Giáo trình An toàn bảo mật hệ thống thông tin

ỦY BAN NHÂN DÂN THÀNH PHỐ HỒ CHÍ MINH 
TRƯỜNG CAO ĐẲNG KINH TẾ KỸ THUẬT 
THÀNH PHỐ HỒ CHÍ MINH 
 
GIÁO TRÌNH 
MÔN HỌC: AN TOÀN BẢO MẬT HỆ THỐNG THÔNG TIN 
NGÀNH: HỆ THỐNG THÔNG TIN 
TRÌNH ĐỘ: CAO ĐẲNG 
Thành phố Hồ Chí Minh, năm 2020 
ỦY BAN NHÂN DÂN THÀNH PHỐ HỒ CHÍ MINH 
TRƯỜNG CAO ĐẲNG KINH TẾ KỸ THUẬT 
THÀNH PHỐ HỒ CHÍ MINH 
 
GIÁO TRÌNH 
MÔN HỌC: AN TOÀN BẢO MẬT HỆ THỐNG THÔNG TIN 
NGÀNH: HỆ THỐNG THÔNG TIN 
TRÌNH ĐỘ: CAO ĐẲNG 
 THÔNG TIN CHỦ NHIỆM ĐỀ TÀI 
 Họ tên: Võ Đào Thị Hồng Tuyết 
 Học vị: Thạc sĩ 
 Đơn vị: Khoa Công nghệ thông tin 
 Email: vodaothihongtuyet@hotec.edu.vn 
 TRƯỞNG KHOA TỔ TRƯỞNG 
BỘ MÔN 
CHỦ NHIỆM 
ĐỀ TÀI 
HIỆU TRƯỞNG 
DUYỆT 
Thành phố Hồ Chí Minh, năm 2020 
TUYÊN BỐ BẢN QUYỀN 
Tài liệu này thuộc loại sách giáo trình nên các nguồn thông tin có thể được phép 
dùng nguyên bản hoặc trích dùng cho các mục đích về đào tạo và tham khảo. 
Mọi mục đích khác mang tính lệch lạc hoặc sử dụng với mục đích kinh doanh thiếu 
lành mạnh sẽ bị nghiêm cấm. 
LỜI GIỚI THIỆU 
Gần đây, môn học “An toàn và bảo mật thông tin” đã được đưa vào giảng dạy tại 
hầu hết các Khoa Công nghệ Thông tin của các trường đại học và cao đẳng. Do các ứng 
dụng trên mạng Internet ngày các phát triển và mở rộng, nên an toàn thông tin trên mạng 
đã trở thành nhu cầu bắt buộc cho mọi hệ thống ứng dụng. Để đáp ứng yêu cầu học tập và 
tự tìm hiểu của sinh viên chuyên ngành Hệ thống thông tin, giảng viên khoa Công nghệ 
thông tin, trường Cao đẳng Kinh tế - Kỹ thuật thành phố Hồ Chí Minh đã tổ chức biên soạn 
giáo trình này với mục đích trang bị các kiến thức cơ sở vừa đủ và giúp cho sinh viên hiểu 
được bản chất của các khía cạnh an ninh thông tin và bảo mật thông tin, trong giáo trình đã 
cố gắng trình bày tóm tắt các phần lý thuyết cơ bản và đưa ra các ứng dụng thực tế. 
Giáo trình gồm 5 chương. Chương đầu nêu tổng quan về bảo mật, chương 2 tóm tắt 
sơ lược về các loại bảo mật và cách phòng chống, chương 3 trình bày các phương pháp mã 
hóa, chương 4 trình bày về chữ ký điện tử và chứng chỉ số, chương 5 nêu các ứng dụng 
bảo mật. 
