Luận văn Nghiên cứu một số giải pháp đảm bảo an ninh và xác thực trong tích hợp người dùng đa miền dịch vụ của cổng thông tin điện tử viện khoa học xã hội quốc gia Lào

NGƯỜI DÙNG ĐA MIỀN DỊCH VỤ CỦA CỔNG THÔNG TIN ĐIỆN TỬ VIỆN KHOA HỌC XÃ HỘI QUỐC GIA LÀO Chuyên ngành: Khoa học máy tính Mã số: 8 48 01 01 LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH Người hướng dẫn khoa học: TS. Nguyễn Đức Bình Thái Nguyên - 2020 i LỜI CẢM ƠN Trước tiên, tôi xin được gửi lời cảm ơn đến các quý thầy cô đã giảng dạy trong chương trình Cao học do Trường Đại học Công nghệ thông tin và Truyền thông tổ chức, những người đã truyền đạt cho tôi những kiến thức hữu ích về khoa học máy tính, làm cơ sở cho tôi thực hiện tốt luận văn này. Tôi xin chân thành cảm ơn TS. Nguyễn Đức Bình đã tận tình hướng dẫn cho tôi trong thời gian thực hiện luận văn. Mặc dù trong quá trình thực hiện luận văn gặp nhiều khó khăn, nhưng với sự hướng dẫn của Thầy, tôi đã học hỏi được nhiều bài học kinh nghiệm quý báu, là nền tảng để tôi hoàn thiện được nội dung luận văn của mình. Tôi cũng xin gửi lời cảm ơn đến tất cả các đồng nghiệp đang làm việc tại Viện Khoa học xã hội quốc gia Lào đã tận tình giúp đỡ tôi trong việc thu thập thông tin, lấy số liệu về hệ thống làm cơ sở dữ liệu cho luận văn. Sau cùng tôi xin gửi lời biết ơn sâu sắc đến các anh, chị trong lớp và gia đình đã luôn tạo điều kiện tốt nhất cho tôi trong suốt quá trình học cũng như thực hiện luận văn. Do thời gian có hạn và kinh nghiệm nghiên cứu khoa học của bản thân còn hạn chế nên luận văn còn nhiều thiếu sót, rất mong nhận được ý kiến góp ý của Thầy/Cô và các anh chị học viên. Thái Nguyên, tháng năm 20 Học viên Keovivanh SYVILAY ii LỜI CAM ĐOAN Tôi xin cam đoan những kết quả trong luận văn là của việc tìm hiểu, nghiên cứu và có trích dẫn, tham chiếu đến các nguồn tư liệu tin cậy. Nội dung luận văn chưa từng được công bố hay xuất bản dưới bất kỳ hình thức nào. Tất cả phần mã nguồn của chương trình thuộc nội dung luận văn này đều do tôi tự thiết kế và xây dựng, trong đó có sử dựng một số thư viện chuẩn và các thuật toán được các tác giả xuất bản công khai và miễn phí trên mạng Internet. Thái Nguyên, tháng 11 năm 2020 Tác giả luận văn Keovivanh SYVILAY iii MỤC LỤC LỜI CẢM ƠN .............................................................................................................. i LỜI CAM ĐOAN ....................................................................................................... ii MỤC LỤC ................................................................................................................. iii DANH MỤC HÌNH ẢNH .......................................................................................... v DANH MỤC CÁC TỪ VIẾT TẮT ........................................................................... vi MỞ ĐẦU ..................................................................................................................... 1 CHƯƠNG 1 TỔNG QUAN VỀ ĐẢM BẢO AN NINH VÀ XÁC THỰC NGƯỜI DÙNG ......................................................................................................................... 5 1.1. Hệ thống thông tin và vấn đề đảm bảo an ninh ............................................... 5 1.1.1 Các vấn đề hệ thống thông tin ................................................................... 5 1.1.2. Phân loại các hệ thống thông tin .............................................................. 6 1.1.3. Đặc điểm hệ thống thông tin dữ liệu Viện khoa học xã hội quốc gia Lào7 1.2. Vấn đề bảo mật, an toàn và xác thực người dùng .......................................... 10 1.2.1. Vấn đề an ninh thông tin ........................................................................ 10 1.2.2. Hệ thống thông tin đa miền dùng dịch vụ .............................................. 11 1.2.3. Vấn đề an ninh trong hệ thống thông tin đa người dùng ........................ 13 CHƯƠNG 2 MỘT SỐ PHƯƠNG PHÁP ĐẢM BẢO AN NINH VÀ XÁC THỰC TRONG TÍCH HỢP NGƯỜI DÙNG ĐA MIỀN DỊCH VỤ ................................... 15 2.1. Yêu cầu về đảm bảo an ninh và xác thực trong các hệ thống đa miền dịch vụ .... 15 2.1.1. Một số vấn đề an ninh trong hệ thống đa miền dịch vụ ......................... 15 2.1.2. Yêu cầu về xác thực trong hệ thống đa miền dịch vụ ............................ 17 2.2. Các phương pháp đảm bảo an ninh cho người dùng đa miền dịch vụ .......... 19 2.2.1. Nguyên lý mã hóa ................................................................................... 19 2.2.2 Phương pháp ký số và quản lý khóa ........................................................ 21 2.2.3. Phương pháp bảo mật định danh người dùng......................................... 23 2.2.4. Phương pháp bảo mật CSDL .................................................................. 27 iv 2.3. Các phương pháp đảm bảo xác thực danh tính người dùng đa miền dịch vụ 34 2.3.1. Xác thực đăng nhập Single sign on (SSO) ............................................. 34 2.3.2. Xác thực hai yếu tố SMS, Voice, Call, Email ........................................ 35 CHƯƠNG 3 XÂY DỰNG GIẢI PHÁP ĐẢM BẢO AN NINH VÀ XÁC THỰC NGƯỜI DÙNG ĐA MIỀN DỊCH VỤ CHO CỔNG THÔNG TIN ĐIỆN TỬ VIỆN KHOA HỌC XÃ HỘI QUỐC GIA LÀO ................................................................. 38 3.1. Đặt vấn đề ...................................................................................................... 38 3.2. Hiện trạng và nhu cầu đảm bảo an ninh và xác thực người dùng đa miền dịch vụ .... 39 3.2.1 Về phần cứng ........................................................................................... 41 3.2.2 Về phần mềm ........................................................................................... 41 3.3. Giải pháp triển khai thử nghiệm sử dụng đăng nhập một lần SSO cho hệ thống cổng thông tin điện tử Viện khoa học xã hội quốc gia Lào ........................ 42 3.3.1 OpenID Connect và SSO ......................................................................... 46 3.3.2 Xác thực người dùng với OpenID Connect ............................................. 47 3.4. Cài đặt thử nghiệm và đánh giá hiệu quả ...................................................... 48 3.4.1. Cài đặt và cấu hình SSL cổng thông tin với Liferay ............................. 48 KẾT LUẬN VÀ ĐỀ NGHỊ ....................................................................................... 54 TÀI LIỆU THAM KHẢO ......................................................................................... 55 v DANH MỤC HÌNH ẢNH Hình 2.1: Chuẩn MD5 ............................................................................................... 20 Hình 2.2: Quy trình ký và thấm tra chữ ký số ........................................................... 21 Hình 2.3: Quá trình ký vào tài liệu điện tử sử dụng Private Key ............................. 22 Hình 2.4: Quản lý khóa sử dụng Private key ............................................................ 23 Hình 2.5: Các đặc trưng sinh trắc học phổ biến ........................................................ 25 Hình 2.6: Mô hình client - server .............................................................................. 28 Hình 2.7: Mô hình trao đổi dữ liệu ........................................................................... 