.

Những điều căn bản về mã hoá

Khi bắt đầu tìm hiểu về mã hoá, chúng ta thường đặt ra những câu hỏi chẳng hạn như là: Tại sao cần
phải sử dụng mã hoá ? Tại sao lại có quá nhiều thuật toán mã hoá ?v..v…

Tai sao cần phải sử dụng mã hoá ?

Thuật toán Cryptography đề cập tới nghành khoa học nghiên cứu về mã hoá và giải mã thông tin. Cụ thể
hơn là nghiên cứu các cách thức chuyển đổi thông tin từ dạng rõ (clear text) sang dạng mờ (cipher text) và
ngược lại. Đây là một phương pháp hỗ trợ rất tốt cho trong việc chống lại những truy cập bất hợp pháp tới dữ
liệu được truyền đi trên mạng, áp dụng mã hoá sẽ khiến cho nội dung thông tin được truyền đi dưới dạng mờ
và không thể đọc được đối với bất kỳ ai cố tình muốn lấy thông tin đó.
Nhu cầu sử dụng kỹ thuật mã hoá ?
Không phai ai hay bất kỳ ứng dụng nào cũng phải sử dụng mã hoá. Nhu cầu về sử dụng mã hoá xuất
hiện khi các bên tham gia trao đổi thông tin muốn bảo vệ các tài liệu quan trọng hay gửi chúng đi một cách an
toàn. Các tài liệu quan trọng có thể là: tài liệu quân sự, tài chính, kinh doanh hoặc đơn giản là một thông tin
nào đó mang tính riêng tư.
Như chúng ta đã biết, Internet hình thành và phát triển từ yêu cầu của chính phủ Mỹ nhằm phục vụ cho
mục đích quân sự. Khi chúng ta tham gia trao đổi thông tin, thì Internet là môi trường không an toàn, đầy rủi
ro và nguy hiểm, không có gì đảm bảo rằng thông tin mà chúng ta truyền đi không bị đọc trộm trên đường
truyền. Do đó, mã hoá được áp dụng như một biện pháp nhằm giúp chúng ta tự bảo vệ chính mình cũng như
những thông tin mà chúng ta gửi đi. Bên cạnh đó, mã hoá còn có những ứng dụng khác như là bảo đảm tính
toàn vẹn của dữ liệu.
Tại sao lại có quá nhiều thuật toán mã hoá ?
Theo một số tài liệu thì trước đây tính an toàn, bí mật của một thuật toán phụ thuộc vào phương thức làm
việc của thuật toán đó. Nếu như tính an toàn của một thuật toán chỉ dựa vào sự bí mật của thuật toán đó thì
thuật toán đó là một thuật toán hạn chế (Restricted Algrorithm). Restricted Algrorithm có tầm quan trọng trong
lịch sử nhưng không còn phù hợp trong thời đại ngày nay. Giờ đây, nó không còn được mọi người sử dụng
do mặt hạn chế của nó: mỗi khi một user rời khỏi một nhóm thì toàn bộ nhóm đó phải chuyển sang sử dụng
thuật toán khác hoặc nếu người đó người trong nhóm đó tiết lộ thông tin về thuật toán hay có kẻ phát hiện ra
tính bí mật của thuật toán thì coi như thuật toán đó đã bị phá vỡ, tất cả những user còn lại trong nhóm buộc
phải thay đổi lại thuật toán dẫn đến mất thời gian và công sức.
Hệ thống mã hoá hiện nay đã giải quyết vấn đề trên thông qua khoá (Key) là một yếu tố có liên quan
nhưng tách rời ra khỏi thuật toán mã hoá. Do các thuật toán hầu như được công khai cho nên tính an toàn
của mã hoá giờ đây phụ thuộc vào khoá. Khoá này có thể là bất kì một giá trị chữ hoặc số nào. Phạm vi
không gian các giá trị có thể có của khoá được gọi là Keyspace . Hai quá trình mã hoá và giải mã đều dùng
đến khoá. Hiện nay, người ta phân loại thuật toán dựa trên số lượng và đặc tính của khoá được sử dụng.
Nói đến mã hoá tức là nói đến việc che dấu thông tin bằng cách sử dụng thuật toán. Che dấu ở đây
không phải là làm cho thông tin biến mất mà là cách thức chuyển từ dạng tỏ sang dạng mờ. Một thuật toán là
một tập hợp của các câu lệnh mà theo đó chương trình sẽ biết phải làm thế nào để xáo trộn hay phục hồi lại
dữ liệu. Chẳng hạn một thuật toán rất đơn giản mã hoá thông điệp cần gửi đi như sau:
Bước 1: Thay thế toàn bộ chữ cái “e” thành số “3”
Bước 2: Thay thế toàn bộ chữ cái “a” thành số “4”
Bước 3: Đảo ngược thông điệp
Trên đây là một ví dụ rất đơn giản mô phỏng cách làm việc của một thuật toán mã hoá. Sau đây là các
thuật ngữ cơ bản nhất giúp chúng ta nắm được các khái niệm:
- Sender/Receiver: Người gửi/Người nhận dữ liệu
- Plaintext (Cleartext): Thông tin trước khi được mã hoá. Đây là dữ liệu ban đầu ở dạng rõ
- Ciphertext: Thông tin, dữ liệu đã được mã hoá ở dạng mờ
- Key: Thành phần quan trọng trong việc mã hoá và giải mã
- CryptoGraphic Algorithm: Là các thuật toán được sử dụng trong việc mã hoá hoặc giải mã thông tin
- CryptoSystem: Hệ thống mã hoá bao gồm thuật toán mã hoá, khoá, Plaintext, Ciphertext
Kí hiệu chung: P là thông tin ban đầu, trước khi mã hoá. E() là thuật toán mã hoá. D() là thuật toán giải mã.
C là thông tin mã hoá. K là khoá. Chúng ta biểu diễn quá trình mã hoá và giải mã như sau:
 - Quá trình mã hoá được mô tả bằng công thức: EK(P)=C
- Quá trình giải mã được mô tả bằng công thức: DK(C)=P

