an toàn, bảo mật thông tin là nhu cầu tất yếu của mỗi Quốc gia, mỗi tổ chức và cả mỗi cá nhân Trong những năm gần đây, CNTT&TT đã tạo ra những bước đột phá, mang lại hiệu quả rõ rệt, tác động sâu sắc đến mọi mặt của

đời sống xã hội, an ninh - quốc phòng, kinh tế - văn hóa, khoa học kỹ thuật, ứng dụng CNTT&TT hiện đại là nhu cầu, là xu thế tất yếu trên con đường phát triển của mọi quốc gia Ở Việt Nam, CNTT&TT thực sự đóng vai trò quan trọng đối với sự nghiệp công nghiệp hóa, hiện đại hóa đất nước.

Bên cạnh những ưu thế do CNTT&TT mang lại, thì mặt trái là sự bộc lộ những hiểm họa và nguy cơ mất an toàn, an ninh thông tin trên môi trường CNTT&TT Với sự hình thành thế giói phẳng, trên không gian mạng mở, không còn giói hạn về địa lý, thòi gian, chế độ chính trị - xã hội,văn hóa Và cùng với lượng thông tin khổng lồ trên mạng máy tính toàn cầu, là cơ hội hết sức thuận lọi cho sự hoành hành của virus, SPAM, mã độc, tin tặc và sự phá hoại, can thiệp, lấy cắp thông tin của các thế lực thù địch và bọn tội phạm quốc tế

An toàn, an ninh thông tin và tác chiến không gian mạng là một chủ đề nóng bỏng hiện nay, có quy mô toàn cầu, việc mất an toàn thông tin số diễn biến phức tạp, đe dọa nghiêm trọng đến việc ứng dụng CNTT phục vụ phát triển kinh tế- xã hội và an ninh - quốc phòng Hiện nay, hệ thống CNTT của một số cơ quan, đơn

vị còn nhiều điểm yếu về an toàn thông tin, chưa áp dụng được các giải pháp kỹ thuật về bảo mật bảo đảm an toàn thông tin phù hợp Các giải pháp tổ chức, kỹ thuật về công tác bảo đảm an toàn, bảo mật thông tin trên không gian mạng máy tính chưa được quan tâm đúng mức; nhận thức của ngưòi dùng về nguy cơ tiềm

ẩn thất thoát thông tin ra ngoài còn hạn chế, chưa kiểm soát hết khả năng mất an toàn thông tin số do các phần mềm, thiết bị phần cứng ngoại nhập

1.2.1 Thực trạng mất an toàn thông tín trên thế giói

Theo PCWorld [14], năm 2014 là một năm tồi tệ đáng để quên trong lĩnh vực an ninh thông tin Hàng loạt vụ hack gây chấn động, những lỗ hổng bảo mật

nghiêm trọng được phát hiện và một lượng dữ liệu thông tin lớn chưa từng thấy

bị đánh cắp gây kinh hoàng trên toàn thế giới

- Từ tháng 4/2014 cả nước Mỹ đã giật mình với thông tin 56 triệu số thẻ tín dụng đã bị lấy cắp từ hệ thống của Home Depot, tập đoàn hàng đầu nước Mỹ về sửa chữa nhà ở và vật liệu xây dựng Không chỉ vậy, tin tặc còn đánh cắp 53 triệu địa chỉ email từ hệ thống máy chủ của hãng

- Sự kiện Heartbleed: lỗ hổng bảo mật này được phát hiện trong tháng 4 Heartbleed cho phép kẻ tấn công đột nhập vào các máy chủ có tính năng “the heartbeat extension” trong thư viện OpenSSL được kích hoạt, lấy đi những dữ liệu nhạy cảm như thông tin thẻ tín dụng, tài khoản ngân hàng và các giao dịch trực tuyến khác của người dùng được bảo mật bằng mã hóa SSL

- Ngày 21/5/2014 trong thông báo của eBay cho biết, Hacker tấn công 145 triệu người dùng của eBay, cơ sở dữ liệu chứa mật khẩu được mã hóa đã bị xâm nhập Hãng đấu giá trực tuyến này đã kêu gọi 145 triệu người dùng bị ảnh hưởng hãy thay đổi mật khẩu của họ

- Sự kiện Sony Pictures: Tin tặc đã khiến cho các nhân viên của Sony Pictures phải chuyển sang sử dụng bút và giấy Hacker đã lấy được hơn 100 thiết

bị dữ liệu khác nhau, từ mật khẩu của nhân viên, thông tin chi tiết thẻ tín dụng tới lịch sử y tế và các chi tiết về tiền lương, điều hành Không chỉ vậy, các tin tặc

đã tung ra 5 bộ phim mới nhất của Sony Pictures và 4 trong số những bộ phim đó chưa được công chiếu trên màn ảnh rộng

- Sự kiện Shellshock: Chỉ sau vài tháng của lỗ hổng bảo mật Heartbleed, cả thế giới lại hoảng lên với một lỗ hổng bảo mật nghiêm trọng khác mang tên Shellshock Lỗ hổng trong Bash shell này có mặt trên các máy chạy Linux và OS

X cũng như các máy chủ web và thiết bị mạng dùng trong gia đình Shellshock

nguy hiểm ở chỗ cho phép hacker chạy từ xa các lệnh shell quan trọng trên một máy dính lỗ hổng Nhiều chuyên gia bảo mật đánh giá, Shellshock đáng sợ hơn

cả Heartbleed vì nó cho phép kẻ tấn công tàn phá một hệ thống máy tính mục tiêu và ảnh hưởng đến nhiều dạng thiết bị hơn

- Tháng 11/2014 phát hiện Wirelurker tấn công Apple: Wirelurker nguy hiểm với khả năng lây nhiễm sang cả các thiết bị ios chưa bị jailbreak Wirelurker thu thập thông tin về các cuộc gọi, danh bạ và các dữ liệu nhạy cảm khác từ các thiết bị ios.

Theo tạp chí An toàn thông tin, trong tháng 8/2015, tình hình an toàn thông tin mạng trên thế giói diễn biến phức tạp, tin tặc liên tục tấn công vào các trang web và hệ thống máy tính đánh cắp nhiều thông tin quan trọng [8] Cụ thể: ngày 3/8/2015, bộ công cụ mã độc RIG Exploit Kit 3.0 đã lây nhiễm rất nhanh với tốc

độ trung bình 27 nghìn máy tính bị lây nhiễm/ngày, ảnh hưởng tới 1,3 triệu máy tính trên toàn cầu Trong đó, có khoảng 450 nghìn máy tính bị lây nhiễm tại Brazil, hơn 45 nghìn tại Mỹ, 10 nghìn tại Anh, 4 nghìn tại Canada và hơn 300 nghìn máy bị lây nhiễm tại Việt Nam Tỷ lệ lây nhiễm này liên quan đến lỗ hổng zero-day của phần mềm Adobe Flash Player từ vụ rò rỉ dữ liệu của Hacking Team

