Tiểu luận: An toàn và bảo mật thông tin
TR NG I H C S PH M K THU T H NG YÊNƯỜ ĐẠ Ọ Ư Ạ Ỹ Ậ Ư
KHOA CÔNG NGH THÔNG TINỆ
B I TI U LU NÀ Ể Ậ
MÔN H C:Ọ AN TO N THÔNG TINÀ
:ĐỀ
Nghiên c u các giao th c g i, nh n th i n t .ứ ứ ử ậ ư đ ệ ử
C ch m b o an nình cho th i n tơ ế đả ả ư đ ệ ử
Giáo viên h ng d nướ ẫ : Nguy n Duy Tânễ
Sinh viên th c hi nự ệ : T ng Ho ng H ngă à ư
L pớ : TK6LC1
SV thực hiện: Tăng Hoàng Hưng_TK6LC1
1
Tiểu luận: An toàn và bảo mật thông tin
H ng Yên, tháng 12 n m 2009ư ă
LỜI NÓI ĐẦU
Email đóng một vai trò khá quan trọng trong trao đổi thông tin hàng ngày của
chúng ta vì ưu điểm nhanh, rẻ và dễ sử dụng của nó. Những thông điệp có thể gửi đi
nhanh chóng, qua Internet, đến những khách hàng, những đồng nghiệp, những nhà
cung cấp và những đối tác. Mà nhiều trong số những thông điệp này có thể chứa những
thông tin về phương diện thương mại hay những thông tin nhạy cảm. Và đó chính là
vấn đề.
Email rất dễ bị tổn thương bởi những Hacker. Những thông điệp có thể bị đọc
hay bị giả mạo trước khi đến người nhận.
Từ những vấn đề trên nhóm chúng em nhận đề tài về: Các giao thức gửi nhận
thư điện tử. Cơ chế đảm bảo an ninh cho thư điện tử.
Trong quá trình thực hiện đề tài còn nhiều sai xót. Kính mong thầy giáo cùng
các bạn cho ý kiến đóng góp để đề tài của em được hoàn chỉnh hơn.
Em xin chân thành cảm ơn!
SV thực hiện: Tăng Hoàng Hưng_TK6LC1
3.1.13. Không được làm ra vẻ bạn đã trúng sổ số… và các tiêu đề có mưu đồ bất
lương khác
3.1.4. Tìm cách nhận ra các tấn công giả mạo trong nội dung
3.1.15.Không gửi thông tin tài chính và cá nhân thông qua email
3.1.16. Nên đăng ký các bản tin mà bạn chưa bao giờ đăng ký
3.1.17. Không tin tưởng vào email của bạn bè
3.1.18. Lập một danh sách đen về Spam thay vì xoá Spam
3.1.19. Không nên vô hiệu hóa bộ lọc email spam
SV thực hiện: Tăng Hoàng Hưng_TK6LC1
3
Tiểu luận: An toàn và bảo mật thông tin
3.1.20. Tránh mắc khuyết điểm trong việc quét tất cả các đính kèm
3.1.21. không nên chia sẻ thông tin tài khoản của bạn với người khác
3.1.22. Tránh sử dụng các mật khẩu đơn giản và dễ đoán
3.1.23. Mắc khuyết điểm trong việc mã hóa email quan trọng
3.1.24. Thực hiên mã hóa kết nối không dây
3.1.25. Tránh khuyết điểm sử dụng chữ kí số
3.2. Đối với người Quản trị :
4. Một số nguyên tắc đảm bảo an toàn khi sử dụng email.
5.Thực hành cấu hình bảo mật Email với chữ ký điện tử.
5.1. Dùng chữ ký điện tử cho email.
5.2. Mã hóa Email.
SV thực hiện: Tăng Hoàng Hưng_TK6LC1
4
Tiểu luận: An toàn và bảo mật thông tin
1. Giới thiệu tổng quát về dịch vụ E-Mail :
1.1.Thư điện tử là gì ?
Thư điện tử, hay còn gọi là E-Mail ( Electronics Mail ) là một hệ thống chuyển
nhận thư từ qua các mạng máy tính .
