lOMoARcPSD|21911340

&

BỘ GIÁO DỤC VÀ ĐÀO TẠO
ĐẠI HỌC UEH – TRƯỜNG CÔNG NGHỆ VÀ THIẾT KẾ
KHOA CÔNG NGHỆ THÔNG TIN KINH DOANH

BÁO CÁO CUỐI KỲ:
KIẾN TRÚC BẢO MẬT DOANH NGHIỆP
TRONG MÔI TRƯỜNG HỘI TỤ KINH DOANH

Lớp HP
Mã lớp HP
GV hướng dẫn
Nhóm Sinh viên

:
:
:
:

SA (Kiến trúc Hệ thống)
22D1INS50900401
Võ Hà Quang Định
Nguyễn Cao Nguyên Thảo
Nguyễn Như Hương
Huỳnh Thị Lan
Nguyễn Anh Tuấn
Nguyễn Dương Anh Tuấn

1|Page


lOMoARcPSD|21911340

MỤC LỤC

I.

PHÂN CHIA CÔNG VIỆC:......................................................................................3

I.

MỤC TIÊU, KẾT QUẢ BÀI NGHIÊN CỨU:.........................................................3
A. Mục tiêu:.............................................................................................................................3
B. Kết quả:...............................................................................................................................5

II. PHƯƠNG PHÁP LUẬN:...........................................................................................5
A. Kiến trúc doanh nghiệp.....................................................................................................6
1.

CIMOSA:....................................................................................................................7

2.

PERA:.........................................................................................................................9

3.

Zachman framework:................................................................................................10


4.

TOGAF:.....................................................................................................................11

B. Mơ hình bảo mật:.............................................................................................................11
1.

ASSET của NIST:.....................................................................................................11

2.

BS7799 của BSI:.......................................................................................................13

C. Khung đề xuất kiến trúc bảo mật doanh nghiệp trong môi trường hội tụ kinh
doanh:.....................................................................................................................16
1. Framework:..........................................................................................................16
2. Chiến lược trong môi trường hội tụ kinh doanh:..................................................16
3. Cấp độ 1: Các mơ hình an tồn của hội tụ kinh doanh.........................................18
3.1 Cách tiếp cận phân tích rủi ro:.......................................................................19
3.2 Cách tiếp cận đường cơ sở BS7799...............................................................22
4. Cấp độ 2: Kiến trúc bảo mật doanh nghiệp..........................................................23
2|Page


lOMoARcPSD|21911340

4.1 Hàng 1 - người lập kế hoạch.....................................................................................23
4.2 Hàng 2 - hàm tạo.......................................................................................................25


4.3 Hàng 3 - Quản trị viên...................................................................................25
D. Mô hình tham chiếu:..........................................................................................................25

I. PHÂN CHIA CƠNG VIỆC:
1) Anh Tuấn:
- Xác định mục tiêu/ kết quả bài báo (câu hỏi nghiên cứu):
- Tại sao tác giả đưa ra mục tiêu này?
2) Nguyên Thảo, Lan, Hương:
- Phương pháp luận của tác giả.
3) Dương Anh Tuấn:
- Giải pháp của tác giả (thu thập, nghiên cứu)
- Kết quả đạt được  hướng nghiên cứu
I. MỤC TIÊU, KẾT QUẢ BÀI NGHIÊN CỨU:
A. Mục tiêu:
Mục tiêu chung của bài báo cáo là cung cấp mơ hình tiếp cận chiến lược giúp các
nhà quản trị doanh nghiệp giải quyết các vấn đề quản lý về lập kế hoạch, thực hiện
và vận hành về an tồn thơng tin trong môi trường hội tụ kinh doanh.
Từ mục tiêu chung nêu trên, chúng ta có thể đi vào các mục tiêu cụ thể trong phần
kiểm soát an ninh nhằm giảm thiểu rủi ro và mất mát, cùng với đó là các biện pháp
bảo vệ, đối phó với những mối đe dọa chưa, sắp và đã xảy ra.
3|Page


lOMoARcPSD|21911340

 Mục tiêu: chống lại sự gián đoạn đối với hoạt động kinh doanh và các quy
trình kinh doanh quan trọng bằng cách lập kế hoạch kinh doanh liên tục.
 Mục tiêu: kiểm sốt quyền truy cập thơng tin, ngăn chặn truy cập trái
phép vào các HTTT, bảo vệ các dịch vụ kết nối mạng, ngăn chặn truy cập
máy tính trái phép, đảm bảo an tồn thơng tin khi sử dụng các phương

