NGHIÊN CỨU CÔNG NGHỆ VÀ GIẢI PHÁP BẢO MẬT CHO CHÍNH PHỦ ĐIỆN TỬ TẠI TỈNH BẮC NINH

NGHIÊN CỨU CÔNG NGHỆ VÀ GIẢI PHÁP BẢO MẬT CHO CHÍNH PHỦ ĐIỆN TỬ TẠI TỈNH BẮC NINH. Nội dung luận văn bao gồm 3 chương: Chương 1: Tìm hiểu tổng quan về Chính phủ điện tử. Chương 2: Nghiên cứu về các nguy cơ và giải pháp bảo mật cho các ứng dụng CPĐT. Chương 3: Nghiên cứu, đề xuất giải pháp bảo mật cho CPĐT tại tỉnh Bắc Ninh.

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

Luận văn được hoàn thành tại:

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

Người hướng dẫn khoa học: Tiến sĩ Nguyễn Trung Kiên

Phản biện 1:……… Phản biện 2:………

Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ

tại Học viện Công nghệ Bưu chính Viễn thông

Vào lúc:……giờ…….ngày… tháng……năm ……

Có thể tìm hiểu luận văn tại:

- Thư viện của Học viện Công nghệ Bưu chính Viễn thông

tử lại càng khó khăn, phức tạp bấy nhiêu

Từ những yêu cầu thực tế trên, em chọn đề tài

“Nghiên cứu công nghệ và giải pháp bảo mật cho Chính

phủ điện tử tại Tỉnh Bắc Ninh” Nội dung luận văn bao

TS Nguyễn Trung Kiên, cùng sự giúp đỡ của các thầy cô

giáo trong Học viện Bưu chính viễn thông và các bạn bè, đồng nghiệp Học viên rất mong nhận được sự đóng góp để bản thân tự hoàn thiện mình hơn nhằm góp phần hoàn thành tốt công việc thường xuyên tại đơn vị

Chương 1: TÌM HIỂU TỔNG QUAN VỀ

1.1.2- Vai trò của quản lý Chính phủ điện tử:

Chính phủ có thể nâng cao năng lực quản lý và đảm bảo cho các chương trình và dự án về CPĐT được thực thi một cách hiệu quả Các nhân tố then chốt của CPĐT có thể bao gồm: Quản lý chính sách, quản lý mua sắm, kiến trúc

và quản lý Công nghệ thông tin, cải cách hành chính, cải cách lập pháp

1.1.3- Ứng dụng công nghệ thông tin và cải cách thủ tục hành chính:

1.1.3.1- Ứng dụng công nghệ thông tin:

Chương trình quốc gia về ứng dụng CNTT trong hoạt động của cơ quan nhà nước của Chính phủ đã chỉ rõ: hướng tới mục tiêu phát triển CPĐT; ứng dụng rộng rãi công nghệ thông tin trong hoạt động cơ quan nhà nước; cung cấp thông tin, dịch vụ công trực tuyến mức độ cao, trên diện rộng phục vụ người dân cũng như doanh nghiệp

trên cơ sở phát triển hạ tầng thông tin hiện đại và rộng khắp

1.1.3.2- Cải cách thủ tục hành chính công:

Bên cạnh những thành công đạt được, hiện nay, Việt Nam vẫn tồn tại tình trạng quản lý chồng chéo, thủ tục hành chính phức tạp… Do đó, để ứng dụng công nghệ thông tin, xây dựng CPĐT có hiệu quả thì phải tối ưu hóa được thủ tục hành chính, việc ứng dụng công nghệ thông tin và cải cách thủ tục hành chính cần phải được tiến hành một cách song song

1.2- Mô hình triển khai CPĐT ở Việt Nam hiện nay

1.2.1- Lộ trình xây dựng CPĐT

Để xây dựng thành công CPĐT ta cần có lộ trình thực hiện các công việc sau: Các chiến lược thực thi cụ thể đối với CPĐT; Các chương trình dự án; Các sáng kiến về

mô hình điều phối CPĐT đối với các dịch vụ điện tử tích hợp, các ứng dụng chung cho khu vực nông thôn; Các chương trình và dự án giúp tăng cường năng lực và nhận thức về CPĐT; Kế hoạch theo giai đoạn