Minh hoạ quá trình mã hóa và giải mã

Bên cạnh việc làm thế nào để che dấu nội dung thông tin thì mã hoá phải đảm bảo các mục tiêu sau:
a. Confidentiality (Tính bí mật): Đảm bảo dữ liệu được truyền đi một cách an toàn và không thể bị lộ
thông tin nếu như có ai đó cố tình muốn có được nội dung của dữ liệu gốc ban đầu. Chỉ những người
được phép mới có khả năng đọc được nội dung thông tin ban đầu.
b. Authentication (Tính xác thực): Giúp cho người nhận dữ liệu xác định được chắc chắn dữ liệu mà
họ nhận là dữ liệu gốc ban đầu. Kẻ giả mạo không thể có khả năng để giả dạng một người khác hay nói
cách khác không thể mạo danh để gửi dữ liệu. Người nhận có khả năng kiểm tra nguồn gốc thông tin
mà họ nhận được.
c. Integrity (Tính toàn vẹn): Giúp cho người nhận dữ liệu kiểm tra được rằng dữ liệu không bị thay đổi
trong quá trình truyền đi. Kẻ giả mạo không thể có khả năng thay thế dữ liệu ban đầu băng dữ liệu giả
mạo
d. Non-repudation (Tính không thể chối bỏ): Người gửi hay người nhận không thể chối bỏ sau khi đã
gửi hoặc nhận thông tin.
2. Độ an toàn của thuật toán
Nguyên tắc đầu tiên trong mã hoá là “Thuật toán nào cũng có thể bị phá vỡ”. Các thuật toán khác nhau
cung cấp mức độ an toàn khác nhau, phụ thuộc vào độ phức tạp để phá vỡ chúng. Tại một thời điểm, độ an
toàn của một thuật toán phụ thuộc:
- Nếu chi phí hay phí tổn cần thiết để phá vỡ một thuật toán lớn hơn giá trị của thông tin đã mã hóa thuật
toán thì thuật toán đó tạm thời được coi là an toàn.
- Nếu thời gian cần thiết dùng để phá vỡ một thuật toán là quá lâu thì thuật toán đó tạm thời được coi là
an toàn.
- Nếu lượng dữ liệu cần thiết để phá vỡ một thuật toán quá lơn so với lượng dữ liệu đã được mã hoá thì
thuật toán đó tạm thời được coi là an toàn
Từ tạm thời ở đây có nghĩa là độ an toàn của thuật toán đó chỉ đúng trong một thời điểm nhất định nào
đó, luôn luôn có khả năng cho phép những người phá mã tìm ra cách để phá vỡ thuật toán. Điều này chỉ phụ
thuộc vào thời gian, công sức, lòng đam mê cũng như tính kiên trì bên bỉ. Càng ngày tốc độ xử lý của CPU
càng cao, tốc độ tính toán của máy tính ngày càng nhanh, cho nên không ai dám khẳng định chắc chắn một
điều rằng thuật toán mà mình xây dựng sẽ an toàn mãi mãi. Trong lĩnh vực mạng máy tính và truyền thông
luôn luôn tồn tại hai phe đối lập với nhau những người chuyên đi tấn công, khai thác lỗ hổng của hệ thống và
những người chuyên phòng thủ, xây dựng các qui trình bảo vệ hệ thống. Cuộc chiến giữa hai bên chẳng
khác gì một cuộc chơi trên bàn cờ, từng bước đi, nước bước sẽ quyết định số phận của mối bên. Trong cuộc
chiến này, ai giỏi hơn sẽ dành được phần thắng. Trong thế giới mã hoá cũng vậy, tất cả phụ thuộc vào trình
độ và thời gian…sẽ không ai có thể nói trước được điều gì. Đó là điểm thú vị của trò chơi.
3. Phân loại các thuật toán mã hoá
Có rất nhiều các thuật toán mã hoá khác nhau. Từ những thuật toán được công khai để mọi người
cùng sử dụng và áp dụng như là một chuẩn chung cho việc mã hoá dữ liệu; đến những thuật toán mã hoá
không được công bố. Có thể phân loại các thuật toán mã hoá như sau:
Phân loại theo các phương pháp:
- Mã hoá cổ điển (Classical cryptography)
- Mã hoá đối xứng (Symetric cryptography)
- Mã hoá bất đối xứng(Asymetric cryptography)
- Hàm băm (Hash function)
Phân loại theo số lượng khoá:
- Mã hoá khoá bí mật (Private-key Cryptography)
- Mã hoá khoá công khai (Public-key Cryptography)
3.1 Mã hoá cổ điển:
Xuất hiện trong lịch sử, các phương pháp này không dùng khoá. Thuật toán đơn giản và dễ hiểu.
Những từ chính các phương pháp mã hoá này đã giúp chúng ta tiếp cận với các thuật toán mã hoá đối
xứng được sử dụng ngày nay. Trong mã hoá cổ điển có 02 phương pháp nổi bật đó là:
- Mã hoá thay thế (Substitution Cipher):
Là phương pháp mà từng kí tự (hay từng nhóm kí tự) trong bản rõ (Plaintext) được thay thế bằng một kí
tự (hay một nhóm kí tự) khác để tạo ra bản mờ (Ciphertext). Bên nhận chỉ cần đảo ngược trình tự thay
thế trên Ciphertext để có được Plaintext ban đầu.
- Mã hoá hoán vị (Transposition Cipher):
Bên cạnh phương pháp mã hoá thay thế thì trong mã hoá cổ điển có một phương pháp khác nữa cũng
nổi tiếng không kém, đó chính là mã hoá hoán vị. Nếu như trong phương pháp mã hoá thay thế, các kí
tự trong Plaintext được thay thế hoàn toàn bằng các kí tự trong Ciphertext, thì trong phương pháp mã
hoá hoán vị, các kí tự trong Plaintext vẫn được giữ nguyên, chúng chỉ được sắp xếp lại vị trí để tạo ra
Ciphertext. Tức là các kí tự trong Plaintext hoàn toàn không bị thay đổi bằng kí tự khác.
3.2 Mã hoá đối xứng:
Ở phần trên, chúng ta đã tìm hiểu về mã hoá cổ điển, trong đó có nói rằng mã hoá cổ điển không
dùng khoá. Nhưng trên thực nếu chúng ta phân tích một cách tổng quát, chúng ta sẽ thấy được như sau:
- Mã hoá cổ điển có sử dụng khoá. Bằng chứng là trong phương pháp Ceaser Cipher thì khoá chính
là phép dịch ký tự, mà cụ thể là phép dịch 3 ký tự. Trong phương pháp mã hoá hoán vị thì khóa nằm ở số
hàng hay số cột mà chúng ta qui định. Khoá này có thể được thay đổi tuỳ theo mục đích mã hoá của chúng
ta, nhưng nó phải nằm trong một phạm vi cho phép nào đó.
- Để dùng được mã hoá cổ điển thì bên mã hoá và bên giải mã phải thống nhất với nhau về cơ chế
mã hoá cũng như giải mã. Nếu như không có công việc này thì hai bên sẽ không thể làm việc được với nhau.
Mã hoá đối xứng còn có một số tên gọi khác như Secret Key Cryptography (hay Private Key
Cryptography), sử dụng cùng một khoá cho cả hai quá trình mã hoá và giải mã.
Quá trình thực hiện như sau:
 Trong hệ thống mã hoá đối xứng, trước khi truyền dữ liệu, 2 bên gửi và nhận phải thoả thuận về
khoá dùng chung cho quá trình mã hoá và giải mã. Sau đó, bên gửi sẽ mã hoá bản rõ (Plaintext) bằng cách
sử dụng khoá bí mật này và gửi thông điệp đã mã hoá cho bên nhận. Bên nhận sau khi nhận được thông
điệp đã mã hoá sẽ sử dụng chính khoá bí mật mà hai bên thoả thuận để giải mã và lấy lại bản rõ (Plaintext).
Hình vẽ trên chính là quá trình tiến hành trao đổi thông tin giữa bên gửi và bên nhận thông qua việc
sử dụng phương pháp mã hoá đối xứng. Trong quá trình này, thì thành phần quan trọng nhất cần phải được
giữ bí mật chính là khoá. Việc trao đổi, thoả thuận về thuật toán được sử dụng trong việc mã hoá có thể tiến
hành một cách công khai, nhưng bước thoả thuận về khoá trong việc mã hoá và giải mã phải tiến hành bí
mật. Chúng ta có thể thấy rằng thuật toán mã hoá đối xứng sẽ rất có lợi khi được áp dụng trong các cơ quan
hay tổ chức đơn lẻ. Nhưng nếu cần phải trao đổi thông tin với một bên thứ ba thì việc đảm bảo tính bí mật
của khoá phải được đặt lên hàng đầu.
Mã hoá đối xứng có thể được phân thành 02 loại:
- Loại thứ nhất tác động trên bản rõ theo từng nhóm bits. Từng nhóm bits này được gọi với một cái tên
khác là khối (Block) và thuật toán được áp dụng gọi là Block Cipher. Theo đó, từng khối dữ liệu trong
văn bản ban đầu được thay thế bằng một khối dữ liệu khác có cùng độ dài. Đối với các thuật toán ngày
nay thì kích thước chung của một Block là 64 bits.
- Loại thứ hai tác động lên bản rõ theo từng bit một. Các thuật toán áp dụng được gọi là Stream Cipher.
Theo đó, dữ liệu của văn bản được mã hoá từng bit một. Các thuật toán mã hoá dòng này có tốc độ
nhanh hơn các thuật toán mã hoá khối và nó thường được áp dụng khi lượng dữ liệu cần mã hoá chưa
biết trước.
Một số thuật toán nổi tiếng trong mã hoá đối xứng là: DES, Triple DES(3DES), RC4, AES…
- DES: viết tắt của Data Encryption Standard. Với DES, bản rõ (Plaintext) được mã hoá theo từng khối
64 bits và sử dụng một khoá là 64 bits, nhưng thực tế thì chỉ có 56 bits là thực sự được dùng để tạo
khoá, 8 bits còn lại dùng để kiểm tra tính chẵn, lẻ. DES là một thuật toán được sử dụng rộng rãi nhất
trên thế giới. Hiện tại DES không còn được đánh giá cao do kích thước của khoá quá nhỏ 56 bits, và dễ
dàng bị phá vỡ.
- Triple DES (3DES): 3DES cải thiện độ mạnh của DES bằng việc sử dụng một quá trình mã hoá và giải
mã sử dụng 3 khoá. Khối 64-bits của bản rõ đầu tiên sẽ được mã hoá sử dụng khoá thứ nhất. Sau đó,
dữ liệu bị mã hóa được giải mã bằng việc sử dụng một khoá thứ hai. Cuối cùng, sử dụng khoá thứ ba
và kết quả của quá trình mã hoá trên để mã hoá.
C = EK3(DK2(EK1(P)))
P = DK1(EK2(DK3(C)))
- AES: Viết tắt của Advanced Encryption Standard, được sử dụng để thay thế cho DES. Nó hỗ trợ độ dài
của khoá từ 128 bits cho đến 256 bits.
3.3 Mã hoá bất đối xứng:
Hay còn được gọi với một cái tên khác là mã hoá khoá công khai (Public Key Cryptography), nó được
thiết kế sao cho khoá sử dụng trong quá trình mã hoá khác biệt với khoá được sử dụng trong quá trình
giải mã. Hơn thế nữa, khoá sử dụng trong quá trình giải mã không thể được tính toán hay luận ra được
từ khoá được dùng để mã hoá và ngược lại, tức là hai khoá này có quan hệ với nhau về mặt toán học
nhưng không thể suy diễn được ra nhau. Thuật toán này được gọi là mã hoá công khai vì khoá dùng
cho việc mã hoá được công khai cho tất cả mọi người. Một người bất kỳ có thể dùng khoá này để mã
hoá dữ liệu nhưng chỉ duy nhất người mà có khoá giải mã tương ứng mới có thể đọc được dữ liệu mà
thôi. Do đó trong thuật toán này có 2 loại khoá: Khoá để mã hoá được gọi là Public Key, khoá để giải
mã được gọi là Private Key.
 Mã hoá khoá công khai ra đời để giải quyết vấn đề về quản lý và phân phối khoá của các phương
pháp mã hoá đối xứng. Hình minh hoạ ở trên cho chúng ta thấy được quá trình truyền tin an toàn dựa vào hệ
thống mã hoá khoá công khai. Quá trình truyền và sử dụng mã hoá khoá công khai được thực hiện như sau:
- Bên gửi yêu cầu cung cấp hoặc tự tìm khoá công khai của bên nhận trên một server chịu trách nhiệm
quản lý khoá.
- Sau đó hai bên thống nhất thuật toán dùng để mã hoá dữ liệu, bên gửi sử dụng khoá công khai của
bên nhận cùng với thuật toán đã thống nhất để mã hoá thông tin được gửi đi.
- Khi nhận được thông tin đã mã hoá, bên nhận sử dụng khoá bí mật của mình để giải mã và lấy ra
thông tin ban đầu.
Vậy là với sự ra đời của Mã hoá công khai thì khoá được quản lý một cách linh hoạt và hiệu quả hơn.
Người sử dụng chỉ cần bảo vệ Private key. Tuy nhiên nhược điểm của Mã hoá khoá công khai nằm ở tốc độ
thực hiện, nó chậm hơn rất nhiều so với mã hoá đối xứng. Do đó, người ta thường kết hợp hai hệ thống mã
hoá khoá đối xứng và công khai lại với nhau và được gọi là Hybrid Cryptosystems. Một số thuật toán mã hoá
công khai nổi tiếng: Diffle-Hellman, RSA,…
3.4 Hệ thống mã hoá khoá lai (Hybrid Cryptosystems):
Trên thực tế hệ thống mã hoá khoá công khai chưa thể thay thế hệ thống mã hoá khoá bí mật được, nó ít
được sử dụng để mã hoá dữ liệu mà thường dùng để mã hoá khoá. Hệ thống mã hoá khoá lai ra đời là sự
kết hợp giữa tốc độ và tính an toàn của hai hệ thống mã hoá ở trên. Dưới đây là mô hình của hệ thống mã
hoá lai:
Nhìn vào mô hình chúng ta có thể hình dung được hoạt động của hệ thống mã hoá này như sau:

- Bên gửi tạo ra một khoá bí mật dùng để mã hoá dữ liệu. Khoá này còn được gọi là Session Key.
- Sau đó, Session Key này lại được mã hoá bằng khoá công khai của bên nhận dữ liệu.
- Tiếp theo dữ liệu mã hoá cùng với Session Key đã mã hoá được gửi đi tới bên nhận.
- Lúc này bên nhận dùng khoá riêng để giải mã Session Key và có được Session Key ban đầu.
- Dùng Session Key sau khi giải mã để giải mã dữ liệu.
Như vậy, hệ thống mã hoá khoá lai đã tận dụng tốt được các điểm mạnh của hai hệ thống mã hoá ở trên đó
là: tốc độ và tính an toàn. Điều này sẽ làm hạn chế bớt khả năng giải mã của tin tặc.
4. Một số ứng dụng của mã hoá trong Security
Một số ứng dụng của mã hoá trong đời sống hằng ngày nói chung và trong lĩnh vực bảo mật nói
riêng. Đó là:
- Securing Email
- Authentication System
- Secure E-commerce
- Virtual Private Network
- Wireless Encryption

Giới thiệu

Bài viết này sẽ trình bày các vấn đề được xem là nền tảng của an toàn, bảo mật trong một tổ chức, doanh
nghiệp. Các vần đề được trình bày bao gồm cả bảo mật ở mức hệ thống và ứng dụng sẽ là cơ sở cho các tổ
chức khi muốn xây dựng cơ chế bảo mật. Tài liệu cũng giúp bạn rút ngắn được thời gian tiếp cận vấn đề đảm
bảo an toàn cho hệ thống mạng nội bộ của mình. Bạn không cần mất nhiều thời gian để tìm hiểu mọi thứ. Khi
xem xét mọi vấn đề, nơi tốt nhất để khởi đầu chính là các căn bản – ở đây, chúng tôi sẽ trình bày 6 bước cơ
bản để hệ thống bảo mật tốt hơn.

