Tải bản đầy đủ (.docx) (10 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Báo cáo khoa học

Để tài Quy định sử dụng và bảo đảm an toàn thông tin

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (137.41 KB, 10 trang )

Gợi ý của Thầy:
- Mô hình hoạt động của hệ thống mình cần là mô hình gì, chấp nhận được
+ Triển khai phần cứng thế nào
+ Triển khai phần mềm thế nào.
+ Ai tham gia vào hệ thống.
- Giai đoạn đầu của quản lý nguy cơ
+ Có gì trên hệ thống : làm việc gì, làm thế nào, ai làm.
+ Đối mặt với vấn đề gì, đe dọa nào.
+ quá trình để giải quyết vấn đề đó như thế nào.
 Chính sách tiêu chuẩn
1. Giải pháp con người, giải pháp kĩ thuật
2. Quy trình đảm bảo.
MỤC LỤC
1
Đề bài:
Xây dựng quy định về sử dụng ứng dụng và
quy trình đảm bảo an toàn cho hệ thống.
Phân tích cụ thể trên Trang web của Khoa công nghệ thông tin Học viện Kỹ thuật
Quân sự.
Phần I. Tầm quan trọng của an toàn bảo mật đối với
một hệ thống thông tin.
Cùng với sự phát triển nhanh chóng vượt bậc, công nghệ thông tin ngày càng có
ứng dụng rộng rãi, có mặt trong hầu hết tất cả các lĩnh vực trong đời sống hiện đại.
Không thể phủ nhận những lợi ích mà công nghệ thông tin mang lại, trở thành
thành phần thiết yếu trong mọi cơ quan, tổ chức, đem lại khả năng xử lý thông tin
cao, đồng thời có những tiện ích hỗ trợ cho công việc của chúng ta ngày một trở
nên dễ dàng tiện lợi. Song cái gì cũng có hai mặt của nó, mang lại tiện ích và hiệu
quả không ngờ thì các ứng dụng liên quan đến công nghệ thông tin đều chứa đựng
những nguy cơ trong đó, mất an toàn an ninh thông tin là nguy cơ đáng nói hàng
đầu trong phát triển công nghệ thông tin.
Để đáp ứng được yêu cầu của người dùng, máy tính được phát triển rất nhanh,


các phiên bản được phát hành mới ngày càng nhiều, điều này làm cho các phần
mềm không được kiểm tra kỹ trước khi phát hành và bên trong chúng chứa nhiều
lỗ hổng có thể bị lợi dụng. Thêm vào đó việc phát triển của hệ thống mạng, cũng
như sự phân tán của hệ thống thông tin, làm cho người dùng truy cập thông tin dễ
dàng hơn và tin tặc từ đó cũng có nhiều mục tiêu tấn công dễ dàng hơn. Ngày
nay,các cơ quan,tổ chức phải đối mặt với những nguy cơ “không thể chấp nhận
được” như:
- địa chỉ IP của nhận việc thôi việc, chuyển công tác chưa được xử lý hoặc bị
tin tặc phát hiện.
- virut máy tính làm gián đoạn công việc quản lý, làm cho thông tin bị sửa sai
lệch, thông tin bí mật bị rò rỉ trên mạng.
2
Trong thế giới phẳng, an ninh thông tin đã trở thành mối lo ngại và nguy cơ
tiềm tàng, tin tặc có thể truy cập vào hệ thống của các cơ quan, tổ chức khắp nơi
trên thế giới, đối với các lĩnh vực nhạy cảm như kinh doanh, cổ phiếu, chứng
khoán tiền tệ, và đặc biệt cả an ninh quốc phòng, những vấn đề mất an ninh an toàn
thông tin là vấn đề không thể chấp nhận được. Do vậy, để bảo mật thông tin, các
cơ quan, tổ chức cần đặt vấn đề áp dụng hệ thống quản lý thông tin như một yêu
cầu mang tính chiến lược, không nên chỉ quan tâm đến lợi ích trước mắt mà còn
phải quan tâm đến vấn đề phát triển lâu dài. Việc triển khai các phương pháp đảm
bảo an ninh thông tin đối với các hệ thống thông tin trong các tổ chức các cơ quan
thường gặp phải khó khăn do nhận thức của con người, chưa hiểu được tầm quan
trọng của an ninh thông tin, nó cũng không phô ra như các nguồn lợi khác vì thế
thường dẫn đến tâm lý chủ quan, coi thường. Điểm thứ hai, triển khai hệ thống
công nghệ đảm bảo an ninh an toàn thông tin cùng với thực hiện các nguyên tắc
tiêu chuẩn đòi hỏi cần nguồn đầu tư lớn chính vì thế, hầu hết các cơ quan tổ chức
không có sự đầu tư mạnh cho vấn đề này.
Nhìn lại thực trạng về vấn đề an toàn thông tin ở Việt Nam trong nửa đầu tháng
9/2014, đã có tổng cộng 1039 website của Việt Nam bị tấn công, đây là con số cao
nhất trong năm 2014. Trung bình mỗi ngày có hơn 18 website của Việt Nam bị