Ngày 5/8/2015, các chuyên gia an toàn thông tin của công ty bảo mật RSA Security đã phát hiện nhóm tin tặc APT lợi dụng các dịch vụ VPN của Trung Quốc để thực hiện xâm nhập máy chủ Windows trên khắp thế giới thông qua các điểm nút VPN trong mạng Ngày 6/8/2015, tin tặc được cho là có nguồn gốc ở Nga đã xâm nhập vào hệ thống email Bộ Tổng Tham mưu, Bộ Quốc phòng Mỹ, khiến hệ thống này dừng hoạt động gần 2 tuần Cuộc tấn công này ảnh hưởng đến hoạt động của 4 nghìn quân nhân và các cá nhân liên quan Ngày 8/8/2015,

một nhổm khủng bố từ Trung Đông đã xâm nhập vào máy tính của các quan chức chính phủ Ấn Độ; Ngày 11/8/2015, một nhóm tin tặc đe dọa sẽ thực hiện tấn công mạng quy mô lớn chưa từng có trong lịch sử Malaysia nhắm vào các cơ quan chính phủ nếu Thủ tướng Najib Razak không từ chức Ngày 17/8/2015, tập đoàn viễn thông AT&T hỗ trợ cho phép các nhân viên tình báo cơ quan an ninh quốc gia Hoa Kỳ truy cập hàng tỷ email khách hàng của hãng Ngày 21/8/2015, Kaspersky Lab đã phát hiện nhóm tin tặc APT Blue Termite (được xác định có nguồn gốc từ Trung Quốc), thường xuyên tấn công các tổ chức Nhật Bản, xâm hại dữ liệu của 1,25 triệu người và làm lây nhiễm máy tính sau khi khai thác lỗ hổng Flash Player do Hacking Team làm rò rỉ.

1.2.2 Thưc trang mất an toàn thông tín tai Vỉêt Nam• I o o • •

Trong năm 2014, Việt Nam đã tổn thất 8500 tỷ đồng do các sự cố từ virus máy tính Đây là kết quả được đưa ra từ chương trình khảo sát do Bkav thực hiện vào tháng 12/2014 [10] Nguyên nhân là do:

- Tin nhắn rác: không giảm mà còn bùng nổ 90% người dùng thường xuyên bị tin nhắn rác làm phiền, trong đó 43% là nạn nhân của tin rác hằng ngày, gần gấp đôi con số của năm 2013

- WiFi miễn phí tại Việt Nam không an toàn: Trong năm 2014, nghiên cứu của Bkav chỉ ra, WiFi miễn phí tại tất cả các thành phố của Việt Nam tiềm ẩn nhiều nguy cơ mất an ninh an toàn thông tin Trong khi đó theo kết quả khảo sát, 24% người dùng cho biết họ thường xuyên sử dụng mạng WiFi miễn phí để thực hiện các giao dịch ngân hàng và thanh toán trực tuyến Điều này rất nguy hiểm bởi người dùng có thể bị đánh cắp các thông tin nhạy cảm như tài khoản, mật khẩu, thông tin thẻ tín dụng

- 85% máy tính từng nhiễm virus lây lan qua USB

- Cuối năm 2014, thông tin hơn 73000 camera IP, trong đó có gần 1000 camera tại Việt Nam có thể bị theo dõi được công bố rộng rãi Nguyên nhân là

do người dùng chưa có thói quen quan tâm đến an ninh của những thiết bị này, không thay đổi mật khẩu mặc định của hệ thống trước khi kết nối Internet

Theo thống kê của SecurityDaily từ các diễn đàn an ninh mạng, diễn đàn hacker trong nửa đầu tháng 9/2014, đã có tổng cộng 1039 website của Yiệt Nam bị tấn công, đây là con số cao nhất trong năm 2014 Còn trong 9 tháng đầu năm nay, đã có 4767 website của Việt Nam bị tấn công, tăng gấp đôi so với các năm tò 2011-2013 Trung bình mỗi ngày có hơn 18 website của Yiệt Nam bị chiếm quyền điều khiển Năm 2014 thực sự là một năm rất nóng về tình hình tấn công ứng dụng web

Trong tháng 8/2015, tình hình an toàn thông tin mạng tại Việt Nam đã diễn biến theo nhiều chiều hướng Nhiều lỗ hổng bảo mật được công bố, trong đó có các lỗ hổng liên quan đến trình duyệt: Internet Explorer, Mozilla Firefox, lỗ hổng từ các dịch vụ phổ biến như Google Drive, Dropbox, Các lỗ hổng này đã được các cơ quan, tổ chức về an toàn thông tin tại Việt Nam khuyến cáo và hướng dẫn khắc phục

Đầu tháng 8/2015, bộ công cụ mã độc RIG Exploit Kit 3.0 lây nhiễm hơn

300 nghìn máy tính tại Yiệt Nam Điều này cho thấy tỉ lệ máy tính ở Yiệt Nam bị nhiễm các loại mã độc rất cao, dẫn đến nguy cơ gây mất an toàn thông tin

Ngày 4/8/2015, trang web thương mại điện tử nganluong.vn bị tin tặc tấn công làm thay đổi giao diện Thiệt hại được xác nhận là không lớn, tài khoản của khách hàng không bị tin tặc đánh cắp, nhưng nó đã khiến người dùng cảm thấy bất an và lo lắng về độ bảo mật khi sử dụng trang web này

Ngoài ra, mã độc có tên Vietnam Rose đã được phát tán nhanh và lan rộng trên mạng xã hội Facebook Theo đó, người dùng bị ảnh hưởng bỏi Vietnam Rose sau khi nhấp chuột vào các liên kết được chia sẻ như hình ảnh khiêu dâm

sẽ tự động tải mã độc về máy tính, sau đó chiếm quyền điều khiển tài khoản Facebook và tiếp tục đăng các liên kết khiêu dâm với tần suất khoảng 5 - 1 0 lần/ngày

Theo thống kê từ kết quả giám sát an toàn thông tin mạng của Trung tâm CNTT&GSANM thì trong tháng 7/2015, các cuộc tấn công liên quan đến mã độc chiếm 28% Tuy nhiên chỉ trong tháng 8/2015, con số này đã tăng lên 52%,

tỉ lệ này cho thấy sự gia tăng của các nguy cơ tấn công bằng mã độc

Theo thống kê của Cục An toàn thông tin (Bộ TT&TT) công bố, trong tháng 8/2015 vừa qua có 907 máy chủ và 2.088 website tại Việt Nam đã bị hacker tấn công [12] Tỷ lệ trang web có tên miền com cao hơn cả, chiếm tới 57%; tiếp đó

là các website tên miền vn với 25%; website tên miền net là 10%; website tên miền org chiếm 3% và 6% là các website tên miền khác

