BỘ GIÁO DỤC VÀ ĐÀO TẠO - TẬP ĐOÀN BƯU CHÍNH VIỄN THƠNG VIỆT NAM
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG
--------------------------------
NGUYỄN ĐỨC
NGHIÊN CỨU VẤN ĐỀ BẢO ĐẢM AN TỒN VÀ AN
NINH HỆ THỐNG THƠNG TIN CỦA CỤC AN TỒN
BỨC XẠ HẠT NHÂN
CHUYÊN NGÀNH: TRUYỀN DỮ LIỆU VÀ MẠNG MÁY TÍNH
MÃ SỐ: 60.48.15
TĨM TẮT LUẬN VĂN THẠC SỸ KỸ THUẬT
HÀ NỘI - 2010
Luận văn được hồn thành tại:
Học viện Cơng nghệ Bưu chính Viễn thơng
Tập đồn Bưu chính Viễn thơng Việt Nam
Người hướng dẫn khoa học: TS. Lê Chí Dũng
……………………………………………………
Phản biện 1:
……………………………………………………
……………………………………………………
Phản biện 2:
……………………………………………………
……………………………………………………
Luận văn sẽ được bảo vệ trước hội đồng chấm luận văn tại Học
viện Cơng nghệ Bưu chính Viễn thơng
Vào lúc: ....... giờ ....... ngày ....... tháng ....... năm…….
Có thể tìm hiểu luận văn tại:
-
Thư viện Học viện Cơng nghệ Bưu chính Viễn thơng
1
MỞ ĐẦU
Cùng với sự phát triển rất nhanh của công nghệ thông tin, và
đặc biệt là sự bùng nổ của mạng Internet toàn cầu là một thành quả
to lớn của nhân loại. Chúng ta sẽ không nhắc lại những lợi ích hiển
nhiên và to lớn mà Internet cũng như môi trường trực tuyến mang
lại. Có thể nói rằng, trong mơi trường tồn cầu hóa hiện nay, các cơ
quan ban ngành hay các doanh nghiệp, đặc biệt là Cục An toàn Bức
xạ, Hạt nhân gần như khó có thể đáp ứng được những yêu cầu nhiệm
vụ mà Đảng, Nhà nước giao phó và phát triển nếu coi mình là ốc đảo
và khơng kết nối với mạng thơng tin tồn cầu Internet.
Tuy nhiên, việc tồn cầu hóa cũng có những mặt trái của nó,
bên cạnh những lợi thế mà Internet mang lại, chúng ta cũng phải
chuẩn bị cho mình khả năng để đối phó với những thách thức
mới, đó là làm sao hòa nhập với thế giới mà vẫn bảo vệ được mình.
Thực tế có rất nhiều hình thức tấn cơng, phá hoại, lấy cắp thông tin,
tài nguyên trên mạng, từ nhiều loại đối tượng khác nhau, cho những
mục đích khác nhau...Những hành động này đang xảy ra hàng ngày,
hàng giờ tại bất cứ đâu. Chúng ta có thể liên tục đọc được tin tức về
những vụ tấn công, xâm nhập an ninh trên mạng Internet do hacker
hoặc virus gây ra, mục tiêu bị tấn cơng từ những mạng máy tính
được bảo vệ tối tân như những hệ thống máy tính của Bộ quốc phòng
Mỹ, những hệ thống thương mại trực tuyến, những tổ chức công ty
lớn như eBay, Amazone, Microsoft... tới những máy tính PC kết nối
mạng của người dùng đơn lẻ..., để lại những tác hại và ảnh hưởng rất
to lớn.
- Thực tế cho thấy một hệ thống máy tính khơng đảm bảo
được tính bảo mật và an ninh thơng thường sẽ đem lại tác dụng
ngược, các thông tin, dữ liệu nhạy cảm trên mạng dễ dàng bị xập
2
nhập trái phép, chiến lược kinh doanh khơng cịn tính bí mật đối với
đối thủ cạnh tranh, cũng như những hành động phá hoại có thể làm
mạng bị gián đoạn hoạt động, hoặc hoạt động không hiệu quả, đầu tư
hạ tầng lãng phí....
- Vấn đề đảm bảo an tồn, an ninh thơng tin, đảm bảo an
tồn mạng máy tính là một vấn đề khá rộng, liên quan tới nhiều vấn
đề, từ những chính sách quản lý, lĩnh vực kỹ thuật cơng nghệ, tới
thói quen và ý thức người dùng....
Việc đảm bảo an toàn và an ninh trên mạng là một
nhiệm vụ rất cấp thiết và quan trọng, đòi hỏi phải đầu tư
nghiên cứu một cách toàn diện, khoa học; đề xuất những
phương án bảo vệ triệt để, chặt chẽ, kinh tế và khả thi; đồng thời cần
triển khai đồng bộ ngay từ khi triển khai hạ tầng mạng. Để đảm bảo
được vai trò chức năng và nhiệm vụ mà đơn vị được giao phó.
Trong khn khổ luận văn “Nghiên cứu vấn đề bảo đảm An
toàn và An ninh hệ thống thơng tin của Cục An tồn Bức xạ và Hạt
nhân” tập trung chủ yếu đến một số nội dung cơ bản sau:
Chương 1: Tổng quan về An tồn Thơng tin.
