Luận văn an toàn thông tin, access to this page has been denied

Vấn đề đảm bảo an ninh, an toàn thông tin dữ liệu là nội dung phân tích thiết thực, là chủ đề luôn luôn được những cấp, các ngành thân thiện trong lĩnh vực công nghệ thông tin. Nhu cầu đảm bảo an ninh thông tin dữ liệu trên mạng máy vi tính là cần yếu trong các vận động kinh tế thôn hội, nhất là đối với các mạng máy vi tính chuyên dùng giao hàng công tác an ninh, quốc phòng, đối ngoại của những cơ quan tiền Đảng, đơn vị nước......

Bạn đang xem: Luận văn an toàn thông tin

TI U LU N TÀI: “ M B O AN TOÀN B OM T mang đến M NG THÔNG TIN D LI U CHUYÊN DÙNG” HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG ---------------------------------------- GIANG NGUYÊN VIỆTĐẢM BẢO AN TOÀN BẢO MẬT đến MẠNG THÔNG TIN DỮ LIỆU CHUYÊN DÙNG chăm nghành: Truyền dữ liệu và Mạng laptop Mã số: 60.48.15 TÓM TẮT LUẬN VĂN THẠC SỸ HÀ NỘI - 2011 MỞ ĐẦU Vấn đề đảm bảo an ninh, an toàn thông tin tài liệu là văn bản nghiêncứu thiết thực, là chủ đề luôn được các cấp, các ngành ân cần trong lĩnh vựccông nghệ thông tin. Nhu cầu đảm bảo an ninh thông tin tài liệu trên mạng máytính là cấp thiết trong các vận động kinh tế xã hội, nhất là đối với những mạngmáy tính chăm dùng giao hàng công tác an ninh, quốc phòng, đối ngoại của cáccơ quan liêu Đảng, đơn vị nước... Thực tế ứng dụng công nghệ thông tin trong cáclĩnh vực liên quan đến an toàn chính trị, quốc phòng luôn chạm chán phải phần đông rủi rođột nhập trái phép, tấn công, đem cắp thông... Khởi hành từ nhu cầu của côngviệc, với chủ đề “Đảm bảo bình an bảo mật mang đến mạng tin tức dữ liệuchuyên dùng”, luận văn đi sâu phân tích tìm hiểu: Một số phương án đảm bảoan ninh, an ninh thông tin cho khối hệ thống mạng máy tính nói thông thường và mạngthông tin chuyên cần sử dụng nói riêng; nghiên cứu các kỹ thuật, công nghệ và thuậttoán mật mã khóa công khai minh bạch (PKI); Ứng dụng thí điểm PKI để bảo mậtthông tin trong mạng thông tin dữ liệu chăm dùng. Luận văn có 3 Chương: Chương 1. Tổng quan (1.1. Đặc điểm về mạng siêng dùng; 1.2. Nhữngvấn đề đảm bảo an toàn an ninh, bình yên mạng chăm dùng). Chương 2. Một vài giải pháp bảo đảm an toàn an toàn an toàn cho hệ thống mạng(2.1. Firewall; 2.2. IP Security; 2.3. Bảo mật thông tin Web; 2.4. Mã hoá công khai vàchứng thực thông tin). Chương 3. Ứng dụng thể nghiệm PKI để bảo mật tin tức trong mạngthông tin dữ liệu chuyên cần sử dụng (3.1. Mục đích của ứng dụng thử nghiệm; 3.2.Sơ đồ vật chức năng). Luận văn trình bày những nội dung cơ bản, đều nội dung được đề cậpsâu rộng là đại lý cho chiến thuật ứng dụng PKI cho một vài ứng dụng của dịch vụtruyền thông tin trong mạng thông tin dữ liệu chăm dùng. Phương án có ýnghĩa thiết thật trong câu hỏi thiết kế bình an cho dịch vụ truyền thông media tin dữ liệu. Tuy vậy có nhiều nỗ lực nhưng do năng lực và thời hạn hạn chế, luậnvăn ko tránh khỏi phần đa thiếu sót, mong các Thầy, Cô và đồng nghiệpđóng góp chủ kiến xây dựng. Xin rất cảm ơn ! Giang Nguyên Việt Chương 1 - TỔNG QUAN. 1.1. Đặc điểm về mạng chuyên dùng. điều khoản Viễn thông bao gồm nêu: Mạng chuyên sử dụng là mạng dùng để làm phục vụthông tin quan trọng đặc biệt của những cơ quan tiền Đảng, đơn vị nước, phục vụ thông tin Quốcphòng, An ninh.... Mạng laptop chuyên dùng được thiết kế, xuất bản và áp dụng vào mụcđích quản ngại lý, lưu trữ và trao đổi thông tin dữ liệu mang tính chất cơ mật của những cơquan Đảng, công ty nước. 1.2. đều vấn đề bảo đảm an toàn an ninh, an toàn mạng chuyên dùng. 1.2.1. Nguy cơ tiềm ẩn đe dọa an ninh, an ninh thông tin. Nguy cơ tiềm ẩn mất bình yên thông tin bởi nhiều nguyên nhân, đối tượng người dùng tấn côngđa dạng… Thiệt sợ hãi từ gần như vụ tiến công mạng là cực kỳ lớn, nhất là nhữngthông tin thuộc nghành an ninh, quốc phòng... Vì đó, vấn đề xây dựng mặt hàng ràokỹ thuật để ngăn ngừa những truy vấn trái phép trở thành nhu yếu cấp báchtrong các vận động truyền thông. Theo số liệu được thống kê thống kê, vn đứng thứ hai trong khu vực Đông nam ávề các vận động tấn công mạng. Thực tế, nguy cơ mất bình yên an toàn mạngmáy tính còn rất có thể phát sinh ngay lập tức từ mặt trong. Nguy cơ tiềm ẩn mất bình an từ bêntrong xẩy ra thường lớn hơn nhiều, nguyên nhân đó là do người sử dụng cóquyền truy tìm nhập khối hệ thống nắm được điểm yếu của khối hệ thống hay vô tình chế tạo cơhội cho những đối tượng người sử dụng khác xâm nhập hệ thống. Cầm lại, cách tân và phát triển không xong xuôi của lĩnh vực technology thông tin vẫn tạođiều kiện dễ ợt cho cuộc sống xã hội, bên cạnh những thuận lợi, cũng cónhiều khó khăn để search ra giải pháp bảo mật thông tin dữ liệu. 1.2.2. Những giải pháp bảo vệ an ninh. Bài toán đảm bảo an ninh an toàn cho mạng máy tính có ba giải pháp chủ yếusau: - phương án về phần cứng. - phương án về phần mềm. - phương án về con người. Phương án phần cứng là phương án sử dụng các thiết bị thiết bị lý như những hệthống máy chuyên dụng, tùy chỉnh cấu hình trong quy mô mạng... Chiến thuật phần cứngthông thường đi kèm theo là khối hệ thống phần mềm tinh chỉnh tương ứng. Đây là mộtgiải pháp ko phổ biến, do thiếu linh hoạt cùng không phù hợp, giá cả đầu tưtrang máy cao. Giải pháp phần mềm có thể phụ thuộc hay không phụ thuộc vào vào phần cứng.Như những giải pháp: xác thực, mã hoá dữ liệu, mạng riêng rẽ ảo, hệ thống tườnglửa... Đảm bảo đảm ninh, an toàn thông tin phụ thuộc vào nhiều vào yếu đuối tố nhỏ người,do vậy rất cần phải có chế tài bạo phổi để triết lý người sử dụng trong khai thác,sử dụng thông tin. 1.2.3. Bảo mật khối hệ thống và mạng sản phẩm công nghệ tính. 1.2.3.1. Những sự việc chung về bảo mật khối hệ thống và mạng trang bị tính. Mạng lắp thêm tính có khá nhiều người áp dụng chung đề xuất để bảo đảm an toàn thông tin rấtphức tạp. Trọng trách của tín đồ quản trị phải đảm bảo các tin tức trên mạng làtin cậy, duy trì mạng chuyển động ổn định không biến thành tấn công. 1.2.3.2. Một số trong những khái niệm và lịch sử dân tộc bảo mật hệ thống. A. Đối tượng tiến công mạng: - Là đối tượng người sử dụng sử dụng kỹ thuật về mạng nhằm dò tìm các lỗ hổng bảo mậttrên hệ thống để tiến hành xâm nhập và chỉ chiếm đoạt tin tức bất phù hợp pháp. - Các đối tượng người sử dụng tấn công mạng: + Hacker: đột nhập vào mạng trái phép bằng cách sử dụng các công cụphá mật khẩu đăng nhập hoặc khai quật các điểm yếu của hệ thống. + Masquerader: hàng fake thông tin, địa chỉ cửa hàng IP, tên miền, định danh ngườidùng… + Eavesdropping: Là đối tượng người sử dụng nghe trộm tin tức trên mạng để đưa cắpthông tin. B. Các lỗ hổng vào bảo mật: - Là những điểm yếu kém trên khối hệ thống mà phụ thuộc đó đối tượng tấn công cóthể xâm nhập phi pháp vào hệ thống. C. Cơ chế bảo mật: chính sách bảo mật là tập hợp những quy tắc áp dụng cho những người thamgia quản trị mạng, tất cả sử dụng những tài nguyên và những dịch vụ mạng. 1.2.2.3. Những loại lỗ hổng bảo mật thông tin và phương thức tấn công mạng. A. Các loại lỗ hổng: thường thì các nhiều loại lỗ hổng được phân làm cha loại như sau: - Lỗ hổng loại C: chất nhận được thực hiện hiệ tượng tấn công theo phong cách Do