29 Hình 2.8: Trao đổi thông tin theo giao thức SSL ...................................................... 32 Hình 2.9: Xác thực bằng mã code ............................................................................. 36 Hình 3.1: Khởi tạo Server và cổng thông tin điện tử với Liferay ............................. 48 Hình 3.2: Tạo chứng chỉ số ....................................................................................... 49 Hình 3.3: File chứng chỉ số ....................................................................................... 49 Hình 3.4: Cài đặt chứng chỉ số .................................................................................. 50 Hình 3.5: Thử nghiệm chứng chỉ số .......................................................................... 50 Hình 3.6: Cài đặt SSL xác thực người dùng sử dụng dịch vụ Google ...................... 51 Hình 3.7: Cài đặt SSL trong Facebook ..................................................................... 51 Hình 3.8: Tích hợp xác thực người dùng vào cổng thông tin ................................... 52 Hình 3.9: Cấu hình OpenID ...................................................................................... 52 vi DANH MỤC CÁC TỪ VIẾT TẮT Tên tiếng Anh Tên tiếng Việt Từ viết tắt Vitual Private Network Mạng riêng ảo VPN Single Sign On đăng nhập một lần SSO Database Cơ sở dữ liệu CSDL Secure Sockets Layer chứng chỉ số SSL Uninterruptible Power Supplier Bộ lưu trữ điện dự phòng UPS Database management system Hệ quản trị cơ sở dữ liệu DBMS Xtensible Markup Language Ngôn ngữ đánh dấu mở rộng XML Internet protocol suite Bộ giao thức liên mạng TCP/IP Local Area Network Mạng cục bộ LAN Advanced Encryption Standard Chuẩn mã hóa tiên tiến AES Windows Communication Nền tảng kết nối WCF Foundation 1 MỞ ĐẦU 1. Lý do chọn đề tài Cổng thông tin điện tử được xây dựng với mục tiêu là điểm truy cập tập trung và duy nhất; tích hợp các kênh thông tin các dịch vụ, ứng dụng cho phép thực hiện trao đổi dữ liệu với các hệ thống thông tin tích hợp, đồng thời thực hiện cung cấp trao đổi thông tin với người sử dụng thông qua một phương thức thống nhất dựa trên nền tảng Web không hạn chế về không gian và thời gian. Với đặc điểm đó Cổng thông tin điện tử là lựa chọn phù hợp cho nhiều tổ chức cơ quan có nhu cầu lưu trữ, trao đổi thông tin lớn và đa dạng như Viện Khoa học xã hội quốc gia Lào. Bên cạnh đó, nhằm hỗ trợ nhiều đối tượng người dùng được cung cấp và sử dụng định danh từ các nhà cung cấp định danh khác nhau (đa miền dịch vụ) có thể thực hiện trao đổi thông tin với cổng thông tin thông qua một phương thức thống nhất dựa trên nền tảng. Cổng thông tin thường được hỗ trợ cơ chế tích hợp và đăng nhập một lần (Single Sign On). Tuy nhiên mỗi nền tảng công nghệ lại có khả năng và cơ chế hỗ trợ riêng biệt. Điều này dẫn tới các vấn đề về an ninh và xác thực thông tin người dùng. Những lí do trên thúc đẩy việc nghiên cứu một cách đầy đủ các yếu tố liên quan đến vấn đề an ninh và xác thực thông tin người dùng cổng thông tin điện tử Viện Khoa học xã hội quốc gia Lào. Đề tài này cung cấp góc nhìn tổng thể về đặc điểm người dùng đa miền dịch vụ, cũng như các vấn đề an ninh và cơ chế xác thực người dùng tương tác với cổng thông tin điện tử Viện Khoa học xã hội quốc gia Lào. Từ đó cung cấp một số giải pháp để giải quyết các vấn đề an ninh và xác thực cơ bản đối với cổng thông tin điện tử Viện Khoa học xã hội Lào, bao gồm các vấn đề chính yếu sau: Cơ chế quản trị và tích hợp người dùng từ một miền dịch vụ, quản trị an ninh đối với người dùng từ các miền dịch vụ và quản lý cơ chế xác thực thông tin người dùng từ các miền dịch vụ. Ngày nay, lĩnh vực bảo mật an toàn thông tin đang được nghiên cứu, phát triển và ứng dụng rộng rãi trong nhiều hệ thống thông tin nhằm đảm bảo một hệ thống có tính bảo mật, tin cậy và sẵn sàng. Đặc biệt là những hệ thống cơ sở dữ liệu 2 lưu trữ lớn hoặc cổng thông tin tích hợp dữ liệu cần phải có những giải pháp đảm bảo an toàn và bí mật trong hệ thống đào tạo, nghiên cứu. Người ta đều xây dựng và triển khai các cổng thông tin tích hợp dữ liệu nhưng việc nghiên cứu các giải pháp đảm bảo an toàn và bảo mật thì chưa được quan tâm nhiều. Vấn đề này ở Lào là một trong vấn đề mới cần được quan tâm đầu tư, chính vì vậy việc nghiên cứu giải pháp đảm bảo an toàn và bảo mật, tính xác thực người dùng cho cổng thông tin điện tử là rất cần thiết. Để triển khai nội dung trên thì chúng ta cần tập trung xem xét các vấn đề an toàn bảo mật thông tin, các công nghệ triển khai cho cổng thông tin điện tử, trên cơ sở đó đề xuất giải pháp đảm bảo an toàn và bảo mật cho cổng thông tin. Triển khai xây dựng giải pháp thử nghiệm cho một số ứng dụng đảm bảo an toàn, bảo mật thông tin và xác thực người dùng đa miền dịch vụ cho cổng thông tin điện tử Viện khoa học xã hội Quốc gia Lào. 2. Tính thực tiễn của đề tài Lĩnh vực nghiên cứu, đào tạo không ngừng phát triển. Tiếp cận và tích hợp đa miền dịch vụ để nâng cao chất lượng nghiên cứu, đào tạo là điều rất cần thiết đối với Viện Khoa học xã hội Quốc gia Lào. Với sự phát triển mạnh mẽ của ngành Công nghệ thông tin, một trong những ngành mũi nhọn của nhiều quốc gia trên thới giới. Sự phát triển vượt bậc đó là kết quả tất yếu của việc ứng dụng của nó trong nhiều lĩnh vực khác nhau trong cuộc sống như: giáo dục, y tế, kinh tế, khoa học, xây dựng nó đã trở thành một phần không thể thiếu được trong cuộc sống hàng ngày của con người. Trong kỷ nguyên bùng nổ thông tin, việc tìm kiếm thông tin từ những nguồn dữ liệu khác nhau, tích hợp đa miền dịch vụ, đa hệ thống vào chung một cổng để giao tiếp và sử dụng là nhu cầu thiết thực cho người dùng hiện nay. Tuy nhiên, một hệ thống lớn bao gồm nhiều dịch vụ, phần mềm nhỏ sẽ gặp phải vấn đề bảo mật an toàn thông tin và xác thực người dùng. Các nguy cơ bị đánh cắp dữ liệu người dùng, truy cập không cho phép, phá hoại dữ liệuthường xuyên xảy ra và mang đến hậu quả thiệt hại lớn. Xuất phát từ những thực tế trên, tôi đã chọn đề tài “Nghiên cứu một số giải pháp đảm bảo an ninh và xác thực trong tích hợp người dùng đa miền dịch vụ của cổng thông tin điện tử Viện Khoa học xã hội Quốc gia Lào” để nghiên cứu cho luận văn thạc sĩ của mình. 3 3. Mục tiêu nghiên cứu Mục tiêu và nội dụng của luận văn này là nghiên cứu một số giải pháp đảm bảo an ninh và xác thực trong tích hợp người dùng đa miền dịch vụ của cổng thông tin điện tử Viện Khoa học xã hội Quốc gia Lào. Để giải quyết các vấn đề trên thì đề tài tập trung vào các vấn đề sau:  Nghiên cứu về an toàn bảo mật thông tin, mật mã, xác thực thông tin.  Nghiên cứu về mô hình hệ thống, công nghệ, và thuật toán liên quan tới cổng thông tin điện tử.  Đề xuất được những giải pháp đảm bảo an toàn và bảo mật cho cổng thông tin điện tử Viện Khoa học xã hội Quốc gia Lào.  Triển khai xây dựng thử nghiệm đảm bảo an toàn và bảo mật thông tin, xác thực người dùng cho cổng thông tin điện tử Viện Khoa học xã hội Quốc gia Lào. 4. Đối tượng và phạm vi nghiên cứu Lý thuyết  Tìm hiểu đặc điểm người dùng đa miền dịch vụ hệ thống cổng thông tin điện tử.  Tìm hiểu một số phương pháp đảm bảo xác thực người dùng đa miền dịch vụ.  Tìm hiểu một số phương pháp đảm bảo an ninh trong tích hợp người dùng đa miền dịch vụ.  