Tải bản đầy đủ (.pdf) (192 trang)
  1. Trang chủ
    2. >>
  2. Thạc sĩ - Cao học
    3. >>
  3. Khoa học xã hội

Xây dựng các chính sách an toàn bảo mật thông tin cho thư viện điện tử theo iso 17799 27001

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.84 MB, 192 trang )

ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH
TRƯỜNG ĐẠI HỌC KHOA HỌC XÃ HỘI VÀ NHÂN VĂN
----------------------------------------

NGUYỄN VĂN HIỆP

XÂY DỰNG CÁC CHÍNH SÁCH AN TỒN BẢO
MẬT THƠNG TIN CHO THƯ VIỆN ĐIỆN TỬ THEO
ISO 17799 - 27001

LUẬN VĂN THẠC SĨ KHOA HỌC
THƠNG TIN THƯ VIỆN

THÀNH PHỐ HỒ CHÍ MINH - NĂM 2014


ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH
TRƯỜNG ĐẠI HỌC KHOA HỌC XÃ HỘI VÀ NHÂN VĂN
----------------------------------------

NGUYỄN VĂN HIỆP

XÂY DỰNG CÁC CHÍNH SÁCH AN TỒN BẢO
MẬT THƠNG TIN CHO THƯ VIỆN ĐIỆN TỬ THEO
ISO 17799 - 27001

Chuyên ngành: KHOA HỌC THƯ VIỆN
Mã số: 60 32 02 03

LUẬN VĂN THẠC SĨ KHOA HỌC THƯ VIỆN


NGƯỜI HƯỚNG DẪN KHOA HỌC
TS. ĐÀO THẾ LONG

THÀNH PHỐ HỒ CHÍ MINH - NĂM 2014


i

LỜI CAM ĐOAN

Tơi xin cam đoan đây là cơng trình nghiên cứu của riêng tôi. Kết quả nghiên
cứu là trung thực và chưa được ai công bố.

Người cam đoan

Nguyễn Văn Hiệp


ii

LỜI CẢM ƠN

Trong q trình thực hiện luận văn, tơi đã nhận được sự quan tâm, giúp đỡ, động
viên và chia sẻ từ gia đình, thầy cơ và các đồng nghiệp.
Tôi xin gửi lời cảm ơn chân thành đến TS.Đào Thế Long – người Thầy
đã tận tình hướng dẫn, giúp đỡ và động viên tơi trong suốt q trình thực hiện
đề tài, tôi xin gửi lời cảm ơn chân thành nhất tới Thầy.
Tôi xin cảm ơn Ban Giám đốc và cán bộ thư viện trường Đại học học
Khoa học Xã hội & Nhân văn đã hỗ trợ tôi trong quá trình tơi khảo sát và thu
thập dữ liệu.

Cảm ơn các thầy cô trong khoa Thư viện – Thông tin học, gia đình, đồng
nghiệp đã hỗ trợ và tạo điều kiện cho tơi hồn thành ln văn đúng tiến độ.
Xin chân thành cảm ơn.

Nguyễn Văn Hiệp


ix

DANH MỤC TỪ VIẾT TẮT

Từ viết tắt
IDS

Nguyên bản tiếng
Anh
Intrusion Detection
System

CSDL
DBMS

Database
Management System

ATTT
ATBMTT
HTTT
TVĐT
MD

DES
3DES
OWHF
FW
PKI

Message Digest
Data Encrypt
Standar
Triple Data
Encryption Standard
Oneway Hash
Function
FireWall
Public Key
Infrastructure

Ý nghĩa
Hệ thống phát hiện
xâm nhập trái phép
Cơ sở dữ liệu
Hệ quản trị cơ sở
dữ liệu
An tồn thơng tin
An tồn bảo mật
thơng tin
Hệ thống thơng tin
Thư viện điện tử
Tóm tắt thơng điệp
Tiêu chuẩn Mã hóa

Dữ liệu
Thuật tốn mã hóa
khối 3 lần
Hàm băm một
chiều
Tường lửa
Hạ tầng khóa cơng
khai


x

RSA
MD5
SHA
IPS
ISO
COBIT

R- Rivest
S- Shamir
A- Adleman
Message-Digest
algorithm 5
Secure Hash
Algorithm
Intrusion
Prevention System
International
Standard Oganization

Control Objectives
for Information and
Related Technology

CNTT
TVS
CSHTM
TCP/IP

FTP
SMTP

Transmission
Control
Protocol/Internet
Protocol
File Transfer
Protocol
Simple Mail
Transfer Protocol

Thuật tốn mã hóa
cơng khai
Giải thuật Tiêu hóa
tin 5
Thuật giải băm an
tồn
Hệ thống chống
xâm nhập
Tổ chức tiêu chuẩn

quốc tế
Quản trị, đánh giá
hệ thống thông tin và
giải pháp công nghệ
Công nghệ thông
tin
Thư viện số
Cơ sở hạ tầng mạng
Giao thức điều
khiển truyền thông/giao
thức internet
Giao thức truyền
tập tin
Giao thức truyền
thư điện tử đơn giản


xi

DANH MỤC CÁC HÌNH
Hình 1.1 Tam giác an tồn bảo mật thơng tin CIA
Hình 1.2 Đối tượng tác động lên hệ thống thơng tin
Hình 1.3 Cấu trúc của một chính sách ATTT
Hình 2.1 Sơ đồ hệ thống TVĐT
Hình 2.2 Cấu trúc mạng TVĐT
Hình 2.3 Cơ cấu tổ chức bộ máy của một TVĐT
Hình 2.4: Các phân hệ của phần mềm quản lý thư viện
Hình 2.5 Mơ hình OSI 7 lớp
Hình 2.6 Mơ hình TCP/IP
Hình 2.7 Quy trình xây dựng CS ATBMTT theo mơ hình PDCA

Hình 2.8a Tạo giá trị băm dùng OWHF
Hình 2.8b Kiểm tra tính tồn vẹn
Hình 2.9.1 Hệ mật khóa đối xứng
Hình 2.9.2 Hệ mật khóa cơng khai
Hình 3.1 Cơ cấu tổ chức tại trung tâm TTTV-ĐHKHXH&NV
Hình 3.2 Sơ đồ mạng TTTT –TV ĐH KHXH&NV
Hình 3.3 Mơ hình ứng dụng 3 – Tier
Hình 3.4 Mơ hình ứng dụng 4 – Tier
Hình 4.1 Cấu trúc mạng máy tính HTTT TV ĐHKHXH&NV
DANH MỤC CÁC BẢNG
Bảng 2.1 Các giải pháp An toàn hạ tầng mạng


iii

MỤC LỤC
PHẦN MỞ ĐẦU ....................................................................................................................... 1
CHƯƠNG I : TỔNG QUAN VỀ AN TỒN THƠNG TIN, CÁC CHUẨN AN TỒN
THƠNG TIN ............................................................................................................................. 7
1.1 An tồn thơng tin, mục đích, vai trị và tầm ảnh hưởng của ATBMTT đến hệ thống
thông tin .................................................................................................................................. 7
1.1.1 Định nghĩa ATBMTT, vai trò của ATBMTT trong hệ thống thơng tin. ................... 7
1.1.2 Mục đích của ATBMTT, những nguyên tắc chung của ATBMTT ........................... 9
1.1.2.1 Mục đích của ATBMTT ..................................................................................... 9
1.1.2.2 Nguyên tắc chung của ATBMTT ..................................................................... 11
1.1.3 Các mục tiêu cơ bản của ATBMTT trong HTTT ................................................... 12
1.1.3.1 Tính Tồn vẹn ................................................................................................... 13
1.1.3.2 Tính bảo mật ..................................................................................................... 14
1.1.3.3 Tính sẵn sàng .................................................................................................... 15
1.1.4 Các yếu tố bảo vệ thông tin: .................................................................................... 15