Bước 1: Thành lập bộ phận chuyên trách về vấn đề bảo mật

Bất kỳ kế hoạch bảo mật nào cũng cần sự hỗ trợ trên nhiều phương diện khác nhau, nếu nó muốn thành
công. Một trong những phương thức tốt nhất để có thể được sự hỗ trợ là nên thiết lập một bộ phận chuyên
trách về vấn đề bảo mật. Bộ phận này sẽ chịu trách nhiệm trước công ty về các công việc bảo mật.

Mục đích trước tiên của bộ phận này là gây dựng uy tín với khách hàng. Hoạt động của bộ phận này sẽ khiến
cho khách hàng cảm thấy yên tâm hơn khi làm việc hoặc sử dụng các dịch vụ của công ty. Bộ phận này có
trách nhiệm thường xuyên cung cấp các lưu ý, cảnh báo liên quan đến an toàn bảo mật thông tin nhằm tránh
các rủi ro đáng tiếc cho khách hàng và công ty.

Bộ phận này còn có trách nhiệm tìm hiểu, đưa ra giải pháp, cơ chế bảo mật cho toàn công ty. Sẽ là hiệu quả
và xác thực hơn khi công việc này được thực hiện bởi chính đội ngũ trong công ty thay vì đi thuê một công ty
bảo mật khác thực hiện.

Cuối cùng, một bộ phận chuyên trách về vấn đề bảo mật có thể thay đổi cách làm, cách thực hiện công việc
kinh doanh của công ty để tăng tính bảo mật trong khi cũng cải tiến được sức sản xuất, chất lượng, hiệu quả
và tạo ra sức cạnh tranh của công ty. Ví dụ, chúng ta hãy nói đến VPN (Virtual Private Network), đây là một
công nghệ cho phép các nhân viên đảm bảo an toàn khi đọc email, làm việc với các tài liệu tại nhà, hay chia
sẻ công việc giữa hai nhân viên hay hai phòng ban.

Bước 2: Thu thập thông tin

Trước khi đưa ra các thông báo mô tả thực hiện bảo mật, bạn phải lường được mọi tình huống sẽ xảy ra,
không chỉ bao gồm toàn bộ các thiết bị và hệ thống đi kèm trong việc thực hiện bảo mật mà còn phải kế đến
cả các tiền trình xử lý, các cảnh bảo bảo mật, sự thẩm định hay các thông tin cần được bảo vệ. Điều này rất
quan trọng khi cung cấp một cái nhìn bao quát về hệ thống bảo mật của công ty. Sự chuẩn bị này cũng nên
tham chiếu tới các chính sách bảo mật cũng như các hướng dẫn thực hiện của công ty trong vần đề an toàn
bảo mật. Phải lường trước được những gì xảy ra trong từng bước tiến hành của các dự án.

Để kiểm tra mức độ yếu kém của hệ thống, hãy bắt đầu với những vấn đề có thể dẫn tới độ rủi ro cao nhất
trong hệ thống mạng của bạn, như Internet. Hãy sử dụng cơ chế bảo mật bên ngoài từ sản phẩm của một
hãng có danh tiếng, có thể cung cấp thông tin cần thiết để ước lượng mức bảo mật hiện tại của công ty bạn
khi bị tấn công từ Internet. Sự thẩm định này không chỉ bao gồm việc kiểm tra các lỗ hổng, mà còn gồm cả
các phân tích từ người sử dụng, hệ thống được kết nối bằng VPN, mạng và các phân tích về thông tin công
cộng sẵn có.

Một trong những cân nhắc mang tính quan trọng là thẩm định từ bên ngoài vào. Đây chính là điểm mấu chốt
trong việc đánh giá hệ thống mạng. Điển hình, một công ty sử dụng cơ chế bảo mật bên ngoài, cung cấp các
dịch vụ email, Web theo cơ chế đó, thì họ nhận ra rằng, không phải toàn bộ các tấn công đều đến từ Internet.
Việc cung cấp lớp bảo mật theo account, mạng bảo vệ bản thân họ từ chính những người sử dụng VPN và
các đồng nghiệp, và tạo ra các mạng riêng rẽ từ các cổng truy cập đầu cuối là toàn bộ các ưu thế của cơ chế
này.

Cơ chế bảo mật bên trong cũng giúp việc quản lý bảo mật công ty được tốt hơn. Bằng cách kiểm tra toàn bộ
công việc kinh doanh, các cơ chế chính sách, các quá trình xử lý, xác thực dữ liệu tương phản với những gì
được mô tả, hay sự tương thích với những chuẩn đã tồn tại được thẩm định. Cơ chế bảo mật bên trong cung
cấp thông tin một cách chi tiết tương tự như việc khảo sát kỹ lưỡng phạm vi ở mức sâu hơn, thậm chí bao
gồm cả việc phá mã mật khẩu và các công cụ phân tích hệ thống để kiểm tra tính tương thích về chính sách
trong tương lai.

Bước 3: Thẩm định tính rủi ro của hệ thống

Khi thẩm định tính rủi ro của hệ thống, hãy sử dụng công thức sau:
Tính rủi ro = Giá trị thông tin * Mức độ của lỗ hổng * Khả năng mất thông tin

Tính rủi ro bằng với giá trị thông tin trong câu hỏi (bao gồm giá trị đồng tiền, giá trị thời gian máy bị lỗi do lỗi
bảo mật, giá trị mất mát khách hàng – tương đối), thời gian của quy mô lỗ hổng (tổng cộng/từng phần của tổn
thất dữ liệu, thời gian hệ thống ngừng hoạt động, sự nguy hiểm khi dữ liệu hỏng), thời gian về khả năng xuất
hiện mất thông tin.

Để lấy được các kết quả từ bước đầu (các giá trị, báo cáo về cơ chế bảo mật ngoài, và chính sách bảo mật),
và tập trung vào 3 trong số các mặt thường được đề cập. Sau đó, bắt đầu với một số câu hỏi khung sau:

 Cơ chế bảo mật đã tồn tại của công ty có được đề ra rõ ràng và cung cấp đủ biện pháp bảo mật chưa?

 Kết quả từ cơ chế bảo mật bên ngoài có hợp lệ so với chính sách bảo mật của công ty?

 Có mục nào cần sửa lại trong cơ chế bảo mật mà không được chỉ rõ trong chính sách?

 Hệ thống bảo mật sẽ mất tác dụng trong tính rủi ro cao nhất nào?

 Giá trị, thông tin gì mang tính rủi ro cao nhất?

Các câu trả lời cung cấp cái nhìn toàn diện cho việc phân tích về toàn bộ chính sách bảo mật của công ty. Có
lẽ, thông tin quan trọng được lấy trong quá trình kết hợp các giá trị thẩm định và tính rủi ro tương ứng. Theo
giá trị thông tin, bạn có thể tìm thấy các giải pháp mô tả được toàn bộ các yêu cầu, bạn có thể tạo ra một
danh sách quan tâm về lỗ hổng bảo mật.

Bước 4: Xây dựng giải pháp

Trên thực tế không tồn tại giải pháp an toàn, bảo mật thông tin dang Plug and Play cho các tổ chức đặc biệt
khi phải đảm bảo các luật thương mại đã tồn tại và phải tương thích với các ứng dụng, dữ liệu sắn có. Không
có một tài liệu nào có thể lượng hết được mọi lỗ hổng trong hệ thống và cũng không có nhà sản xuất nào có
thể cung cấp đủ các công cụ cần thiết. Cách tốt nhẫt vẫn là sử dụng kết hợp các giải pháp, sản phẩm nhằm
tạo ra cơ chế bảo mật đa năng.

Firewall

Xem xét và lựa chọn một sản phẩm firewall hợp lý và đưa và hoạt động phù hợp với chính sách của công ty
là một trong những việc đầu tiên trong quá trình bảo mật hệ thống. Firewall có thể là giải pháp phần cứng
hoặc phần mềm hoặc kết hợp cả hai. Nhiệm vụ của firewall là ngăn chặn các tấn công trực tiếp vào các
thông tin quan trọng của hệ thống, kiểm soát các thông tin ra vào hệ thống. Việc lựa chọn firewall thích hợp
cho một hệ thống không phải là dễ dàng. Các firewall đều phụ thuộc trên một môi trường, cấu hình mạng,
ứng dụng cụ thể. Khi xem xét lựa chọn một firewall, cần tập trung tìm hiểu tập các chức năng của firewall,
tính năng lọc địa chỉ, gói tin, ...

Hệ thống kiểm tra xâm nhập mạng (IDS)

Một firewall được gọi là tốt chỉ khi nó có thể lọc và tạo khả năng kiểm soát các gói tin khi đi qua nó. Và đây
cũng chính là nơi mà hệ thống IDS nhập cuộc. Nếu bạn xem firewall như một con đập ngăn nước, thì thì bạn
có thể ví IDS như một hệ thống điều khiển luồng nước trên các hệ thống xả nước khác nhau. Một IDS, không
liên quan tới các công việc điều khiển hướng đi của các gói tin, mà nó chỉ có nhiệm vụ phân tích các gói tin
mà firewall cho phép đi qua, tìm kiếm các chữ kí tấn công đã biết (các chữ kí tấn công chính là các đoạn mã
được biết mang tính nguy hiểm cho hệ thống) mà không thể kiểm tra hay ngăn chặn bởi firewall. IDS tương
ứng với việc bảo vệ đằng sau của firewall, cung cấp việc chứng thực thông tin cần thiết để đảm bảo chắc
chắn cho firewall hoạt động hiệu quả.

