Số hóa bởi Trung tâm Học liệu
ĐẠI HỌC THÁI NGUYÊN
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG
TÔ QUANG HIỆP NGHIÊN CỨU VẤN ĐỀ BẢO MẬT THÔNG TIN
VÀ ĐỀ XUẤT GIẢI PHÁP BẢO MẬT CHO HỆ THỐNG THÔNG TIN
TRƢỜNG CAO ĐẲNG KINH TẾ - KỸ THUẬT VĨNH PHÚC
LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH
THÁI NGUYÊN - 2014
Số hóa bởi Trung tâm Học liệu
LỜI CÁM ƠN
Em xin chân thành cảm ơn sự chỉ bảo tận tình của TS Phùng Văn Ổn,
ngƣời đã tận tình hƣớng dẫn, giúp đỡ em trong suốt thời gian thực hiện luận văn.
Em xin chân thành cảm ơn PGS. TSKH Nguyễn Xuân Huy – ngƣời đã
tận tình giảng dạy hƣớng dẫn, hƣớng dẫn học phần “An toàn và bảo mật
thông tin”, “phƣơng pháp nghiên cứu khoa học” là nguồn kiến thức chính cho
luận văn này.
Em xin chân thành cảm ơn thầy, cô Viện Công nghệ thông tin cùng quý
thầy, cô Trƣờng Đại học Công nghệ thông tin và truyền thông – Đại học Thái
Nguyên đã giảng dạy, giúp đỡ để chúng em có đƣợc những kiến thức quý báu
trong những năm học qua.
Tôi xin chân thành cảm ơn các bạn đồng nghiệp Khoa Công nghệ thông
tin – Trƣờng Cao đẳng Kinh tế - Kỹ thuật Vĩnh Phúc đã cung cấp số liệu hiện
trạng hệ thống thông tin nhà trƣờng và cùng tôi tìm hiểu hiện trạng bảo mật hệ
thống thông tin của nhà trƣờng, đƣa ra giải pháp khắc phục các nguy cơ bảo mật.
Con cảm ơn Cha, Mẹ và gia đình, những ngƣời đã dạy dỗ, khuyến khích,
động viên con trong những lúc khó khăn, tạo mọi điều kiện cho chúng con nghiên
cứu học tập.
Mặc dù đã cố gắng hết sức cùng với sự tận tâm của thầy giáo hƣớng dẫn
song do trình độ còn hạn chế, nội dung đề tài rộng, mới nên Luận văn khó tránh
khỏi những thiếu sót và hạn chế. Do vậy em rất mong nhận đƣợc sự thông cảm và
góp ý kiến của thầy cô và các bạn.
Thái Nguyên, tháng 01/2014
HỌC VIÊN
Tô Quang Hiệp
CHƢƠNG 1. TỔNG QUAN VỀ BẢO MẬT THÔNG TIN 3
1.1. Các định nghĩa về bảo mật thông tin 3
1.2. Những hiểm hoạ ảnh hƣởng đến bảo mật thông tin 4
1.2.1. Động cơ ảnh hƣởng đến bảo mật. 4
1.2.2. Các hiểm họa và sự rò rỉ thông tin 4
1.2.3. Các hình thức tấn công bảo mật hệ thống thông tin. 6
CHƢƠNG 2. CÁC BIỆN PHÁP BẢO MẬT 14
2.1. Các mức bảo mật thông tin 14
2.2. Firewall và các cơ chế bảo mật của Firewall. 15
2.2.1. Giới thiệu về Firewall 15
2.2.2. Các công nghệ FireWall 18
2.2.2.1. FireWall kiểu bộ lọc gói: 18
2.2.2.2. FireWall kiểu cổng ứng dụng hay còn gọi là máy chủ 19
2.2.2.3. FireWall kiểu kiểm duyệt trạng thái 20
2.2.3. Những đe dọa FireWall không thể chống lại 20
2.3. Các kỹ thuật mã hoá 24
2.3.1. Tổng quan về mã hóa: 24
2.3.2. Chuẩn mật mã nâng cao AES 30
2.3.2.1. Giới thiệu về mã hóa AES 30
iv
Số hóa bởi Trung tâm Học liệu
2.3.2.2 Cấu trúc AES 32
34
2.3.2.4. Đánh giá thuật toán AES 38
2.3.3. Hệ mật mã khóa công khai RSA 39
2.3.3.1. Bài toán phân tích số nguyên 39
2.3.3.2. Định nghĩa các tập làm việc của hệ RSA 40
2.3.3.3. Quá trình tạo khoá, mã hoá và giải mã 40
AES
Advanced Encryption Standard
BCB
Cipher Block Chaining
BSD
Berkeley Software Distribution
CFB
Cipher Feedback Mode
CPU
Central Processing Unit
CTR
Counter mode
DES
Data Encryption Standard
DNS
Domain Name System
DOS
Disk Operating System
ECB
Electronic code book
FEAL
Fast Encryption Algorithm
FTP
File Transfer Protocol
GNFS
General Number Field Sieve ().