TP. Hồ Chí Minh, ngày 20 tháng 8 năm 2020 
Tham gia biên soạn 
1. Võ Đào Thị Hồng Tuyết 
 2. Nguyễn Ngọc Kim Phương 
MỤC LỤC 
TUYÊN BỐ BẢN QUYỀN ................................................................................................. 3 
LỜI GIỚI THIỆU ................................................................................................................ 4 
MỤC LỤC ........................................................................................................................... 5 
CHƯƠNG TRÌNH MÔN HỌC ........................................................................................... 9 
CHƯƠNG 1: TỔNG QUAN ............................................................................................... 1 
1. Khái niệm an toàn thông tin và bảo mật thông tin ...................................................... 1 
1.1. Hệ thống thông tin ................................................................................................ 1 
1.2. An toàn thông tin .................................................................................................. 2 
1.3. Bảo mật thông tin ................................................................................................. 2 
2. Khái niệm bảo mật dữ liệu và các nguyên tắc cơ bản trong bảo mật dữ liệu .............. 3 
3. Mục tiêu của an toàn thông tin và bảo mật thông tin .................................................. 4 
4. Sự tấn công và mục đích tấn công ............................................................................... 4 
5. Các loại điểm yếu và loại tội phạm ............................................................................. 5 
6. Các biện pháp nhằm đảm bảo an toàn thông tin và bảo mật thông tin ........................ 6 
CHƯƠNG 2: CÁC LOẠI BẢO MẬT VÀ CÁCH PHÒNG CHỐNG ..................................... 9 
1. Bảo mật máy tính ở cấp độ chương trình .................................................................... 9 
1.1. Sử dụng tường lửa (Firewall) ............................................................................... 9 
1.2. Virus máy tính ...................................................................................................... 9 
1.3. Thường xuyên cập nhật phần mềm .................................................................... 11 
2. Bảo mật máy tính ở cấp độ hệ điều hành .................................................................. 11 
2.1. Các vấn đề bảo vệ trong Hệ điều hành ............................................................... 11 
2.2. Cài đặt các bản Security Update của hệ điều hành............................................. 14 
3. Bảo mật web .............................................................................................................. 14 
4. Bảo mật mạng ............................................................................................................ 19 
5. Cách phòng chống ..................................................................................................... 22 
CHƯƠNG 3: CÁC PHƯƠNG PHÁP MÃ HÓA .............................................................. 25 
1. Khái niệm mã hóa ...................................................................................................... 25 
2. Sơ đồ một hệ thống mã hóa ....................................................................................... 25 
3. Các phương pháp mã hóa cổ điển ............................................................................. 26 
3.1. Phương pháp mã hóa CEASAR ......................................................................... 27 
3.2. Phương pháp mã hóa VIIGNERE ...................................................................... 29 
3.3. Phương pháp mã hóa TRITHEMIUS ................................................................. 30 
3.4. Phương pháp mã hóa BELASCO ........... ...  cầu cần phải có các chứng chỉ số được cấp 
bởi các tổ chức được đảm bảo. 
2. Hệ thống xác thực 
2.1. Xác thực là gì? 
Xác thực là quá trình người dùng cung cấp bằng chứng là danh định đó là đúng 
và phù hợp với mình. 
Mục đích của xác thực: chứng minh danh định là hợp lệ và phù hợp với người 
dùng và quyết định có cho phép người dùng truy cập vào tài nguyên của hệ thống hay 
không. 
Chương 5: Ứng dụng bảo mật 
KHOA CÔNG NGHỆ THÔNG TIN Trang 65 
2.2. Các phương pháp xác thực: 
- Những gì bạn biết (Something you know): Ví dụ: Password; Số PIN (Personal 
Identification Number). Ưu điểm: tiện lợi, chi phí thấp; Khuyết điểm: mức độ bảo mật 
phụ thuộc vào độ phức tạp của password. 
- Những gì bạn có (Something you have): thẻ thông minh (smart card): có bộ nhớ 
nhỏ và có khả năng thực hiện một vài tính toán. Trong thẻ có lưu thông tin về người 
dùng và cả password, người dùng có thể chọn những password phức tạp và thay đổi khi 
cần; địa chỉ MAC, địa chỉ IP. 
