DSpace at VNU: Nghiên cứu giái pháp An toàn an ninh cho các cơ quan tổ chức dựa trên chuẩn ISO 17799
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (197.12 KB, 4 trang )
Nghiên cứu giái pháp An toàn an ninh cho các
cơ quan tổ chức dựa trên chuẩn ISO 17799
Nguyễn Thị Thành Chung
Trường Đại học Công nghệ
Luận văn Thạc sĩ ngành: Truyền dữ liệu và Mạng máy tính; Mã số: 60.48.15
Người hướng dẫn: PGS.TS Trịnh Nhật Tiến
Năm bảo vệ: 2011
Abstract: Trình bày một số khái niệm về an toàn thông tin và chuẩn ISO 17799. Khảo
sát hạ tầng mạng, hiện trạng hệ thống an toàn an ninh tạo một số đơn vị và phân tích
các nguy cơ/rủi ro. Giới thiệu định hướng lựa chọn giải pháp, sản phẩm bao gồm:
Cách phân cấp nguy cơ và điểm yếu, Các định hướng lựa chọn giải pháp và sản phẩm
giảm bớt rủi ro và đề xuất giải pháp nhằm làm giảm nhẹ rủi ro do mã độc hại gây ra
trên hệ thống của đơn vị đã khảo sát.
Keywords: An toàn thông tin; Mạng máy tính; Tiêu chuẩn ISO 17799; Công nghệ
thông tin
Content
An toàn an ninh (ATAN) cho một hệ thống thông tin là một khái niệm bao hàm nhiều vấn đề
lớn trong đó bao gồm cả ATAN cho tài nguyên phần cứng và tài nguyên phần mềm trên hệ
thống. Việc đảm bảo ATAN thông tin không chỉ là áp dụng các giải pháp kỹ thuật công nghệ
vào hệ thống thông tin, cần phải có một hành lang pháp lý làm cơ sở cho việc triển khai, xây
dựng các quy định về con người, về quy trình đáp ứng đúng các quy chế về an toàn an ninh
mạng.
Vấn đề đảm bảo tính bí mật đồng nghĩa với việc thông tin trong quá trình xử lý không bị xem
trộm, dữ liệu trao đổi trên đường truyền không bị lộ, bị đọc lén, dữ liệu lưu trữ không bị khai
thác trái phép….
Hệ thống thông tin phải đảm bảo tính toàn vẹn. Với bất kỳ nguyên nhân chủ quan hay khách
quan nào, dữ liệu khi được truyền từ nơi này đến nới khác, hay đang lưu trữ luôn phải đảm
bảo không bị thay đổi, sửa chữa làm sai lệch nội dung thông tin.
Vấn đề kế tiếp là đảm bảo tính sẵn sàng. Hệ thống CNTT phải luôn ở trạng thái phục vụ tốt
nhất, sẵn sàng cung cấp thông tin, dịch vụ,… cho bất kỳ một yêu cầu hợp pháp nào. Với thiết
bị phần cứng, đó là việc đảm bảo thông suốt trên đường truyền, hệ thống không bị tắc nghẽn,
hỏng hóc,…
Đối tượng tham gia hệ thống CNTT phải đảm bảo tính xác thực. Việc xác thực ở đây được thể
hiện trong 2 yêu cầu: Xác thực người sử dụng tham gia hệ thống và xác thực dữ liệu do người
sử dụng luân chuyển trên hệ thống. Phải có những biện pháp tối ưu để chống lại việc lộ mật
khẩu, xác định đúng quyền hạn của người tham gia giao dịch trong hệ thống, không để xảy ra
tình trạng giả mạo giữa các bên tham gia trao đổi thông tin.
Việc đảm bảo tính chống từ chối cũng là một yếu tố quan trọng trong việc đảm bảo ATAN
cho hệ thống CNTT. Hệ thống phải có biện pháp giám sát, đảm bảo một đối tượng khi tham
gia trao đổi thông tin thì không thể từ chối, phủ nhận việc mình đã phát hành hay sửa đổi
thông tin.
Ngoài việc đáp ứng 5 yếu tố kể trên, hệ thống ATAN còn cần phải được kiểm tra, đánh giá
thường xuyên, định kỳ, qua đó có được đánh giá chính xác về khả năng ATAN của hệ thống.
Cần phải đặt ra một chiến lược cụ thể, song song với việc phát triển hạ tầng CNTT, với các
ứng dụng, dịch vụ hoạt động trên hạ tầng đó.