Vói những thống kê trên cho thấy, thực tế ở Việt Nam hiện nay, hầu hết người dùng máy tính, sử dụng Internet hay phương tiện thông tin hiện đại còn chủ quan, bất cẩn và thiếu ý thức trong việc bảo đảm an toàn thông tin Các hình thức, giải pháp bảo mật thông tin chưa được quán triệt và thực thi một cách sâu sắc, còn thiếu sâu sát về yêu cầu bảo mật thông tin trên các hệ thống CNTT hiện đại hoặc còn “khoán trắng” cho các cơ quan, tổ chức chuyên trách, thiếu sự kiểm tra, đôn đốc thể hiện qua một số sơ hở: Sử dụng máy tính có kết nối Internet để soạn thảo và lưu trữ tài liệu có nội dung bí mật Nhà nước, bí mật thương mại (nhất là các văn bản đang trong thời kỳ dự thảo); Sử dụng máy tính thiếu giải pháp chống bức xạ điện từ qua đường điện lưới hoặc qua màn hình; Sử dụng hệ

thống chuyên dụng như phần mềm tác nghiệp, hội nghị truyền hình không có thiết bị bảo mật; Sử dụng tùy tiện thiết bị nhớ qua cổng USB tạo cơ hội cho việc phát tán, lây nhiễm phần mềm gián điệp, phần mềm đánh cắp thông tin; Sử dụng tùy tiện hộp thư điện tử trên máy chủ của nước ngoài.

1.3 Văn phòng điện tử

Văn phòng điện tử là một giải pháp phần mềm dùng chung để trao đổi thông tin, điều hành tác nghiệp và trao đổi công văn, văn bản, hồ sơ công việc trên mạng máy tính

Phát triển, ứng dụng CNTT phục vụ công nghiệp hóa, hiện đại hóa là chủ chương chính sách ưu tiên của Đảng và Nhà nước ta Nhằm tăng cường ứng dụng CNTT, Nghị định số 64/2007/NĐ-CP (ngày 10 tháng 4 năm 2007) và Quyết định số 51/2007/QĐ-TTg (ngày 12 tháng 4 năm 2007), chỉ đạo tăng cường ứng dụng CNTT giải pháp phần mềm vào quy trình tác nghiệp trong các hoạt động của cơ quan Nhà nước Theo đó, người đứng đầu cơ quan Nhà nước ở các cấp có trách nhiệm chỉ đạo việc ứng dụng CNTT vào xử lý công việc, tăng cường sử dụng văn bản điện tử, từng bước thay thế văn bản giấy trong quản lý, điều hành và trao đổi thông tin, đẩy mạnh việc ứng dụng CNTT, ứng dụng giải pháp phần mềm vào các quy trình tác nghiệp của các cơ quan, tổ chức và doanh nghiệp

Trong bối cảnh xã hội CNTT đang dần phát triển, việc quản lý, điều hành tác nghiệp theo phương thức cũ đã ngày càng lộ nhiều tính bất cập, tính hiệu quả không cao Mặc dù, việc cơ quan tổ chức doanh nghiệp được trang bị máy tính cho mỗi nhân viên phục vụ công việc không còn xa lạ, nhưng hầu hết tại các cơ quan, doanh nghiệp việc sử dụng máy tính còn rất hạn chế, chỉ phục vụ một cá nhân Cơ quan tổ chức là một khối, một hệ thống cần có sự quản lý chặt chẽ điều

hành tác nghiệp và luôn có sự trao đổi thông tin thường xuyên giữa các nhân viên, do đó đòi hỏi cần tạo ra một môi trường làm việc mới, cách thức quản lý doanh nghiệp mới để việc sử dụng công cụ máy tính được hiệu quả.

Trước nhu cầu thực tế và chủ chương chính sách của Đảng và Nhà nước, giải pháp phần mềm VPĐT - một văn phòng không giấy tờ, giúp lãnh đạo có thể trao đổi với nhân viên, phòng ban trong cơ quan nhanh chóng, kịp thời đã ra đòi như là một giải pháp hữu hiệu

Phần mềm VPĐT ra đòi phải thỏa mãn các mục tiêu chính:

• Tạo môi trường thống nhất và tin học hóa các quy trình hoạt động tác nghiệp, các hình thức tiếp nhận, lưu trữ, trao đổi, tìm kiếm, xử lý thông tin

• Tạo môi trường trao đổi ý kiến, thảo luận, chia sẻ thông tin rộng rãi, nhanh chóng, đầy đủ, kịp thòi góp phần tích cực trong việc phát triển văn hóa doanh nghiệp

• Nâng cao trình độ ứng dụng và sử dụng các công cụ CNTT, tạo tác phong làm việc hiện đại, hiệu quả trong môi trường mạng, tạo sự thay đổi tích cực trong các quy trình xử lý thông tin, xử lý công việc của lãnh đạo, cấn bộ chuyên viên trong cơ quan, góp phần thực hiện cải cách hành chính

Trước mục tiêu đề ra, VPĐT được xây dựng với các chức năng chính:

• Quản lý công việc: thông qua hình thức trao đổi như giao việc, nhắc việc

và theo dõi tiến trình công việc cho toàn bộ nhân viên một cách đồng thòi và việc nhân viên báo cáo công việc thường xuyên

• Quản lý văn bản và hồ sơ: quản lý việc lưu trữ và xử lý các văn bản đến,

đi, văn bản dự thảo và hồ sơ văn bản

• Quản lý lịch làm việc: đặt lịch làm việc cho các cá nhân và nhóm, thông báo tới các thành viên

• Quản lý nhân sự: quản lý hồ sơ cán bộ, quá trình làm việc, đào tạo, lịch nghỉ phép

• Tin điều hành tác nghiệp: nơi trao đổi thông tin, điều hành tác nghiệp

• Phân quyền người dùng: phân quyền các bộ phận chức năng và nhân viên theo chức năng hợp lý

Ngoài ra còn nhiều chức năng khác như: quản lý nhân sự, quản lý tài nguyên, tài sản công ty, họp trực tuyến, tin nhắn nội bộ

Với các chức năng, và hiệu quả VPĐT mang lại đã không chỉ phục vụ công tác quản lý trong một tổ chức, doanh nghiệp mà còn hỗ trợ, đẩy mạnh việc thực hiện các công việc một cách nhanh chóng, hiệu quả: xây dựng hệ thống các kho công văn điện tử tập trung, khắc phục tình trạng tản mạn, thất lạc, sai lệch thông tin Cung cấp thông tin về văn bản và hồ sơ công việc phục vụ yêu cầu của lãnh đạo, cán bộ quản lý và cán bộ chuyên môn nhanh chóng, chính xác, đầy đủ và kịp thòi; tạo môi trường trao đổi ý kiến, thảo luận, chia sẻ thông tin rộng rãi, nhanh chóng; xây dựng hệ thống quản lý, trình duyệt, xử lý và phát hành văn bản, hỗ trợ khả năng thiết kế luồng công việc, phân quyền cho từng cá nhân, đơn vị

1.3.1 Một số hệ thống văn phòng điện tử hiện nay

E-Office là phần mềm do trung tâm an ninh mạng BKIS Đại học Bách Khoa

Hà Nội nghiên cứu, thiết kế và xây dựng nhằm giúp cho các hệ thống mạng máy tính ở Việt Nam có thể được sử dụng hiệu quả hơn [13]

E-Office: là hệ thống phần mềm trao đổi thông tin, điều hành tác nghiệp và quản lý trình duyệt công văn, văn bản, hồ sơ công việc trên mạng máy tính Phần mềm được thiết kế thân thiện đối với người sử dụng, giao diện hoàn toàn tiếng

Việt Tiêu chí của E-Office là đưa đến cho người sử dụng phần lớn những tiện ích của mạng máy tính, của Internet với một cách tiếp cận tự nhiên nhất, giúp họ dần có một tác phong làm việc hiện đại, hiệu quả, dễ dàng tiếp cận với các ứng dụng công nghệ thông tin hơn.