- Những gì là chính bạn (Something you are): Sử dụng các yếu tố sinh trắc học 
để xác thực như nhận dạng khuôn mặt; quét tròng mắt; hình học bàn tay; nhận dạng vân 
tay; xác thực bằng sinh trắc học gồm 2 bước: đăng ký mẫu và nhận dạng. Ưu điểm: khó 
tấn công, khuyết điểm là tốn kém: lưu trữ, xử lý. Các lỗi xảy ra khi xác thực bằng sinh 
trắc học: Fraud rate, False accept rate. Tỷ lệ lỗi sinh trắc học: 
+Fraud rate = Insult rate 
+ Vân tay (5%) 
+ Hình học bàn tay (0.1%) 
+ Tròng mắt (0.001%) 
Một phương pháp xác thực tốt là phương pháp mà không dễ bị đoán hoặc bị làm 
giả. Phương pháp xác thực tốt thì tốn kém 
- Xét về khả năng bị tấn công: Biometrics < Smartcard < Password 
- Xét về chi phí: Password < Smartcard < Biometrics 
Có thể kết hợp các phương pháp xác thực với nhau. 
3. Ứng dụng bảo mật trong thanh toán điện tử 
3.1. Giao thức SSL 
Giao thức SSL, đã phát triển một cách rộng rãi trên Internet ngày này, được giúp 
đỡ để tạo một chuẩn cơ bản về khả năng bảo mật cho website thương mại. Đa phần 
người tiêu dùng sử dụng các trình duyệt web có SSL, cũng như phần mềm server bán 
hàng. Hàm trăm triệu USD đã được dùng để mua bán khi khách hàng sử dụng số thẻ tín 
dụng của họ trên các website bán hàng có sử dụng công nghệ bảo mật SSL. 
Trong trường hợp này, SSL cung cấp một kênh bảo mật giữa người tiêu dùng và 
người bán hàng cho việc trao đổi các thông tin thanh toán. Điều này có nghĩa là bất kỳ 
dữ liẹu nào được gửi trên kênh này đều được mã hóa. Hay nói cách khác, SSL có thể 
tạo ra các kết nối tin cậy, nó cũng có các rủi ro lớn như: 
Chương 5: Ứng dụng bảo mật 
KHOA CÔNG NGHỆ THÔNG TIN Trang 66 
- Người chủ thẻ được bảo vệ trước những kẻ nghe trộm nhưng không được bảo 
vệ trước những người bán hàng. Một vài người bán hàng ko đáng tin cậy, và một trong 
số họ là các hacker, những người có thể lập ra các website về thời trang của hãng XYZ 
hay giả mạo website của hãng XYZ để thu thập thông tin về thẻ tín dụng của khách 
hàng. 
- Người bán hàng không được bảo vệ trước những người mua hàng không tin 
cậy, những người sử dụng các thẻ tín dụng không còn giá trị sử dụng hoặc những người 
bị ngân hàng trả lại tiền mà không cần bất kỳ lý do nào. 
Cho dù SET là một giải pháp hoàn hảo cho thanh toán điện tử an toàn, một phiên 
bản tương đối đơn giản của SSL đang được sử dụng rộng rãi hiện nay. Đó là vì giao thức 
SET phức tạp và các chứng thực không được phân phối rộng rãi với một cách thức ổn 
định. Về mặt lý thuyết, giao thức SSL (Netscape 1996) có thể sử dụng một chứng thực 
song không bao gồm khái niệm một cổng nối thanh toán. Những người kinh doanh cần 
nhận được cả thông tin về việc đặt hàng lẫn thông tin thẻ tín dụng bởi vì quá trình cầm 
giữ được khởi phát bởi người kinh doanh.Giao thức SET, trái lại, giấu các thông tin về 
thẻ tín dụng của khách hàng đối với người kinh doanh và cũng giấu cả thông tin về đơn 
hàng đối với các ngân hàng để bảo vệ sự riêng tư. Thiết kế này được gọi là chữ ký kép 
(dual signature). Cho đến khi SET trở nên thông dụng, một phiên bản đơn giản của SSL 
là một sự lựa chọn rất đúng đắn. 
3.2. Giao thức SET 
Có 4 thực thể chính trong giao thức SET: 
- Cardholder (người mua hàng, chủ thẻ): Một người tiêu dùng hay một công ty 
mua hàng, người sử dụng thẻ tín dụng để trả tiền cho người bán (người kinh doanh). 