Chương 2: Hệ thống thơng tin của Cục An tồn Bức xạ, Hạt
nhân và các vấn đề gặp phải trong quá trình vận hành.
Chương 3: Các giải pháp đảm bảo an ninh và an tồn thơng
tin.
3
CHƯƠNG 1: TỔNG QUAN VỀ AN TỒN THƠNG TIN
1.1 Tổng quan về an tồn thơng tin
Thơng tin có thể tồn tại dưới nhiều dạng. Nó có thể là những
bản in hoặc viết tay, những lưu trữ điện tử, di chuyển bằng thư hoặc
dùng những biện pháp điện tử, hình ảnh trên những đoạn phim, hoặc
lời nói trong những cuộc hội đàm. Cho dù thông tin ở dạng nào đi
nữa, hoặc là những cách thức mà nó chia sẻ hoặc lưu trữ, thì nó phải
ln ln được bảo vệ thích đáng.
1.1.1. An tồn Thơng tin:
- An tồn thơng tin nghĩa là thông tin được bảo vệ, các hệ
thống và những dịch vụ có khả năng chống lại những tai hoạ, lỗi và
sự tác động không mong đợi, các thay đổi tác động đến độ an toàn
của hệ thống là nhỏ nhất.
- Hệ thống có một trong các đặc điểm sau là khơng an tồn:
Các thơng tin dữ liệu trong hệ thống bị người khơng được quyền truy
nhập tìm cách lấy và sử dụng (thơng tin bị rị rỉ). Các thơng tin trong
hệ thống bị thay thế hoặc sửa đổi làm sai lệch nội dung (thông tin bị
xáo trộn)...
- Thông tin chỉ có giá trị cao khi đảm bảo tính chính xác và
kịp thời, hệ thống chỉ có thể cung cấp các thơng tin có giá trị thực sự
khi các chức năng của hệ thống đảm bảo hoạt động đúng đắn.
- Mục tiêu của an tồn bảo mật trong cơng nghệ thơng tin là
đưa ra một số tiêu chuẩn an toàn. Ứng dụng các tiêu chuẩn an toàn
này vào đâu để loại trừ hoặc giảm bớt các nguy hiểm. Do kỹ thuật
truyền nhận và xử lý thông tin ngày càng phát triển đáp ứng các yêu
cầu ngày càng cao nên hệ thống chỉ có thể đạt tới độ an tồn nào đó.
4
Quản lý an toàn và sự rủi ro được gắn chặt với quản lý chất lượng.
Khi đánh giá độ an tồn thơng tin cần phải dựa trên phân tích các rủi
ro, tăng sự an toàn bằng cách giảm tối thiểu rủi ro. Các đánh giá cần
hài hồ với đặc tính, cấu trúc hệ thống và quá trình kiểm tra chất
lượng.
- Các u cầu an tồn bảo mật thơng tin
Hiện nay các biện pháp tấn công càng ngày càng tinh vi, sự
đe doạ tới độ an tồn thơng tin có thể đến từ nhiều nơi theo nhiều
cách chúng ta nên đưa ra các chính sách và phương pháp đề phịng
cần thiết. Mục đích cuối cùng của an tồn bảo mật là bảo vệ các
thông tin và tài nguyên theo các yêu cầu sau:
• Đảm bảo tính tin cậy (Confidentiality): Thơng tin không
thể bị truy nhập trái phép bởi những người không có thẩm quyền.
• Đảm bảo tính ngun vẹn (Integrity): Thơng tin không thể
bị sửa đổi, bị làm giả bởi những người khơng có thẩm quyền.
• Đảm bảo tính sẵn sàng (Availability): Thông tin luôn sẵn
sàng để đáp ứng sử dụng cho người có thẩm quyền.
• Đảm bảo tính khơng thể từ chối (Non-repudiation): Thông
tin được cam kết về mặt pháp luật của người cung cấp
- Một số biện pháp kiểm tra hệ thống của bạn có triển khai
các biện pháp an ninh cơ bản hay không? điều kiện cần để kiểm tra
việc triển khai các biện pháp an ninh cơ bản của một hệ thống như
sau:
1. Chính sách an ninh chung (Security Policy)
2. Tổ chức an tồn thơng tin (Organizing Information
Security)
3. Quản lý sự cố an tồn thơng tin (Information Security
Incident Management)
5
4. Xác định, phân cấp và quản lý tài nguyên (Asset
Management)
5. An ninh nhân sự (Human Resources Security)
6. An ninh vật lý và môi trường (Physical and Environmental
Security)
7. Quản trị CNTT và mạng (Communication and Operations
Management)
8. Quản lý truy cập (Access Control)
9. Phát triển và duy trì hệ thống (Informations System
Acquisition, Development and Maintenance)
10. Quản lý tính liên tục kinh doanh (Business Continuity
Management)
11. Yếu tố tuân thủ luật pháp (Compliance)
Tiêu chuẩn xây dựng mỗi kiểm soát theo cấu trúc sau:
Mục tiêu của phần kiểm sốt:
Nêu ra tiêu chí cần đạt được của kiểm sốt
Kiểm sốt:
Định nghĩa và mơ tả kiểm sốt
Hướng dẫn thi hành:
Cung cấp những thơng tin nhằm hỗ trợ việc thi hành kiểm
soát và đạt được mục tiêu đề ra. Một số hướng dẫn có thể khơng phù
hợp trong mọi trường hợp và vì vậy, những cách thi hành khác có thể
phù hợp hơn.