S(Denial of Services-Từ chối dịch vụ) làm ảnh hưởng tới chất lượng dịch vụ,ngưng trệ đứt quãng hệ thống, tuy nhiên không phá hỏng tài liệu hoặc giành đượcquyền truy vấn hệ thống. - Lỗ hổng một số loại B: Lỗ hổng cho phép người thực hiện có thêm những quyền trênhệ thống nhưng mà không nên kiểm tra tính vừa lòng lệ dẫn mang lại lộ lọt thông tin. - Lỗ hổng các loại A: được cho phép người ngoại trừ hệ thống rất có thể truy cập bất hợppháp vào hệ thống, có thể phá huỷ tổng thể hệ thống. Lỗ hổng này thường sẽ có ởnhững hệ thống được quản lí trị yếu, không kiểm soát được thông số kỹ thuật mạng máytính. B. Các hình thức tấn công mạng phổ biến: - Scanner: là một trong những chương trình tự động rà soát và phát hiện phần lớn điểmyếu về bảo mật thông tin trên một trạm thao tác làm việc ở xa. - Password Cracker: là 1 chương trình có chức năng giải mã mật khẩuđã được mã hoá hoặc loại bỏ hoá chức năng bảo đảm mật khẩu của một hệ thống. - Sniffer: Là các công núm bắt những thông tin hội đàm trên mạng thứ tính. - Trojans: là một chương trình triển khai không hòa hợp lệ được setup trênmột hệ thống. 1.2.4. Vấn đề bảo mật thông tin cho mạng thứ tính. đó là bảo mật thông tin dữ liệu lưu lại trữ, thông tin trao thay đổi ra mặt ngoàivà từ bên phía ngoài vào trong mạng. Dưới đây là một vài ba giải pháp tăng cường bảomật mang lại mạng. 1.2.4.1. Mạng riêng ảo (Virtual Private Network- VPN). Là việc mở rộng lớn mạng riêng trải qua sử dụng các kết nối mạng công cộng.VPN sử dụng giao thức để tạo ra đường hầm truyền tin riêng rẽ với cách thức mãhoá, xác thực… 1.2.4.2. Firewall (Firewall). Là một kỹ thuật được tích đúng theo vào hệ thống mạng để ngăn ngừa sự truycập bất hợp pháp nhằm bảo đảm các nguồn tin tức được lưu trữ trong nội bộ. Nắm lại, để đảm bảo an ninh, bình an thông tin trước các nguy cơ tiềm ẩn truynhập trái phép, mang cắp thông tin, tín đồ quản trị đề xuất lựa chọn giải pháp tổng thể,đúng đắn và thực thi xây dựng được một hàng rào kỹ thuật xuất sắc mới tạo nên nênđược khả năng bảo đảm an toàn thông tin hiệu quả.Chương 2 - MỘT SỐ GIẢI PHÁP ĐẢM BẢO AN TOÀN, ANNINH mang lại HỆ THỐNG. 2.1. Firewall. Firewall là giải pháp bảo đảm mạng tác dụng và phổ biến nhất hiện nay. 2.1.1. Khái niệm, chức năng, phân các loại Firewall. 2.1.1.1. định nghĩa Firewall. Firewall là thiết bị nhằm mục đích ngăn ngăn sự truy vấn nhập chưa phù hợp lệ từmạng bên phía ngoài vào mạng mặt trong. Firewall bao hàm cả hartware vàphần mềm. 2.1.1.2. Các chức năng cơ bạn dạng của Firewall. Có thể chấp nhận được chặn dịch vụ thương mại truy nhập từ trong ra bên ngoài và ngược lại; Kiểm soátđịa chỉ truy nã nhập và dịch vụ sử dụng; kiểm soát khả năng tầm nã cập; Kiểm soátnội dung tin tức truyền tải; ngăn ngừa tấn công từ những mạng bên ngoài. 2.1.1.3. Phân một số loại Firewall. Firewall có nhiều loại khác nhau và có ưu cùng nhược điểm riêng. Thôngthường Firewall được chia thành 2 loại: Firewall phần cứng với Firewall phầnmềm. A. Firewall phần cứng: Là sản phẩm công nghệ được tích hợp cỗ định tuyến, quy tắc lọc gói tin được đặt trênbộ định tuyến. Firewall sẽ dựa vào quy tắc để đánh giá gói tin. Mô hình Firewallphần cứng (Hình 2.1). Internet Network Firewall Protection Hình 2.1: quy mô sử dụng Firewall hartware b. Firewall phần mềm: Là phần mềm được cho phép chuyển các gói tin mà máy chủ nhận được mang lại địađiểm theo yêu thương cầu, các quy tắc lọc gói tin được người sử dụng tự thiết lập. Tại
Hình 2.2 là quy mô sử dụng Firewall phần mềm. Internet Network Computer Protection Hình 2.2: quy mô sử dụng Firewall phần mềm c. Ưu và nhược điểm của Firewall: Firewall phần cứng hay sử dụng cho những mạng lớn, Firewall thừa nhận góitin và kiểm ưng chuẩn rồi gửi tiếp cho những máy trong mạng, vận tốc của Firewallphần mềm vận động chậm rộng so với Firewall phần cứng nên ảnh hưởng đếntốc độ của hệ thống mạng. Firewall ứng dụng sử dụng nhằm đảm bảo an ninh cho các mạng vừa, bé dại docó túi tiền thấp, không ảnh hưởng đến vận tốc chuyển những gói tin; Firewall phầnmềm tiến hành trên từng hệ quản lý nhất định. Firewall phần cứng hoàn toàn có thể thựchiện độc lập. Firewall phần mềm rất có thể lọc được câu chữ gói tin còn Firewall phầncứng chỉ hoàn toàn có thể lọc tin tức của gói tin, văn bản của gói tin thì Firewall phầncứng chẳng thể kiểm soát. 2.1.1.4. Một số khối hệ thống Firewall khác. A. Packet-Filtering Router (Bộ định tuyến tất cả lọc gói) - Hình 2.3. Tất cả hai chức năng: chuyển tiếp truyền thông giữa hai mạng và sử dụng cácquy nguyên tắc về thanh lọc gói để chất nhận được hay khước từ truyền thông. Quy luật pháp lọc đượcđịnh nghĩa làm sao cho các Host trên mạng nội cỗ được quyền truy nã nhập thẳng tới
Internet, vào khi các Host trên internet chỉ có một vài giới hạn những truy nhậpvào các máy tính xách tay trên mạng nội bộ. Packet LAN mạng internet Filtering Router Hình 2.3: quy mô Packet-Filtering Router Ưu điểm: cấu hình đơn giản, ngân sách chi tiêu thấp; trong suốt đối với người dùng. Hạn chế: dễ dàng bị tấn công vào những bộ thanh lọc do cấu hình không hoàn hảo. B. Screened Host Firewall - Hình 2.4. Bao gồm một Packet-Filtering Router cùng một Bastion Host. Screened Host
Firewall cung cấp độ bảo mật cao hơn nữa Packet-Filtering Router, vì hệ thống thựchiện bảo mật trên tầng mạng với tầng ứng dụng. Quy mô này, đối tượng người dùng tấn côngbị bức tường ngăn ở nhị tầng bảo mật. Clie Bastion Host Client Packet mạng internet filtering Router Clie Information LAN Client hệ thống Hình 2.4: mô hình Screened Host Firewall c. Demilitarized Zone (DMZ - quanh vùng phi quân sự) - Hình 2.5. Bao hàm hai Packet-Filtering Router và một Bastion Host, gồm độ an toàncao duy nhất vì cung ứng cả mức bảo mật mạng cùng ứng dụng. Mạng DMZ đóng vaitrò chủ quyền đặt thân Internet với mạng nội bộ, được thông số kỹ thuật sao cho những hệthống chỉ có thể truy nhập được một vài dịch vụ mà lại không được kết nối trực tiếpvới mạng DMZ. Ưu điểm: phải qua bố tầng bảo vệ: Router ngoài, Bastion Host cùng Routertrong. 2.1.2. Các kiến trúc Firewall. 2.1.2.1. Phong cách thiết kế Dual-Homed Host. Buộc phải có tối thiểu hai thẻ mạng để tiếp xúc với hai mạng khác biệt vàđóng phương châm là Router mềm. Bản vẽ xây dựng này rất đơn giản, Dual-Homed-Host ởgiữa, một mặt được liên kết với Internet cùng một mặt nối cùng với mạng LAN. 2.1.2.2. Bản vẽ xây dựng Screened Host. Có cấu tạo ngược lại với Dual-Homed Host, cung ứng các thương mại dịch vụ từ một