Tính năng của E-Office rất đa dạng, đáp ứng tối đa nhu cầu của người sử dụng máy tính văn phòng như gửi nhận email, gửi thông báo trong cơ quan tói từng cá nhân, hay tới nhóm, phòng ban Người dùng có thể hội thoại, nhắn tin, gửi file, trưng cầu ý kiến, gửi tin nhắn ra điện thoại di động, nhắc việc (tự nhắc mình, nhắc người khác qua mạng), lưu sổ địa chỉ, Đặc biệt, cũng cùng hệ thống này, người dùng có thể xử lý, tạo, duyệt các công văn, giấy tờ theo những chu trình (luồng công việc) một cách rất mềm dẻo và tiện lọi Các chức năng của E-Ofice là:

• Quản lý lịch làm việc, nhắc việc, giao việc qua mạng

• Quản lý các thông báo chung

• Duyệt bài viết cho các trang web

• Quản lý gửi nhận email, chia sẻ file

• Video conference, chatting

• Trưng cầu ý kiến

• Quản lý tin nhắn di động

• Hệ thống notify

• Hệ thống phân quyền

• Quản lý, trình duyệt công văn đến

• Quản lý, trình duyệt, phát hành công văn đi

• Quản lý hồ sơ công việc

• Công cụ định nghĩa luồng công việc

• Khai thác thông tin.

• Quản tri hệ thống

Đánh giá phần mềm E-Office

Cách phân phối công văn và cách giao việc truyền thống bằng một giải pháp hiện đại: Từ máy tính của mình, văn thư cập nhật và phân phối công văn đến các bộ phận Lãnh đạo các bộ phận xem xét công văn và phân chia công việc đến các nhân viên Tìm kiếm tổng họp công văn một cách nhanh chóng theo loại, nhóm, dự án, cơ quan ban hành

Nhưng vấn đề bảo mật trong quá trình chuyển tải công việc ở đây chưa được đề cập, chưa có những giải pháp bảo mật và xác thực cho các luồng công việc, thông tin trong quá trình trao đổi

Chức năng cơ bản của phần mềm là có thể quản lý toàn bộ các loại văn bản như công văn đi, công văn đến, văn bản nội bộ, các quyết định, các tài liệu, ý kiến xử lý, Các văn bản đều có thể cập nhật, tìm kiếm, gửi tài liệu theo các

kênh khác nhau, thông báo tự động, thiết lập các quyền hạn sử dụng văn bản, lập các báo cáo thống kê, chứng thực văn bản và chữ ký điện tử Phần mềm có thể quản lý các thủ tục hành chính công, cho phép ghi nhận nhanh chóng các hồ sơ thủ tục hành chính vói thông tin về công dân, hồ sơ, cơ chế liên lạc sau đó có thể

áp quy trình để có thể kiểm soát tự động Cung cấp công cụ định nghĩa một cách động các quy trình giải quyết các công việc dưới dạng sơ đồ trực quan

Hệ thống được chạy hoàn toàn trên web nên rất dễ dùng, có thể sử dụng trên mạng rộng cho phép làm việc trên một phạm vi địa lý không hạn chế Tài liệu được dùng trong phần mềm không chỉ ở dạng văn bản mà tất cả các tài liệu được Windows hỗ frợ như văn bản trên word, pdf, bảng tính, trình diễn trên PowerPoint, hình ảnh, âm thanh, video số Đồng thòi, phần mềm có khả năng tích hợp vói nhiều nguồn tài liệu và qua nhiều kênh truyền thông như fax, email, SMS và chính các hệ thống chạy trên Net-Office truyền thông với nhau

> ■>

Đảnh giả phân mêm Net-Office

Ưu điểm của phần mềm Nhược điêm của phân mêm

Xác thực tài liệu băng chữ ký điện tử

Định nghĩa các luồng công việc trực

áp quy trình để có thể kiểm soát tự động Cung cấp công cụ, các quy trình giải quyết các công việc dưới dạng sơ đồ trực quan

1.3.2 Phần mềm Alfresco

Alfresco là phần mềm nguồn mở theo giấy phép GNU, dùng để quản lý tài liệu hiệu quả, hỗ được cho các doanh nghiệp trong việc tổ chức lưu trữ tài liệu điện tử một cách khoa học và hiệu quả nhất

Alfresco là một hệ thống quản tri nội dung mã nguồn mở dùng cho Microsoft Windows và các hệ điều hành tương tự Unix khác [9] Alfresco hiện tại có ba phiên bản: Alfresco Community Edition là phần mềm miễn phí dựa trên các chuẩn mở và giấy phép mã nguồn mở LGPL (Lesser General Public License), Alfresco Enterprise Edition là phiên bản thương mại cho đối tượng doanh nghiệp và Alfresco Cloud Edition là phiên bản phần mềm dịch vụ phục vụ cho việc quản lý tài liệu dựa trên công nghệ điện toán đám mây

Ở Việt Nam phần mềm Alfresco đã được doanh nghiệp Việt Nam cung cấp như công ty EcoIT-nhà cung cấp dịch vụ công nghệ thông tin xanh ở châu Á tại địa chỉ: http://metadata.vn/

Kiến trúc của Alfresco

Nhiều đối thủ cạnh tranh của Alfresco (phần lớn là mã nguồn đóng) có thiết

kế phức tạp bao gồm nhiều công nghệ đôi khi đối lập nhau Alfresco không đi theo con đường đó Alfresco bảo đảm các điều kiện sau:

• Tương đối đơn giản và minh bạch trong kiến trúc

• Xây dựng tò các framework và các thành phần nguồn mở mạnh mẽ và uy tín nhất

• Hồ trợ nhiều phương thức tương tác với dữ liệu và các chuẩn liên quan

Hình 1.1: Sơ đồ kiến tróc bậc cao của alfresco

Có nhiều cách để truy cập nội dung bên trong Repository Ta có thể dùng các giao thức (CIFS, WebDAV, FTP, SMTP) hoặc các bộ thư viện được cung cấp sẵn ở bên phải sơ đồ (Javascript API, Web Services, JCR, )•

Alfresco hoạt động dưới dạng một ứng dụng web bên trong một Servlet Container Trong đó, web client (Alfresco Explorer) chạy cùng một tiến trình vái Repository

Các thành phần mở rộng (extension) và các tùy chỉnh (customization) hoạt động như một bộ phận cửa ứng dụng web Alfresco Alfresco định ra một cơ chế

để tách ròi các phần này khỏi nhân sản phẩm giúp dễ dàng nâng cấp về sau

Metadata được lưu trữ trong một cơ sở dữ liệu quan hệ (Relation DB) trong khi các file tài liệu và các chỉ mục (index) của Lucene lưu trên hệ thống file của máy chủ

WCM Virtualization Server là một bộ Webserver Tomcat với các cài đặt của Alfresco cùng các bộ thư viện dạng file JAR được Alfresco sử dụng

Alfresco cho phép cài đặt thêm các phần tính năng chưa được nhân sản phẩm hỗ trợ gọi là Add-on, nhưng không được tích hợp ngay với nhân đóng gói phần mềm.