1.1.1.1. Chính sách an ninh chung:
Chính sách an ninh chung đề cập đến sự hỗ trợ của cấp quản
lý, cam kết và định hướng trong việc đạt được các mục tiêu về an
tồn thơng tin, bao gồm hai phần chính:
6
Văn bản chính sách an tồn thơng tin – được định nghĩa là
một văn bản mang tính khái niệm, khơng cụ thể về phương thức thi
hành, bao gồm các tiêu chí an tồn thơng tin của một tổ chức.
Xem xét cập nhật chính sách an tồn thơng tin – Chính sách
an tồn thơng tin cần được quy trách nhiệm và giao quyền quản lý
cho một chủ thể. Chủ thể này sẽ chịu trách nhiệm phát triển, xem xét
cập nhật và đánh giá chính sách an tồn thơng tin.
1.1.1.2. Tổ chức an tồn thơng tin:
Tổ chức an tồn thơng tin đề cập đến nhu cầu thiết lập một
cơ cấu quản lý nhằm đề xướng và kiểm soát việc thi hành an tồn
thơng tin trong một tổ chức, bao gồm:
Diễn đàn quản lý an tồn thơng tin – cung cấp một hội đồng
đa cấp nhằm thảo luận các vấn đề về an tồn thơng tin xun suốt tổ
chức.
Giám đốc an tồn thơng tin (ISSO) – đóng vai trị là trung
tâm liên lạc cho các vấn đề, định hướng và quyết định liên quan đến
an tồn thơng tin.
Trách nhiệm an tồn thơng tin – trách nhiệm liên quan đến
an tồn thơng tin được vạch ra và mô tả cụ thể trong bảng mô tả cơng
việc.
Quy trình kiểm sốt thẩm quyền – Đảm bảo những yếu tố vế
bảo mật được xét đến và các vấn đề liên quan đến hệ thống mới hoặc
sửa đổi hệ thống thông tin được thông qua.
Nguồn chuyên gia – Đảm bảo các mối quan hệ với các
chuyên gia độc lập nhằm có thể liên hệ các nguồn lực khơng sẵn có
trong nội bộ tổ chức.
Phối hợp tổ chức – Duy trì quan hệ với những đối tác chia sẻ
thơng tin và những cơ quan luật pháp có thẩm quyền.
7
Xem xét độc lập – cơ chế cho phép thẩm định độc lập sự
hiệu quả về mặt an tồn thơng tin
1.1.1.3. Quản lý sự cố an tồn thơng tin:
Mục tiêu của kiểm soát này là nhằm đảm bảo tất cả các sự cố
và những điểm yếu liên quan đến hệ thống thông tin phải được liên
lạc, thông báo kịp thời đến các bộ phận có thẩm quyền, cho phép
khoảng thời gian phản hồi khắc phục sự cố.
Quy trình báo cáo sự cố và tường trình lên cấp cao hơn phải
được soạn thảo kỹ lưỡng và thông báo đến tất cả nhân viên trong tổ
chức.
1.1.1.4. Xác định, phân cấp và quản lý tài nguyên:
Mục tiêu của việc xác định, phân cấp và quản lý tài nguyên
là nhằm bảo vệ tài nguyên thơng tin của một của tổ chức, quy trình
đề nghị bao gồm:
Kiểm kê, thống kê tài sản – cơ chế nhằm duy trì chính xác
bảng liệt kê tài sản, và thiết lập chủ sở hữu của tất cả tài sản.
Phân loại – cơ chế nhằm phân loại tài sản dựa trên mức độ
ảnh hưởng kinh doanh.
Xử lý – thiết lập những tiêu chuẩn xử lý, bao gồm các quy
trình liên quan đến việc tạo ra, di chuyển, chuyển giao, hủy bỏ các tài
sản thông tin, dựa trên phân loại tài sản.
1.1.1.5. An ninh nhân sự:
Mục đích của an ninh nhân sự nhắm đến khả năng của một
tổ chức trong việc giảm thiểu rủi ro liên quan đến vấn đề con người,
bao gồm:
8
Kiểm tra nhân sự - những chính sách nhân sự cần đảm bảo
trình độ và tính thích hợp của tất cả nhân sự có quyền truy cập vào
tài sản thơng tin của tổ chức.
Trách nhiệm bảo mật – nhân viên cần hiểu rõ trách nhiệm
bảo mật thông tin của mỗi cá nhân,
Điều khoản và điều kiện lao động – nhân viên cần hiểu rõ
trách nhiệm bảo mật thông tin như là một điều kiện tiên quyết trong
điều khoản lao động.
Đào tạo: Một chương trình đào tạo an tồn thơng tin cần
được tiến hành cho tất cả nhân viên, bao gồm những người đang làm
và những người mới vào.
Giải quyết vi phạm – một quy trình chính thức được thiết lập
để giải quyết những vi phạm các điều khoản trong chính sách an tồn
thơng tin.
1.1.1.6. An ninh vật lý và mơi trường:
Kiểm sốt bảo mật vật lý và mơi trường đề cập đến rủi ro
trong môi trường vật lý, bao gồm:
Địa điểm
Bảo mật chu vi vật lý:
Kiểm soát ra vào.