chiếm quyền điều khiển. Năm 2014 thực sự là một năm rất nóng về tình hình tấn
công ứng dụng web tại Việt Nam. Rõ ràng, mất an toàn, an ninh thông tin đối với
các tổ chức nhà nước không còn là nguy cơ rủi ro nữa mà đã và đang hiện hữu với
mức độ nghiêm trọng. Chính vì vậy, triển khai an ninh an toàn thông tin đã trở
thành một nhu cầu cấp thiết cần được chú trọng ưu tiên hàng đầu cho mọi hệ thống
công nghệ thông tin hiện nay.
Phần II. Các tiêu chuẩn chính sách an toàn thông tin
(dựa theo ISO 27001)
Khi đề cập đến vấn đề an toàn thông tin thì đa số cho rằng, đó là vấn đề của
kỹ thuật, chứ không phải vấn đề quản lý. Chính vì vậy, đa số các tổ chức chỉ mới
tập trung và việc đầu tư các thiết bị phần cứng, nâng cấp hệ thống, xây dựng giải
pháp, tái cấu trúc hệ thống vật lý… Trong đó những vấn đề mang tính quyết định
trong an toàn thông tin thì các tổ chức chưa thực sự quan tâm, cụ thể như:
3
+)Chính sách an toàn thông tin chưa được hoạch định bài bản.
+) Trách nhiệm an toàn thông tin chưa được giao rõ ràng và chi tiết
đến mỗi bộ phận, đến mỗi loại thông tin;
+) Chưa có kế hoạch, phương án xử lý rủi ro khi xuất hiện mối đe
dọa an toàn thông tin.
+) Việc truyền thông an toàn thông tin trong tổ chức chưa được phổ
biến, tập huấn đầy đủ đến các cấp quản lý, đến mỗi nhân viên.
Có những vấn đề không phải máy móc nào cũng có thể xử lý được như: “Nhân
viên nào được mang tài sản vào/ra tổ chức, các thủ tục mang vào/ra thế nào.
Chính sách gì cho phép nhân viên được khai thác những loại thông tin gì trong tổ
chức.” Bên cạnh đó các tổ chức chỉ mới tập trung vào giải quyết sự đe dọa an
toàn thông tin từ bên ngoài, còn sự đe dọa từ bên trong chưa thực sự được quan
tâm một cách nghiêm túc, đó thực sự là những quan niệm sai lầm đối với an ninh
an toàn thông tin. Hiểu một cách đầy đủ, an ninh thông tin được xuất phát từ hai
yếu tố là công nghệ và con người, trong đó con người là yếu tố dễ gây mất an toàn
nhất, là mục tiêu hàng đầu của kẻ tấn công muốn nhắm vào, bởi những vấn đề mất

