1
MỤC LỤC
LỜI CAM ĐOAN
MỤC LỤC ........................................................................................................ 1
DANH MỤC HÌNH VẼ ................................................................................... 3
DANH MỤC CÁC TỪ VIẾT TẮT .................................................................. 5
LỜI MỞ ĐẦU ................................................................................................... 6
Chương 1. GIAO DỊCH ĐIỆN TỬ VÀ CÁC VẤN ĐỀ ĐẢM BẢO AN
TOÀN GIAO DỊCH ĐIỆN TỬ TRONG CƠ QUAN NHÀ NƯỚC ..............11
1.1 Vấn đề an toàn thông tin trong giao dịch điện tử ....................................11
1.1.1 Khái niệm .......................................................................................11
1.1.2 Các dịch vụ an toàn ........................................................................12
1.1.3 Các cơ chế an toàn..........................................................................13
1.2 An toàn thông tin giao dịch điện tử trong cơ quan Nhà nước.................15
1.2.1 Thực trạng và nguy cơ mất an toàn thông tin giao dịch điện tử trong
cơ quan Nhà nước .............................................................................................15
1.2.2 Giải pháp đảm bảo an toàn thông tin giao dịch điện tử trong cơ quan
Nhà nước...........................................................................................................18
1.3 Cơ sở mật mã phục vụ an toàn thông tin .................................................21
1.3.1 Hệ mật mã ......................................................................................21
1.3.2 Hàm băm ........................................................................................25
1.3.3 Chữ ký số .......................................................................................27
1.3.4 Chứng thư số .................................................................................31
Chương 2. GIẢI PHÁP XÁC THỰC, BẢO MẬT ĐẢM BẢO AN TOÀN
ỨNG DỤNG TRAO ĐỔI VĂN BẢN ĐIỆN TỬ ............................................36
2.1 Một số giải pháp xác thực người dùng .....................................................36
2.1.1 Các yếu tố xác thực ........................................................................36
2.1.2 Một số phương pháp xác thực.........................................................37
2.2 Một số giải pháp bảo mật, xác thực văn bản điện tử ...............................38
2.2.1 Kiểm soát truy nhập mạng theo mô hình truy nhập một lần [3] .....38
2
2.2.2 Giải pháp bảo mật và xác thực web [4] ...........................................41
2.2.3 Giải pháp bảo mật cho thư điện tử [6] ............................................44
2.2.4 Xây dựng và phân tích thiết kế quy trình ký số, xác thực dữ liệu ....52
Chương III. ĐỀ XUẤT LỰA CHỌN GIẢI PHÁP VÀ TRIỂN KHAI XÂY
DỰNG HỆ THỐNG TRONG QUÁ TRÌNH GỬI NHẬN VĂN BẢN ĐIỆN
TỬ ỨNG DỤNG CHO SỞ GIÁO DỤC VÀ ĐÀO TẠO TỈNH QUẢNG
NINH 56
3.1 Phân tích yêu cầu, đề xuất giải pháp .......................................................56
3.2. Giải pháp an toàn bảo mật cho thư điện tử ............................................57
3.3. Giới thiệu hệ thống Zimbra Mail Server.................................................60
3.3.1. Zimbra Collaboration Suite ..........................................................60
3.3.2. Quá trình cài đặt hệ thống Zimbra Mail Server ..............................62
3.4. Hệ thống thư điện tử Zimbra...................................................................66
3.4.1. Cài đặt OpenPGP vào Zimlet.........................................................66
3.4.2. Mã hóa và giải mã thư điện tử .......................................................67
3.4.3. Tích hợp chữ ký số cho thư điện tử................................................80
KẾT LUẬN ......................................................................................................83
TÀI LIỆU THAM KHẢO
3
DANH MỤC HÌNH VẼ
Hình 1.1: Mô hình hệ mật mã khóa bí mật .........................................22
Hình 1.2: Mô hình mã hóa khóa công khai .........................................24
Hình 1.3: Lược đồ tạo chữ ký số ........................................................28
Hình 1.4: Lược đồ kiểm tra chữ ký số ................................................29
Hình 2.1: Mô hình Single Domain SSO .............................................40
Hình 2.2: Mô hình Multi Domain SSO...............................................41
Hình 2.3: Mô hình ký số dữ liệu trên Server .......................................43
Hình 2.4: Bảo mật của PGP................................................................50
Hình 2.5: Xác thực của PGP...............................................................51
Hình 2.6: Bảo mật và xác thực của PGP .............................................51
Hình 2.7: Mô hình tổng quan .............................................................53
Hình 2.8: Lược đồ ký số .....................................................................54
Hình 2.9: Lược đồ xác thực ký số.......................................................55
Hình 3.1: Mô hình Client/Server ........................................................58
Hình 3.2: Giao diện trang đăng nhập của admin .................................64