Tài sản
1.1.1.7. Quản trị CNTT và mạng:
Kiểm soát quản trị CNTT và mạng đề cập đến khả năng của
một tổ chức trong việc đảm bảo quy trình vận hành của hệ thống
CNTT nói chung và hệ thống hạ tầng mạng nói riêng.
Quy trình vận hành.
9
Kiểm soát thay đổi.
Quản trị sự cố.
Nguyên tắc tách quyền.
Họach định khả năng.
Quản lý mã nguồn lạ.
Quy chế bảo trì.
Quản lý mạng.
Quản lý phương tiện lưu trữ dữ liệu.
1.1.1.8. Quản lý truy cập:
Kiểm soát truy cập cung cấp các cơ chế nhằm quản lý, kiểm
soát truy cập đến nguồn tài nguyên thông tin dựa trên các yêu cầu cụ
thể về kinh doanh và bảo mật, bao gồm:
Yêu cầu kinh doanh.
Quản lý người dùng:
• Đăng ký và xóa tài khoản truy cập
• Kiểm sốt và xem xét quyền truy cập
• Quản lý mật khẩu
Trách nhiệm của người sử dụng.
Kiểm soát quyền truy cập mạng:
- Xác thực máy đầu cuối mạng
- Xác thực người sử dụng phía ngồi
- Xác định sơ đồ định tuyến an tồn
- Kiểm sốt an ninh cho các thiết bị mạng
- Duy trì tính tách rời của các phân vùng mạng
- Kiểm sốt kết nối mạng
- Duy trì an ninh cho các dịch vụ mạng
Kiểm soát truy cập máy cá nhân:
10
- Tự động nhận dạng máy đầu cuối
- Cơ chế xác thực an toàn
- Xác thực người sử dụng
- Quản lý mật khẩu
- Bảo mật những công cụ hệ thống
- Đảm bảo an toàn cho phiên truy cập, cơ chế tự động thốt
khi khơng có hoạt động truy cập.
- Kiểm soát truy cập ứng dụng.
- Theo dõi truy cập
- Điện tốn di động.
1.1.1.9. Phát triển và duy trì hệ thống:
Kiểm sốt về duy trì và phát triển hệ thống đề cập đến những
kiểm soát cần được xây dựng nhằm đảm bảo:
Yêu cầu bảo mật hệ thống.
Yêu cầu bảo mật ứng dụng.
u cầu mật mã.
Tính tồn vẹn hệ thống
An ninh trong q trình phát triển.
1.1.1.10. Quản lý tính liên tục kinh doanh:
Quản lý tính liên tục kinh doanh kiểm sốt khả năng của một
tổ chức nhằm đảm bảo tính liên tục trong hoạt động kinh doanh, bao
gồm:
Hoạch định liên tục kinh doanh.
Thử nghiệm tính liên tục kinh doanh.
Duy trì tính liên tục kinh doanh.
11
1.1.1.11. Yếu tố tuân thủ luật pháp:
Kiểm soát này nhằm đảm bảo tổ chức có các cơ chế đảm bảo
các yêu cầu về luật pháp, tuân thủ các luật định trong ngành, bao
gồm:
o Quyền sở hữu trí tuệ
o Bảo vệ các thông tin tổ chức
o Bảo vệ dữ liệu khách hàng và đối tác
o Chống lại việc sử dụng sai nguyên tắc
o Các luật lệ về mã hóa
o Thu thập chứng cứ
1.2 Cục An toàn Bức xạ Hạt nhân
Cục An toàn bức xạ và hạt nhân (được viết tắt là Cục
ATBXHN) là cơ quan trực thuộc Bộ Khoa học và Cơng nghệ có
nhiệm vụ giúp Bộ trưởng thực hiện chức năng quản lý nhà nước về
an toàn bức xạ, an tồn hạt nhân; an ninh nguồn phóng xạ, vật liệu
hạt nhân, cơ sở hạt nhân; kiểm soát hạt nhân và thực hiện các hoạt
động sự nghiệp nhằm bảo đảm thực hiện các chức năng trên.
Tên giao dịch quốc tế của Cục An toàn bức xạ và hạt nhân là
Vietnam Agency for Radiation and Nuclear Safety (được viết tắt là
VARANS).
Cục An tồn bức xạ và hạt nhân có tư cách pháp nhân, có
con dấu riêng và được mở tài khoản nội tệ, ngoại tệ tại Kho bạc nhà
nước và Ngân hàng.
Trụ sở chính của Cục An tồn bức xạ và hạt nhân đặt tại
Thành phố Hà Nội.