- Merchant (người bán hàng): Một thực thể chấp nhận thẻ tín dụng và cung cấp 
hàng hoá hay dịch vụ để đổi lấy việc trả tiền. 
- Merchant’s Bank (cổng thanh toán hay ngân hàng của người bán hàng): Một cơ 
quan tài chính (thường là một ngân hàng) lập tài khoản cho người kinh doanh và có được 
chứng từ của các phiếu bán hàng uỷ quyền. 
- Issuer (ngân hàng của người chủ thẻ): Một cơ quan tài chính (thường là một 
ngân hàng) lập tài khoản cho người chủ sở hữu thẻ và phát hành thẻ tín dụng. 
Đầu tiên, cả hai bên chủ thẻ và người bán hàng cần phải đăng ký với một CA 
(trung tâm xác thực) trước khi họ có thể mua hay bán hàng trên Internet. Sau khi đã đăng 
ký thành công, chủ thẻ và người bán hàng có thể bắt đầu các giao dịch với nhau theo 9 
bước trong giao thức SET, bao gồm: 
1. Người mua hàng duyệt website và quyết định món hàng mà mình muốn mua. 
Chương 5: Ứng dụng bảo mật 
KHOA CÔNG NGHỆ THÔNG TIN Trang 67 
2. Người mua hàng gửi yêu cầu mua hàng và thông tin thanh toán, bao gồm 2 
phần trong 1 thông báo: 
a. Thông tin về mặt hàng cần mua – phần này dành cho người bán hàng 
b. Thông tin về thẻ tín dụng – phần này chỉ dành cho ngân hàng 
3. Người bán hàng chuyển thông tin của thẻ tín dụng (phần b) tới ngân hàng phía 
cửa hàng 
4. Ngân hàng thương mại (phía cửa hàng) kiểm tra tính xác thực của thanh toán 
với ngân hàng thương mại (phía chủ thẻ). 
5. Ngân hàng thương mại (phía chủ thẻ) kiểm chứng thông tin thanh toán từ cổng 
thanh toán. 
6. Ngân hàng thương mại gửi lại thông tin xác thực cho người bán hàng. 
7. Người bán chấp nhận yêu cầu mua bán và gửi hàng cho phía khách hàng. 
8. Người bán hàng nhận giao dịch thanh toán từ ngân hàng của họ. 
9. Ngân hàng (phía chủ thẻ) gửi thông tin về hóa đơn tới khách hàng. 
Nó dựa vào mật mã và chứng chỉ số để đảm bảo tính bí mật và an toàn cho thông 
báo. Gói dữ liệu được mã hóa bằng một khóa được sinh ngẫu nhiên rồi sử dụng khóa 
công khai của người nhận để mã hóa và được gửi đến cho người nhận với dạng một 
thông báo đã được mã hóa. Người nhận giải mã “digital envelope” bằng khóa riêng rồi 
dùng khóa đối xứng để giải mã và thu được thông báo ban đầu. 
Các chứng chỉ số, còn được gọi là các giấy ủy nhiệm điện tử hoặc là các ID, là 
các tài liệu chứng thực số sử dụng một khóa công khai có ràng buộc với cá nhân hoặc 
thực thể. Cả khách hàng và người bán hàng cần phải đăng ký một chứng chỉ xác thực 
(CA) trước khi họ có thể thực hiên các giao dịch thanh toán. Theo cách đó, khách hàng 
sẽ có các giấy ủy nhiệm điện tử để chứng minh sự tin cậy của mình. Người bán hàng 
cũng đăng ký và nhận các chứng chỉ số đó. Các chứng chỉ số này không chứa các thông 
tin nhạy cảm như số thẻ tín dụng . Cuối cùng, khi khách hàng muốn thực hiện một giao 
dịch, anh ta và người bán hàng trao đổi các chứng chỉ số vói nhau. Nếu cả hai bên chấp 
nhận thì họ có thể thực hiện ngay việc giao dịch. Các chứng chỉ số phải được cấp lại sau 
vài năm, và tránh bị giả mạo. 