HAS
Human Auditory System
ICMP
Internetwork Control Message Protocol
Số hóa bởi Trung tâm Học liệu
DANH MỤC CÁC BẢNG
Bảng: 1 Chính sách lọc gói 18
Bảng: 2 Các hàm chính của AES 33
Bảng: 3 Tóm tắt các bƣớc tạo khoá, mã hoá, giải mã của Hệ RSA 41
Bảng: 4 Thống kê thiết bị CN thông tin trƣờng CĐ Kinh tế - Kỹ thuật VP 50
vii
Số hóa bởi Trung tâm Học liệu
DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ
Hình 1: Các mức bảo mật thông tin 14
Hình 2: Sử dụng Firewall bảo vệ hệ thống mạng với môi trƣờng ngoài 16
Hình 3: Tấn công cƣớp kênh truyền 22
Hình 4: Tấn công thu trộm thông tin trên kênh truyền 24
Hình 5: Hệ mã hóa đối xứng 26
Hình 6: Hệ Mã hóa công khai 28
Hình 7: Cấu trúc khóa AES 32
Hình 8: Sơ đồ thuật toán AES 34
Hình 9: Sơ đồ hệ thống mạng Trƣờng CĐ Kinh tế - Kỹ thuật Vĩnh Phúc 49
Hình 10: Giao diện chƣơng trình mô phỏng mã hóa 53
Hình 11: Chức năng chọn kiểu và các tham số cho mã hóa 54
Hình 12: Cửa sổ chứa Bản gốc - Bản mã - Bản giải mã 55
Hình 13: Thiết lập chính sách bảo mật 56
Hình 14:Mô mạng có tƣờng lửa bảo vệ 58
Hình 15:Mô hình xác thực bằng Cisco Secure 64
bí mật khi gửi đi nhƣ thay thế bằng các biểu tƣợng, ký hiệu, viết ngƣợc, viết
vào gỗ sau đó phủ sáp lên, viết vào dây quấn quanh gậy, dùng hóa chất để viết
khi hơ nóng sẽ hiện chữ Nếu một ngƣời có đƣợc thông tin biến đổi và biết
đƣợc phƣơng pháp biến đổi thông tin thì dễ dàng biết cách để đọc đƣợc thông
tin. Vậy để giữ bí mật thông tin cần phải giữ bí mật cả phƣơng pháp biến đổi
thông tin.
2
Số hóa bởi Trung tâm Học liệu
Ngày nay hầu hết thông tin đã đƣợc số hóa và truyền trên mạng mỗi khi
cần trao đổi với ngƣời khác. Do đó đã ra đời nhiều phƣơng pháp biến đổi
thông tin nhằm đảm bảo các thông tin này không bị lộ trên đƣờng truyền.