Cục An toàn bức xạ và hạt nhân có các nhiệm vụ và quyền
hạn chủ yếu sau đây:
12
1. Xây dựng, tham gia xây dựng dự thảo, trình ban hành theo
thẩm quyền các văn bản quy phạm pháp luật, tiêu chuẩn, quy chuẩn
kỹ thuật, hướng dẫn về an toàn bức xạ, an toàn hạt nhân (sau đây gọi
tắt là an tồn), an ninh nguồn phóng xạ, vật liệu hạt nhân, cơ sở hạt
nhân (sau đây gọi tắt là an ninh) và kiểm sốt hạt nhân; chủ trì hoặc
tham gia tổ chức thực hiện, kiểm tra việc thực hiện các văn bản đã
được ban hành; tham gia xây dựng chế độ, chính sách cho nhân viên
bức xạ;
2. Xây dựng, trình Bộ Khoa học và Cơng nghệ định hướng
phát triển, chương trình, kế hoạch 5 năm và hàng năm về nhiệm vụ
bảo đảm an tồn, an ninh và kiểm sốt hạt nhân; chỉ đạo, hướng dẫn,
tổ chức và kiểm tra việc thực hiện chương trình, kế hoạch đã được
phê duyệt;
3. Tổ chức việc khai báo chất phóng xạ, thiết bị bức xạ, vật
liệu hạt nhân, thiết bị hạt nhân và việc cấp, gia hạn, sửa đổi, thu hồi
giấy phép tiến hành cơng việc bức xạ, chứng chỉ về an tồn cho nhân
viên bức xạ;
4. Thẩm định và tổ chức thẩm định an tồn đối với cơng việc
bức xạ; thẩm định và tổ chức thẩm định an ninh đối với nguồn phóng
xạ, vật liệu hạt nhân và cơ sở hạt nhân;
5. Kiểm tra, thanh tra, xử lý vi phạm và giải quyết khiếu nại,
tố cáo về an toàn và an ninh theo thẩm quyền;
6. Tổ chức thực hiện các hoạt động kiểm soát hạt nhân theo
quy định của pháp luật;
7. Thực hiện quản lý nhà nước về chất thải phóng xạ, quan
trắc phóng xạ mơi trường, kiểm sốt chiếu xạ nghề nghiệp, chiếu xạ
dân chúng và chiếu xạ y tế;
13
8. Hướng dẫn lập và kiểm tra việc thực hiện kế hoạch ứng
phó sự cố bức xạ, sự cố hạt nhân; tham gia ứng phó sự cố theo thẩm
quyền;
9. Xây dựng và cập nhật hệ thống thông tin quốc gia về an
toàn, an ninh; xây dựng và quản lý hệ thống kế toán và kiểm soát hạt
nhân;
10. Tổ chức và phối hợp tổ chức đào tạo, bồi dưỡng, hướng
dẫn chuyên mơn, nghiệp vụ về an tồn, an ninh và kiểm soát hạt
nhân;
11. Tổ chức và phối hợp tổ chức tuyên truyền, phổ biến các
văn bản quy phạm pháp luật, các kiến thức về an tồn, an ninh và
kiểm sốt hạt nhân;
12. Hướng dẫn, chỉ đạo và phối hợp với các Sở Khoa học và
Công nghệ, các cơ quan, đơn vị có liên quan thực hiện quản lý nhà
nước về an tồn, an ninh và kiểm sốt hạt nhân;
13. Hỗ trợ kỹ thuật cho công tác quản lý nhà nước về an
toàn, an ninh; tổ chức nghiên cứu áp dụng tiến bộ khoa học - công
nghệ và triển khai thực hiện các dịch vụ an toàn, an ninh;
14. Tổ chức thực hiện các hoạt động hợp tác quốc tế về an
toàn, an ninh và kiểm soát hạt nhân; nghiên cứu, đề xuất việc ký, gia
nhập các điều ước, thỏa thuận quốc tế về an tồn, an ninh và kiểm
sốt hạt nhân; tham gia thực hiện các điều ước, thỏa thuận quốc tế
mà Việt Nam là thành viên;
15. Quản lý cán bộ, tài sản, hồ sơ và tài liệu của Cục An toàn
bức xạ và hạt nhân theo phân cấp và quy định của Bộ Khoa học và
Công nghệ;
16. Thực hiện các nhiệm vụ khác do Bộ trưởng Bộ Khoa học
và Công nghệ giao.
14
Hệ thống thông tin của Cục được cán bộ thông tin của Cục
kết hợp với các chuyên gia nước ngoài xây dựng từ những năm 2008
– 2009 với mức độ bảo mật và an tồn có tính độc lập và chưa cao và
chỉ tập trung vào một số hệ thống cụ thể như RAISVN và
TRACKER. Và đây chính là một phần lỗ hổng của hệ thống nếu như
có sự tấn công từ những điểm yếu trong hệ thống như mạng LAN
hay tấn công vào Mail và Web của Cục. Từ những Server này Virus
hoặc Hacker rất có thể sẽ dùng làm bàn đạp tấn cơng tồn bộ hệ
thống.
1.3 Kết luận chương:
1.3.1 Tổng quan
Chương mở đầu của luận văn này đã giới thiệu tổng quan về
an tồn thơng tin. các biện pháp kiểm tra hệ thống thông tin đã triển
khai các biện pháp an ninh, an tồn thơng tin hay chưa. Như Chính
sách an ninh chung (Security Policy); Tổ chức an tồn thơng tin
(Organizing Information Security); Quản lý sự cố an tồn thơng tin
(Information Security Incident Management); Xác định, phân cấp và
quản lý tài nguyên (Asset Management); An ninh nhân sự (Human
Resources Security); An ninh vật lý và môi trường (Physical and
Environmental Security); Quản trị CNTT và mạng (Communication
and Operations Management); Quản lý truy cập (Access Control)…
Tìm hiểu nhiệm vụ, quyền hạn và hệ thống thơng tin của Cục
An tồn Bức xạ, Hạt nhân để từ đó thấy được vấn đề cần thiết phải
có một hệ thống thơng tin an tồn hơn hoạt động hiệu quả hơn. Trong
chương tiếp theo, ta sẽ đi vào nghiên cứu hệ thống thông tin của Cục
An toàn Bức xạ, Hạt nhân và các vấn đề gặp phải trong quá trình vận
hành.