tiện điện toán di động và thiết bị kết nối mạng bằng cách kiểm soát truy cập
từ xa, kiểm soát truy cập đầu vào, kiểm soát truy cập toàn hệ thống, cấp quyền
truy cập cá nhân, theo dõi các hoạt động truy cập thường xuyên.
 Mục tiêu: đảm bảo an ninh trong các hệ thống hoạt động, ngăn ngừa mất
mát, sửa đổi hoặc sử dụng sai dữ liệu người dung trong hệ thống, bảo vệ
tính bí mật, tính xác thực và tính tồn vẹn của thơng tin, đảm bảo các dự
án CNTT được an tồn, duy trì tính bảo mật của phần mềm và dữ liệu hệ
thống ứng dụng bằng cách phát triển và bảo trì hệ thống thường xuyên.
 Mục tiêu: ngăn chặn truy cập trái phép, làm hỏng và can thiệp vào HTTT,
ngăn ngừa mất mát, hu hỏng, hoặc xâm nhập trái phép làm gián đoạn
hoạt động cụa hệ thống, ngăn chặn sự xâm nhập hoặc đánh cắp thông tin
bằng cách tăng cường bảo mật hệ thống phần cứng, các thiết bị đầu cuối.
 Mục tiêu: tránh vi phạm bất kỳ luật hình sự, hoặc dân sự, các luật, quy
định hoặc nghĩa vụ hợp đồng và bất kỳ yêu cầu bảo mật nào, đảm bảo sự
tuân thủ của các hệ thống với các chính sách bảo mật của tổ chức bằng
cách tuân thủ nghiêm các quy tắc an toàn, bảo mật đã được đề ra.
 Mục tiêu: giảm thiểu rủi ro do lỗi con người, trộm cắp, giam lận, đảm bảo
rằng người dùng nhận thức được các mỗi đe dọa và mối quan tâm về an
ninh thông tin, giảm thiểu thiệt hại từ các sự cố và trục trặc bảo mật bằng
cách tăng cường công tác an ninh dân sự.
 Mục tiêu: quản lý bảo mật thơng tin cơng ty, duy trì tính bảo mật của các
phương tiện xử lý thông tin của tổ chức và các tài sản thông tin do bên thứ
ba truy cập, duy trì tính bảo mật của thơng tin khi trách nhiệm xử lý
thông tin đã được giao cho một tổ chức khác bằng cách quản lý an ninh của
tổ chức.
 Mục tiêu: đảm bảo sự vận hành chính xác và an tồn của các phương tiện
xử lý thơng tin, giảm thiểu rủi ro hệ thống bị lỗi, bảo vệ tính tồn vẹn và
sẵn sàng của việc xử lý thơng tin và truyền thông, đảm bảo việc bảo vệ
thông tin trong mạng và bảo vệ cơ sở hạ tầng hỗ trợ, ngăn ngừa những
4|Page



lOMoARcPSD|21911340

thiệt hại, gián đoạn, mất mát, sử dụng sai thông tin được trao đổi giữa các
tổ chức bằng cách quản lý vận hành truyền thông của tổ chức.
 Mục tiêu: duy trì sự bảo vệ thích hợp đối với tài sản doanh nghiệp và đảm
bảo chúng nhận được mức độ bảo vệ thích hợp bằng cách phân loại và kiểm
sốt tài sản.
 Mục tiêu: đưa ra định hướng quản lý và hỗ trợ bảo mật thông tin bằng
cách thiết lập các chính sách bảo mật.
10 mục tiêu mà tác giả nêu ra ở phía trên đã được nghiên cứu một cách kỹ lưỡng
và có thể áp dụng cho bất kỳ hình thức doanh nghiệp nào từ nhỏ tới lớn. Tồn bộ các
mục tiêu được đưa ra đã bao quát được toàn bộ các vấn đề liên quan tới bảo mật của
một doanh nghiệp dù ở bất kỳ quy mô nào. Tuy nhiên với những doanh nghiệp vừa
và nhỏ thì khi đưa ra các biện pháp bảo mật, có thể sẽ khơng gặp q nhiều trường
hợp rủi ro nên có thể lựa chọn thiết lập những mục tiêu sao cho phù hợp với tình
hình của doanh nghiệp, nhằm giảm bớt gánh nặng chi phí mà vẫn đem lại được hiệu
quả cao về độ bảo mật trong môi trường hội tụ kinh doanh hiện nay.
B. Kết quả:

II. PHƯƠNG PHÁP LUẬN:
Bài nghiên cứu “Enterprise security architecture in business convergence
environments” được viết bởi Sangkuyn Kim và Choon Seong Leem, Đại học Yonsei,
Seoul, Hàn Quốc. Dựa vào những thơng tin trong phần tóm lược nội dung và qua tìm
hiểu bài phân tích, có thể thấy tác giả đã sử dụng phương pháp phân tích và tổng hợp lý
thuyết làm phương pháp chính, bên cạnh đó, cịn sử dụng phương pháp nghiên cứu định
tính.
Phương pháp phân tích và tổng hợp lý thuyết là phương pháp phân chia các thông
tin thu thập được thành các bộ phận riêng biệt từ những tài liệu có sẵn. Từ đó, phát hiện ra

những xu hướng hay đặc điểm chung của đối tượng nghiên cứu. Trong phương pháp này,
những thông tin quan trọng liên quan trực tiếp đến mục đích nghiên cứu của nghiên cứu
khoa học sẽ được lựa chọn và lưu lại. Đây là phương pháp liên kết, sắp xếp tài liệu, thơng
tin lý thuyết đã thu được. Từ đó tạo tiền đề, hệ thống lý thuyết về chủ đề của nghiên cứu.
5|Page


