BÀI 1

TỔNG QUAN AN TOÀN THÔNG TIN

Người ký: Lê Quang Huy

Email: lqhuy@bcy.gov.vn
Cơ quan: Cục Chứng thực Giảng viên: TS. Lê Quang Huy
số và Bảo mật thông tin,
Ban Cơ yếu Chính phủ
Thời gian ký: 16.08.2022
CỤC CHỨNG THỰC SỐ & BẢO MẬT THÔNG TIN
08:00:26 -07:00
BAN CƠ YẾU CHÍNH PHỦ
16/08/2022 http://ca.gov.vn 1
 NỘI DUNG

1. GIAO DỊCH ĐIỆN TỬ

2. AN TOÀN THÔNG TIN
3. MẬT MÃ
4. TÓM TẮT
5. THẢO LUẬN

16/08/2022 http://ca.gov.vn 2
 1. GIAO DỊCH ĐIỆN TỬ

• 1.1. THÔNG TIN VÀ DỮ LIỆU

• 1.2. VAI TRÒ, ĐẶC TRƯNG QUAN TRỌNG CỦA THÔNG TIN

• 1.3. XÃ HỘI THÔNG TIN

• 1.4. GIAO DỊCH ĐIỆN TỬ

• 1.5. NGUY CƠ GÂY MẤT AN TOÀN CHO CÁC GIAO DỊCH ĐIỆN TỬ

• 1.6. SỬ DỤNG MẬT MÃ ĐẢM BẢO AN TOÀN THÔNG TIN

16/08/2022 http://ca.gov.vn 3
 1.1. THÔNG TIN
• Thông tin:
– Kiến thức, hiểu biết (tri thức) mà con người thu nhận được (giải quyết vấn đề, câu hỏi),
– Thông báo, giúp giải quyết sự không chắc chắn.
• Chuyển tải thông tin: bằng vật mang.
• Vật mang chứa thông tin: tín hiệu.
• Hoạt động với thông tin: tạo, gửi/nhận, lưu trữ, truyền tải, xử lý…
• Mã hóa thông tin: quy tắc biểu diễn từ dạng này sang dạng khác.
• Biểu diễn thông tin: ký hiệu: chữ số, chữ viết, âm thanh, dòng điện... (mã hóa)
• Dữ liệu: ký hiệu có ý nghĩa thông qua việc giải thích một hành động, sự việc
cụ thể nào đó. Dữ liệu cần phải được thông dịch để trở thành thông tin.

16/08/2022 http://ca.gov.vn 4
 1.2. VAI TRÒ, ĐẶC TRƯNG QUAN TRỌNG CỦA THÔNG TIN
Vai trò của thông tin:
• Nhu cầu cơ bản của con người (tìm hiểu thế giới xung
quanh để thích nghi, tồn tại)
• Có giá trị vì nó ảnh hưởng tới (tác động) đến hành vi,
ra quyết định, kết quả…
Các đặc trưng quan trọng của thông tin:
• Sẵn sàng
• Chính xác
• Xác thực
• Bí mật
• Toàn vẹn
• Tiện ích
• Sở hữu
16/08/2022 http://ca.gov.vn 5
 1.3. XÃ HỘI THÔNG TIN
XÃ HỘI CÔNG NGHIỆP XÃ HỘI THÔNG TIN
Giao dịch truyền thống Giao dịch điện tử

Mặt đối mặt Internet

16/08/2022 http://ca.gov.vn 6
 1.4. GIAO DỊCH ĐIỆN TỬ
• Giao dịch: một chuỗi các hoạt động trao đổi thông tin và các công việc có liên quan nhằm
thực hiện một mục tiêu xác định, có bắt đầu và kết thúc, thực hiện giữa hai hay nhiều bên.
• Giao dịch điện tử: các hoạt động trong đời sống xã hội được thực hiện thông qua các
phương tiện điện tử, hệ thống thông tin (Internet).