15
CHƯƠNG 2: HỆ THỐNG THÔNG TIN CỦA CỤC ATBXHN
VÀ CÁC VẤN ĐỀ GẶP PHẢI TRONG QUÁ TRÌNH VẬN
HÀNH
2.1 Các yếu tố làm mất an tồn thơng tin của mạng máy tính:
Khái niệm các yếu tố làm mất an tồn thơng tin được hiểu là
sự cố tình hoặc một cố ý khai thác điểm yếu hoặc tình trạng, mơ thức
có thể vơ tình khỏi tạo (“đánh thức”) một điểm yếu.
Sự mất an tồn thơng tin là mối đe dọa, là mức độ, khả năng
mà một trong các nguyên nhân làm mất an tồn thơng tin sẽ thực
hiện (vơ tình hay hữu ý) khai thác một hay nhiều điểm yếu của hệ
thống thơng tin nói chung.
Câu hỏi đặt ra là những đối tượng nào có khả năng gây ảnh
hưởng đến an ninh mạng? Thực tế, các đối tượng này cũng đa dạng
không kém gì động cơ hay phương thức tấn cơng của họ. Họ có thể
là bất cứ ai - là người trẻ tuổi, người già, nam giới, nữ giới, nhân
viên ở trong hay người ngồi tổ chức. Họ có điểm chung là có khả
năng tác động, có khả năng đánh cắp, phá hoại thông tin nhạy cảm
của công nhằm phục vục cho những mục đích khác nhau của họ.
Việc nhận dạng đối tượng, biết rõ bản chất, tâm sinh lý, quy luật hoạt
động là hết sức cần thiết để có kế hoạch đối phó thích hợp.
Dưới đây là một số đối tượng chính có tác động đến an ninh
mạng, vì thực tế như đã nói, các đối tượng tấn cơng, động cơ và
phương pháp tấn cơng thì nhiều vơ kể, khơng thể liệt kê hết được.
2.1.1.
Con người:
Về con người: được thực hiện hoặc được cho phép bởi con
người: khơng cố tình, sơ ý, cẩu thả, thiếu hiểu biết…
16
Cần lưu lưu ý những nhân viên thôi việc hoặc chuyển công
tác, các đối tác, các hãng cung cấp,…cũng phải được lưu tâm bởi họ
cũng có quyền và có khả năng truy cập thông tin trong cơ sở dữ liệu
thông tin của chúng ta. Cần phải có những chính sách quản lý người
dùng thích hợp để đề phịng trường hợp có khả năng rị rỉ thơng tin
này.
2.1.2 Đối thủ cạnh tranh:
Đối thủ cạnh tranh:
2.1.3. Gián điệp:
Gián điệp (Spy):
2.1.4. Hacker:
Hacker:
2.1.5. Người tò mò (Explorer):
Người tò mò (Explorer):
2.1.6. Script Kiddie:
Script Kiddie:.
2.1.7. Kẻ trộm:
Kẻ trộm:.
Ngoài các tác nhân trên, các yếu tố khác cũng ít nhiều có tác
động đến an tồn thơng tin, tác động chính của các yếu tố này lên an
ninh mạng là về mặt vật lý.
+ Tự nhiên: Lũ lụt, động đất, lở đất, sấm sét…
+ Môi trường: mất điện, ơ nhiễm, các tác nhân hóa học, rị rỉ
nhiên liệu…
+ Cháy nổ, hỏa họa, chiến tranh, khủng bố…
Tóm lại, đối tượng và yếu tố có khả năng ảnh hưởng đến an
tồn thơng tin mạng rất đa dạng, phong phú. Có thể nói, “bất cứ ai có
17
ý định, có khả năng tiếp cận với thơng tin của tổ chức đều có khả
năng tác động nguy hiểm đến an tồn thơng tin tổ chức đó”.
2.2 Hiện trạng cơ sở hạ tầng hệ thống thông tin tại Cục
ATBXHN
Cục An toàn bức xạ và hạt nhân (ATBXHN) là cơ quan trực
thuộc Bộ Khoa học và Cơng nghệ (KHCN) có nhiệm vụ giúp Bộ
trưởng thực hiện chức năng quản lý nhà nước về an toàn bức xạ, an
toàn hạt nhân; an ninh nguồn phóng xạ, vật liệu hạt nhân, cơ sở hạt
nhân; kiểm soát hạt nhân và thực hiện các hoạt động sự nghiệp nhằm
bảo đảm thực hiện các chức năng trên; Cục ATBXNH có trụ sở tại
70 Trần Hưng Đạo, nơi đây là địa điểm làm việc của toàn bộ khối
lãnh đạo của Cục; hiện trạng hạ tầng CNTT được mơ tả như sau:
Hiện tại đã có hệ thống cáp mạng đang hoạt động phục vụ
kết nối mạng trong tồ nhà;
Đã có hệ thống mạng Wifi phục vụ các kết nối khơng dây;
chứng thực bằng Key và chưa có cơ chế mã hố mạnh nhằm đảm bảo
an tồn thơng tin truyền qua mơi trường khơng khí;
03 máy chủ HP Proliant ML 370 làm nhiệm vụ Web,
Database và Backup;
02 máy chủ HP Proliant ML 350G4P chưa sử dụng
Firewall ASA 5520
Chưa triển khai các dịch vụ CNTT: quản lý User, Email,
Portal, VPN, CA…
Phân tích đánh giá nhu cầu xây dựng.