1.1.4.1 Authentication (Xác thực) ................................................................................ 15
1.1.4.2 Authorization (Ủy quyền) ................................................................................. 16
1.1.4.3 Access control .................................................................................................. 16
1.1.4.4 Auditing hay Accounting (kiểm toán) .............................................................. 16
1.1.5 Đối tương tác động lên HTTT ................................................................................. 17
1.1.6 Các thành phần cơ bản của ATBMTT ..................................................................... 17
1.1.6.1 An toàn mức vật lý ........................................................................................... 17
1.1.6.2 An toàn mức tác nghiệp ................................................................................... 18
1.1.6.2 Quản lý và chính sách ....................................................................................... 19
1.2 Quản lý chính sách ATBMTT – thành phần cơ bản trong các nội dung ATBMTT ..... 21
1.2.1 Khái niệm chính sách ATBMTT, vai trị của chính sách ATBMTT ....................... 21
1.2.2 Các thành phần chính của một chính sách ATBMTT ............................................. 24
Lời nói đầu/lời giới thiệu .............................................................................................. 24
Mục tiêu, mục đích của ATBMTT và chính sách ATBMTT ....................................... 25
Định nghĩa về an tồn thơng tin (Thuật ngữ và định nghĩa)......................................... 25
Cam kết quản lý an toàn thông tin (cam kết của lãnh đạo) .......................................... 25
Sự chấp thuận chính sách ATBMTT (Chữ ký xác nhận) ............................................. 26
Nguyên tắc an tồn bảo mật thơng tin .......................................................................... 26
Vai trị và trách nhiệm .................................................................................................. 26
Các hình thức xử phạt khi vi phạm chính sách ATBMTT ........................................... 27
Đánh giá và giám sát .................................................................................................... 27
1.3 Quản lý ATBMTT Theo ISO 17799/27001[10,1,40] .................................................... 28


iv
1.3.1 Quá trình hình thành và phát triển của ISO 17799 và ISO 27001 [23, 24,40] ........ 29
1.3.2 ISO/IEC 17799 [10]................................................................................................. 30
1.3.2.1 Lợi ích của ISO 17799/27001 .......................................................................... 31
1.3.2.2 Nội dung tiêu chuẩn ISO 17799 [ 40 ].............................................................. 33
1.3.2.2.1 Chính sách an ninh chung (Security Policy) ............................................. 33

1.3.2.2.2 Tổ chức an tồn thơng tin (Organizing Information Security) .................. 33
1.3.2.2.3 Quản lý sự cố an tồn thơng tin (Information Security Incident
Management) ............................................................................................................ 34
1.3.2.2.4 Xác định, phân cấp và quản lý tài nguyên (Asset Management) .............. 34
1.3.2.2.5 An ninh nhân sự (Human Resources Security) ......................................... 35
1.3.2.2.6 An ninh vật lý và môi trường (Physical and Environmental Security) ..... 35
1.3.2.2.7 Quản trị CNTT và mạng (Communication and Operations Management)35
1.3.2.2.8 Quản lý truy cập (Access Control) ............................................................ 35
1.3.2.2.9 Phát triển và duy trì hệ thống (Informations System Acquisition,
Development and Maintenance). .............................................................................. 36
1.3.2.2.10 Quản lý tính liên tục kinh doanh (Business Continuity Management).... 36
1.3.2.2.11 Yếu tố tuân thủ luật pháp (Compliance). ................................................. 36
1.3.3 ISO 27001 ................................................................................................................ 36
1.3.3.1 Đối tượng áp dụng ............................................................................................ 37
1.3.3.2 Lợi ích ............................................................................................................... 38
CHƯƠNG II: THƯ VIỆN ĐIỆN TỬ – ĐỐI TƯỢNG BẢO MẬT VÀ AN TỒN
THƠNG TIN ........................................................................................................................... 39
2.1 Tổng quan về TVĐT ...................................................................................................... 39
2.1.1. Khái niệm thư viện và TVĐT ................................................................................ 39
2.1.2 Đặc điểm thư viện điện tử ....................................................................................... 41
2.1.2.1.Hạ tầng công nghệ thông tin ............................................................................. 41
2.1.2.2.Về tài nguyên thông tin .................................................................................... 41
2.1.3. Cấu trúc thư viện điện tử ........................................................................................ 42
2.1.3.1. Tài liệu số ........................................................................................................ 42
2.1.3.2 Cán bộ Thư viện điện tử ................................................................................... 44
2.1.3.3. Cơ sở vật chất, hạ tầng kỹ thuật công nghệ ..................................................... 46
2.1.3.3.1 Máy chủ: .................................................................................................... 46
2.1.3.3.2 Máy trạm ................................................................................................... 47
2.1.3.3.3 Phần mềm .................................................................................................. 48
a. Hệ điều hành và hệ quản trị CSDL ................................................................... 48

b. Các phần mềm hệ thống, bảo mật và các phần mềm dịch vụ ........................... 48
c. Hệ thống phần mềm quản trị thư viện tích hợp ................................................ 48


v
2.1.3.4 Người sử dụng thư viện .................................................................................... 50
2.1.4. Cấu trúc mạng IT và môi trường vật lý mạng ........................................................ 51
2.1.5 Phân cấp quản lý, phân quyền truy cập hệ thống .................................................... 53
2.1.6 Các u cầu về an tồn thơng tin trong TVĐT ........................................................ 56
2.2 Những điểm yếu ATTT tác động lên TVĐT .................................................................. 58
2.2.1 Các điểm yếu (nguy cơ) từ cơ sở hạ tầng kỹ thuật .................................................. 58
2.2.2 Các điểm yếu trên giao thức TCP/IP ....................................................................... 59
2.2.3 Các điểm yếu từ các sản phẩm phần mềm ............................................................... 60
2.2.4 Các điểm yếu do người dùng ................................................................................... 62
2.3 Các giải pháp ATBMTT đối với TVĐT ......................................................................... 63
2.3.1 An toàn vật lý .......................................................................................................... 63
2.3.2 An toàn hạ tầng mạng .............................................................................................. 64
2.3.2.1 Ngăn chặn, chống truy cập trái phép ................................................................ 66
2.3.2.2 An toàn hệ điều hành (Operating system security) .......................................... 67
2.3.2.3 Sao lưu và phục hồi sau sự cố .......................................................................... 72
2.3.1.4 Xây dựng chính sách an ninh mạng.................................................................. 74
2.3.3 An toàn dữ liệu (an toàn tài nguyên dữ liệu số) ...................................................... 75
2.3.3.1 Sự vi phạm an toàn cơ sở dữ liệu. .................................................................... 76
2.3.3.2 Các mức độ an toàn cơ sở dữ liệu. ................................................................... 76
2.3.3.3 Những quyền hạn khi sử dụng hệ cơ sở dữ liệu. .............................................. 78
2.3.3.4 Khung nhìn (VIEW) –một cơ chế bảo vệ ........................................................ 78
2.3.3.5 Cấp phép các quyền truy nhập .......................................................................... 79
2.3.3.6 Kiểm tra dấu vết ............................................................................................... 79
2.3.3.7 Sử dụng mật mã trong an tồn thơng tin .......................................................... 79
2.3.3.7.1 Hàm băm – Hash functions ....................................................................... 80