16/08/2022 http://ca.gov.vn 7
 1.4. GIAO DỊCH ĐIỆN TỬ

16/08/2022 http://ca.gov.vn 8
 1.4. GIAO DỊCH ĐIỆN TỬ

16/08/2022 http://ca.gov.vn 9
 1.5. NGUY CƠ MẤT AN TOÀN CHO CÁC GIAO DỊCH
1.Ai đang giao dịch? (Xác thực)
2.Thông tin có bị xem trộm?
(Bí mật)

16/08/2022 http://ca.gov.vn 10
 1.5. CÁC NGUY CƠ MẤT AN TOÀN CHO CÁC GIAO DỊCH

3. Dữ liệu gửi, nhận có bị sửa đổi ? (Toàn vẹn, chính xác)

4. Chối bỏ hành động đã thực hiện. (Chống chối bỏ)

16/08/2022 http://ca.gov.vn 11
 1.6. CÁC GIẢI PHÁP ĐẢM BẢO AN TOÀN CHO CÁC GIAO DỊCH

Dịch vụ Xác Chống

Toàn vẹn Bí mật
Giải pháp thực chối bỏ

Tên/Mật khẩu  X X X
Sinh trắc O X X X

Đối xứng X O O X
Các kỹ
thuật
mật mã Bất đối
O O O O
xứng

O - Mạnh,  - Trung bình, X - Không

16/08/2022 http://ca.gov.vn 12
 2. AN TOÀN THÔNG TIN
• 2.1. KHÁI NIỆM AN TOÀN, AN NINH THÔNG TIN

• 2.2. VAI TRÒ VÀ NHU CẦU AN TOÀN THÔNG TIN

• 2.3. SỰ PHÁT TRIỂN AN TOÀN THÔNG TIN

• 2.4. NGUYÊN TẮC THIẾT KẾ AN TOÀN THÔNG TIN

• 2.5. PHÂN TÍCH RỦI RO

• 2.6. CHUẨN, QUY ĐỊNH VỀ AN TOÀN THÔNG TIN

• 2.7. AN TOÀN DỮ LIỆU VÀ PHẦN MỀM

• 2.8. AN TOÀN MÁY TÍNH VÀ MẠNG

• 2.9. AN TOÀN VẬT LÝ VÀ CÁC HOẠT ĐỘNG AN TOÀN

16/08/2022 http://ca.gov.vn 13
 2.1. KHÁI NIỆM AN TOÀN, AN NINH THÔNG TIN
• An toàn (Security) : là tính chất, trạng thái trở nên yên tâm – thoát khỏi nguy hiểm.
Xây dựng các biện pháp bảo vệ chống lại các mối nguy hiểm, thiệt hại, mất mát và tội
phạm, kẻ thù…
• An toàn thông tin (Information security): là việc bảo vệ thông tin và hệ thống thông tin
khỏi các truy nhập, sử dụng, tiết lộ, phá vỡ, sửa đổi, phá hủy… trái phép, nhằm bảo
đảm tính toàn vẹn, tính bảo mật và tính khả dụng (sẵn sàng) của thông tin.
• An ninh thông tin: (Information security) là việc bảo đảm thông tin trên mạng không
gây phương hại đến an ninh quốc gia, trật tự an toàn xã hội, bí mật nhà nước, quyền và
lợi ích hợp pháp của tổ chức, cá nhân.

16/08/2022 http://ca.gov.vn 14
 2.2. VAI TRÒ VÀ NHU CẦU AN TOÀN THÔNG TIN

Vai trò bảo vệ thông tin

• Thông tin có giá trị, là một tài sản.
• Được phân loại để kiểm soát truy nhập, bảo vệ.

Sự cần thiết an toàn:

• Bảo vệ các chức năng của tổ chức.
• Đảm bảo an toàn cho các ứng dụng.
• Bảo vệ dữ liệu của tổ chức.
• Bảo đảm an toàn cho các tài sản trí tuệ của tổ chức

16/08/2022 http://ca.gov.vn 15
2.3. SỰ PHÁT TRIỂN AN TOÀN THÔNG TIN
2.4. NGUYÊN TẮC THIẾT KẾ AN TOÀN THÔNG TIN
 2.5. PHÂN TÍCH RỦI RO
Các hiểm họa (điểm yếu): Các tấn công:
• Hành vi lỗi, sai của con người • Malicious code.
• Hành động cố ý của gián điệp • Hoaxes
• Cố ý phá hoại • Back doors
• Trộm cắp • Brute Force
• Tấn công phần mềm • Denial of Service
• Thảm họa tự nhiên • Spoofing
• Lỗi phần cứng, phần mềm • Man in the middle
• Spam, mail bombing
• Sniffers
• Timing Attact
16/08/2022 http://ca.gov.vn 18
 2.5. PHÂN TÍCH RỦI RO

