Giáo trình An toàn và bảo mật thông tin (Cao đẳng): Ứng dụng phần mềm

TUYÊN BỐ BẢN QUYỀN

Tài liệu này thuộc loại sách giáo trình nên các nguồn thông tin có thể được phép

dùng nguyên bản hoặc trích dùng cho các mục đích về đào tạo và tham khảo.

Mọi mục đích khác mang tính lệch lạc hoặc sử dụng với mục đích kinh doanh

thiếu lành mạnh sẽ bị nghiêm cấm.

LỜI GIỚI THIỆU

Với sự bùng nổ của Công nghệ thông tin vào cuối thế kỷ XX đầu thế kỷ XXI,

nhân loại đang bước vào một thời đại mới: Thời đại của nền kinh tế thông tin toàn cầu

hóa. Mọi hoạt động xã hội, chính trị, kinh tế trong thời đại mới hiện nay xét cho cùng,

thực chất đều là những hoạt động thu thập, xử lý, lưu trữ và trao đổi thông tin. Trong

bối cảnh đó An toàn và Bảo mật thông tin luôn là mối quan tâm hàng đầu trong mọi giao

dịch xã hội, đặc biệt là giao dịch điện tử trên môi trường Internet, một môi trường mở,

môi trường không được tin cậy.

An toàn và bảo mật thông tin là một trong những mô đun cơ sở của nghề Ứng

dụng phần mềm được biên soạn dựa theo chương trình đào tạo đã xây dựng và ban hành

năm 2021 của trường Cao đng nghề Cần Thơ dành cho nghề Ứng dụng phần mềm hệ

Cao đng.

Khi biên soạn, nhóm biên soạn đã dựa trên kinh nghiệm thực tế giảng dạy, tham

khảo đồng nghiệp, tham khảo các giáo trình hiện có và cập nhật những kiến thức mới

có liên quan để phù hợp với nội dung chương trình đào tạo và phù hợp với mục tiêu đào

tạo, nội dung được biên soạn gắn với nhu cầu thực tế.

Nội dung giáo trình được biên soạn với lượng thời gian đào tạo 45 giờ gồm có:

Bài 1: Các khái niệm cơ bản về an toàn thông tin

Bài 2: Những điểm yếu và phương pháp tấn công vào hệ thống

Bài 3: Hạ tầng cơ sở an toàn thông tin

Bài 4: Mật mã công khai mô hình ứng dụng

Bài 5: Virus và cách phòng chống

Mặc dù đã cố gắng tổ chức biên soạn để đáp ứng được mục tiêu đào tạo nhưng

không tránh được những thiếu sót. Rất mong nhận được sự đóng góp ý kiến của các

thầy, cô và bạn đọc để nhóm biên soạn sẽ điều chỉnh hoàn thiện hơn.

Cần Thơ, ngày tháng năm 2021

Tham gia biên soạn

1. Chủ biên Nguyễn Hoàng Vũ


MỤC LỤC 
 
LỜI GIỚI THIỆU ............................................................................................. 10 
GIÁO TRÌNH MÔN HỌC/MÔ ĐUN ............................................................. 15 
BÀI 1: CÁC KHÁI NIỆM CƠ BẢN VỀ AN TOÀN THÔNG TIN ............. 17 
Tổng quan an toàn thông tin ....................................................................... 17 
1 Giới thiệu ................................................................................................... 17 
2. Vai trò của an toàn thông tin: Yếu tố con người, công nghệ ................... 18 
2.1 Giới hạn quyền hạn tối thiểu (Last Privilege) ................................... 18 
2.2. Bảo vệ theo chiều sâu (Defence In Depth) ........................................ 18 
2.3. Nút thắt (Choke Point) ...................................................................... 18 
2.4. Điểm nối yếu nhất (Weakest Link) .................................................... 18 
2.5. Tính toàn cục ..................................................................................... 18 
2.6. Tính đa dạng bảo vệ .......................................................................... 18 
3 Các chính sách về an toàn thông tin .......................................................... 18 
3.1. Quyền truy nhập ................................................................................ 18 
3.2. Đăng ký tên và mật khẩu. .................................................................. 18 
3.3. Mã hoá dữ liệu .................................................................................. 19 
3.4. Bảo vệ vật lý ...................................................................................... 19 
3.5. Tường lửa .......................................................................................... 19 
3.6. Quản trị mạng ................................................................................... 19 
Kiểm soát truy cập ....................................................................................... 19 
Xác thực ...................................................................................................... 20 
1. Kerberos ................................................................................................... 20 
2. CHAP ....................................................................................................... 23 
3. Chứng nhận .............................................................................................. 23 
4. Username/Password ................................................................................. 24 
5. Tokens ...................................................................................................... 25 
6. Multi-Factor (Đa thành phần) .................................................................. 25 
7. Mutual Authentication (Chứng thực tương hỗ) ....................................... 26 
8. Biometrics (Sinh trắc học) ....................................................................... 26 
Những dịch vụ và phương thức không thiết yếu......................................... 26 
1. Các giao thức xoá bỏ những hệ thống ...................................................... 26 
2. Chương trình không cần thiết. ................................................................. 27 
Các topo mạng an toàn ................................................................................ 27 
1. Các vùng an toàn ...................................................................................... 27 
2. VLANs ..................................................................................................... 28 
3. NAT .......................................................................................................... 29 
4. Tunneling ................................................................................................. 32 
Xác định rủi ro ............................................................................................ 33 
1. Xác định tài nguyên ................................................................................. 33 
2. Đánh giá rủi ro .................................................................................... 33 
3. Xác định mối đe dọa ................................................................................ 33 
4. Các điểm yếu ............................................................................................ 33 
5. An toàn thông tin bằng mật mã ................................................................ 33 