Lựa chọn phương pháp đảm bảo an ninh và xác thực trong tích hợp người dùng đa miền dịch vụ phù hợp với cổng thông tin điện tử Viện Khoa học xã hội Lào. Thực nghiệm  Thực hiện thử nghiệm các tham số đối với các tham số của một số phương pháp đảm bảo an ninh và xác thực người dùng đa miền.  Phân tích, đánh giá kết quả thu được. 4  Cài đặt và cấu hình thử nghiệm hệ thống đảm bảo an toàn an ninh và xác thực người dùng đa miền dịch vụ cổng thông tin điện tử Viện Khoa học xã hội Lào. 5. Phương pháp nghiên cứu Nghiên cứu một số phương pháp đảm bảo an ninh và xác thực người dùng đa miền dịch vụ đã được công bố ở trong và ngoài nước. (Từ nguồn học liệu tại trường Đại học Công nghệ thông tin và Truyền thông, các nhà khoa học, các tạp chí mạng), thực hiện khảo sát và đưa ra ưu/nhược điểm của các phương pháp; lựa chọn phương pháp phù hợp có thể đảm bảo an toàn an ninh và xác thực; Nghiên cứu một số phương pháp cơ chế đảm bảo xác thực thông tin người dùng đa miền dịch vụ đã được công bố; lựa chọn phương pháp có hiệu quả cao nhất. Nghiên cứu một số phương pháp đảm bảo an ninh trong tích hợp người dùng đa dịch vụ đã được công bố; lựa chọn giải pháp đảm bảo an toàn tốt nhất. Cài đặt và cấu hình thử nghiệm hệ thống đảm bảo an ninh và xác thực người dùng cho cổng thông tin người dùng cổng thông tin điện tử Viện Khoa học xã hội Lào; phân tích và đánh giá kết quả thu được; so sánh hiệu quả trong các trường hợp sử dụng thực tế. 6. Bố cục luận văn Luận văn bao gồm: mục lục, phần mở đầu, phụ lục. Chương 1: Tổng quan về đảm bảo an ninh và xác thực người dùng Chương 2: Một số phương pháp đảm bảo an ninh và xác thực trong tích hợp người dùng đa miền dịch vụ. Chương 3: Xây dựng giải pháp đảm bảo an ninh và xác thực người dùng đa miền dịch vụ cho cổng thông tin điện tử Viện khoa học xã hội Quốc gia Lào. Kết luận và đề nghị. 5 CHƯƠNG 1 TỔNG QUAN VỀ ĐẢM BẢO AN NINH VÀ XÁC THỰC NGƯỜI DÙNG 1.1. Hệ thống thông tin và vấn đề đảm bảo an ninh 1.1.1 Các vấn đề hệ thống thông tin An ninh mạng đặt ra các vấn đề với các tổ chức, doanh nghiệp, cá nhân. Đặc biệt, với đặc trưng có mặt ở khắp nơi, liên tục thu thập thông tin về hoạt động của con người, môi trường xung quanh và liên tục kết nối, hàng chục tỷ thiết bị đang hoạt động trên thế giới có thể bị lợi dụng để tạo ra những mạng lưới thu thập thông tin với phạm vi hoạt động cực rộng, len lỏi vào từng khía cạnh của đời sống con người, tạo ra những nguy cơ chưa từng có với các tổ chức, cá nhân trước hoạt động của tội phạm mạng. Có thể nói, đề tài về bảo đảm an ninh thông tin (ANTT) đang là một trong những vấn đề được ưu tiên toàn cầu, khu vực và mỗi quốc gia. Các giải pháp bảo vệ an ninh thông tin trong thời đại công nghệ số: Một là thống nhất và nâng cao nhận thức về an toàn thông tin trong thời kỳ kỹ thuật số. Xác định công tác bảo đảm an ninh, phòng, chống vi phạm và tội phạm mạng là một bộ phận trọng yếu của cuộc đấu tranh bảo vệ an ninh quốc gia, giữ gìn trật tự, an toàn xã hội, là nhiệm vụ của cả hệ thống các cấp, các ngành, cho đến từng cơ quan, đoàn thể. Hai là coi trọng việc đẩy mạnh xây dựng nguồn nhân lực ANTT Lào cả số lượng lẫn chất lượng. Đào tạo thêm nhiều kỹ sư thuộc các chuyên ngành an ninh mạng, đảm bảo nhu cầu khát nhân lực hiện nay. Không chỉ đảm bảo về mặt số lượng, cần phải nâng cao chất lượng trong ngành bằng việc đào tạo đội ngũ giảng dạy có phương pháp và quy trình chuẩn. Ba là tăng cường năng lực và nâng cao một bước hiệu quả quản lý nhà nước về công nghệ thông tin và truyền thông, về ANTT, an ninh mạng. Tiếp tục xây dựng, hoàn thiện hệ thống pháp luật về an ninh mạng, quy chuẩn về an toàn thông tin. Kiện toàn tổ chức bộ máy thực thi quản lý nhà nước về an ninh, an toàn mạng thông tin quốc gia, hệ thống các đơn vị chuyên trách về ANTT, công nghệ thông tin. Hoàn thiện hệ thống quản lý theo pháp luật, đảm bảo. 6 Bốn là xây dựng mô hình phát triển và sử dụng công nghệ thông tin phù hợp với luật pháp, trên cơ sở tôn trọng quyền tự do và những quyền cơ bản khác của con người, đồng thời không can thiệp công việc nội bộ lẫn nhau; phản đối mọi hình thức lợi dụng vấn đề “tự do thông tin”, “nhân quyền”, “dân chủ” trên không gian mạng để xâm hại lợi ích của các quốc gia, quyền và lợi ích hợp pháp của các công dân. Năm là chủ động có phương án, chiến lược phòng chống các cuộc tấn công mạng. Lập kế hoạch triển khai khi có sự cố sảy ra để không bị động trước những tấn công bất thường [11]. Vai trò của an ninh thông tin ngày càng quan trọng kéo theo nhu cầu về nguồn nhân lực ngày càng gia tăng. Ở Lào, ngành an ninh thông tin và quản trị mạng đang được rất nhiều bạn trẻ theo học. Trung tâm tích hợp dữ liệu được hiểu là một khu vực mà trong đó tích hợp cơ sở dữ liệu (CSDL) của các ứng dụng trong một cơ quan, tổ chức, doanh nghiệp và trong đó có các kết nối mạng, máy chủ chạy ứng dụng CSDL thực hiện việc trao đổi dữ liệu giữa tổ chức,...với CSDL trung tâm qua mạng cục bộ, mạng Internet. Ngoài việc đảm bảo an toàn cho nơi lưu trữ dữ liệu thì việc đảm bảo an ninh cho bản thân dữ liệu cũng rất quan trọng. Tuỳ theo cách thức dữ liệu được truy xuất và lưu trữ thì vấn đề về đảm bảo an ninh cho dữ liệu có các điều kiện khác nhau. Ví dụ như việc đảm bảo an ninh cho dữ liệu được lưu trữ lại CSDL thì cần phải chống lại những nguy cơ mất an ninh cho dữ liệu như: trộm cắp dữ liệu, sửa đổi trái phép. Bảo đảm tính toàn vẹn dữ liệu và an ninh cho dữ liệu khi dữ liệu được trao đổi cho ứng dụng thì cần bảo vệ dữ liệu trên đường truyền. Do đó việc đảm bảo an ninh, an toàn và xác thực người dùng trên cổng thông tin là thiết yếu và cũng là vấn đề lớn mà Viện khoa học xã hội Quốc gia Lào cần phải nghiên cứu, triển khai trên thực tế. 1.1.2. Phân loại các hệ thống thông tin Hệ thống thông tin là một tập hợp và kết hợp của các thành phần sử dụng đề thu thập, tạo, tái tạo, phân phối và chia sẻ các dữ liệu, thông tin và tri thức nhằm phục vụ các mục tiêu của tổ chức; có thể là thủ công nếu dựa vào các công cụ như giấy, bút. Hệ thống thông tin hiện đại là hệ thống tự động hóa dựa vào máy tính 7 (phần cứng, phần mềm) và các công nghệ thông tin học còn hệ thống thông tin quản lý được phân loại theo cấp bậc quản lý như sau: - Hệ thống thông tin quản lý (Management Information System-MIS) - Hệ thống xử lý giao địch (Transactions Processing Systems- TPS) - Hệ tự động văn phòng (Office Automation Systems- OAS) - Hệ thống chuyên môn (Knowledge Word System- KWS) - Hệ hỗ trợ quyết định (Decision Support System – DSS) - Hệ thông tin hỗ trợ lãnh đạo (Executive Support Systems- ESS) 1.1.3. Đặc điểm hệ thống thông tin dữ liệu Viện khoa học xã hội quốc gia Lào Để đảm bảo các hệ thống ứng dụng công nghệ thông tin (CNTT) hoạt động tốt trên mạng Internet, đa số các cơ quan đã bước đầu quan tâm thực hiện theo các quy định của pháp luật nhằm đảm bảo an toàn, an ninh thông tin trong hoạt động ứng dụng CNTT cho cơ sở. Hệ thống phần mềm dùng chung, phần mềm chuyên ngành, phần mềm ứng dụng nội bộ cơ bản được đảm bảo an toàn, an ninh thông tin đều được sự hỗ trợ tích cực của các chuyên gia, công ty cung cấp phần mềm. Hàng năm, Viện Khoa học Xã hội quốc gia Lào cũng tổ chức các lớp đào tạo, tập huấn về CNTT nhằm nâng cao trình độ giúp cho cán bộ, công chức, chủ động thực hiện các biện pháp bảo đảm an toàn, an ninh thông tin; nâng cao kiến