LINK DOWNLOAD MIỄN PHÍ TÀI LIỆU "xây dựng giải pháp đảm bảo an toàn thông tin trong hệ thống tàng thư adn của công an thành phố hà nội": http://123doc.vn/document/1044304-xay-dung-giai-phap-dam-bao-an-toan-thong-tin-trong-he-thong-tang-thu-adn-cua-cong-an-thanh-pho-ha-noi.htm
5
LỜI CAM ĐOAN
Tôi xin cam đoan kết quả đạt được trong luận văn là sản phẩm của riêng
cá nhân, không sao chép lại của người khác. Trong toàn bộ nội dung của luận
văn, những điều được trình bày hoặc là của cá nhân hoặc là được sự tổng hợp từ
nhiều nguồn tài liệu. Tất cả các tài liệu tham khảo đều có xuất xứ rõ ràng và
được trích dẫn hợp pháp.
Tôi xin hoàn toàn chịu trách nhiệm và chịu mọi hình thức kỷ luật theo quy
định theo lời cam đoan của mình.
Hà nội ngày 20 tháng 06 năm 2009
Phạm Thị Thu
6
CÁC KÝ HIỆU VIẾT TẮT
ACL: Access Control List
ADN: Deoxyribonucleic acid
ATM: Automatic Teller Machine
CSDL: Cơ sở dữ liệu
DSS: Digital Signature Standard
GĐV: Giám định viên
I&A: Identification & Authentication
LĐP: Lãnh đạo phòng
NIST: National Institute of Standards and Technology
PIN: Personal Identification Number
UID: User Identification
XOR: Exclusive-Or
7
MỞ ĐẦU
Kỹ thuật gen (ADN) trong khoa học hình sự đã được áp dụng từ cuối
những năm 1980 và đang ngày càng phổ biến trên thế giới với những ưu điểm
lớn như phong phú về chủng loại dấu vết bởi tất cả các dấu vết, mẫu vật từ cơ
thể người (lông, tóc, dịch, máu, mô…) đều có thể là nguồn giám định gen, lượng
dấu vết cần cho giám định ít, độ nhạy và tính chính xác cao. Giám định gen
được dùng để truy nguyên cá thể người, xác định quan hệ huyết thống, xác định
hài cốt và người chết chưa rõ tung tích, đạt hiệu quả rất cao trong truy tìm tội
phạm, xác định tung tích nạn nhân, giúp rút ngắn thời gian điều tra, xác minh,
sàng lọc dấu vết thu được ở hiện trường và chia sẻ dữ liệu quốc tế. Hiện nay, đã
có hơn 60 nước trên thế giới áp dụng công nghệ này trong đấu tranh phòng
chống tội phạm. Một số nước như Anh, Australia, Trung Quốc, Singapore, Mỹ,
Hà Lan, Nhật Bản… đã xây được hệ thống tàng thư gen tội phạm rất hiện đại và
quy mô. Tại Việt Nam, từ năm 1999, Viện Khoa học hình sự - Bộ Công an đã sử
dụng công nghệ giám định gen, phục vụ đắc lực công tác điều tra phá án, trong
đó nhiều vụ án quan trọng giám định gen là chìa khóa duy nhất để phá án.
Điều này đã đặt ra yêu cầu cấp bách về việc nước ta cần có một tàng thư
gen quốc gia phục vụ công tác đấu tranh phòng chống tội phạm và các mục đích
công khác.