Email là một phương tiện thông tin rất nhanh. Một mẫu thông tin (thư từ) có thể
với các loại máy chủ khác thì người ta cũng gọi MTA là máy chủ hay rõ hơn là máy
chủ thư điện tử.
SV thực hiện: Tăng Hoàng Hưng_TK6LC1
5
Tiểu luận: An toàn và bảo mật thông tin
Các dịch vu thư điện tử có thể được cung ứng miễn phí hay có lệ phí tuỳ theo
nhu cầu và mụch đích của ngưòi dùng. Ngày nay, email thường được cung cấp kèm với
các phương tiện Internet khi người tiêu dùng ký hợp đồng với các dịch vụ Internet một
cách miễn phí.
1.3. Đặc điểm của thư điện tử khi so sánh với bưu chính thông thường :
Thay vì viết thư bằng giấy mực và bút thì người gửi chỉ cần gõ chữ từ bàn phím
của máy tính và biết dùng một phần mềm thư điện tử (email program).
Lá thư được gửi trên hệ thống bưu chính là vật liệu không cần máy nhận hay máy gửi.
Trong khi đó, nếu gửi thư điện tử, chỉ có các tín hiệu điện mã hoá nội dung bức thư
điện tử được truyền đi đến máy nhận. Do đó, chỉ có nội dung hay cách trình bày lá thư
điện tử là được bảo toàn. Trong khi đó, dùng đường bưu điện người ta có thể gửi đi các
vật liệu hàm chứa thêm nội dung hay ý nghĩa khác. Điều này có thể rất quan trọng đối
với nhiều người.
Vận tốc truyền thư điện tử chỉ vài giây đến vài phút và chi phí rất nhỏ không
đáng kể so với gửi qua đường bưu điện.
Dùng thư điện tử thì bất kỳ lúc nào cũng có thể mở phần mềm thư điện tử ra đọc
nên tiện lợi hơn là việc phải bỏ thư ở các thùng thư. Đồng thời, vì mỗi người dùng thư
đều phải nhập mật khẩu vào máy nên thư điện tử sẽ khó bị người ở chung đọc lén so
với thư gửi bưu điện. Nhưng ngược lại, các tay tin tặc xa lạ có thể xâm nhập vào hệ
thống thư điện tử của cá nhân nếu như các mật mã hay các hệ thống an toàn phần mềm
bị bẻ gãy.
Khối lượng gửi và nhận thư điện tử có thể nhiều hơn thư bưu điện rất nhiều lần.
Đối với các dịch vụ thư điện tử mới thì dung lượng có thể lên đến hàng Gbyte như dịch
vụ của Gmail chẳng hạn, hay nhiều hơn. Số thư có thể dự trữ trong dung lượng này
tương đương với vài bộ tự điển bách khoa.
dàng nhận ra người gửi hay nơi gửi. Tuy nhiên, trong các thư điện tử người ta có thể
không cần cho tên định dạng và lá thư điện tử vẫn được gửi đi đúng nơi. Thí dụ: Trong
địa chỉ gửi thư tới viết dưới dạng Nguyễn Thị A hay viết dưới
dạng thì phần mềm thư điện tử vẫn hoạt động chính xác và
gửi đi đến đúng địa chỉ.
Phần tên_email: Đây là phần xác định hộp thư. Thông thường, cho dễ nhớ,
phần này hay mang tên của người chủ ghép với một vài kí tự đặc biệt. Phần tên này
thường do người đăng kí hộp thư điện tử đặt ra. Phần này còn được gọi là phần tên địa
phương
Phần tên_miền: Đây là tên miền của nơi cung cấp dịch vụ thư điện tử. Ngay sau
phần tên_email bắt đầu bằng chữ "@" nối liền sau đó là tên miền.
