Bàn giao sản phẩm đề tài: Nghiên cứu hiện trạng và thử nghiệm các giải pháp xác thực đa yếu tố nhằm tăng cường an toàn thông tin cho các cơ quan nhà nước trên địa bàn tỉnh Bình Dương
Xác thực (Authentication ) là một thao tác nhằm xác thực một thực thể trong hệ thống thông tin là đáng tin cậy. Xác thực là một giai đoạn trong hệ thống quản lý truy xuất (access control), vốn gồm 3 giai đoạn: Authentication, Authorization và Accounting. Xác thực một đối tượng còn có nghĩa là công nhận nguồn gốc của đối tượng, trong khi, xác thực một người thường bao gồm việc thẩm tra nhận dạng của họ. Việc xác thực thường phụ thuộc vào một hoặc nhiều nhân tố xác thực (authentication factors) để minh chứng cụ thể.
Trong an ninh máy tính (computer security), xác thực là một quy trình nhằm cố gắng xác minh nhận dạng số (digital identity) của phần truyền gửi thông tin (sender) trong quá trình giao dịch, chẳng hạn như một yêu cầu đăng nhập. Phần gửi cần phải xác thực có thể là một người dùng sử dụng một máy tính, bản thân một máy tính hoặc một chương trình ứng dụng máy tính (computer program).
Xác thực đơn nhân tố (single-factor authentication): hình thức xác thực người dùng truyền thống, sử dụng tên đăng nhập (username) và mật khẩu (password) để truy cập hệ thống là điển hình của xác thực đơn nhân tố. Độ mạnh của hình thức xác thực một yếu tố phụ thuộc lớn vào người dùng khi họ phải đảm bảo các thông tin của mình không bị người khác lấy cắp.
Trong các hệ thống lớn, để tăng cường tính an ninh người ta thường xây dựng các hệ thống xác thực nhiều yếu tố.
Xác thực đa nhân tố (multiple-factor authentication):
Từ các hình thức xác thực một yếu tố, người ta có thể sử dụng thêm vào đó nhiều thông tin để xác thực người dùng. Mục đích để tăng cường tính bảo mật cho hệ thống, giảm được nguy cơ bị tấn công mạo danh.
Hình 1: Xác thực đa nhân tố
Trong thời đại bùng nổ các dịch vụ trên Internet như hiện nay, các cơ quan nhà nước trên địa bàn tỉnh Bình Dương ngày càng cung cấp đa dạng các dịch vụ công trực tuyến tới người dân qua mạng Internet, cùng với một số lượng lớn các phần mềm xử lý nghiệp vụ. Tuy nhiên những năm gần đây, tình hình an toàn thông tin trên thế giới có nhiều diễn biến phức tạp. Các cuộc tiến công mạng với các mục đích chính trị, quân sự, kinh tế,... đang ngày càng gia tăng. Ở trong nước, cùng với sự phát triển mạnh mẽ ứng dụng công nghệ thông tin, các cuộc tấn công, xâm nhập trái phép vào hệ thống thông tin của các cơ quan nhà nước để phá hoại hoặc thu thập lấy cắp thông tin ngày càng tăng. Do đó việc bảo đảm an toàn và bảo mật thông tin phải được thực hiện chặt chẽ và đồng bộ ở tất cả các phương diện.
Hiện nay, các hệ thống thông tin trong cơ quan nhà nước trên địa bàn tỉnh Bình Dương thường sử dụng hình thức xác thực dưới dạng kết hợp giữa tên người dùng và mật mã để xác thực người dùng, các hệ thống này chỉ xác thực 1 lần thông tin người dùng thông qua đăng nhập để thực hiện các giao dich điện tử. Điều này dễ dẫn đến mất an toàn thông tin vì thông tin đăng nhập thường là tĩnh (ít được thay đổi) nên có thể bị đánh cắp bằng các hình thức như keylogger, dò/đoán mật mã, … Hơn nữa, quá trình giao dịch điện tử, thông tin phiên làm việc cũng có thể bị đánh cắp thông qua cơ chế ngăn chặn và chuyển tiếp. Vì vậy việc có một giải pháp tăng cường an toàn thông tin dựa trên xác thực đa yếu tố là một việc hết sức cần thiết và cũng đáp ứng được các yêu cầu tại các cơ quan nhà nước trên địa bàn tỉnh Bình Dương.
Kết quả đề tài đã (1) Khảo sát hiện trạng về an toàn thông tin trong việc xác thực người sử dụng tại 1 số cơ quan Nhà nước điển hình về ứng dụng mạnh công nghệ thông tin trên địa bàn tỉnh Bình Dương; 2) Báo cáo chi tiết yêu cầu đối với hệ thống xác thực đa yếu tố sẽ được triển khai tại tại Trung tâm Công nghệ Thông tin – Lưu trữ Tài nguyên và Môi trường - Sở Tài nguyên và Môi trường tỉnh Bình Dương; (3) Xây dựng hệ thống nhận dạng vân tay; (4) Xây dựng hệ thống nhận dạng mống mắt; (5) Xây dựng hệ thống kết hợp nhận dạng vân tay và mống mắt; (6) Phần mềm ứng dụng xác thực đa nhân tố cho Trung tâm Công nghệ Thông tin – Lưu trữ Tài nguyên và Môi trường - Sở Tài nguyên và Môi trường tỉnh Bình Dương.
Các kết quả trên đáp ứng nhu cầu thực tế tại Trung tâm Công nghệ Thông tin – Lưu trữ Tài nguyên và Môi trường, có khả năng triển khai ứng dụng rộng hơn cho các cơ quan nhà nước trên địa bàn tỉnh Bình Dương và xây dựng bản tài liệu hướng dẫn sử dụng chi tiết.
Đề tài đã được Hội đồng đánh giá nghiệm thu kết quả nghiên cứu khoa học và phát triển công nghệ đạt yêu cầu và bàn giao kết quả vào ngày 27 tháng 12 năm 2017 cho Trung tâm Công nghệ Thông tin – Lưu trữ Tài nguyên và Môi trường trực tiếp sử dụng và Sở Tài nguyên và Môi trường, Sở Thông tin và Truyền thông quản lý, chuyển giao cho các đơn vị trong và ngoài tỉnh có nhu cầu ứng dụng kết quả.
(Thanh Tâm - Phòng Quản lý Khoa học)