2.3.3.7.2Mã hóa đối xứng – Symmetric ................................................................... 81
2.3.3.7.3Mã hóa bất đối xứng – AssymmetricKey Cryptography ............................ 82
2.3.4 An toàn người sử dụng ............................................................................................ 82
CHƯƠNG III: VẤN ĐỀ AN TỒN BẢO MẬT THƠNG TIN TẠI TRUNG TÂM
THƠNG TIN - THƯ VIỆN TRƯỜNG ĐẠI HỌC KHOA HỌC XÃ HỘI VÀ NHÂN
VĂN – ĐHQG TPHCM ......................................................................................................... 85
3.1 Thực trạng an tồn bảo mật thơng tin tại Trung tâm Thơng tin - Thư viện trường Đại
học KHXH&NV TPHCM .................................................................................................... 85
3.1.1 Giới thiệu chung về Trung tâm Thông tin Thư viện trường Đại học
KHXH&NVTPHCM (TTTT-TVĐHKHXH&NV) .......................................................... 85
3.1.2 Thực trạng an toàn thơng tin tại TTTT-TVĐHKHXH&NV ................................... 86
3.1.2.1 Từ phía nhà quản lý .......................................................................................... 86
3.1.2.2 Từ phía nhân viên thư viện ............................................................................... 87


vi
3.1.2.3. Từ phía nhân viên IT ....................................................................................... 87
3.1.2.4 Từ phía sinh viên, người sử dụng. .................................................................... 88
3.1.2.4.1 Về kỹ năng sử dụng máy tính và internet .................................................. 89
3.1.2.4.2 Về nhận thức an tồn thơng tin .................................................................. 96
3.1.2.5 Các điểm yếu về ATBMTT trong Trung tâm TTTV-ĐHKHXH&NV TPHCM
.................................................................................................................................... 101
3.1.2.5.1 Phân cấp quản lý ...................................................................................... 101
Ban giám đốc thư viện (BGĐTV) ...................................................................... 102
Khối nghiệp vụ ................................................................................................... 102
 Phòng xử lý kỹ thuật ................................................................................ 102
 Phịng Thơng tin – Tư liệu ....................................................................... 102
Khối phục vụ ...................................................................................................... 103
3.1.2.5.2 Mơ hình hệ thống mạng ........................................................................... 104
3.1.2.5.2.1 An ninh vật lý ................................................................................... 105

3.1.2.5.2 Đảm bảo vận hành hệ thống ................................................................ 105
3.1.2.5.3 Sử dụng các phần mềm ........................................................................ 105
3.1.2.5.4 Cấu trúc mạng...................................................................................... 106
3.1.2.5.3 Các chính sách bảo vệ thơng tin .............................................................. 108
Chính sách mật khẩu .......................................................................................... 108
3.1.2.5.4 Khả năng phịng chống các cuộc tấn cơng khai thác dữ liệu của Website
và các phần mềm thư viện. ..................................................................................... 108
3.1.2.5.5 Khả năng phục hồi, backup hệ thống sau sự cố....................................... 111
CHƯƠNG IV: XÂY DỰNG CHÍNH SÁCH AN TỒN BẢO MẬT THÔNG TIN CHO
HỆ THỐNG THÔNG TIN THƯ VIỆN TRƯỜNG ĐHKHXH&NV THEO ISO 17799 27001 ...................................................................................................................................... 113
4.1. Mơ hình mạng an toàn ................................................................................................. 114
4.1.1. Tường lửa lớp ngoài (Border FW) ....................................................................... 114
4.1.2 Switch .................................................................................................................... 116
4.1.3 Thư điện tử ............................................................................................................ 117
4.1.4 Hệ thống phòng phát hiện xâm nhập (IDS - Intrusion Detection System) ........... 117
4.1.5 Kiểm sốt nội dung lưu thơng. .............................................................................. 117
4.1.6 Ghi biên bản và giám sát thường xuyên truy cập .................................................. 117
4.2 ATBMTT nội bộ (máy trạm và máy chủ) .................................................................... 118
4.2.1 Kiểm soát virus. ..................................................................................................... 118
4.2.2 Bảo vệ chống lại các hành vi trái phép. ................................................................. 118
4.2.3 Bảo vệ bằng mật mã đối với dữ liệu ..................................................................... 118
4.2.4 Bảo vệ bằng tường lửa cá nhân. ............................................................................ 118


vii
4.2.5 Lưu trữ dự phịng dữ liệu....................................................................................... 118
Kiểm sốt truy cập .......................................................................................................... 118
4.2.7 An tồn thơng tin vật lý ......................................................................................... 119
4.3 Phân loại tài ngun thơng tin - Vai trị và trách nhiệm .............................................. 119
4.3.1 Trách nhiệm cá nhân.............................................................................................. 119

4.3.2 Phân loại tài nguyên. ............................................................................................. 120
4.4 Vai trò và trách nhiệm. ................................................................................................. 121
4.4.1 Phân loại người sử dụng ....................................................................................... 121
4.4.1.1 Nhóm các nhà quản lý .................................................................................... 121
4.4.1.2 Nhóm các quản trị ........................................................................................ 121
4.4.1.3 Nhóm nhân viên ............................................................................................ 122
4.4.1.4 Độc giả và người dùng vãng lai (Public Users) ............................................. 122
4.4.2 Quy trình tiếp cận với các thơng tin thuộc diện được bảo vệ ............................... 122
4.5 Những qui tắc, yêu cầu và hướng dẫn đảm bảo ATBMTT nội bộ ............................... 123
4.5.1. Qui tắc bảo vệ bằng mật khẩu .............................................................................. 123
4.5.2 Qui tắc bảo vệ khỏi virus và mã chương trình độc hại .......................................... 124
4.5.3 Yêu cầu kiểm soát truy cập vật lý......................................................................... 124
4.5.4 Các hướng dẫn tiêu hủy thông tin hoặc thiết bị một cách an toàn......................... 125
4.5.5. Các hướng dẩn ATBMTT chỗ làm việc ( các tài liệu trên bàn làm việc, trên màn
hình) ................................................................................................................................ 126
4.6 Các qui tắc ATBMTT về truy cập từ xa ....................................................................... 126
4.7 Các qui tắc thực hiện truy cập vật lý tại chỗ ................................................................ 126
4.7.1 Những u cầu sao lưu dự phịng thơng tin ........................................................... 127
4.7.2 Những yêu cầu giám sát và ghi nhật ký chẩn đoán (Diagnostic Log) .................. 127
4.7.3 Những yêu cầu giám sát truy cập và sử dụng hệ thống, ghi nhật ký .................... 128
4.7.4 Những yêu cầu khi làm việc với vật mang tin ....................................................... 128
4.7.5 Những yêu cầu khi đăng ký người dùng................................................................ 129
4.7.6 Những yêu cầu về kiểm soát quyền của người dùng. ........................................... 130
4.7.7 Những yêu cầu về kiểm soát truy cập vào hệ điều hành. ..................................... 130
4.7.8 Yêu cầu đối với thủ tục đăng nhập vào hệ thống (Logon) .................................... 130
4.8 Các qui tắc làm việc từ xa của người dùng cơ động..................................................... 131
4.9 Yêu cầu phân chia trách nhiệm trong đảm bảo ATBMTT ........................................... 132
4.10 Các qui tắc ATBMTT khi tuyển dụng ........................................................................ 132
4.11 Yêu cầu kiểm soát các thay đổi trong hoạt động của hệ thống .................................. 133
4.12 Các yêu cầu kiểm soát dữ liệu đầu vào ...................................................................... 133

