ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN THỊ HẰNG NGHIÊN CỨU BÀI TOÁN AN TOÀN THÔNG TIN CHO DOANH NGHIỆP VỪA VÀ NHỎ LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN Hà Nội - 2017 Hà Nội - 2017 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN THỊ HẰNG NGHIÊN CỨU BÀI TOÁN AN TOÀN THÔNG TIN CHO DOANH NGHIỆP VỪA VÀ NHỎ Ngành: Công nghệ thông tin Chuyên ngành: Quản lý Hệ thống thông tin Mã số: Chuyên ngành đào tạo thí điểm LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN NGƯỜI HƯỚNG DẪN KHOA HỌC: TS LÊ PHÊ ĐÔ TS PHÙNG VĂN ỔN Hà Nội - 2017 LỜI CÁM ƠN Đầu tiên, xin bày tỏ lòng biết ơn sâu sắc tới hai thầy hướng dẫn Tiến sĩ Lê Phê Đô Tiến sĩ Phùng Văn Ổn tận tâm, tận lực hướng dẫn, định hướng phương pháp nghiên cứu khoa học cho tôi; đồng thời cung cấp nhiều tài liệu tạo điều kiện thuận lợi suốt trình học tập, nghiên cứu để hoàn thành luận văn Tôi xin chân thành cảm ơn thầy cô giáo Bộ môn Hệ thống thông tin Khoa Công nghệ thông tin, trường Đại học Công nghệ - Đại học Quốc gia Hà Nội nhiệt tình giảng dạy, truyền đạt kiến thức, kinh nghiệm quý báu suốt thời gian học tập trường Cuối cùng, xin gửi lời cảm ơn tới gia đình, bạn bè đồng nghiệp quan tâm, ủng hộ động viên, giúp có nghị lực phấn đấu để hoàn thành tốt luận văn Hà Nội, tháng năm 2017 Học viên thực luận văn Nguyễn Thị Hằng iii LỜI CAM ĐOAN Luận văn thạc sĩ đánh dấu cho thành quả, kiến thức tiếp thu suốt trình rèn luyện, học tập trường Tôi xin cam đoan luận văn hoàn thành trình học tập nghiên cứu hướng dẫn khoa học hai thầy giáo, TS Lê Phê Đô TS Phùng Văn Ổn Nội dung trình bày luận văn cá nhân tổng hợp từ nhiều nguồn tài liệu tham khảo khác có xuất xứ rõ ràng trích dẫn hợp pháp Tôi xin hoàn toàn chịu trách nhiệm chịu hình thức kỷ luật theo quy định cho lời cam đoan Hà Nội, tháng năm 2017 Người cam đoan Nguyễn Thị Hằng iv MỤC LỤC LỜI CÁM ƠN iii LỜI CAM ĐOAN iv MỤC LỤC v DANH SÁCH CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT vii DANH MỤC CÁC HÌNH VẼ viii DANH MỤC CÁC BẢNG xi MỞ ĐẦU CHƯƠNG 1: BÀI TOÁN AN TOÀN THÔNG TIN CHO DNVVN 1.1 Cơ sở lý luận an toàn thông tin 1.1.1 An toàn thông tin 1.1.2 Tấn công luồng thông tin mạng 1.1.3 Phân loại kiểu công luồng thông tin mạng 1.2 Thực trạng ATTT DNVVN 1.2.1 Đặc điểm hệ thống thông tin DNVVN 1.2.2 Thực trạng ATTT giới 10 1.2.3 Thực trạng ATTT doanh nghiệp Việt Nam 12 1.3 Bài toán an toàn thông tin cho DNVVN 14 1.3.1 Các nguy ATTT DNVVN 14 1.3.2 Những tổn thất DNVVN trước nguy ATTT 16 1.3.3 Danh mục tài sản thông tin DNVVN cần bảo vệ 16 CHƯƠNG 2: CÁC HỆ MẬT MÃ ĐẢM BẢO ATTT ĐƯỢC DÙNG PHỔ BIẾN HIỆN NAY 19 2.1 Tổng quan hệ mật mã 19 2.1.1 Định nghĩa 19 2.1.2 Phân loại hệ mật mã 19 2.1.3 Một số khái niệm sử dụng mật mã 20 2.2 Hệ mật AES 20 2.2.1 Giới thiệu 20 2.2.2 Thuật toán 20 2.2.3 Đánh giá 27 2.3 Hệ mật RC4 27 2.3.1 Giới thiệu 27 2.3.2 Thuật toán 28 2.3.3 Đánh giá 29 2.4 Hệ mã hóa RC5 29 2.4.1 Giới thiệu 29 2.4.2 Thuật toán 29 2.4.3 Đánh giá 32 2.5 Hệ mã hóa RC6 32 2.5.1 Giới thiệu 32 2.5.2 Thuật toán 32 2.5.3 Đánh giá 35 2.6 Hệ mật RSA 35 v 2.6.1 Giới thiệu 35 2.6.2 Thuật toán 36 2.5.3 Đánh giá 38 CHƯƠNG 3: MỘT SỐ GIẢI PHÁP ĐẢM BẢO ATTT CHO CÁC DNVVN 39 3.1 Nhóm giải pháp Quản lý ATTT 39 3.1.1 Thiết lập hệ thống quản lý ATTT cho DNVVN theo tiêu chuẩn ISO 39 3.1.2 Đánh giá rủi ro ATTT 45 3.1.3 Chính sách phòng chống virus 45 3.1.4 Chính sách lưu phục hồi 46 3.2 Nhóm giải pháp công nghệ 46 3.2.1 