Đối với mỗi đơn vị hành chính sự nghiệp khi yêu cầu đầu tư
xây dựng một hệ thống CNTT, đều có các yêu cầu cơ bản bao gồm:
18
phù hợp mục tiêu quản lý nhà nước, nâng cao hiệu năng cơng việc,
đảm bảo thơng tin an tồn và khai thác thuận tiện.
Xuất phát từ nhu cầu công việc, hiện trạng của Cục
ATBXHN cần thiết phải có lộ trình đầu tư các hạng mục CNTT như
sau:
Bước 1: Đầu tư xây dựng hạ tầng mạng tối thiểu, bao gồm
các dịch vụ hạ tầng mạng; dịch vụ về các phần mềm tối thiểu cần có
trong mạng. Các bước thực hiện
Trang bị mạng nội bộ (đã thực hiện)
Trang bị và xây dựng hệ thống dịch vụ hạ tầng CNTT (là các
dịch vụ nên tảng, tạo tiền đề triển khai các ứng dụng nâng cao khác)
bao gồm: Dịch vụ quản lý người dùng, phân giải tên miền, cấp địa
chỉ IP tự động, chứng thực người dùng Wifi, cấp chứng chỉ số nội
bộ.
Triển khai các dịch vụ sử dụng chung như Email, Kết nối
mạng riêng ảo, Truy nhập Internet, Cơ sở dữ liệu, Website;
Bước 2: Tuỳ vào nhu cầu quản lý và quy mô của Cục, bước
2 có thể triển khai các ứng dụng quản lý: quản lý tài sản, quản lý tài
chính kế tốn, quản lý cơng văn, hệ trợ giúp quyết định, … Nâng cấp
và hồn thiện cung cấp các bài tốn đáp ứng các yêu cầu quản lý của
Cục ATBXHN; quy hoạch toàn bộ hệ thống đảm bảo sự ổn định và
thống nhất trong toàn bộ Cục ATBXHN về sử dụng các phần mềm
quản lý điều hành và các phần mềm dùng chung. Dịch vụ Hội nghị
truyền hình kết nối xuống các đơn vị trong Cục và với Bộ KHCN.
2.2.1. Các hệ thống thông tin đang quản lý vận hành:
2.2.1.1. Hệ thống hỗ trợ đăng ký cấp phép trực tuyến các nguồn
phóng xạ (RAISVN)
Tổng quan hiện trạng hệ thống RAISVN
19
Quản lý chuyên ngành an toàn bức xạ bằng phần mềm
Ứng dụng nguồn phóng xạ và các thiết bị bức xạ đã được triển khai ở
Việt Nam từ những năm 20 của Thế kỷ trước. Trong những năm vừa
qua, các hoạt động quản lý về an tồn và kiểm sốt bức xạ được thực
hiện tại Cục Kiểm soát và An tồn bức xạ, hạt nhân (KSATBXHN).
Để việc quản lý có hiệu quả và hội nhập với quốc tế, Cục
KSATBXHN đã nhập vào Việt Nam Chương trình quản lý chuyên
ngành về an toàn bức xạ (Radiation Authority Informatic System RAIS) của Cơ quan Năng lượng Nguyên tử quốc tế (IAEA) nhằm hỗ
trợ hoạt động quản lý của mình.
Từ những năm 2001, Ban An toàn bức xạ và hạt nhân (tiền thân của
Cục KSATBXHN) và sau đó là Cục đã tiếp tục tiến hành Việt hố
chương trình RAIS thành e-RAIS, cung cấp hướng dẫn sử dụng cho
các Sở Khoa học và Công nghệ trong phạm vi cả nước.
Hầu hết các chức năng của RAIS có thể được xem như chuẩn cho
một ứng dụng quản lý chuyên ngành, nhưng vì đây là một chương
trình do nước ngồi thiết kế, cộng với một số yêu cầu quản lý đặc thù
của Việt Nam, những người triển khai ứng dụng e-RAIS nhận thấy
cần phải có những thay đổi lớn đối với chương trình.
Sơ đồ phân tích chức năng của hệ thống RAISVN
Hệ thống đăng ký cấp phép RAISVN thực hiện hai chức năng chính:
i) Khai báo đăng ký cấp phép trực tuyến; ii) Phổ cập tới các đơn vị,
các Sở KH&CN.
20
Hệ thống đăng
ký cấp phép trực
tuyến RAISVN
Khai báo đăng
ký cấp phép
trực tuyến
Cơ sở dữ liệu
quốc gia
Hỡnh 1.1. S phõn tích chức năng của hệ thống RAISVN
Chương trình RAISVN được xây dựng trên mã nguồn mở PHP và hệ
quản trị cơ sở dữ liệu MySQL. Vì được xây dựng trên ngôn ngữ Web
nên việc bị tấn công mạng là rất dễ xảy ra và khả năng gây thiệt hại
là rất lớn. Việc tổ chức phân tán cơ sở dữ liệu cũng là một trong
những chính sách an ninh được tính đến khi xây dựng hệ thống này.