4.13 Các yêu cầu về ứng dụng các phương tiện mật mã .................................................... 134
4.13.1 Yêu cầu sử dụng mật mã ..................................................................................... 134


viii
4.13.2 Các tiêu chuẩn, các thủ tục, các phương pháp. ................................................... 134
4.14 Những yêu cầu về kiểm soát phần mềm hệ điều hành (HĐH) ................................... 135
4.15 Những yêu cầu kiểm soát truy cập và các văn bản đầu vào, phần mềm và thư viện 135
4.16 Yêu cầu kiểm soát các thay đổi ................................................................................. 136
4.17 Mã nguồn độc hại và Trojan. ..................................................................................... 137
4.18 Yêu cầu về đảm bảo tính liên tục ............................................................................... 137
4.18.1 Các xu thế đảm bảo sự liên tục vận hành của HTTTTV. ................................... 137
4.18.2 Quá trình quản lý hoạt động phục vụ liên tục...................................................... 138
4.18.3 Sự liên tục vận hành của HTTTTV và phân tích ảnh hưởng.............................. 138
4.18.4 Lập và áp dụng kế hoạch hoạt động liên tục. ...................................................... 138
4.18.5 Các cơ sở lập kế hoạch hoạt động liên tục. ......................................................... 139
4.18.5 Thử nghiệm, hỗ trợ, và đánh giá kế hoạch đảm bảo liên tục. .............................. 139
4.19 Những yêu cầu tuân thủ bản quyền đối với phần mềm. ............................................. 140
4.20 Những u cầu đảm bảo tính tồn vẹn của chứng cứ ................................................. 141
4.20.1 Mức độ cho phép của chứng cứ. .......................................................................... 141
4.20.2 Chất lượng và mức độ đầy đủ của chứng cứ. ...................................................... 141
4.20.3 Những yêu cầu về quản lý giám sát hệ thống (System Audit) ............................ 141
4.21 Một số hướng dẫn sử dụng các chính sách ATBMTT ............................................... 142
Hướng dẩn 1: Khi tuyển dụng nhân viên vào làm việc và trao cho nhân viên mới quyền
hạn cần thiết để có thể truy cập tài nguyên hệ thống. ..................................................... 142
Hướng dẫn 2: Cho thôi việc và loại trừ quyền truy cập thông tin của nhân viên. .......... 142
Hướng dẩn 3 :Hành động của nhân viên thuộc các phòng khác nhau, kể cả các nhân
viên nhóm ATBMTT, nhằm loại trừ hậu quả trong các trường hợp khẩn cấp (tai nạn hoặc
khác thường) . ................................................................................................................ 143
Hướng dẫn 4:Các thủ tục kiểm tra trong trường hợp xảy ra sự cố. ................................ 146

KẾT LUẬN ........................................................................................................................... 148
TÀI LIỆU THAM KHẢO.................................................................................................... 149
PHỤ LỤC .............................................................................................................................. 155


1

PHẦN MỞ ĐẦU
1. Lý do chọn đề tài
Sự phát triển như vũ bão của công nghệ thông tin và truyền thông đang ngày một
tác động sâu sắc đến kinh tế, chính trị và đời sống xã hội. Ngày càng nhiều tổ chức,
đơn vị, doanh nghiệp hoạt động lệ thuộc gần như hồn tồn vào hệ thống mạng máy
tính, máy tính và cơ sở dữ liệu. Nói cách khác, khi hệ thống thông tin hoặc cơ sở dữ
liệu gặp sự cố thì hoạt động của các đơn vị này bị ảnh hưởng nghiêm trọng, thậm chí
có thể bị tê liệt hồn toàn.
Chưa bao giờ vấn đề đảm bảo an toàn bảo mật thông tin (ATBMTT) lại nhận
được nhiều sự quan tâm như hiện nay. Giờ đây an tồn thơng tin được xếp ngang
hàng với những vấn đề thiết thực trong cuộc sống như: an toàn thực phẩm, an toàn y
tế, an tồn lao động...Cụ thể có rất nhiều văn bản của chính phủ được đưa ra yêu cầu
các cơ quan, tổ chức, doanh nghiệp thực hiện các biện pháp đảm bảo an tồn thơng
tin trong hoạt động của đơn vị mình, đơn cử như Luật giao dịch điện tử, nghị định
(NĐ) 63/2007/NĐ-CP: Qui định về xử phạt hành chính trong lĩnh vực công nghệ
thông tin, NĐ64/2007/NĐ-CP: Về việc ứng dụng công nghệ thông tin trong hoạt động
các cơ quan nhà nước, NĐ 90/2008/NĐ-CP: Chống thư rác, chỉ thị 897/CT-TTg: Về
việc tăng cường triển khai các hoạt động đảm bảo an toàn thông tin số, hay chỉ thị
03/2007/CT-BBCVT: Tăng cường đảm bảo ATTT trên internet… với các yêu cầu
như: Cơ quan nhà nước phải xây dựng nội quy bảo đảm an toàn thơng tin; có cán bộ
phụ trách quản lý an tồn thông tin; áp dụng, hướng dẫn và kiểm tra định kỳ việc thực
hiện các biện pháp đảm bảo cho hệ thống thông tin (HTTT) trên mạng đáp ứng các
tiêu chuẩn, quy chuẩn kỹ thuật về an tồn thơng tin [4]…phải xây dựng quy trình,

quy chế đảm bảo an tồn thơng tin cho các HTTT, tham khảo các chuẩn quản lý an
tồn thơng tin TCVN 7652, ISO 17799/27001, đảm bảo khả năng truy vết và khôi
phục thông tin trong trường hợp có sự cố [6] [7].
Tuy nhiên, việc xây dựng một hệ thống đảm bảo an tồn bảo mật thơng tin tồn
diện, hiệu quả chưa bao giờ là một cơng việc dễ dàng, đặc biệt đối với các cơ quan
thông tin – thư viện nơi vấn đề ATBMTT còn là một khái niệm khá mới mẻ, nơi cán
bộ thư viện còn yếu về công nghệ thông tin, nơi mà vấn đề ATBMTT thường được
mặc định dành cho bộ phận IT,…(do đó chúng ta cứ loay hoay trong một mớ các câu


2

hỏi, an tồn thơng tin phải thực hiện từ đâu, cái gì làm trước, cái gì làm sau, ai chịu
trách nhiệm thực hiện cơng việc này, an tồn thơng tin cần có những yếu tố
nào)…Thư viện Việt Nam hiện nay, đặc biệt là các thư viện điện tử (TVĐT), thư viện
số đã có những bước phát triển vượt bậc dưới sự trợ giúp đắc lực của công nghệ thông
tin và internet.Tuy nhiên, khi xây dựng HTTT, các thư viện điện tử thường không
tuân theo một quy tắc chuẩn hay xây dựng một chính sách ATBMTT làm kim chỉ
nam cho hoạt động của mình, do đó HTTT rất dễ bị các tin tặc tấn công, phá hoại.
Với mong muốn trả lời các câu hỏi: để đảm bảo ATBMTT trong HTTT thư viện cần
bắt đầu từ đâu, làm gì, làm như thế nào? tơi chọn: “Xây dựng các chính sách an
tồn bảo mật thông tin cho các thư viện điện tử theo chuẩn ISO 17799 – 27001”
làm đề tài cho luận văn tốt nghiệp của mình.
2. Tóm lược tình hình nghiên cứu
Bảo mật an tồn thơng tin là một vấn đề khơng mới đối với các ngành nghề như
tài chính, ngân hàng,…và một số ngành nghề khác, đồng thời thu hút sự quan tâm
nghiên cứu của nhiều tổ chức trên thế giới và đông đảo các nhà nghiên cứu, các viện
nghiên cứu, các trường đại học, đặc biệt là vấn đề an tồn thơng tin trong thương mại
điện tử.
Liên hiệp quốc cũng đã nghiên cứu và phổ biến về “Chính phủ điện tử và Thương