Mã hóa liệu lưu trữ 46 3.2.2 Phòng chống công website 48 3.2.3 Sử dụng chữ ký số giao dịch điện tử 49 3.2.4 Xây dựng hệ thống mạng an toàn 52 3.3 Các biện pháp giảm nhẹ rủi ro ATTT cho DNVVN 54 3.3.1 Vai trò giảm nhẹ rủi ro ATTT 54 3.3.2 Kiểm soát kiểm định 55 3.3.3 Đánh giá quy trình ATTT 57 3.4 Ứng phó cố ATTT 57 CHƯƠNG 4: CÀI ĐẶT VÀ THỬ NGHIỆM CHỮ KÝ SỐ ĐẢM BẢO ATTT TRONG VIỆC KÝ KẾT HỢP ĐỒNG ĐIỆN TỬ CỦA DNVVN 62 4.1 Tổng quan hợp đồng điện tử 62 4.1.1 Khái niệm 62 4.1.2 Một số hợp đồng điện tử 62 4.1.3 Lợi ích hợp đồng điện tử 63 4.1.4 Một số điểm cần lưu ý ký kết thực hợp đồng điện tử 63 4.2 Quy trình để ký kết hợp đồng điện tử có sử dụng chữ ký số 64 4.2.1 Những khía cạnh cần thiết an toàn thông tin 64 4.2.2 Cài đặt thử nghiệm 66 KẾT LUẬN 71 TÀI LIỆU THAM KHẢO 72 vi DANH SÁCH CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT TT VIẾT TẮT TIẾNG ANH TIẾNG VIỆT AES Advanced Encryption Standard Chuẩn mã hoá tiên tiến ATTT Information Security An toàn thông tin CA Certification Authority Tổ chức chứng nhận CIA Confidentiality, Integrity, Availability Bộ ba tính bí mật, toàn vẹn, sẵn sàng CNTT Information Technology Công nghệ thông tin DES Data Encryption Standard Chuẩn mã hoá liệu DNVVN Small and Medium Enterprise Doanh nghiệp vừa nhỏ HTTT Information System Hệ thống thông tin RA Registration Authority Tổ chức đăng ký 10 RSA Rivest, Shamir, & Adleman Thuật toán mật mã khoá công khai 11 IP Internet Protocol Address Địa IP máy tính 12 IPS Intrusion Prevention Systems Hệ thống ngăn ngừa xâm nhập 13 ISMS Information Security Management System Hệ thống quản lý an toàn thông tin 14 TMĐT E-commerce Thương mại điện tử vii DANH MỤC CÁC HÌNH VẼ Hình 1 Đặc tính an toàn thông tin Hình Mô hình công luồng thông tin Hình Phân loại kiểu công luồng thông tin mạng Hình Tỷ lệ máy tính doanh nghiệp Hình Tỷ lệ ứng dụng phần mềm DNVVN .7 Hình Tỷ lệ DNVVN có cán chuyên trách CNTT qua năm .8 Hình Tỷ lệ doanh nghiệp có cán chuyên trách CNTT TMĐT theo lĩnh vực kinh doanh .8 Hình Khó khăn việc tuyển dụng nhân có kỹ CNTT TMĐT .9 Hình Cơ cấu chi phí cho hạ tầng công nghệ thông tin Hình 10 Tình hình công mạng giới năm 2016 11 Hình 11 Chỉ số ATTT qua năm 12 Hình Quá trình mã hoá giải mã .19 Hình 2 AddRoundKey 23 Hình SubBytes .23 Hình ShiftRows .24 Hình MixColumns 24 Hình Quy trình giải mã AES 26 Hình Sơ đồ tạo gama hệ mật RC4 27 Hình Sơ đồ khối trình mã hóa giải mã RC5 .31 Hình Cấp bậc quản lý ATTT 44 Hình Minh họa chữ ký số bên gửi cho thông báo M 50 Hình 3 Ký văn 51 Hình Xác thực chữ ký 51 Hình Mô hình Kiosk 53 Hình Mô hình Office-Internet .53 Hình Mô hình Office-DMZ-Internet .54 Hình Mô hình Office-MultiDMZ-Internet 54 Hình Đánh giá quy trình ATTT theo giai đoạn .57 Hình 10 Các bước ứng phó với cố ATTT .58 Hình Vai trò xác thực người dùng 64 Hình Sơ đồ trình ký số hợp đồng điện tử 65 Hình Mẫu hợp đồng .69 Hình 4 Tạo cặp khóa RSA cho người dùng 69 Hình Ký hợp đồng chữ ký điện tử 70 Hình Quá trình kiểm tra chữ ký .70 viii DANH MỤC CÁC BẢNG Bảng 1 Phân loại tài sản thông tin quan trọng dựa đặc tính .18 Bảng Bảng số mở rộng Rcon AES – 128 .22 Bảng 2 Bảng khóa mở rộng AES – 128 22 Bảng Mối liên hệ Nk, Nb Nr 22 Bảng Các thành phần sách ATTT 42 xi MỞ ĐẦU Tính cấp thiết đề tài Trong kinh tế tri thức, thông tin trở thành vấn đề sống lĩnh vực đời sống kinh tế - xã hội đặc biệt quản lý kinh tế, định thành bại doanh nghiệp thương trường họ biết sử dụng