4. Ứng dụng bảo mật trong SSL 
Chứng chỉ số SSL, chuẩn bảo mật SSL (là từ viết tắt của: Secure Sockets Layer) 
là một tiêu chuẩn an ninh công nghệ toàn cầu tạo ra một liên kết được mã hóa giữa máy 
chủ web (Server web) và trình duyệt. Liên kết này đảm bảo tất cả các dữ liệu trao đổi 
giữa máy chủ web và trình duyệt luôn được bảo mật và an toàn. 
Chương 5: Ứng dụng bảo mật 
KHOA CÔNG NGHỆ THÔNG TIN Trang 68 
Chứng thư số SSL cài trên website của doanh nghiệp cho phép khách hàng khi 
truy cập có thể xác minh được tính xác thực, tin cậy của website, đảm bảo mọi dữ liệu, 
thông tin trao đổi giữa website và khách hàng được mã hóa, tránh nguy cơ bị can thiệp. 
Hình 5. 1 Mô hình giao thức SSL 
Công nghệ SSL có các tính năng nổi bật như: thực hiện mua bán bằng thẻ tín 
dụng, bảo vệ những thông tin cá nhân nhạy cảm của khách hàng, đảm bảo hacker không 
thể dò tìm được mật khẩu. 
SSL đảm bảo rằng tất cả các dữ liệu được truyền giữa các máy chủ web và các 
trình duyệt được mang tính riêng tư, tách rời. SSL là một chuẩn công nghiệp được sử 
dụng bởi hàng triệu trang web trong việc bảo vệ các giao dịch trực tuyến với khách hàng 
của họ. 
Hình 5.2 Các bước thực hiện giao thức SSL 
Tiêu chuẩn xác thực– SSL chỉ được cung cấp bởi các đơn vị cấp phát chứng thư 
(CA) có uy tín trên toàn thế giới sau khi đã thực hiện xác minh thông tin về chủ thể đăng 
ký rất kỹ càng mang lại mức độ tin cậy cao cho người dùng Internet và tạo nên giá trị 
cho các website, doanh nghiệp cung cấp dịch vụ. 
Chương 5: Ứng dụng bảo mật 
KHOA CÔNG NGHỆ THÔNG TIN Trang 69 
Hình 5. 3 Sơ đồ thực hiện giao thức SSL giữa trình duyệt web với máy chủ 
Tại sao nên sử dụng SSL? 
 – Bạn đăng ký domain để sử dụng các dịch vụ website, email v.v -> luôn có 
những lỗ hổng bảo mật -> hacker tấn công -> SSL bảo vệ website và khách hàng của 
bạn 
 – Bảo mật dữ liệu: dữ liệu được mã hóa và chỉ người nhận đích thực mới có thể 
giải mã. 
 – Toàn vẹn dữ liệu: dữ liệu không bị thay đổi bởi tin tặc. 
 – Chống chối bỏ: đối tượng thực hiện gửi dữ liệu không thể phủ nhận dữ liệu 
của mình. 
Lợi ích khi sử dụng SSL ? 
 – Xác thực website, giao dịch 
 – Nâng cao hình ảnh, thương hiệu và uy tín doanh nghiệp 
 – Bảo mật các giao dịch giữa khách hàng và doanh nghiệp, các dịch vụ truy nhập 
hệ thống 
 – Bảo mật webmail và các ứng dụng như Outlook Web Access, Exchange, và 
Office Communication Server; 
 – Bảo mật các ứng dụng ảo hó như Citrix Delivery Platform hoặc các ứng dụng 
điện toán đám mây; 
 – Bảo mật dịch vụ FTP; 
 – Bảo mật truy cập control panel; 
 – Bảo mật các dịch vụ truyền dữ liệu trong mạng nội bộ, file sharing, extranet; 
Chương 5: Ứng dụng bảo mật 
KHOA CÔNG NGHỆ THÔNG TIN Trang 70 
 – Bảo mật VPN Access Servers, Citrix Access Gateway  
 – Website không được xác thực và bảo mật sẽ luôn ẩn chứa nguy cơ bị xâm nhập 
dữ liệu, dẫn đến hậu quả khách hàng không tin tưởng sử dụng dịch vụ. 