Hiện nay, hầu hết các cơ quan tổ chức đều đã trang bị cho mình hạ tầng mạng cùng các hệ
thống công nghệ thông tin phục vụ các yêu cầu tác nghiệp phù hợp với đặc thù công việc của
từng đơn vị. Vấn đề đảm bảo an toàn an ninh mạng, bảo mật dữ liệu được nhiều đơn vị quan
tâm và sẵn sàng đầu tư kinh phí thực hiện. Các khuyến nghị nêu ra các định hướng để lựa
chọn giải pháp, đồng thời đưa ra các kinh nghiệm thực tiễn phục vụ công tác quản lý ATAN
hệ thống thông tin cho các cơ quan tổ chức, dựa trên tiêu chuẩn quốc tế ISO-17799 - tiêu
chuẩn để đánh giá khả năng An toàn, An ninh cho một hệ thống Công nghệ thông tin
Luận văn gồm 03 chương:
Chương 1: Tổng quan về An toàn an ninh hệ thống thông tin
Trình bày một số khái niệm về an toàn thông tin và chuẩn ISO 17799.
Chương 2: Hiện trạng an toàn an ninh thông tin tại một số đơn vị tại Việt Nam
Khảo sát hạ tầng mạng, hiện trạng hệ thống an toàn an ninh tạo một số đơn vị và phân
tích các nguy cơ/rủi ro.
Chương 3: Phương hướng giải quyết vấn đề an ninh an toàn tại các đơn vị
Giới thiệu định hướng lựa chọn giải pháp, sản phẩm bao gồm:
1/ Cách phân cấp nguy cơ và điểm yếu
2/ Các định hướng lựa chọn giải pháp và sản phẩm giảm bớt rủi ro.
3/ Đề xuất giải pháp nhằm làm giảm nhẹ rủi ro do mã độc hại gây ra trên hệ thống của
đơn vị đã khảo sát.
2
Cuối cùng, để có được bản luận văn này, tôi xin bày tỏ lòng biết ơn sâu sắc tới các thầy
cô giáo của Trường Đại học Công nghệ, Khoa Công nghệ Thông tin, Ban Giám hiệu Trường
Đại học Công nghệ đã hết sức tạo điều kiện, động viên và truyền thụ các kiến thức bổ ích.
Đặc biệt tôi xin gửi lời cám ơn chân thành đến thầy giáo PGS.TS Trịnh Nhật Tiến cùng các
đồng nghiệp tại Công ty Misoft, Công ty Mi2, Bộ Ngoại giao, Bộ Công thương, Bộ Nội vụ,
Kiểm toán nhà nước… đã tận tình giúp đỡ để tôi có thể hoàn thành luận văn.
References
Tiếng Việt
1. />2. />3. />4. Vương Trung Thắng (2008), Giải pháp McAfee Total Security, Công ty Mi2, tr. 3, 5.
5. Nguyễn Mạnh Cường (2007), Tổng thể giải pháp chống mã độc hại Trend Micro,
Công ty Misoft, tr. 1, 3, 5-7.
Tiếng Anh
1. John Wack, Ken Cutler , Jamie Pole, NIST Special Publication 800-41,
Guidelines on Firewalls and Firewall Policy, 75 pages (Jan. 2002), pp 3-19
2. Gary Stoneburner, Alice Goguen, and Alexis Feringa, NIST Special Publication
800-30, Risk Management Guide for Information Technology Systems, Publ. 80030, 54 pages (July 2002), pp. 8-24
3. Information technology – Security techniques – Code of Practice for information
security management ISO/IEC17799:2005(E), Second edition 2005-06-15, pp. 4,
7, 9-11, 14, 19, 23, 29, 31, 37, 42-46, 52, 60, 65-66, 77, 90, 95, 100.
4. W.T.Polk & L.E.Bassaham, NIST-Antivirus-sp800-5, Anti-Virus Tool and
Techniques, December 2, 1992. pp. 3-4, 27, 35-37
5. Peter Mell , Karen Kent, Joseph Nusbaum, NIST Special Publication 800-83,
Guide to Malware Incident Prevention and Handling, November 2005. pp. 2-11,
3-6, 3-18, 4-1.
6. Trend Micro Incoporated, Interscan Messaging Security Suite 7.1 for Windows Administrator’s Guides, November 2009
7. Trend Micro Incoporated, OfficeScan 10.5 - Administrator’s Guides, May 2011
8. Trend Micro Incoporated, ScanMail™ Suite for Microsoft™ Exchange 10.2 Administrator’s Guides, September 2011
3
9.
10.
4