cho đạt hiệu Ứng dụng CNTT giúp doanh nghiệp nắm bắt thông tin cách xác kịp thời, đầy đủ, góp phần nâng cao hiệu kinh doanh, sức cạnh tranh với thị trường nước Tuy nhiên, với phát triển nhanh chóng lĩnh vực công nghệ nguy an toàn thông tin vấn đề thiết doanh nghiệp gần xảy nhiều công mạng, công hacker với mức độ hậu nghiêm trọng Theo số liệu phòng Công nghiệp Thương mại Việt Nam, lực lượng doanh nghiệp vừa nhỏ Việt Nam chiếm gần 98% tổng số doanh nghiệp nước, phát triển đa dạng ngành nghề, lĩnh vực Mỗi ngành nghề, lĩnh vực đòi hỏi thông tin cần phải bảo mật, xác thực toàn vẹn Bảo đảm an toàn thông tin vừa giúp doanh nghiệp phát triển, vừa giúp doanh nghiệp có hình ảnh uy tín, bên đối tác đánh giá tin tưởng hợp tác Xuất phát từ thực tế đó, học viên chọn đề tài “Nghiên cứu toán an toàn thông tin cho doanh nghiệp vừa nhỏ” làm luận văn thạc sĩ nhằm góp phần giúp DNVVN có thêm số giải pháp quản lý, bảo vệ thông tin an toàn, hiệu Mục tiêu nghiên cứu Trên sở làm rõ vấn đề lý luận thực tiễn an toàn thông tin số; sau phân tích đặc điểm hệ thống thông tin DNVVN, thực trạng an toàn thông tin giới Việt Nam, học viên tìm hiểu số hệ mật mã đảm bảo an toàn thông tin sử dụng phổ biến, đề xuất số giải pháp giúp DNVVN đảm bảo an toàn thông tin; đáp ứng yêu cầu doanh nghiệp Việt Nam hội nhập ngày sâu rộng thành công vào kinh tế khu vực giới Nội dung nghiên cứu Ngoài phần mở đầu kết luận, nội dung luận văn bao gồm: Chương 1: Bài toán an toàn thông tin cho DNVVN Chương 2: Các hệ mật mã đảm bảo an toàn thông tin dùng phổ biến Chương 3: Một số giải pháp đảm bảo an toàn thông tin cho DNVVN Chương 4: Cài đặt thử nghiệm chữ ký số đảm bảo ATTT việc ký kết hợp đồng điện tử cho DNVVN Có bước ứng phó cố ATTT cho doanh nghiệp sau[10]: Chuẩn bị Sự cố xảy Phát Ngăn chặn Xóa bỏ Phục hồi Theo dõi Hình 10 Các bước ứng phó với cố ATTT 3.4.1 Chuẩn bị Ở bước doanh nghiệp cần lập kế hoạch giải cố cách tối ưu nhằm đảm bảo chất lượng thời gian giải quyết, nội dung kế hoạch cần tập trung vào vấn đề sau: - Xác định sách ATTT doanh nghiệp, đảm bảo kế hoạch giải cố phù hợp với sách - Xác định vai trò trách nhiệm phận, nhân viên tham gia vào trình xử lý cố ATTT - Thiết lập danh sách tài sản/dịch vụ thông tin, mức độ ưu tiền cần phải giải xác lập thời gian giải - Thiết lập báo cáo, quy trình, thủ tục trả lời cố Các thủ tục thông báo cho tất nhân viên công ty, bao gồm nhân viên quản lý, để tham khảo tuân thủ - Lập chiến lược lưu liệu - Thực đào tạo nhân viên, đảm bảo tất cán quản lý nhân viên có liên quan có khả xử lý cố ATTT - Tuyên truyền cho người sử dụng cảnh báo khẩn cấp địa nghi ngờ Thiết lập chế đồng hóa theo thời gian hệ thống cho hệ thống máy tính Thiết lập chế theo dõi, báo động cho hệ thống máy tính, chẳng hạn cài đặt hệ thống chống xâm nhập, chống vi rút, công cụ lọc nội dung,… 3.4.2 Phát Khi phát cố ATTT, doanh nghiệp nên dành thời gian để đánh giá cố, tìm hiểu trước đưa kết luận, đồng thời theo dõi biểu bất thường như: thông báo lỗi, ghi đáng ngờ,… - Xác định vấn đề mức độ ảnh hưởng - Bắt đầu ghi chép cố theo mẫu chuẩn bị 58 - Thực lưu toàn hệ thống bị xâm nhập phát cố lưu trữ nơi an toàn - Thiết lập hồ sơ cố: nhật ký, sổ sách, vv 3.4.3 Ngăn chặn Các hoạt động giai đoạn bao gồm: - Tiến hành đánh giá tác động cố liệu thông tin hệ thống để xác định liệu có liên quan, thông tin bị hư hỏng hay bị nhiễm; - Thực bảo vệ thông tin hệ thống nhạy cảm quan trọng cách