Việc nghiên cứu xây dựng hệ thống đã khó thì việc bảo vệ nó lại càng
khó hơn. Hiện nay nhiều quốc gia trên thế giới đã và đang đầu tƣ mạnh cho
việc nghiên cứu và xây dựng hạ tầng cơ sở cho việc đảm bảo an toàn bảo mật
thông tin. Nhiều giao thức bảo mật đƣợc thiết kế trƣớc đây an toàn thì nay đã
lộ ra những lỗ hổng . Vì vậy nghiên cứu bảo mật thông tin luôn luôn đi cùng
với sự phát triển của công nghệ thông tin.
Vì lý do bảo mật thông tin quan trọng nhƣ vậy nên tôi chọn đề tài về
“Nghiên cứu vấn đề bảo mật thông tin” trong luận văn tốt nghiệp, qua đó đề
xuất giải pháp bảo mật hệ thống thông tin trƣờng cao đẳng kinh tế - kỹ thuật
Vĩnh Phúc nơi tôi đang công tác.
Để hoàn thành đƣợc luận văn tôi chọn phƣơng pháp nghiên cứu tài liệu
về vấn đề bảo mật thông tin, xác thực thông tin, thuật toán mã hóa hiện đại
đang đƣợc áp dụng. Kết hợp với khảo sát thực tiễn, qua đó phân tích, đánh giá
rồi đề xuất triển khai giải pháp bảo mật nhằm bảo đảm cho hệ thống thông tin
hoạt động chính xác, tin cậy, ổn định. Hạn chế tối đa sự cố lộ thông tin.
Luận văn bao gồm ba chƣơng:
Chƣơng 1. Tổng quan về bảo mật thông tin.
Chƣơng 2. Các biện pháp bảo mật.
bí mật và toàn vẹn của thông tin được lưu trữ hay truyền nhận nhưng kỹ thuật
này không bảo đảm cho tính sẵn sàng của hệ thống.[6]
Bảo mật mạng (network security) là các vấn đề về mã hóa thông tin khi
truyền qua mạng và kiểm soát truy xuất thông tin trên đƣờng truyền.
Nhƣ vậy bảo mật là khái niệm bao gồm tất cả các phƣơng pháp nhƣ các
kỹ thuật xác nhận danh tính, mật mã hoá, che giấu thông tin, xáo trộn …
4
Số hóa bởi Trung tâm Học liệu
nhằm đảm bảo cho các thông tin đƣợc truyền đi, cũng nhƣ các thông tin lƣu
trữ đƣợc chính xác và an toàn.
Bảo mật luôn đi đôi với an toàn “an toàn và bảo mật”, đây là hai yếu tố
quan trọng và gắn bó mật thiết với nhau trong một hệ thống. Có thể nói hệ
thống mất an toàn thì không bảo mật đƣợc và ngƣợc lại hệ thống không bảo
mật đƣợc thì mất an toàn [2].
Hệ thống sẽ là an toàn khi các khiếm khuyết không thể làm cho hoạt
động chủ yếu của nó ngừng hẳn và các sự cố đều xảy ra sẽ đƣợc khắc phục
kịp thời mà không gây thiệt hại đến mức độ nguy hiểm cho chủ sở hữu.
Mục đích của an toàn và bảo mật thông tin là tránh đƣợc ngƣời không có
thẩm quyền đọc, sửa, thay đổi thông tin. Nhƣng đồng thời đảm bảo ngƣời có
thầm quyền sẵn sàng khai thác thông tin trong phạm vi quyền hạn của họ.
1.2. Những hiểm hoạ ảnh hƣởng đến bảo mật thông tin
1.2.1. Động cơ ảnh hưởng đến bảo mật.