1.2.1.1- Các chiến lược tạo tiền đề và thực thi CPĐT

Trước khi triển khai xây dựng CPĐT, chúng ta cần

có các chiến lược cụ thể để tạo tiền đề thuận lợi cho việc thực thi CPĐT sau này như: Phát triển nền tảng của CPĐT, xây dựng năng lực về CPĐT, phát triển các dịch vụ trực tuyến và các ứng dụng ICT, cải thiện cơ sở hạ tầng công nghệ thông tin, tăng cường nhận thức về CPĐT

1.2.1.2- Những nhân tố đảm bảo thành công cho các kế hoạch CPĐT:

Cần có sự lãnh đạo vững vàng ở các cấp nhằm hỗ trợ cho lộ trình thực thi CPĐT, có sự hợp tác chéo giữa các

cơ quan nhà nước để triển khai các chương trình có hiệu quả, đồng bộ Sự chỉ đạo và hỗ trợ đối với các cơ quan chức năng có liên quan đến việc thực hiện lộ trình, có sự chia sẻ các kinh nghiệm thực tiễn của các đơn vị

1.2.2- Mô hình triển khai CPĐT ở Việt Nam

Bốn mô hình cung cấp các cơ hội khác nhau đối với các dịch vụ CPĐT là: Chính phủ với doanh nghiệp (G2B), Chính phủ với Người dân (G2C), Chính phủ với Chính phủ (G2G) và Chính phủ với cán bộ công chức (G2E)

Với mục tiêu: Xây dựng, phát triển các dịch vụ điện

tử tích hợp cho công dân và doanh nghiệp; Phát triển các ứng dụng dùng chung cho điều hành và hợp tác của các cơ quan nhà nước; Nghiên cứu về bộ tích hợp dữ liệu và mô hình chia sẻ bộ tích hợp dữ liệu; Các dự án thí điểm về hỗ trợ công chức thực hiện nhiệm vụ

1.3- Phân tích vai trò của bảo mật đối với CPĐT:

1.3.1- Hiện trạng bảo mật trong hệ thống CPĐT của nước ta hiện nay

- Khối các cơ quan bộ, ngành Trung ương: tỷ lệ máy

tính được kết nối Internet là 93,6% trong đó có đến 92,8%

tỷ lệ máy tính được trang bị công cụ bảo đảm an toàn và tỷ

lệ mạng LAN được trang bị hệ thống an toàn (Firewall, SAN/NAT) là 84,7%

- Khối các tỉnh thành phố trực thuộc trung ương:

Công tác đảm bảo an toàn, an ninh thông tin đã được các địa phương chú ý, tỷ lệ địa phương trang bị phần mềm diệt virus cho máy tính và hệ thống an toàn dữ liệu cho mạng có tăng tuy nhiên việc nhận thức và đầu tư cho việc đảm bảo

an toàn thông tin vẫn còn hạn chế: tỷ lệ trung bình máy tính được trang bị công cụ đảm bảo an toàn đạt 73,5%; tỷ lệ trung bình mạng LAN được trang bị công cụ bảo đảm an

toàn, an ninh thông tin (Firewall, SAN/NAS, ) vẫn còn thấp, mới chỉ đạt 37,6%

1.3.2- Hiện trạng mất an toàn, an ninh thông tin trong hệ thống CPĐT hiện nay

Hiện nay, hệ thống CPĐT đã và đang được đầu tư nhiều cả về hạ tầng và ứng dụng, để đánh giá được hết vai trò, tầm quan trọng của bảo mật đối với CPĐT, trước hết chúng ta cần nhận định rõ các nguy cơ, hiện tượng gây ra mất an toàn, an ninh thông tin cho hệ thống CPĐT như sau:

- Thông tin, dữ liệu trong hệ thống bị lộ lọt, truy nhập, lấy cắp, nghe lén và sử dụng trái phép

- Thông tin, dữ liệu trong hệ thống bị thay thế hoặc sửa đổi làm sai lệch nội dung

- Thông tin, dữ liệu không mong muốn bị tán phát hoặc hệ thống bị tấn công, không thể kiểm soát