1. Phân tích rủi ro (risks) 3. Đánh giá rủi ro:

• Phân tích và phân loại tài sản thông tin • Đánh giá giá trị tài sản thông tin.
để bảo vệ. • Đánh giá rủi ro
• Các rủi ro cần phòng và tránh. • Xác định các biện pháp giám sát có thể
• Risk = Probability (Threat + Exploit of • Điều khiển truy nhập
Vulnerability) * Cost of Asset Damage • Tài liệu hóa kết quả của đánh giá rủi ro.
2. Xác định rủi ro: 4. Các chiến lược kiểm soát rủi ro:
• Xác định và đánh giá tài sản (asset). • Phòng tránh.
• Phân loại và đánh giá tài sản thông tin • Di chuyển
• Phân loại và quản lý dữ liệu • Làm giảm nhẹ
• Khoảng trống an toàn • Kế hoạch phục hồi thảm họa
• Xác định mối đe dọa • Chấp thuận rủi ro
• Xác định các điểm yếu.
16/08/2022 http://ca.gov.vn 19
 2.6. CHUẨN, QUY ĐỊNH VỀ AN TOÀN THÔNG TIN
Chuẩn an toàn thông tin:
• Control Objectives for Information and related Technology (COBIT)
• International Organization for Standardization (ISO) 27001 and 27002
• National Institute of Standards and Technology (NIST) standards
Luật và quy định:
• Luật an toàn thông tin
• Luật an ninh mạng
Chính sách, chuẩn, thủ tục, hướng dẫn an toàn thông tin
• Chính sách an toàn (security policy): các yêu cầu cấp cao liên quan đến builders,
installers, maintainers, and users.
• Chuẩn: xác định cách cấu hình, cài đặt hệ thống
• Thủ tục: các bước thực hiện tuân thủ chính sách và chuẩn
• Hướng dẫn: lời khuyên về cách đạt mục tiêu của chính sách.
16/08/2022 http://ca.gov.vn 20
 2.7. AN TOÀN DỮ LIỆU VÀ PHẦN MỀM

An toàn dữ liệu:
• An toàn dữ liệu phi cấu trúc
• Quản lý quyền thông tin (truy nhập và đọc thông tin)
• Mật mã,
• An toàn lưu trữ và an toàn CSDL.
An toàn phần mềm:
• Thiết kế ứng dụng an toàn: hạn chế tối thiểu lỗi logic.
• Viết phần mềm an toàn: tối thiểu hóa lỗi.
• Kiểm soát hành vi của ứng dụng.

16/08/2022 http://ca.gov.vn 21
 2.8. AN TOÀN MÁY TÍNH VÀ MẠNG

An toàn máy tính:

• An toàn hệ điều hành: Windows, Linux.
• An toàn các dịch vụ nền tảng (hạ tầng): DNS, proxy, web, email
• An toàn máy ảo và điện toán đám mây.
• An toàn các thiết bị di động.
An toàn mạng:
• Thiết kế an toàn mạng: hạn chế tối thiểu lỗi logic.
• An toàn thiết bị mạng: Switch, router...
• Filewall, VPN.
• Mạng không dây (wireless network)

16/08/2022 http://ca.gov.vn 22
 2.9. AN TOÀN VẬT LÝ VÀ CÁC HOẠT ĐỘNG AN TOÀN

An toàn vật lý:

• Phân loại các tài sản: máy tính, thiết bị mạng, phương tiện lưu trữ….
• Xác định các điểm yếu: tòa nhà, thiết bị tính toán, ngoại vi, tài liệu, trang thiết bị…
• Lựa chọn vị trí an toàn: khả năng tiếp cận, các tiện ích hỗ trợ (điều hòa, nguồn điện,
nước …), can nhiễu sóng điện từ….
• Khóa, kiểm soát vào ra, Phát hiện xâm nhập vật lý…
Các hoạt động an toàn:
• Khôi phục sau thảm họa.
• Sao lưu dự phòng.
• Hệ thống sẵn sàng cao.
• Xử lý các vụ việc nội bộ và pháp lý.