1.5. Phương thức hoạt động của một hệ thống thư điện tử :
Hoạt động của hệ thống email hiện nay có thể dược minh họa qua phân tích
một thí dụ như sau :
Nguyễn dùng MUA của mình để soạn một lá thư có địa chỉ người nhận là Trần với địa
chỉ là Nguyễn nhấn nút Send và phần mềm thư điện tử của Nguyễn áp
dụng SMPT để gửi mẫu thông tin (lá thư) đến MTA, hay máy chủ thư điện tử, của
Nguyễn. Trong thí dụ thì máy chủ này là smtp.a.org được cung cấp từ dịch vụ Internet
của Nguyễn.
MTA này sẽ đọc địa chỉ chỗ nhận () và dựa vào phần tên miền nó sẽ tìm hỏi
địa chỉ của tên miền này, nơi có máy chủ sẽ nhận email gửi đến, qua Hệ thống Tên
miền.
Máy chủ DNS của b.org là ns.b.org sẽ trả lời về một bản ghi trao đổi thư từ, đây là
SV thực hiện: Tăng Hoàng Hưng_TK6LC1
7
Tiểu luận: An toàn và bảo mật thông tin
bảng ghi chỉ ra cách thức làm thế nào định tuyến cho email này. Trong thí dụ thì
mx.b.org là máy chủ từ dịch vụ cung ứng Internet của Trần.
smtp.a.org gửi mẫu thông tin tới mx.b.org dùng giao thức SMTP, điều này sẽ phân
phối lá thư đến hộp thư của Trần
thức POP3. IMAP nguyên thuỷ được phát triển bởi đại học Standford năm 1986.
- POP (từ chữ Post Office Protocol) hay là giao thức phòng thư. Giao thức
này được dùng để truy tìm các email từ một MTA. Hầu hết các MUA đều dùng đến
giao thức POP mặc dù một số MTA cũng có thể dùng giao thức mới hơn là IMAP.
Hiện có hai phiên bản của POP. Phiên bản đầu tiên là POP2 đã trở thành tiêu chuẩn
vào thập niên 80, nó đòi hỏi phải có giao thức SMTP để gửi đi các mẫu thông tin.
Phiên bản mới hơn POP3 có thể được dùng mà không cần tới SMTP.
2. Các hình thức tấn công qua dịch vụ E-Mail :
2.1. Giả mạo E-mail từ nhà cung cấp dịch vụ :
Attacker ( người tấn công ) có thể giả mạo địa chỉ email của một nhà cung cấp dịch vụ
mà bạn đang sử dụng để khai thác thông tin từ bạn . Để giả mạo một địa chỉ email nào
đó là một việc hết sức đơn giản, đặc biệt là có rất nhiều công cụ hỗ trợ làm việc này .
Ví dụ : vào một ngày đẹp trời nào đó, bạn nhận được một email từ một ngân hàng mà
bạn đang sử dụng thông báo, bạn là người đã may mắn trúng giải thưởng 100 triệu
đồng . Vui lòng đăng nhập vào tài khoản bằng liên kết ở bên dưới hoặc gửi thông tin
tài khoản đến một email nào đó để làm thủ tục nhận giải thưởng. Bạn làm theo và vài
giờ sau, bạn bị mất nhiều tiền trong tài khoản .
2.2. Gửi các E-mail chứa các mã hoặc các liên kết độc hại :
Là các bức thư chứa các đoạn mã ( html hoặc javascript ) hoặc liên kết tới
những website độc hại nhằm đánh cắp dữ liệu, thông tin, lây nhiễm virus Đôi khi
bạn có thể nhận được những bức thư với nội dung rất hay và hấp dẫn, trong bức thư đó
yêu cầu bạn mở một liên kết để tiếp tục xem nội dung bạn đang đọc. Bạn vô tư mở liên
kết đó ra và máy bạn nhiễm virus . Bạn có thể bị đánh cắp dữ liệu máy tính, dữ liệu cá
nhân hoặc bị phá hủy toàn bộ dữ liệu
2.3.Nguy hiểm từ các tệp tin đính kèm :
Lợi dụng sự hiếu kì và tò mò của nạn nhân Atacker có thể đính kèm lên bức
thư một tệp tin có chứa virus . Khi nạn nhân ( victim ) mở file đính kèm đó ra thì máy
nạn nhân sẽ bị nhiễm virus ( có thể là trojan hourse, worm, virus ) .