- Thông tin, dữ liệu không đảm bảo tính thời gian thực, hệ thống hay bị sự cố, ngưng trệ, hỏng hóc

Mức độ rủi ro mà ở đó người sử dụng và các nhà cung cấp dịch vụ Internet có thể bị tấn công; tập chung vào các hình thức chính sau: Các cuộc tấn công mạng nở rộ; ăn cắp tài khoản; chuyển tiền, rửa tiền; lừa đảo trực tuyến bằng email (kể cả email tiếng việt); phát tán nhiều thư rác

và tấn công botnet

1.3.3- Tính cấp thiết việc bảo mật cho CPĐT

Việc đảm bảo bảo mật cho hệ thống CPĐT là một việc làm thường xuyên và liên tục, nó đòi hỏi phải kết hợp

cả về công nghệ, giải pháp và cơ chế chính sách… Để đạt được điều đó, chúng ta cần thực hiện một số công việc cụ thể sau: Bảo đảm an toàn mạng và hạ tầng thông tin cho dữ liệu và ứng dụng công nghệ thông tin, phát triển nguồn nhân lực và nâng cao nhận thức về an toàn thông tin, môi trường pháp lý về an toàn thông tin

Hệ thống các chính sách về an toàn thông tin cần được triển khai có hiệu lực dựa trên một hệ thống tiêu chí đánh giá mức độ đảm bảo an toàn thông tin và mức độ tội phạm về an toàn thông tin

1.4- Kết luận chương:

Các ứng dụng CPĐT là kênh giao tiếp giữa người dân và Chính phủ cũng như kênh điều hành giữa các cơ quan quản lý các cấp nên việc đảm bảo bảo mật cho các thông tin này là rất quan trọng Mô hình triển khai CPĐT ở Việt Nam hiện nay vẫn đang trong quá trình xác lập và do

sự hình thành qua nhiều bước, nhiều giai đoạn trên cơ sở nhiều giải pháp khác nhau nên hiện vẫn tồn tại nhiều nguy

cơ gây mất an toàn

Chương 2: NGHIÊN CỨU VỀ CÁC NGUY

CƠ VÀ GIẢI PHÁP BẢO MẬT

2.1.1- Mô hình Chính phủ với người dân (G2C)

Hệ thống CPĐT có thể cung cấp cho người dân các dịch vụ sau: Xử lý và phát hành một loạt các giấy phép và chứng chỉ; Thông tin luật pháp và hành chính; Các dịch vụ trả tiền, bao gồm hoàn thuế và các khoản phúc lợi xã hội;

Cơ hội tham gia vào các cơ quan chính phủ thông qua việc yêu cầu và bỏ phiếu điện tử

2.1.2- Mô hình Chính phủ với doanh nghiệp - kinh doanh (G2B).

Dịch vụ điện tử G2B hiệu quả cần có các ứng dụng ICT sau:

- Hệ thống thủ tục điện tử hợp nhất như hệ thống thủ tục hành chính một cửa bao gồm tất cả các quy trình liên quan đến thủ tục hành chính

- Một hệ thống hải quan điện tử có thể sắp xếp hợp

lý hoá hệ thống quản lý hải quan trong ngành công nghiệp xuất nhập khẩu và hình thành một hành lang chống buôn lậu hiệu quả Thương mại điên tử để hỗ trợ việc mua bán hành hoá và dịch vụ trực tuyến

2.1.3- Mô hình Chính phủ với Chính phủ (G2G)

Ứng dụng G2G điện tử có mục đích cải tổ cách thức hoạt động nội bộ của chính phủ nhằm tăng cường hiệu quả các việc:

- Những hệ thống báo cáo của chính quyền trung ương và địa phương được kết nối, mang lại sự chính xác

- Tạo ra việc chia sẻ thông tin giữa các cơ quan chính phủ theo cách thức chia sẻ dữ liệu cơ sở

- Tạo ra việc chia sẻ sáng kiến và nguồn lực giữa các

Hệ thống CPĐT luôn là mục tiêu để các hacker tấn công nhằm lấy cắp dữ liệu Có rất nhiều hình thức tấn công

mà các đối tượng hacker có thể lợi dụng để đánh cắp dữ liệu như: chiếm quyền điều khiển, tấn công website, cài virus, Trojan…