Hình 3.3: Giao diện trang của admin ..................................................64
Hình 3.4: Giao diện trang đăng nhập cho user ....................................65
Hình 3.5: Giao diện trang webmail của user .......................................65
Hình 3.6: Giao diện soạn thư ..............................................................66
Hình 3.7: Khởi động hệ thống Zimbra ................................................67
Hình 3.8: OpenPGP trong Zimlet .......................................................67
Hình 3.9: Các mô-đun trong OpenPGP 1.6.0......................................68
Hình 3.10: Cửa sổ “Manage Keys” của người dùng mới ....................69
Hình 3.11: Cửa sổ tạo cặp khóa cho tài khoản người gửi ....................70
Hình 3.12: Cửa sổ sau khi tạo cặp khóa mới ......................................70
Hình 3.13: Cửa sổ tạo cặp khóa cho tài khoản người nhận .................71
Hình 3.14: Cặp khóa và cụm mật khẩu trong cửa sổ quản lý khóa......72
Hình 3.15: Thêm khóa công khai .......................................................73
4
Hình 3.16: Nội dung thông điệp sau khi được mã hóa ........................74
Hình 3.17: Lựa chọn thêm địa chỉ người nhận ....................................74
Hình 3.18: Thông điệp gửi đi được lưu trữ trong mục Drafts .............75
Hình 3.19: Thông điệp nhận được phía người nhận ............................75
Hình 3.20: Cung cấp khóa bí mật và cụm mật khẩu để giải mã ..........76
Hình 3.21: Lựa chọn tập tin cần mã hóa .............................................76
Hình 3.22: Mã hóa tệp tin đính kèm ..................................................77
Hình 3.23: Thông điệp gửi đi đính kèm tệp tin mã hóa.......................77
Hình 3.24: Giải mã tệp tin đính kèm...................................................78
Hình 3.25: Tệp tin đính kèm trước khi mã hóa ...................................79
Hình 3.26: Tệp tin đính kèm sau khi giải mã ......................................79
Hình 3.27: Thư điện tử đã được ký số và mã hóa ...............................81
Hình 3.28: Thư điện tử mã hóa bên nhận nhận được từ bên gửi .........82
5
DANH MỤC CÁC TỪ VIẾT TẮT
Từ viết tắt
Tên đầy đủ
Dịch ra tiếng Việt
ATM
Automated Teller Machine
Máy rút tiền tự động
RSA
Rivest Shamir Adleman
HTTPS
Hypertext Transfer Protocol
Secure
Thuật toán mã hóa khóa
công khai RSA
Giao thức truyền tải siêu
văn bản an toàn
IP
Internet Protocol
Giao thức mạng
DES
Data Encryption Standard
Chuẩn mã hóa dữ liệu
AES
Advanced Encryption Standard
Tiêu chuẩn mã hóa tiên
tiến
CA
Certificate Authority
Cơ quan chứng thực số
SHA
Secure Hash Algorithm
Giải thuật băm an toàn
IDEA
International Data Encryption
Algorithm
Thuật toán mã hóa dữ liệu
quốc tế
CMS
Content Management System
Hệ thống quản lý nội dung
PKCS
Public Key Cryptography
Standards
Chuẩn mã hóa khóa công
khai
ID
Identifier
Định danh
SSL
Secure Sockets Layer
Giao thức bảo mật web
TLS
Transport Layer Security
PKI
Public Key Infrastructure
LDAP
Lightweight Directory Access
Protocol
Chuẩn dịch vụ thư mục
PGP
Pretty Good Privacy
Bảo mật rất mạnh
Giao thức bảo mật tầng
truyền thông
Hạ tầng cơ sở khóa công
khai
6
LỜI MỞ ĐẦU
1. Lý do chọn đề tài
Ngày nay, với xu thế hội nhập và sự phát triển không ngừng, ngành công
nghệ thông tin đã và đang được ứng dụng vào hầu hết mọi lĩnh vực trong cuộc
sống. Vai trò của công nghệ thông tin ngày càng được nâng cao, không chỉ dừng
lại ở lĩnh vực văn phòng, công nghệ thông tin còn được triển khai ở nhiều lĩnh
vực khác. Bên cạnh những lợi thế trong việc áp dụng, việc sử dụng, ứng dụng
công nghệ thông tin còn tiềm ẩn nhiều vấn đề tồn tại trong việc đảm bảo an toàn
thông tin ví dụ như đánh cắp dữ liệu, đọc các tài liệu mà không đủ thẩm quyền,
dữ liệu bị phá hủy,… Do đó bên cạnh việc triển khai và sử dụng công nghệ
thông tin, chúng ta cũng phải đảm bảo an toàn thông tin. Đảm bảo an toàn thông
tin cũng chính là đảm bảo hệ thống có được ba yếu tố: Tính toàn vẹn, tính bí
mật, tính sẵn sàng.
Vấn đề bảo đảm an toàn thông tin là một trong những vấn đề quan trọng
của tất cả các hoạt động khác trong đời sống xã hội, từ khi con người có nhu cầu
lưu trữ và xử lý thông tin, đặc biệt là từ khi thông tin được xem như một bộ phận
của tư liệu sản xuất, thì nhu cầu bảo vệ thông tin càng trở nên bức thiết hơn. Bảo
vệ thông tin là bảo vệ tính bí mật của thông tin và tính toàn vẹn của thông tin.
Một số loại thông tin chỉ có ý nghĩa khi chúng được giữ kín hoặc giới hạn trong
một số đối tượng nào đó, ví dụ như thông tin thuộc các cơ quan Nhà nước,
Chính phủ, hoặc thông tin về chiến lược quân sự. Đó là tính bí mật của thông
tin.
Khi máy tính được sử dụng để xử lý thông tin thay cho khả năng xử lý
hữu hạn của con người, hiệu quả xử lý thông tin được nâng cao, khối lượng xử
lý thông tin ngày càng lớn và kéo theo nó, tầm quan trọng của thông tin trong
đời sống xã hội cũng được nâng lên.
Vì vậy, an toàn bảo mật thông tin sẽ là vấn đề rất nóng bỏng, đây là cuộc
đấu tranh không có hồi kết vì kẻ xấu luôn lợi dụng không gian mạng để rửa tiền,
ăn cắp tài khoản hay thực hiện các mục đích khác. Việc phát triển của công nghệ
7
thông tin sẽ đồng nghĩa với cuộc đấu tranh bảo đảm an ninh, an toàn thông tin sẽ
còn tiếp tục và quyết liệt hơn.