di chuyển thông tin quan trọng đến các hệ thống khác đảm bảo hệ thống tách khỏi hệ thống bị xâm nhập; - Xác định tình trạng hoạt động hệ thống bị xâm nhập; - Lưu trữ lại hình ảnh hệ thống bị xâm nhập cho mục đích điều tra làm chứng; - Ghi chép tất hành động thực giai đoạn này; - Kiểm tra toàn hệ thống liên quan đến hệ thống bị xâm nhập thông qua dịch vụ dựa thông tin chia sẻ qua mối quan hệ tin tưởng Một định quan trọng cần thực có nên tiếp tục hay đình hoạt động dịch vụ hệ thống bị xâm nhập hay không Điều phụ thuộc vào loại mức độ nghiêm trọng cố tác động đến hình ảnh công ty Những hành động cần thực bao gồm: - Tắt tạm ngừng hoạt động máy chủ hay hệ thống bị xâm nhập để ngăn ngừa hư hỏng cho hệ thống kết nối khác; - Tắt số chức hệ thống; - Loại bỏ quyền truy cập người dùng đăng nhập vào hệ thống; - Trong trường hợp cố không nghiêm trọng, tiếp tục trì hoạt động hệ thống phải xử lý cẩn thận theo dõi chặt chẽ để thu thập chứng cho vụ việc 3.4.4 Xóa bỏ Mục đích giai đoạn loại bỏ giảm nhẹ nguyên nhân cố ATTT Trong giai đoạn này, hành động sau cần thực tùy thuộc vào mức độ, tính chất cố yêu cầu hệ thống: - Ngừng xóa tất quy trình hoạt động hacker - Xoá tất tệp tin giả mạo hacker tạo Có thể phải lưu trữ tập tin giả mạo trước xóa để điều tra cố - Loại bỏ tất backdoor chương trình độc hại hacker cài đặt 59 - Áp dụng vá lỗi cho lỗ hổng tất hệ điều hành, máy chủ thiết bị mạng,…Các vá lỗi sửa lỗi áp dụng cần kiểm tra kỹ lưỡng trước đưa hệ thống trở lại hoạt động bình thường - Chỉnh sửa cài đặt không phù hợp hệ thống mạng, ví dụ: Cấu hình sai tường lửa router - Trong trường hợp xảy cố nhiễm vi rút, cần phải diệt toàn vi rút từ hệ thống bị nhiễm Cần đảm bảo lưu diệt vi rút có biện pháp tái nhiễm giai đoạn sau khôi phục hệ thống - Sử dụng số công cụ bảo mật nhằm hỗ trợ trình loại bỏ, ví dụ công cụ quét an toàn để phát xâm nhập nào, công cụ phải cập nhật phiên - Cập nhật mật truy cập tất tài khoản đăng nhập Trong số trường hợp, phận xử lý cố phải định dạng cài đặt lại hệ thống, đặc biệt họ không chắn mức độ thiệt hại khó để làm hoàn toàn Hệ thống 3.4.5 Phục hồi Mục đích giai đoạn khôi phục hệ thống hoạt động bình thường, số nhiệm vụ cần thực sau: - Đánh giá thiệt hại sau cố - Cài đặt lại tập tin bị xóa/hư hỏng toàn hệ thống - Sắp xếp ứng dụng/dịch vụ trở lại hoạt động theo giai đoạn, cách có kiểm soát, xếp ưu tiên theo thứ tự nhu cầu như: Các dịch vụ thiết yếu dịch vụ phục vụ nhiều người - Xác minh hoạt động khôi phục thành công hệ thống trở lại hoạt động bình thường - Thông báo cho tất bên liên quan: người điều hành, quản trị viên, quản lý cấp cao, bên khác liên quan việc khôi phục lại hoạt động hệ thống - Tắt dịch vụ không cần thiết - Lưu giữ ghi tất hành động thực - Lưu ý: trước đưa hệ thống trở lại hoạt động bình thường, cần tiến hành kiểm tra an toàn đảm bảo hệ thống thành phần liên quan đảm bảo 3.4.6 Theo dõi Mục tiêu giai đoạn rút học từ cố, việc theo dõi nên bắt đầu sớm tốt, nhiệm vụ cần thực bao gồm: - Tiến hành phân tích sau cố để cải tiến biện pháp phòng tránh: + Kiểm tra toàn cấu hình hệ thống + Kiểm tra cần thiết phải đào tạo người dùng 60 + Xác định xem cố có cần phải có hành động mạng tính pháp lý hay không - Mời bên liên quan tham gia bình luận phân tích cố: báo cáo họp với đề xuất cải tiến biện pháp phòng tránh cần soạn lập gửi tới ban điều hành công ty - Ban điều hành công ty nên đánh giá báo cáo lựa chọn khuyến nghị để