2.4. Tấn công vào E-Mail Software :
Kẻ tấn công có thể lợi dụng vào các lỗ hổng bảo mật hoặc sự dễ dãi trong các
thời gian. Điều này xảy ra nhất là đối với tài khoản bạn sử dụng để đăng nhập cho việc
nhận thư tin đã gửi online (như đã được khuyên ở trên không nên sử dụng cho tài
khoản chính). Khi điều này xảy ra, cách tốt nhất là bỏ tài khoản email đó và bắt đầu tạo
một tài khoản khác. Mặc dù vậy nhiều người dùng email mới rất hay bị gắn bó với các
tài khoản email cũ và vì vậy phải làm việc thông qua hàng tá email mỗi ngày. Để tránh
vấn đề này, luôn chuẩn bị trong đầu ý tưởng rằng bạn sẽ thay đổi email này 6 tháng
một lần.
3.1.3. Đóng trình duyệt sau khi đăng xuất
Khi đang kiểm tra email trong thư viện hoặc quán cafe nào đó bạn không chỉ
cần thiết phải đăng xuất khỏi tài khoản email mà còn phải bảo đảm đóng hoàn toàn cả
cửa sổ trình duyệt. Một số dịch vụ email hiển thị tên người dùng (nhưng không hiển thị
SV thực hiện: Tăng Hoàng Hưng_TK6LC1
10
Tiểu luận: An toàn và bảo mật thông tin
mật khẩu) thậm chí sau khi đã đăng xuất. Trong khi dịch vụ thực hiện điều này giúp
thuận tiện cho việc sử dụng thì nó vô tình đã thỏa hiệp bảo mật email.
3.1.4. Xóa cache trình duyệt, history và password.
Sau khi sử dụng ứng dụng công cộng, một việc quan trọng bạn phải nên nhớ
là xóa cache trình duyệt, history và password. Hầu hết các trình duyệt đều tự động giữ
kiểm tra đối với tất cả các website mà bạn đã vào, một số giữ bất kỳ mật khẩu hay
thông tin cá nhân nào đã nhập vào để giúp thực hiện nhanh đối với các biểu mẫu tương
tự lần sau.
Nếu những thông tin này rơi vào tay kẻ xấu thì nó có thể trở thành công cụ để kẻ
đó lấy cắp được thông tin email và ngân hàng. Vì rủi ro là quá cao, nên những người
dùng internet mới cần phải có kiến thức làm thế nào để xóa sạch cache trình duyệt máy
tính, để họ có thể xóa thông tin cá nhân trước khi những kẻ tấn công dấu mặt có thể ăn
cắp được nó.
Để thực hiện điều này, nếu bạn sử dụng trình duyệt Firefox của Mozilla, đơn
giản chỉ cần nhấn Ctrl+Shift+Del. Với người dùng trình duyệt Opera bạn vào Tools >
Delete Private Data. Với Internet Explorer bạn cần vào Tools > Internet Options sau đó
bị spam.
Một số chương trình email được cài đặt để tự động bổ sung vào sổ địa chỉ bất kỳ
địa chỉ email nào trong thư gửi đến. Điều đó có nghĩa là một số người trong nhóm tình
cờ sẽ bị bổ sung vào danh sách email, và vì vậy, nếu một trong các máy tính đó bị
nhiễm phần mềm độc hại thì nó sẽ thầm lặng gửi email spam tới các địa chỉ trong danh
sách, do đó bạn sẽ gây ra cho toàn bộ danh sách email bị nhiễm spam.
3.1.8. Kích nút "Reply All" một cách thích hợp
Đôi khi lỗi của bạn không nằm trong việc quyết định CC hay BCC mà chính là
việc chọn Reply All thay cho Reply. Khi thực hiện Reply All, email của bạn sẽ được
gửi đến mọi người có trong email gốc, và nếu không dự định tính đến chúng thì thông
tin có thể trở thành nguy hiểm cho vấn đề bảo mật và cá nhân người dùng.