lOMoARcPSD|21911340

Thông qua bài nghiên cứu, tác giả muốn cung cấp các mơ hình tiếp cận chiến
lược giúp các nhà quản trị doanh nghiệp giải quyết các vấn đề quản lý về lập kế hoạch,
thực hiện và vận hành về an tồn thơng tin trong mơi trường hội tụ kinh doanh bằng cách
phân tích các phương pháp kiến trúc doanh nghiệp (EA) hiện có, khung của kiến trúc bảo
mật doanh nghiệp đã được thiết kế. Vì thế sử dụng phương pháp nghiên cứu phân tích và
tổng hợp lý thuyết giúp bài báo phác thảo được các rủi ro kinh doanh trong mơi trường
hội tụ doanh nghiệp với phân tích rủi ro và kiểm soát đường cơ sở cũng những các yếu tố
rủi chi tiết hơn và các yếu tố trọng số của từng chiến lược, nhằm giúp người đọc dễ hình
dung được các đặc điểm tạo ra một mơ hình kinh doanh với giá trị gia tăng nếu sử dụng
mơ hình hội tụ được đề xuất trong bài báo.
A. Kiến trúc doanh nghiệp
Tác giả đã đưa ra hai định nghĩa:- là một hệ thống phức tạp của các thành phần văn hóa,
quy trình và cơng nghê được thiết kế để hồn thành các mục tiêu của tổ chức (Johson và
Whitman 1998)
- EA là tập hợp các đại diện mô tả (mô hình) có liên quan để mơ tả một doanh nghiệp sao
cho nó có thể được sản xuất theo yêu cầu của ban quản lý (chất lượng) và duy trì trong
suốt thời gian sử dụng hữu ích (đã thay đổi-Zachman 1999)

6|Page



lOMoARcPSD|21911340

-... một số định nghĩa khác.

Tác giả đã tóm tắt một vài khn khổ hiện có của EA.
1. CIMOSA:
Mục đích ban đầu của CIMOSA (1992) là "xây dựng một kiến trúc hệ thống mở
cho CIM và xác định một tập hợp các khái niệm và quy tắc để tạo điều kiện thuận lợi
cho việc xây dựng các hệ thống CIM trong tương lai". [4] Một trong những ý tưởng
chính của CIMOSA là phân loại các hoạt động sản xuất trong:

7|Page


lOMoARcPSD|21911340

 Chức năng chung: các bộ phận chung của mọi doanh nghiệp, không phụ thuộc
vào cơ cấu tổ chức hoặc lĩnh vực kinh doanh.
 Chức năng cụ thể (từng phần và cụ thể): cụ thể cho từng doanh nghiệp.
Sự phát triển của CIMOSA cuối cùng đã dẫn đến hai mục chính:
 Khung mơ hình hóa : Khung cơng tác này hỗ trợ "tất cả các giai đoạn của vòng

đời hệ thống CIM từ định nghĩa yêu cầu , thông qua đặc tả thiết kế, mô tả triển
khai và thực hiện hoạt động hàng ngày của doanh nghiệp". [4]
 Cơ sở hạ tầng tích hợp: Cơ sở hạ tầng này cung cấp "các dịch vụ công nghệ
thông tin cụ thể để thực hiện Mơ hình triển khai cụ thể", đã được chứng minh
là độc lập với nhà cung cấp và có thể di động. [4]
Ngồi ra, khn khổ cịn cung cấp "cách tiếp cận mơ hình dựa trên quy trình,
hướng sự kiện với mục tiêu bao quát các khía cạnh thiết yếu của doanh nghiệp trong
một mơ hình tích hợp. Các khía cạnh chính là khía cạnh chức năng, hành vi, nguồn lực,

thơng tin và tổ chức".
CIMOSA có thể được áp dụng trong mơ phỏng và phân tích quy trình. Các mơ
hình CIMOSA tiêu chuẩn hóa "cũng có thể được sử dụng trực tuyến trong doanh
nghiệp sản xuất để lập lịch trình, điều phối, giám sát và cung cấp thơng tin quy
trình". Một trong những tiêu chuẩn dựa trên CIMOSA là Phương pháp và Kiến trúc
Tham chiếu Doanh nghiệp Tổng quát (GERAM).
Trọng tâm chính của CIMOSA là xây dựng:





Một khn khổ cho mơ hình doanh nghiệp, một kiến trúc tham chiếu
Một ngơn ngữ mơ hình doanh nghiệp
Một cơ sở hạ tầng tích hợp để ban hành mơ hình được hỗ trợ bởi
Một thuật ngữ phổ biến

Một liên lạc chặt chẽ với các tổ chức tiêu chuẩn hóa châu Âu và quốc tế đã được
thành lập để kích thích q trình tiêu chuẩn hóa để hội nhập doanh nghiệp.
CIMOSA hướng tới việc tích hợp các hoạt động của doanh nghiệp bằng cách trao
đổi thông tin hiệu quả trong doanh nghiệp. CIMOSA mô hình hóa các doanh nghiệp sử
dụng bốn quan điểm:
8|Page


lOMoARcPSD|21911340

 Chế độ xem chức năng mô tả cấu trúc chức năng cần thiết để đáp ứng các mục
tiêu của doanh nghiệp và cấu trúc kiểm soát liên quan;
 Chế độ xem thông tin mô tả thông tin theo yêu cầu của từng chức năng;