Nhận thức được lợi ích và tầm quan trọng của công nghệ thông tin, trong
những năm vừa qua, việc quan tâm, chú trọng tới phát triển bảo đảm an ninh, an
toàn thông tin ngày càng mạnh mẽ và sâu rộng trong mọi mặt của đời sống kinh
tế xã hội, đặc biệt là vấn đề trao đổi tài liệu cơ quan Nhà nước, Chính phủ, nhằm
chống lại các tấn công mạng; các kỹ thuật bảo mật và xác thực đã ra đời, ngày
càng được phát triển, trong đó việc sử dụng giải pháp ký số trong hầu hết các
văn bản điện tử đang là vấn đề quan tâm hiện nay.
Tại Sở Giáo dục và Đào tạo tỉnh Quảng Ninh hiện tại đã triển khai nhiều
hoạt động ứng dụng công nghệ thông tin đối với các công việc như lưu trữ hồ
sơ, gửi nhận văn bản điện tử, họp trực tuyến, quản lý nhân sự,… đồng thời cũng
triển khai các biện pháp nhằm đảm bảo an toàn thông tin trong hoạt động ứng
dụng công nghệ thông tin của Sở. Tuy nhiên, thực trạng hạ tầng cơ sở vật chất
kèm theo các phần mềm quản lý đang dùng dẫn đến một số bất cập như:
- Công tác bảo vệ bí mật nhà nước: chưa bố trí được máy tính không kết
nối mạng để soạn thảo, lưu giữ văn bản mật.
- Cán bộ, công chức, viên chức Sở Giáo dục và Đào tạo vừa sử dụng hộp
thư điện tử công cộng, miễn phí (gmail, yahoo…) vừa sử dụng hộp thư công vụ
đã
được
cấp
(xxx@
quangninh.edu.vn;
[email protected];
[email protected]) trong công việc như gửi nhận văn bản điện tử, lưu trữ tài
liệu cá nhân hoặc công việc của bản thân trên cloud, trao đổi tài liệu cá
nhân,…dẫn đến khó kiểm soát việc gửi nhận văn bản điện tử.
- Quy trình gửi và nhận văn bản của Sở còn nhiều công đoạn, cụ thể: Sử
dụng đồng thời 02 hệ thống quản lý văn bản và điều hành. Hệ thống quản lý văn
bản của tỉnh (congchuc.quangninh.gov.vn) sử dụng để nhận văn bản đến qua
mạng; Hệ thống quản lý văn bản của Sở (hs.quangninh.edu.vn) để xử lý văn bản
đến/đi qua mạng; Hệ thống thư điện tử của tỉnh dùng để gửi văn bản đi qua
8
mạng; Hệ thống thư điện tử của Bộ GD&ĐT để gửi văn bản đến các đơn vị trực
thuộc Sở quản lí.
- Chưa có giải pháp quản lý các thiết bị cá nhân như smartphone, máy tính
bảng khi sử dụng chung trong hạ tầng mạng.
- Chưa phân định giữa mạng không dây nội bộ và mạng không dây dành
cho khách truy cập.
Từ thực trạng trên, việc cần phải bảo mật, đảm bảo an toàn thông tin trong
quá trình gửi nhận văn bản điện tử đã trở thành nhu cầu bức thiết cẩn phải giải
quyết của Sở Giáo dục và Đào tạo tỉnh Quảng Ninh.
Chữ ký số là tập con của chữ ký điện tử (là thông tin đi kèm theo dữ liệu
văn bản, hình ảnh, video nhằm mục đích xác định người chủ của dữ liệu đó). Ưu
điểm của chữ ký số là: Khả năng xác định của nguồn gốc, tính toàn vẹn, tính
chống chối bỏ. Chính vì những vấn đề thực tiễn trên cùng những kiến thức đã
tìm hiểu và được sự định hướng của TS.Hồ Văn Hương, em đã lựa chọn đề tài:
“Nghiên cứu giải pháp bảo mật và xác thực tài liệu điện tử ứng dụng
cho Sở Giáo dục và Đào tạo tỉnh Quảng ninh”.
2. Lịch sử vấn đề nghiên cứu
Con người đã sử dụng các hợp đồng dưới dạng điện tử từ hơn 100 năm
nay với việc sử dụng mã Morse và điện tín. Vào năm 1889, tòa án tối cao bang
New Hampshire (Hoa kỳ) đã phê chuẩn tính hiệu lực của chữ ký điện tử. Tuy
nhiên, chỉ với những phát triển của khoa học kỹ thuật gần đây thì chữ ký điện tử
mới đi vào cuộc sống một cách rộng rãi. Vào thập kỷ 1980, các công ty và một
số cá nhân bắt đầu sử dụng máy fax để truyền đi các tài liệu quan trọng. Mặc dù
chữ ký trên các tài liệu này vẫn thể hiện trên giấy nhưng quá trình truyền và
nhận chúng hoàn toàn dựa trên tín hiệu điện tử. Hiện nay, chữ ký điện tử có thể
bao hàm các cam kết gửi bằng email, nhập các số định dạng cá nhân (PIN) vào
các máy ATM, ký bằng bút điện tử với thiết bị màn hình cảm ứng tại các quầy
tính tiền, chấp nhận các điều khoản người dùng khi cài đặt phần mềm máy tính,
ký các hợp đồng điện tử online...