Hệ thống thông tin quản lý tàng thư ADN được hình thành trên cơ sở đề
tài nghiên cứu“Bước đầu xây dựng tàng thư ADN nhận dạng cá thể tại địa bàn
thành phố Hà Nội” do Công an TP Hà nội thực hiện nhằm phục vụ cho công tác
quản lý tái phạm của các đối tượng có tiền án tiền sự, nâng cao hiệu quả điều tra
khám phá án trong tình hình diễn biến của các loại tội phạm ngày càng phức
tạp. Đồng thời, hệ thống này cũng làm tiền đề cho việc xây dựng một Hệ thống
quản lý tàng thư ADN phục vụ công tác giám định hình sự dựa trên ADN. Đây
là một hệ thống được xây dựng mới hoàn toàn ở nước ta do việc ứng dụng thành
tựu khoa học vào trong công tác nghiệp vụ nên việc phân tích, thiết kế hệ thống
được thực hiện trên cơ sở mục tiêu, yêu cầu đối với hệ thống của đề tài, kỹ thuật
và công nghệ được áp dụng để phân tích ADN, các yêu cầu về mặt pháp lý đối
với việc sử dụng tàng thư ADN để giám định hình sự. Việc xây dựng tàng thư
gen tội phạm thực chất là xây dựng cơ sở dữ liệu riêng về các đối tượng là tội
phạm và các đối tượng có hành vi vi phạm pháp luật khác, cụ thể là xây dựng
một ngân hàng dữ liệu gen tội phạm của các đối tượng có tiền án, các loại tội
phạm xâm phạm tính mạng, sức khỏe, danh dự, nhân phẩm và các loại tội đặc
biệt nghiêm trọng khác, xây dựng ngân hàng dữ liệu gen các dấu vết ở hiện
trường, mẫu gen của người chết chưa rõ tung tích, để phục vụ công tác đấu
8
tranh phòng chống tội phạm, cùng với tàng thư vân tay, tàng thư ADN sẽ là sự
bổ sung quan trọng vào kho thông tin của lực lượng Công an nhân dân trong
cuộc đấu tranh phòng chống tội phạm, bảo vệ an ninh quốc gia, giữ gìn trật tự
an toàn xã hội.
Như vậy có thể nhận thấy rằng hệ thống tàng thư ADN tội phạm là một hệ
thống thông tin quan trọng, đòi hỏi phải đảm bảo tính khách quan, chính xác
của dữ liệu lưu trữ. Trong ngành Công an hiện có một số hệ thống thông tin
phục vụ công tác lưu trữ, khai thác, quản lý đối tượng phạm tội như hệ thống
quản lý đối tượng, hệ thống quản lý vân tay Tuy nhiên, các hệ thống này đều
là hệ thống mang tính quản lý thông tin dữ liệu, chưa gắn với tác nghiệp nghiệp
vụ và chưa quan tâm đến các yếu tố pháp lý trong kết quả tra cứu trả ra. Vì vậy,
thông tin kết quả vẫn còn thiếu tính pháp lý, khi sử dụng cần có sự quyết định
thêm của con người. Đối với việc giám định dựa trên vân tay, việc kiểm tra kết
quả tra cứu có thể thực hiện dễ dàng bằng mắt và không tốn kém. Tuy nhiên,
các hệ thống thông tin phục vụ công tác giám định hiện nay vẫn chưa thể xác
định được kết quả tra cứu là hoàn toàn khách quan, không bị can thiệp bằng yếu
tố chủ quan hoặc nguyên nhân khách quan khác.
Trên cơ sở những nhận định trên nền việc phân tích, thiết kế Hệ thống
thông tin quản lý tàng thư ADN của Công an thành phố Hà Nội cũng như các
yêu cầu về mặt pháp lý đối với việc sử dụng tàng thư ADN để giám định hình
sự, được sự giúp đỡ của giáo viên hướng dẫn và được sự đồng ý của trường Đại
học Công nghệ, tôi đã mạnh dạn nghiên cứu và chọn đề tài “Xây dựng giải pháp
đảm bảo an toàn thông tin trong hệ thống tàng thư ADN của Công an Thành
phố Hà Nội” làm đề tài cho luận văn tốt nghiệp của mình. Trên cơ sở tìm hiểu
các biện pháp bảo đảm an toàn thông tin, luận văn đi sâu vào tìm hiểu chữ kí số
và ứng dụng chữ kí số trong việc đảm bảo tính toàn vẹn thông tin trong hệ thống
thông tin quản lý tàng thư ADN.
Ngoài phần mở đầu và kết luận, nội dung luận văn bao gồm:
Chương 1: Tổng quan về an toàn thông tin
Chương này cung cấp những thông tin khái quát về thông tin, các thuộc
tính của thông tin, an toàn thông tin và những yếu tố ảnh hưởng đến an toàn
thông tin, một số giải pháp đảm bảo an toàn thông tin.