Host phía bên trong mạng nội bộ, sử dụng một Router tự do với mạng bên ngoài, cơchế bảo mật của kiến trúc này là phương pháp Packet Filtering. 2.1.2.3. Phong cách thiết kế Screen Subnet (Hình 2.5). Bản vẽ xây dựng này dựa trên căn cơ của phong cách thiết kế Screen Host bằng phương pháp thêmvào phần an ninh nhằm xa lánh mạng nội bộ ra khỏi mạng mặt ngoài, tách
Bastion Host ra khỏi những Host thông thường khác. Loại Screen Subnet 1-1 giảnbao tất cả hai Screen Router: - Router ngoài: nằm trong lòng mạng ngoại vi và mạng kế bên có tác dụng bảovệ mang đến mạng nước ngoài vi. - Router trong: nằm trong lòng mạng nước ngoài vi cùng mạng nội bộ, nhằm bảo vệmạng nội bộ trước khi ra bên ngoài và mạng nước ngoài vi. 2.1.3. Chính sách để xây dựng Firewall. Một số phương án và hiệ tượng cơ bản khi kiến tạo Firewall. 2.1.3.1. Quyền lợi tối thiểu (Least Privilege). Nguyên tắc này có nghĩa là bất kỳ một đối tượng người dùng nào trên khối hệ thống chỉ nêncó những quyền lợi nhất định. Phía bên trong Bastion Host Router internet LAN ROUTER Inside Information bên ngoài Server Hình 2.5: quy mô Screened-subnet Firewall 2.1.3.2. Bảo vệ theo chiều sâu (Defense in Depth). Lắp đặt nhiều cơ chế an toàn để hoàn toàn có thể hỗ trợ lẫn nhau. Bởi vì vậy Firewallđược thiết kế theo cơ chế có khá nhiều lớp bảo đảm an toàn là hợp lý nhất. 2.1.3.3. Nút thắt (Choke Point). Một nút thắt bắt bắt buộc những kẻ đột nhập đề nghị đi qua 1 ngõ nhỏ màngười quản ngại trị rất có thể kiểm soát. 2.1.3.4. Điểm xung yếu duy nhất (Weakest Link). Rất cần được tìm ra được những điểm yếu của hệ thống để có phương án bảovệ, tránh đối tượng người dùng tấn công lợi dụng để truy cập trái phép. 2.1.3.5. Lỗi trong an ninh (Fail-Safe Stance). Có nghĩa là nếu hệ thống đang hỏng thì nó buộc phải được hư theo một cáchnào đó để ngăn ngừa sự truy vấn nhập phi pháp tốt hơn là để cho kẻ tấn công lọtvào phá hệ thống. 2.1.3.6. Sự thâm nhập toàn cầu. Các khối hệ thống mạng rất cần được có biện pháp đảm bảo an toàn an toàn. Nếu không,người truy vấn nhập phạm pháp có thể truy tìm nhập vào khối hệ thống này, tiếp nối truynhập lịch sự các hệ thống khác. 2.1.3.7. Tính phong phú của vấn đề bảo vệ. Áp dụng các biện pháp đảm bảo an toàn thông tin dữ liệu trong khối hệ thống mạngtheo chiều sâu. 2.1.3.8. Vâng lệnh các phương pháp căn bản (Rule Base). Triển khai theo một vài quy tắc tuyệt nhất định, khi tất cả một gói tin đi qua
Firewall thì sẽ yêu cầu dựa các quy tắc căn bạn dạng đã đặt ra để phân tích cùng lọc gói tin. 2.1.3.9. Xây dựng chính sách an toàn (Security Policy). Firewall đề xuất được thiết kế, xây dựng bằng một chủ yếu sách an ninh sẽ tạora được sức mạnh và công dụng cho Firewall. Một trong những chính sách an ninh cơ bảnnhư sau: + tiêu giảm những laptop trong mạng nội bộ được tróc nã nhập Internet. + tin tức vào ra vào mạng nội bộ đều phải được đảm bảo và mã hoá. 2.1.3.10. Lắp thêm tự các quy tắc trong bảng (Sequence of Rules Base). đề xuất phải quan tâm đến thứ tự, lever của phép tắc và trong những số đó có một sốquy tắc đặc biệt. Đa số những Firewall kiểm tra gói tin một biện pháp tuần tự với liêntục, lúc Firewall cảm nhận một gói tin, nó sẽ lưu ý gói tin đó gồm đúng vớiquy tắc hay không cho tới khi tất cả quy tắc nào đó thoả mãn thì nó thực thi theoquy tắc đó. 2.1.3.11. Các quy tắc căn bạn dạng (Rules Base). - không có một gói tin nào có thể đi qua được, bất kể gói tin đó là gì. - Đầu tiên cho phép việc đi từ bỏ trong ra ngoài mà không có hạn chế nào. - Hạn chế tất cả không cho phép một sự xâm nhập như thế nào vào Firewall. - không ai rất có thể kết nối cùng với Firewall, bao hàm cả Admin, phải tạo nên mộtquy tắc để có thể chấp nhận được Admin truy nã nhập vào được Firewall. 2.2. IP Security. 2.2.1. Tổng quan. IPsec (IP Security) bao gồm các giao thức nhằm bảo mật quy trình truyềnthông tin trên nền tảng gốc rễ Internet Protocol (IP). Gồm xác xắn và/hoặc mã hoá(Authenticating, Encrypting) cho mỗi gói IP (IP Packet) trong quá trình truyềnthông tin. Giao thức IPsec được thiết kế việc tại tầng Network Layer của mô hình
OSI- Hình 2.6. 2.2.2. Cấu trúc bảo mật. Khi IPsec được triển khai, cấu trúc bảo mật của nó gồm: Sử dụng những giaothức cung cấp mật mã nhằm mục tiêu bảo mật gói tin; cung ứng phương thức xác thực;Thiết lập các thông số mã hoá. Hình 2.6: quy mô OSI (Open System Interconnection) 2.2.3. Thực trạng. IPsec là một phần bắt buộc của IPv6, hoàn toàn có thể được gạn lọc khi sử dụng
IPv4. Trong những khi các chuẩn chỉnh đã được thiết kết cho những phiên bạn dạng IP tương đương nhau,phổ biến bây chừ là vận dụng và thực hiện trên căn nguyên IPv4. 2.2.4. Xây cất theo yêu cầu. IPsec được cung ứng bởi Transport Mode (End-to-End) đáp ứng nhu cầu bảo mậtgiữa các máy tính tiếp xúc trực tiếp cùng nhau hoặc thực hiện Tunnel Mode(Portal-to-Portal) đến các tiếp xúc giữa nhị mạng với nhau và hầu hết được sửdụng khi liên kết VPN. IPsec sẽ được trình làng và cung cấp các dịch vụ thương mại bảomật: + Mã hoá vượt trình truyền thông tin; Đảm bảo tính đầy đủ của dữliệu; Được tuyệt đối giữa các giao tiếp; Chống quá trình Replay trong những phiênbảo mật; Modes - những mode. + có hai mode khi tiến hành IPsec đó là: Transport Mode: Chỉ phần đông dữliệu tiếp xúc các gói tin được mã hoá và/hoặc xác thực; Tunnel Mode: Toàn bộgói IP được mã hoá cùng xác thực. 2.2.5. Bộc lộ kỹ thuật. Bao gồm hai giao thức cung cấp để bảo mật thông tin cho gói tin của cả hai phiên bản