mại điện tử” thông qua tài liệu giảng dạy tới các quốc gia do Trung tâm đào tạo phát
triển công nghệ thông tin và truyền thông Châu Á- Thái Bình Dương (APCICT)
nghiên cứu với mục tiêu truyền đạt các kiến thức cho các nhà lãnh đạo Chính phủ tại
các Quốc gia Châu Á- Thái Bình Dương nhằm hoạch định chính sách quản lý và các
sáng kiến về chính phủ điện tử và thương mại điện tử một cách hiệu quả hơn. Ủy ban
Châu Âu- Viện bảo vệ và an ninh công dân thuộc Trung tâm nghiên cứu hỗn hợp
ISPRA- Italia cũng đã nghiên cứu về: “Chiến lược tin cậy và an toàn B2C trong
thương mại điện tử”. Nghiên cứu này đã đi sâu phân tích một cách có hệ thống về
mối quan hệ giữa công nghệ, xã hội, kinh tế và chính sách nhằm đem lại sự an toàn
và tin tưởng trong thương mại điện tử. Stayling Wen, một doanh nhân Đài Loan cũng
nghiên cứu và cho ra đời cuốn sách “Tương lai của thương mại điện tử”. Cùng với
rất nhiều các tác giả khác trên thế giới cũng có các cơng trình nghiên cứu về về mạng
xã hội, kinh doanh, cơng cụ trực tuyến, cơng cụ tìm kiếm, an ninh mạng, bảo mật,


3

khung pháp lý, công nghệ và cơ sở hạ tầng cho thương mại điện tử của các quốc gia
trên thế giới.
Chính phủ Việt Nam đã thống nhất về mặt quản lý nhà nước về thương mại điện
tử bằng việc thành lập Cục Thương mại điện tử và Công nghệ thông tin thuộc Bộ
Cơng Thương. Cùng với đó là một số cơng trình nghiên cứu thương mại điện tử về
bảo mật, an toàn và pháp lý đã được biết tới như: Báo cáo đề tài nhánh KC01-05 của
Ban cơ yếu Chính phủ năm 2004: “Nghiên cứu, xây dựng giải pháp bảo mật thông
tin trong thương mại điện tử”. Đề tài: “Pháp luật về thương mại điện tử tại Việt Nam:
thực trạng và một số khuyến nghị” do Tiến sĩ Nguyễn Anh Sơn – Phó vụ trưởng Vụ
Pháp chế, Bộ Cơng Thương. Cơng trình: “Luật thương mại quốc tế, các văn bản nền
tảng của Ủy ban Liên Hợp Quốc về Luật thương mại quốc tế của UNCITRAL. Kỷ
yếu hội thảo khoa học quốc tế “Thương mại điện tử và phát triển nguồn nhân lực” do
Tiến sĩ Nguyễn Mạnh Quyền- Phó Cục trưởng Cục Thương mại điện tử và Công nghệ

thông tin chủ biên.
Tuy nhiên, vấn đề bảo mật an tồn thơng tin cịn khá mới mẻ đối với lĩnh vực thư
viện thơng tin. ATBMTT chưa nhận được sự quan tâm đúng mức của các nhà quản
lý, hoạch định, các nhà nghiên cứu trong lĩnh vực thông tin - thư viện. Bằng chứng là
rất ít tài liệu, cơng trình nghiên cứu, bài viết đề cập đến vấn đề này, đặc biệt là các tài
liệu tiếng Việt. Cụ thể chỉ có hai tài liệu đề cập tới vấn đề an tồn thơng tin trong hoạt
động thư viện, trong đó tác giả Nguyễn Cương Lĩnh với bài viết: “Đảm bảo an tồn
thơng tin trong các thư viện hiện đại” đăng trên tạp chí Thư viện Việt Nam [11] có
trình bày sơ lược về an tồn thông tin trong thư viện hiện đại, với những cái nhìn ban
đầu về vấn đề an tồn thơng tin trong thư viện, lý do phải chú ý đến vấn đề an tồn
thơng tin, cùng với đó là một số lưu ý được tác giả đưa ra nhằm đảm bảo an tồn
thơng tin trong thư viện. Bài viết thứ hai của hai tác giả Nguyễn Thái Sơn và Nguyễn
Tuấn Nghĩa “Vấn đề đảm bảo an ninh mạng tại trung tâm thông tin – thư viện, Đại
học Vinh” [12], trình bày những vấn đề cần lưu ý trong việc xây dựng và đảm bảo an
ninh hệ thống mạng, cùng với những chính sách để nâng cao khả năng an ninh máy
tính tại trung tâm thông tin – thư viện Đại học Vinh. Tuy nhiên những chính sách
được đưa ra chủ yếu là các giải pháp cơng nghệ chưa tồn diện và đầy đủ.


4

Do đó việc xây dựng các chính sách bảo mật an tồn thơng tin cho các TVĐT
theo chuẩn ISO 17799 / 27001 là một đề tài mới và cần thiết.
3. Mục đích và nhiệm vụ nghiên cứu
- Mục đích nghiên cứu: Trên cơ sở tiêu chuẩn ISO 17799/27001 luận văn tiến
hành nghiên cứu những vấn đề chung về an toàn thơng tin trong TVĐT làm tiền đề
cho việc tìm hiểu thực trạng an tồn thơng tin tại trung tâm thơng tin thư viện trường
Đại học Khoa học Xã hội và Nhân văn – Đại học Quốc gia Tp. HCM và đưa ra chính
sách ATBMTT cho thư viện này.
- Nhiệm vụ nghiên cứu: Để đạt được mục đích nghiên cứu đã đề ra, đề tài xác

định phải giải quyết các nhiệm vụ sau:
+ Trình bày tổng quan về an tồn bảo mật thơng tin, mục đích, nội dung và các
thành phần cấu thành, các nguy cơ, rủi ro của việc mất an tồn thơng tin.
+ Chính sách an tồn thơng tin, các chuẩn an tồn thơng tin trên thế giới
+ Mơ hình TVĐT Việt Nam, các thành phần cấu thành, cấu trúc TVĐT, các thành
phần cần bảo mật và nội dung bảo mật.
+ Xác định các điểm yếu về an toàn thơng tin trong TVĐT
+ Thực trạng an tồn thơng tin tại Trung tâm thông tin - Thư viện trường Đại học
Khoa học Xã hội và Nhân văn TP.HCM.
+ Xây dựng chính sách ATBMTT cho TVĐT tại trung tâm thơng tin - thư viện
trường ĐH KHXH&NV TP.HCM
4. Đối tượng và phạm vi nghiên cứu
- Đối tượng nghiên cứu: Chính sách bảo mật an tồn thơng tin cho các TVĐT
theo chuẩn ISO 17799 / 27001
- Phạm vi nghiên cứu: Luận văn tập trung nghiên cứu thực trạng ATBMTT
trong TVĐT nói chung, và cụ thể tại trung tâm thông tin – thư viện trường Đại học
Khoa học Xã hội & Nhân văn trên cơ sở ISO 17799 và 27001 từ đó xây dựng chính
sách ATBMTT phù hợp với các TVĐT, cụ thể tại trung tâm thông tin – thư viện
trường Đại học Khoa học Xã hội và Nhân văn TP.HCM.