Chương 2: Xác thực và bảo đảm toàn vẹn dữ liệu dựa trên chữ kí số
Chương này nghiên cứu về xác thực, chữ kí số, các loại kí số và ứng dụng
chữ kí số vào đảm bảo tính toàn vẹn của thông tin. Chương 2 cũng đi sâu vào
nghiên cứu sơ đồ chữ kí RSA là sơ đồ chữ kí được sử dụng để đảm bảo tính toàn
vẹn dữ liệu trong Hệ thống thông tin quản lý tàng thư ADN.
9
Chương 3: Xây dựng giải pháp đảm bảo an toàn thông tin trong hệ
thống tàng thư ADN của Công an Thành phố Hà Nội
Chương này đi sâu nghiên cứu thực trạng về Hệ thống tàng thư ADN, các
vấn đề an toàn đặt ra đối với Hệ thống tàng thư ADN của Công an Thành phố
Hà Nội. Từ đó xây dựng giải pháp để đảm bảo an toàn thông tin lưu trữ trong hệ
thống.
Đây là một đề tài có tính ứng dụng trong thực tiễn, tuy nhiên khả năng của
học viên còn hạn chế nên không thể tránh khỏi những thiếu sót. Kính mong các
thầy cô giúp đỡ, góp ý để luận văn hoàn thiện hơn nữa nhằm đưa đề tài luận văn
áp dụng thành công vào dự án, đổi mới công tác nghiệp vụ của Công an Thành
phố Hà Nội.
10
CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN THÔNG TIN
1.1 Định nghĩa về thông tin và an toàn thông tin
1.1.1 Định nghĩa về thông tin
Theo định nghĩa một cách chung nhất thì thông tin là những hiểu biết, tri
thức của con người về một đối tượng, một thực thể, một sự kiện trong thế giới
khách quan. Thông tin có thể tồn tại dưới nhiều dạng khác nhau (chữ viết, âm
thanh, hình ảnh hoặc chuỗi những chữ số). Chính vì thế thông tin cũng có thể
trao đổi được dưới nhiều hình thức khác nhau, trong đó hình thức trao đổi thông
tin dưới dạng thông tin số đang là một hình thức tiện lợi và được áp dụng vào
hầu hết các lĩnh vực của cuộc sống ngày nay.
Thông tin thường rất đa dạng, phong phú, mỗi một thông tin khác nhau sẽ
có giá trị khác nhau. Giá trị của thông tin phụ thuộc vào nội dung của thông tin
đó.
1.1.2 Các thuộc tính của thông tin
Các thuộc tính của thông tin bao gồm:
- Tính bí mật (Confidentiality): mỗi người chỉ có thể có được những loại
thông tin cho phép. Thông tin khó có thể bị truy cập bởi những người
không có thẩm quyền.
- Tính sở hữu hay tính kiểm soát (Possession or Control): giả sử một kẻ
ăn trộm được một phong bì đóng kín có chứa một thẻ tín dụng và trong
đó có cả mật mã (số PIN: Personal Identification Number). Thậm chí
nếu kẻ trộm không mở phong bì đó ra thì nạn nhân cũng lo lắng rằng
kẻ trộm có thể mở phong bì ra bất cứ khi nào hắn ta muốn mà không
cần phải có sự cho phép của người chủ sở hữu phong bì đó (nạn nhân).
Điều này minh họa cho việc mất tính sở hữu hoặc kiểm soát thông tin
nhưng không bao gồm sự xâm phạm tính bí mật.
- Tính toàn vẹn (Integrity): tham chiếu tới khía cạnh chính xác hoặc phù
hợp với trạng thái của thông tin mong muốn. Bất kỳ sự thay đổi không
được phép thông tin nào dù là vô tình hay cố ý đều xâm phạm đến tính
toàn vẹn của thông tin.