IPv4 và IPv6: IP Authentication Header giúp bảo đảm tính trọn vẹn và cung ứng xácthực. IP Encapsulating Security Payload cung ứng bảo mật và có thể lựa chọncả thiên tài Authentication với Integrity để bảo đảm an toàn tính trọn vẹn dữ liệu. 2.2.5.1. Giao thức Authentication Header (AH). AH được sử dụng trong số kết nối không có tính bảo vệ dữ liệu. Là lựachọn nhằm mục tiêu chống lại những tấn công replay Attack bằng cách sử dụng công nghệtấn công Sliding Windows với Discarding Older Packets. Hình 2.7 là mô hìnhcủa AH. Những Modes thực hiện: Ý nghĩa của từng phần: - Next Header: dấn dạng giao thức trong sử dụng truyền thông tin. - Payload Length: Độ mập của gói tin AH. - Reserved: Sử dụng về sau (được màn biểu diễn bằng các số 0). Hình 2.7: mô hình vận động trong giao thức AH - Security Parameters Index (SPI): phân biệt các thông số bảo mật, đượctích vừa lòng với showroom IP, và nhận dạng những thương lượng bảo mật được kết hợpvới gói tin. - Sequence Number: Một số auto tăng lên từng gói tin, áp dụng nhằmchống lại tấn công dạng replay attacks. - Authentication Data: bao hàm thông số Integrity check Value (ICV)cần thiết vào gói tin xác thực. 2.2.5.2. Giao thức Encapsulating Security Payload (ESP) - Hình 2.8. Giao thức ESP hỗ trợ xác thực, toàn vẹn, bảo mật thông tin cho gói tin. ESPcũng cung ứng tính năng cấu hình sử dụng trong trường hợp chỉ cần bảo mã hoá vàchỉ buộc phải cho Authentication, nhưng sử dụng mã hoá cơ mà không yêu ước xác thựckhông bảo đảm tính bảo mật. Hình 2.8: quy mô của giao thức Encapsulating Security Payload Ý nghĩa của các phần: - Security Parameters Index (SPI): phân biệt các thông số kỹ thuật được tích hợpvới địa chỉ IP. - Sequence Number: tự động tăng có tác dụng chống tiến công kiểu
Replay Attacks. - Payload Data: Cho tài liệu truyền đi. - Padding: áp dụng vài Block mã hoá. - Pad Length: Độ mập của Padding. - Next Header: nhận biết giao thức được sử dụng trong những lúc truyền thôngtin. - Authentication Data: bao gồm dữ liệu để bảo đảm cho gói tin. 2.2.6. Thực hiện. IPsec được triển khai trong nhân với các trình làm chủ các khoá với quátrình thỏa hiệp bảo mật thông tin ISAKMP/IKE từ bạn dùng. Tuy nhiên một chuẩngiao diện cho quản lý khoá, nó rất có thể được điều khiển bởi nhân của IPsec. 2.3. Bảo mật Web. 2.3.1. Tìm hiểu ứng dụng Web. 2.3.1.1.Ứng dụng web là gì. Ứng dụng Web là một trong trình vận dụng mà hoàn toàn có thể tiếp cận qua website thôngqua mạng như Internet giỏi Intranet. Ứng dụng website được dùng làm hiện thựcbán mặt hàng trực tuyến, diễn bầy thảo luận, Weblog với nhiều tác dụng khác. Kết cấu một vận dụng Web (Hình 2.9): Ứng dụng web được kết cấu như một vận dụng ba lớp. đầu tiên là trìnhduyệt Web, phần giữa sử dụng technology Web động, lớp thứ cha là cơ sở dữ liệu.Trình coi sóc sẽ gửi yêu cầu tới trường giữa để tạo nên truy vấn, cập nhật CSDL vàtạo ra giao diện cho tất cả những người dùng. Hình 2.9: tế bào hình buổi giao lưu của trình xem xét Web 2.3.1.2. Domain - Hosting. Mạng mạng internet là mạng máy tính toàn cầu, đề xuất Internet có kết cấu địa chỉ,cách đánh địa chỉ đặc biệt, khác bí quyết tổ chức showroom của mạng viễn thông. Khisử dụng Internet, người dùng không cần phải biết hoặc lưu giữ đến showroom IP nhưng mà chỉcần ghi nhớ tên miền là truy tìm nhập được. * kết cấu của thương hiệu miền: với nhiều thành phần chế tạo ra nên, giải pháp nhau vị dấu chấm. Yếu tố thứnhất "home" là tên của sản phẩm chủ , thành phần sản phẩm công nghệ hai "vnn" thường gọi là tênmiền mức hai, thành phần cuối cùng "vn" là tên gọi miền nút cao nhất. * tên miền mức tối đa (Top màn chơi Domain- TLD): bao gồm các mã quốc gia của những nước tham gia Internet được quy địnhbằng hai vần âm theo tiêu chuẩn ISO -3166. * thương hiệu miền mức nhì ( Second level ): thương hiệu miền mức nhị này bởi vì tổ chức quản lý mạng của mỗi non sông địnhnghĩa theo các nghành nghề dịch vụ kinh tế, buôn bản hội, thiết yếu trị.... * những loại tên miền name: - domain name Name cấp tối đa là tên miền đăng ký trực tiếp với các nhàcung cung cấp Domain Name. - domain name name sản phẩm công nghệ cấp: Là tất cả những loại Domain Name còn lại mà
Domain đó phải dựa vào vào một domain Name cao cấp nhất. Để đăng kýcác tên miền Name giao diện này, thông thường phải contact trực tiếp với những người quảnlý domain Name cấp cao nhất. - web Hosting: website Hosting là vị trí lưu trữ toàn bộ các trang Web, cácthông tin của Website trên một máy chủ Internet. * các yêu ước và kĩ năng của web Hosting: - web Hosting phải có một dung lượng lớn để lưu trữ những thông tin của
Website. Hình 2.10: mô hình sơ lược những phương thức tiến công - môi trường xung quanh mạng, hệ điều hành, ngữ điệu lập trình, hệ quản trị cơ sở dữliệu. - những cổng và dịch vụ thương mại tương ứng đang mở bên trên Server. - Số lượt truy tìm cập, băng thông của Website. - khảo sát ứng dụng Web: - Thăm dò, phát hiện nay lỗi (Hình 2.11). - khai thác lỗi để tấn công: Đây là giai đoạn đặc biệt nhất để sở hữu thểphá hoại hoặc chiếm phần quyền điều khiển được Website. - Một vài phương thức tấn công phổ biến: + SQL Injections: Là kỹ thuật chất nhận được kẻ tấn công lợi dụng lỗ hổngtrong câu hỏi kiểm tra tài liệu đưa vào vận dụng Web để thi hành các câu lệnh
SQL bất phù hợp pháp. + Session Hijacking: Là thực hiện phiên thao tác làm việc của một fan dùng, đãtạo được liên kết hợp lệ bởi một phương thức chưa phù hợp lệ. + Local Attack: Là kiểu tấn công nội cỗ từ bên trong, đó là khái niệmxuất hiện từ khi những máy chủ to gan lên trong thời gian gần đây. 2.3.2.3. Những phương thức gây mất an ninh thông tin từ phía bạn quảntrị. Hiện thời việc xây dựng những ứng dụng bên trên Web cùng với mã mối cung cấp mở pháttriển cực kỳ mạnh, chính vì thế bất kì một Website nào cũng có chức năng bị tấn công. 2.4. Mã hoá công khai minh bạch và chứng thực thông tin. 2.4.1. Tổng quan liêu về hạ tầng các đại lý mã khoá công khai. 2.4.1.1. Khái niệm hạ tầng đại lý mật mã khoá công khai. Là nguyên lý cho một bên thứ 3 cung cấp và khẳng định định danh những bêntham gia vào quá trình trao thay đổi thông tin. Mục tiêu của PKI là có thể chấp nhận được nhữngngười tham gia xác thực lẫn nhau và sử dụng tin tức từ các chứng thực khoácông khai để mã hoá và giải thuật thông tin. 2.4.1.2. Các dịch vụ với phạm vi vận dụng của PKI. 2.4.1.2.1. Những dịch vụ thực hiện PKI có khả năng bảo vệ 5 yêu thương tố sau: - bảo mật thông tin: các thực thể không được cấp quyền thì rất khó có thểxem phiên bản tin. - toàn diện thông tin: Đảm bảo cho tin tức khó bị chuyển đổi bởi nhữngthực thể không được cấp cho quyền. - xác thực thực thể: các thực thể nhận bạn dạng tin biết đang giao dịch vớithực thể nào. - chống chối bỏ: các thực thể bắt buộc chối vứt các hành vi đã thựchiện. - Tính pháp lý: tin tức phải làm việc dạng cố định và thắt chặt được ký kết bởi toàn bộ các bênhợp pháp với phải chất nhận được thực hiện thẩm tra. 2.4.1.2.2. Phạm vi vận dụng của PKI. - PKI được coi là chiến thuật hữu hiệu bây chừ trong việc đảm bảo an ninhan toàn cho hệ thống thông tin. - Phạm vi vận dụng của PKI gồm những: Mã hóa email hoặc tuyệt đối ngườigửi email; Mã hóa hoặc thừa nhận thực văn bản; Xác thực người dùng ứng dụng; Cácgiao thức truyền thông bình an trao thay đổi khóa bằng khóa bất đối xứng, còn mãhóa bằng khóa đối xứng. 2.4.1.3. Các thành phần của PKI. PKI bao gồm ba nguyên tố chính: - Phần 1: Tập hợp các công cụ, phương tiện, các giao thức bảo đảm an toàn antoàn thông tin. - Phần 2: Hành lang pháp lý là luật, các qui định dưới vẻ ngoài về giao dịchđiện tử. - Phần 3: các tổ chức điều hành giao dịch điện tử (CA, RA,...). 