an toàn phát sinh từ phía con người là hầu như không kiểm soát được, luôn có thẻ
xảy ra bất cứ lúc nào. Những nguy cơ, hiểm họa mà con người gây ra rất khó quản
lý và khó đoán, không lường trước. Cũng giống như hoạt động sống của con người
ngoài xã hội, để hạn chế những hành vi xấu người ta đưa ra các bộ luật để con
người dựa vào đó biết được đâu là việc không được làm, làm việc đó sẽ bị trừng
phạt thế nào, vừa là căn cứ để con người không phạm phải điều xấu,vừa là để răn
đe con người bởi những chế tài của nó, trong điều kiện đã được phổ biến đầy đủ.
Trong an toàn an ninh thông tin người ta cũng đưa ra các chính sách, tiêu
chuẩn và các quy định về sử dụng ứng dụng, quy trình đảm bảo an toàn cho hệ
thống để mọi người căn cứ vào đó sử dụng hệ thống sao cho an toàn nhất,các tiêu
chuẩn này được xây dựng căn cứ từ một phần trong việc nghiên cứu về những lỗ
hổng bảo mật từ thói quen của nhân viên. Nghiên cứu mới nhất chỉ ra rằng, những
thói quen tưởng chừng như vô hại của người dùng hoàn toàn có thể gây ảnh
hưởng nghiêm trọng đến bảo mật. Những thói quen xấu của người dùng có thể gây
ảnh hưởng đến bảo mật hệ thống của cơ quan, đơn vị, doanh nghiệp. Đứng đầu
các thói quen của người dùng gây ảnh hưởng nghiêm trọng đến bảo mật doanh
4
nghiệp chính là việc sử dụng mật khẩu có tính an toàn và độ bảo mật kém, kế đến
là hành động ghi lại mật khẩu trên giấy cũng như việc bỏ qua thao tác khóa máy
tính trước khi rời bàn làm việc. Bên cạnh những thói quen xấu nêu trên thao tác
cập nhật tin tức trên mạng xã hội tưởng chừng như vô hại cũng được xem là thói
quen gây ảnh hưởng đến sự an toàn của hệ thống. Ngoài ra việc sử dụng thiết bị
cá nhân trong môi trường làm việc
Khái niệm về chính sách an toàn thông tin:
Một chính sách là phát biểu mức cao của niềm tin, mục tiêu, đối tượng của
công ty và nghĩa chung cho mục tiêu cần đạt được trong một lĩnh vực. Đối với các
hệ thống, tùy vào mức độ quan trọng, tùy vào quy trình xử lý nghiệp vụ mà có
những chính sách khác nhau, tất nhiên dựa trên các tiêu chuẩn chung đã được quy
định ISO 29700.
Khái niệm tiêu chuẩn: Là yêu cầu bắt buộc để hỗ trợ các chính sách riêng rẽ.

Phần III. Phân tích hoạt động của trang web khoa và
đưa ra các tiêu chuẩn chính sách.
Trang web khoa công nghệ thông tin của Học viện Kỹ thuật quân sự là một
trang web phục vụ trong nhà trường hỗ trợ các nghiệp vụ đào tạo và thông tin
giữa sinh viên và trường, ngoài ra đối với các hệ thống tín chỉ còn hỗ trợ cho
việc đăng ký môn học cho sinh viên trước mỗi kì học.
• Nhóm người sử dụng
1. Giáo viên chủ nhiệm:
+) Nhập thông tin sinh viên.
+) Nhập điểm từ phòng đào tạo vào cơ sở dữ liệu
2. Giáo viên đảm nhiệm môn học
+) Nhập tài liệu tham khảo và một số thông tin cho môn học.
3. Giáo viên đảm nhiệm vai trò quản trị
+) Nhập thông tin cho các dữ liệu của giáo viên
+) Đưa thông tin cho đề tài sinh viên và phản hồi.
+) Cập nhật thông tin cho mỗi bộ môn
+) Thực hiện cùng chức năng quản lý tín chỉ
5
4. Sinh viên
+ Xem thông tin cá nhân
+ Xem điểm.
• Hướng triển khai mô hình hệ thống:
Triển khai phần cứng: xây dựng hệ thống theo mô hình client/ server.
Trong đó có 2 máy server đặt trong khuôn viên trường, 1 chiếc tại phòng thí
nghiệm trung tâm công nghệ thông tin, 1 chiếc tại trung tâm máy tính khu bể bơi,
2 máy chạy song hành, luôn được đồng bộ trong quá trình xử lý, hệ thống máy
client sử dụng cho chức năng quản trị và nhập các thông tin nằm trong trung tâm
công nghệ thông tin và trong các bộ môn của Khoa Công nghệ thông tin. Việc triển
khai hệ thống theo mô hình trên đảm bảo tính an toàn cao hơn cho hệ thống, hệ
thống máy chủ chạy song hành và phân tán đảm bảo xác suất mất an toàn thấp,