thức về chuyên môn và kỹ năng sử dụng CNTT, đảm bảo an toàn thông tin mạng cho đội ngũ cán bộ chuyên trách CNTT trong cơ quan. Đồng thời yêu cầu các đơn vị trực thuộc tổ chức kiểm tra, rà soát và đánh giá tổng thể về công tác đảm bảo an toàn thông tin cho các hệ thống thuộc phạm vi quản lý, tổ chức thực hiện các biện pháp kỹ thuật cơ bản đảm bảo an toàn thông tin cho trang thông tin điện tử. Tuy nhiên, công tác đảm bảo an toàn thông tin mạng ở Viện khoa học xã hội quốc gia Lào vẫn chưa được cập nhật với mặt bằng chung của khu vực và thế giới. Hệ thống mạng kết nối ngang hàng, thiếu các trang thiết bị đảm bảo an toàn thông tin mạng, các hệ thống thông tin còn tồn tại lỗ hổng bảo mật, tiềm ẩn nguy cơ gây 8 mất dữ liệu, lây nhiễm các phần mềm độc hại ảnh hưởng đến ứng dụng và phát triển CNTT. Mặt khác, kinh phí tổng thể đầu tư cho xây dựng hạ tầng kỹ thuật CNTT và công tác đảm bảo an toàn và an ninh thông tin còn hạn chế; việc đảm bảo an toàn, an ninh thông tin đối với các hệ thống thông tin nói chung và các hệ thống thư điện tử, quản lý văn bản và điều hành, trang thông tin điện tử nói riêng chưa được quan tâm đầu tư tương xứng. Đa số mới chỉ dừng lại ở mức trang bị các phần mềm diệt virus có bản quyền cho các máy tính, chưa có biện pháp đảm bảo an toàn an ninh thông tin được cài đặt đồng bộ trên toàn cơ quan do vậy khả năng phòng chống virus, bảo mật không cao. Đội ngũ cán bộ chuyên viên phụ trách an toàn, an ninh thông tin tại Viện khoa học xã hội quốc gia Lào còn thiếu, cần được đào tạo, tập huấn chuyên sâu về an toàn, an ninh thông tin. Do đó để đảm bảo an toàn, an ninh thông tin trong hoạt động của Viện khoa học xã hội quốc gia Lào hiện nay cần có những giải pháp, cơ chế chính sách cụ thể nhằm hạn chế nguy cơ mất ATTT trên môi trường mạng, ngăn ngừa mã độc, phần mềm gián điệp tấn công vào các hệ thống thông tin trọng yếu, máy tính cá nhân của cán bộ, công chức, viên chức. Trong đó cần ưu tiên thực hiện ngay một số biện pháp sau: Một là, nâng cao nhận thức của cán bộ, công chức, viên chức trong đơn vị về mức độ quan trọng của việc đảm bảo an toàn, an ninh thông tin. Thường xuyên tổ chức đào tạo, tập huấn, tuyên truyền về công tác đảm bảo an toàn, an ninh thông tin; tổ chức diễn tập, đào tạo chuyên sâu ATTT để nâng cao trình độ, chuyên môn nghiệp vụ cán bộ chuyên trách CNTT. Hai là, thường xuyên kiểm tra, rà soát, đánh giá mức độ đảm bảo ATTT cho hệ thống mạng nội bộ (LAN) gồm: Máy chủ, máy trạm, thiết bị mạng, phần cứng, phần mềm hệ thống và các hệ thống thông tin, phần mềm ứng dụng nhằm đánh giá tổng thể mức độ ATTT mạng, kịp thời phát hiện và xử lý sự cố, lỗ hổng, ngăn chặn, bóc gỡ mã độc tấn công vào hệ thống mạng. 9 Ba là, về phòng chống mã độc, virus, phần mềm gián điệp: Cách hiệu quả nhất để có thể ngăn chặn, phòng ngừa các phần mềm độc hại trên lây nhiễm trên hệ thống mạng máy tính của đơn vị đó là phải triển khai cài đặt phần mềm chống virus cho tất cả các máy chủ, máy trạm và thiết bị di động trong hệ thống mạng. Sử dụng cơ chế phòng chống tấn công, truy nhập trái phép vào hệ thống mạng, tự động phát hiện và loại trừ mã độc được truyền tải từ thư điện tử, file đính kèm, từ các trang web độc hại trên mạng Internet. Thường xuyên cập nhật phiên bản mới, bản vá lỗi của hệ điều hành, phần mềm chống virus. Kiểm soát chặt chẽ cài đặt phần mềm trên máy chủ, máy trạm, không cài đặt phần mềm không rõ nguồn gốc hoặc không có bản quyền; cử cán bộ thường xuyên theo dõi hoạt động của cổng/trang thông tin điện tử của đơn vị nhằm tránh các cuộc tấn công deface gây ảnh hưởng đến việc cung cấp thông tin phục vụ người dân và doanh nghiệp. Thiết lập cơ chế bảo mật cho mạng không dây như thay đổi các tham số mặc định của thiết bị, mã hóa dữ liệu, đặt mật khẩu truy cập ở mức an toàn cao nhất. Xây dựng, ban hành quy chế về đảm bảo an toàn, an ninh thông tin trên môi trường mạng trong hoạt động nội bộ của đơn vị. Bố trí kinh phí thường xuyên cho việc triển khai các biện pháp đảm bảo ATTT trong nội bộ cơ quan, mua sắm trang thiết bị CNTT chuyên dụng như thiết bị tường lửa (Firewall), thiết bị lưu trữ dữ liệu, phần mềm phòng chống virus; tăng cường đào tạo tập huấn Khi hệ thống bị tấn công, xảy ra sự cố hoặc nguy cơ mất ATTT cần nhanh chóng cách ly hệ thống với môi trường mạng, áp dụng mọi biện pháp để khắc phục và hạn chế thiệt hại ở mức thấp nhất. Công tác đảm bảo an toàn, an ninh thông tin trong hoạt động của Viện khoa học xã hội quốc gia Lào đang là một nhiệm vụ quan trọng và không thể thiếu trong công tác ứng dụng CNTT và hoạt động chỉ đạo điều hành. Do đó, phải thường xuyên kiểm tra, rà soát, đánh giá mức độ an toàn bảo mật để đơn vị đưa ra giải pháp kịp thời để đối phó, ngăn chặn các nguy cơ rủi ro có thể xảy ra bất cứ lúc nào [10]. 10 1.2. Vấn đề bảo mật, an toàn và xác thực người dùng 1.2.1. Vấn đề an ninh thông tin Với một nền tảng công nghệ vững mạnh và ngày càng phát triển, mở rộng, việc giám sát các thông tin an ninh trong hệ thống là thật sự cần thiết. Điều này sẽ giúp cho công tác kiểm soát một hệ thống với rất nhiều thành phần khác nhau được quản lý, cảnh báo tập trung và tự động đưa ra phân tích, đánh giá đối với từng thành phần cũng như tổng thể hệ thống một cách kịp thời. Hơn thế nữa, việc giám sát còn cho phép tương quan, xâu chuỗi các sự kiện của nhiều hệ thống khác nhau nhằm đưa ra luồng thông tin chính xác từ các cuộc tấn công để từ đó xác định nguồn gốc và có biện pháp xử lý kịp thời. Ngoài ra, giải pháp An ninh thông tin còn cho phép đo lường, quản lý rủi ro và quản lý việc tuân thủ các quy trình kinh doanh quan trọng để mang lại những hiệu quả: 1. Phát hiện các vấn đề bảo mật và đưa ra thời gian xử lý sự cố an ninh thông tin từ việc thu thập dữ liệu từ tất cả các nền tảng công nghệ, phần mềm, ứng dụng. Tương quan các sự kiện với các ngữ cảnh khác nhau, dò quét các sự cố nghiêm trọng, đồng thời giám sát các hành vi của người dùng, phát hiện các mối đe dọa từ bên trong. 2. Đưa ra các báo cáo về tính tuân thủ của hệ thống CNTT dựa theo các tiêu chuẩn quốc tế ISO 27001, PCI-DSS, NISTmột cách tự động hay bất kỳ khi nào tổ chức yêu cầu. Quản lý sự cố và tổ chức các sự kiện trên toàn bộ hệ thống với một giao diện thân thiện, thống nhất và hiệu quả hơn. Theo Cục An ninh thông tin Lào, phần mềm độc hại mã hóa tống tiền; lừa đảo trực tuyến, lây nhiễm phần mềm độc hại trên mạng xã hội; tấn công có chủ đích; lỗ hổng khi kết nối Internet; hay tấn công mạng vào các hạ tầng viễn thông và công nghệ thông tin là những vấn đề nóng về an toàn thông tin.  Lừa đảo trực tuyến, lây nhiễm phần mềm độc hại trên mạng xã hội Cùng với sự phát triển phổ biến của mạng xã hội đặc biệt là những trang mạng xã hội có đông người sử dụng như Facebook, nhiều đối tượng xấu đang sử 11 dụng mạng xã hội làm nền tảng để lừa đảo trực tuyến hay phát tán những phần mềm độc hại, gây ra những rủi ro, mất an toàn thông tin cho người sử dụng. Với một lượng người dùng mạng xã hội và Internet không ngừng gia tăng tại Lào như hiện nay thì các nguy cơ mất an toàn thông tin từ mạng xã hội sẽ vẫn tiếp tục là một xu hướng nóng trong năm 2019 và các năm tiếp theo.  