Ta có thể download về nhiều gói Add-on do cộng đồng Alfresco phát triển, hoặc bên thứ ba cung cấp Một số Add-on quan trọng là Records Management và

bộ tích hợp Facebook (Alfresco cung cấp), bộ tích hợp giải pháp OCR Kofax do Kofax cung cấp và các gói ngôn ngữ dùng cho việc bản địa hóa (localize) webclient của Alfresco

Các chuẩn và giao thức được hỗ trợ

Alfresco là phần mềm nguồn mở Vì thế việc hỗ trợ các chuẩn và giao thức

là rất quan trọng giúp Alfresco có khả năng phối họp tốt hơn với các dự án nguồn mở khác

Để tích họrp Alfresco với CMS ta có 2 giải pháp: sử dựng Webservice API được Alfresco cung cấp hoặc CMIS So với Alfresco Webservice API, CMIS có các ưu điểm sau:

Chỉ cần viết một lần chạy vói tất cả các Repository CMIS là chuẩn đặc tả chung do các nhà phát triển ECM lớn nhất lập ra Ngày càng nhiều ứng dụng ECM tham gia hỗ trợ Do đó việc tích hợp chỉ cần làm một lần Nếu cần kết nối thêm một Repository của ECM khác, nhà phát triển chỉ cần thiết lập các thông sô

Tích họp đa Repository CMIS cho phép làm việc cùng lúc vói một hoặc nhiều ECM Ưu điểm này có được do phần lớn các nhà phát triển ECM đồng thuận hồ trợ

Hỗ trợ Quản lý quy trình nghiệp vụ xuyên suốt các Repository Hiện nay phiên bản 0.9 của đặc tả CMIS chưa hỗ trợ Tuy nhiên tính năng này được các nhà phát triển hứa hẹn sẽ ra mắt trong phiên bản tiếp theo.

Người dùng chỉ cần học cách dùng một giao diện cho tất cả Repository Điều này có được do khả năng tích hợp đa Repository Việc này rất tiện lợi cho người dùng vì một lần tiếp xúc vói giao diện mới họ sẽ gặp nhiều khó khăn gần như học lại từ đầu

Việc sử dụng CMIS tạo cho giải pháp tích hợp khả năng mở rộng cao trong tương lai, khi cần tích hợp thêm một hoặc nhiều Repository của nhà cung cấp khác

Các yểu tố đảm bảo an toàn

• Quản lý người dùng và bảo mật dữ liệu với người dùng, nhóm, vai trò

• Bảo mật theo mức độ tài liệu

• Đăng nhập một lần thông qua LDAP

ưu điểm của phần mềm mã nguồn mở Alfresco so với các phần mềm khác.

Không phải trả chi phí mua bản quyền sử dụng phần mềm, đây là lợi ích quan trọng

Phần mềm cung cấp các giải pháp tốt cho các cơ quan, tổ chức Nhà nước và doanh nghiệp, ví dụ như: VPĐT, thư điện tử, công cụ phát triển web, đơn vị không chỉ được sử dụng miễn phí, hợp pháp các giải pháp này mà các doanh nghiệp còn có quyền sửa đổi bổ sung cho phù hợp vói tình hình thực tế của đơn

vị chỉ cần chúng ta tuân thủ một số quy định trong giấy phép kèm theo phần mềm Đặc biệt phần mềm hỗ trợ đa ngôn ngữ chúng ta dễ dàng Việt hóa

Dễ dàng nâng cấp phần mềm mà không phải trả chi phí nâng cấp Điều này

là không thể đối với phần mềm thương mại

Phần mềm sẽ đảm bảo an ninh Thật vậy về mặt nguyên tắc tất cả mọi người

có thể tham gia phát triển, hiệu chỉnh sửa chữa, vá lỗ hổng bảo mật phần mềm, nên lỗ hổng bảo mật sẽ được nhanh chóng khắc phục và cung cấp cho tất cả người dùng miễn phí

Nhược điểm của phần mềm mã nguồn mở Alfresco so với các phần mềm khác:

Khi chuyển đổi từ phần mềm thương mại sang phần mềm nguồn mở, mặc

dù chúng ta không mất chi phí mua giấy phép sử dụng nhưng chúng ta cần tính đến thời gian đào tạo đảm bảo người sử dụng có thể sử dụng thành thạo hệ thống mới, đồng thời chúng ta cũng hết sức chú ý hiệu quả công việc trong gian đoạn chuyển đổi để có biện pháp khắc phục, tránh bị động

Trong các phần mềm VPĐT đã được trình bày, đánh giá ở trên thì Alfresco

là phần mềm với các ưu điểm nổi bật: Mã nguồn mở và miễn phí, cộng đồng phát triển to lớn khả năng mở rộng chức năng cao Hơn nữa Alfresco còn đảm bảo tương đối “đơn giản” và “minh bạch” trong kiến trúc Xây dựng từ các framework và các component nguồn mở “mạnh mẽ” và “uy tín” nhất Hỗ trợ nhiều phương thức tương tác vói dữ liệu và các chuẩn liên quan

Tháng 10 năm 2009, báo cáo Open Source CMS Market Share 2009 đã tôn vinh Alfresco là hệ thống quản trị nội dung nền Java hàng đầu

Do đó trong khuân khổ luận văn này tôi xin lựa chọn Alfresco là nền tảng

để nghiên cứu giải pháp bảo mật, xác thực

1.4 Thiết kế văn phòng điện tử an toàn

1.4.1 Nhu cầu xác thực và bảo mật trong văn phòng điện tử

Ngoài các văn bản trao đổi thông tin trong nội bộ văn phòng, hàng ngày các

cơ quan, tổ chức phải tiếp nhận và trao đổi luồng văn bản dày đặc với các đơn vị khác, trong đó có rất nhiều văn bản thuộc loại hỏa tốc và khẩn Tuy nhiên, hình

thức chuyển văn bản mật bằng giấy tờ thủ công như hiện nay có hạn chế là đến tay người nhận chậm Trong thời đại CNTT phát triển như hiện nay, sử dụng các công nghệ hiện đại phục vụ vào công việc hàng ngày không còn xa lạ Việc gửi, nhận, quản lý thông tin nhanh và hiệu quả là rất cần thiết nên một số các phần mềm VPĐT được xây dựng nhằm nâng cao khả năng quản lý và hỗ trợ người dùng Các VPĐT này phải đòi hỏi tính an toàn bảo mật tuyệt đối Chính vì vậy, việc sử dụng chữ ký số đang dần được ứng dụng trong các cơ quan tổ chức thì nhu cầu ứng dụng xác thực điện tử trong việc gửi - nhận các văn bản đặc thù mang tính chất bảo mật cũng được đặt ra bức thiết.