2.2.1.2- Các nguy cơ về sửa đổi thông tin

Đôi khi, hacker tấn công vào hệ thống CSDL của các cơ quan Chính phủ không phải để đánh cắp hay phá hủy mà đơn giản chỉ là để thay thế, sửa đổi nội dung trong

đó Những thông tin dữ liệu bị thay thế, sửa đổi làm sai lệnh nội dung ban đầu Ngoài ra, chúng còn có thể lấy cắp những dữ liệu quan trọng, bí mật nhà nước khi mà không

có biện pháp bảo vệ cơ sở dữ liệu hợp lý

2.2.1.3- Các nguy cơ về từ chối dịch vụ

Tấn công từ chối dịch vụ DoS (Denial of Service) là một kiểu tấn công làm cho một hệ thống không thể sử dụng, hoặc làm chậm đi một cách đáng kể bằng cách làm quá tải tài nguyên của hệ thống Đối với hệ thống CPĐT, tấn công từ chối dịch vụ sẽ gây khó khăn không chỉ cho các

cơ quan Chính phủ mà cả đối với người dân, doanh nghiệp,

nó làm cho mọi hoạt động của các phía liên quan bị ảnh hưởng, gây thiệt hại nặng về kinh tế, chính trị, ảnh hưởng

uy tín của cơ quan Chính phủ

2.2.1.4- Các nguy cơ về phá hủy thông tin

Các cơ quan Chính phủ, các tổ chức, đơn vị thường mắc sai lầm khi không dành đủ thời gian, nguồn lực cũng như kinh phí để đánh giá tác động của sự ngừng trệ đối với dịch vụ và hệ thống thông tin của họ, hậu quả do dữ liệu bị phá hủy đó là: thiệt hại về kinh tế do hệ thống bị ngừng trệ, ảnh hưởng về chính trị, ảnh hưởng tới các chính xách kinh

tế - xã hội khi hệ thống CSDL của các đơn vị bị phá hủy

2.2.2- Rủi ro và quản lý rủi ro:

Việc đảm bảo cho một hệ thống CNTT hoạt động ổn định và đảm bảo an toàn bảo mật là một vấn đề quan trọng, nhưng việc các sự cố về hạ tầng, CSDL,… trong hệ thống CNTT có thể xẩy ra bất cứ khi nào, với bất kỳ hệ thống nào Do đó ngoài việc đảm bảo an toàn bảo mật đối với một

hệ thống CNTT đặc biệt là hệ thống CPĐT chúng ta còn cần phải có các giải pháp, phương án đảm bảo khi xẩy ra sự

cố việc khắc phục, hạn chế thiệt hại về kinh tế và đảm bảo thời gian khắc phục nhanh, tối ưu nhất cũng là một vấn đề quan trọng và không thể bỏ qua

2.2.3- Vấn đề con người trong bảo mật thông tin

Con người luôn là trung tâm của tất cả các hệ thống bảo mật, bởi vì tất cả các cơ chế, các kỹ thuật được áp dụng

để bảo đảm an toàn hệ thống đều có thể dễ dàng bị vô hiệu hoá bởi con người trong chính hệ thống đó Để đảm bảo mức độ an toàn, bảo mật cao cho các hệ thống CPĐT cần xem xét, điều chỉnh thêm các quy định về các mặt sau: Các chính sách và quy định về việc sử dụng khai thác tài nguyên trên hệ thống mạng CPĐT hầu như chưa có; Các quy định về việc sử dụng dịch vụ; Các quy định về việc đưa máy tính vào hệ thống mạng; Các quy định chính sách đối với các cán bộ, đơn vị; Các quy định đối với người dùng cuối; Các quy định quản lý thiết bị…

2.2.4- Các dạng nguy cơ an ninh đối với các

- Tấn công truy cập Dos, gây tắc nghẽn hệ thống mạng, người dân không thể truy cập và sử dụng được các dịch vụ cần thiết, dẫn tới công việc, hệ thống bị ảnh hưởng

