Quản lý Văn Phòng Số - E-Office

Nghiên Cứu Giải Pháp Bảo Mật Xác Thực Cho Văn Phòng Điện Tử

Đối với bất kỳ cơ quan, tổ chức hay doanh nghiệp nào thì hệ thống chiếm vai trò khá quan trọng. Việc quản lý, điều hành và tác nghiệp theo phương thức cũ gây nên khó khăn cho việc trao đổi thông tin giữa nhân viên bởi hệ thống lớn dữ liệu cũng như cấu trúc, phi cấu trúc được phát triển theo bề dày lịch sử của các cơ quan, tổ chức, doanh nghiệp. 

Hệ thống tài liệu này thật sự rất phức tạp và khó sử dụng, gây nên nguy cơ mất an ninh an toàn thông tin là tương đối cao. Hơn thế, các cơ quan, tổ chức, doanh nghiệp là một khối, một hệ thống cần nhận được sự quản lý chặt chẽ điều hành tác nghiệp. Luôn có sự trao đổi thông tin mang tính thường xuyên giữa nhân viên. 

Cùng SmartOSC DX trong bài viết này đi sâu nghiên cứu giải pháp bảo mật xác thực cho văn phòng điện tử ngày nay nhé!. 

Tình hình bảo mật xác thực văn phòng điện tử ngày này

Trước nhu cầu thực tế và chủ trương của Đảng và Nhà nước là đưa công nghệ thông tin (CNTT) vào cuộc sống, giải pháp Văn phòng điện tử (VPĐT) ra đời là văn phòng không giấy tờ, giúp lãnh đạo có thể trao đổi với nhân viên, phòng ban trong cơ quan nhanh chóng, kịp thời. Văn phòng điện tử ra đời là giải pháp hữu hiệu. 

Nhiều phần mềm văn phòng điện tử ra đời trên nhu cầu thực tế với nhiều tính năng quản lý tài liệu hấp dẫn, giao diện phù hợp, thân thiện với người dùng. Tuy nhiên, vấn đề bảo mật và xác thực các phần mềm văn phòng điện tử hiện nay vẫn còn nhiều lỗ hổng, thiếu xót chưa được quan tâm đúng mức. 

Tổng quan về an ninh an toàn thông tin

Khái niệm về an toàn thông tin

An toàn thông tim mạng được hiểu là sự bảo vệ hệ thống thông tin và thông tin trên mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin. Khi nhu cầu trao đổi thông tin dữ liệu ngày càng lớn và đa dạng, các tiến bộ về điện tử – viễn thông và CNTT không ngừng được phát triển ứng dụng để nâng cao chất lượng và lưu lượng truyền tin thì các quan niệm ý tưởng và biện pháp bảo vệ thông tin dữ liệu cũng được đổi mới. Ngày 19/11/2015 Quốc hội đã thông qua luật an toàn thông tin mạng. 

Do đó bảo vệ an toàn thông tin dữ liệu là một chủ đề rộng, có liên quan đến nhiều lĩnh vực và trong thực tế có thể có rất nhiều phương pháp được thực hiện để bảo vệ an toàn thông tin dữ liệu. Các phương pháp bảo vệ an toàn thông tin dữ liệu có thể được quy tụ vào ba nhóm sau:

• Bảo vệ an toàn thông tin bằng các biện pháp hành chính
• Bảo vệ an toàn thông tin các biện pháp kỹ thuật (phần cứng)
• Bảo vệ an toàn thông tin bằng các biện pháp thuật toán (phần mềm)

Ba nhóm trên có thể được ứng dụng riêng rẽ hoặc phối hợp để đảm bảo an toàn thông tin được nâng cao. 

Khái niệm về đảm bảo an toàn thông tin 

Đảm bảo an toàn thông tin là đảm bảo an toàn kỹ thuật cho hoạt động của các cơ sở hạ tầng thông tin, trong đó bao gồm đảm bảo an toàn cho cả phần cứng và phần mềm hoạt động theo các tiêu chuẩn kỹ thuật do nhà nước ban hành; ngăn ngừa khả năng lợi dụng mạng và các cơ sở hạ tầng thông tin để thực hiện các hành vi trái phép gây hại cho cộng đồng, phạm pháp hay khủng bố; đảm bảo các tính chất bí mật, toàn vẹn, chính xác, sẵn sàng phục vụ của thông tin trong lưu trữ, xử lý và truyền tải trên mạng.

Thực trạng về an toàn thông tin trong các cơ quan nhà nước 

Theo thống kê của Bkav, tính từ đầu năm 2012 đến nay, mỗi ngày có tới 6 website tại Việt Nam bị tấn công, tương ứng với hơn 2.000 website bị hack mỗi năm. Đã có 175 website của các cơ quan, doanh nghiệp tại Việt Nam bị hacker xâm nhập, trong đó có 24 trường hợp gây ra bởi hacker trong nước, 151 trường hợp do hacker nước ngoài. Hầu hết nguyên nhân của các vụ hack này là do website tồn tại nhiều lỗ hổng. 