9
3. Mục tiêu của đề tài
Tìm hiểu giải pháp tích hợp chữ ký số cho trao đổi văn bản điện tử của cơ
quan Nhà nước trên môi trường mạng. Đặc biệt là áp dụng tại Sở Giáo dục và
Đào tạo tỉnh Quảng Ninh
4. Đối tượng và phạm vi nghiên cứu
Tập trung nghiên cứu, tìm hiểu thực trạng và nhu cầu về an toàn thông tin
giao dịch điện tử trong các cơ quan Nhà nước, các tiêu chuẩn, cơ sở mật mã, chữ
ký số - giải pháp đảm bảo an ninh an toàn ứng trao đổi văn bản điện tử của cơ
quan Nhà nước. Trên cơ sở đó xây dựng ứng dụng bảo mật và xác thực cho dịch
vụ trao đổi văn bản điện tử trong cơ quan Nhà nước.
5. Nội dung nghiên cứu đề tài
Nội dung nghiên cứu chính của đề tài bao gồm các nội dung sau:
Tổng quan về ứng dụng trao đổi văn bản điện tử của cơ quan Nhà nước
trên môi trường mạng.
Giải pháp đảm bảo an ninh an toàn ứng trao đổi văn bản điện tử của cơ
quan Nhà nước trên môi trường mạng.
Tích hợp chữ ký số cho ứng trao đổi văn bản điện tử của cơ quan Nhà
nước trên môi trường mạng.
6. Ý nghĩa khoa học của đề tài
Đề tài này sẽ tìm hiểu, nghiên cứu lý thuyết an toàn, an ninh thông tin,
mật mã, hàm băm, chữ ký số và hạ tầng khóa công khai. Đưa ra được phương
pháp cụ thể, mang tính hiệu quả cao giải quyết bài toán bảo mật và xác thực văn
bản điện tử tại Sở Giáo dục và Đào tạo tỉnh Quảng Ninh.
7. Phương pháp nghiên cứu
Luận văn sử dụng các phương pháp nghiên cứu sau:
- Phương pháp phân loại và hệ thống hóa tài liệu.
- Phương pháp phân tích và tổng hợp.
- Lập trình và thử nghiệm.
8. Bố cục Luận văn
10
Luận văn được trình bày trong 3 chương:
Chương 1: Tập trung tìm hiểu một số khái niệm về an toàn bảo mật thông
tin, đánh giá thực trạng và các nguy cơ mất an toàn thông tin cũng như đảm bảo
an toàn thông tin giao dịch điện tử trong cơ quan Nhà nước, hệ mật mã, hàm
băm, chữ ký số.
Chương 2: Trình bày tổng quan về website và thư điện tử, một số giải
pháp xác thực người dùng, một số giải pháp đảm bảo an toàn cho ứng dụng trao
đổi văn bản điện tử.
Chương 3: Đề xuất lựa chọn giải pháp và triển khai xây dựng hệ thống
trong quá trình gửi nhận văn bản điện tử ứng dụng cho Sở Giáo dục và Đào tạo
tỉnh Quảng Ninh
11
CHƯƠNG 1
GIAO DỊCH ĐIỆN TỬ VÀ CÁC VẤN ĐỀ ĐẢM BẢO AN TOÀN GIAO
DỊCH ĐIỆN TỬ SỞ GIÁO DỤC VÀ ĐÀO TẠO TỈNH QUẢNG NINH
Ngày nay, nhu cầu máy tính nối mạng ngày càng tăng lên, các tổ chức
thường sử dụng một hoặc nhiều mạng cục bộ (Local Area Network - LAN) kết
nối tới các vị trí từ xa thông qua mạng diện rộng (Wide Area Network - WAN).
Để đáp ứng nhu cầu trao đổi thông tin, chúng ta không chỉ phụ thuộc vào các
mạng LAN trong đó có chứa dữ liệu và ứng dụng chạy trên nền Unix hay
Windows Server mà còn phụ thuộc vào mạng WAN trong đó có các ứng dụng
web, thư điện tử.
Và việc cần thiết là phải làm sao đảm bảo an toàn cho tài nguyên cùng với
hoạt động của tổ chức trong vấn đề trao đổi thông tin nói chung và đảm bảo an
toàn thông tin trong giao dịch điện tử nói riêng, đặc biệt là vấn đề an toàn thông
tin giao dịch điện tử trong cơ quan Nhà nước nhằm hạn chế được các rủi ro.
1.1. Vấn đề an toàn thông tin trong giao dịch điện tử
1.1.1. Khái niệm
An toàn thông tin nghĩa là thông tin được bảo vệ, các hệ thống và những
dịch vụ có khả năng chống lại những hiểm họa, lỗi và sự tác động không mong
đợi, giúp kiểm soát và bảo vệ thông tin không bị rò rỉ, mất mát, sai lệch do vô
tình hay cố ý. Thông tin chỉ có giá trị cao khi đảm bảo tính chính xác và kịp
thời. An toàn thông tin phải đảm bảo ba thuộc tính quan trọng:
Tính bảo mật: Đảm bảo rằng chỉ những người được phép mới được
truy cập thông tin, tránh cho thông tin không bị rò rỉ trái phép.
Tính toàn vẹn: Bảo vệ tính chính xác và đầy đủ của thông tin và các
phương pháp xử lý, tránh cho thông tin bị thay đổi trái phép.
Tính sẵn sàng: Đảm bảo những người được phép có thể truy cập thông
tin và các tài sản tương ứng khi cần.
12
Giao dịch điện tử là giao dịch được thực hiện thông qua các phương tiện
điện tử và cũng có giá trị pháp lý như nó được ghi chép hoặc mô tả bằng văn bản
theo phương pháp truyền thống.