Tấn công có chủ đích (APT) Trong vài năm trở lại đây xu hướng tấn công có chủ đích (APT) đang diễn biến hết sức phức tạp trên diện rộng. Đây là hình thức tấn công tinh vi và rất khó phát hiện do kẻ tấn công sử dụng các kỹ thuật mới để ẩn nấp và những cuộc tấn công này nhằm vào những người dùng hay các hệ thống quan trọng nhằm đánh cắp thông tin, phá hoại hệ thống và có thể xem là mối rủi ro nguy hiểm th...truyền.  Mô hình bảo mật trên đường truyền: Hình 2. 7: Mô hình trao đổi dữ liệu 30 Do dữ liệu trao đổi theo hai chiều từ client đến server và ngược lại, nên có những nguy cơ gặp phải như sau: - Không chắc rằng việc trao đổi thông tin là đúng đối với đối tượng cần trao đổi. - Dữ liệu trên mạng có thể bị chặn, cho nên dữ liệu có thể bị một đối tượng thứ 3 khác đọc trộm hay còn gọi là attacker. - Ngoài ra nếu attacker chặn được dữ liệu thì có thể sửa đổi dữ liệu trước khi gửi nó đến người nhận. Để thực hiện điều này thì ứng dụng giao thức SSL để bảo vệ dữ liệu trong quá trình trao đổi giữa tất cả các dịch vụ. SSL sẽ giải quyết vấn đề thứ nhất bằng cách cho phép 1 cách tùy chọn mỗi bên trao đổi có thể chắc chắn về định danh của phía đối tác trong một quá trình gọi là xác thực (authentication). Một khi các bên đã đuợc xác thực thì SSL sẽ cung cấp một kết nối đuợc mã hóa giữa hai bên để truyền bảo mật các message. Việc mã hóa trong quá trình trao đổi thông tin giữa hai bên cung cấp sự riêng tư, bí mật, do đó giải quyết đuợc vấn đề thứ hai. Thuật toán mã hóa đuợc sử dụng bao gồm có hàm băm mã hóa tuơng tự nhu checksum, nó đảm bảo rằng dữ liệu không bị thay đổi trong quá trình truyền dẫn, và do đó hàm băm sẽ giải quyết vấn đề thứ 3. Tuy nhiên cần chú ý là cả hai việc xác thực và mã hóa đều là tùy chọn, và nó phụ thuộc vào các bộ mã hóa đuợc đàm phán giữa hai đối tuợng.  Tiến trình SSL: Việc trao đổi dữ liệu trên mạng sử dụng SSL bắt đầu với việc trao đổi thông tin qua lại giữa client - server, sự trao đổi này còn gọi là SSL handshake. Có 3 mục tiêu chính của SSL handshake là: - Đàm phán các thuật toán mã hóa (cipher suite). - Xác thực định danh (tùy chọn). - Hình thành cơ chế bảo mật thông tin bằng cách thỏa thuận các cơ chế mã hóa. 31 Đàm phán các cipher suite: Một phiên SSL bắt đầu với việc đàm phán giữa client và server xem cipher suite nào chúng sẽ sử dụng. Một cipher suite là một tập các thuật toán mã hóa mà máy tính có thể dùng để mã hóa dữ liệu. Bao gồm có thông tin về các thuật toán trao đổi khóa công khai và các thuật toán thỏa thuận khóa, các hàm băm mã hóa. Client nói với server các cipher suite nào nó có sẵn và server lựa chọn cipher suite tốt nhất có thể chấp nhận. Xác thực server: Trong SSL thì buớc xác thực là buớc tùy chọn, việc xác thực server cho phép client chắc chắn rằng chính server sẽ đại diện cho đối tuợng mà client tin tuởng. Để chứng minh server thuộc về một tổ chức mà nó khẳng định là đại diện, thì server sẽ phải đua ra chứng chỉ khóa công khai của nó cho client. Nếu chứng chỉ này là hợp lệ thì client có thể chắc chắn về định danh của server. Thông tin trao đổi qua lại giữa client và server cho phép chúng thỏa thuận 1 khóa bí mật chung, ví dụ như RSA, client dùng khóa công khai của server, có đuợc từ chứng chỉ khóa công khai, để mã hóa thông tin khóa bí mật. Client gửi thông tin khóa bí mật đã được mã hóa đến server, chỉ có server mới có thể giải mã các thông tin này do quá trình giải mã phải cần đến khóa riêng của server. Gửi dữ liệu đã mã hóa: Lúc này thì cả client và server có thể truy cập đến khóa bí mật chung. Với mỗi bản tin thì chúng ta dùng đến hàm băm mã hóa, đã được chọn trong bước đầu tiên của tiến trình và chia sẻ thông tin bí mật, để tính toán 1 giá trị HMAC để gắn kèm vào thông điệp. Sau đó thì chúng ta sử dụng khóa bí mật và thuật toán khóa bí mật đã được thỏa thuận trước của tiến trình này để mã hóa dữ liệu và HMAC an toàn. Sử dụng phương thức này, client và server có thể trao đổi thông tin với nhau một cách an toàn với dữ liệu đã băm và mã hóa. Giao thức SSL: SSL handshake là sự trao đổi thông tin giữa client và server trước khi gửi các message đã được mã hóa. 32 Client hello Certiftcate tùy chọn Client key exchange Certificate verify tùy chọn Change cipher spec 2.Server hello Finish Certificate tùy chọn Encrypted data Certiftcate request tùy chọn Close messages 5.Server key exchange tùy chọn ó.Server hello done Change cipher spec Finished Encrypted data Clo.se message Hình 2. 8: Trao đổi thông tin theo giao thức SSL Các thông điệp SSL được gửi theo thứ tự sau: - Client hello: Client gửi đến server các thông tin bao gồm có phiên bản SSL cao nhất và 1 danh sách các cipher suite mà nó hỗ trợ. Thông tin cipher suite bao gồm có các thuật toán mã hóa và kích thước khóa. - Server hello: Server chọn ra phiên bản SSL cao nhất và cipher suite tốt nhất mà cả client và server hỗ trợ, gửi thông tin này về cho client. - Certificate: Server gửi cho client 1 chứng chỉ hoặc một chuỗi chứng chỉ, về cơ bản thì 1 chuỗi chứng chỉ bắt đầu bằng chứng chỉ khóa công khai của server và kết thúc bằng chứng chỉ gốc của tổ chức có thẩm quyền chứng chỉ. Thông điệp này là tùy chọn nhưng được dùng bất cứ khi nào xác thực server là cần thiết. - Certificate request: Nếu server cần xác thực client thì sẽ gửi cho client 1 yêu cầu xem chứng chỉ, trong các ứng dụng internet thì các message này ít khi được gửi đi. 33 - Server key exchange: Server gửi cho client 1 message trao đổi khóa trong khi khóa công khai được gửi ở phần 3 bên trên thì không đủ cho việc trao đổi khóa. - Server hello done: Server thông báo với client là việc đã hoàn thành các message đàm phán ban đầu. - Certificate: Nếu server cần chứng chỉ từ client trong bước 4 thì client gửi chuỗi chứng chỉ tương ứng, tương tự như cách thức server làm ở trong bước 3. - Client key exchange: Client sinh ra thông tin được dùng để trao đổi khóa trong mã hóa khóa đối xứng, với RSA, client mã hóa thông tin khóa này bằng khóa công khai của server rồi gửi đến server. - Certificate verify: Message này được gửi đi khi client đưa ra chứng chỉ như trên. Mục tiêu của client là cho phép server hoàn thành tiến trình xác thực client. Khi message này được dùng thì client gửi thông tin với chữ ký số được tạo ra bằng hàm băm mã hóa, khi server giải mã thông tin này bằng khóa công khai của client thì server có thể xác thực được client. - Change cipher spec: Client gửi message báo server thay đổi kiểu mã hóa. - Finished: Client nói với server rằng server đã sẵn sàng để trao đổi dữ liệu một cách an toàn. - Change cipher spec: Server gửi thông điệp báo cho client thay đổi kiểu mã hóa. - Finished: Server thông báo với client rằng server đã sẵn sàng để bắt đầu trao đổi dữ liệu an toàn và kết thúc SSL handshake. - Encrypted data: Client và server trao đổi với nhau, sử dụng thuật toán mã hóa đối xứng và hàm băm đã thỏa thuận ở bước 1 và 2. Và dùng khóa bí mật mà client gửi cho server trong message 8. - Closed message: Kết thúc 1 kết nối, mỗi bên gửi 1 message close-notify để thông báo rằng kết nối đã bị đóng. Trong quá trình này, nếu các tham số được sinh ra trong 1 phiên SSL được lưu lại thì chúng có thể được dùng lại cho các phiên SSL sau và việc này sẽ cho phép trao đổi bảo mật nhanh hơn. 34 2.3. Các phương pháp đảm bảo xác thực danh tính người dùng đa miền dịch vụ 2.3.1. Xác thực đăng nhập Single sign on (SSO) 2.3.1.1. Khái niệm về SSO Single sign on là một cơ chế xác thực yêu cẩu người dùng đãng nhập vào chỉ một lần với một tài khoản và mật khẩu để truy cập vào nhiều ứng dụng trong một phiên làm việc (session). 