 Chế độ xem tài nguyên mô tả các tài nguyên và mối quan hệ của chúng với cấu
trúc chức năng và điều khiển; và
 Quan điểm tổ chức mô tả các trách nhiệm được giao cho các cá nhân đối với
các cấu trúc chức năng và kiểm soát.
2. PERA:
Purdue Enterprise Reference Architecture ( PERA ) là một mơ hình tham
chiếu những năm 1990 cho kiến trúc doanh nghiệp , được phát triển bởi Theodore J.
Williams và các thành viên của Hiệp hội Sản xuất Tích hợp Máy tính của Đại học
Industry-Purdue .
PERA là một kiến trúc tham chiếu có thể mơ hình hóa doanh nghiệp theo nhiều
lớp và trong nhiều giai đoạn của vòng đời kiến trúc. Ban đầu PERA là một phần của
phương pháp PERA, bao gồm ba khối xây dựng chính: [2]
Cuối những năm 1990, kết hợp những hiểu biết sâu sắc từ PERA và các kiến trúc
tham chiếu khác như Phương pháp tích hợp GRAI, CIM-OSA và TOVIE đã dẫn đến sự
phát triển của Phương pháp và Kiến trúc Tham chiếu Doanh nghiệp Chung
Mơ hình tham chiếu Purdue, “95” cung cấp một mơ hình để kiểm sốt doanh
nghiệp , mà người dùng cuối, nhà tích hợp và nhà cung cấp có thể chia sẻ trong việc
tích hợp các ứng dụng ở các lớp chính trong doanh nghiệp:

9|Page


lOMoARcPSD|21911340

PERA Mơ hình tham chiếu: Hệ thống phân cấp ra quyết định và kiểm soát, 1992

Tổ chức thiết bị PERA.

3. Zachman framework:
Khung được đặt theo tên tác giả John Zachman, người đầu tiên phát triển các khái

niệm kiến trúc tổng thể trong những năm 1980 tại IBM. Khung Zachman bao gồm ma
trận 2 chiều là giao điểm các 6 câu hỏi thông tin với 6 mức độ nhằm mô tả các thành
phần kiến trúcdưới góc nhìn khác nhau của những người liên quan.
Ý tưởng cơ bản đằng sau Zachman Framework là cùng một thứ hoặc mục phức
tạp có thể được mơ tả cho các mục đích khác nhau theo những cách khác nhau bằng
cách sử dụng các loại mô tả khác nhau (ví dụ: văn bản, đồ họa). Khung Zachman cung
cấp ba mươi sáu danh mục cần thiết để mô tả hồn tồn bất cứ thứ gì; đặc biệt là những
thứ phức tạp như hàng hóa sản xuất (ví dụ: thiết bị), cấu trúc xây dựng (ví dụ: tịa nhà),
và doanh nghiệp (ví dụ: tổ chức và tất cả các mục tiêu, con người và cơng nghệ của
nó). Khung cung cấp sáu cách biến đổi khác nhau của một ý tưởng trừu tượng (không
tăng chi tiết, nhưng chuyển đổi) từ sáu quan điểm khác nhau.
Nó cho phép những người khác nhau nhìn vào cùng một thứ từ những góc độ
khác nhau. Điều này tạo ra một cái nhìn tổng thể về môi trường, một khả năng quan
trọng được minh họa trong hình.
10 | P a g e


lOMoARcPSD|21911340

4. TOGAF:
Kiến trúc TOGAF (The Open Group Architectural Framework - TOGAF): là bộ
Framwork về kiến trúc kiến trúc doanh nghiệp của The Opengroup, là một phương
pháp hướng dẫn chi tiết cách xây dựng một kiến trúc từ thiết kế, lên kế hoạch, cài đặt
và quản lý kèm theo các công cụ hỗ trợ cho việc phát triển công nghệ thông tin và
kiển trúc tổng thể.
 Từ các định nghĩa trên cùng với các mơ hình trước, tác giả có một cái nhìn
tổng quát để đề xuất kiến trúc chung của bảo mật doanh nghiệp.
B. Mơ hình bảo mật:
Theo Bayle (1988), bảo mật đề cập đến việc “giảm thiểu rủi ro để tài sản và
nguồn lực tiếp xúc với các lỗ hổng và các mối đe dọa khác nhau”. Hiện nay, các nhà