An toàn thông tin trong giao dịch điện tử là bảo vệ thông tin được truyền
qua các phương tiện điện tử thỏa mãn các tính chất bí mật, toàn vẹn và sẵn sàng,
kết hợp với việc sử dụng các dịch vụ an toàn phòng ngừa các hiểm họa và chống
lại các tấn công gây mất an toàn thông tin.
1.1.2. Các dịch vụ an toàn
Các dịch vụ an toàn được định nghĩa trong kiến trúc an toàn Open System
Interconnection , viết tắt OSI (được phát triển dựa trên kiến trúc giao thức OSI).
Khi chức năng của các tầng trong mô hình OSI (7 tầng) được định nghĩa, các
dịch vụ cũng được xác định trong kiến trúc an toàn. Các dịch vụ có thể được đặt
vào các tầng thích hợp của OSI. Các dịch vụ an toàn được định nghĩa như sau:
Xác thực (Authentication): Xác thực là bước đầu tiên trong quá trình truy
nhập hệ thống. Gõ tên người dùng và mật khẩu là một ví dụ về việc ta tự xác thực
như một người sử dụng của hệ thống. Xác thực là quá trình chứng minh định danh
của người sử dụng.
Kiểm soát truy nhập (Access control): Dịch vụ này chống lại việc sử dụng
trái phép các tài nguyên do truy nhập thông qua các giao thức mạng. Kiểm soát
truy nhập liên quan đến các tài nguyên có trong một hệ thống hoặc mạng mà
người sử dụng hoặc dịch vụ có thể truy nhập.
Bảo mật dữ liệu (Data Security): Dịch vụ này chống lại các sửa đổi trái
phép. Bảo mật dữ liệu liên quan đến sự bí mật của dữ liệu trên một hệ thống
hoặc mạng. Bảo mật dữ liệu là bảo vệ dữ liệu khỏi các hiểm hoạ thụ động.
Toàn vẹn dữ liệu (Data Integrity): Dịch vụ này đảm bảo tính toàn vẹn cho
dữ liệu, chống lại các hiểm hoạ chủ động.
Chống chối bỏ (Non-repudiation): Chối bỏ được định nghĩa là sự không
thừa nhận của một trong các thực thể tham gia truyền thông, anh ta không tham
gia tất cả hoặc một phần cuộc truyền thông. Dịch vụ chống chối bỏ có thể là một
13
trong hai dạng: Chống chối bỏ nguồn gốc hoặc chống chối bỏ bằng chứng bàn
giao.
1.1.3. Các cơ chế an toàn
Các cơ chế an toàn thực hiện các dịch vụ an toàn. Cơ chế an toàn có hai
kiểu, đó là: Cơ chế an toàn xác định, và cơ chế an toàn tỏa khắp.
a) Cơ chế an toàn xác định
Các cơ chế an toàn xác định thường được gắn với một lớp (layer) thích hợp
nhằm cung cấp các dịch vụ an toàn được mô tả ở trên. Các cơ chế an toàn xác
định bao gồm:
Mã hóa được sử dụng để đảm bảo tính bí mật cho dữ liệu hoặc thông tin
về luồng lưu lượng.
Chữ ký số giúp kiểm tra tác giả của chữ ký, thời gian ký, xác thực các nội
dung tại thời điểm ký. Các thành viên thứ ba có thể kiểm tra chữ ký trong trường
hợp xảy ra tranh chấp.
Các cơ chế kiểm soát truy nhập có thể dựa vào thông tin xác thực như:
Mật khẩu, nhãn an toàn, khoảng thời gian truy nhập, thời điểm truy nhập, hoặc
hình thức truy nhập.
Các cơ chế toàn vẹn dữ liệu bao gồm: Gán nhãn thời gian, đánh số thứ tự,
hoặc chuỗi mật mã. Chúng có thể được sử dụng để đảm bảo tính toàn vẹn cho
một đơn vị dữ liệu hoặc một trường, một chuỗi các đơn vị dữ liệu hoặc các
trường.
Thông tin xác thực chẳng hạn như mật khẩu, các đặc điểm của thực thể,
chữ ký số, hoặc có thể áp dụng một kỹ thuật khác như chứng thực.
Đệm lưu lượng có thể chống lại các phân tích lưu lượng.
b) Cơ chế an toàn tỏa khắp
Các cơ chế này không xác định cho một dịch vụ an toàn cụ thể nào hay
một dịch vụ an toàn tổng quát, chúng liên quan trực tiếp đến mức an toàn được
yêu cầu. Các cơ chế an toàn tỏa khắp bao gồm:
14
Chức năng tin cậy có thể được sử dụng để mở rộng phạm vi hoặc thiết lập
hiệu lực của các cơ chế an toàn khác.
Nhãn an toàn có thể được sử dụng để chỉ ra mức độ nhạy cảm. Nhãn là
thông tin bổ sung vào dữ liệu được truyền đi hoặc có thể được ngầm định thông
qua việc sử dụng một khóa xác định để mã hóa dữ liệu.
Vết kiểm toán cho phép phát hiện và điều tra các lỗ hổng an toàn.
Ghi nhật ký cũng được xem là một cơ chế an toàn.