SV thực hiện: Tăng Hoàng Hưng_TK6LC1
12
Tiểu luận: An toàn và bảo mật thông tin
3.1.9. Không nên Spam như một kết quả của việc chuyển tiếp email
Việc chuyển tiếp (forward) email có thể là một cách lý tưởng nhanh chóng gửi
đến ai đó một subject mà không cần phải viết một email, nhưng nếu không cẩn thận,
việc chuyển tiếp email có thể tạo ra một lỗ hổng bảo mật nghiêm trọng cho bản thân
bạn và những người nhận email. Khi một email chuyển tiếp, người nhận email được
liệt ra một cách tự động trong nội dung của thư. Cứ như vậy, một chuỗi chuyển tiếp sẽ
làm cho ngày càng nhiều các địa chỉ người nhận được định vị trong danh sách.
Một spammer có thể nhanh chóng lấy được toàn bộ các địa chỉ email này và sau đó
chúng sẽ gửi đến toàn bộ danh sách những hòm thư này spam email. Chỉ tốn một vài
giây để xóa tất cả những ID người nhận trước đó trước khi gửi chuyển tiếp mẩu tin
trong email, và nó có thể tránh được nhiều vấn đề rắc rối có thể gây ra cho tất cả các
bạn của bạn hoặc những người làm việc cùng nhau.
Thực hiện backup và giữ các bản ghi
3.1.10. Tránh mắc khuyết điểm sao lưu dự phòng email
Các email không chỉ dùng cho việc “chat” lúc nhàn rỗi mà còn được sử dụng để
tạo liên lạc nối kết hợp lệ, các quyết định tài chính lớn và xây dựng cuộc hội thảo
bạn và người gửi cũng xóa nó từ hộp thư gửi là email này mất vĩnh viễn. Không hoàn
toàn như vậy, một thực tế là, nội dung thư mà bạn đã xóa thường vẫn tồn tại trong các
thư mục backup trên một máy chủ điều khiển xa trong nhiều năm và nó hoàn toàn có
thể lấy lại được nội dung đó nhờ các chuyên gia có kỹ năng.
Chính vì vậy cần phải nghĩ rằng những gì viết trong email là các tài liệu vĩnh cửu. Điều
đó cũng nhắc nhở bạn nên cẩn thận với những gì viết trong email, bời vì nội dung đó
hoàn toàn có thể được đưa trở lại sau nhiều năm bạn nghĩ nó đã mất vĩnh viễn.
Tránh email không trung thực
3.1.13. Không được làm ra vẻ bạn đã trúng sổ số… và các tiêu đề có mưu
đồ bất lương khác
Các spammer thưởng sử dụng một loạt tiêu đề khá thông minh gây cho bạn sự chú
ý để mở email với tất cả các thứ tồi tệ nhất mà chúng dành cho bạn. Những người mới
dùng email thường mắc phải lỗi mở các email này. Hãy để tôi nói cho bạn một cách
nhanh chóng:
• Bạn không hề trúng Irish Lotto, Yahoo Lottery, hoặc bất cứ cái gì.
• Những chi tiết tài khoản ngân hàng của bạn không cần thiết phải được xác nhận
lại ngay lập tức.
….
3.1.14. Tìm cách nhận ra các tấn công giả mạo trong nội dung
Không nên mở một email giả mạo là cách tốt nhất để bảo vệ máy tính của bạn,
thậm chí những người dùng email có nhiều kinh nghiệm nhất cũng sẽ rất dễ gặp “tai
nạn” khi mở email giả mạo. Về vấn đề này, chìa khóa chính cho việc hạn chế những
hỏng hóc là nhận ra email giả mạo là gì.