giảm đi một nửa so với bình thường. Máy tính cho truy cập và thực hiện chức
năng quản trị đặt tại học viện đảm bảo không có sự truy cập bửa bãi ở các hệ thống
mạng ngoài kém an toàn, chẳng hạn như mạng tại nhà hoặc các điểm wifi công
cộng vốn chẳng áp dụng được bất kỳ biện pháp bảo vệ nào. Chưa kể việc truy cập
lung tung dẫn đến những việc mất an toàn thông tin, vì thói quen hay do sự bất cẩn
của cá nhân, những thông tin quan trọng sẽ bị lọt ra bên ngoài, gây nguy hiểm cho
hệ thống. Những phần public của trang web như việc quảng bá thông tin, những
thông tin, diễn đàn sinh viên sẽ được để công khai, sinh viên có mật khẩu sẽ được
thực hiện quyền của sinh viên trong việc xem điểm của cá nhân.
 Phân tích quy trình nghiệp vụ đưa ra các công việc mà hệ thống
phải đảm nhiệm đó là:
- Thực hiện quản lý sinh viên. Đưa thông tin sinh viên vào hệ thống sau đó có
thể sử dụng các chức năng thống kê báo cáo đê đưa ra các thông tin sinh
viên với một mục đích cụ thể.
- Thực hiện quản lý giáo viên: Đưa thông tin giáo viên vào hệ thống, sử dụng
các chức năng báo cáo thống kê để đưa ra các thông tin về giáo viên.
- Thực hiện quản lý môn học: Đưa thông tin về môn học ứng với các khoa
ngành, giáo viên đảm nhiệm cụ thể, giáo viên đảm nhiệm môn học sẽ là
người cung cấp thông tin về tài liệu tham khảo, đề cương bài giảng, đề
cương chi tiết, đề cương ôn tập cho môn học và các thông tin liên quan khác.
6
Việc đưa thông tin bài giảng lên trên trang web khoa dưới quyền đăng nhập
của giáo viên thì giáo viên phải chịu trách nhiệm,
- Thực hiện quản lý điểm: Giáo viên nhận điểm từ phòng đào tạo lên, điểm
nhập vào là do giáo viên chủ nhiệm, quy trình nghiệp vụ của chức năng này
là giáo viên chủ nhiệm sau khi nhận được tờ phiếu điểm của phòng đào tạo
gửi xuống văn phòng khoa, sẽ có nhiệm vụ lấy về nhập điểm cho sinh viên,
việc nhập điểm có hiệu lực sau 1 tuần kể từ khi văn phòng gửi điểm xuống
văn phòng khoa.
 Thực hiện chức năng thông tin của trang web khoa.