16/08/2022 http://ca.gov.vn 23
 3. MẬT MÃ

• 3.1. TỔNG QUAN VỀ MẬT MÃ HỌC

• 3.2. LỊCH SỬ PHÁT TRIỂN

• 3.3. TỔNG QUAN VỀ MẬT MÃ

• 3.4. NGUYÊN SƠ MẬT MÃ

• 3.5. HỆ MẬT MÃ

• 3.6. MỘT SỐ NGUYÊN SƠ VÀ HỆ MẬT MÃ

• 3.7. GIAO THỨC MẬT MÃ

• 3.7. MỘT SỐ GIAO THỨC MẬT MÃ

• 3.8. AN TOÀN CỦA CÁC THUẬT TOÁN MẬT MÃ

16/08/2022 http://ca.gov.vn 24
 3.1. TỔNG QUAN VỀ MẬT MÃ HỌC

• Mật mã học (Cryptology) là ngành khoa học nghiên

cứu việc trao đổi và lưu trữ dữ liệu ở dạng an toàn và
thường là bí mật. Mật mã học bao gồm mật mã và
phân tích mật mã (thám mã).
• Mật mã (Cryptography): là ngành khoa học nghiên cứu
các phương pháp biến đổi thông tin để đảm bảo tính bí
mật của thông tin (chuyển đổi thông tin từ dạng rõ
sang dạng bí mật và ngược lại).
• Thám mã (Cryptanalysis): là ngành khoa học nghiên
cứu các phương thức để thu được ý nghĩa của thông tin
đã được mã mật hóa. Thám mã cũng được dùng để ám
chỉ tới bất kỳ cố gắng nào để phá vỡ sự tính bí mật của
các giải thuật mật mã và giao thức khác nói chung.

16/08/2022 http://ca.gov.vn 25
 3.2. LỊCH SỬ PHÁT TRIỂN MẬT MÃ

Mật mã học cổ điển:

• Phương pháp biến đổi: Substitution, transposition, các ký tự.
• Thao tác: thủ công, máy cơ khí
• Dễ bị phát hiện bằng phương pháp thống kê.

Mật mã học hiện đại (ứng dụng máy tính):

• A mathematical theory of cryptography (Claude Shannon)
• Data Encryption Standard (DES).
• Stream cipher, block cipher.
• Public Key Cryptography
• Hash functions

16/08/2022 http://ca.gov.vn 26
 3.3. TỔNG QUAN VỀ MẬT MÃ
Khái niệm: ngành khoa học nghiên cứu các phương
pháp biến đổi thông tin để giữ bí mật của thông tin
(chuyển đổi thông tin từ dạng rõ sang dạng bí mật và
ngược lại). Khoa học về giữ bí mật thông tin.
Mục tiêu mật mã: cung cấp giải pháp:
• Bí mật (Confidentiality): bí mật .
• Toàn vẹn dữ liệu (Data integrity): Phát hiện việc
sửa đổi dữ liệu.
• Xác thực (Authentication): xác định nguồn gốc dữ
liệu.
• Chống chối bỏ (Non-Repudiation): thu thập bằng
chứng chống chối bỏ hành động.

16/08/2022 http://ca.gov.vn 27
 3.4. NGUYÊN SƠ MẬT MÃ
Nguyên sơ mật mã (cryptographic rimitive): thuật toán mật mã cấp thấp thực hiện các phép biến
đổi (một hoặc hai chiều), được dùng để xây dựng các hệ mật, giao thức mật mã.