5

5. Phương pháp nghiên cứu
Để thực hiện luận văn, tác giả sử dụng đồng thời và hài hòa các phương pháp
nghiên cứu sau:
- Phương pháp nghiên cứu, phân tích và tổng hợp tài liêu: Được sử dụng để
tìm hiểu cơ sở lý luận về an tồn bảo mật thơng tin, các chuẩn bảo mật an tồn thơng
tin trên thế giới, mơ hình TVĐT, lịch sử nghiên cứu vấn đề.
- Phương pháp phỏng vấn: Được sử dụng để phỏng vấn trực tiếp cán bộ quản

lý, cán bộ phụ trách mảng công nghệ thông tin của thư viện để hiểu rõ hơn thực trạng
an tồn bảo mật thơng tin, nhận thức và định hướng trong vấn đề bảo mật, an tồn
thơng tin của thư viện
- Phương pháp điều tra bảng hỏi: Luận văn tiến hành khảo sát nhận thức an
tồn thơng tin của người sử dụng trung tâm thông tin thư viện trường ĐHKHXH&NV
TPHCM bằng google docs nhằm mục đích thu thập số liệu về kiến thức an tồn thơng
tin của người sử dụng làm cơ sở cho việc xây dựng chính sách ATBMTT.
- Phương pháp xử lý số liệu: Được sử dụng nhằm xử lý các số liệu thu thập
được trong quá trình khảo sát, tổng hợp số liệu thành các bảng biểu, biểu đồ làm cơ
sở cho việc đánh giá thực trạng ATBMTT của thư viện, nhận thức của người sử dụng
về vấn đề an tồn bảo mật thơng tin.
6. Hướng tiếp cận tư liệu để thực hiện đề tài
- Tài liệu của Đảng, Nhà nước về vấn đề bảo mật tồn thơng tin
- Các chuẩn bảo mật an tồn thông tin trên thế giới, ở đây đề tài nghiên cứu hai
chuẩn bảo mật an tồn thơng tin được sử dụng rộng rãi ngày nay là chuẩn ISO 17799
/ 27001.
- Tài liệu nội bộ của thư viện trường ĐHKHXH&NV về vấn đề bảo mật an tồn
thơng tin.
- Các loại tài liệu tham khảo, báo, tạp chí, cơ sở dữ liệu, kỷ yếu hội thảo…có
nội dung liên quan đến những vấn đề cần nghiên cứu.


6

7. Ý nghĩa khoa học và ý nghĩa thực tiễn
- Ý nghĩa khoa học:
Đề tài góp phần làm sáng tỏ ý nghĩa, vai trò của vấn đề ATBMTT trong hoạt
động thư viện, đồng thời đưa ra một chính sách mẫu về ATBMTT trong hoạt động
TVĐT.
- Ý nghĩa thực tiễn:

 Kết quả nghiên cứu của luận văn sẽ góp phần làm rõ tầm quan trọng của
ATBMTT trong hoạt động thư viện, từ chính sách ATBMTT mà luận văn xây
dựng cho trung tâm thông tin – thư viện trường Đại học Khoa học Xã hội và Nhân
văn TP.HCM, các thư viện có thể tham khảo để xây dựng một chính sách
ATBMTT riêng phù hợp với điều kiện thực tế của thư viện mình.
 Luận văn có thể đươc dùng làm tài liệu tham khảo, làm cơ sở cho việc biên
soạn bài giảng phục vụ cho việc học tập và nghiên cứu trong lĩnh vực thông tin –
thư viện.
8. Bố cục của luận văn
Ngoài phần mở đầu, kết luận, tài liệu tham khảo, bố cục của luận văn được
chia làm 4 chương:
Chương I: Tổng quan về an tồn thơng tin, các chuẩn an tồn thơng tin
Chương II:Thư viện điện tử – đối tượng bảo mật vàan tồn thơng tin.
Chương III: Vấn đề an tồn bảo mật thơng tin tại trung tâm thơng tin - thư viện
trường Đại học Khoa học Xã hội và Nhân văn – TP.HCM
Chương IV: Xây dựng chính sách an tồn bảo mật thơng tin cho HTTT thư viện
trường ĐH KHXH&NV TP.HCM theo ISO 17799 /27001


7

CHƯƠNG I : TỔNG QUAN VỀ AN TỒN THƠNG TIN,
CÁC CHUẨN AN TỒN THƠNG TIN
1.1 An tồn thơng tin, mục đích, vai trị và tầm ảnh hưởng của ATBMTT đến hệ
thống thơng tin
1.1.1 Định nghĩa ATBMTT, vai trị của ATBMTT trong hệ thống thông tin.
Công nghệ thông tin và truyên thông ngày càng phát triển, những khái niệm như
an ninh mạng, bảo mật, an tồn thơng tin, khơng cịn xa lạ đối với mỗi chúng ta.
ATBMTT giờ đây không chỉ cịn là mối quan tâm của các cơng ty, tổ chức liên quan
đến tài chính, ngân hàng mà nó cũng là mối quan tâm của các thư viện. Đặc biệt là

các TVĐT, thư viện số nơi mà các hoạt động thư viện đang dần được tự động hóa,
mục lục truyền thống được thay thế bằng mục lục điện tử, cùng với đó là các dịch vụ
trực tuyến dựa trên web được cung cấp cho người sử dụng.
Thông tin là một loại tài sản, cũng như các loại tài sản quan trọng khác của các
cơ quan tổ chức hay các cơ quan thơng tin - thư viện, chúng có giá trị cho mỗi cơ
quan - tổ chức và do đó cần được bảo vệ thích hợp. ATBMTTlà bảo vệ thơng tin
trước các nguy cơ mất an tồn nhằm đảm bảo tính liên tục trong hoạt động của các tổ
chức, doanh nghiệp, giảm thiểu sự phá hoại và gia tăng tới mức tối đa cơ hội phát
triển.
An tồn nghĩa là thơng tin được bảo vệ, các hệ thống và những dịch vụ có khả
năng chống lại những tai họa, lỗi và sự tác động không mong đợi, các thay đổi tác
động đến độ an toàn của hệ thống là nhỏ nhất. Đảm bảo an toàn là một trong những
chỉ tiêu chất lượng cơ bản của hệ thống truyền tin số.
Thơng tin có thể tồn tại dưới nhiều dạng. Thơng tin có thể được in hoặc được viết
trên giấy, được lưu trữ dưới dạng điện tử, dạng văn bản hoặc phi văn bản. Nhưng cho
dù tồn tại dưới dạng nào đi chăng nữa, thơng tin được đưa ra với hai mục đích chính
là chia sẻ và lưu trữ, và ln cần có sự bảo vệ thích hợp. Vậy an tồn thơng tin là gì?
An tồn thơng tin bao gồm các hoạt động quản lý, nghiệp vụ và kỹ thuật đối với
HTTT nhằm bảo vệ, khôi phục các hệ thống, các dịch vụ và nội dung thông tin đối
với nguy cơ tự nhiên hoặc do con người gây ra. Việc bảo vệ thông tin, tài sản và con
người trong HTTT nhằm bảo đảm cho các hệ thống thực hiện đúng chức năng, phục