2.3.1.2. Lợi ích mà SSO mang lại Trước khi có đăng nhập một lần (SSO), một người sử dụng đã phải nhập các tài khoản và mật khẩu cho từng ứng dụng mỗi khi họ đăng nhập vào các ứng dụng khác nhau hoặc các hệ thống trong cùng một phiên (session). Điều này có thể tốn nhiều thời gian, đặc biệt là trong môi trường doanh nghiệp, nơi mà thời gian là tiền bạc, nhưng thời gian lại bị lãng phí bởi vì nhân viên phải đăng nhập nhiều lần. SSO thường được thực hiện thông qua một mô-đun xác thực phần mềm riêng biệt hoạt động như một cửa ngõ vào tất cả các ứng dụng yêu cầu đăng nhập. Các mô-đun xác thực người dùng và sau quàn lý truy cập vào các ứng dụng khác. Nó hoạt động như một kho dữ liệu chung cho tất cả các thông tin đăng nhập được yêu cầu. Ví dụ: hệ thống của Google khi người dùng chỉ cần đăng nhập 1 lần thì họ có thể sử dụng các dịch vụ của Google hay Yahoo mà không đòi hỏi đăng nhập 1 lần nữa như Gmail, Google Plus, Youtube. Mặc dù SSO rất tiện lợi, nhưng nó cũng là một vấn đề về an ninh. Nếu hệ thống SSO bị tổn thương, một kẻ tấn công có quyền truy cập không giới hạn cho tất cả các ứng dụng chứng thực của các module SSO. Cơ chế SSO đảm bảo cho người dùng hợp pháp có thể truy nhập vào rất nhiều dịch vụ khác nhau trên hệ thống mạng phân tán nhưng chỉ phải sử dụng một tài khoản duy nhất. Người sử dụng chỉ cần đăng ký và đăng nhập duy nhất một lần vào hệ thống, khi đó trong phiên làm việc của mình họ có thể truy cập ngay lập tức vào các dịch vụ liên kết của hệ thống phân tán mà không phải đăng ký thêm định danh và thông qua quá trình đăng nhập lần nữa. Hiện nay có nhiều phương pháp khác nhau được đưa ra nhằm mục đích ứng dụng cơ chế này, nhưng trên các thử nghiệm thực tế hầu hết các phương pháp đó 35 đều không ngăn chặn được các tấn công một cách có chủ ý từ bên ngoài. Một số phương pháp có kèm theo cơ chế đồng bộ thời gian để loại bỏ các truy nhập trái phép, nhưng điều đó dẫn đến việc tăng chi phí tính toán. Với qui mô và tầm vóc của một cổng thông tin điện tử của một Viện cấp quốc gia, Viện khoa học xã hội quốc gia Lào sẽ đi tiên phong trong việc triển khai giải pháp SSO giúp người sử dụng chỉ cần dùng một tài khoản và mật khẩu SSO duy nhất có thể sử dụng được tất cả các ứng dụng tin cậy [13]. 2.3.2. Xác thực hai yếu tố SMS, Voice, Call, Email 2.3.2.1. Tổng quan về xác thực hai yếu tố Vấn đề về bảo mật hiện nay đang là một trong những bước tiến rất quan trọng đối với thế giới. Để tránh các vấn đề về rò rỉ thông tin hay sự xâm nhập của các thành phần xấu ở không gian mạng người ta đưa ra rất nhiều cách thức, trong đó phương pháp bảo mật thông tin bằng cách xác thực 2 yếu tố rất được chú ý. Xác thực 2 yếu tố được viết tắt là 2FA (Two-factor authentication) hay còn được gọi là xác minh ở bước 2, là hình thức bảo mật yêu cầu phải sử dụng 2 bước để xác minh người dùng đăng nhập vào tài khoản. Phương pháp này thường đi kèm với điện thoại để tăng cường bảo mật cho tài khoản của chúng ta. Ví dụ như cần đăng nhập vào tài khoản Viện khoa học xã hội quốc gia Lào của mình với các thiết bị quen thuộc thì có thể không cần phải xác minh bất cứ điều gì nhưng nếu đăng nhập vào một thiết bị lạ thì hệ thống sẽ nhắc nhở và gửi SMS về để xác minh danh tính. Đây thật sự là một cách bảo mật rất đáng tin cậy. 2.3.2.2. Cách thức hoạt động của xác thực 2 yếu tố Phương thức xác thực 2 yếu tố là phương thức đăng nhập 2 lớp, lớp thứ nhất là đăng nhập bình thường (Username và Password), lớp thứ hai là một lớp bảo mật tin cậy để xác minh danh tính. Thông thường lớp thứ 2 sẽ có những dạng sau đây: - Sử dụng câu hỏi bảo mật để xác minh danh tính thật sự sau khi đăng nhập; - Gửi một tin nhắn SMS đến số điện thoại đã cung cấp; - Dữ liệu sinh trắc học (vân tay hoặc khuôn mặt, thậm chí là giọng nói); 36 - Sử dụng khoá bảo mật là một thiết bị nhỏ (thường ở dạng nhỏ gọn như ổ cứng USB) để chứng minh người đăng nhập. Khi các dịch vụ cần xác minh thì chỉ cần kết nối khóa với điện thoại, máy tính bảng hoặc máy tính cá nhân; - Sử dụng các ứng dụng tạo mã xác minh trên điện thoại hay máy tính cá nhân như: Google Authenticator hay Authy.com. Hình 2. 9: Xác thực bằng mã code 2.3.2.3. Những phương pháp xác thực 2 yếu tố phổ biến Dưới đây là những cách bảo mật xác thực 2 yếu tố phổ biến hiện nay:  Gửi tin nhắn SMS, Call đến số điện thoại đã cung cấp: cách này sẽ thuận tiện hơn việc điện thoại luôn đi kèm bên người. Tuy nhiên cách này có thể gặp sự cố ở phía nhà mạng điện thoại nếu không nhận được tin nhắn xác thực.  Gửi link đăng nhập qua Email đăng ký tài khoản: sau khi nhận thông tin đăng nhập, website sẽ tự sinh ra một đường link để gửi cho người dùng. Lúc này người sử dụng đăng nhập bằng cách click vào đường link trong hộp thư đăng ký tài khoản.  Google Authenticator: Đây là ứng dụng điện thoại đơn giản và hiệu quả do chính Google phát triển. Chỉ cần quét mã QR đối với những tài khoản thiết lập để bảo mật và bắt đầu xác thực danh tính. 37  Authy.com : Đây là dịch vụ cung cấp các giải pháp xác thực 2 yếu tố an toàn và phổ biến nhất hiện nay. Điểm khác biệt của Authy so với Google Authenticator là hỗ trợ trên nhiều thiết bị và lưu trữ thông tin mã xác thực trên máy chủ của Authy.com. Do đó sử dụng Authy.com giúp khôi phục lại được mã xác thực nhanh chóng khi điện thoại bị mất hay bị hỏng.  Microsoft Authenticator, LastPass Authenticator: tương tự các dịch vụ trên. 38 CHƯƠNG 3 XÂY DỰNG GIẢI PHÁP ĐẢM BẢO AN NINH VÀ XÁC THỰC NGƯỜI DÙNG ĐA MIỀN DỊCH VỤ CHO CỔNG THÔNG TIN ĐIỆN TỬ VIỆN KHOA HỌC XÃ HỘI QUỐC GIA LÀO 3.1. Đặt vấn đề Cổng thông tin điện tử Viện Khoa học xã hội quốc gia Lào được xây dựng với mục tiêu là điểm truy cập tập trung và duy nhất; các thông tin đa dịch vụ, ứng dụng cho phép thực hiện trao đổi dữ liệu với các hệ thống thông tin tích hợp, đồng thời thực hiện cung cấp trao đổi thông tin với người sử dụng thông qua một phương thức thống nhất dựa trên nền tảng Web không hạn chế về không gian và thời gian. Điều đó thúc đẩy việc nghiên cứu một cách đầy đủ các yếu tố liên quan đến vấn đề an ninh và xác thực thông tin người dùng cổng thông tin điện tử Viện Khoa học xã hội quốc gia Lào, đưa ra một số giải pháp để giải quyết các vấn đề an ninh và xác thực cơ bản đối với cổng thông tin điện tử Viện Khoa học xã hội Lào, bao gồm các vấn đề chính sau: Cơ chế quản trị và tích hợp người dùng từ một miền dịch vụ, quản trị an ninh đối với người dùng từ các miền dịch vụ và quản lý cơ chế xác thực thông tin người dùng từ các miền dịch vụ. Tiếp cận và tích hợp đa miền dịch vụ để nâng cao chất lượng nghiên cứu, đào tạo là điều rất cần thiết đối với Viện Khoa học xã hội Quốc gia Lào. Với sự phát triển mạnh mẽ của ngành CNTT, một trong những ngành mũi nhọn của nhiều quốc gia trên thế giới. Sự phát triển vượt bậc đó là kết quả tất yếu của việc ứng dụng của nó trong nhiều lĩnh vực khác nhau trong cuộc sống như: giáo dục, y tế, kinh tế, khoa học, xây dựng nó đã trở thành một phần không thể thiếu được trong cuộc sống hàng ngày của con người. Trong kỷ nguyên bùng nổ thông tin, việc tìm kiếm thông tin từ những nguồn dữ liệu khác nhau, tích hợp đa miền dịch vụ, đa hệ thống vào chung một cổng để giao tiếp và sử dụng là nhu cầu thiết thực cho người dùng hiện nay. Tuy nhiên, một hệ thống lớn bao gồm