Bảo vệ an toàn thông tin dữ liệu là một chủ đề rộng, có liên quan đến nhiều lĩnh vực và trong thực tế có thể có rất nhiều phương pháp được thực hiện để bảo

vệ an toàn thông tin dữ liệu Các phương pháp bảo vệ an toàn thông tin dữ liệu cho VPĐT có thể được triển khai tại các vị trí sau:

• Bảo đảm an toàn thông tin tại máy chủ

• Bảo đảm an toàn cho phía máy trạm

• An toàn thông tin trên đường truyền

Để giải quyết vấn đề an toàn chia sẻ, truyền tải, lưu trữ dữ liệu, cần phải từng bước số hóa các dữ liệu đó và tận dụng các tiện ích của CNTT trong việc hỗ trợ bảo mật để nâng cao an toàn thông tin Bằng việc áp dụng công nghệ mã hóa, giải mã, chữ ký số, khi chia sẻ lưu trữ các tài liệu văn bản

Bảo mật thông tin là duy trì tính bảo mật, tính toàn vẹn, tính sẵn sàng và tính định danh của thông tin:

• Tính toàn vẹn: Là sự bảo vệ chính xác, hoàn chỉnh của thông tin và thông tin chỉ được thay đổi bởi những người được cấp quyền

• Tính bảo mật: Là đảm bảo thông tin chỉ được tiếp cận bởi những người được cấp quyền tương ứng.

• Tính sẵn sàng: Là những người được quyền sử dụng có thể truy xuất thông tin khi họ cần

• Tính định danh: Là tài liệu được gửi đúng người gửi không bị giả mạo bởi một người khác

Vấn đề đặt ra cần phải có một hệ thống mã hóa bảo mật thông tin khi chia

sẻ truyền tải và lưu trữ trong mạng Có rất nhiều giải pháp để thực hiện vấn đề này, một trong số đó là: “Giải pháp bảo mật xác thực cho ứng dụng VPĐT”

1.4.2 Một sổ yêu cầu xây dựng Văn phòng điện tử an toàn

Vấn đề an toàn thông tin luôn được đặt ra khi xây dựng và triển khai một hệ thống thông tin VPĐT cũng không nằm ngoài điều đó VPĐT được xây dựng nhằm giúp việc tổ chức, điều hành và quản lý công việc diễn ra một cách nhanh chóng, chính xác và thuận tiện

Nền tảng của điều này là thiết kế một hệ thống, mô hình hỗ trợ việc lưu trữ trao đổi thông tin dễ dàng qua môi trường truyền tin và mạng Mặc dù môi trường này giúp hoạt động trong các VPĐT diễn ra nhanh chóng nhưng cũng hay

bị tin tặc dựa vào để tấn công hệ thống gây hậu quả khôn lường Từ đó cần thiết

kế và xây dựng những giải pháp nhằm đảm bảo an toàn thông tin trong VPĐT trên môi trường mạng

• Từ mô hình và các chức năng của VPĐT nhận thấy những khâu cần bảo mật, xác thực như sau:

- Trong VPĐT với chức năng quản lý hồ sơ, văn bản và quản lý tài liệu, các văn bản này được lưu trữ trong cơ sở dữ liệu của công ty, cơ quan, tạo thư viện chia sẻ tài nguyên giữa các nhân viên trong công ty Tuy nhiên dù nằm trong

cùng một cơ sở dữ liệu nhưng không phải văn bản nào cũng được phép truy cập

Vì thế cần các giải pháp đảm bảo an toàn cho cơ sở dữ liệu

- Trong VPĐT các văn bản được số hóa và phân phối trao đổi thông qua môi trường mạng trong các giao dịch điện tử, các văn bản này có thể chỉ là một văn bản thông thường nhưng cũng có thể là văn bản nhạy cảm cần bảo mật hay văn bản cần xác nhận, chứng thực Trong khi môi trường mạng là môi trường kém an toàn nhất nên việc các thông tin bị đánh cắp làm sai lệnh rất dễ xảy ra Điều này đặt ra vấn đề cần có giải pháp bảo mật và xác thực thông tin cho VPĐT trong quá tìn h trao đổi thông tin

- Với VPĐT xây dựng trên nền web hay có diễn đàn nội bộ để trao đổi thông tin thì đặt ra một vấn đề: Bảo mật, xác thực ứng dụng web Ngoài ra việc các nhân viên trao đổi thư tín với nhau hay với môi trường bên ngoài là điều không tránh khỏi Thông qua dịch vụ thư điện tử tội phạm có thể tấn công lấy cắp thông tin cá nhân, dữ liệu gửi và nhận Trong VPĐT có hỗ trợ việc gửi và nhận thư thì cần chú trọng đến vấn đề bảo mật thư điện tò

Trước những phân tích trên đây, có thể thấy việc bảo mật và xác thực trong VPĐT bao gồm nhiều lĩnh vực Việc nghiên cứu và triển khai giải pháp cần có thời gian và công sức tiến hành trên nhiều giai đoạn

1.4.3 Phân tích yêu cầu và lựa chọn chính sách an toàn

An toàn trong VPĐT là đảm bảo hệ thống thực hiện đúng chức năng, dữ liệu được chống truy cập trái phép, các hoạt động trao đổi thông tin thông qua giao dịch điện tử được thực hiện đúng đắn Tức là thông tin lưu trữ không thể truy cập trái phép việc gửi đi được toàn vẹn, tin cậy đảm bảo đúng người gửi đúng người nhận và tránh được việc thất lạc, sửa đổi thông tin

* Một VPĐT an toàn được thực hiện theo ba biện pháp sau:

• An toàn trong VPĐT bằng biện pháp phần cứng.