cải tiến thực Những người báo cáo cố người tham gia khắc phục cố thành công khen thưởng 61 CHƯƠNG 4: CÀI ĐẶT VÀ THỬ NGHIỆM CHỮ KÝ SỐ ĐẢM BẢO ATTT TRONG VIỆC KÝ KẾT HỢP ĐỒNG ĐIỆN TỬ CỦA DNVVN 4.1 Tổng quan hợp đồng điện tử 4.1.1 Khái niệm Theo Điều 11, mục 1, Luật mẫu Thương mại điện tử UNCITRAL 1996: “Hợp đồng điện tử hiểu hợp đồng hình thành thông qua việc sử dụng thông điệp liệu” Theo Luật giao dịch điện tử Việt Nam 2005: “Hợp đồng điện tử hợp đồng thiết lập dạng thông điệp liệu theo quy định Luật này” Thông điệp liệu: “Thông tin tạo ra, gửi đi, đuợc nhận lưu trữ phương tiện điện tử” Các hình thức thể thông điệp liệu: Thông điệp liệu thể dạng hình thức trao đổi liệu điện tử, chứng từ điện tử, thư điện tử, điện tín, điện báo, fax hình thức tương tự khác (webpage, file âm thanh, file văn bản…)[2] 4.1.2 Một số hợp đồng điện tử Hợp đồng truyền thống đưa lên web Một số hợp đồng truyền thống sử dụng thường xuyên chuẩn hóa nội dung, bên soạn thảo đưa lên website để bên tham gia ký kết Hợp đồng điện tử loại thường sử dụng số lĩnh vực dịch vụ viễn thông, internet, điện thoại, du lịch, vận tải, bảo hiểm, tài chính, ngân hàng… Các hợp đồng đưa toàn nội dung lên web phía thường có nút “Đồng ý” “Không đồng ý” để bên tham gia lựa chọn xác nhận đồng ý với điều khoản hợp đồng Hợp đồng điện tử hình thành qua giao dịch tự động Ở hình thức nội dung hợp đồng không soạn sẵn mà hình thành giao dịch tự động Máy tính tự tổng hợp nội dung xử lý trình giao dịch dựa thông tin người mua nhập vào Một số giao dịch điện tử kết thúc hợp đồng, số khác kết thúc đơn đặt hàng điện tử, cuối trình giao dịch, hợp đồng điện tử tổng hợp hiển thị để người mua xác nhận đồng ý với nội dung hợp đồng Sau đó, người bán thông báo hợp đồng gửi xác nhận hợp đồng đến người mua qua nhiều hình thức, email phương thức khác điện thoại, fax… Hợp đồng hình thành qua nhiều giao dịch email Đây hình thức hợp đồng điện tử sử dụng phổ biến giao dịch điện tử doanh nghiệp với doanh nghiệp (B2B), đặc biệt giao dịch thương mại điện tử quốc tế Trong hình thức này, bên sử dụng thư điện tử để tiến hành giao dịch, bước phổ biến thường bao gồm: chào hàng, hỏi hàng, đàm phán 62 điều khoản hợp đồng quy cách phẩm chất, giá cả, số lượng, điều kiện sở giao hàng… Hợp đồng điện tử sử dụng chữ ký số Đặc điểm bật bên phải có chữ ký số để ký vào thông điệp liệu trình giao dịch Chính có sử dụng chữ ký số nên loại hợp đồng điện tử có độ bảo mật ràng buộc trách nhiệm bên cao hình thức 4.1.3 Lợi ích hợp đồng điện tử Thứ nhất, hợp đồng điện tử giúp bên tiết kiệm thời gian, chi phí giao dịch, đàm phán ký kết hợp đồng Thứ hai, sử dụng hợp đồng điện tử giúp doanh nghiệp giảm chi phí bán hàng Thứ ba, sử dụng hợp đồng điện tử giúp trình giao dịch, mua bán nhanh xác Thứ tư, sử dụng hợp đồng điện tử giúp doanh nghiệp nâng cao lực cạnh tranh khả hội nhập kinh tế quốc tế Hợp đồng điện tử không đem lại lợi ích cho nhà sản xuất mà đem lại nhiều lợi ích cho công ty thương mại 4.1.4 Một số điểm cần lưu ý ký kết thực hợp đồng điện tử Những hợp đồng ký dạng liệu điện tử ? - Điều 24 Luật thương mại 2005: quy định HĐ mua bán hàng hóa thể văn bản, lời nói, hành vi - Điều 27: Quy định HĐ mua bán hàng hóa quốc tế phải thực sở hợp đồng văn hình thức khác có giá trị tương đương - Điều12 Luật giao dịch điện tử: Trường hợp pháp luật yêu cầu thông tin phải thể văn thông điệp liệu xem đáp ứng yêu cầu thông tin chứa thông điệp liệu