quản lý đang phải đối mặt với những vấn đề khó khăn và bối rối khi cố gắng lập kế
hoạch hoặc triển khai hệ thống bảo mật thông tin trong môi trường hội tụ kinh doanh.
Nhưng theo Forcht và Pierson (1944), vấn đề nằm ở chỗ “Cần suy nghĩ và xem xét vấn
đề gì về an tồn thơng tin trong môi trường hội tụ kinh doanh? Làm thế nào để quản lý
vấn đề khó khăn trong kiến trúc bảo mật phức tạp? Và mục tiêu cơ bản là bảo mật
thông tin hiểu như thế nào?”.
Swanson (1998) đã định nghĩa về tính bảo mật là “hệ thống chứa thơng tin cần
được bảo vệ khỏi những tiết lộ trái phép”; tính tồn vẹn “hệ thống chứa thơng tin phải
được bảo vệ khỏi sửa đổi trái phép, không lường trước hoặc vô tình” và tính khả dụng
“hệ thống chứa thơng tin hoặc cung cấp dịch vụ phải sẵn có trên cơ sở để kịp thời đáp
ứng các yêu cầu nhiệm vụ hoặc để tránh những tổn thất đáng kể”.
1. ASSET của NIST:
Theo Tenable – công ty cổ phần An ninh không gian mạng Việt Nam sở hữu
Nessus, the National Institue of Standards and Technology Framework - NIST là khung
phần mềm của Viện Tiêu chuẩn và Công nghệ Quốc gia được tạo ra giúp các tổ chức
quản lý và giảm thiểu rủi ro an ninh mạng đối với cơ sở hạ tầng quan trọng và hệ thống
kiểm sốt cơng nghiệp.

11 | P a g e


lOMoARcPSD|21911340

Năm 2001, NIST đã cung cấp một hướng dẫn tự định giá là một phương pháp để
các cơ quan quan chức xác định tình trạng hiện tại của các chương trình an tồn thơng
tin của họ và tự thiết lập mục tiêu cải tiến khi cần thiết. Các mục tiêu điều khiển và kỹ
thuật này được rút trực tiếp từ các u cầu có từ lâu được tìm thấy trong quy chế, chính
sách và hướng dẫn về bảo mật.
Lĩnh vực về chủ đề đánh giá của NIST được mô tả rõ ở bảng IV, mỗi lĩnh vực
được đánh giá sẽ có những đặc trưng khác nhau mơ tả cụ thể tính chất cơng việc của

từng miền. Ngồi ra, theo hai nhà nghiên cứu, các mục điều khiển của ASSET có thể
được sử dụng để thiết kế các thành phần của kiến trúc bảo mật doanh nghiệp. Cụ thể
các lĩnh vực được đánh giá bao gồm:
a. Kiểm soát quản lý
b. Kiểm soát hoạt động
c. Kiểm soát kỹ thuật

Các lĩnh vực
đánh giá
Đặc trưng

Kiểm soát quản lý

Kiểm soát hoạt động

Kiểm soát kỹ thuật

Quản lý rủi ro

Nhân viên an ninh

Nhận dạng và xác thực

Xem xét các biện pháp an
ninh

Bảo vệ vật chất và môi
trường

Kiểm soát truy cập một

cách hợp lý

Thời hạn phục vụ

Sản xuất, kiểm sốt đầu
vào/đầu ra

Đường mịn kiểm tốn

Cấp quyền xử lý (chứng
nhận và công nhận)

Hoạch định khẩn cấp

Sơ đồ hệ thống an ninh

12 | P a g e

Downloaded by vu quang ()


lOMoARcPSD|21911340

Tồn vẹn dữ liệu
Chứng từ

Bảo trì phần cứng và phần
mềm hệ thống

Nhận thức về an ninh, đào

tạo và giáo dục
Khả năng ứng phó sự cố
Bảng IV: Các lĩnh vực đánh giá của NIST’s ASSET
2. BS7799 của BSI:
Theo diễn đàn sinh viên Học viện Kỹ thuật Mật mã, BS7799 là phiên bản đầu tiên
của bộ tiêu chuẩn ISO 27000 và là tiêu chuẩn bảo mật được công nhận rộng rãi nhất
trên thế giới. BS7799 được Viện Tiêu chuẩn Anh (British Standards Institution – BSI)
phát triển và được xuất bản vào giữa những năm 1990.
BS 7799 là Quy tắc thực tiễn cho việc quản lý ATTT (Code of Practice for
Information Security Management) năm 1996. Năm 1998, tiêu chuẩn này có sự thay
đổi nội dung “Quy tắc thực tiễn với việc quản lý ATTT” được chuyển thành Phần I.
Phần nội dung “Chi tiết kỹ thuật cần có” chuyển thành Phần II. Phần I của chuẩn BS
7799 là một hướng dẫn thi hành dựa trên đề nghị các kiểm sốt ATTT. Nó là cơ sở hình
thành tiêu chuẩn quốc tế ISO 17799:2000.
Cuối cùng, nó đã phát triển thành BS EN ISO17799 vào tháng 12 năm 2000.
BS7799 (ISO17799) đã bao quát toàn diện về các vấn đề bảo mật, chứa một số lượng
đáng kể các u cầu kiểm sốt. Nó được cấu tạo thành mười phần chính, mỗi phần sẽ
bao gồm một chủ đề hoặc lĩnh vực khác nhau:

13 | P a g e

Downloaded by vu quang ()


lOMoARcPSD|21911340

a) Lập kế hoạch kinh doanh liên tục. Mục tiêu của phần này là: chống lại sự gián
đoạn đối với các hoạt động kinh doanh và các quy trình kinh doanh quan trọng do
ảnh hưởng của các thất bại hoặc thảm họa lớn.
b) Kiểm soát truy cập. Mục tiêu của phần này là:






Kiểm sốt quyền truy cập thơng tin.
Ngăn chặn truy cập trái phép vào hệ thống thông tin.
Đảm bảo bảo vệ các dịch vụ nối mạng.
Ngăn chặn truy cập máy tính trái phép.