2.4.1.4. Một số tính năng của PKI. 2.4.1.4.1. Quản lý khoá. A. Sinh khoá: Khoá sinh ra phải bảo đảm về chất lượng. Tất cả 2 cách mà hệthống thực hiện để tạo nên khoá: - người tiêu dùng tự sinh cặp khoá đến mình tiếp đến gửi khoá công khaicho CA. - Cặp khoá sinh vị một khối hệ thống chuyên phụ trách sinh khoá.Khoá công khai minh bạch được gửi đến CA cai quản lý, khoá kín gửi cho tất cả những người dùngtheo một kênh truyền an toàn. B. Triển lẵm và tịch thu khoá: - phân phối khoá: trải qua các kênh truyền không cần bảo vệ an toàn.Còn khoá kín đáo được phân phối cho tất cả những người dùng thông qua các kênh truyền antoàn. - Thu hồi, treo khoá: trải qua việc thu hồi chứng chỉ, là quá trình thuhồi khoá trợ thời thời, khoá đó có thể được áp dụng lại. C. Update thông tin về cặp khoá: - Cặp khoá của các đối tượng tham gia vào khối hệ thống PKI rất cần phải đượccập nhật một phương pháp thường xuyên, vì những cặp khoá rất có thể được thay bởi cặpkhoá mới. D. Update thông tin về cặp khoá của CA: tương tự như sử dụng bệnh chỉ, cặp khoá của CA được cập nhậtthường xuyên. E. Phục hồi khoá: đa số hệ thống PKI tạo nên hai cặp khoá cho tất cả những người sử dụng cuối, một đểký số cùng một để mã hoá để sao lưu dự phòng khoá. 2.4.1.4.2. Làm chủ chứng chỉ. A. Đăng ký và xác thực ban đầu. - CA sẽ cấp cho đối tượng người tiêu dùng đăng cam kết một chứng từ số cùng gửi chứng chỉ sốnày cho cho hệ thống lưu trữ. B. Update thông tin về chứng từ số. Mỗi chứng chỉ số chỉ có công dụng trong khoảng thời hạn nhất định. Khicác chứng chỉ số không còn hạn, CA sẽ tạo một chứng từ số bắt đầu và update thông tinvề chứng từ số này. C. Vạc hành chứng từ và danh sách chứng từ bị huỷ bỏ. Khi CA sản xuất một chứng chỉ số, trước hết nó phải dựa vào định dạngcủa chứng từ số bắt buộc cấp. Sau khi có được các danh sách những thông tin về chínhsách cai quản trị, CA sẽ tổ chức triển khai chúng theo định dạng đang biết, khi đó chứng chỉ sốmới hoàn thiện. D. Huỷ bỏ chứng chỉ số. Khối hệ thống PKI sẽ thực hiện huỷ bỏ chứng chỉ số nếu đối tượng người tiêu dùng sử dụngchứng chỉ số bị phân phát hiện có những dấu hiệu sử dụng phạm pháp. E. Làm chủ thời gian. Thời gian trong hệ thống PKI bao gồm tính tuyệt nhất quán, đồng nhất giữa toàn bộ cácthành phần. F. Tiếp xúc giữa những PKI. Các thành phía bên trong hệ thống giao tiếp được với nhau, các hệ thống PKIkhác nhau cũng hoàn toàn có thể giao tiếp được như các thành phần không giống trong cùng hệthống. 2.4.1.5. Các thành phần đảm bảo bình an thông tin. 2.4.1.5.1. Kỹ thuật bảo mật thông tin thông tin. Hệ mã hoá thường được áp dụng nhất trong số hệ PKI ship hàng bảo mậtthông tin là hệ mã hoá công khai minh bạch RSA. 2.4.1.5.2. Chuyên môn xác thực. Sử dụng sơ vật dụng chữ ký RSA. 2.4.1.6. Hệ thống cung ứng và cai quản chứng chỉ số. 2.4.1.6.1. Chứng chỉ số (Hình 2.12). A. Khái niệm. Chứng chỉ số là một trong những dạng phối kết hợp giữa 3 thành phần: - các thông tin diễn đạt về bản thân đối tượng: số định danh, tên, địa chỉemail, loại chứng chỉ, hạn sử dụng, phạm vi áp dụng... - Khoá công khai minh bạch tương ứng. - Chữ cam kết điện tử của cơ quan cấp phát chứng chỉ số cho những thông tin trên. B. Mục tiêu và ý nghĩa sâu sắc của chứng chỉ số. - Mã hoá thông tin: tiện ích đầu tiên của chứng từ số là tính bình an bảomật thông tin. - kháng giả mạo: Khi gởi đi một thông tin, gồm sử dụng chứng từ số,người nhận hoàn toàn có thể kiểm tra được tin tức của tín đồ gửi gồm bị biến đổi không. - Xác thực: Khi gửi một thông tin thanh toán kèm chứng từ số, bạn nhậnsẽ khẳng định rõ được tính danh của bạn gửi. - phòng từ chối: Khi sử dụng một chứng từ số, fan gửi yêu cầu chịu hoàntoàn trách nhiệm về những tin tức mà chứng từ số đi kèm. C. Chứng chỉ khoá công khai X.509. - Sử dụng phổ cập trong đa số các hệ thống PKI. Chứng từ X.509 v3là định dạng chứng từ được sử dụng phổ cập và được các nhà cung ứng PKItriển khai. - có 6 trường bắt buộc là: + Số phát hành (Serial number). + kỹ thuật mã hoá ký kết số (Certificate Signature Algorithm Identifier). + thương hiệu của CA vạc hành chứng chỉ (Certificate Issuer Name). + Thời hạn hiệu lực thực thi hiện hành của chứng chỉ (Certificate Validity Period). + Khoá công khai minh bạch (Pulic Key). + thương hiệu của chủ thể (Subject Name). D. Danh sách chứng chỉ thu hồi (Hình 2.13). - các chứng chỉ tất cả chứa ngày quá hạn sử dụng hiệu lực, lúc cần tịch thu một chứngchỉ trước thời hạn. Bạn phát hành đề xuất một phương tiện đi lại để update thông tintrạng thái chứng chỉ của mọi triệu chứng chỉ cho những người dùng. - list chứng chỉ tịch thu X.509 được bảo vệ bởi chữ ký số của CAphát hành. 2.4.1.6.2. Công ty phát hành chứng từ (Certificate Authrity). Nhân tố này thực hiện các chức năng chính của khối hệ thống như: - Tạo chứng chỉ số cho người dùng (xác thực cho các khóa công khai). - duy trì cơ sở dữ liệu hệ thống, chất nhận được phục hồi các cặp khóa ngườidùng. - yêu cầu khối hệ thống tuân thủ các thủ tục bảo mật. Số serial Khoá bí mật của nhà cung cấp Tên của cơ quan cấp phép phát chứng từ (theo chuẩn X.500) số Thời hạn có hiệu lực Hàm tên chủ cài đặt (theo băm chuẩn chỉnh X.500) tạo nên chữ ký kết Khóa công khai Phạm vi sử dụng các thông tin không ngừng mở rộng Chữ ký kết điện tử ở trong nhà cấp phát chứng chỉ số Hình 2.12: cấu trúc cơ bản của chứng từ số 2.4.1.6.3. Kho chứa chứng chỉ. Tiến hành việc tàng trữ để phân phối chứng từ số của người dùng hệthống CA, gồm các thông tin sau: - chứng chỉ số tín đồ dùng. - Danh sách những chứng chỉ bị thu hồi. - Thông tin chính sách người dùng. - hỗ trợ cơ chế phân phối chứng từ và CRLs đến các thực thể cuối. 2.4.1.6.4. Cơ quan đăng ký chứng chỉ (Registration Authority). Cung cấp giao diện cho những người điều hành khối hệ thống thực hiện những chứcnăng của hệ thống CA như: bổ sung người cần sử dụng (xác thực chứng chỉ ngườidùng); làm chủ người sử dụng và chứng từ của bạn dùng; thống trị chính sáchan toàn; thiết kế cây xác thực. 2.4.1.6.5. Mô hình tổ chức chứng thực số (Certification Authority - CA). Hiện thời trên thế giới có ba mô hình tổ chức xác thực số là: a. Quy mô phân cấp hay tế bào hình xác nhận gốc - Hình 2.14. được cho phép xây dựng một khối hệ thống CA hình cây cùng với một gốc duy độc nhất vô nhị gọilà Root