- Hacker sửa đổi nội dung các thông tin, các mẫu tờ khai mà Chính phủ cần cung cấp cho người dân

2.2.4.2- Nguy cơ trong mô hình Chính phủ với doanh nghiệp - kinh doanh (G2B)

Kẻ xấu lợi dụng, tấn công làm ngưng trệ sự hoạt động của các dịch vụ cung cấp cho doanh nghiệp, doanh nghiệp không truy cập, sử dụng được các dịch vụ trực tuyến Sửa đổi các thông tin, kết quả bỏ thầu, dả dạng các dịch vụ của CPĐT để lấy cắp thông tin doanh nghiệp, gây thiết hại về kinh tế và làm ảnh hưởng đến uy tín của các cơ quan Chính phủ

2.2.4.3- Nguy cơ trong mô hình Chính phủ với Chính phủ (G2G)

Trong mô hình G2G vấn đề bảo mật chủ yếu liên quan tới bên trong hệ thống cũng như con người của các cơ quan Chính phủ, các nguy cơ chính là: Người sử dụng để

lộ, mất thông tin, để lộ thông tin truy cập vào hệ thống Trình độ quản trị hệ thống máy chủ, thiết bị mạng của cán

bộ CNTT yếu dẫn tới kẻ sấu lợi dụng, truy cập trái phép vào hệ thống đánh cắp thông tin, phá hủy và sửa đổi thông tin, cơ sở dữ liệu

2.3- Tìm hiểu các giải pháp bảo mật CPĐT:

2.3.1- Các nhóm giải pháp chung tương ứng với các nguy cơ

Bảng dưới đây sẽ đưa ra mối quan hệ giữa các biện pháp an ninh và nguy cơ an ninh, quan hệ này có thể áp dụng cho mỗi khía cạnh an ninh Phần giao giữa lớp an ninh với mặt phẳng an ninh thể hiện một khía cạnh an ninh,

tại đó các biện pháp an ninh được áp dụng để chống lại các nguy cơ an ninh

Chữ “Y” trong mỗi ô của bảng thể hiện việc nguy cơ

an ninh ở cột tương ứng sẽ bị chặn bởi biện pháp an ninh tại hạ tầng tương ứng Đây là một bảng rất quan trọng, dựa vào đó ta có thể tìm ra các loại giải pháp có thể đối với một loại nguy cơ

Bảng 2.2:Mối quan hệ giữa các nguy cơ và giải pháp an ninh

2.3.2- Giải pháp về công nghệ, hạ tầng kỹ thuật

2.3.2.1- Điều khiển truy nhập

Giải pháp này nhằm hạn chế và điều khiển các truy cập từ ngoài vào các phần tử trong hệ thống mạng như: các thiết bị mạng, các dịch vụ và các ứng dụng Một số lựa

chọn để thực hiện giải pháp này là: Sử dụng hệ thống Router, Firewall, Switch

2.3.2.2- Đảm bảo an toàn trong quá trình truyền

dữ liệu

Một lựa chọn phù hợp cho giải pháp này là sử dụng VPN và chứng thực 2 nhân tố cho người dùng Với những ứng dụng nội bộ hoặc công tác quản trị trong hệ thống CPĐT hiện nay, giải pháp bảo mật tốt nhất để đảm bảo an toàn trong quá trình truyền dữ liệu là sử dụng VPN và chứng thực 2 nhân tố Hệ thống VPN cho phép bảo mật truyền tin Hệ thống chứng thực 2 nhân tố cho phép bảo vệ mật khẩu truy cập Tại lớp mạng nội bộ UBND tỉnh cần triển khai tập trung VPN song song với hệ thống chứng thực RSA Secure ID đảm nhận việc chứng thực 2 nhân tố

2.3.2.3- Đảm bảo tính khả dụng

Việc đảm bảo cho người sử dụng trong hệ thống CPĐT luôn có thể sử dụng các dịch vụ và các ứng dụng một cách an toàn, hợp lệ là vấn đề cốt lõi Giải pháp hữu hiệu để thực hiện biện pháp này là chúng ta cần sử dụng một hệ thống phát hiện / ngăn chặn truy cập trái phép (IDS/IPS) hay sử dụng cơ chế dự phòng (Reduntdance) IDS/IPS có vai trò dò tìm lỗ hổng để xác định các dấu hiệu tấn công vào các thiết bị mạng và các nguồn tài nguyên khác từ đó đưa ra các biện pháp ngăn chặn kịp thời