Hiện tại hệ thống được cài đặt trên một máy chủ ngang hàng trong
mạng LAN của cục với một địa chỉ IP tĩnh và tên miền trỏ trực tiếp
tới, với cách thiết lập mạng như hiện trạng việc tấn cơng từ bên ngồi
là rất dễ dàng và có khả năng đánh sập tồn bộ hệ thống.
2.2.1.2. Hệ thống cơ sở dữ liệu quốc gia về an toàn bức xạ
Hệ thống cơ sở dữ liệu quốc gia về an toàn bức xạ là hệ thống cơ sở
dữ liệu thống kê các nguồn phóng xạ hiện có tại Việt Nam, q trình
vào ra và vịng đời của các nguồn phóng xạ từ khi được nhập vào
Việt Nam cho đến khi khơng cịn được sử dụng hoặc xuất khẩu. Việc
quản trị các nguồn phóng xạ có một ý nghĩa hết sức to lớn là một
trong những vấn đề nhạy cảm liên quan đến chính trị vì vậy hệ thống
21
cơ sở dữ liệu quốc gia về an toàn bức xạ cần phải được đảm bảo
tuyệt đối về an toàn an ninh.
Hiện trạng hệ thống cơ sở dữ liệu quốc gia về an tồn bức xạ; được
phân tích thiết kế trên nền ngôn ngữ MySQL kết nối cùng hệ thống
RAISVN để truy xuất và tổng hợp dữ liệu. Hệ thống cơ sở dữ liệu
quốc gia về an toàn bức xạ cũng được cài đặt trên một máy chủ và
nằm đằng sau một hệ thống tường lửa (Firewall) tuy nhiên các chính
sách thiết lập hiện tại trên tường lửa cịn rất lỏng lẻo và cũng rất dễ bị
tấn công, chẳng hạn như việc mở cổng 21 cho phép việc chuyển vận
giao thức FTP là một trong những lỗ hổng tấn công của hệ thống.
2.2.1.3. Hệ thống Thanh sát hạt nhân kết nối trực tiếp với cơ quan
năng lượng nguyên tử Thế giới (IAEA)
Cục An toàn bức xạ và hạt nhân (được viết tắt là Cục ATBXHN) là
cơ quan trực thuộc Bộ Khoa học và Cơng nghệ có nhiệm vụ giúp Bộ
trưởng thực hiện chức năng quản lý nhà nước về an tồn bức xạ, an
tồn hạt nhân; an ninh nguồn phóng xạ, vật liệu hạt nhân, cơ sở hạt
nhân; kiểm soát hạt nhân. Một trong những chức năng nhiệm vụ
quan trọng mà Cục phải đảm nhiệm đó là việc kiểm sốt hạt nhân,
chính vì chức năng nhiệm vụ này cơ quan Năng lượng nguyên tử thế
giới IAEA đã xây dựng một hệ thống thông tin kết nối trực tiếp với
Cục để trao đổi trực tiếp các văn bản và các tài liệu mật liên quan.
Hệ thống Thanh sát hạt nhân được xây dựng trên công nghệ VPN kết
nối trực tiếp giữa Cục và IAEA thông qua đường truyền mạng của
Viettel. Tuy là một hệ thống độc lập nhưng cũng là một trong những
hệ thống cần phải được thiết lập bảo vệ nghiêm ngặt nhằm đảm bảo
an toàn an ninh cho các văn bản tài liệu khi xử lý vì đây là những tài
liệu mật hết sức nhạy cảm và đặc biệt quan trọng của quốc gia.
22
2.2.1.4. Hệ thống Kiểm soát xuất nhập khẩu kết nối với Tổng cục Hải
quan và Bộ Công Thương.
Tracker là một hệ thống sử dụng để Kiểm soát xuất nhập khẩu kết
nối VPN giữa Cục và Tổng cục hải quan. Hệ thống này được sử
dụng để kiểm soát các mặt hàng lưỡng dụng và nhạy cảm. Dự kiến
hệ thống này sẽ có kết nối với hệ thống RAISVN của Cục do vậy
việc đảm bảo an toàn an ninh mạng cho hệ thống là một vấn đề hết
sức quan trọng và phải được tính đến ngay khi thiết kế hệ thống an
ninh cho toàn hệ thống.
2.2.1.5. Hệ thống Mail Server, WebServer và mạng LAN tại Cục
Cục An toàn bức xạ và hạt nhân tự tổ chức hosting trang Web và
quản trị mail Server riêng. Hiện tại các hệ thống này được cài đặt
trên các máy chủ ngang hàng với mạng LAN của Cục do vậy việc bị
tấn công là rất dễ dàng và có khả năng đánh sập bất kỳ lúc nào. Việc
thiết một hệ thống tường ASA bảo vệ cho hệ thống cần phải tính đến
khi thiết kế mạng cho hệ thống thông tin của Cục.
2.3. Kết luận chương
Nội dung chương 2 đã đưa ra được các yếu tố làm mất An
tồn thơng tin. Hiện trạng cơ sở hạ tầng của hệ thống thơng tin tại
Cục An tồn Bức xạ, Hạt nhân và những vấn đề mà các phân hệ
trong hệ thống gặp phải. Những yêu cầu cần đáp ứng để phù hợp với
quá trình phát triển ở hiện tại và tương lai gần.
23