• An toàn trong VPĐT bằng biện pháp thuật toán - phần mềm

• An toàn trong VPĐT bằng biện pháp hành chính

Biện pháp phần cứng: Để đảm bảo an toàn VPĐT cần có các thiết kế mô hình các máy tính, tường lửa, các thiết bị ngoại vi tạo thành một hệ thống hoạt động nhịp nhàng ngăn chặn, kiểm soát một số hoạt động như việc lưu chuyển gói tin trên mạng, việc gói tin ra vào hệ thống

Biện pháp phần mềm: Là việc sử dụng các gói phần mềm có tính năng hỗ trợ đảm bảo an toàn thông tin tích hợp vào hệ thống

Trong các biện pháp đảm bảo an toàn thông tin, việc kiểm soát hành chính chỉ áp dụng ở một mức độ nào đó, việc sử dụng biện pháp phần cứng thường tốn kém, mất nhiều thời gian, tiền bạc và công sức Giải pháp phần mềm thực hiện đơn giản mà hiệu quả cao

Trong khi đó VPĐT là một ứng dụng phần mềm nên giải pháp tích hợp các ứng dụng phần mềm vào dễ dàng, đơn giản, hiệu quả cao Vì thế việc đảm bảo

an toàn trong VPĐT bằng cách sử dụng biện pháp “thuật toán - phần mềm” là tốt nhất

VPĐT là một môi trường làm việc của các nhân viên trong cơ quan, doanh nghiệp Nó hạn chế người ngoài truy cập vào hệ thống, để truy cập cần có tài khoản được cấp phép từ người điều hành Đồng thời mỗi tài khoản có phân quyền riêng, nhất là phân quyền quản trị có khả năng kiểm soát toàn bộ hệ thống

Từ đó bảo mật thông tin - tài khoản kiềm soát việc truy cập vào hệ thống Ngăn ngừa các cá nhân, nhân viên lợi dụng quyền thực hiện hành vi sai trái như việc người quản tri hệ thống phải là nhiều người, tránh để một người có nhiều quyền hạn Vì thế trong VPĐT có thiết kế một modul phân quyền người dùng

Tuy nhiên trong VPĐT, ngoài modul phân quyền người dùng hạn chế truy cập thì VPĐT chưa tích họp một giải pháp nào để đảm bảo an toàn thông tin dữ liệu tại chỗ hay trên đường truyền tin.

Trong VPĐT việc quản lý, phân phối hồ sơ giấy tờ, file văn bản là một chức năng chính quan trọng được thực hiện liên tục Các văn bản, hồ sơ giấy tờ phải lưu chuyển trên đường truyền mạng nhiều lần Nếu không có biện pháp bảo mật thì thông tin dễ bị lấy cắp, sửa đổi, làm giả, mạo danh

Nhằm giải quyết vấn đề này sử dụng biện pháp “thuật toán” xây dựng một ứng dụng nhằm thực hiện mục tiêu dù văn bản này lấy về cũng không thể đọc được, không thể chỉnh sửa, thay đổi được

Từ những phân tích trên trong chương tiếp theo chúng tôi sẽ trình bày cơ sở

lý thuyết mật mã ứng dụng cho giải pháp xác thực và bảo mật cho VPĐT, cụ thể

là phần mềm Alfresco

CHƯƠNG 2 C ơ SỞ LÝ THUYẾT MẬT MÃ ỨNG DỤNG TRONG

VĂN PHÒNG ĐIỆN TỬ

Ngày nay, CNTT phát triển, việc quản lý văn bản theo kiểu truyền thống không còn được sử dụng rộng rãi nữa thay vào đó các phần mềm VPĐT đang được khuyến khích sử dụng rộng rãi ở các cơ quan, doanh nghiệp Các phần mềm VPĐT hoạt động chủ yếu trên đường truyền internet hoặc intranet, đây là một môi trường không an toàn rất dễ bị những kẻ phá hoại tấn công nhằm làm sai lệch thông tin, văn bản hoặc ăn cắp những thông tin, văn bản quan trọng Do

đó vấn đề đặt ra là cần phải tìm ra giải pháp bảo mật thông tin trên đường truyền, thông tin lưu trữ của các phần mềm VPĐT Việc sử dụng hệ mật mã để mã hóa thông tin là phương pháp tối ưu và hiệu quả đáp ứng các yêu cầu đảm bảo an toàn thông tin trong VPĐT Để bảo vệ thông tin trên đường truyền, thông tin thường được biến đổi tò dạng nhận thức được sang dạng không nhận thức được trước khi truyền đi trên mạng (gọi là mã hóa - encryption); tại trạm nhận phải thực hiện quá trình ngược lại, từ thông tin được mã hóa sang thông tin gốc (quá trình giải mã - decryption) Phương pháp này được sử dụng rộng rãi trong môi trường mạng và cho đến hiện nay vẫn thể hiện tính hiệu quả

Có nhiều tiêu chí khác nhau trong việc phân loại hệ mật mã như thời gian, cách tạo khóa, nhưng hiện nay tiêu chí về cách tạo khóa đang được sử dụng rộng rãi hiện nay để phân biệt các hệ mật mã với nhau Có hai hệ mật mã được phân hóa theo tiêu chí này đó là hệ mật mã khóa đối xứng và hệ mật mã khóa công khai

2.1 Hệ mật mã khóa đổi xứng

Hệ mật mã khóa đối xứng là hệ mật mã chỉ dùng một khóa duy nhất cho cả hai quá trinh mã hóa và giải mã Hệ mật mã này có đặc điểm là có thời gian mã hóa và giải mã tương đối nhanh Do yậy, hệ mật mã khóa đối xứng thường được

sử dụng để mã hóa những dữ liệu lớn Có hai thuật toán được sử dụng chủ yếu trong việc tạo khóa bí mật trong hệ mật mã khóa đối xứng:

- Loại thứ nhất tác động trên bản rõ theo từng nhóm bits Từng nhóm bits này được gọi vói một cái tên khác là khối (Block) và thuật toán được áp dụng gọi là mã hoá khối (Block Cipher) Theo đó, từng khối dữ liệu trong văn bản ban đầu được thay thế bằng một khối dữ liệu khác có cùng độ dài Đối với các thuật toán ngày nay thì kích thước chung của một khối là 64 bits

- Loại thứ hai tác động lên bản rõ theo từng bit một Các thuật toán áp dụng được gọi là mã hoá dòng (Stream Cipher) Dữ liệu của văn bản được mã hoá từng bit một Các thuật toán mã hoá dòng này có tốc độ nhanh hơn các thuật toán

mã hoá khối và nó thường được áp dụng khi lượng dữ liệu cần mã hoá chưa biết trước

Một số thuật toán nổi tiếng trong mã hoá đối xứng là: DES, Triple DES (3DES), RC4, AES

- DES: viết tắt của Data Encryption Standard Với DES, bản rõ (Plaintext) được mã hoá theo từng khối 64 bits và sử dụng một khoá là 64 bits, nhưng thực

tế thì chỉ có 56 bits mã hoá và giải mã sử dụng 3 khoá [3] Khối 64 bits của bản

rõ đầu tiên sẽ được là thực sự được dùng để tạo khoá, 8 bits còn lại dùng để kiểm tra tính chẵn, lẻ DES là một thuật toán được sử dụng rộng rãi nhất trên thế giới Hiện tại DES không còn được đánh giá cao do kích thước của khoá quá nhỏ 56 bits, và dễ dàng bị phá vỡ

- Triple DES (3DES): 3DES cải thiện độ mạnh của DES bằng việc sử dụng một mã quá trình mã hoá sử dụng khoá thứ nhất Sau đó, dữ liệu bị mã hóa được giải mã bằng việc sử dụng một khoá thứ hai Cuối cùng, sử dụng khoá thứ ba và kết quả của quá trình mã hoá trên để mã hoá.