Mọi nghiệp vụ liên quan đến việc đưa thông tin vào trang web khoa phải
được diễn ra dưới hệ thống máy đã quy định đặt trong học viện, không cho
phép bất kì cá nhân nào được truy cập ở các thiết bị bên ngoài(nhiệm vụ thuộc
về đội ngũ xây dựng phần mềm)
Từ việc phân tích nghiệp vụ trên các vấn đề chúng ta có thể nhìn nhận thấy đó là:
a) Vấn đề về mặt kĩ thuật.
1. Phải đảm bảo yêu cầu bảo mật thông tin và các thỏa thuận bí mật. Mã
hóa các thông tin cần bảo vệ, sử dụng mã hóa dữ liệu sql mã hóa theo
từng cột user, pass, đối với người quản trị chỉ có thể có được user mà
không được phép xem pass.
- Xây dựng hệ thống mật khẩu đối với mỗi tài khoản chỉ được cấp cho một
người quản lý và sử dụng.
- Xây dựng hệ thống phân quyền logic đảm bảo phân quyền nhỏ nhất đối với
những người sử dụng hệ thống.
- Hệ thống cần được xây dựng mà cần giới hạn số lần đăng nhập sai liên tiếp
vào hệ thống. Hệ thống tự động khóa tài khoản trong một khoảng thời gian
nhất định trước khi tiếp tục cho đăng nhập nếu tiếp tục đăng nhập vượt qua
một số lần quy định.
2. Đảm bảo phân cấp trách nhiệm đảm bảo an toàn thông tin trong tổ
chức.Tiến hành phân cấp đến mức nhỏ nhất cho các đối tượng tham gia
hệ thống đảm bảo tính hiện quả và tránh tranh chấp. Biện pháp tiến
hành đảm bảo xây dựng phân quyền logic cho hệ thống, đảm bảo người
dùng có quyền tương ứng với các chức năng nằm trong quyền hạn và
công việc của mình. Giới hạn việc sử dụng các chức năng của chương
trình đối với từng nhóm đối tượng khác nhau.
7
3. Hệ thống được xây dựng lên có khả năng chống lại các mã tấn công độc
hại, một số mã tấn công độc hại bị đưa vào hệ thống thông qua việc truy
cập các trang web hoặc tải về các tài liệu chứa mã độc, việc hệ thống có
sử dụng mạng trao đổi thông tin và một số nghiệp vụ giữa sinh viên và

hệ thống dẫn đến nguy cơ cho các cuộc tấn công và sự xâm nhập của các
mã độc, việc giáo viên có thể tải tài liệu từ máy mình lên trên hệ thống
cho sinh viên lấy tài liệu tham khảo cũng là một trong những yếu tố giúp
vi rút có thể xâm nhập vào hệ thống. Sử dụng FireWall, Antivirus.
Thường xuyên cập nhật các phiên bản (Version) mới, các bản vá lỗi của
các phần mềm chống virus để bảo đảm chương trình quét virus của cơ
quan trên các máy chủ, máy trạm luôn được cập nhật mới nhất, thiết lập
chế độ quét thường xuyên ít nhất là hằng tuần.
4. Cấu hình an toàn cho các thiết bị mạng.
- Phải đặt mật khẩu truy cập vào mạng đối với các hệ thống mạng không dây
trong học viện.
5. Sử dụng các giao thức bảo mật mạng như IPSec, SSL để chống lại các
loại hình tấn công phiên, chống tấn công nghe lén.
6. Phải có biện pháp tổ chức quản lý tài khoản: Các tài khoản và định danh
người dùng trong hệ thống thông tin, bao gồm: tạo mới, kích hoạt, sửa
đổi và loại bỏ các tài khoản , đồng thời tổ chức kiểm tra các tài khoản của
hệ thống thông tin ít nhất 6 thang một lần, thông qua các công cụ của hệ
thống. Hủy tài khoản, quyền truy nhập hệ thống thông tin, thu hồi lại tất
cả các tài sản liên quan tới hệ thống thông tin (khóa, thẻ nhận dạng, thư
mục lưu trữ, ) đối với cán bộ, công chức, viên chức đã chuyến công tác,
chấm dứt hợp đồng lao động.
7. Phải xây dựng hệ thống quản lý logfile: Hệ thống thông tin cần ghi nhận
các sự kiện: quá trình đăng nhập vào hệ thống, các thao tác cấu hình hệ
thống. Thường xuyên kiểm tra, sao lưu (backup) các logfile theo từng
tháng để lưu vết theo dõi, xác định những sự kiện đã xảy ra của hệ thống
và hạn chế việc tràn logfile gây ảnh hưởng đến hoạt động của hệ thống
dạng nhật ký người dùng với các nội dung như: nội dung thay đổi, lý do
thay đổi, thời gian, vị trí thay đổi,
8. Tổ chức kiểm tra quản lý tài nguyên : Kiểm tra, giám sát chức năng chia
sẻ thông tin (Network File and Folder Sharing). Tổ chức cấp phát tài