Hệ thống kiểm tra xâm phạm dựa theo vùng (H-IDS)

Sự lựa chọn, thực hiện và sử dụng một hệ thống kiểm tra sự xâm phạm trên máy chủ dựa trên nhiều hệ điều
hành và môi trường ứng dụng chỉ định. Một hàm chức năng đầy đủ của H-IDS có thể cung cấp các thông báo
đều đặn theo thời gian của bất kỳ sự thay đổi nào tới máy chủ từ tác động bên trong hay bên ngoài. Nó là
một trong những cách tốt nhất để giảm thiểu sự tổn thương của hệ thống. Việc tìm kiếm hệ thống mà hỗ trợ
hầu hết các hệ điều hành sử dụng trong tổ chức của bạn nên được xem như một trong những quyết định
chính cho mỗi H-IDS.

Hệ thống kiểm tra xâm phạm dựa theo ứng dụng (App-IDS)

Số lượng App-IDS xuất hiện trên thị trường ngày càng nhiều. Các công cụ này thực hiện việc phân tích các
thông điệp từ một ứng dụng cụ thể hay thông tin qua proxy tới ứng dụng đó. Trong lúc chúng có mục đích cụ
thể, chúng có thể cung cấp mức bảo mật tăng lên theo từng mảng ứng dụng cụ thể. Khi được kết hợp với
một H-IDS, chúng đảm bảo rằng sự xâm nhập tới một máy chủ sẽ giảm thiểu. Một App-IDS nên được xem
như một chức năng hỗ trợ bảo mật trong suốt, mặc dù không đúng trong một số trường hợp.

Phần mềm Anti-Virus (AV)

Phần mềm AV nên được cài trên toàn bộ máy trạm (workstation), máy chủ (server), hệ thống hỗ trợ dịch vụ
số, và hầu hết những nơi chứa dữ liệu quan trọng vào ra. Hai vấn đề quan trọng nhất để xem xét khi đặt yêu
cầu một nhà sản xuất AV quản lý nhiều máy chủ và máy trạm trên toàn bộ phạm vi của công ty là khả năng
nhà cung cấp đó có đối phó được các đe doạ từ virus mới hay không. (nguyên nhân: không bao giờ cho rằng
phầm mềm đang chạy, luôn kiểm tả phiên bản của virus và các file cập nhật cho virus mới).

Mạng riêng ảo (VPN)

Việc sử dụng VPN để cung cấp cho các nhân viên hay các cộng sự truy cập tới các tài nguyên của công ty từ
nhà hay nơi làm việc khác với mức bảo mật cao, hiệu quả nhất trong quá trình truyền thông, và làm tăng hiệu
quả sản xuất của nhân viên. Tuy nhiên, không có điều gì không đi kèm sự rủi ro. Bất kỳ tại thời điểm nào khi
một VPN được thiết lập, bạn phải mở rộng phạm vi kiểm soát bảo mật của công ty tới toàn bộ các nút được
kết nối với VPN.

Để đảm bảo mức bảo mật cho hệ thống này, người sử dụng phải thực hiện đầy đủ các chính sách bảo mật
của công ty. Điều này có thể thực hiện được qua việc sử dụng các hướng dẫn của nhà sản xuất về dịch vụ
VPN như hạn chế các ứng dụng có thể chạy ở nhà, cổng mạng có thể mở, loại bỏ khả năng chia kênh dữ
liệu, thiết lập hệ thống bảo vệ virus khi chạy hệ thống từ xa, tất cả công việc này giúp giảm thiểu tính rủi ro.
Điều này rất quan trọng đối với các công ty phải đối mặt với những đe doạ trong việc kiện cáo, mạng của họ
hay hệ thống được sử dụng để tấn công các công ty khác.

Sinh trắc học trong bảo mật

Sinh trắc học đã được biết đến từ một số năm trước đây, nhưng cho đến nay vẫn có rất nhiều khó khăn cho
việc nhân rộng để áp dụng cho các hệ thống bảo mật thương mại. Dấu tay, tròng mắt, giọng nói, ..., cung cấp
bảo mật mức cao trên các mật khẩu thông thường hay chứng thực hai nhân tố, nhưng cho đến hiện tại,
chúng cũng vẫn được coi như phương thức tốt nhất để truy cập vào hệ thống.

Các thế hệ thẻ thông minh

Các công ty gần đây sử dụng đã sử dụng thẻ thông minh như một phương thức bảo mật hữu hiệu. Windows
2000 cung cấp cơ chế hỗ trợ thẻ thông minh như một phương tiện chính trong việc chứng thực quyền đăng
nhập hệ thống. Nói chung, sự kết hợp đa công nghệ (như tròng mắt, thẻ thông minh, dấu tay) đang dần hoàn
thiện và mở ra một thời đại mới cho việc chứng thực quyền truy cập trong hệ thống bảo mật.

Kiểm tra máy chủ

Sự kiểm tra đều đặn mức bảo mật được cung cấp bởi các máy chủ phụ thuộc chủ yếu vào sự quản lý. Mọi
máy chủ ở trong một công ty nên được kiểm tra từ Internet để phát hiện lỗ hổng bảo mật. Thêm nữa, việc
kiểm tra từ bên trong và quá trình thẩm định máy chủ về căn bản là cần thiết để giảm thiểu tính rủi ro của hệ
thống, như khi firewall bị lỗi hay một máy chủ, hệ thống nào đó bị trục trặc.

Hầu hết các hệ điều hành đều chạy trong tình trạng thấp hơn với mức bảo mật tối thiểu và có rất nhiều lỗ
hổng bảo mật. Trước khi một máy chủ khi đưa vào sản xuất, sẽ có một quá trình kiểm tra theo một số bước
nhất định. Toàn bộ các bản sửa lỗi phải được cài đặt trên máy chủ, và bất cứ dịch vụ không cần thiết nào
phải được loại bỏ. Điều này làm tránh độ rủi ro xuống mức thấp nhất cho hệ thống.

Việc tiếp theo là kiểm tra các log file từ các máy chủ và các ứng dụng. Chúng sẽ cung cấp cho ta một số
thông tin tốt nhất về hệ thống, các tấn công bảo mật. Trong rất nhiều trường hợp, đó chính là một trong
những cách để xác nhận quy mô của một tấn công vào máy chủ.

Kiểm soát ứng dụng

Vấn đề an toàn bảo mật trong mã nguồn của các ứng dụng hầu hết không được quan tâm. Điều này không
được thể hiện trên các sản phẩm như liệu nó có được mua, được download miễn phí hay được phát triển từ
một mã nguồn nào đó. Để giúp đỡ giảm thiểu sự rủi ro bảo mật trong các ứng dụng, thẩm định lại giá trị của
ứng dụng trong công ty, như công việc phát triển bên trong của các ứng dụng, Điều này cũng có thể bao gồm
các đánh giá của các thực thể bên ngoài như đồng nghiệp hay các khách hàng.

Việc điều khiển cấu hình bảo mật các ứng dụng có thể làm tăng mức bảo mật. Hầu hết các ứng dụng được
cấu hình tại mức tối thiểu của tính năng bảo mật, nhưng qua các công cụ cấu hình, mức bảo mật của hệ
thống có thể được tăng lên. Lượng thông tin kiểm soát được cung cấp bởi ứng dụng cũng có thể được cấu
hình. Nơi mà các ứng dụng cung cấp thông tin về quy mô bảo mật, thời gian kiểm soát và sự phân tích thông
tin này sẽ là chìa khoá để kiểm tra các vấn đề bảo mật thông tin.

Các hệ điều hành

Sự lựa chọn hệ điều hành và ứng dụng là quá trình đòi hỏi phải có sự cân nhắc kỹ càng. Chọn cái gì giữa hệ
điều hành Microsoft hay UNIX, trong rất nhiều trường hợp, điều thường do ấn tượng cá nhân ề sản phẩm.
Khi lựa chọn một hệ điều hành, thông tin về nhà sản xuất không quan trọng bằng những gì nhà sản xuất đó
làm được trong thực tế, về khả năng bảo trì hay dễ dàng thực hiện với các tài liệu đi kèm. Bất kỳ một hệ điều
hành nào từ 2 năm trước đây đều không thể đảm bảo theo những chuẩn ngày nay, và việc giữ các máy chủ,
ứng dụng của bạn được cập nhật thường xuyên sẽ đảm bảo giảm thiểu khả năng rủi ro của hệ thống.

Khi lựa chọn một hệ điều hành, hãy tìm hiểu không chỉ các tiêu chuẩn thông thường như (quản trị, hiệu năng,
tính chứng thực), mà còn phải xem xét khả năng áp dụng được của hệ điều hành với hệ thống hiện tại. Một
hệ điều hành có thể cung cấp cơ chế bảo mật tốt hơn khi nó tương thích với các ứng dụng chạy bên trong nó
như DNS hay WebServer, trong khi các hệ điều hành khác có thể có nhiều chức năng tốt hơn như một hệ
thống application, database hay email server.

Bước 5: Thực hiện và giáo dục

Ban đầu, sự hỗ trợ cần thiết sẽ được đúc rút lại và lên kế hoạch hoàn chỉnh cho dự án bảo mật. Đây chính là
bước đi quan trọng mang tính chiến lược của mỗi công ty về vấn đề bảo mật. Các chi tiết kỹ thuật của bất kỳ
sự mô tả nào cũng sẽ thay đổi theo môi trường, công nghệ, và các kỹ năng liên quan, ngoài ra có một phần
không nằm trong việc thực thi bảo mật nhưng chúng ta không được coi nhẹ, đó chính là sự giáo dục. Để đảm
bảo sự thành công bảo mật ngay từ lúc đầu, người sử dụng phải có được sự giáo dục cần thiết về chính
sách, gồm có:

 Kỹ năng về các hệ thống bảo mật mới, các thủ tục mới.
 Hiểu biết về các chính sách mới về tài sản, dữ liệu quan trọng của công ty.
 Hiểu các thủ tục bắt buộc mới, chính sách bảo mật công ty.

Nói tóm lại, không chỉ đòi hỏi người sử dụng có các kỹ năng cơ bản, mà đòi hỏi học phải biết như tại sao và
cái gì họ đang làm là cần thiết với chính sách của công ty.

Bước 6: Tiếp tục kiểm tra, phân tích và thực hiện

Hầu hết những gì mong đợi của một hệ thống bảo mật bất kỳ là chạy ổn định, điều khiển được hệ
thống và nắm bắt được các luồng dữ liệu của hệ thống. Quá trình phân tích, tổng hợp các thông tin,
sự kiện từ firewall, IDS’s, VPN, router, server, và các ứng dụng là cách duy nhất để kiểm tra hiệu
quả của một hệ thống bảo mật, và cũng là cách duy nhất để kiểm tra hầu hết sự vi phạm về chính
sách cũng như các lỗi thông thường mắc phải với hệ thống.