- Tính xác thực (Authenticity): tham chiếu đến nhãn hoặc quyền hạn
chính xác của thông tin. Ví dụ một tên tội phạm giả mạo phần đầu một
bức thư điện tử (email header) làm cho mọi người tưởng là một người
vô tội khác để gửi thư đe dọa. Ở đây không có sự xâm phạm tính bí
mật (vì tên tội phạm sử dụng tài khoản email của chính hắn), tính sở
hữu hay kiểm soát (không có thông tin nào vượt ra ngoài tầm điều
khiển của nạn nhân), và cũng không xâm phạm tính toàn vẹn (bức thư
11
điện tử được gửi đi đúng như tên tội phạm mong muốn). Cái bị xâm
phạm ở đây là tính xác thực: thư điện tử đó được quy cho một người
khác. Tương tự việc lạm dụng một trường trong cơ sở dữ liệu để lưu
trữ những thông tin không đúng nhãn là xâm phạm tính xác thực.
- Tính sẵn sàng (Availability): có nghĩa là sự truy cập tới thông tin đúng
lúc. Ví dụ một sự cố về đĩa hoặc một cuộc tấn công từ chối dịch vụ đều
xâm phạm đến tính sẵn sàng. Bất cứ một sự trễ nào vượt quá mức độ
phục vụ mong đợi của hệ thống đều có thể được coi như sự xâm phạm
tính sẵn sàng.
- Tính hữu dụng (Utility): ví dụ một người nào đó mã hóa dữ liệu trên
đĩa để ngăn ngừa việc truy cập trái phép hoặc thay đổi không lường
trước được và sau đó làm mất khóa giải mã. Đó là sự xâm phạm tính
hữu dụng. Dữ liệu vẫn còn tính bí mật, điều khiển, toàn vẹn, xác thực,
sẵn sàng. Nó chỉ không hữu dụng trong dạng đó mà thôi. Tính hữu
dụng thường bị nhầm lẫn với tính sẵn sàng bởi vì những sự xâm phạm
đến tính hữu dụng thường phải mất thời gian để chuyển đổi định dạng
dữ liệu. Tuy nhiên hai khái niệm hữu dụng và sẵn sàng là hoàn toàn
khác nhau.
Hình 1.1 Sơ đồ 6 thuộc tính cơ bản của thông tin
Những thuộc tính này của thông tin mang tính chất của nguyên tử, tức là
chúng không thể bị chia nhỏ hơn nữa. Hơn nữa, chúng cũng không trùng lặp với
nhau bởi mỗi thuộc tính này đều tham chiếu đến một khía cạnh duy nhất của
thông tin. Bất kỳ sự xâm phạm an ninh thông tin nào cũng có thể được mô tả
12
như sự ảnh hưởng đến một hoặc nhiều trong số những thuộc tính cơ bản này của
thông tin.
1.1.3 An toàn thông tin
An toàn thông tin là quá trình đảm bảo những thuộc tính của thông tin.
Hay nói cách khác, an toàn thông tin là việc bảo vệ thông tin khỏi các truy cập
trái phép, sử dụng, tiết lộ, phá hủy, sửa đổi, phá hoại không được phép.
Các thuật ngữ an toàn thông tin, an toàn máy tính, bảo đảm thông tin
thường xuyên được sử dụng thay thế cho nhau. Các thuật ngữ này có liên hệ với
nhau và chúng cùng chia sẻ mục đích chung là bảo vệ tính bí mật, tính toàn vẹn,
tính sẵn sàng của thông tin. Tuy nhiên có sự khác biệt tinh tế giữa chúng. Những
khác nhau này chủ yếu nằm trong cách tiếp cận vấn đề, phương pháp luận và
trọng tâm của mỗi khái niệm. An toàn thông tin tập trung vào các thuộc tính: bí
mật, toàn vẹn, sở hữu hay kiểm soát, xác thực, tính hữu dụng, tính sẵn sàng của
thông tin mà không để ý đến các dạng thông tin như: dạng lưu trữ trong máy
tính, dạng in trên giấy…
1.1.4 Các yếu tố ảnh hưởng đến an toàn thông tin
An toàn thông tin được đảm bảo dựa trên 4 yếu tố cơ bản là: chính sách,
con người, quy trình và công nghệ. Những yếu tố này cần được thiết lập để thực
thi có hiệu quả mục tiêu đảm bảo an toàn đối với một tổ chức hay một quốc gia.
a. Chính sách (Policy)
Chính sách an ninh an toàn là một kế hoạch ở mức cao, cung cấp định
hướng để thực hiện các quyết định nhất định. Nó là nền tảng để phát triển các
hướng dẫn về an ninh an toàn và các thủ tục mà người sử dụng, người quản trị
hệ thống phải thực hiện. Chính sách an ninh an toàn là tài liệu có tính định
hướng chiến lược.