- AES: Viết tắt của Advanced Encryption Standard, được sử dụng để thay thế cho DES Nó hỗ trợ độ dài của khoá tò 128 bits cho đến 256 bits AES là một thuật toán có tốc độ mã hóa và giải mã nhanh, có khả năng chống được nhiều phương pháp tấn công như vét cạn, kẻ tấn công đứng giữa,

Hệ mã hoá khoá đổi xứng cổ ưu điểm và nhược điểm sau

+ Có thê được thiêt kê đê đạt tôc

độ cao Các thiết bị phần cứng hỗ trợ

có thể đạt tốc độ hàng trăm

megabytes mỗi giây trong khi việc

thực thi bằng phần mềm chỉ đạt được

khoảng vài megabytes mỗi giây

+ Khóa dùng cho mã hóa khóa

đối xứng tương đối ngắn

+ Được xem như thành phần cơ

bản có thể triển khai để xây đựng các

kỹ thuật mã hóa khác bao gồm khởi

tạo các số ngẫu nhiên, các hàm băm,

các kỹ thuật tính toán

+ Có thể được kết hợp để tạo ra các

thuật toán mã hóa mạnh hơn

+ Trong quá trình truyên thông giữa hai người, khóa phải được giữ bí mật cho cả hai phía

+ Trong một hệ thống mạng lớn, số lượng khóa cần được quản lý rất nhiều

Do vậy việc quản lý khóa một cách hiệu quả đòi hỏi sử dụng một bộ phận tin cậy thứ ba (TTP :Trusted Third Party)

+ Khóa bí mật cần được thay đổi thường xuyên

+ Kỹ thuật chữ ký số được phát triển tò

cơ chế mã hóa khóa đối xứng đòi hỏi sử dụng các khóa lớn cho các hàm xác nhận công khai hoặc là sử dụng một TTP

2.2 Hệ mật mã khóa công khai

Khác với hệ mật mã khóa đối xứng, hệ mật mã khóa công khai sử dụng một cặp khóa có liên quan vói nhau về mặt toán học để mã hóa và giải mã thông tin Hai khóa đó, một khóa được gọi là khóa công khai được phổ biến và được dùng

để mã hóa hoặc kiểm ưa chữ ký, khóa còn lại được gọi là khóa bí mật Khóa này chỉ noi giữ mới biết và dùng để giải mã hoặc tạo chữ ký số Hệ mật mã khóa công khai có tính chất bất đối xứng, tính bất đối xứng được thể hiện ở chỗ bên giữ khóa công khai chỉ có thể mã hóa thông báo, hoặc kiểm tra chữ ký số chứ không thể giải mã thông báo và tạo chữ ký số được

Quá trình truyền và sử dụng mã hoá khoá câng khai được thực hiện như sau:

Bên gửi yêu cầu cung cấp hoặc tự tìm khoá công khai của bên nhận trên một server chịu trách nhiệm quản lý khoá

Sau đó hai bên thống nhất thuật toán đùng để mã hoá dữ liệu, bên gửi sử dụng khoá công khai của bên nhận cùng với thuật toán đã thống nhất để mã hoá thông tin được gửi đi

Khi nhận được thông tin đã mã hoá, bên nhận sử dụng khoá bí mật của mình

để giải mã và lấy ra thông tin ban đầu

Vói sự ra đòi của Mã hoá công khai thì khoá được quản lý một cách linh hoạt và hiệu quả hơn Người sử dụng chỉ cần bảo vệ khoá bí mật

Một số hệ mã hóa khóa công khai phổ biến như: RSA, Rabin, Elgaml,

Hệ mã hoá khoá công khai có ưu điểm, và nhược điểm sau

+ Chỉ có khóa riêng thì cân được giữ bí

mật (tuy nhiên việc xác nhận của các

+ Tôc độ cho các phương thức mã hóa công khai thì chậm hơn rất nhiều so với

khóa công khai cân được đảm bảo).

+ Việc quản trị các khóa trên mạng đòi

hỏi sự tồn tại duy nhất một thành phần

tin cậy

+ Cặp khóa riêng và công khai có thể

được sử dụng trong thời gian dài

+ Nhiều mô hình khóa công cộng được

phát triển hình thành nên các kỹ thuật

chữ ký số hiệu quả Khóa được sử

dụng cho hàm kiểu công khai thì nhỏ

hơn rất nhiều so với dùng khóa đối

xứng

+ Trong một mạng lớn, số lượng các

khóa cần thiết được quan tâm ít hơn so

với việc dùng khoá đối xứng

các mô hình khóa đôi xứng

+ Kích thước khóa lớn hơn rất nhiều so với cơ chế mã hóa khóa đối xứng

+ Không có mô hình khóa công khai nào được chứng minh là an toàn Phần lớn các mô hình mã hóa hiệu quả ngày nay có sự an toàn dựa trên các giả thuyết của một tập nhỏ của các vấn đề

lý thuyết số học

+ Hệ thống mã hóa công khai không có

bề dày lâu đời như hệ thống mã hóa khóa đối xứng, nó chỉ được tìm ra vào giữa khoảng những năm 1970

Thuật toán RSA sử dụng hai khóa: khóa công khai và khóa bí mật Khóa công khai được công bố rộng rãi cho mọi người và được dùng để mã hóa Những thông tin được mã hóa bằng khóa công khai chỉ có thể được giải mã bằng khóa

bí mật tương ứng Nói cách khác, mọi người đều có thể mã hóa nhưng chỉ có người biết khóa bí mật mới có thể giải mã được

Thuật toán RSA có đầu vào là một khối số nguyên < n Thông thường kích

cỡ n là 1024 bit -309 chữ số thập phân Qui trình thực hiện gồm ba bước tạo khóa, tạo bản mã và giải mã

Giả sử khối bản gốc của người gửi là M và khối bản mã của người nhận là

c, quá trình mã hóa và giải mã RS A là: с = Me mod n và M = cđ mod n

Cả ngưòi gửi và người nhận phải biết giá tri n Người gửi biết giá trị e và chỉ người nhận biết giá trị d Đây là một thuật toán mã hóa khóa công khai với khóa công khai KU = {e,n} và khóa riêng KR = {d,n} Ta có sơ đồ biểu diễn thuật toán như sau:

Hình 2.1: Sơ đồ biểu diễn thuật toán mã hoá

+ Chọn ngẫu nhiên 2 số tự nhiên đủ lớn p, q (p khác q)

+ Tính n = pq

+ Tính Ф(п) = (p-l)(q-l)

+ Chọn ngẫu nhiên khóa mã hóa e sao cho 1< e <ф(п) và gcd(e,<0>(n))= 1 + Tìm khóa giải mã d < n thỏa mãn e.d = 1 mod ф(п)

+ Công bố khóa công khai KU = {e, n} để mã hóa

+ Giữ bí mật khóa riêng KR = {d, n} để giải mã

+ Hủy bỏ các giá tậ bí mật