Một ngƣời nếu có đủ thầm quyền về hệ thống thì họ truy cập vào hệ
thống trong phạm vi, quyền hạn cho phép của họ. Nhƣng nếu một ngƣời khác
không có thẩm quyền lại tìm cách truy cập hệ thống để thực hiện những việc
không đƣợc phép đối với hệ thông có thể suất phát từ những động cơ nhƣ chỉ
để tìm hiểu, giải trí, hoặc muốn thể hiện khả năng cá nhân, để ăn cắp các bí
mật thƣơng mại, bí mật quốc gia hoặc các thông tin độc quyền, làm tê liệt
mạng, phát động chiến tranh thông tin trên mạng…
Trong giao dịch điện tử mối đe dọa và hậu quả tiềm ẩn đối với thông tin
rất lớn. Nguy cơ rủi ro đối với thông tin trong giao dịch điện tử đƣợc thể hiện
hoặc tiềm ẩn trên nhiều khía cạnh khác nhau nhƣ ngƣời sử dụng, kiến trúc hệ
thống công nghệ thông tin, chính sách bảo mật thông tin, các công cụ quản lý
và kiểm tra, quy trình phản ứng
6
Số hóa bởi Trung tâm Học liệu
- Hiểm hoạ từ phía ngƣời sử dụng: xâm nhập bất hợp pháp, ăn cắp
thông tin có giá trị của các đối tƣợng khác tham gia giao dịch điện tử
- Nguy cơ rủi ro tiềm ẩn trong kiến trúc hệ thống công nghệ thông
tin, đó là các hệ thống không có cơ chế bảo vệ thông tin trong việc tổ
chức và khai thác cơ sở dữ liệu; tiếp cận từ xa; sử dụng phần mềm ứng
dụng; chƣơng trình kiểm tra, không kiểm soát ngƣời sử dụng, thiếu phát
hiện và xử lý sự cố
- Mất thông tin có thể còn tiềm ẩn ngay trong cấu trúc phần cứng
của các thiết bị tin học và trong phần mềm hệ thống và ứng dụng do
hãng sản xuất cài sẵn các loại mã độc theo ý đồ định trƣớc, thƣờng gọi là
“bom điện tử”. Khi cần thiết, thông qua kênh viễn thông, ngƣời ta có thể
điều thiết bị đang lƣu trữ thông tin, hoặc tự động rẽ nhánh thông tin vào
một địa chỉ đã định trƣớc
1.2.3. Các hình thức tấn công bảo mật hệ thống thông tin.
* Tấn công trực tiếp:
Sử dụng một máy tính để tấn công một máy tính khác với mục đích dò
tìm mật mã, tên tài khoản tƣơng ứng, …. Họ có thể sử dụng một số chƣơng
trình giải mã để giải mã các file chứa password trên hệ thống máy tính của
nạn nhân. Do đó những mật khẩu ngắn và đơn giản thƣờng rất dễ bị phát hiện.
Ngoài ra, hacker có thể tấn công trực tiếp thông qua các lỗi của chƣơng
trình hay hệ điều hành làm cho hệ thống đó tê liệt hoặc hƣ hỏng. Trong một
số trƣờng hợp, hacker đoạt đƣợc quyền của ngƣời quản trị hệ thống.
Moderator
Member
Banned
</select>
Từ dòng mã trên, có thể suy luận nhƣ sau:
8
Số hóa bởi Trung tâm Học liệu
Banned sẽ mang giá trị là 3, Member mang giá trị 2, Moderator mang giá
trị 1. Vậy có thể suy luận Admin có giá trị là 0 chẳng hạn. Tiếp tục, lƣu trang
setting member đó, sau đó chuyển sang một trình text để hiệu chỉnh đoạn
code đó nhƣ sau:
<form action=”” method=”post” name=”settings”>
<select class=search name=status>
Admin
Moderator
Member
Banned
</select>
Đến đây, mở trang web đó và nhấn submit. Lúc này vẫn không có
chuyện gì xảy ra. Nhƣng nên lƣu ý đến một chiêu thức này để khai thông lỗ
hổng của nó
Sửa code nhƣ sau:
<form action=” name=”settings”>
<select class=search name=status>
Admin
Moderator
Member
Banned
</select>
hoặc snooping. Nó sẽ thu thập những thông tin quý giá về hệ thống nhƣ một
packet chứa password và username của một ai đó. Các chƣơng trình nghe
trộm còn đƣợc gọi là các sniffing. Các sniffing này có nhiệm vụ lắng nghe các
cổng của một hệ thống mà hacker muốn nghe trộm. Nó sẽ thu thập dữ liệu
trên các cổng này và chuyển về cho hacker.