Mục đích của chính sách :
+ Cung cấp tổng quan các yêu cầu bảo mật của hệ thống và mô tả cách
thức điều khiển hoặc mô tả các kế hoạch để thỏa mãn các yêu cầu đó.
+ Quy định trách nhiệm và các ứng xử được phép của từng người truy cập hệ
thống.
b. Con người (People)
Con người là yếu tố tạo nên an toàn thông tin nhưng chính con người
cũng chịu ảnh hưởng của an toàn thông tin. Con người có thể góp phần thực
hiện tốt các chính sách an ninh bằng nhiều cách như: nhận dạng các đoạn mã
hiểm độc, thông báo những sự thay đổi của thông tin, phát hiện ra những hành
động đáng ngờ nhằm chiếm quyền sử dụng, v.v… Nhưng mặt khác, con người
cũng được coi là mắt xích yếu nhất trong vấn đề đảm bảo an toàn thông tin. Việc
13
con người không tuân thủ theo những chính sách an toàn thông tin chính là một
nguyên nhân lớn nhất gây ra các lỗ hổng bảo mật bên trong nội bộ của một tổ
chức, một quốc gia. Việc đảm bảo an toàn thông tin là cả một quá trình, trong đó
đòi hỏi việc triển khai một chính sách an ninh tốt, phù hợp với điều kiện thực tế,
và yếu tố con người là một phần chính trong quá trình đó.
c. Quy trình ( Process):
Quy trình đảm bảo an toàn là phương pháp mà các tổ chức dùng để thực
thi và đạt được mục tiêu an toàn của chúng. Quy trình được thiết kế để xác định,
giới hạn, quản lý và kiểm soát các nguy cơ đối với hệ thống và dữ liệu, đảm bảo
tính sẵn sàng, tính bí mật và tính toàn vẹn của dữ liệu, đồng thời đảm bảo trách
nhiệm giải trình của hệ thống.
Phạm vi quy trình bao gồm 5 vấn đề sau:
+ Đánh giá nguy cơ đảm bảo an toàn: Là tiến trình nhằm xác định các
hiểm họa, tính dễ bị tổn thương, bị tấn công, mọi khả năng xuất hiện sự cố và
hậu quả xảy ra.
+ Chiến lược đảm bảo an toàn: Là kế hoạch nhằm làm giảm bớt các nguy
cơ, trong đó kết hợp các yếu tố về công nghệ, chính sách, thủ tục và sự huấn
luyện. Kế hoạch đó nên được xem trước và được sự đồng ý của ban lãnh đạo.
Các chiến lược bảo đảm an toàn thông tin bao gồm:
Cấp quyền tối thiểu (Least Privilege): nguyên tắc cơ bản trong an toàn
nói chung là “hạn chế sự ưu tiên”. Mỗi đối tượng sử dụng hệ thống (
người quản trị mạng, người sử dụng…) chỉ được cấp phát một số
quyền hạn nhất định đủ dùng cho công việc của mình.
Phòng thủ theo chiều sâu (Defense in Depth): nguyên tắc tiếp theo
trong an toàn nói chung là “bảo vệ theo chiều sâu”. Cụ thể là tạo lập
nhiều lớp bảo vệ khác nhau cho hệ thống:
Thông tin / / / / /
Access rights Login/Password Data Encryption Physical protection Firewall
+ Thi hành quyền kiểm soát an ninh: tiếp nhận và thao tác công nghệ, ấn
định những nhiệm vụ và trách nhiệm đặc biệt cho những người lãnh đạo và các
nhân viên, triển khai sự kiểm soát các nguy cơ một cách thích hợp, và đảm bảo
rằng người lãnh đạo cũng như nhân viên phải hiểu được trách nhiệm của họ, phải
có kiến thức, kĩ năng và động lực cần thiết để hoàn thành nhiệm vụ của họ.