Khôi phục an toàn giải quyết các yêu cầu xuất phát từ cơ chế. Ví dụ, các
chức năng xử lý hoặc quản lý biến cố, và khôi phục được xem là kết quả của
việc áp dụng một tập các quy tắc.
c) Quản lý an toàn
An toàn cho tất cả chức năng quản lý hệ thống và mạng, truyền thông an
toàn đối với tất cả các thông tin quản lý thực sự quan trọng. Lĩnh vực quản lý an
toàn bao gồm:
Quản lý an toàn hệ thống là quản lý toàn bộ môi trường tính toán phân
tán, bao gồm duy trì và quản lý toàn bộ các chính sách an toàn của tổ chức, nó
tương tác với quản lý dịch vụ an toàn và quản lý cơ chế an toàn. Quản lý an toàn
hệ thống cũng liên quan đến quản lý kiểm toán an toàn và quản lý khôi phục an
toàn.
Quản lý dịch vụ an toàn là quản lý các dịch vụ an toàn xác định, đảm bảo
gọi đến các cơ chế an toàn xác định bằng cách sử dụng chức năng quản lý cơ
chế an toàn thích hợp.
Quản lý cơ chế an toàn là quản lý các cơ chế an toàn. Các chức năng quản
lý cơ chế an toàn bao gồm quản lý khoá, mã hoá, chữ ký số, kiểm soát truy nhập,
toàn vẹn dữ liệu, xác thực, đệm lưu lượng, kiểm soát định tuyến (routing control),
và chứng thực.
15
1.2. An toàn thông tin giao dịch điện tử trong cơ quan Nhà nước
Giao dịch điện tử trong cơ quan Nhà nước, đặc biệt là vấn đề tăng cường sử
dụng văn bản điện tử trong hoạt động của cơ quan Nhà nước đang là vấn đề đáng
quan tâm.
Giao dịch điện tử của cơ quan Nhà nước được chia ra thành ba loại hình:
Giao dịch điện tử trong nội bộ cơ quan Nhà nước, giao dịch điện tử giữa các cơ
quan Nhà nước với nhau và giao dịch điện tử giữa cơ quan Nhà nước với cơ
quan, tổ chức, cá nhân (Điều 39, Luật giao dịch điện tử số 50/2005/QH11).
1.2.1. Thực trạng và nguy cơ mất an toàn thông tin giao dịch điện tử trong
cơ quan Nhà nước và ở Sở Giáo dục và Đào tạo tỉnh Quảng Ninh
Hiện nay, hầu hết các cơ quan Nhà nước đã được trang bị cơ sở hạ tầng
công nghệ thông tin tương đối đồng bộ (được trang bị máy vi tính, kết nối mạng
cục bộ, mạng Internet, và có cán bộ tin học chuyên trách), đồng thời cán bộ công
chức đã được đào tạo qua lớp tin học văn phòng. Đây là yếu tố thúc đẩy nhanh
việc ứng dụng công nghệ thông tin phục vụ quản lý hành chính Nhà nước trong
tương lai.
Bên cạnh việc trang bị hạ tầng công nghệ thông tin đồng bộ và đào tạo đội
ngũ cán bộ sử dụng các ứng dụng tin học văn phòng, một số ứng dụng phần
mềm cũng được Chính phủ và các ngành đầu tư xây dựng, bước đầu đem lại
hiệu quả, góp phần đổi mới tác phong làm việc của cán bộ, nâng cao chất lượng
công tác chỉ đạo, điều hành tại đơn vị triển khai dự án.
Một số đơn vị đã từng bước ứng dụng hiệu quả các hệ thống thông tin hỗ
trợ chỉ đạo, điều hành, đặc biệt trong việc giới thiệu, tuyên truyền, công khai hóa
các thủ tục hành chính và các văn bản quy phạm pháp luật.
Tuy nhiên, việc đưa vào vận hành một số giao dịch điện tử trong hành
chính công vẫn chưa đạt hiệu quả cao, một phần do trình độ chuyên môn của
một bộ phận công chức và người dân chưa cao, nhưng lý do chính có tính quyết
định là chúng ta có môi trường pháp lý và hạ tầng kỹ thuật đảm bảo an toàn
thông tin trong giao dịch điện tử chưa hoàn thiện. Nếu không đảm bảo an toàn
16
thông tin trong giao dịch điện tử, thông tin giao dịch dễ bị đánh cắp, sửa đổi sẽ
gây ra những tổn hại lớn ở mức vĩ mô.
Thực trạng cho thấy nguy cơ mất an toàn thông tin giao dịch điện tử trong
cơ quan Nhà nước có thể xảy ra ở cả ba loại hình giao dịch điện tử. Có thể kể
đến một số nguy cơ mất an toàn thông tin giao dịch điện tử trong cơ quan Nhà
nước như:
Hệ thống thông tin điện tử của cơ quan Nhà nước trong quá trình giao
dịch điện tử không được đảm bảo an toàn, có thể bị lỗi.
Thông tin liên quan đến giao dịch điện tử trong cơ quan Nhà nước bị tiết
lộ hoặc sử dụng vào mục đích khác.
Cơ quan, tổ chức, cá nhân có hành vi gây hại đến sự toàn vẹn của thông
điệp dữ liệu, hoặc cung cấp, tiết lộ thông tin bí mật đời tư hoặc thông tin của cơ
quan, tổ chức, cá nhân mà mình tiếp cận hoặc kiểm soát được trong giao dịch
điện tử.
Các cơ quan, tổ chức, cá nhân trong giao dịch điện tử với cơ quan Nhà
nước không đề cao trách nhiệm của mình, hoặc không sử dụng các biện pháp
bảo đảm an ninh, an toàn phù hợp, không tuân thủ các quy định của Luật giao
dịch điện tử.