10
Số hóa bởi Trung tâm Học liệu
* Kỹ thuật giả mạo địa chỉ:
Thông thƣờng, các mạng máy tính nối với Internet đều đƣợc bảo vệ bằng
Tƣờng lửa (firewall). Tƣờng lửa có thể hiểu là cổng duy nhất mà ngƣời đi vào
nhà hay đi ra cũng phải qua đó và sẽ bị “điểm mặt”. Tƣờng lửa hạn chế rất
nhiều khả năng tấn công từ bên ngoài và gia tăng sự tin tƣởng lẫn nhau trong
việc sử dụng tài nguyên chia sẻ trong mạng nội bộ.
Sự giả mạo địa chỉ nghĩa là ngƣời bên ngoài sẽ giả mạo địa chỉ máy tính
của mình là một trong những máy tính của hệ thống cần tấn công. Họ tự đặt
địa chỉ IP của máy tính mình trùng với địa chỉ IP của một máy tính trong
mạng bị tấn công. Nếu nhƣ làm đƣợc điều này, hacker có thể lấy dữ liệu, phá
hủy thông tin hay phá hoại hệ thống.
* Kỹ thuật chèn mã lệnh:
Một kỹ thuật tấn công căn bản và đƣợc sử dụng cho một số kỹ thuật tấn
công khác là chèn mã lệnh vào trang web từ một máy khách bất kỳ của ngƣời
tấn công.
Kỹ thuật chèn mã lệnh cho phép ngƣời tấn công đƣa mã lệnh thực thi vào
phiên làm việc trên web của một ngƣời dùng khác. Khi mã lệnh này chạy, nó
sẽ cho phép ngƣời tấn công thực hiện nhiều nhiều chuyện nhƣ giám sát phiên
làm việc trên trang web hoặc có thể toàn quyền điều khiển máy tính của nạn
nhân. Kỹ thuật tấn công này thành công hay thất bại tùy thuộc vào khả năng
và sự linh hoạt của ngƣời tấn công.
* Tấn công vào hệ thống có cấu hình không an toàn:
DOS (Denial of Service - Tấn công từ chối dịch vụ).
Các tấn công này lợi dụng một số lỗi trong phần mềm hay các lỗ hổng
bảo mật trên hệ thống, hacker sẽ ra lệnh cho máy tính của chúng đƣa những
yêu cầu không đâu vào đâu đến các máy tính, thƣờng là các server trên mạng.
12
Số hóa bởi Trung tâm Học liệu
Các yêu cầu này đƣợc gởi đến liên tục làm cho hệ thống nghẽn mạch và một
số dịch vụ sẽ không đáp ứng đƣợc cho khách hàng.
Đôi khi, những yêu cầu có trong tấn công từ chối dịch vụ là hợp lệ. Ví dụ
một thông điệp có hành vi tấn công, nó hoàn toàn hợp lệ về mặt kỹ thuật.
Những thông điệp hợp lệ này sẽ gởi cùng một lúc. Vì trong một thời điểm mà
server nhận quá nhiều yêu cầu nên dẫn đến tình trạng là không tiếp nhận thêm
các yêu cầu. Đó là biểu hiện của từ chối dịch vụ.
* Chặn bắt gói tin (Network Packet Sniffing)
Những chƣơng trình chặn bắt gói tin có thể chặn bất kỳ một gói tin trong
mạng và hiển thị nội dung gói tin một cách dễ đọc nhất. Hai đầu của kết nối
có thể không biết đƣợc gói tin của mình bị xem trộm. Đây là công cụ ƣa thích
của những ngƣời quản trị mạng dùng để kiểm tra mạng. Khi mạng nội bộ
đƣợc kết nối vào Internet, một kẻ khả nghi bên ngoài dùng Packet Sniffer có
thể dễ dàng chặn gói tin đƣợc gửi đến một máy tính nào đó trong mạng và dễ
dàng nghe trộm thông tin.