8

vụ đúng đối tượng một cách sẵn sàng, chính xác và tin cậy. An tồn thơng tin bao
hàm các nội dung bảo vệ và bảo mật thơng tin, an tồn dữ liệu, an tồn máy tính và
an tồn mạng [1]
Theo ISO 17799/27001 [40] An Tồn Thơng Tin là khả năng bảo vệ đối với môi
trường thông tin kinh tế xã hội, đảm bảo cho việc hình thành, sử dụng và phát triển

vì lợi ích của mọi cơng dân, mọi tổ chức và của quốc gia. Thơng qua các chính sách
về ATBMTT , lãnh đạo thể hiện ý chí và năng lực của mình trong việc quản lý HTTT.
ATBMTT được xây dựng trên nền tảng một hệ thống các chính sách, quy tắc, quy
trình và các giải pháp kỹ thuật nhằm mục đích đảm bảo an tồn tài ngun thơng tin
mà tổ chức đó sở hữu cũng như các tài nguyên thông tin của các đối tác, các khách
hàng trong một mơi trường thơng tin tồn cầu.
An tồn thơng tin là sự duy trì tính bảo mật, tính tồn vẹn và tính sẵn sàng của
thơng tin; ngồi ra cịn có thể bao hàm một số tính chất khác như tính xác thực, kiểm
sốt được, khơng từ chối và tin cậy [3].
Thơng tin là tài sản vô giá của mỗi tổ chức, doanh nghiệp, mỗi cơ quan thông tin
– thư viện, tuy nhiên, thơng tin chỉ có giá trị cao khi đảm bảo tính chính xác và kịp
thời, hệ thống chỉ có thể cung cấp các thơng tin có giá trị thực sự khi các chức năng
của nó đảm bảo hoạt động đúng đắn. do đó, vấn đề ATBMTTcó một vị trí, vai trị vơ
cùng quan trọng trong việc giảm thiểu các rủi ro về thông tin, giúp các tổ chức, doanh
nghiệp, cơ quan thông tin – thư viện phát triển một cách bền vững. Càng ngày vấn đề
đảm bảo an toàn thơng tin càng trở nên khó khăn hơn, những khó khăn này có nhiều
nguyên do khác nhau như: Trên mạng máy tính, thơng tin được lưu giữ trên các thiết
bị vật lý (đĩa, băng từ…) hoặc được truyền qua mạng. Những thơng tin có giá trị ln
chịu những mối đe dọa của những người khơng được ủy quyền, họ có thể là những
kẻ tấn công bất hợp pháp hoặc những người trong nội bộ cơ quan, tổ chức có thơng
tin cần bảo vệ. Mất an toàn do vấn đề dùng chung khi chia sẻ tài nguyên với nhau,
chia sẻ tài ngun dẫn đến việc mất an tồn thơng qua việc truy cập, mất an toàn do
việc bất cẩn của các nhân viên trong việc sử dụng các máy tính trong mạng nội
bộ…Và một khi hệ thống bị xâm phạm thì hậu quả gây ra sẽ rất lớn như mất nhiều
thời gian để khôi phục, giảm năng suất, tiêu tốn nhiều tiền của, làm ngừng trệ hoạt


9

động của hệ thống và hoạt động của tổ chức.Do đó việc đảm bảo an tồn thơng tin là

cực kỳ quan trọng và cần thiết.
1.1.2 Mục đích của ATBMTT, những nguyên tắc chung của ATBMTT

1.1.2.1 Mục đích của ATBMTT
ATBMTT là điều kiện tiên quyết để các HTTT vận hành tin cậy và hiệu quả.
ATBMTT được đảm bảo bởi việc triển khai đồng bộ các giải pháp tổ chức, quản lý
và kỹ thuật, liên kết với nhau thành một hệ thống thống nhất nhằm đáp ứng các yêu
cầu nhất định về bảo vệ thơng tin. An tồn tồn thơng tin là một q trình, khơng
phải là một cơng nghệ.Việc duy trì an toàn cho một HTTT được tiến hành thường
xuyên, liên tục với ba mục đích chính là phịng ngừa, phát hiện và có các hành động
đáp trả đối với các hành vi xâm phạm thơng tin.
Phịng ngừa: Đây là hành động nhằm ngăn chặn các hành động xâm phạm máy
tính hoặc thông tin một cách bất hợp pháp. Việc ngăn chặn các hành vi trên địi hỏi
sự phân tích cẩn thậnvà có những kế hoạch chi tiết. Để thực hiện cơng việc này quả
thật khơng đơn giản, và địi hỏi các chun gia bảo mật thơng tin khơng ngừng hồn
thiện khả năng của mình.
Để làm tốt cơng việc phịng ngừa này điều trước tiên cần thực hiện là đo lường
mức độ bảo vệ thông tin đang được thực hiện, nhằm bảo vệ thông tin không bị thay
đổi trái phép, bị phá hoại, bị lộ ra khi có tai nạn hoặc do sự cố ý. Sự phòng ngừa trước
tiên là việc thiết lập các chính sách an tồn thơng tin. Chính sách an tồn thơng tin,
các chương trình nhận thức về bảo mật và các thủ tục điều khiển sự truy cập là các
mối quan hệ tương quan và cần phải được xây dựng sớm. Chính sách an tồn thơng
tin là nền tảng cho tất cả những gì được xây dựng lên.
Đối tượng đầu tiên trong quá trình phát triển kế hoạch phịng ngừa là xác định
những gì cần bảo vệ và tài liệu hóa các thơng tin này trong một chính sách chung về
an tồn bảo mật thơng tin. Chính sách phải xác định trách nhiệm của tổ chức, của cá
nhân và của người quản lý. Chính sách này cũng đặt ra các trách nhiệm cho sự triển
khai thực hiện, kỷ luật cần thi hành, sự kiểm tra và xem xét lại bảo mật. Thêm nữa
chính sách phải rõ ràng, ngắn gọn, xúc tích, mạch lạc, chặt chẽ và thống nhất. Nếu
khơng được hiểu rõ ràng, chính sách sẽ được thực thi kém và hiệu lực kiểm tra và

xem xét lại sẽ kém hiệu quả. Sau khi xây dựng một chính sách bảo mật an tồn thơng


10

tin hồn chỉnh, cần tiến hành q trình nhận thức về bảo mật cho đội ngũ nhân viên,
tức giáo dục nhân viên về tầm quan trọng của bảo mật, cách sử dụng các công cụ đo
lường bảo mật, các thủ tục báo cáo về sự vi phạm chế độ bảo mật, và trách nhiệm
chung của nhân viên khi thực thi chính sách an tồn thơng tin. Và cơng việc cuối cùng
là việc thiết lập các chính sách truy cập, tức là việc phân quyền truy cập dựa trên các
yếu tố nhận biết căn bản. Để quản lý truy cập bằng cách tạo lập các tài khoản sử dụng
các phương pháp định danh, xác nhận để đảm bảo các quy tắc trong định danh và xác
thực trong việc giới hạn truy cập tới các tài nguyên.
Phát hiện: Nhằm xác định các sự kiện khi nó đang thực hiện. Phát hiện hiểm hoạ
đối với HTTT là một vấn đề rất quan trọng. Với sự đe dọa xung quanh ngày càng
tăng, dù cho hệ thống đã được bảo vệ ở mức nào đi chăng nữa thì cũng vẫn ln tiềm
ẩn những hiểm họa. Và để cho HTTT được an toàn hệ thống nên được bảo vệ theo
nhiều lớp, nhiều tuyến. Có ít nhất bốn lớp cần được bảo vệ là: lớp ngoài bao qt tồn
bộ lãnh thổ hệ thống, trên đó bố trí các trang bị của HTTT; lớp thứ hai gồm các phòng
làm việc và các trang bị của hệ thống; lớp thứ ba là các bộ phận cấu thành của hệ
thống (các phương tiện kỹ thuật, các chương trình, các hệ CSDL) và lớp thứ tư bao
gồm các quá trình xử lý thông tin. Nguyên tắc nhiều lớp không chỉ dựa trên phương
pháp ngăn chặn, từng bước làm suy yếu sự tấn cơng của đối phương mà cịn vì sự đa
dạng của các nhiệm vụ đảm bảo thông tin, đồng thời giúp cho việc phát hiện tấn công
được dễ dàng hơn. Mỗi khi một lớp bị hỏng thì nó sẽ được cảnh báo và sẽ được báo
động thông qua hệ thống phát hiện xâm nhập trái phép (IDS) để từ đó có thể đưa ra
các phương án đáp trả kịp thời khi sự cố diễn ra. IDS có khả năng kiểm sốt các hoạt
động của hệ thống và thơng báo cho người chịu trách nhiệm khi hoạt động đó cần
kiểm tra chứng thực. Hệ thống có thể dị tìm dấu vết tấn cơng, những thay đổi trên
tập tin, cấu hình và các hoạt động khác của hệ thống. Để bảo vệhệ thống thì tồn bộ