Nhu cầu về an toàn thông tin trong ứng dụng tại các cơ quan nhà nước 

Những thông tin trên cho thấy việc lựa chọn giải pháp và đầu tư cho an toàn thông tin là vấn đề cần được các cơ quan nhà nước chú trọng đầu tư, bên cạnh đó là việc hoàn thiện hành lang chính sách và pháp lý trong lĩnh vực này để việc ứng dụng CNTT thực sự có hiệu quả.

Giải pháp xác thực và bảo mật

Giới thiệu giải pháp 

Hiện nay đã có nhiều công cụ (phần mềm, giải pháp) hỗ trợ người dùng trong việc xác thực và mã hoá thông tin. Tuy nhiên các công cụ này chủ yếu được cung cấp từ các nhà cung cấp chữ ký số hoặc phần mềm miễn phí dùng để cài đặt tại máy PC của người dùng để sử dụng cho các ứng dụng cài đặt tại máy. 

Việc tích hợp với các ứng dụng khác, đặc biệt là các ứng dụng web chưa được chú trọng. Giải pháp xác thực tài liệu trên môi trường mạng: Là việc xây dựng phần mềm xác thực (ký số) tài liệu trong trao đổi văn bản trên môi trường mạng. Giải pháp được xây dựng cho phép tích hợp trên các chức năng gửi nhận tài liệu của các ứng dụng web bằng việc sử dụng chứng chỉ số cho máy chủ và chứng chỉ số của tổ chức, cá nhân tham gia vào hệ thống. 

Phân tích thiết kế giải pháp

STT	Tên chức năng	Mô tả chi tiết
1	Chức năng tại máy trạm
1.1	Cung cấp giao diện cho người dùng	Để tạo giao diện tích hợp với ứng dụng cho phép người dùng thực hiện các thao tác cần thiết
1.2	Ghép nối với thư viện mật mã	Ghép nối với thư viện mật mã để thực hiện ký số, mã hóa theo yêu cầu của chương trình
1.3	Ghép nối với thiết bị eToKen	Ghép nối với thiết bị eToKen khi có yêu cầu về khóa và chứng chỉ lưu trữ trong eToKen
2	Chức năng máy chủ
2.1	Tạo giao diện giao tiếp với máy trạm	Tạo giao diện để tải tài liệu trước khi xử lý
2.2	Kiểm tra, xác thực tài liệu	Kiểm tra tính đúng đắn của tài liệu được gửi cũng như chứng chỉ người gửi
2.3	Thực hiện Upload tài liệu lên máy chủ	Upload tài liệu lên thư mục hoặc CSDL trên máy chủ
3	Thư viện mật mã
3.1	Các phương thức đọc eToKen	Các phương thức đọc eToKen
3.2	Các phương thức ký số	Các phương thức ký số
3.3	Các phương thức mã hóa	Các phương thức mã hóa

Thư viện mật mã

Thư viện mật mã trong mô hình này được xây dựng trên cơ sở các tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số được quy định tại Quyết định sô: 59/2008/QĐ BTTTT ngày 31/12/2008 của Bộ Thông tin và Truyền thông và các tiêu chuẩn về an toàn thông tin theo quy định tại Thông tư số 01/2011/TT-BTTTT ngày 04/01/2011 của Bộ trưởng Bộ Thông tin và Truyền thông.

Dịch vụ phía máy chủ

Để nâng cao tính an toàn thông tin, mô hình xác thực và bảo mật tài liệu thiết kế theo mô hình client- server trên môi trường web, trong đó quá trình ký số hoặc mã hóa được thực thi tại máy trạm (client), máy chủ (server) chỉ làm nhiệm vụ cung cấp giao diện tại trình duyệt và đẩy dữ liệu lên server.

Công cụ ký số trên web

Việc thiết kế công cụ ký số đảm bảo các yêu cầu sau: 

– Cho phép người dùng lựa chọn văn bản để ký (văn bản định dạng.pdf) 

– Khi thực hiện lệnh ký số cho văn bản ứng dụng tự động giao tiếp với thiết bị eToken và thư viện mật mã đã cài đặt tại máy trạm để thực hiện ký văn bản. 

– Kết quả trả về tệp văn bản được ký và tự động đẩy lên máy chủ 

– Thông báo cho người dùng kết quả đã thực hiện. 

Để nghiên cứu giải pháp xác thực và bảo mật tài liệu trong trao đổi văn bản trên môi trường mạng giữa các cơ quan nhà nước, luận văn tập trung nghiên cứu các vấn đề sau: Nghiên cứu, tìm hiểu một số khái niệm về an toàn thông tin, đánh giá thực trạng và nhu cầu về an toàn thông tin trong các cơ quan nhà nước. Để xây dựng giải pháp đáp ứng được yêu cầu trong thực tế, luận văn tập trung tổng hợp, phân tích một số cơ sở mật mã cần thiết để áp dụng trong việc bảo mật thông tin trên môi trường mạng theo tiêu chuẩn nhà nước đã quy định (đối với mã hoá phi đối xứng và chữ ký số, áp dụng lược đồ RSA-OAEP theo chuẩn PKCS#1; đối với mã hóa đối xứng áp dụng thuật toán mã khối AES).

Trên đây là những thông tin mà SmartOSC DX muốn gửi tới bạn. Mong rằng chia sẻ này đã giúp ích cho bạn phần nào về quá trình nghiên cứu giải pháp bảo mật xác thực cho văn phòng điện tử hiện nay.