Các gợi ý bảo mật cho hệ thống và mạng

Theo luận điểm này, chúng tôi tập trung chủ yếu và các bước mang tính hệ thống để cung cấp một hệ thống
bảo mật. Từ đây, chúng tôi sẽ chỉ ra một vài bước đi cụ thể để cải thiện hệ thống bảo mật, dựa trên kết quả
của việc sử dụng các phương thức bảo mật bên ngoài và bảo mật bên trong của hệ thống. Chúng tôi cũng
giới hạn phạm vi của các gợi ý này theo các vấn đề chung nhất mà chúng tôi đã gặp phải, để cung cấp, mô tả
vấn đề một cách chính xác hơn cũng như các thách thức mà mạng công ty phải đối mặt ngày nay. Để mang
tính chuyên nghiệp hơn về IT, các gợi ý này được chia thành các phần như sau:

Đặc điểm của bảo mật

• Tạo bộ phận chuyên trách bảo mật để xem xét toàn bộ các vấn đề liên quan tới bảo mật
• Thực hiện các thông báo bảo mật tới người sử dụng để đảm bảo mọi người hiểu và thực hiện theo
các yêu cầu cũng như sự cần thiết của việc thực hiện các yêu cầu đó.
• Tạo, cập nhật, và theo dõi toàn bộ chính sách bảo mật của công ty.

Windows NT/IIS

• Hầu hết 95% các vấn đề bảo mật của NT/IIS, chúng ta có thể giải quyết theo các bản sửa lỗi. Đảm
bảo chắc chắn toàn bộ các máy chủ NT và IIS được sửa lỗi với phiên bản mới nhất.
• Xoá (đừng cài đặt) toàn bộ các script từ Internet.

Cisco Routers

• Loại bỏ các tính năng như finger, telnet, và các dịch vụ, cổng khác trên thiết bị định tuyến (router).
• Bỏ các gói tin tài nguyên IP dẫn đường trong router.
• Chạy Unicast RPF để ngăn chặn người sử dụng của bạn sử dụng việc giả mạo IP.
• Sử dụng router của bạn như một firewall phía trước và thực hiện các ACL tương tự theo các luật
trong firewall của bạn.

Quy định chung về cầu hình firewall

• Cấu hình của firewall nên có các luật nghiêm ngặt. Chỉ rõ các luật đối với từng loại truy nhập cả bên
ngoài lẫn bên trong.
• Giảm thiểu các truy nhập từ xa tới firewall.
• Cung cấp hệ thống kiểm soát tập luật của firewall.
• Kiểm tra lại các luật.

Cisco PIX Firewalls

• Không cho phép truy cập qua telnet

• Sử dụng AAA cho việc truy cập, điều khiển hệ thống console

Kiểm soát Firewall-1

• Loại bỏ các luật mặc định cho phép mã hoá và quản lý của firewall, thay thế các luật không rõ ràng
bằng các luật phân biệt rạch ròi trong công việc thực thi của bạn.
• Không sử dụng mặc định luật “allow DNS traffic” - chấp nhận luật này chỉ cho các máy chủ cung cấp
DNS cho bên ngoài.

DNS bên trong

 • Bất kỳ máy chủ nào cung cấp DNS bên trong và các dịch vụ mang tính chất nội bộ phải
không được cung cấp DNS bên ngoài.
• Kiểm tra với nhà cung cấp DNS của bạn để cấu hình bảo vệ từ thuộc tính “cache
poisoning”

(Infosec)
Càng ngày các công nghệ mới càng hướng đến sự đơn giản, tiện lợi và một đặc trưng quan
trọng nữa là khả năng không dây (wireless). Thiết bị không dây trong một thế giới di động làm
cho con người được giải phóng, tự do và thoải mái hơn.

Một thiết bị chủ yếu trong hướng phát triển này là “Bộ định danh bằng tần số vô tuyến” – RFID
(Radio Frequency Identifier), đây là thiết bị di động thụ động (Passive Mobile Device), được coi
là một cuộc cách mạng trong các hệ thống nhúng và trong môi trường tương tác hiện nay.
Thực chất, thiết bị là một thẻ nhớ lưu trữ thông tin cá nhân và dữ liệu khác trong bảng mạch điện tử không
cần năng lượng, hay nói chính xác hơn nó có một cơ chế thu nhận năng lượng từ các nguồn khác, do đó
không cần pin hay nguồn nuôi trực tiếp nào. Điều này lý giải tại sao người ta gọi nó là thiết bị thụ động. Thiết
bị bao gồm một ăng-ten và chip silicon (gồm cả bộ nhớ) được đóng gói chung. Thiết bị này thu nhận năng
lượng từ các thiết bị chủ (hay còn gọi là thiết bị đọc-card reader). Các thiết bị đọc này luôn phát năng lượng
bức xạ quanh nó, thẻ RFID hấp thụ năng lượng này và trao đổi thông tin với thiết bị đọc. Đặc biệt hơn, bộ
đọc này còn có thể lưu thông tin lên chiếc thẻ kia. Đây là một cơ chế hết sức đặc biệt, nó đặt ra rất nhiều vấn
đề về bảo mật đối với thẻ RFID.
Không chỉ khai thác thông tin, các thiết bị đọc còn có cơ chế ghi và theo dõi thông tin đã ghi trên thẻ - khả
năng kiểm soát. Dựa trên đó ta có thể theo dõi được lộ trình của một chuyến hàng (xuất xứ hàng hóa, điểm
xuất phát, qua các trạm hải quan nào, thời gian bắt đầu vận chuyển...).

Hãy tưởng tượng rằng trong cơ thể bạn được gắn thẻ RFID, bạn đi vào một sân bay có thiết bị đọc thẻ, mọi
thông tin cá nhân, thậm chí là cả số ghế của chiếc vé mà bạn đã mua cũng được hiển thị trên màn hình máy
tính, và cánh cửa check-in tự động mở, tất cả các thao tác này không làm bạn phải đứng chờ một giây nào
bởi các thiết bị đã được kích hoạt khi bạn đi cách nó 5m!

Người ta đã mở rộng ứng dụng RFID bằng cách gắn thêm vào mỗi thẻ RFID một bộ cảm biến (sensor), một
cơ chế bảo mật dữ liệu và một bộ nhớ điện tử. Tấm thẻ sẽ cung cấp năng lượng cho sensor, đồng thời làm
nhiệm vụ lưu giữ thông tin mà sensor thu nhận được. Hãng lốp xe nổi tiếng Michelin đã ứng dụng thiết bị này
để đo áp suất lốp xe và nhiệt độ khi xe di chuyển trên đường.

Do có các thao tác đọc ghi liên tục nên thiết bị này cần một giao thức để trao đổi dữ liệu với thiết bị đọc. Một
thiết bị đọc có thể trao đổi dữ liệu với nhiều thẻ RFID cùng lúc do đó rất dễ xảy ra xung đột, vì vậy phải có
một giao thức (hay giao tiếp) đặc biệt. Giải pháp đưa ra là sử dụng cửa sổ thời gian (time-window), mỗi thẻ
RFID được phép truyền dữ liệu trong khoảng thời gian mà nó được cấp phát.

Mặt khác, để đảm bảo tính an toàn và riêng tư của mỗi thẻ RFID, người ta cũng đặt ra cơ chế kiểm soát như:

- Thông tin gì được lưu trong RFID?

- Ai có thể đọc được RFID của tôi?
- Ai có thể ghi vào bộ nhớ của tôi?
- Làm thế nào để tôi biết có người đọc dữ liệu của tôi?
Ưu và nhược điểm của RFID:
- Xử lý tự động
- Tiết kiệm năng lượng
- Chưa có chuẩn chung
- Chưa có giải pháp bảo mật hiệu quả.
- Tính riêng tư
Việc phổ biến RFID đối mặt với một số thách thức về mặt kỹ thuật và tài chính. Đó là:
Định hướng phát triển
Xử lý tín hiệu: Tín hiệu RFID dễ bị ngăn cản bởi các vật nhỏ bằng kim loại trong khoảng cách gần; với
khoảng cách lớn hơn, các vật thể lớn hơn, thậm chí thân thể con người cũng làm méo tín hiệu. Hiện nay
người ta đã cải tiến bằng cách thiết kế các loại ăng-ten mới và tăng cường độ nhạy của thiết bị đọc.

Quá nhiều chuẩn: Cần phải có chuẩn chung để mở rộng khả năng khai thác thẻ. Hiện có nhiều hãng cạnh
tranh đưa ra các chuẩn khác nhau. Ví dụ, Nokia đã sử dụng chuẩn EPCGlobal và hệ thống siêu thị Wal-Mart
sử dụng ISO 14443.

Quản lý tần số: Thông thường do Cục Tần Số Quốc Gia quản lý. Hiện tại, Mỹ đã thành lập một trung tâm
Auto-ID kết hợp với Tổ Chức Tiêu Chuẩn Quốc Tế (ISO) để làm việc về vấn đề này.
Định dạng dữ liệu: Các dữ liệu chỉ đọc (không được phép sửa đổi) phải được định nghĩa sẵn trong chuẩn,
nếu không được định nghĩa sẵn, thông tin cần ghi vào sẽ không có chuẩn thống nhất. Nếu được chuẩn hóa,
chúng còn có thể chia sẻ với nhau về thông tin thu thập được. Người ta đã đề xuất sử dụng chuẩn XML để
làm định dạng dữ liệu.

Khoảng cách cho phép từ thẻ đến máy đọc hiện nay mới chỉ được 1m. Mục tiêu đặt ra là phải đạt tối thiểu 3-
4 m. Người ta đã xây dựng được một số hệ thống thiết bị đọc có thể đọc được thẻ cách xa 5m điều kiện đúng
hướng và thẻ có nguồn điện riêng.

Chi phí thấp: Muốn áp dụng giải pháp này một cách rộng rãi thì chi phí sản xuất thẻ phải thật thấp.
Chúng ta sẽ có một phương thức giao dịch mới trong một thế giới di động mới: “M-bussiness +
micropayment” dựa trên nền RFID. Hiện nay, một số hãng máy tính và thiết bị di động đã bắt đầu đưa ra thiết
bị sử dụng công nghệ RFID. Đi đầu là Nokia với dòng Nokia 5140 tích hợp bộ đọc RFID. Theo dự đoán của
các chuyên gia, đến năm 2010, các thiết bị như thế này sẽ phổ biến và được sử dụng rộng rãi trong tất cả
các lĩnh vực của đời sống.

Bảo mật là vấn đề rất quan trọng và đặc biệt rất được sự quan tâm của những doanh nghiệp. Không những
thế, bảo mật cũng là nguyên nhân khiến doanh nghiệp e ngại khi cài đặt mạng cục bộ không dây (wireless
LAN). Họ lo ngại về bảo mật trong WEP(Wired Equivalent Privacy), và quan tâm tới những giải pháp bảo mật
mới thay thế an toàn hơn.