 Phát hiện các hoạt động trái phép; và
 Đảm bảo an tồn thơng tin khi sử dụng các phương tiện điện toán di động và
mạng viễn thơng.
c) Phát triển và bảo trì hệ thống. Mục tiêu của phần này là:
 Đảm bảo an ninh được xây dựng trong các hệ thống hoạt động.
 Ngăn ngừa mất mát, sửa đổi hoặc sử dụng sai dữ liệu người dùng trong các hệ
thống ứng dụng.
 Bảo vệ tính bí mật, tính xác thực và tính tồn vẹn của thơng tin.
 Đảm bảo các dự án CNTT và các hoạt động hỗ trợ được tiến hành một cách an
toàn.
 Duy trì tính bảo mật của phần mềm và dữ liệu hệ thống ứng dụng.
d) Bảo mật vật chất và môi trường. Mục tiêu của phần này là:
 Ngăn chặn truy cập trái phép, làm hỏng và can thiệp vào cơ sở kinh doanh và
thông tin.
 Ngăn ngừa mất mát, hư hỏng, xâm phạm tài sản và gián đoạn hoạt động kinh
doanh.
 Ngăn chặn sự xâm nhập hoặc đánh cắp thông tin và các phương tiện xử lý
thông tin.

14 | P a g e


Downloaded by vu quang ()


lOMoARcPSD|21911340

e) Tuân thủ. Mục tiêu của phần này là:
 Tránh vi phạm bất kỳ luật hình sự hoặc dân sự, nghĩa vụ theo luật định, quy
định hoặc hợp đồng và bất kỳ yêu cầu bảo mật nào.
 Đảm bảo sự tuân thủ của các hệ thống với các chính sách và tiêu chuẩn an ninh
của tổ chức.
 Tối đa hóa hiệu quả và giảm thiểu sự can thiệp của quá trình đánh giá hệ thống.
f) An ninh nhân sự. Mục tiêu của phần này là:
 Giảm thiểu rủi ro do lỗi của con người, trộm cắp, gian lận hoặc sử dụng sai cơ
sở vật chất.
 Đảm bảo rằng người dùng nhận thức được các mối đe dọa và mối quan tâm về
an ninh thông tin, đồng thời được trang bị để hỗ trợ chính sách bảo mật của
cơng ty trong quá trình làm việc bình thường của họ.
 Giảm thiểu thiệt hại từ các sự cố và trục trặc an ninh và rút kinh nghiệm từ
những sự cố như vậy.
g) Tổ chức an ninh. Mục tiêu của phần này là.
 Quản lý bảo mật thông tin trong công ty.
 Duy trì tính bảo mật của các phương tiện xử lý thông tin của tổ chức và các tài
sản thông tin do bên thứ ba truy cập.
 Duy trì tính bảo mật của thông tin khi trách nhiệm xử lý thông tin đã được giao
cho một tổ chức khác.
h) Trao đổi thông tin và quản lý vận hành. Mục tiêu của phần này là.
 Đảm bảo sự vận hành chính xác và an tồn của các phương tiện xử lý thơng
tin.
 Giảm thiểu rủi ro hệ thống bị lỗi.

 Bảo vệ tính tồn vẹn của phần mềm và thơng tin.
 Duy trì tính tồn vẹn và tính sẵn sàng của việc xử lý thông tin và truyền thông.
 Đảm bảo an tồn thơng tin trong mạng lưới và bảo vệ cơ sở hạ tầng hỗ trợ.
 Ngăn ngừa thiệt hại và gián đoạn đối với hoạt động kinh doanh và tài sản.

15 | P a g e

Downloaded by vu quang ()


lOMoARcPSD|21911340

 Ngăn ngừa mất mát, sửa đổi hoặc sử dụng sai thông tin trao đổi giữa các tổ
chức.
i) Phân loại và kiểm soát tài sản. Mục tiêu của phần này là: duy trì sự bảo vệ thích
hợp đối với tài sản doanh nghiệp và đảm bảo rằng tài sản nhận được mức độ bảo
vệ thích hợp.
j) Chính sách bảo mật. Mục tiêu của phần này là: đưa ra định hướng quản lý và hỗ
trợ bảo mật thông tin.
BS7799 cung cấp hướng dẫn chung về nhiều chủ đề được liệt kê ở trên mà khơng
có mơ tả sâu hơn. Nó sử dụng cách tiếp cận bàn chải rộng. Vì vậy BS7799 không cung
cấp tài liệu cụ thể hoặc dứt điểm về bất kỳ chủ đề bảo mật nào. BS7799 không cung
cấp đủ thông tin để hỗ trợ đánh giá chuyên sâu về bảo mật thông tin của tổ chức hoặc
để hỗ trợ chương trình chứng nhận. Tuy nhiên, BS7799 chắc chắn có thể hữu ích như
một tổng quan cấp cao về các chủ đề an tồn thơng tin có thể giúp quản lý cấp cao hiểu
được các vấn đề cơ bản liên quan đến từng lĩnh vực chủ điểm.
C. Khung đề xuất kiến trúc bảo mật doanh nghiệp trong môi trường hội tụ kinh
doanh:
1. Framework:
Tác giả đã nghiên cứu về các nguyên tắc kiểm soát bảo mật BS7799 và phương