* Sử dụng virus máy tính
Là một chƣơng trình gắn vào một chƣơng trình hợp lệ khác và có khả
năng lây lan nó vào các môi trƣờng đích mỗi khi chƣơng trình hợp lệ đƣợc
chạy. Sau khi virus lây nhiễm vào hệ thống nó sẽ thực hiện phá hoại mỗi khi
nó muốn, thông thƣờng là phá hoại theo thời gian định trƣớc. Đúng nhƣ tên
gọi của nó, một trong những hành động của virus đó là lây lan bản thân nó
vào tất cả các chƣơng trình mà nó tìm thấy trong môi trƣờng hệ thống. Chúng
chuyển từ máy tính này sang máy tính khác mỗi khi chƣơng trình đƣợc sao
đổi) trên đƣờng truyền thì chủ yêu tập chung vào các giải pháp nghiên cứu
các truy cập thông tin từ bên ngoài vào trong hệ thống[1]. Quyền truy nhập (Access Right): Lớp bảo vệ này nhằm kiểm soát việc
truy nhập tài nguyên mạng và quyền hạn trên tài nguyên đó. Cụ thể là việc
quản lý đƣợc tiến hành ở mức truy nhập tệp. Việc xác lập các quyền này đƣợc
quyết định bởi ngƣời quản trị mạng (supervisor).
Đăng ký tên/mật khẩu (login/password): Mỗi ngƣời sử dụng muốn vào
sử dụng mạng đều phải đăng ký tên/mật khẩu. Nếu ngƣời ngoài không biết
tên, mật khẩu thì không thể truy nhập vào hệ thống. Phƣơng pháp này đơn
giản, hiệu quả. Nhƣng nếu không cẩn thận để kẻ thâm nhập biết tên, mật khẩu
Hình 1: Các mức bảo mật thông tin
Tƣờng
lửa
(Fire
Walls)
Lớp
bảo vệ
vật ly
Mã
hóa
thông
tin
Đăng
ký và
mật
đƣợc tích hợp vào hệ thống mạng để chống lại sự truy cập trái phép nhằm bảo
vệ các nguồn thông tin nội bộ cũng nhƣ hạn chế sự xâm nhập vào hệ thống
thông tin khác không mong muốn. Nói cách khác FireWall đóng vai trò là
một trạm gác ở cổng vào của mạng. FireWall là một giải pháp rất hiệu quả
trong việc bảo vệ máy tính khi tham gia vào mạng. Nó đƣợc coi nhƣ là tƣờng
16
Số hóa bởi Trung tâm Học liệu
lửa bảo vệ máy tính của ngƣời dùng trƣớc sự tấn công của các hình thức tấn
công trên mạng.
Trong một số trƣờng hợp, Firewall có thể đƣợc thiết lập ở trong cùng
một mạng nội bộ và cô lập các miền an toàn.
Ví dụ: Mô hình sử dụng Firewall để bảo vệ hệ thống mạng nội bộ
(LAN) bên trong với môi trƣờng internet bên ngoài.
Hình 2: Sử dụng Firewall bảo vệ hệ thống mạng với môi trƣờng ngoài
FireWall là cổng chắn giữa mạng nội bộ với thế giới bên ngoài
(Internet), mục đích là tạo nên một lớp vỏ bọc bao quanh mạng để bảo vệ các
máy bên trong mạng, tránh các đe dọa từ bên ngoài. Cơ chế làm việc của
tƣờng lửa là dựa trên việc kiểm tra các gói dữ liệu IP lƣu truyền giữa máy chủ
và trạm làm việc. FireWall quyết định những dịch vụ nào từ bên trong đƣợc
phép truy cập từ bên ngoài, những ngƣời nào từ bên ngoài đƣợc phép truy cập
Copyright: Tài liệu đại học ©