IEEE và Wi-Fi Alliance đã phát triển một giải pháp bảo mật hơn là: Bảo vệ truy cập Wi-Fi WPA
(Wi-Fi Protected Access) và IEEE 802.11i (cũng được gọi là "WPA2 Certified" theo Wi-Fi
Alliance) và một giải pháp khác mang tên VPN Fix cũng giúp tăng cường bảo mật mạng không dây.

Theo như Webtorial, WPA và 802.11i được sử dụng tương ứng là 29% và 22%. Mặt khác, 42%
được sử dụng cho các "giải pháp tình thế" khác như: bảo mật hệ thống mạng riêng ảo VPN (Vitual
Private Network) qua mạng cục bộ không dây.

Vậy, chúng ta nên lựa chọn giải pháp bảo mật nào cho mạng không dây?

WEP: Bảo mật quá tồi

WEP (Wired Equivalent Privacy) có nghĩa là bảo mật không dây tương đương với có dây. Thực ra,
WEP đã đưa cả xác thực người dùng và đảm bảo an toàn dữ liệu vào cùng một phương thức không
an toàn. WEP sử dụng một khoá mã hoá không thay đổi có độ dài 64 bit hoặc 128 bit, (nhưng trừ đi
24 bit sử dụng cho vector khởi tạo khoá mã hoá, nên độ dài khoá chỉ còn 40 bit hoặc 104 bit) được
sử dụng để xác thực các thiết bị được phép truy cập vào trong mạng, và cũng được sử dụng để mã
hoá truyền dữ liệu.

Rất đơn giản, các khoá mã hoá này dễ dàng bị "bẻ gãy" bởi thuật toán brute-force và kiểu tấn công
thử lỗi (trial-and-error). Các phần mềm miễn phí như Airsnort hoặc WEPCrack sẽ cho phép hacker
có thể phá vỡ khoá mã hoá nếu họ thu thập đủ từ 5 đến 10 triệu gói tin trên một mạng không dây.
Với những khoá mã hoá 128 bit cũng không khá hơn: 24 bit cho khởi tạo mã hoá nên chỉ có 104 bit
được sử dụng để mã hoá, và cách thức cũng giống như mã hoá có độ dài 64 bit nên mã hoá 128 bit
cũng dễ dàng bị bẻ khoá. Ngoài ra, những điểm yếu trong những vector khởi tạo khoá mã hoá giúp
cho hacker có thể tìm ra mật khẩu nhanh hơn với ít gói thông tin hơn rất nhiều.

Không dự đoán được những lỗi trong khoá mã hoá, WEP có thể được tạo ra cách bảo mật mạnh mẽ
hơn nếu sử dụng một giao thức xác thực mà cung cấp mỗi khoá mã hoá mới cho mỗi phiên làm việc.
Khoá mã hoá sẽ thay đổi trên mỗi phiên làm việc. Điều này sẽ gây khó khăn hơn cho hacker thu thập
đủ các gói dữ liệu cần thiết để có thể bẽ gãy khoá bảo mật.

Giải pháp tình thế: VPN (Vitual Private Network) Fix

Nhận ra sự yếu kém của WEP, những người sử dụng doanh nghiệp đã khám phá ra một cách hiệu
quả để bảo vệ mạng không dây WLAN của mình, được gọi là VPN Fix. Ý tưởng cơ bản của phương
pháp này là coi những người sử dụng WLAN như những người sử dụng dịch vụ truy cập từ xa.

Trong cách cấu hình này, tất các những điểm truy cập WLAN, và cũng như các máy tính được kết
nối vào các điểm truy cập này, đều được định nghĩa trong một mạng LAN ảo (Vitual LAN). Trong
cơ sở hạ tầng bảo mật, các thiết bị này được đối xử như là "không tin tưởng". Trước khi bất cứ các
thiết bị WLAN được kết nối, chúng sẽ phải được sự cho phép từ thành phần bảo mật của mạng LAN.
Dữ liệu cũng như kết nối của các thiết bị sẽ phải chạy qua một máy chủ xác thực như RADIUS
chẳng hạn... Tiếp đó, kết nối sẽ được thiết lập thành một tuyến kết nối bảo mật đã được mã hoá bởi
một giao thức bảo mật ví dụ như IPSec, giống như khi sử dụng các dịch vụ truy cập từ xa qua
Internet.

Tuy nhiên, giải pháp này cũng không phải là hoàn hảo, VPN Fix cần lưu lượng VPN lớn hơn cho
tường lửa, và cần phải tạo các thủ tục khởi tạo cho từng người sử dụng. Hơn nữa, IPSec lại không hỗ
những thiết bị có nhiều chức năng riêng như thiết bị cầm tay, máy quét mã vạch... Cuối cùng, về
quan điểm kiến trúc mạng, cấu hình theo VPN chỉ là một giải pháp tình thế chứ không phải là sự kết
hợp với WLAN.

Giải pháp bảo mật bằng xác thực

Một sự thật là khi đã khám phá ra những lỗi về bảo mật trong mạng LAN không dây, ngành công
nghiệp đã phải tốn rất nhiều công sức để giải quyết bài toán này. Một điều cần ghi nhớ là chúng ta
cần phải đối diện với 2 vấn đề: xác thực và bảo mật thông tin. Xác thực nhằm đảm bảo chắc chắn
người sử dụng hợp pháp có thể truy cập vào mạng. Bảo mật giữ cho truyền dữ liệu an toàn và không
bị lấy trộm trên đường truyền.

Một trong những ưu điểm của xác thực là IEEE 802.1x sử dụng giao thức xác thực mở rộng EAP
(Extensible Authentication Protocol). EAP thực sự là một cơ sở tốt cho xác thực, và có thể được sử
dụng với một vài các giao thức xác thực khác. Những giao thức đó bao gồm MD5, Transport Layer
Security (TLS), Tunneled TLS (TTLS), Protected EAP (PEAP) và Cisco's Lightweight EAP
(LEAP).

Thật may mắn, sự lựa chọn giao thức xác thực chỉ cần vài yếu tố cơ bản. Trước hết, một cơ chế chỉ
cần cung cấp một hoặc 2 cách xác thực, có thể gọi là sự xác thực qua lại (mutual authentication), có
nghĩa là mạng sẽ xác thực người sử dụng và người sử dụng cũng sẽ xác thực lại mạng. Điều này rất
quan trọng với mạng WLAN, bởi hacker có thể thêm điểm truy cập trái phép nào đó vào giữa các
thiết bị mạng và các điểm truy cập hợp pháp (kiểu tấn công man-in-the-middle), để chặn và thay đổi
các gói tin trên đường truyền dữ liệu. Và phương thức mã hoá MD5 không cung cấp xác thực qua lại
nên cũng không được khuyến khích sử dụng WLAN.

Chuẩn mã hoá 802.11i hay WPA2

Một giải pháp về lâu dài là sử dụng 802.11i tương đương với WPA2, được chứng nhận bởi Wi-Fi
Alliance. Chuẩn này sử dụng thuật toán mã hoá mạnh mẽ và được gọi là Chuẩn mã hoá nâng cao
AES (Advanced Encryption Standard). AES sử dụng thuật toán mã hoá đối xứng theo khối Rijndael,
sử dụng khối mã hoá 128 bit, và 192 bit hoặc 256 bit.
Để đánh giá chuẩn mã hoá này, Viện nghiên cứu quốc gia về Chuẩn và Công nghệ của Mĩ, NIST
(National Institute of Standards and Technology), đã thông qua thuật toán mã đối xứng này. Và
chuẩn mã hoá này được sử dụng cho các cơ quan chính phủ Mĩ để bảo vệ các thông tin nhạy cảm.
Nếu muốn biết chi tiết về cách làm việc của thuật toán Rijndael, bạn có thể ghé thăm
http://en.wikipedia.org/wiki/Rijndael

Trong khi AES được xem như là bảo mật tốt hơn rất nhiều so với WEP 128 bit hoặc 168 bit DES
(Digital Encryption Standard). Để đảm bảo về mặt hiệu năng, quá trình mã hoá cần được thực hiện
trong các thiết bị phần cứng như tích hợp vào chip. Tuy nhiên, rất ít card mạng WLAN hoặc các
điểm truy cập có hỗ trợ mã hoá bằng phần cứng tại thời điểm hiện tại. Hơn nữa, hầu hết các thiết bị
cầm tay Wi-Fi và máy quét mã vạch đều không tương thích với chuẩn 802.11i.

WPA (Wi-Fi Protected Access)

Nhận thấy được những khó khăn khi nâng cấp lên 802.11i, Wi-Fi Alliance đã đưa ra giải pháp khác
gọi là Wi-Fi Protected Access (WPA). Một trong những cải tiến quan trọng nhất của WPA là sử
dụng hàm thay đổi khoá TKIP (Temporal Key Integrity Protocol). WPA cũng sử dụng thuật toán
RC4 như WEP, nhưng mã hoá đầy đủ 128 bit. Và một đặc điểm khác là WPA thay đổi khoá cho mỗi
gói tin. Các công cụ thu thập các gói tin để phá khoá mã hoá đều không thể thực hiện được với
WPA. Bởi WPA thay đổi khoá liên tục nên hacker không bao giờ thu thập đủ dữ liệu mẫu để tìm ra
mật khẩu. Không những thế, WPA còn bao gồm kiểm tra tính toàn vẹn của thông tin (Message
Integrity Check). Vì vậy, dữ liệu không thể bị thay đổi trong khi đang ở trên đường truyền.

Một trong những điểm hấp dẫn nhất của WPA là không yêu cầu nâng cấp phần cứng. Các nâng cấp
miễn phí về phần mềm cho hầu hết các card mạng và điểm truy cập sử dụng WPA rất dễ dàng và có
sẵn. Tuy nhiên, WPA cũng không hỗ trợ các thiết bị cầm tay và máy quét mã vạch. Theo Wi-Fi
Alliance, có khoảng 200 thiết bị đã được cấp chứng nhận tương thích WPA.

WPA có sẵn 2 lựa chọn: WPA Personal và WPA Enterprise. Cả 2 lựa chọn này đều sử dụng giao
thức TKIP, và sự khác biệt chỉ là khoá khởi tạo mã hoá lúc đầu. WPA Personal thích hợp cho gia
đình và mạng văn phòng nhỏ, khoá khởi tạo sẽ được sử dụng tại các điểm truy cập và thiết bị máy
trạm. Trong khi đó, WPA cho doanh nghiệp cần một máy chủ xác thực và 802.1x để cung cấp các
khoá khởi tạo cho mỗi phiên làm việc.