CA, dưới Root
CA rất có thể là những Sub
CA cùng dưới các Sub
CA lại có thể làcác Sub
CA khác.

bảo mật và bảo đảm bình an thông tin tài liệu đang là vấn đề thời sựđược các nhà khoa học tập trung nghiên cứu, là một trong chủ đề rộng gồm liênquan đến các lĩnh vực; trong thực tế rất có thể có nhiều cách thức đượcthực hiện nhằm đảm bảo an ninh thông tin dữ liệu. Ngày nay, với sự phát triểnnhanh nệm của hạ tầng truyền thông, người tiêu dùng dựa trên gốc rễ nàyđể truyền những thông tin trên mạng thì các nguy cơ tiềm ẩn xâm nhập vào các hệ thốngthông tin, những mạng tài liệu ngày càng gia tăng. Nhiều chuyên viên đang tậptrung phân tích và tìm kiếm mọi phương án để bảo đảm an toàn an toàn, an toàn cho hệthống, đặc biệt là các hệ thống mạng máy tính xách tay trong các c ơ quan đơn vị nước.Việc bảo mật thông tin cho hệ thống mạng trang bị tính có thể thực hiện nay theo nhiềuphương diện, ở những tầng khác nhau, bao gồm từ ph ương diện kiểm soát truynhập vật lý vào hệ thống; tiến hành sửa chữa, cập nhật, upgrade hệ điều hànhcũng như vá phần đa lỗ hổng về an ninh, làm chủ các chuyển động gửi/nhận email vàtruyền mua văn phiên bản trên mạng (Giám liền kề qua tường lửa, các bộ xác định Router,phát hiện với phòng dự phòng sự xâm nhập, );

93 trang | phân chia sẻ: duongneo | Lượt xem: 4128 | Lượt tải: 5
Bạn vẫn xem trước trăng tròn trang tư liệu Luận văn bảo mật thông tin và bình yên thông tin trong khối hệ thống mạng cục bộ của cơ sở nhà nước, giúp thấy tài liệu hoàn chỉnh bạn click vào nút download ở trên
Bảo mật và bình an thông tin trong hệ thống mạng toàn cục của ban ngành nhà nước
Trang 1ĐẠI HỌC QUỐC GIA HÀ NỘITRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN---------------------------PHÙNG THỊ THANH MAIBẢO MẬT VÀ AN TOÀN THÔNG TINTRONG HỆ THỐNG MẠNG CỤC BỘCỦA CƠ quan lại NHÀ NƯỚCLUẬN VĂN THẠC SĨ KHOA HỌCHà Nội – 2011Bảo mật và an toàn thông tin trong khối hệ thống mạng toàn bộ của phòng ban nhà nước
Trang 2ĐẠI HỌC QUỐC GIA HÀ NỘITRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN---------------------PHÙNG THỊ THANH MAIBẢO MẬT VÀ AN TOÀN THÔNG TINTRONG HỆ THỐNG MẠNG CỤC BỘCỦA CƠ quan liêu NHÀ NƯỚCChuyên ngành: bảo đảm toán học mang lại máy tínhvà khối hệ thống tính toán
Mã số: 60.46.35LUẬN VĂN THẠC SĨ KHOA HỌCNgười trả lời khoa học: PGS.TS. Đoàn Văn Ban
Hà Nội – Năm 2011Bảo mật và an toàn thông tin trong khối hệ thống mạng tổng thể của ban ngành nhà nước
Trang 3Lời cảm ơn
Để xong Luận văn “Bảo mật và an ninh thông tin vào hệthống mạng toàn cục của ban ngành nhà nước, tác giả đã nhận được được sự hướngdẫn và trợ giúp nhiệt tình của tương đối nhiều tập thể cùng cá nhân.Trước hết, người sáng tác xin trân trọng cảm ơn Ban chỉ huy cùng Quý thầycô trong Khoa Toán – Cơ – Tin học, trường Đại học tập Khoa học thoải mái và tự nhiên Hà
Nội sẽ tận tình dạy dỗ; truyền đạt những kiến thức, tay nghề quý báu v àtạo điều kiện tiện lợi cho người sáng tác trong suốt thời hạn học tập và thực hiệnđề tài.Đặc biệt, người sáng tác xin giữ hộ lời cảm ơn thâm thúy tới PGS. TS Đoàn Văn Ban– người thầy luôn ân cần chỉ bảo, sức nóng t ình hướng dẫn, cung ứng những tàiliệu để giúp đỡ người sáng tác trong quá trình học tập và xong xuôi luận văn.Tác trả cũng xin trân trọng cám ơn Sở thông tin và truyền thông Thái
Bình, những đồng nghiệp đã chế tác mọi đk thuận lợi, hễ vi ên người sáng tác trongsuốt quy trình học tập và triển khai đề tài.Trong phạm vi luận văn tốt nghiệp cao học rất khó có thể có thể biểu đạt hết ý vềmặt lý thuyết cũng giống như kỹ thuật, tuy nhiên đã vắt gắng xong luận văn vớitất cả sự cố gắng nỗ lực của phiên bản thân, chấm dứt luận văn khó rất có thể tránh khỏi nhữngthiếu sót. Kính ý muốn nhận được những ý kiến đóng góp để tác giả tiếp tụchoàn thiện kiến thức cũng như phương án của mình.Xin chân thành cảm ơn !Hà Nội, mon 8 năm 2011Tác giả
Phùng Thị Thanh Mai

Xem thêm: Luận án ung thư thực quản - kết quả sớm phẫu thuật nội soi đường ngực

Bảo mật và an toàn thông tin trong khối hệ thống mạng toàn cục của cơ sở nhà nước
Trang 4MỤC LỤCDANH MỤC CÁC THUẬT NGỮ, TỪ VIẾT TẮT ................................ .... 6DANH MỤC HÌNH VẼ................................ ................................ ................ 7MỞ ĐẦU................................ ................................ ................................ ....... 8Chương 1. CÁC PHƯƠNG PHÁP BẢO MẬT THÔNG TIN - TỔNGQUAN VỀ HỆ MẬT MÃ................................ ................................ ........... 121.1. Vụ việc bảo mật, an toàn thông tin................................ .................. 121.1.1. Bảo vệ bình yên thông tin dữ liệu trong các cơ quan đơn vị nước...... 131.1.2 các chiến lược bảo vệ bình an cho hệ thống mạng máy vi tính ........ 131.1.3. Bình an thông tin bằng mật mã ................................ ................... 161.1.4. Phương châm của hệ mật mã ................................ ................................ . 171.2. Hệ mật mã................................ ................................ ........................ 171.2.1. Định nghĩa hệ mật mã ................................ ................................ 171.2.2. Hầu hết yêu cầu so với một hệ mật mã................................ ........ 181.2.3. Phân nhiều loại hệ mật mã................................ ................................ .... 181.3. Mã hóa đối xứng ................................ ................................ .............. 191.3.1. Định nghĩa ................................ ................................ .................. 191.3.2. Chuẩn chỉnh mã hóa tài liệu DES................................ ......................... 201.4. Mã hóa bất đối xứng (mã hóa khóa công khai) .............................. 261.4.1. Reviews chung ................................ ................................ ......... 