truy cập sử dụng để tham chiếu cần thiết Giá trị tương đương gốc Hợp đồng điện tử forward (gửi chuyển tiếp) vào hộp thư điện tử chuyên dùng để lưu trữ có giá trị gốc hay không? Điều 15 Lưu trữ thông điệp liệu - Nội dung thông điệp liệu truy cập sử dụng để tham chiếu cần thiết; - Nội dung thông điệp liệu lưu khuôn dạng mà khởi tạo, gửi, nhận khuôn dạng cho phép thể xác nội dung liệu đó; - Thông điệp liệu lưu trữ theo cách thức định cho phép xác định nguồn gốc khởi tạo, nơi đến, ngày gửi nhận thông điệp liệu 63 4.2 Quy trình để ký kết hợp đồng điện tử có sử dụng chữ ký số 4.2.1 Những khía cạnh cần thiết an toàn thông tin Các yêu cầu giao dịch thương mại điện tử nói chung hợp đồng điện tử nói riêng gồm: • Đảm bảo tính bí mật: tính bí mật nội dung thông điệp truyền thực mã hóa trước gửi • Đảm bảo tính toàn vẹn nguồn gốc người gửi thông điệp: thực nhờ chữ ký số dựa mã hóa khóa công khai Hình Vai trò xác thực người dùng Trong trình ký kết hợp đồng điện tử, việc truyền thông điệp đảm bảo an toàn qua việc mô tả trình ký kiểm tra chữ ký chương trình sau: 64 Hình Sơ đồ trình ký số hợp đồng điện tử 65 4.2.1.1 Quá trình ký gửi hợp đồng - Bên gửi soạn thảo hợp đồng, sau chương trình sử dụng hàm băm SHA256 để mã hóa thành chuỗi ký tự dài 256 bit gọi tóm lược Quy trình gọi quy trình rút gọn hợp đồng (Hash-Value) - Sử dụng thuật toán RSA để mã hóa khóa mật (private key) tóm lược chữ ký điện tử - Kết hợp hợp đồng với chữ ký điện tử thành thông điệp ký gửi cho người nhận 4.2.1.2 Quá trình nhận hợp đồng Sau bên nhận đăng nhập vào hệ thống thực việc nhận tệp văn bản, hệ thống tách thông điệp ký thành file chữ ký điện tử Đến giai đoạn có trình kiểm tra : a Kiểm tra file có người gửi hay không? - Chương trình sử dụng thuật toán RSA để giải mã chữ ký điện tử khóa công khai người gửi - Nếu giải mã không file nhận không người gửi - Nếu giải mã thành công file nhận người gửi có Bản tóm lược b Kiểm tra file có bị thay đổi hay không? - Từ file tách ra, chương trình sử dụng hàm băm SHA256 mã hóa thành Bản tóm lược - Kiểm tra Bản tóm lược Bản tóm lược có giống hay không? Nếu giống file nhận vẹn toàn (không bị thay đổi hay tác động), ngược lại file bị thay đổi 4.2.2 Cài đặt thử nghiệm 4.2.2.1 Xây dựng chương trình Chương trình xây dựng ngôn ngữ lập trình C#, sử dụng hàm băm SHA256 hệ mật RSA Hàm băm SHA256 hàm băm phù hợp với tiêu chuẩn quốc gia Việt Nam chữ ký số (TCVN 7635:2007) SHA-256 sử dụng để băm thông điệp M có chiều dài l bit với ≤ l 64 < Thuật toán sử dụng thông điệp lịch trình với 64 chữ 32-bit, biến làm việc với 32 bit mối biến giá trị băm với chữ 32-bit Kết cuối SHA-256 thông điệp tóm lược 256-bit Các chữ thông điệp lịch trình gắn nhãn W0, W1,…, W63 Tám biến làm (𝑖) việc dán nhãn a, b, c, d, e, f, g h Các chữ giá trị băm dán nhãn 𝐻0 , (𝑖) (𝑖) 𝐻1 , … , 𝐻7 để giữ lại giá trị băm ban đầu H(0) thay giá trị băm trung 66 gian liên tiếp (sau khối thông điệp xử lý) H(i) kết thúc với giá trị băm cuối H(N) SHA-256 sử dụng hai chữ tạm thời T1 T2 Giá trị băm ban đầu H(0) gồm chữ 32-bit, hex sau: H_0^((0)) = c1059ed8 H_0^((0)) = 6a09e667 H_1^((0)) = bb67ae85 H_2^((0)) = 3c6ef372 H_3^((0)) = a54ff53a H_4^((0)) = 510e527f H_5^((0)) = 9b05688c H_6^((0)) = 1f83d9ab H_7^((0)) = 5be0cd19 Thuật toán băm SHA256 Phép cộng (+) thực theo modulo 232 Mỗi khối thông điệp M(1), M(2),…, M(N) xử lý theo thứ tự theo bước sau : For i=1 to N: { Chuẩn bị thông điệp lịch