Trong khi Wi-Fi Alliance đã đưa ra WPA, và được coi là loại trừ mọi lỗ hổng dễ bị tấn công của
WEP, nhưng người sử dụng vẫn không thực sự tin tưởng vào WPA. Có một lỗ hổng trong WPA và
lỗi này chỉ xảy ra với WPA Personal. Khi mà sử dụng hàm thay đổi khoá TKIP được sử dụng để tạo
ra các khoá mã hoá bị phát hiện, nếu hacker có thể đoán được khoá khởi tạo hoặc một phần của mật
khẩu, họ có thể xác định được toàn bộ mật khẩu, do đó có thể giải mã được dữ liệu. Tuy nhiên, lỗ
hổng này cũng sẽ bị loại bỏ bằng cách sử dụng những khoá khởi tạo không dễ đoán (đừng sử dụng
những từ như "PASSWORD" để làm mật khẩu).

Điều này cũng có nghĩa rằng kĩ thuật TKIP của WPA chỉ là giải pháp tạm thời , chưa cung cấp một
phương thức bảo mật cao nhất. WPA chỉ thích hợp với những công ty mà không không truyền dữ
liệu "mật" về những thương mại, hay các thông tin nhạy cảm... WPA cũng thích hợp với những hoạt
động hàng ngày và mang tính thử nghiệm công nghệ.

Kết luận

Trong khi sử dụng VPN Fix qua các kết nối WLAN có thể là một ý tưởng hay và cũng sẽ là một
hướng đi đúng. Nhưng sự không thuận tiện cũng như giá cả và tăng lưu lượng mạng cũng là rào cản
cần vượt qua. Sự chuyển đổi sang 802.11i và mã hoá AES đem lại khả năng bảo mật cao nhất.
Nhưng các tổ chức, cơ quan vẫn đang sử dụng hàng nghìn những card mạng WLAN không hỗ trợ
chuẩn này. Hơn nữa AES không hỗ các thiết bị cầm tay và máy quét mã vạch hoặc các thiết bị
khác... Đó là những giới hạn khi lựa chọn 802.11i.

Sự chuyển hướng sang WPA vẫn còn là những thử thách. Mặc dù, vẫn còn những lỗ hổng về bảo
mật và có thể những lỗ hổng mới sẽ được phát hiện. Nhưng tại thời điểm này, WPA là lựa chọn tốt.

Minh Phúc (Theo Newsfac

Với sự bùng nổ ngày càng mạnh mẽ của mạng Internet, các quốc gia, các tổ chức, các công ty và tất
cả mọi người dường như đang xích lại gần nhau. Họ đã, đang và luôn muốn hoà nhập vào mạng Internet để
thoả mãn "cơn khát thông tin" của nhân loại.
Cùng với sự phát triển tiện lợi của Internet, việc lấy cắp thông tin mật, các chương trình và dữ liệu quan
trọng, việc thâm nhập bất hợp pháp và phá hoại thông qua Internet cũng gia tăng về số lượng, loại hình và kỹ
xảo. Do đó, song song với việc phát triển và khai thác các dịch vụ trên Internet, rất cần nghiên cứu giải quyết
vấn đề đảm bảo an ninh trên mạng. Bài viết này không có ý định trình bày một cách tường tận, chi tiết về cấu
trúc mạng Internet, cũng không có tham vọng nghiên cứu một cách kỹ lưỡng về các khía cạnh sâu xa của
lĩnh vực "Security" mà chỉ đưa ra các thông tin khái quát xung quanh vấn đề "Internet Security", các hình thức
tấn công qua mạng Internet cũng như các biện pháp bảo vệ, ngăn chặn những cuộc tấn công đó.
1. Tổng quan về an ninh, an toàn trên mạng Internet (Internet Security)
Mạng máy tính toàn cầu Internet là mạng của các mạng máy tính được kết nối với nhau qua giao thức
TCP/IP nhằm trao đổi và xử lý thông tin tương hỗ. Các mạng được điều hành hoạt động bởi một hoặc nhiều
loại hệ điều hành mạng. Như vậy, hệ điều hành mạng có thể điều phối một phần của mạng và là phần mềm
điều hành đơn vị quản lý nhỏ nhất trên toàn bộ mạng.
Điều khác nhau giữa mạng máy tính và xã hội loài người là đối với mạng máy tính chúng ta phải quản lý
tài sản khi mà các ngôi nhà đều luôn mở cửa. Các biện pháp vật lý là khó thực hiện vì thông tin và thiết bị
luôn cần được sử dụng.
Trên hệ thống mạng mở như vậy, bảo vệ thông tin bằng mật mã là ở mức cao nhất song không phải
bao giờ cũng thuận lợi và không tốn kém. Thường thì các hệ điều hành mạng, các thiết bị mạng sẽ lãnh trách
nhiệm lá chắn cuối cùng cho thông tin. Vượt qua lá chắn này thông tin hầu như không còn được bảo vệ nữa.
Gối trên nền các hệ điều hành là các dịch vụ mạng như: Thư điện tử (Email), WWW, FTP, News, ... làm
cho mạng có nhiều khả năng cung cấp thông tin. Các dịch vụ này cũng có các cơ chế bảo vệ riêng hoặc tích
hợp với cơ chế an toàn của hệ điều hành mạng.
Internet là hệ thống mạng mở nên nó chịu tấn công từ nhiều phía kể cả vô tình và hữu ý. Các nội dung
thông tin lưu trữ và lưu truyền trên mạng luôn là đối tượng tấn công. Nguy cơ mạng luôn bị tấn công là do
người sử dụng luôn truy nhập từ xa. Do đó thông tin xác thực người sử dụng như mật khẩu, bí danh luôn
phải truyền đi trên mạng. Những kẻ xâm nhập tìm mọi cách giành được những thông tin này và từ xa truy
nhập vào hệ thống. Càng truy nhập với tư cách người dùng có quyền điều hành cao càng thì khả năng phá
hoại càng lớn.
Nhiệm vụ bảo mật và bảo vệ vì vậy mà rất nặng nề và khó đoán định trước. Nhưng tựu trung lại gồm
ba hướng chính sau:
· Bảo đảm an toàn cho phía server
· Bảo đảm an toàn cho phía client
· Bảo mật thông tin trên đường truyền
2. Các hình thức tấn công trên mạng Internet
2.1. Tấn công trực tiếp
Những cuộc tấn công trực tiếp thông thường được sử dụng trong giai đoạn đầu để chiếm được quyền
truy nhập hệ thống mạng bên trong.
Điển hình cho tấn công trực tiếp là các hacker sử dụng một phương pháp tấn công cổ đIển là dò tìm
cặp tên người sử dụng và mật khẩu thông qua việc sử dụng một số thông tin đã biết về người sử dụng để dò
tìm mật khẩu, đây là một phương pháp đơn giản dễ thực hiện. Ngoài ra các hacker cũng có thể sử dụng một
chương trình tự động hoá cho việc dò tìm này. Chương trình này có thể dễ dàng lấy được thông tin từ
Internet để giải mã các mật khẩu đã mã hoá, chúng có khả năng tổ hợp các từ trong một từ điển lớn dựa
theo những quy tắc do người dùng tự định nghĩa. Trong một số trường hợp, khả năng thành công của
phương pháp này cũng khá cao, nó có thể lên tới 30%.
2.2. Nghe trộm trên mạng
Thông tin gửi đi trên mạng thường được luân chuyển từ máy tính này qua hàng loạt các máy tính khác
mới đến được đích. Điều đó, khiến cho thông tin của ta có thể bị kẻ khác nghe trộm. Tồi tệ hơn thế, những kẻ
nghe trộm này còn thay thế thông tin của chúng ta bằng thông tin do họ tự tạo ra và tiếp tục gửi nó đi. Việc
nghe trộm thường được tiến hành sau khi các hacker đã chiếm được quyền truy nhập hệ thống hoặc kiểm
soát đường truyền. May mắn thay, chúng ta vẫn còn có một số cách để bảo vệ được nguồn thông tin cá nhân
của mình trên mạng Intemet. Bạn có thể mã hoá cho nguồn thông tin của mình trước khi gửi đi qua mạng
Internet. Bằng cách này, nếu như có ai đón được thông tin của mình thì đó cũng chỉ là những thông tin vô
nghĩa.
2.3. Giả mạo địa chỉ
Giả mạo địa chỉ có thể được thực hiện thông qua sử dụng khả năng dẫn đường trực tiếp. Với cách tấn
công này kẻ tấn công gửi các gói tin tới mạng khác với một địa chỉ giả mạo, đồng thời chỉ rõ đường dẫn mà
các gói tin phải đi. Thí dụ người nào đó có thể giả mạo địa chỉ của bạn để gửi đi những thông tin có thể làm
ảnh hưởng xấu tới bạn.
2.4. Vô hiệu hoá các chức năng của hệ thống
Đây là kiểu tấn công làm tê liệt hệ thống, làm mất khả năng cung cấp dịch vụ (Denial of Service - DoS)
không cho hệ thống thực hiện được các chức năng mà nó được thiết kế. Kiểu tấn công này rất khó ngăn
chặn bởi chính những phương tiện dùng để tổ chức tấn công lại chính là những phương tiện dùng để làm
việc và truy cập thông tin trên mạng. Một thí dụ về trường hợp có thể xảy ra là một người trên mạng sử dụng
chương trình đẩy ra những gói tin yêu cầu về một trạm nào đó. Khi nhận được gói tin, trạm luôn luôn phải xử
lý và tiếp tục thu các gói tin đến sau cho đến khi bộ đệm đầy, dẫn tới tình trạng những nhu cầu cung cấp dịch
vụ của các máy khác đến trạm không được phục vụ.
Điều đáng sợ là các kiểu tấn công DoS chỉ cần sử dụng những tài nguyên giới hạn mà vẫn có thể làm
ngưng trệ dịch vụ của các site lớn và phức tạp. Do vậy loại hình tấn công này còn được gọi là kiểu tấn công
không cân xứng (asymmetric attack). Chẳng hạn như kẻ tấn công chỉ cần một máy tính PC thông thường với
một modem tốc độ chậm vẫn có thể tấn công làm ngưng trệ các máy tính mạnh hay những mạng có cấu hình
phức tạp. Điều này được thể hiện rõ qua các đợt tấn công vào các Website của Mỹ đầu tháng 2/2000 vừa
qua.