Việc giả mạo (Phishing) là một loại lừa gạt online, người gửi email cố gắng lừa bạn để
lấy được những thông tin cá nhân và thông tin ngân hàng. Điển hình, người gửi thường
tiến hành đánh cắp logo của ngân hàng, yêu cầu bạn kích chuột vào liên kết trong email
SV thực hiện: Tăng Hoàng Hưng_TK6LC1
14
Tiểu luận: An toàn và bảo mật thông tin
để xác nhận mật khẩu và thông tin ngân hàng nhưng nó cũng có thể chỉ hỏi bạn trả lời
Nguyên tắc này cũng được dùng cho việc tránh truyền tải những thông tin tài
chính trong email đến các doanh nghiệp online. Ví dụ, nếu bạn cần cung cấp thông tin
thẻ tín dụng đến con của bạn đang học tại một trường đại học nào đó thì cách tốt nhất
là bạn nên thực hiện điều đó qua điện thoại hơn là qua email.
3.1.16. Nên đăng ký các bản tin mà bạn chưa bao giờ đăng ký
Một kỹ thuật chung được sử dụng bởi các spammer là gửi hàng nghìn bản tin
giả mạo từ nhiều tổ chức với một liên kết “Chưa đăng ký” ở phía dưới mỗi bản tin.
SV thực hiện: Tăng Hoàng Hưng_TK6LC1
15
Tiểu luận: An toàn và bảo mật thông tin
Người dùng email sau đó nhập vào danh sách “Chưa đăng ký” sẽ bị spam. Vì vậy nếu
không nhớ một cách cụ thể đã đăng kí cho các bản tin ở đâu đó thì cách tốt nhất để
tránh hiện tượng bị spam này là bỏ qua email này.
Tránh malware
3.1.17. Không tin tưởng vào email của bạn bè
Hầu hết những người mới dùng Internet thường cẩn thận khi bắt gặp email từ
người gửi mà họ không nhận ra là ai. Tuy nhiên khi một người bạn gửi email thì tất cả
những cẩn thận đó sẽ bị vứt ra ngoài cửa sổ bởi bạn thừa nhận rằng nó là an toàn vì
người gửi sẽ không có ý định làm hại bạn. Sự thật ở đây là, một email từ ID của người
bạn có thể gồm virus và malwre như những người lạ. Lý do là hầu hết các malware
được luân chuyển từ người này qua người khác, những người không hề cố ý gửi chúng
vì những kẻ tân công lúc này đang sử dụng máy tính chính nạn nhân như một zombie.
Chính vì vậy bạn phải quan tâm đến vấn đề nâng cấp các phần mêm chống virus và
quét email, sử dụng nó đề quét tất cả các email đến.
3.1.18. Lập một danh sách đen về Spam thay vì xoá Spam
Danh sách đen là danh sách được tạo bởi một người dùng có tài khoản email đã
dán nhãn spammer. Khi lập danh sách đen một người gửi email có nghĩa là bạn đã bảo
với email client ngăn chặn email từ người gửi này và thừa nhận rằng đó là spam.
Tuy nhiên, những người mới dùng internet lại khá nhút nhát khi sử dụng tính năng
danh sách đen này mà thay vì đó họ xóa các email spam. Vì vậy mà số lượng spam vẫn
email mà cho phép quét virus miễn phí bằng cách chuyển tiếp các đính kèm đến tài
khoản đó trước khi mở chúng.
Giữ mình tránh xa khỏi những kẻ tấn công
3.1.21. Không nên chia sẻ thông tin tài khoản của bạn với người khác
Khi đang bận bịu một công việc gì đó – nếu cần một sự đòi hỏi vể việc kiểm tra
email, bạn gọi các bạn của mình và yêu cầu họ kiểm tra email hộ bạn. Rõ ràng rằng,
bạn tin tưởng mọi người nhưng khi mật khẩu bị tiết lộ với bất cứ ai ngoài bạn thì tài
khoản sẽ không còn được an toàn.