16/08/2022 http://ca.gov.vn 28
 3.5. HỆ MẬT MÃ
Hệ mật mã (hệ mật): một bộ các nguyên sơ mật mã
cần thiết để thực hiện một dịch vụ mật mã cụ thể.
Hệ mật đạt bí mật gồm: tạo khóa, mã mật hóa và giải
mã mật. Thành phần của hệ mật mã:
• Bản rõ (plain text): dữ liệu đầu vào để biến đổi
• Bản mã (cipher text): dữ liệu đầu ra, kết quả
• Thuật toán mật mã (cryptographic algorithm): thực
hiện biến đổi.
• Khóa mã (key): giá trị kết hợp với đầu vào.
• Thuật toán mã mật hóa (encryption): biến đổi bản
rõ thành bản mã.
• Thuật toán giải mã mật (decryption): biến đổi bản
mã thành bản rõ.
16/08/2022 http://ca.gov.vn 29
 3.6. MỘT SỐ NGUYÊN SƠ VÀ HỆ MẬT MÃ

16/08/2022 http://ca.gov.vn 30
 3.6. MỘT SỐ NGUYÊN SƠ VÀ HỆ MẬT MÃ

16/08/2022 http://ca.gov.vn 31
 3.7. GIAO THỨC MẬT MÃ
Giao thức mật mã: chuỗi thứ tự
các bước, giữa hai hay nhiều bên,
đạt mục tiêu xác định.
Mỗi bước dựa trên các nguyên sơ
hay hệ mật.
Phân loại các giao thức mật mã:
• Giao thức có trọng tài
(Trusted arbitrator)
• Giao thức có người phân xử
(Adjudicated Protocols)
• Giao thức tự phân xử (Self-
Enforcing Protocols)

16/08/2022 http://ca.gov.vn 32
 3.7. GIAO THỨC MẬT MÃ
Esoteric
Basic Protocols Intermediate Protocols Advanced Protocols
Protocols
- Timestamping Services
- Key Exchange - Zero-Knowledge Proofs
- Subliminal Channel
- Authentication - Zero-Knowledge Proofs of
- Undeniable Digital Signatures
- Authentication and Key Identity - Secure
- Designated Confirmer Signatures
Exchange - Blind Signatures Elections
- Proxy Signatures
- Formal Analysis of - Identity-Based Public-Key - Secure
- Group Signatures
Authentication and Key- Cryptography Multiparty
- Fail-Stop Digital Signatures
Exchange Protocols - Oblivious Transfer Computation
- Computing with Encrypted Data
- Multiple-Key Public-Key - Oblivious Signatures - Anonymous
- Bit Commitment
Cryptography - Simultaneous Contract Message
- Fair Coin Flips
- Secret Splitting Signing Broadcast
- Mental Poker
- Secret Sharing - Digital Certified Mail - Digital Cash
- One-Way Accumulators
- Cryptographic Protection of - Simultaneous Exchange of
- All-or-Nothing Disclosure of
Databases Secrets
Secrets
- Key Escrow
16/08/2022 http://ca.gov.vn 33
 3.7. GIAO THỨC MẬT MÃ

16/08/2022 http://ca.gov.vn 34
 3.8. AN TOÀN CỦA CÁC THUẬT TOÁN MẬT MÃ
Thuật toán mật mã, độ an toàn, phụ
thuộc vào độ phức tạp, khả năng bị
phá vỡ
Thuật toán là an toàn (thời điểm) nếu:
• Chi phí (phí tổn) cần để phá vỡ
thuật toán lớn hơn giá trị của thông tin
giải mã được.
• Thời gian cần để phá vỡ thuật toán
quá lâu.
• Lượng dữ liệu cần để phá vỡ thuật
toán quá lớn so với lượng dữ liệu đã
được mã mật hoá

16/08/2022 http://ca.gov.vn 35
 4. TÓM TẮT

• Sự phát triển của mạng máy tính (Internet) dẫn tới nhu cầu trao đổi thông tin trên mạng
hình thành các giao dịch điện tử, làm thay đổi nhiều mặt trong đời sống xã hội.

• An toàn thông tin: là việc bảo vệ thông tin và hệ thống thông tin khỏi các truy nhập, sử
dụng, tiết lộ, phá vỡ, sửa đổi, soi xét, kiểm tra, chi chép, phá hủy… trái phép. Là một
lĩnh vực quan trọng đảm bảo cho các giao dịch điện tử được thực hiện.

• Mật mã là một lĩnh vực quan trọng trong xây dựng, thiết kế các hệ thống bảo vệ thông
tin và các hệ thống thông tin.

16/08/2022 http://ca.gov.vn 36
 5. THẢO LUẬN

16/08/2022 http://ca.gov.vn 37
 KẾT THÚC

16/08/2022 http://ca.gov.vn 38