8
nguyên trên máy chủ theo danh mục thư mục cho từng phòng/đơn vị trực
thuộc; khuyến cáo người sử dụng cân nhắc việc chia sẻ tài nguyên cục bộ
trên máy đang sử dụng, tuyệt đối không được chia sẻ toàn bộ ổ cứng. Khi
thực hiện việc chia sẻ tài nguyên trên máy chủ hoặc trên máy cục bộ nên
sử dụng mật khẩu để bảo vệ thông tin
9. Hệ thống được xây dựng lên phải đảm bảo chức năng vê sao lưu dự
phòng
Các dữ liệu quan trọng cần phải sao lưu , bao gồm: thông tin cấu hình của
hệ thống mạng, máy chủ; phần mềm ứng dụng và cơ sở dữ liệu; tập tin
ghi nhật ký.
+) Các cơ quan phải lập kế hoạch và thực hiện sao lưu dữ liện phù
hợp với điều kiện của từng cơ quan, đảm bảo khả năng phục hồi dữ
liệu khi có sự cố xảy ra.
b) Vấn đề từ phía người dùng
Những quy tắc cần xác định ở đây là:
1. Quy tắc về đặt và sử dụng mật khẩu.
Mật khẩu đăng nhập hệ thống phải có độ phức tạp cao (có độ dài tối thiểu 8
ký tự, ký tự số và ký tự đặc biệt như !, @, #, $, %, ) và phải được thay đổi
ít nhất 3 tháng /lần và được giữ bí mật, bởi mật khẩu tượng trưng cho định
danh người dùng, mọi hoạt động diễn ra dưới mật khẩu cọi như do người
dùng đó thực hiện.
Có ý thức trong giữ bí mật mật khẩu và hoạt động nghiệp vụ, không để lộ
mật khẩu.
2. Quy tắc về sử dụng mạng: không trao đổi công việc trên các hệ thống
mạng xã hội hoặc email, chỉ cung cấp những hỗ trợ thiết yếu nhất bảo
đảm duy trì hoạt động của hệ thống thông tin, hạn chế sử dụng các trang
mạng không lành mạnh, không cần thiết.
3. Quy tắc về sử dụng máy tính
4. Quy tắc về ứng xử trong tình huống cố định

- Nghi ngờ virus
- Nghi ngờ tấn công
- Nghi ngờ mất mát dữ liệu
Khi phát hiện ra bất kỳ dấu hiện nào liên quan đến việc bị nhiễm mã độc trên máy
trạm (ví dụ: máy hoạt động chậm bất thường, cảnh báo từ phần mềm phòng chống
mã độc, mất dữ liệu,…), người sử dụng phải tắt máy và báo trực tiếp cho bộ phận
có trách nhiệm của đơn vị để xử lý.
9
5. Quy tắc về thiết lập thông số hệ thống mạng cho các thành viên quản trị.
6. Quy tắc xử lý và sử dụng thông tin
+) Mỗi giáo viên,sinh viên chỉ được phép truy cập các thông tin phù hợp
với chức năng, trách nhiệm, quyền hạn của mình, có trách nhiệm bảo mật
tài khoản truy cập thông tin.
+) hệ thống có rất nhiều nghiệp vụ liên quan đến việc cập nhật thông tin vậy
làm thế nào để đảm bảo an toàn thông tin khi việc cập nhật thông tin nhiều
thế
10

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×