Vấn đề ở đây là bạn của bạn có thể không sử dụng các phép kiểm tra bảo mật
giống như bạn đã thực hiện. Rất có thể anh ta truy cập vào email thông qua một tài
khoản không dây không an toàn, có thể không nâng cấp phần mềm diệt virus hay thậm
chí anh ta có thể bị nhiễm virus “keylogger”,virus sẽ tự động đánh cắp mật khẩu và nếu
viết nó ra thì bạn có thể để mật khẩu rơi vào tay kẻ xấu
3.1.22. Tránh sử dụng các mật khẩu đơn giản và dễ đoán
Các hacker sử dụng nhiều chương trình máy tính để biên dịch tên người dùng có
thể, sau đó gửi spam email đến các tên người dùng này. Khi mở một spam email, một
mẫu mã ẩn trong email sẽ gửi quay lại một thông báo cho hacker biết rằng tài khoản
này là hợp lệ, đạt được điểm này xong, nó tiếp tục quay trở lại cách làm như vậy để
đoán mật khẩu.
Các hacker thường tạo chương trình xoay quanh các từ tiếng anh và kết hợp các
chữ số để cố gắng tìm ra được mật khẩu của bạn. Việc thử mật khẩu có thể bao gồm
một từ đơn, một tên hoặc một ngày nào đó được hacker "ước chừng". Vì vậy khi tạo
một password bạn không nên sử dụng những số chung chung và kết hợp các kí tự để
tạo thành một từ nào đó không có trong từ điển. Một password đủ mạnh phải có tối
thiểu 8 kí tự và sử dụng cả chữ in thường lẫn in hoa. Việc tạo password đủ mạnh sẽ
làm cho các chương trình truy tìm mật khẩu khó có thể tìm ra.
3.1.23. Mắc khuyết điểm trong việc mã hóa email quan trọng
Dù có sử dụng đến nhiều bước như thế nào để tối thiểu hóa việc email bị kiểm
tra bởi một hacker nào đó, thì bạn vẫn luôn luôn lo sợ có ai đó đang rình mò bất cứ khi
SV thực hiện: Tăng Hoàng Hưng_TK6LC1
kí số bất cứ khi nào bạn kí vào các email quan trọng sẽ không chỉ làm cho nó trở nên
khó khăn hơn đối với các đối tượng muốn thay đổi email mà còn cho bạn sự tin cậy khi
ai đó có gắng muốn bạn đã đồng ý vào một bản hợp đồng thông qua email mà bạn chưa
hề thực hiện việc đó.
3.2. Đối với người Quản trị :
- Phải thường xuyên cập nhật các phiên bản mới hoặc các bản vá lỗi cho phần
mềm Email Server , Email Client , Webmail
- Hạn chế quyền hạn truy cập vào Mail Server, tắt các ứng dụng không cần thiết,
tắt các tài khoản khách ( Guest , Anynomous ).
SV thực hiện: Tăng Hoàng Hưng_TK6LC1
18
Tiểu luận: An toàn và bảo mật thông tin
- Cập nhật các phiên bản mới cho chương trình quét virus, ngăn chặn sự lây
nhiễm virus từ các file đính kèm trong thư từ điện tử.
- Không cho phép thực thi các mã nguồn html, javascript trong email nếu người
dùng không quy định sẵn.
4. Một số nguyên tắc đảm bảo an toàn khi sử dụng email
Sự bảo mật của các thư từ điện tử còn có nhiều khuyết điểm. Trong hệ thống
máy vi tính, những người có quyền đặc biệt vẫn có thể bị đọc thư của người khác trong
bất cứ hộp thư nào trên máy. Ngoài ra thư có thể bị đọc tại các trạm phục vụ thư hoặc
trên đường đi. Để tránh tình trạng này, người sử dụng có thể dung mật mã để làm đảo
lộn vị trí và mặt chữ để bảo tồn sự bí mật của lá thư.
Ngoài ra người sử dụng thư điện tử cần phải tuân thủ các nguyên tắc sau đây để
đảm bảo an toàn:
• Không mở bất kỳ file đính kèm được gửi từ một địa chỉ email mà bạn không biết rõ
hoặc không tin tưởng.