Tổ chức cung cấp dịch vụ mạng thiếu trách nhiệm trong việc phối hợp với
cơ quan quản lý thực hiện các biện pháp kỹ thuật để phòng ngừa, ngăn chặn việc
sử dụng dịch vụ mạng phát tán thông điệp dữ liệu có nội dung không phù hợp.
Các thành viên trong cơ quan Nhà nước, tổ chức thực hiện các hành vi trái
phép gây mất an ninh, an toàn thông điệp dữ liệu. Ví dụ: Truy nhập trái phép với
những quyền hạn không được phép, sao chép dữ liệu trái phép, phá hoại hệ
thống (phần cứng, hoặc phần mềm)…
Thực trạng giao dịch điện tử trong tại Sở Giáo dục và Đào tạo tỉnh
Quảng Ninh
- Hệ thống thư điện tử
+ Hệ thống thư điện tử: Hiện đang sử dụng 03 hệ thống thư điện tử công
17
vụ (xxx@ quangninh.edu.vn;
[email protected];
[email protected]). Hệ
thống thư điện tử công vụ xxx@ quangninh.edu.vn của Bộ được sử dụng cho
các đơn vị, tổ chức. CBCCVC và người lao động ngành giáo dục sử dụng hệ
thống thư điện tử xxx@ quangninh.edu.vn.
+ Số lượng CBCCVC được cấp và sử dụng hộp thư điện tử công vụ, tần
suất sử dụng hộp thư, việc cung cấp địa chi các hộp thư công vụ lên cổng thành
phần/website:
100% cán bộ, chuyên viên đã được cấp thư điện tử công vụ, nhưng hầu
hết đều đang sử dụng thư điện tử được Bộ, Sở GD&ĐT cung cấp từ trước (sử
dụng dịch vụ Google app)
+ Việc sử dụng các hộp thư điện tử công cộng, miễn phí (gmail,
yahoo…): Vẫn còn sử dụng trong công việc cá nhân.
- Hệ thống quản lý văn bản, Hệ thống một cửa điện tử:
Số lượng CBCCVC và người lao động đang sử dụng hệ thống quản lý
văn bản; đánh giá kết quả sử dụng năm 2015:
Sở GD&ĐT đã sử dụng phần mềm quản lý văn bản và hồ sơ công việc từ
năm 2009, 100% văn bản đi, đến đều được sử lý trên phần mềm. Dự kiến trong
năm 2016, Sở sẽ chuyển sang sử dụng hệ thống quản lý do Đề án chính quyển
điện tử triển khai
- Trang thông tin điện tử và cổng thông tin điện tử thành phần
Việc quản lý an toàn thông tin, quy chế kiểm duyệt thông tin xuất bản lên
cổng thông tin/trang thông tin điện tử của đơn vị: Sở GD&ĐT đã ban hành Quyết
định số 2751/QĐ-SGD&ĐT ngày 29/9/2014 về việc ban hành Quy chế tổ chức và
hoạt động của Ban biên tậpCổng thông tin điện tử thành phần Sở Giáo dục và Đào
tạo Quảng Ninh.
Nhu cầu bảo mật an toàn thông tin trong giao dịch điện tử tại Sở Giáo
dục và Đào tạo tỉnh Quảng Ninh
- Công tác bảo vệ bí mật nhà nước: Xây dựng và ban hành nội quy; Bố trí
máy tính không kết nối mạng để soạn thảo, lưu giữ văn bản mật.
18
- Cổng thông tin điện tử thành phần: Thường xuyên cập nhật thông tin
trên các chuyên mục của Cổng thông tin điện tử thành phần; Cập nhật ngay
những thông tin về CBCCVC khi có thay đổi chức danh, nhiệm vụ...
- Hệ thống máy tính:
+ Rà soát cấu hình máy chủ, mã nguồn website, gỡ bỏ mã độc backdoor
tại máy chủ cài đặt website. Một số máy chủ cần cập nhật bản vá hệ điều hành.
+ Xóa bản gõ tiếng việt đang sử dụng và cập nhật bản gõ tiếng việt tại
trang thông tin điện tử chính thống là unikey.vn.
+ Không sử dụng tài khoản quản trị (administrator) tại máy chủ và máy
trạm.
+ Cần kiểm tra đánh giá hệ thống mạng thường kỳ thông qua các công cụ
đánh giá chuyên dụng, chuyên gia.
+ Thường xuyên cập nhật bản vá bảo mật hệ điều hành và máy trạm.
+ Sớm có giải pháp quản lý các thiết bị cá nhân như smartphone, máy tính
bảng khi sử dụng chung trong hạ tầng mạng.
+ Sớm phân định giữa mạng không dây nội bộ và mạng không dây dành
cho khách truy cập.
- Thống nhất sử dụng một phần mềm quản lý văn bản. Ban hành quy định
về việc gửi, nhận và lưu trữ văn bản đầy đủ, gọn gàng nhất.
- Sở Giáo dục và Đào tạo cần thiết phải sử dụng một hệ thống thư công vụ
(xxx@ quangninh.edu.vn;
[email protected];
[email protected]).
Do vậy, để xây dựng và triển khai rộng rãi đạt được hiệu quả cao trong
việc áp dụng công nghệ thông tin và truyền thông trong các giao dịch điện tử đòi
hỏi phải xây dựng hạ tầng kỹ thuật đảm bảo an toàn thông tin trong giao dịch.