trình {Wt} : (𝑖) W𝑡 = { 𝑀𝑡 ≤ 𝑡 ≤ 15 {256} (𝑊𝑡−2 ) 𝜎1 {256} (𝑊𝑡−15 ) 𝜎0 + 𝑊𝑡−7 + + 𝑊𝑡−16 15 ≤ 𝑡 ≤ 63 st Khởi tạo tám biến làm việc a, b, c, d, e, f, g, h với (i-1) giá trị : (𝑖−1) a = 𝐻0 (𝑖−1) b = 𝐻1 (𝑖−1) c = 𝐻2 (𝑖−1) d = 𝐻3 (𝑖−1) e = 𝐻4 (𝑖−1) f = 𝐻5 (𝑖−1) g = 𝐻6 (𝑖−1) h = 𝐻7 For t=0 to 63: { {256} 𝑇1 = ℎ + ∑ {256} (𝑒) + 𝐶ℎ(𝑒, 𝑓, 𝑔) + 𝐾𝑡 {256} 𝑇2 = ∑ (𝑎) + 𝑀𝑎𝑗(𝑎, 𝑏, 𝑐) h=g g=f 67 + 𝑊𝑡 f=e e = d + T1 d=c c=b b=a a = T1 + T2 } Tính toán lần thứ i giá trị băm trung gian H(i): (𝑖) (𝑖−1) (𝑖) (𝑖−1) (𝑖) (𝑖−1) (𝑖) (𝑖−1) (𝑖) (𝑖−1) (𝑖) (𝑖−1) (𝑖) (𝑖−1) (𝑖) (𝑖−1) 𝐻0 = a + 𝐻0 𝐻1 = b + 𝐻1 𝐻2 = c + 𝐻2 𝐻3 = d + 𝐻3 𝐻4 = e + 𝐻4 𝐻5 = f + 𝐻5 𝐻6 = g + 𝐻6 𝐻7 = h + 𝐻7 } Sau lặp lặp lại bước đến N lần (tức sau xử lý M(N)), thông điệp tóm lược 256-bit thông điệp M là: (𝑁) (𝑁) (𝑁) (𝑁) (𝑁) (𝑁) (𝑁) (𝑁) 𝐻0 ||𝐻1 ||𝐻2 ||𝐻3 ||𝐻4 ||𝐻5 ||𝐻6 ||𝐻7 SHA-256 sử dụng trình chứng thực gói phần mềm Debian GNU/ Linux DKIM (chuẩn xác thực Email); Hiện nay, Bộ Thông tin Truyền thông có Quyết định số 1411/QĐ-BTTTT ngày 14/8/2016 việc chuyển đổi chứng thư số sử dụng hàm băm an toàn SHA1 sang SHA256 trước ngày 31/12/2016 4.2.2.2 Các bước thử nghiệm chương trình: Bước1: Bên gửi soạn thảo hợp đồng 68 Hình Mẫu hợp đồng Bước 2: Quy trình ký số gửi hợp đồng Tạo khóa - Nhấn nút "Tính" để tạo cặp khóa bí mật (Pravite key) - (D,N), khóa công khai (Public key) - (E,N) - Cất giữ khóa bí mật (D,N) để ký văn bản, công bố khóa công khai (E,N) để xác nhận chữ ký Hình 4 Tạo cặp khóa RSA cho người dùng Ký hợp đồng - Tải hợp đồng cần ký cách chọn nút “Tải VB” 69 - Nhấn nút "Ký" để ký văn bản, hàm băm SHA256 tóm lược hợp đồng chuỗi 256 bit (bản băm hay tóm lược) - Thuật toán RSA mã hóa khóa mật (private key) tóm lược chữ ký điện tử Hình ký hợp đồng chữ ký điện tử - Nhấn nút "Lưu chữ ký" để lưu giữ chữ ký điện tử dạng file txt Bên gửi gửi cho bên nhận bao gồm: Chữ ký điện tử văn gốc cần ký Bước 3: Quá trình nhận hợp đồng xác thực chữ ký - Bên nhận sử dụng chương trình, chọn cửa sổ “Xác thực chữ ký” - Tải hợp đồng nhận để xác nhận - Tải chữ ký điện tử người gửi để xác nhận - Nhập khóa công khai (E,N) người gửi để xác nhận - Nhấn nút "Xác nhận" để xác thực chữ ký văn điện tử Hình Quá trình kiểm tra chữ ký 70 KẾT LUẬN Các kết đạt a Về lý thuyết Để nghiên cứu toán an toàn thông tin cho doanh nghiệp vừa nhỏ, học viên tập trung nghiên cứu sở lý luận an toàn thông tin, tìm hiểu đặc điểm hệ thống thông tin, thực trạng ATTT DNVVN, tổn thất DNVVN trước nguy ATTT để đưa số giải pháp đảm bảo ATTT phù hợp Bên cạnh đó, học viên nghiên cứu, tìm hiểu số hệ mật mã đảm bảo ATTT dùng phổ biến như: AES, RC4, RC5, RC6, RSA, đề xuất số giải pháp đảm bảo ATTT cho DNVVN mặt công nghệ ứng dụng số hệ mật mã như: Mã hóa liệu cho DNVVN, ứng dụng chữ ký số giao dịch điện tử phổ biến DNVVN Cùng với nhóm giải pháp công nghệ, học viên đề xuất nhóm giải pháp quản lý ATTT DNVVN tập trung vào việc hướng dẫn DNVVN thiết lập Chính sách ATTT cách bản, xây dựng kế hoạch đánh giá rủi ro, biện pháp giảm thiểu rủi ro, cách ứng phó xuất mối de dọa ATTT b Về thực nghiệm Xuất phát từ yêu cầu thực tế cần phải đảm bảo tính bí mật, toàn vẹn nội dung thông điệp xác định nguồn gốc liệu việc ký kết hợp đồng điện tử, học viên xây dựng ứng dụng chữ ký số việc ký kết hợp đồng điện tử dựa sơ đồ chữ ký số RSA hàm băm SHA256 Hướng nghiên cứu Học viên tiếp tục tìm hiểu thực nghiệm với số phương pháp mã hoá khoá đối xứng IDEA, số hệ mật mã dòng, mật