261.4.2. Một thuật toán cần sử dụng trong hệ mật mã khoá công khai: RSA ....... 281.5. Mã hóa RSA ................................ ................................ ..................... 291.5.1. Sự thành lập của hệ mật mã RSA ................................ .................... 291.5.2. Trình bày thuật toán ................................ ................................ .......... 291.5.3. Hàm băm (hash)................................ ................................ .......... 301.5.4. Chứng từ số ................................ ................................ .............. 351.6. Kết chương................................ ................................ ....................... 44Chương 2. CHỮ KÝ SỐ................................ ................................ ............. 462.1. Chữ cam kết điện tử ................................ ................................ ................. 462.2. Chữ cam kết số ................................ ................................ ........................ 462.3.1. Lược thiết bị chữ cam kết kèm thông điệp................................ .................. 482.3.2. Lược đồ chữ ký phục sinh thông điệp ................................ ......... 492.4. Một trong những lược thứ chữ ký kết cơ bản ................................ ......................... 51Bảo mật và bình an thông tin trong khối hệ thống mạng tổng thể của cơ sở nhà nước
Trang 52.4.1. Lược đồ dùng chữ ký RSA ................................ ................................ .. 512.4.2. Lược đồ dùng chữ ký DSA (Digital Signature Standard) ..................... 532.5. Nhì lược vật dụng chữ ký kết khả thi ................................ .............................. 582.6. Các phương thức tấn công chữ ký kết điện tử ................................ .... 582.7. Kết chương................................ ................................ ....................... 59Chương III. BẢO MẬT GỬI, NHẬN THƯ ĐIỆN TỬ (EMAIL) VÀTRUYỀN TẢI VĂN BẢN GIỮA CÁC CƠ quan NHÀ NƯỚC............ 603.1. Tổng quan tiền về gửi/nhận email và truyền tải văn phiên bản qua mạng ... 603.2. Những đặc trưng của gửi/nhận email và truyền mua văn bản trong hệthống mạng tổng thể và qua mạng Internet................................ ............. 603.3. Các vẻ ngoài hoạt động đa số của gửi/nhận email v à truyền tảivăn qua mạng ................................ ................................ ......................... 603.4. Bảo mật, xác thực việc gửi/nhận email và truyền download văn bản . 613.4.1. Bảo mật việc gửi/nhận e-mail và truyền thiết lập văn phiên bản qua mạng .... 613.4.2. Những khía cạnh bình yên ................................ ................................ . 633.4.3. Những kỹ thuật đảm bảo bình an cho gửi/nhận thư điện tử và truyền tảivăn bạn dạng ................................ ................................ ................................ . 643.5. Chương trình áp dụng ................................ ................................ .. 653.5.1. Thuật toán RSA thực thi quá tr ình xác nhận bằng phương pháp sử dụngchữ ký điện tử................................ ................................ ....................... 663.5.2. Trình làng phần mượt mã hóa PGP (Pretty Good Privacy) ........... 663.5.3. Buổi giao lưu của PGP ................................ ................................ .... 673.5.4. Cơ chế buổi giao lưu của PGP................................ .......................... 703.5.5. Vấn đề bảo mật thông tin của PGP ................................ ............................ 733.5.6. Phần mềm mã hóa PGP ................................ .............................. 743.5.7. Xuất khóa công khai minh bạch (Public PGP Key) ................................ ...... 793.5.8. Nhập khóa công khai PGP key................................ .................... 803.5.9. Kiểm tra bài toán mã hóa file vẫn gửi sử dụng PGP encryption ............... 813.5.10. Cần sử dụng chữ ký kết số cho vấn đề gửi/nhận email ................................ .. 843.6. Kết chương................................ ................................ ....................... 91KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN ................................ ................. 91TÀI LIỆU THAM KHẢO................................ ................................ .......... 93Bảo mật và an toàn thông tin trong khối hệ thống mạng cục bộ của cơ quan nhà nước
Trang 6DANH MỤC CÁC THUẬT NGỮ, TỪ VIẾT TẮTCA Certificate Authority – Cơ quan xác thực chữ cam kết số
DS Digital Signatures - Chữ cam kết số
DSA Digital Signature Algorithm - giải thuật ký năng lượng điện tử
DES Data Encryption Standard – chuẩn mã hóa dữ liệu
DSS Digital Signature Standard - chuẩn chữ cam kết số
EMAIL Electronic Mail - Thư điện tử
FTP file Transfer Protocol – Giao thức truyền tệp
Hacker fan đột nhập vào máy tính xách tay và phá hoại máy tính xách tay (tin tặc)HTTP Hypertext Transfer Protocol – Giao thức truyền vô cùng văn bản
ID Chỉ danh người tiêu dùng trên mạng
MD5 Message Digest algorithm 5 - giải thuật của hàm băm
Router Thiết bị có thể chấp nhận được gửi các gói dữ liệu dọc theo mạng
RSA Rivest, Shamir & Adleman - lời giải mã hóa công khai
PGP Pretty Good Privacy – phần mềm mã hóa tài liệu và xác thực
PKI Public Key Infrastructure – hạ tầng khóa công khai
SHA Secure Hash Algorithm – lời giải băm an toàn
S-HTTP Secure Hypertext Transfer Protoco - Giao thức truyền khôn cùng VB an toàn
SSL Secure Socket Layer - Giao thức an toàn thông tin
UBND Ủy ban nhân dân
TCP/IP Transmission Control Protocol/Internet Protocol - một hệ thốngcác giao thức cung cấp việc media tin bên trên mạng
WEB Một loại siêu văn phiên bản (tập tin dạng HTML hoặc XHTML) tr ìnhbày thông tin trên mạng Internet, tại một địa chỉ nhất định
Bảo mật và bình an thông tin trong hệ thống mạng toàn bộ của cơ quan nhà nước