nhiều dịch vụ, phần mềm nhỏ sẽ gặp phải vấn đề bảo mật an toàn thông tin và xác thực người dùng. Các nguy cơ bị đánh cắp dữ liệu người dùng, truy cập trái phép, phá hoại dữ liệuthường xuyên xảy ra và mang đến hậu quả thiệt hại lớn. Điều đó dẫn đến việc nghiên cứu và đưa 39 ra các giải pháp đảm bảo an ninh và xác thực người dùng trong hệ thống tích hợp đa miền dịch vụ dành cho cổng thông tin là điều rất quan trọng,. cấp thiết và cần phải thực hiện ngay. Mục tiêu và nội dụng của luận văn này là nghiên cứu một số giải pháp đảm bảo an ninh và xác thực trong tích hợp người dùng đa miền dịch vụ của cổng thông tin điện tử Viện Khoa học xã hội Quốc gia Lào. Để giải quyết các vấn đề trên thì đề tài tập trung vào các vấn đề như: Nghiên cứu về an toàn bảo mật thông tin, mật mã, xác thực thông tin; Nghiên cứu về mô hình hệ thống, công nghệ, và thuật toán liên quan tới cổng thông tin điện tử;- Đề xuất được những giải pháp đảm bảo an toàn và bảo mật cho cổng thông tin điện tử Viện Khoa học xã hội Quốc gia Lào và Triển khai xây dựng thử nghiệm đảm bảo an toàn và bảo mật thông tin, xác thực người dùng cho cổng thông tin điện tử Viện Khoa học xã hội Quốc gia Lào. Trong hoạt động của Viện khoa học xã hội quốc gia Lào có rất nhiều thông tin mật không công khai trên mạng Internet nhưng vẫn có thể bị lấy cắp do mục đích xấu. Việc đánh cắp thông tin mật có thể được thực hiện dưới nhiều hình thức như: lấy cắp văn bản in hay lấy cắp thông tin số, cung cấp thông tin nội bộ cho bên ngoài. Cách tốt nhất để phòng tránh nguy cơ này là phải có những chính sách bảo mật được thiết kế tốt. Những chính sách có thể giúp người quản lý bảo mật thông tin thu thập thông tin, từ đó điều tra và đưa ra những kết luận chính xác, nhanh chóng. Khi đã có một chính sách tốt, người quản trị có thể sử dụng các kỹ thuật điều tra số (forensics) để truy vết các hành động tấn công. Có rất nhiều phương pháp bảo mật và định danh người dùng đã được nêu ở chương 2. Trong phạm vi nghiên cứu của luận văn này, tác giả sẽ tập trung trình bày phương pháp sử dụng SSO để xác thực người dùng đa miền dịch vụ là phương pháp chính. 3.2. Hiện trạng và nhu cầu đảm bảo an ninh và xác thực người dùng đa miền dịch vụ Thông tin, dữ liệu được ví như tài sản trong nhà của chúng ta vậy. Nếu chúng ta để quên hoặc làm mất ở đâu đó thì rất có thể thông tin đó sẽ bị mất, hoặc bị 40 chiếm đoạt. Còn đối với chuyên ngành CNTT thì bảo mật thông tin được ví như hệ thống máy tính, dữ liệu Đó là những tài sản vô cùng quan trọng, giá trị. Hiện nay tình hình hacker ngày càng nguy hiểm, khó lường. Việc đảm bảo tính năng bảo mật thông tin là vô cùng quan trọng vì thông tin đó có thể liên quan tới cá nhân, tới công ty và doanh nghiệp của chúng ta. Nếu để lộ thông tin ra ngoài hoặc kém bảo mật thì chuyện tin tặc nhòm ngó là khả năng rất cao. An ninh thông tin là việc bảo đảm thông tin trên mạng không gây phương hại đến an ninh quốc gia, trật tự an toàn xã hội, bí mật nhà nước, quyền và lợi ích hợp pháp của tổ chức, cá nhân. Liên quan đến nội dung này, để hiểu rõ hơn vấn đề, chúng ta tìm hiểu một số khái niệm liên quan sau: - Dịch vụ Internet bao gồm dịch vụ truy nhập Internet và dịch vụ kết nối Internet:  Dịch vụ truy nhập Internet là dịch vụ cung cấp cho người sử dụng Internet khả năng truy nhập đến Internet;  Dịch vụ kết nối Internet là dịch vụ cung cấp cho doanh nghiệp cung cấp dịch vụ truy nhập Internet, doanh nghiệp cung cấp dịch vụ ứng dụng viễn thông khả năng kết nối với nhau để chuyển tải lưu lượng Internet. - Thông tin trên mạng là thông tin được lưu trữ, truyền đưa, thu thập và xử lý thông qua mạng. - Thông tin tổng hợp là thông tin được tổng hợp từ nhiều nguồn thông tin, nhiều loại hình thông tin về một hoặc nhiều lĩnh vực quân sự, chính trị, kinh tế, văn hóa, xã hội. - Hệ thống thông tin là tập hợp các thiết bị viễn thông, công nghệ thông tin bao gồm phần cứng, phần mềm và cơ sở dữ liệu phục vụ cho hoạt động lưu trữ, xử lý, truyền đưa, chia sẻ, trao đổi, cung cấp và sử dụng thông tin. - Trang thông tin điện tử là trang thông tin hoặc một tập hợp trang thông tin trên môi trường mạng phục vụ cho việc cung cấp và trao đổi thông tin. Trong nội dung luận văn này, tác giả đã sử dụng một số phương pháp được đề cập tại chương 2 nhằm ứng dụng xây dựng giải pháp xác thực đa người dùng cho 41 cổng của cổng thông tin điện tử Viện KH xã hội Quốc gia Lào. Trong đó, có các giải pháp về phần cứng (Firewall, chính sách quản lý tập trung thiết bị phần cứng) và phần mềm (Giao thức truyền thông bảo mật – SSL, xác thực hai bước, Đăng nhập một lần - SSO, mã hoá ...). Cụ thể như sau: 3.2.1 Về phần cứng Máy chủ Viện khoa học xã hội Quốc gia Lào được trang bị theo đề án trước đây, được sử dụng để lưu trữ và chia sẻ tài nguyên nội bộ. Các phòng ban của Viện đã được trang bị thiết bị tin học cho các chuyên viên của phòng, ban thực hiện công tác chuyên môn nghiệp vụ. Hệ thống máy in hiện tại đang được gắn trực tiếp vào các máy tính của các chuyên viên mà công việc đòi hỏi phải sử dụng in ấn nhiều, không có cơ chế quản lý tập trung máy in, không xây dựng chính sách trong việc in ấn. Viện khoa học xã hội Quốc gia Lào đã thực hiện kết nối mạng nội bộ (mạng LAN) cáp nhưng hệ thống mạng LAN chưa chuyên nghiệp và các thiết bị không tập trung tại Phòng Server nên khó khăn cho việc quản lý và khắc phục sự cố. Hệ thống mạng không dây đã được kết nối và cấu hình nhưng thiết bị nhiều nơi sóng yếu và chập chờn. Nhu cầu kết nối Internet của người dùng tại Viện khoa học xã hội Quốc gia Lào tương đối cao nên việc xây dựng hệ thống bảo mật (Firewall) về cả phần cứng, phần mềm là rất cần thiết. Đảm bảo việc an toàn thông tin và duy trì hoạt động thường xuyên của cổng thông tin điện tử. 3.2.2 Về phần mềm Hiện tại Viện khoa học và xã hội quốc gia Lào đang có rất nhiều hệ thống phần mềm riêng biệt phục vụ cho hoạt động của Viện như: phần mềm nhân sự, phần mềm kế toán, phần mềm đào tạo, phần mềm văn bản điều hành, thư viện, phần mềm xem camera.... Việc tích hợp tất cả các phần mềm, dịch vụ đang được Viện sử dụng vào cổng thông tin mang lại rất nhiều lợi ích, giúp nâng cao hiệu suất làm việc. Cổng thông tin được hoạt động trên nền tảng web, máy chủ đặt tại phòng server của Viện, được bảo vệ với hệ thống tường lửa (firewall), bảo vệ Cơ sở dữ liệu, hệ thống 42 backup CSDL và tích hợp đăng nhập SSO cùng các giải pháp đăng nhập captcha, xác thực hai yếu tố. 3.3. Giải pháp triển khai thử nghiệm sử dụng đăng nhập một lần SSO cho hệ thống cổng thông tin điện tử Viện khoa học xã hội quốc gia Lào Với sự bùng phát ngày càng tăng nguy cơ lừa đảo và mức độ rủi ro trong các giao dịch thương mại trực tuyến trên Internet, để nâng cao tính đảm bảo cho các giao dịch trực tuyến chống lại nguy cơ đánh cắp danh tính có thể đề xuất giải pháp bước đầu như sau: 1. Nâng cấp hệ thống xác thực 1 yếu tố dựa trên Mật khẩu lên xác thực 2 yếu tố. 2. Sử dụng chương trình dò quét để xác định và ngăn chặn tấn công lừa đảo (phishing) lấy cắp thông tin nhạy cảm như mật khẩu, số thẻ tín dụng. 3. Tạo người dùng để họ nhận thức thấu đáo về tính quan trọng và cần thiết của xác thực danh tính trong môi trường điện tử. 4. Nhấn mạnh tầm quan trọng trong việc chia sẻ thông tin và cộng tác giữa ngành công nghiệp dịch vụ tài chính, chính phủ với những nhà cung cấp công