mã khối; phương pháp mã hoá khoá công khai Elgamal, Rabin, Knapsack, Eliptic Curve,… Về phần thực nghiệm, học viên tìm hiểu, phát triển thêm phần chứng thực số ứng dụng chữ ký số dùng thiết bị thông minh điện thoại, máy tính bảng,… giúp DNVVN ký kết hợp đồng điện tử cách thuận lợi Hoàn thiện luận văn này, học viên mong muốn đóng góp phần kiến thức vào vấn đề ATTT cho DNVVN Tuy nhiên, hạn chế nguồn số liệu kiến thức, luận văn không tránh khỏi thiếu sót định Hơn nữa, tình hình ATTT nhiều bất ổn khó dự đoán nên tương lai học viên tiếp tục nghiên cứu để tìm giải pháp phù hợp nhất, đảm bảo an toàn thông tin cho DNVVN 71 TÀI LIỆU THAM KHẢO Tiếng Việt [1] Lê Phê Đô, Mai Mạnh Trừng, Lê Trung Thực, Nguyễn Thị Hằng, Vương Thị Hạnh, Nguyễn Khắc Hưng, Đinh Thị Thúy, Lê Thị Len, Nghiên cứu số hệ mật mã hạng nhẹ ứng dụng IoT, Tạp chí Nghiên cứu Khoa học Công nghệ Quân số Đặc san 05-2017, từ trang 134-147 [2] Luật Giao dịch điện tử ban hành ngày 29 tháng 11 năm 2005 [3] Cục thương mại điện tử Công nghệ thông tin, Báo cáo thương mại điện tử năm 2015 [4] Nguyễn Văn Minh, Trần Hoài Nam, (2002), Giao dịch thương mại điện tử - Một số vấn đề bản, NXB Chính trị quốc gia Hà Nội [5] TS Hồ Văn Hương, KS Hoàng Chiến Thắng, Ký số xác thực tảng web, Tạp chí An toàn thông tin, số (026) năm 2013 [6] TS Hồ Văn Hương, KS Hoàng Chiến Thắng, KS Nguyễn Quốc Uy Giải pháp bảo mật xác thực thư điện tử, Tạp chí An toàn thông tin số 04 (028), 2013 [7] PGS.TS Trịnh Nhật Tiến, GV Lý Hùng Sơn, “Giáo trình an toàn liệu mã hóa”, Trường Đại học Công nghệ - Đại học Quốc Gia Hà Nội, 5/2006 [8] Vnisa, Báo cáo trạng ATTT Việt Nam 2015 [9] Trần Minh Văn, Khoa Công nghệ thông tin - Trường đại học Nha Trang, Bài giảng: An toàn bảo mật thông tin, 2008 Tiếng Anh [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] The Hong Kong Computer Emergency Response Team Coordination Centre (HKCERT): Information Security Guide for Small Business FIPS (1993), Data Encryption Standard (DES) Warwick Ford, Secure Electronic Commerce: Building the Infrastructure for Digital Signatures and Encryption (2nd Edition) Paperback, Ed Michael S Baum, 2014 Addison Wesley, Understanding PKI: Concepts, Standards, and Deployment Considerations, Second Edition, 2002 Oreilly, Web Security, Privacy & Commerce 2nd Dr Eric Cole, Dr Ronald Krutz, and James W.Conley, Network Security Bible, Wiley Publishing, Jan 2005 T Dierks, E Rescorla (August 2008) The Transport Layer Security (TLS) Protocol, Version 1.2 Holly Lynne McKinley, SANS Institude SSL and TLS: A Beginners’ Guide O Goldreich, S Goldwasser, and S Micali, “How to Construct Random Functions,” Journal of the ACM, vol 33, no 4, pp.210–217, 1986 S Contini, R.L Rivest, M.J.B Robshaw and Y.L Yin The Security of the RC6TM Block Cipher Version 1.0 August 20, 1998 72 ... Nguồn thông tin Nguồn thông tin Ngăn chặn thông tin Nguồn thông tin Luồng bình thường Đích thông tin Đích thông tin Nguồn thông tin Đích thông tin Nguồn thông tin Chặn bắt thông tin Đích thông tin. .. ngày gia tăng lan tràn, ý thức an toàn thông tin doanh nghiệp, DNVVN, lại có chiều hướng xuống, doanh nghiệp chưa quan tâm nhiều đến an toàn thông tin Kết khảo sát trạng an toàn thông tin DNVVN năm... HỌC CÔNG NGHỆ NGUYỄN THỊ HẰNG NGHIÊN CỨU BÀI TOÁN AN TOÀN THÔNG TIN CHO DOANH NGHIỆP VỪA VÀ NHỎ Ngành: Công nghệ thông tin Chuyên ngành: Quản lý Hệ thống thông tin Mã số: Chuyên ngành đào tạo