hệ thống cần được giám sát. Các cơng cụ dị tìm xâm nhập máy tính trái phép sẽ được
đặt ở một chỗ hợp lý trên mạng và trên tầng ứng dụng.
Đáp trả: Đề cập tới vấn đề phát triển các chiến lược và kỹ thuật để có thể giải
quyết các cuộc tấn công hay mất mát dữ liệu. Để q trình phát hiện có giá trị, thì cần
có một kế hoạch đáp trả đúng lúc và thích hợp. Việc phát triển một hệ thống đáp trả
thích hợp bao gồm nhiều yếu tố từ đơn giản đến phức tạp.Đơn giản như việc đối phó


11

với các thảm họa tự nhiên như bão, động đất, ngập lụt, hỏa hoạn,… tới các vấn đề
phức tạp hơn như đối phó lại các hiểm họa bảo mật máy tính và hệ thống hạ tầng
cơng nghệ thơng tin. Kế hoạch đáp trả - đối phó phải được viết ra và thơng qua các
cấp lãnh đạo thích hợp. Kế hoạch nên làm rõ mức độ ưu tiên của từng loại sự kiện và
yêu cầu một mức cảnh báo và đối phó thích hợp đối với mỗi mức độ ưu tiên của các
sự kiện/hiểm họa.
1.1.2.2 Nguyên tắc chung của ATBMTT
Trong quá trình xây dựng và thiết kế hệ thống ATBMTT, cần tuân thủ các nguyên
tắc cơ bản sau:
Nguyên tắc đầu tiên là việc thẩm định về bảo mật phải đủ khó và cần tính tới tất
cả các tình huống, khả năng tấn cơng có thể được thực hiện. Để thực hiện được công
việc trên, điều đầu tiên là cần thường xuyên hoàn thiện và phát triển hệ thống đảm
bảo an toàn thông tin. Hệ thống phải đảm bảo việc chống lại tất cả các tấn cơng từ
bên ngồi và cả bên trong HTTT. Thực tế cho thấy cùng với sự phát triển công nghệ
và đội ngũ hacker, các kiểu tấn công ngày càng tinh vi hơn, khơng ít trong số đó dễ
dàng lọt qua các HTTT không được bảo vệ đầy đủ. Do đó phải thường xuyên giám
sát sự vận hành của hệ thống, phát hiện các điểm yếu, các kênh rị rỉ thơng tin và các
kiểu xâm nhập trái phép mới, hoàn thiện các cơ chế và phương pháp bảo vệ tùy thuộc
vào đặc tính của các kiểu tấn cơng và các mối đe dọa mới. Để đảm bảo nguyên tắc
này, hệ thống ATBMTTphải được thiết kế mềmdẻo, có khả năng tích hợp các phương

tiện mới.
Thứ hai là cần đảm bảo tính hệ thống và tổng thể trong việc sử dụng các phương
tiện đảm bảo ATBMTT. Những kẻ xâm nhập bất hợp pháp vào hệ thống để khai thác
và phá hoại thông tin thường sử dụng mọi phương tiện và dựa vào sơ hở của hệ thống,
kể cả việc lợi dụng yếu tố con người. Vì vậy các phương tiện đảm bảo ATBMTT phải
đồng bộ và được kết hợp lại thành một thể thống nhất. Hệ thống này là tập hợp các
giải pháp về tổ chức - quản trị và các giải pháp kỹ thuật. Trong đó, bên cạnh các giải
pháp kỹ thuật, các giải pháp về tổ chức - quản trị hệ thống có vai trị đặc biệt. Đó là
q trình đảm bảo kiểm sốt an tồn sự vận hành của hệ thống, bố trí nguồn nhân lực
chuyên trách một cách phù hợp, xây dựng chính sách an tồn và các quy định về vận
hành hệ thống, sử dụng hợp lý các nguồn tài nguyên thông tin, các máy chủ, máy


12

trạm; những quy định này xác định yêu cầu cụ thể đảm bảo an toàn cho các
thành phần của hạ tầng thông tin, mô tả các phương tiện và biện pháp thực hiện các
yêu cầu được đặt ra trong chính sách ATBMTT và kiểm tra việc thực hiện chúng.Tài
sản phải được bảo vệ cho tới khi hết giá trị sử dụng hoặc hết ý nghĩa bí mật.
Thứ ba là cần đảm bảo nguyên tắc tập trung. Công tác đảm bảo ATBMTT là
hoạt động có điều khiển, cần được quản lý thống nhất và vì vậy phải vận hành trên
nguyên tắc tập trung. Nguyên tắc này cho phép bám sát được các mục tiêu chung và
tập trung được nguồn lực và phương tiện kỹ thuật để thực hiện các nhiệm vụ an tồn
đặt ra.
Thứ tư cần đảm bảo tính trong suốt đối với hạ tầng thông tin. Hệ thống ATBMTT
phải đơn giản trong cách sử dụng. Điều này có nghĩa là việc sử dụng hệ thống
ATBMTT khơng nhất thiết địi hỏi người sử dụng phải hiểu biết nhiều và phải thực
hiện nhiều động tác phức tạp. Ngoài ra, hệ thống ATBMTT cần được xây dựng và
thiết kế sao cho không gây ra cản trở hoặc giảm hiệu quả họat động của HTTT.
1.1.3 Các mục tiêu cơ bản của ATBMTT trong HTTT

Như chúng ta đều biết, đối với các cơ quan tổ chức nói chung và các cơ quan
thơng tin – thư viện nói riêng, thơng tin/dữ liệu đóng một vai trị hết sức quan trọng,
chúng ảnh hướng trực tiếp tới sự tồn tại và phát triển của các tổ chức này. Vì vậy,
việc bảo mật những thơng tin và dữ liệu là điều vô cùng cần thiết, nhất là trong bối
cảnh hiện nay khi các HTTT ngày càng được mở rộng với những đầu tư to lớn về cơ
sở hạ tầng, trang thiết bị, nguồn tài nguyên thông tin, dẫn đến tiềm ẩn nhiều nguy cơ
khơng lường trước được.
Khi phân tích một hệ thống bảo mật chúng ta cần xuất phát từ những tính chất cơ
bản của ATBMTT. Có vùng dữ liệu u cầu tính bảo mật của thơng tin, có vùng dữ
liệu cần tính tồn vẹn, tất cả các dữ liệu đó đều phải được đáp ứng khi yêu cầu đó là
tính sẵn sàng của hệ thống. Các tính chất:
- Tính bảo mật của thơng tin (CONFIDENTIALITY)
- Tính tồn vẹn thơng tin (INTERGRITY)
- Tính sẵn sàng của hệ thống (AVAILABILITY) [1]
Là ba góc của tam giác bảo mật CIA của một đối tượng cần bảo vệ [44] (Hình
1.1)


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×