pháp phân tích rủi ro cùng với các khung kiến trúc doanh nghiệp hiện có(EA). Qua q
trình nghiên cứu và tổng hợp, một mơ hình bảo hội tụ kinh doanh , kiến trúc bảo mật
doanh nghiệp và các mơ hình tham chiếu mang tính ưu việt đã xuất hiện. Các mơ hình
được chia làm ba cấp độ: cấp độ 1 gồm đặc điểm cụ thể hội tụ kinh doanh và các yếu
tố trọng số; cấp độ 2 cung cấp 18 ô của kiến trúc bảo mật doanh nghiệp; cấp độ 3 là mơ
hình tham chiếu các khung bảo mật.
Hình 1 cho thấy sơ đồ khung kiến trúc bảo mật được thành lập với ba cấp độ.
Trong hình 1 tác giả cũng đã phát họa lên khá chi tiết về framework.

16 | P a g e

Downloaded by vu quang ()


lOMoARcPSD|21911340

Hình 1.
2. Chiến lược trong mơi trường hội tụ kinh doanh:
Để xây dựng nên một mơ hình bảo mật phù hợp trong mơi trường hội tụ kinh
doanh thì nhà phát triển phải nắm được chiến lược kinh doanh phù hợp trong mơi
trường đó, và ở bài báo này, bốn phương thức của chiến lược doanh nghiệp trong môi
trường hội tụ kinh doanh của Oh(2003) đã được lựa chọn.
Bốn phương thức được xây dựng dựa trên tầm quan trọng và khả năng cạnh tranh
của từng loại tài sản: tài sản cốt lõi và tài sản bổ sung. Mơ hình thể hiện khá rõ ràng
trong hình 2 cho thấy cách thức hoạt động của doanh nghiệp thay đổi như thế nào qua
từng khía cạnh.

17 | P a g e

Downloaded by vu quang ()



lOMoARcPSD|21911340

Hình 2: Bốn phương thức của chiến lược doanh nghiệp trong môi trường hội tụ kinh
doanh.
 Phương thức I – Tự hành trong kinh doanh hội tụ. Đó là một chiến lược của công
ty hàng đầu mà một công ty tiến hành đầu tư mạnh mẽ và quan tâm đến tiêu chuẩn
thực tế để nắm giữ quyền lực thực sự trong môi trường thị trường cạnh tranh
(Courtney và cộng sự, 1997). Để việc tự hành diễn ra thuận lợi thì tầm quan trọng
của tài sản cốt lõi và sự cạnh tranh của tài sản bổ sung phải ở mức cao.
 Phương thức II - Liên minh chiến lược. Đó là một chiến lược nhằm giảm thiểu
khoản đầu tư cần thiết để xây dựng các tài sản bổ sung mà một cơng ty khơng có.
Các cơng ty có tài sản khác nhau tạo ra mối quan hệ lâu dài để hỗ trợ lẫn nhau với
cái có và cái khác khơng có. Các cơng ty có xu hướng từ bỏ các chiến lược đa dạng
hóa và bắt đầu tập trung vào các năng lực trọng yếu của họ (Zhang và Cao, 2002).
 Phương thức III - Mua bán và sáp nhập. Có ba hình thức M&A: Hấp thụ - tổ chức
được mua lại được bên mua hợp nhất hoàn toàn, Độc lập - tổ chức được mua vẫn
độc lập và Sáp nhập bằng - tổ chức “tốt nhất” được phát triển từ cả hai bên (Mack
et al. ., 2002). Sáp nhập các cơng ty có liên quan đến vấn đề mơi trường hội tụ kinh
doanh. Trong cách tiếp cận này, các thành phần mạnh nhất, tài sản cốt lõi hoặc tài
sản bổ sung, của mỗi tổ chức được sử dụng để xây dựng một mơ hình kinh doanh
mới. Mỗi tài sản trong các công ty hợp nhất được đánh giá, và những tài sản tốt
nhất được lựa chọn và tích hợp để phục vụ cho sự hội tụ kinh doanh mới.
18 | P a g e