Chương 5: Ứng dụng bảo mật 
KHOA CÔNG NGHỆ THÔNG TIN Trang 71 
CÂU HỎI 
Câu 1: Nêu 3 loại giao thức ứng dụng trong bảo mật hiện nay. 
Câu 2: Tại sao nên dùng giao thức SSL. 
Câu 3: Hãy nêu các phương pháp xác thực bằng sinh trắc học. 
Câu 4: Hãy nêu 3 phương pháp xác thực hiện nay và ưu khuyết điểm của từng phương pháp. 
TÀI LIỆU THAM KHẢO 
1. TS. Lê Văn Phùng, “Sách An toàn thông tin” Nhà xuất bản thông tin và truyền thông, 2019. 
2. Đặng Trường Sơn, “Giáo trình bảo mật thông tin” Đại học Quốc gia TPHCM, 2012. 
3. TS. Thái Văn Tùng, “Giáo trình mật mã và an toàn thông tin” Nhà xuất bản thông tin 
và truyền thông, 2011. 
4. Lê Trung Thành, Nguyễn Văn Hách, Bùi Thị Thùy, “Giáo trình An Toàn Và Bảo Mật 
Thông Tin” Đại học tài nguyên môi trường Hà Nội, 2014. 
5. Trần Minh Văn, “Bài giảng An toàn bảo mật hệ thống thông tin” Đại học Nha Trang, 
2014. 
 KHOA CÔNG NGHỆ THÔNG TIN Trang 73 
DANH MỤC HÌNH ẢNH 
Hình 1. 1 Mô hình hệ thống thông tin ................................................................................. 1 
Hình 1. 2 Các yêu cầu trong bảo mật hệ thống thông tin .................................................... 2 
Hình 1. 3 Các bước cơ bản trong bảo mật thông tin ........................................................... 3 
Hình 1.4 Mô hình truyền tin bị tấn công ............................................................................. 4 
Hình 1. 5 Xem thời gian cập nhật bản gần nhất trên Microsoft Security Essentials ........... 7 
Hình 1. 6 Cài đặt tự động cập nhật theo thời gian trên Microsoft Security Essentials ....... 7 
Hình 2. 1 Mô tả bảo mật mạng .......................................................................................... 20 
Hình 3. 1 Sơ đồ một hệ thống mã hóa ............................................................................... 26 
Hình 3. 2 Bảng mã Ceasar ................................................................................................. 28 
Hình 3. 3. Bảng mã Vigenere ............................................................................................ 29 
Hình 3. 4 Bảng Tabula recta dùng trong Mã hóa Trithemius............................................ 31 
Hình 3. 5 Mô hình phương pháp Mã hóa đối xứng ........................................................... 32 
Hình 3. 6 Các vòng Feistel của mã DES ........................................................................... 34 
Hình 3. 7 Hoán vị khởi tạo của mã DES ........................................................................... 34 
Hình 3. 8 Hoán vị kết thúc của mã DES............................................................................ 35 
Hình 3. 9 Cấu trúc một vòng của mã DES ........................................................................ 35 
Hình 3. 10 Quy tắc mở rộng hàm Expand trong DES ....................................................... 36 
Hình 3. 11 Hàm S-boxes của DES .................................................................................... 36 
Hình 4. 1 Phần mềm SignOffine ....................................................................................... 50 
Hình 5. 1 Mô hình giao thức SSL ...................................................................................... 68 
Hình 5.2 Các bước thực hiện giao thức SSL ..................................................................... 68 
Hình 5. 3 Sơ đồ thực hiện giao thức SSL giữa trình duyệt web với máy chủ ................... 69 
 KHOA CÔNG NGHỆ THÔNG TIN Trang 74 
DANH MỤC TỪ VIẾT TẮT 
STT Ký hiệu, chữ viết tắt Chữ viết đầy đủ 
1 DES Division of Employment Security 
2 RSA Rivest–Shamir–Adleman 
3 CNTT Công nghệ thông tin 
4 EFF Electronic Frontier Foundation 
5 AES Advanced Encryption Standard