• Không mở bất kỳ email nào mà bạn cảm thấy nghi ngờ, thậm chí cả khi email này
được gửi từ bạn bè hoặc khách hàng của bạn. Hầu hết virus được lan truyền qua đường
email. Do vậy, nếu không chắc chắn về một email nào thì hãy tìm cách xác nhận lại từ
phía người gửi.
Tóm lại, mục đích chính của chữ ký số nhằm ngăn chặn việc thay đổi trong các
tài liệu và cũng là để thực hiện việc kiểm tra tài liệu có thực sự được gửi bởi chủ thể
cần giao dịch hay không.
Chữ ký số dùng kỹ thuật mã hóa khóa công khai và khóa riêng (public
[email protected]/private [email protected] cryptography).
Bạn có thể cung cấp khóa công khai của bạn (public [email protected]) đến bất cứ người
nào cần nó. Nhưng khóa riêng (private [email protected]) thì chỉ có bạn là người nắm giữ.
5.1. Dùng chữ ký điện tử cho email.
Ví dụ cơ bản: Mike có hai khóa, một khóa công khai và một khóa riêng. Mike
đưa khóa công khai của mình cho Amanda, nhưng giữ lại khóa riêng cho mình. Khi
muốn chuyển tài liệu cho Amanda, Mike có thể xác nhận (ký) các tài liệu này dùng
chính khóa riêng của mình và gửi chúng đến Amanda. Amanda sau đó sẽ dùng khóa
công khai của Mike, để có thể kiểm tra tài liệu mà cô ấy nhận được, thực sự được gửi
bởi Mike.
Chúng ta hãy bắt tay vào ứng dụng cụ thể sau đây để hiễu rõ hơn về cách thức
dùng chũ ký điện tử trong một giao dịch thông thường.
Trong mô ví dụ này, chúng ta cần 2 tài khoản e-mail dạng POP3.
Tài khoản e-mail POP3 thứ nhất được xác lập cho Mike (trong ví dụ này Mike sẽ dùng
để gửi email và tài khoản thứ hai xác lập cho Amanda (Amanda sẽ dùng để nhận e-
mails và kiểm tra chữ ký điện tử nhằm xác định các mails này đúng là đến từ Mike )
Cấn kiểm tra kết nối Internet đã sẵn sàng cho việc gửi và nhận e-mails. Xin nhắc lại,
Mike chính là người gửi (sender) và Amanda sẽ là người nhận mails (receiver). Trong
ví dụ này, website của công ty cổ phần Storks và các tài khoản emails của họ được một
nhà cung cấp dịch vụ/lưu trữ Web (web hosting service) trên Internet duy trì. Nhà cung
cấp dịch vụ Web cung cấp cho công ty Storks các thông tin về tài khoản email cho
Mike và Amanda, những tài khoản sẽ được sử dụng trong ví dụ này. Tất cả nhân viên
dùng e-mail tại Storks đều dùng Outlook Express hoặc Microsoft Outlook là chương
trình Mail client mặc định của mình.
SV thực hiện: Tăng Hoàng Hưng_TK6LC1
20
Tiểu luận: An toàn và bảo mật thông tin
• Đôi khi nhà cung cấp ADSL chặn port 25 ( port gửi email ), thì phải nhập giá trị
26 vào ô Outgoing mail (SMTP).
• Nếu mail người nhận không chấp nhận dung lượng lớn ( mail @vnn.vn,
@hcm.fpt.vn khoảng 2MB , mail @yahoo.com khoảng 10MB ), thì phải chia
nhỏ email ra làm nhiều phần.
Khi đó phải đánh dấu vào ô Sending -> Break apart messages larger than [ ]
KB
• Khi check mail POP3, Outlook Express tự động lấy hết thư trên server về máy
của mình, nếu muốn lưu một bản trên server thì đánh dấu vào ô Delivery ->
Leave a copy of messages on server.
Tuy nhiên, không nên chọn ô này, vì như vậy sẽ bị đầy đĩa trên server ( nếu host
bị đầy thì không nhận được email nữa )
SV thực hiện: Tăng Hoàng Hưng_TK6LC1
25
Copyright: Tài liệu đại học ©