1.2.2. Giải pháp đảm bảo an toàn thông tin giao dịch điện tử trong cơ quan
Nhà nước
1.2.2.1. Làm thế nào để đảm bảo an toàn thông tin giao dịch điện tử trong cơ
quan Nhà nước
19
Vấn đề bảo đảm an toàn thông tin giao dịch điện tử trong cơ quan Nhà
nước, nhìn nhận một cách toàn diện, thực sự là một vấn đề phức tạp và bao hàm
nhiều khía cạnh, muốn đạt hiệu quả thiết thực và tiết kiệm cần phải “biết cách
bảo vệ để chống lại sự tấn công tiềm ẩn”. Bởi vậy, nó phải là tổng hợp các giải
pháp của hạ tầng cơ sở bảo mật. Đó là:
Về mặt pháp lý và tổ chức: Trước hết phải xây dựng chính sách an toàn
thông tin cho giao dịch điện tử nhằm tạo sự rõ ràng và có thể tiên liệu được,
phản ánh được sự cân bằng quyền lợi của các chủ thể tham gia giao dịch điện tử
, quan tâm tính riêng tư và an toàn xã hội, bảo đảm sự thi hành pháp luật và lợi
ích an ninh quốc gia. Ban hành các văn bản quy phạm pháp luật cần thiết, tiêu
chuẩn mật mã và chữ ký điện tử sử dụng trong giao dịch điện tử, giải quyết
khiếu nại và tố cáo khi có sự tranh chấp liên quan đến sử dụng mật mã. Tổ chức
các cơ quan chứng nhận, cấp phép, quản lý và phân phối sản phẩm mật mã, phản
ứng giải quyết sự cố, thanh tra và kiểm tra, vấn đề lưu trữ và phục hồi khoá…
Đối với các kỹ thuật an toàn, vấn đề đặt ra là kỹ thuật nào được chấp nhận
để đảm bảo an toàn thông tin trong giao dịch điện tử như công nghệ mã hóa đối
xứng, mã hóa phi đối xứng, công nghệ chữ ký số… Công nhận về mặt pháp lý
các kỹ thuật an toàn được chấp nhận. Ví dụ: Văn bản pháp quy về chữ ký ký
điện tử (Electronic signature) nói chung và về chữ ký số (Digital signature) nói
riêng.
Đối với các dịch vụ an toàn, vấn đề đặt ra là: Ai được phép cung cấp dịch
vụ, được phép đến mức nào… Ví dụ: Có cho phép các tổ chức tư nhân hoặc
nước ngoài cung cấp dịch vụ xác thực không, ai được phép cung cấp các dịch vụ
mã hóa?...
Đối với các cơ chế quản lý an toàn, vấn đề đặt ra là: Ai quản lý, quản lý
đến mức nào và quản lý như thế nào các dịch vụ và cơ chế an toàn. Ví dụ: Dịch
vụ xác thực (có cần quản lý không, ai quản lý và quy trình cấp phép cung cấp
dịch vụ), xuất/nhập khẩu kỹ thuật và thiết bị mã hóa (ai quản lý và quản lý đến
mức nào)...
20
Về mặt kỹ thuật: Quy định thống nhất tiêu chuẩn cấu trúc thiết lập hệ
thống mạng và sử dụng công nghệ, ngôn ngữ giao tiếp và phần mềm ứng dụng,
tổ chức hệ thống chứng thực và phân phối khóa mã, các công cụ nghiệp vụ kỹ
thuật kiểm tra và phát hiện xâm nhập. Các giải pháp dự phòng, khắc phục sự cố
xảy ra đối với kỹ thuật mật mã sử dụng trong giao dịch điện tử...
Về phía người sử dụng (tổ chức, cá nhân): Trước hết họ phải được “giác
ngộ” về an toàn thông tin trong giao dịch điện tử, có kiến thức về an toàn thông
tin, đồng thời họ cần biết phải bảo vệ cái gì trong hệ thống của họ, việc mở rộng
mạng của mình trong tương lai giúp họ có ý thức đầu tư bảo mật cho hệ thống
của họ ngay từ khi bắt đầu xây dựng, chấp nhận và chấp hành chính sách và các
quy định pháp luật về sử dụng mật mã, và phải chịu trách nhiệm trước pháp luật
về bảo vệ bí mật quốc gia trong quá trình xử lý và truyền tải thông tin trong giao
dịch điện tử. Kết hợp với sự quản lý chặt chẽ giữa các tổ chức và các cá nhân
trong việc sử dụng và truyền tải các thông tin giao dịch điện tử.
1.2.2.2. Một số giải pháp đảm bảo an toàn thông tin điện tử trong cơ quan Nhà nước
Hiện nay, cùng với nhu cầu của người sử dụng Inernet tăng cao thì vấn đề
giao dịch điện tử cũng phát triển một cách mạnh mẽ trên toàn thế giới. Cùng với
những lợi ích mà giao dịch điện tử đem lại cho mỗi quốc gia như sự phát triển
kinh tế, tiếp cận những tri thức mới, thúc đẩy phát triển công nghệ thông tin thì
giao dịch điện tử cũng đem đến nhiều vấn đề bất cập. Một trong những vấn đề
đó là đảm bảo an toàn cho giao dịch điện tử, đảm bảo quyền lợi cho người tham
gia và an ninh quốc gia.
Để đảm bảo an toàn thông tin giao dịch điện tử trong cơ quan Nhà nước,
một số mô hình bảo mật hệ thống thông tin tổng thể cũng như các giải pháp bảo
mật thông tin trên hệ điều hành mã nguồn mở đã được đề xuất như :
Giải pháp kiểm soát truy nhập hệ thống theo mô hình truy nhập một
lần.
Giải pháp bảo mật thư điện tử.
Giải pháp bảo mật và xác thực web.
.PDF 
86 
113 
63 