Trang 7DANH MỤC HÌNH VẼHình 1.1: các mức độ đảm bảo trên mạng sản phẩm công nghệ tính......13Hình 1.2: Sơ đồ vật mã hóa khóa đối xứng...17Hình 1.3: Một vòng của DES..19Hình 1.4: Hàm f của DES21Hình 1.5: Sơ trang bị thuật toán tạo những khóa trường đoản cú K1 mang đến K16 22Hình 1.6: Sơ đồ vật mô tả chi tiết DES.22Hình 1.7: Sơ đồ mô tả phiên bản băm thông điệp.... .30Hình 1.8a: Đường đi đúng của thông tin.31Hình 1.8b: tin tức bị đem trộm cùng đã bị biến đổi trên đường truyền.......31Hình 1.9: Sơ đồ chế tạo chữ ký kết số.....33Hình 1.10: Sơ đồ chứng thực chữ cam kết số..33Hình 1.11: sử dụng mật khẩu đảm bảo máy khách liên kết tới sản phẩm dịch vụ...35Hình 1.12. Xác thực của đồ vật khách kết nối tới máy dịch vụ.37Hình 1.13: Sơ đồ hoạt động của Hệ thống cấp chứng từ khóa công khai .39Hình 1.14: mô hình dây chuyền chứng thực...41Hình 2.1: Lược vật dụng chữ ký kèm thông điệp......47Hình 2.2: Lược đồ dùng chữ ký phục hồi thông điệp.48Hình 2.3: Lược vật chữ cam kết DSA..51Hình 3.1: Sơ vật mã hóa khóa công khai.....66Hình 3.2: Sơ đồ dùng của PGP hiện ra chuỗi ký tự mã....70Hình 3.3: Sơ vật của PGP đón nhận chuỗi ký tự mã....70Bảo mật và bình yên thông tin trong hệ thống mạng tổng thể của cơ quan nhà nước
Trang 8MỞ ĐẦU1. Tại sao chọn đề tài
Bảo mật và bảo đảm bình yên thông tin dữ liệu đang là sự việc thời sựđược những nhà khoa học tập trung nghiên cứu, là một trong những chủ đề rộng gồm liênquan đến những lĩnh vực; trong thực tế có thể có nhiều cách thức đượcthực hiện để đảm bảo an ninh thông tin dữ liệu. Ngày nay, với việc phát triểnnhanh nệm của hạ tầng truyền thông, người tiêu dùng dựa trên căn nguyên nàyđể truyền các thông tin bên trên mạng thì các nguy hại xâm nhập vào những hệ thốngthông tin, các mạng tài liệu ngày càng gia tăng. Nhiều chuyên gia đang tậptrung phân tích và tìm kiếm mọi giải pháp để bảo vệ an toàn, bình an cho hệthống, đặc biệt là các hệ thống mạng máy vi tính trong những cơ quan nhà nước.Việc bảo mật thông tin cho khối hệ thống mạng đồ vật tính có thể thực hiện theo nhiềuphương diện, ở nhiều tầng khác nhau, bao gồm từ ph ương diện kiểm soát truynhập trang bị lý vào hệ thống; thực hiện sửa chữa, cập nhật, tăng cấp hệ điều hànhcũng như vá những lỗ hổng về an ninh, làm chủ các chuyển động gửi/nhận thư điện tử vàtruyền cài văn phiên bản trên mạng (Giám sát qua tường lửa, các bộ xác định Router,phát hiện với phòng dự phòng sự xâm nhập,); xây đắp các chiến thuật bảo mật ởmỗi phần mềm để quản lý người dùng thông qua việc cung cấp quyền sử dụng, mậtkhẩu, mật mã, mã hóa tài liệu để đậy giấu thông tin. Nếu không có sự bảo vệphụ trợ, như mã hóa dữ liệu thì môi trường Internet thực sự chưa hẳn là nơian toàn để trao đổi tài liệu và những tài liệu tin tức mật.Với sự cải cách và phát triển ngày càng nhanh và mạnh của Internet như hiện nay naythì việc áp dụng chữ cam kết số càng có không ít ứng dụng trong thực tiễn . Bài toán sửdụng chữ cam kết số là hết sức quan trọng và cần thiết trong vấn đề gửi/nhận những vănbản giữ hộ qua khối hệ thống thư điện tử, qua hệ thống cung ứng quản lý, điều h ành, tácnghiệp. Chữ ký số, cơ sở hạ tầng khóa công khai (PKI) cùng những tiêu chuẩn chỉnh vàứng dụng của nó rất có thể làm biến đổi phương thức và nâng cao hiệu quả làm
Bảo mật và bình yên thông tin trong khối hệ thống mạng cục bộ của cơ quan nhà nước
Trang 9việc của cán bộ trong các cơ quan bên nước để đáp ứng nhu cầu công tác điều hành,quản lý trong tiến trình hiện nay. Mô hình chữ ký kết số đảm bảo an ninh dữ liệukhi gửi, thừa nhận trên mạng cùng đươc sử dụng để tạo chứng nhận điện tử trong cácthông tin được truyền đi trên mạng Internet. Ngày nay, hệ mã hóa thườngđược áp dụng để xây dựng những lược vật dụng chữ ký kết số, đó là hệ mã hóa RSA.Chính vị những vấn đề trong thực tế trên, luận văn: ”Bảo mật và bình yên thôngtin trong hệ thống mạng tổng thể của cơ quan nhà nước” tập trung nghiêncứu 1 trong các những phương pháp bảo vệ bình an thông tin tài liệu có tính antoàn cao hiện nay, đó là dùng hệ mã hóa khóa công khai, các chứng chỉ số,chữ ký số trong việc xác thực tin tức truyền cài đặt trên mạng và thiết lập ứngdụng nhằm đảm bảo an ninh thông tin trong khối hệ thống mạng máy tính của cơ quannhà nước.2. Mục tiêu nghiên cứu
Luận văn tập trung nghiên cứu và phân tích về những giải pháp bình an thông tin, hệmật mã, chú trọng phân tích khóa công khai, chữ cam kết số và vận dụng của chữký số, mã hoá tài liệu để bảo mật, bình yên thông tin của các cơ quan công ty nướchiện nay trong những giao dịch gửi, thừa nhận thư điện tử cùng truyền tải văn bản tronghệ thống mạng viên bộ.3. Đối tượng với phạm vi nghiên cứu
Luận văn nghiên cứu và phân tích các quan niệm của triết lý mật mã, thuật toán mãhóa đối xứng (như DES), bất đối xứng (như mật mã khóa công khai minh bạch RSA),chữ cam kết số, chứng chỉ số, ứng dụng chữ ký số trong gửi /nhận email và truyềntải văn bản qua mạng.4. Phương pháp nghiên cứu+ Tiếp cận phân tích và tổng hợp: Đọc tài liệu, tổng phù hợp thuyết, phântích triết lý về Hệ mật mã đối xứng, hệ mật mã bất đối xứng (hệ mật mãkhóa công khai), chữ ký kết số, áp dụng chữ cam kết số để bảo mật các khối hệ thống dùng
Bảo mật và bình an thông tin trong khối hệ thống mạng tổng thể của cơ sở nhà nước
Trang 10chung sẽ được làm chủ tại Trung trọng điểm tích hợp tài liệu của tỉnh giấc với một sốtính năng cơ bản như: gồm cơ chế phân bổ khóa từ động, mã hóa những thông tincần thiết lúc gửi/nhận các thông tin;+ Tiếp cận theo định tính và định lượng: nghiên cứu cơ sở khoa học củamã hóa, chữ cam kết số của các tác mang trong và xung quanh nước, những bài báo, thông tintrên mạng, tò mò các quy mô bảo mật, chứng từ sốtừ đó trình diễn theoý tưởng của mình và đề xuất các giải pháp bảo mật, an toàn thông tin tronggửi/nhận tài liệu qua mạng Internet của những cơ quan đơn vị nước bên trên địa bàn.+ thiết lập phần mượt ứng dụng bảo mật PGP để triển khai nổi bật tính ứngdụng của hệ mã hóa gửi/nhận e-mail qua hệ thống thư điện tử của tỉnh với traođổi các tệp tài liệu trong mạng khối hệ thống điều hành, cai quản văn bạn dạng của Sở.Trên cơ sở phân tích các cơ chế, chính sách sẽ đk với Ban cơ yếu
Chính lấp cấp chứng chỉ số đến Sở thông tin và media Thái Bình. Từđó rút kinh nghiệm tay nghề và nhân rộng lớn việc tiến hành sử dụng chữ ký kết số tới các sở,ban, ngành, UBND các huyện, thành phố trên địa bàn tỉnh thái bình trongnăm 2012 và các năm tiếp theo.5. Bố cục Luận văn
Luận văn được trình diễn trong ba chương:- Chương 1. Nghiên cứu và phân tích các vụ việc về bảo mật, an toàn thông tin dữliệu và những chiến lược bảo vệ bình an cho hệ thống mạng máy tính xách tay trong cáccơ quan bên nước; phân tích tổng quan lại về hệ mật mã, cách thức mã hóađối xứng, mã hóa bất đối xứng cùng sự ra đời của hệ mật mã khóa công khai
RSA, đó là đại lý khoa học mang lại việc sử dụng chữ ký kết số vào việc bảo mật vàxác thực thông tin.- Chương 2. Phân tích các lược thứ chữ ký số, tìm ra hai lược thứ chữký số khả thi đồng thời phân tích các cách thức tấn công chữ ký kết điện tử.Bảo m