nghệ. Trong bốn đề xuất ở trên, nếu làm tốt được đề xuất thứ nhất thì khối lượng công việc được thực hiện trong đề xuất thứ 2 và thứ 3 được giảm đi rất nhiều. Theo hướng dẫn của FFIEC nhằm nâng tính bảo mật và đảm bảo tính khả thi khi đưa vào ứng dụng, xác thực 2 yếu tố là sự lựa chọn tối ưu cho các giao dịch và truy cập trực tuyến của ngành tài chính, ngân hàng, chứng khoán và bảo hiểm. SSO là một cơ chế xác thực yêu cầu người dùng đăng nhập vào chỉ một lần với một tài khoản và mật khẩu để truy cập vào nhiều ứng dụng trong một phiên làm việc (session). Trước khi có SSO, một người sử dụng đã phải nhập các tài khoản và mật khẩu cho từng ứng dụng mỗi khi họ đăng nhập vào các ứng dụng khác nhau hoặc các hệ thống trong cùng một phiên. Điều này rõ ràng có thể tốn nhiều thời gian, đặc biệt là trong môi trường thông tin đa phương tiện như hiện nay, khi mà người sử dụng phải đăng nhập mỗi khi họ truy cập vào một hệ thống mới từ máy tính của họ. Do vậy, với hệ thống có nhiều website và ứng dụng thì việc sử dụng SSO là rất cần thiết nhằm đem lại nhiều thuận tiện cho người dùng và tăng tính năng bảo mật. 43 Ví dụ: người dùng sử dụng các dịch vụ của google: gmail, scholar, youtube, google plus, drive... khi chưa có SSO thì với mỗi dịch vụ ta phải nhập thông tin để xác thực. Với SSO người dùng chỉ cần sử dụng một email duy nhất của google để có thể đăng nhập và khai thác sử dụng tất cả các dịch vụ và ứng dụng của google. Điều đó thực sự mang lại sự thuận tiện và tiết kiệm thời gian cho người dùng, khi không phải đăng kí bất kì tài khoản nào khác nữa. Đăng nhập là quá trình người dùng sử dụng định danh và các thông tin bí mật khác thiết lập một kết nối bảo mật với hệ thống, định danh và các thông tin bí mật của người dùng đã được người dùng đăng ký từ trước với hệ thống. Quá trình người dùng đăng nhập bao gồm hai bước xác thực và ủy quyền, trong đó: Xác thực (Authentication): Kiểm tra một người dùng có hợp lệ hay không thông qua các phương thức xác thực của hệ thống. Xác thực được coi là cốt lõi của quá trình đăng nhập trong một hệ thống thông tin. Chúng ta có thể sử dụng các phương pháp xác thực như: username, password, thẻ thông minh, hay dùng sinh trắc học... Ủy quyền (Authorization): Là quá trình kiểm chứng một người dùng đã được xác thực có đủ quyền truy cập vào tài nguyên mà người dùng yêu cầu hay không. Tài nguyên yêu cầu có thể phụ thuộc vào chính sách tên miền (cấp quyền theo tên miền) hoặc một chính sách đặc biệt nào đó (ví dụ cấp quyền theo cấp). SSO chỉ được triển khai sau khi đã xây dựng được hệ thống xác thực và phân quyền. SSO có nhiệm vụ cung cấp cho người dùng quyền truy cập nhiều tài nguyên web, các ứng dụng trong phạm vi cho phép chỉ với một lần đăng nhập (xác thực). Tại cổng thông tin Viện khoa học và xã hội Quốc gia Lào hệ thống xác thực truy nhập một lần được triển khai ứng dụng theo SSO OpenId và SSO Facebook và hiện nay có nhiều giải pháp SSO được giới thiệu và đưa vào sử dụng trên thực tế như: - Open Single SignOn (OpenSSO) hoạt động dựa trên Token. - Central Authentication Service (CAS) - Tivoli Access Manager for Enterprise Single SignOn. - SSO OpenId connect and SSO Facebook Các thông số kĩ thuật cổng thông tin điện tử Viện KH xã hội Quốc gia Lào: Chạy trên nền tảng framework Liferay phiên bản 7.2.0-ga1, sử dung hệ quản trị cơ sở dữ 44 liệu Postgresql phiên bản 11.4.2. Một số thông số kĩ thuật liên quan đến tính năng được cung cấp bởi công thông tin điện tử Viện KH xã hội Quốc gia Lào, bao gồm: 1. Quản lý tài khoản  Thêm nhóm người dùng  Sửa nhóm người dùng  Xoá nhóm người dùng  Tìm kiếm nhóm người dùng  Thêm người dùng  Sửa người dùng  Xoá người dùng  Kích hoạt / khoá tài khoản người dùng  Tìm kiếm người dùng  Phân quyền nhóm người dùng  Phân quyền người dùng  Đăng nhập  Đăng nhập SSO  Quên mật khẩu 2. Quản lý trang tin  Thêm module trang tin  Sửa module trang tin  Xoá module trang tin  Cấu hình module trang tin  Thiết lập bố cục trang tin 3. Quản lý cổng thông tin  Tạo vai trò cho các nhóm người dùng  Tạo vai trò cho người dùng  Cấu hình đăng nhập SSO  Cấu hình ngôn ngữ cổng thông tin  Cấu hình kiểm duyệt bình luận tin bài  Phân quyền duyệt tin bài 4. Quản lý danh mục bài viết  Thêm danh mục bài viết  Sửa danh mục bài viết  Xoá danh mục bài viết  Tìm kiếm danh mục  Phân quyền danh mục  Liên kết danh mục đến bài viết 5. Quản lý bài viết  Thêm bài viết 45  Sửa bài viết  Xoá bài viết  Tìm kiếm bài viết  Xuất bản bài viết  Xem phiên bản bài viết  Quản lý bình luận bài viết 6. Tìm kiếm, khai thác bài viết  Tìm kiếm bài viết  Xem thông tin bài viết  Bình luận bài viết 7. Quản lý tài liệu và đa phương tiện  Thêm tài liệu  Sửa tài liệu  Xoá tài liệu  Tìm kiếm tài liệu  Liên kết tài liệu đến bài viết Ưu khuyết điểm của cơ chế đăng nhập một lần  Ưu điểm - Tiết kiệm thời gian cho người sử dụng trong việc đăng nhập vào nhiều dịch vụ được cung cấp trên các nền tảng khác nhau của hệ thống phân tán. - Tăng cường khả năng bảo mật thông qua việc giúp người sử dụng không cần nhớ nhiều thông tin đăng nhập (định danh và mật khẩu). - Giúp cho người quản trị hệ thống tiết kiệm thời gian trong việc tạo lập hay loại bỏ người dùng trên hệ thống, cũng như thay đổi quyền của một hay một nhóm người dùng nào đó. - Tiết kiệm thời gian khi tái lập lại mật khẩu cho người dùng. - Bảo mật các cấp độ của việc thoát hay truy xuất hệ thống. - Người phát triển ứng dụng không cần thiết phải hiểu và thực hiện nhận dạng bảo mật trong ứng dụng của họ, điều họ cần làm là liên kết đến một máy chủ định danh đã được bảo đảm, việc này giúp những người dùng của họ có thể truy cập vào các dịch vụ khác cũng liên kết đến máy chủ đó như họ. 46 - Tạo nên sự đồng bộ giữa các dịch vụ và ứng dụng trong cùng một hệ thống thông tin phục vụ người dùng.  Khuyết điểm - Đòi hỏi cơ sở hạ tầng của toàn bộ hệ thống phải bảo đảm. - Do nhiều domain cùng sử dụng chung cơ sở dữ liệu người dùng nên việc xác thực khi người dùng đăng ký với hệ thống phải chặt chẽ, nếu không sẽ rất dễ vi phạm việc đảm bảo an ninh cho hệ thống. - Cần có cơ chế xác thực đảm bảo khi truyền các thông tin định danh người dùng giữa người sử dụng với các máy chủ dịch vụ khác nhau. - Chi phí để triển khai hệ thống SSO là rất tốn kém, cả về phần mềm, phần cứng lẫn nguồn nhân lực, cần phải có sự tính toán cẩn thận trước khi triển khai. 3.3.1 OpenID Connect và SSO Hình dung một trường hợp chúng ta truy cập vào một trang web và nó yêu cầu chúng ta phải đăng ký một tài khoản. Thông thường chúng ta sẽ nhập vào một hoặc nhiều form bao gồm các thông tin user name, password, address, phone number, email, và sau đó một email hoặc SMS được gửi tới chúng ta. Bước tiếp theo là điền vào mã xác thực hoặc bấm vào link trong email để xác thực tài khoản vừa đăng ký. Nói cách khác, tài khoản web của chúng ta là một định danh duy nhất của chúng ta trên thế giới ảo Internet. OpenID Connect là một lớp xác thực (authentication layer) trên nền tảng OAuth 2.0, một framework dùng cho việc xác thực. OpenID Connect giúp các client kiểm tra user thông qua các authorization server, đồng thời với đó là lấy các thông tin cơ bản của user đó bằng cách gọi đến REST API. OpenID Connect dùng JSON Web Tokens (JWT) trong đó việc authentiation dựa vào các token string trao đổi qua lại giữa client và authentication ser