2.5. Tấn công vào các yếu tố con người

Đây là một hình thức tấn công nguy hiểm nhất nó có thể dẫn tới những tổn thất hết sức khó lường. Kẻ
tấn công có thể liên lạc với người quản trị hệ thống thay đổi một số thông tin nhằm tạo điều kiện cho các
phương thức tấn công khác.
Ngoài ra, điểm mấu chốt của vấn đề an toàn, an ninh trên Internet chính là người sử dụng. Họ là điểm
yếu nhất trong toàn bộ hệ thống do kỹ năng, trình độ sử dụng máy tính, mạng internet không cao. Chính họ
đã tạo điều kiện cho những kẻ phá hoại xâm nhập được vào hệ thống thông qua nhiều hình thức khác nhau
như qua email: Kẻ tấn công gửi những chương trình, virus và những tài liệu có nội dung không hữu ích hoặc
sử dụng những chương trình không rõ nguồn gốc, thiếu độ an toàn. Thông thường những thông tin này được
che phủ bởi những cái tên hết sức ấn tượng mà không ai có thể biết được bên trong nó chứa đựng cái gì. Và
điều tồi tệ nhất sẽ xảy ra khi người sử dụng mở hay chạy nó. Lúc đó có thể thông tin về người sử dụng đã bị
tiết lộ hoặc có cái gì đó đã hoạt động tiềm ẩn trên hệ thống của bạn và chờ ngày kích hoạt mà chúng ta
không hề ngờ tới.
Với kiểu tấn công như vậy sẽ không có bất cứ một thiết bị nào có thể ngăn chặn một cách hữu hiệu chỉ
có phương pháp duy là giáo dục người sử dụng mạng về những yêu cầu bảo mật để nâng cao cảnh giác.
Nói chung yếu tố con người là một đIểm yếu trong bất kỳ một hệ thống bảo vệ nào và chỉ có sự giáo dục
cùng với tinh thần hợp tác từ phía người sử dụng mới có thể nâng cao độ an toàn của hệ thống bảo vệ.
2.6. Một số kiểu tấn công khác
Ngoài các hình thức tấn công kể trên, các hacker còn sử dụng một số kiểu tấn công khác như tạo ra
các virus đặt nằm tiềm ẩn trên các file khi người sử dụng do vô tình trao đổi thông tin qua mạng mà người sử
dụng đã tự cài đặt nó lên trên máy của mình. Ngoài ra hiện nay còn rất nhiều kiểu tấn công khác mà chúng ta
còn chưa biết tới và chúng được đưa ra bởi những hacker.
3. Phương pháp chung ngăn chặn các kiểu tấn công
 Để thực hiện viêc ngăn chặn các truy nhập bất hợp pháp đòi hỏi chúng ta phải đưa ra những yêu cầu
hoạch định chính sách như: xác định những ai có quyền sử dụng tài nguyên của hệ thống, tài nguyên mà hệ
thống cung cấp sẽ được sử dụng như thế nào những ai có quyền xâm nhập hệ thống. Chỉ nên đưa ra vừa đủ
quyền cho mỗi người để thực hiện công việc của mình. Ngoài ra cần xác định quyền lợi và trách nhiệm của
người sử dụng cùng với quyền lợi và nghĩa vụ của người quản trị hệ thống. Hiện nay, để quản lý thông tin
truy nhập từ ngoài vào trong hay từ trong ra ngoài người ta đã thiết lập một bức tường lửa (Firewall) ngăn
chặn những truy nhập bất hợp pháp từ bên ngoài đồng thời những server thông tin cũng được tách khỏi các
hệ thống site bên trong là những nơi không đòi hỏi các cuộc xâm nhập từ bên ngoài.
Các cuộc tấn công của hacker gây nhiều thiệt hại nhất thường là nhằm vào các server. Hệ điều hành
mạng, các phần mềm server, các CGI script... đều là những mục tiêu để các hacker khai thác các lỗ hỗng
nhằm tấn công server. Các hacker có thể lợi dụng những lỗ hổng đó trên server để đột kích vào các trang
web và thay đổi nội dung của trang web đó, hoặc tinh vi hơn nữa là đột nhập vào mạng LAN và sử dụng
server để tấn công vào bất kỳ máy tính nào trong mạng LAN đó. Vì vậy, việc đảm an toàn tuyệt đối cho phía
server không phải là một nhiệm vụ đơn giản. Điều phải làm trước tiên là phải lấp kín các lỗ hỗng có thể xuất
hiện trong cài đặt hệ điều hành mạng, đặt cấu hình các phần mềm server, các CGI script, cũng như phải
quản lý chặt chẽ các tài khoản của các user truy cập.
Việc bảo mật thông tin cá nhân của người sử dụng truyền đi trên mạng cũng là một vấn đề cần xem
xét nghiêm túc. Ta không thể biết rằng thông tin của chúng ta gửi đi trên mạng có bị ai đó nghe trôm hoặc
thay đổi nội dung thông tin đó không hay sử dụng thông tin của chúng ta vào các mục đích khác. Để có thể
đảm bảo thông tin truyền đi trên mạng một cách an toàn, đòi hỏi phải thiết lập một cơ chế bảo mật. Điều này
có thể thực hiện được thông qua việc mã hoá dữ liệu trước khi gửi đi hoặc thiết lập các kênh truyền tin bảo
mật. Việc bảo mật sẽ giúp cho thông tin được bảo vệ an toàn, không bị kẻ khác lợi dụng. Ngày nay, trên
Internet người ta đã sử dụng nhiều phương pháp bảo mật khác nhau như sử dụng thuật toán mã đối xứng và
mã không đối xứng (thuật toán mã công khai) để mã hoá thông tin trước khi truyền trên internet. Tuy nhiên
ngoài các giải pháp phần mềm hiện nay người ta còn áp dụng cả các giải pháp phần cứng.
Một yếu tố chủ chốt để chống lại truy nhập bất hợp pháp là yếu tố con người, chúng ta phải luôn luôn
giáo dục mọi người có ý thức trong việc sử dụng tài nguyên chung Internet, tránh những sự cố làm ảnh
hưởng tới nhiều người nhiều quốc gia. Bảo mật trên mạng là cả một quá trình đấu tranh tiềm ẩn nhưng đòi
hỏi sự hợp tác của mọi người, của mọi tổ chức không chỉ trong phạm vi nhỏ hẹp của một quốc gia nào mà nó
bao trùm trên toàn thế giới
4. Thực trạng an ninh trên mạng ở Việt nam trong thời gian qua
Trong những ngày đầu tháng 2 vừa qua cùng với các Website nối tiếng trên thế giới bị tấn công như
(Yahoo, Amazon.com, eBay, Buy.com) các Website của Việt nam cũng không nằm ngoài mục tiêu đột kích
của các hacker. Gần đây nhất là vụ tấn công của các hacker vào Website của Vitranet. Thay vì hiện nội dung
trang Web của mạng thông tin thương mại thị trường Việt nam lại là nội dung của trang Web có nội dung
không lành mạnh khi người sử dụng gõ vào dòng địa chỉ: http://www.vinaone.com. Tuy nhiên, do số lượng
các trang Web của Việt Nam còn ít, số lượng người sử dụng Internet chưa nhiều (cả nước có khoảng 40.000
thuê bao Internet) nên nếu có bị tấn công cũng gây thiệt hại không đáng kể. Trong thời gian qua, các đường
truyền Internet của Việt Nam vốn có lưu lượng rất thấp so với thế giới đã một số lần bị tắc vào các giờ cao
điểm. Tuy nhiên các trang Web của nước ta lo ngại nhất là các hacker phá hoại, sửa chữa làm sai lệch thông
tin... chứ không sợ "dội bom".
Bản thân mạng VNN cũng đã nhiều lần bị tấn công dưới hình thức bom thư. Hàng ngàn bức thư từ
nhiều địa điểm trên thế giới đã đồng loạt gửi về mạng nhưng sự tắc nghẽn không đáng kể. Việc đối phó với
hình thức tấn công này không phải là quá khó nhưng để đi tới một giải pháp tối ưu, triệt để thì lạ là vấn đề
đáng bàn. Việc nghiên cứu, xây dựng những giải pháp kỹ thuật tốt hơn "bức tường lửa" bảo vệ hiện nay thì
an ninh trên mạng mới thực sự được bảo đảm mà không ảnh hưởng đến các dịch vụ Internet khác. Hiện nay
"bức tường lửa" không những không đáp ứng được vấn đề an toàn an ninh mà còn làm cho các dịch vụ khác
không phát triển được. Trước đây, chủ yếu lo ngăn ngừa truy cập các trang web có nội dung xấu thì nay vấn
đề an ninh trên mạng cần phải được xem xét một cách nghiêm túc hơn ở cả trong nước và quốc tế
Để đối phó với các hình thức tấn công từ bên ngoài, Ban điều phối mạng Internet Việt Nam cũng đã
đưa ra những nghiên cứu, dự phòng. Cụ thể là sử dụng các thiết bị như Firewall, máy chủ uỷ quyền và tổ
chức phân cấp công việc, trách nhiệm cụ thể. Các thông tin quan trọng nhất được lưu vào đĩa quang (hacker
không xóa được) để nếu trang Web bị hacker vào làm sai lệch thì xóa toàn bộ rồi lại nạp từ đĩa quang sang.
Thêm vào đó Nhà nước còn quy định các máy tính nối mạng không được truy cập vào các cơ sở dữ liệu
quan trọng, bí mật quốc gia. Đồng thời không cho thiết lập các đường hotline (đường truy cập trực tiếp) vào
các trang Web quan trọng nhất.
5. Kết luận
 Những gì vừa trình bày cho thấy việc bảo vệ tính an toàn, an ninh cho mạng Internet là một vấn đề hết
sức bức xúc. Điều đáng ngạc nhiên là khi Interner ra đời thì vấn đề này chưa được đề cập đến ngay. Công
nghệ Internet phát triển cũng kéo theo sự phát triển của kỹ năng, kỹ xảo tấn công. Suy cho cùng thì các biện
pháp kỹ thuật ngăn chặn có tinh vi, hoàn hảo đến đâu thì vẫn tồn tại những khe hở tạo điều kiện cho các kẻ
phá hoại xâm nhập bất hợp pháp và phá hoại đúng như lời câu tục ngữ “Vỏ quýt dày có móng tay nhọn”. Tệ
hại hơn nữa, những kẻ phá hoại lại chính là những kẻ có kiến thức về Tin học uyên bác và ở ngay trong đội
ngũ của của những người làm kỹ thuật. Do đó, một trong những vấn đề mấu chốt của việc đảm bảo tính an
toàn, an ninh khi sử dụng mạng Internet là vấn đề tự giáo dục và nâng cao ý thức của người sử dụng cũng
như trách nhiệm của những nhà cung cấp dịch vụ trong bối cảnh Internet được phát triển một cách tự phát và
không kiểm soát được như ngày nay.