6. Vai trò của hệ mật mã ............................................................................... 34 
7. Phân loại hệ mật mã ................................................................................. 35 
8. Tiêu chuẩn đánh giá hệ mật mã ................................................................ 35 
8.1. Độ an toàn ......................................................................................... 35 
8.2. Tốc độ mã và giải mã ........................................................................ 35 
8.3. Phân phối khóa .................................................................................. 35 
Bài tập của học viên ........................................................................................ 36 
Hướng dẫn thực hiện ....................................................................................... 36 
Những trọng tâm cần chú ý ............................................................................. 36 
Bài mở rộng và nâng cao ................................................................................. 36 
Yêu cầu đánh giá kết quả học tập .................................................................... 36 
BÀI 2 NHỮNG ĐIỂM YẾU VÀ PHƯƠNG PHÁP TẤN CÔNG VÀO HỆ 
THỐNG .............................................................................................................. 37 
Các kiểu tấn công ........................................................................................ 37 
1. DOS/DDOS – từ chối dịch vụ .............................................................. 37 
2 Back Door – cửa sau.............................................................................. 38 
3 Spoofing – giả mạo ................................................................................ 38 
4 Man in the Middle ................................................................................. 39 
5 Replay .................................................................................................... 39 
6 TCP/IP Hijacking .................................................................................. 39 
7 Social Engineering ................................................................................ 40 
8 Password Guessing – Đoán mật khẩu ................................................... 41 
8.1 Brute Force ......................................................................................... 41 
8.2 Dictionary ........................................................................................... 42 
9 Software Exploitation ............................................................................ 42 
Malicious Code – Các mã độc hại ............................................................... 42 
1 Viruses ................................................................................................... 42 
2 Trojan Horses ........................................................................................ 43 
3 Logic Bombs ......................................................................................... 43 
4 Worms ................................................................................................... 43 
Social Engineering ...................................................................................... 44 
1 Tấn công dựa trên yếu tố con người ...................................................... 44 
Auditing – Logging, system scanning ......................................................... 45 
Bài tập của học viên ........................................................................................ 47 
Hướng dẫn thực hiện ....................................................................................... 47 
Những trọng tâm cần chú ý: ............................................................................ 50 
Bài mở rộng và nâng cao ................................................................................. 50 
Yêu cầu đánh giá kết quả học tập .................................................................... 50 
BÀI 3 HẠ TẦNG CƠ SỞ AN TOÀN THÔNG TIN ...................................... 52 
Truy cập từ xa ............................................................................................... 52 
1. 802.1x ................................................................................................... 52 
2. VPN ...................................................................................................... 52 
3. RADIUS ............................................................................................... 53 
4. TACACS / + ......................................................................................... 53 
5. L2TP / PPTP ......................................................................................... 54 


Email ................................................................................................... 55 
WEB .................................................................................................... 55 
1. SSL/TLS ......................................................................................... 55 
2. HTTP / S ......................................................................................... 56 
3. Tính dễ bị tổn thương trên Web ..................................................... 56 
3.3. SMTP Relay......................................................................................... 60 
File Transfer ........................................................................................ 61 
1. S / FTP ............................................................................................ 61 
2. Blind FTP / Giấu tên ....................................................................... 61 
3. Chia sẻ File ..................................................................................... 62 
4. Packet Sniffing ............................................................................... 62 
Thiết bị ................................................................................................ 63 
1. Firewall ........................................................................................... 63 
2. Router ............................................................................................. 63 
3. Switch ............................................................................................. 63 
5. RAS ................................................................................................ 64 
6. Telecomm / PBX ............................................................................ 64 
7. VPN ................................................................................................ 66 
8. IDS .................................................................................................. 66 
Bài tập của học viên ........................................................................................ 70 
Hướng dẫn thực hiện ....................................................................................... 70 
Những trọng tâm cần chú ý: ............................................................................ 70 
Bài mở rộng và nâng cao................................................................................. 70 
Yêu cầu đánh giá kết quả học tập ................................................................... 71 
BÀI 4 MẬT MÃ CÔNG KHAI MÔ HÌNH ỨNG DỤNG ............................. 72 
Attacks ......................................................................................................... 72 
1. Weak Keys ........................................................................................... 72 
2. Mathematical ........................................................................................ 72 
3. Birthday ................................................................................................ 73 
Các thuật giải (Algorithms) ......................................................................... 73 
1. Cơ sở toán học ...................................................................................... 73 
2. Hashing................................................................................................. 73 
2.1 Các yêu cầu ........................................................................................ 73 
2.2 Các hàm hash đơn giản ...................................................................... 74 
2.3 Tính an toàn của hàm Hash và MAC. ................................................ 74 
2.4 Các thuật toán Hash và MAC ............................................................ 75 
2.4.1 Các thuật toán Hash và MAC ......................................................... 75 
2.4.2 Thuật toán Hash an toàn SHA (Secure Hash Algorithm) ............... 75 
3. Symmetric: RSA, Diffe-Hellman ......................................................... 79 
4. Asymmetric: DES, 3DES ..................................................................... 82 
4.1. Giới thiệu chung về DES ................................................................... 82 
4.2. Mô tả thuật toán ................................................................................ 83 
4.3. Hoán vị khởi đầu ............................................................................... 84 
4.4. Khoá chuyển đổi ................................................................................ 84 
4.5. Hoán vị mở rộng ............................................................................... 84 