Downloaded by vu quang ()


lOMoARcPSD|21911340


 Phương thức IV - Giảm thiểu hoặc ngừng đầu tư. Đó là một chiến lược đối với
cơng ty khơng chỉ yếu về khả năng cạnh tranh của các tài sản cốt lõi mà còn yếu về
tầm quan trọng của các tài sản bổ sung. Trong tình huống này, một công ty không
thể thành công trong lĩnh vực kinh doanh mới. Vì vậy, tốt hơn là giảm thiểu hoặc
ngừng đầu tư theo kế hoạch.
Trong bối cảnh hội tụ kinh doanh, tầm quan trọng của tài sản cốt lõi và khả năng
cạnh tranh của tài sản bổ sung là nền tảng cơ sở cho doanh nghiệp thực hiện liên kết
cũng như có động thái hợp tác cùng nhau, để cải thiện tình hình doanh nghiệp, khắc
phụ những điểm yếu cũng như bổ sung những thế mạnh để tăng khả năng cạnh tranh,
tạo ra một mơ hình kinh doanh sáng tạo. Việc tác giả lựa chọn nghiên cứu để xây dựng
mơ hình bảo mật dựa trên bốn phương thức trên là hợp lí và cần thiết.
3. Cấp độ 1: Các mơ hình an toàn của hội tụ kinh doanh.
Ở phần này, tác giả nêu lên các đặc điểm cụ thể của hội tụ kinh doanh và các yếu
tố trọng số. Tác giả mô tả của Abrams về rủi ro của hội tụ kinh doanh Sự hội tụ của tài
sản được cho rằng cần có sự đánh giá một cách kĩ càng khi mà các rủi ro cũng như lợi
ích khơng thể được đánh giá hết trrong phân tích ban đầu. ‘Những rủi ro tiềm ẩn bao
gồm quản lý lỏng lẻo, chuyển hướng vốn, nhân viên mất tập trung, lan truyền thông
điệp tiếp thị và khiến khách hàng khó chịu. Ưu điểm là một thực thể mạnh hơn với
dòng sản phẩm tổng hợp mang lại nhiều giá trị hơn cho khách hàng và các nhà đầu tư
tài chính bằng cách kết hợp nội dung và truyền tải.’ Đó được cho những vấn đề tiềm
tàng cần được đánh giá kĩ lưỡng trong quản lí rủi ro trong hội tụ kinh doanh.
Trong bài nghiên cứu này thì tác giả sẽ tập trung vào rủi ro bảo mật thông tin.
Ứng dụng các là phương pháp rủi ro và phương pháp tiếp cận đường cơ sở để tạo nên
các mẫu bảo mật của sự hội tụ kinh doanh.

19 | P a g e

Downloaded by vu quang ()



lOMoARcPSD|21911340

3.1 Cách tiếp cận phân tích rủi ro:
” Thuật ngữ rủi ro có liên quan đến nhiều nỗ lực của con người vì hoạt động thăm
dị khơng gian, xây dựng lị phản ứng hạt nhân, mua lại cơng ty, đánh giá bảo mật của
hệ thống thông tin hoặc phát triển hệ thống thông tin (Huang và cộng sự, 2004;
Baccarini và cộng sự, 2004)
Phân tích rủi ro là được sử dụng để đảm bảo rằng bảo mật hiệu quả về chi
phí, phù hợp, kịp thời và phản ứng trước các mối đe dọa. Về các nghiên cứu trước đây,
quy trình phân tích rủi ro có thể được phân loại thành bốn bước (Dey và Ogunlana,
2004; Kim và Leem, 2005; Rainer và cộng sự, 1991):
(1) thông tin xác định, phân loại và định giá tài sản;
(2) xác định và phân tích tình trạng dễ bị tổn thương;
(3) xác định và phân tích mối đe dọa; và
(4) xác định và phân tích rủi ro.
Các phương pháp phân tích rủi ro được nhóm thành định lượng và định tính
(Rainer và cộng sự, 1991).
Các phương pháp định lượng. Hầu hết các phương pháp phân tích rủi ro định
lượng đều coi rủi ro mất mát là một hàm của tính dễ bị tổn thương của tài sản trước
mối đe dọa nhân với xác suất mối đe dọa trở thành hiện thực (Suh, 1996). Các phương
pháp luận này bao gồm ALE (Rainer và cộng sự, 1991), phương pháp Courtney (Ron,
1988), thống trị ngẫu nhiên (Post và Diltz, 1986), và phương pháp Monte Carlo.
Các phương pháp luận định tính. Các phương pháp luận định tính dựa trên giả
định rằng mối đe dọa hoặc tổn thất nhất định không thể được thể hiện một cách thích
hợp bằng đơ la hoặc các sự kiện rời rạc và rằng thông tin chính xác có thể khơng tổng
hợp được (Suh, 1996). Các phương pháp này bao gồm kỹ thuật Delphi, phương pháp
phân tích kịch bản (Rainer và cộng sự, 1991), phương pháp tiếp cận số liệu mờ (Rainer
và cộng sự, 1991).“
Ở bài báo này, tác giả đã sử dụng phương pháp định tính để tính tốn rủi ro cho

doanh nghiệp trong mơi trường kinh doanh hội tụ: Rủi ro = giá trị tài sản * khả năng
20 | P a g e

Downloaded by vu quang ()