2.3.2.4- Xây dựng hệ thống dự phòng và khắc phục thảm họa

Để gia tăng dự phòng cho hệ thống mạng cũng như phục vụ tốt điều hành lãnh đạo của cơ quan Chính phủ, Hệ thống mạng CPĐT cần phải tính đến có một hệ thống dự phòng và các giải pháp khắc phục sau thảm họa một cách hữu hiệu nhất Giải pháp tốt nhất là xây dựng hệ thống máy chủ lưu trữ sao lưu dữ liệu tại Trung tâm dữ liệu

2.3.2.5- Giải pháp phân lớp tại Trung tâm DL

Theo mô hình thiết kế trung tâm dữ liệu thường được chia thành 4 lớp:

- Vùng Font-End: gồm các máy chủ Web, DNS,…

- Vùng Application: là nơi đặt các Server để thực hiện các ứng dụng chính của Trung tâm dữ liệu

- Vùng Back-End: gồm các máy chủ MailBox, File Server, Backup Server, máy chủ DataBase …

- Vùng lưu trữ Storage: gồm hệ thống SAN switch Tại các lớp được thiết lập Firewall, hệ thống IPS và chống DDoS theo mô hình sau:

Hình 2 4: Mô hình các lớp trong bảo mật Trung tâm dữ liệu

2.3.2- Giải pháp về Cơ sở dữ liệu

2.3.2.1- Giải pháp đảm bảo toàn vẹn dữ liệu

- Sử dụng chữ ký số: Việc sử dụng chữ ký số, xác

thực điện tử trong hệ thống CPĐT nhằm đảm bảo an toàn bảo mật cho các giao dịch là vấn đề quan trọng , cấp thiết

- Sử dụng phần mềm chống virus: Việc xây dựng

một hệ thống diệt virus tập trung cho toàn bộ hệ thống mạng LAN trong các cơ quan nhà nước sẽ đem lại hiệu quả

cao trong việc đảm bảo an toàn, toàn vẹn cơ sở dữ liệu, góp phần đảm bảo an toàn, an ninh thông tin trong hệ thống mạng CPĐT

2.3.2.2- Giải pháp bảo mật dữ liệu

Phương pháp này nhằm đảm bảo bí mật cho người gửi cũng như người nhận CSDL, tránh được những rủi do không đáng có của bên thứ 3 gây ra Mã hóa là một cách để giữ cho dữ liệu an toàn, cho dù chúng ta truyền nó qua Internet, sao lưu lên máy chủ hoặc lưu trên máy tính xách tay của mình Một số phương pháp mã hóa đề xuất sử dụng: Áp dụng cơ chế mật khẩu một lần, mã hóa dữ liệu cho người dùng trên nền web

2.3.3- Giải pháp về con người, cơ chế chính sách

2.3.3.1- Chính sách bảo mật người dùng:

Trong môi trường mạng CPĐT, một số chính sách

về bảo mật thông tin sau đây cần quan tâm: Các yêu cầu quản lý tập trung; quản lý truy cập người dùng; trách nhiệm người dùng; giám sát mạng; kiểm soát truy cập ứng dụng; theo dõi truy cập và sử dụng hệ thống; kết nối từ xa và làm việc qua mạng

2.3.3.2- Các chính sách

- Chính sách bảo mật nhân sự

- Chính sách về quản lý thiết bị

- Chính sách về quản lý truy cập

- Chính sách bảo mật tài liệu

2.4- Tìm hiểu một số giải pháp bảo mật cho các ứng dụng CPĐT của các hãng cung cấp

2.4.1- Giải pháp của Hãng Cisco

Cisco Systems Việt Nam đã giới thiệu Hệ thống điện toán hợp nhất Cisco phục vụ cho CPĐT, đó là giải pháp bảo mật hội tụ Giải pháp này được thiết kế để giúp các