+ Kiểm tra sự an toàn: Việc sử dụng những phương pháp khác nhau để
thu thập và đảm bảo những nguy cơ đó được đánh giá và giảm nhẹ. Những
phương pháp kiểm tra này cần phải kiểm chứng rằng những kiểm soát quan
trọng đó có hiệu quả và được thực hiện như dự định.
14
+ Sự kiểm soát và cập nhật: Quá trình liên tục tập hợp và phân tích thông
tin về các nguy cơ mới, sự tấn công thực tế tại một cơ quan hay những tổ chức
cùng hợp tác. Thông tin này được dùng để cập nhật đánh giá rủi ro, chiến lược
và việc kiểm soát. Việc theo dõi và cập nhật làm quá trình được liên tục.
d.Công nghệ (Technology):
Công nghệ chính là vấn đề sử dụng các kỹ thuật cả về phần cứng và phần
mềm nhằm đảm bảo an toàn thông tin, một trong những yếu tố quyết định đến
sự thành công trong bảo đảm an toàn của một hệ thống.
Công nghệ hiện nay bao gồm những sản phẩm như Firewall, IDS (hệ
thống phát hiện xâm nhập), phần mềm phòng chống virus, giải pháp mật mã,
chữ kí số, sản phẩm mạng, hệ điều hành và những ứng dụng như: trình duyệt
Internet và phần mềm nhận Email từ máy trạm.v.v
Qua phân tích 4 yếu tố của an toàn thông tin kể trên, có thể đưa ra một số
nhận định như sau :
Trong thực tế, các sản phẩm công nghệ được xem là có vị trí quan trọng
nhất. Bởi vì, chúng ta cần các công cụ để đánh giá tính dễ bị tấn công và xử lý
các lỗ hổng bảo mật. Nếu không có các công nghệ bảo mật thì chúng ta không
thể ngăn chặn được các cuộc tấn công gây mất an toàn thông tin.
Nhưng với cách chúng ta thực hiện các thao tác lệnh hàng ngày, chúng lại
có một tác động rất lớn đến vấn đề an toàn. Bởi vì có những thao tác chúng ta
tưởng là vô hại, nhưng lại có thể gây mất an toàn cho hệ thống (như việc tải các
chương trình hay phần mềm trong đó lại chứa các đoạn mã hiểm độc). Các chính
sách và thủ tục chính là cái quy định chúng ta nên làm gì và làm như thế nào để
đảm bảo an toàn cho hệ thống.
Mặt khác, con người cũng được coi là yếu tố rất quan trọng, ảnh hưởng
trực tiếp đến các yếu tố khác. Nếu như có một chính sách và quy trình khá hoàn
hảo, áp dụng các công nghệ tiên tiến và hiện đại, nhưng con người lại không
được hướng dẫn cụ thể về kỹ năng, hay không tuân thủ theo quy tắc đã đề ra thì
việc đảm bảo an toàn thông tin cho hệ thống là không thể thành công.
Như vậy, 4 yếu tố đó có mối quan hệ chặt chẽ với nhau, hỗ trợ và bổ sung
cho nhau. Một hệ thống muốn bảo mật thành công thì phải coi trọng cả 4 yếu tố
đó. Bởi vì, thời gian, tiền bạc, và đội ngũ nhân viên là những nguồn tài nguyên
có hạn. Nhưng các nguồn nguy cơ thì không bao giờ có giới hạn, chúng luôn
luôn xuất hiện với những hình thức mới, và chỉ có khả năng giảm tải chứ không
thể khắc phục hoàn toàn.
1.2 Ý nghĩa của việc đảm bảo an toàn thông tin.
Ta phải quan tâm tới an toàn thông tin vì những lý do sau:
Không có nhận xét nào:
Đăng nhận xét