Báo cáo: Xây dựng quy định về sử dụng ứng dụng và quy trình đảm bảo an toàn cho hệ thống

• Ở Việt Nam, các doanh nghiệp và tổ chức hiểu an toàn hệ thống thông tin là khái niệm thuộc về công nghệ, nên chỉ tập trung và việc đầu tư các thiết bị phần cứng, nâng cấp hệ thống, x

Nội dung

• 1 Tầm quan trọng của an toàn bảo mật

đối với hệ thông thông tin.

• 2 Các tiêu chuẩn chính sách an toàn

thông tin (ISO/IEC 27001)

• 3 Phân tích, đưa ra các chính sách tiêu

chuẩn trong việc xây dựng và sử dụng

trang web khoa công nghệ thông tin – Học

viện Kỹ thuật Quân sự.

Sự phát triển của ứng dụng công nghệ thông tin trong đời

sống, kinh tế, xã hội.

• Phát triển nhanh cả về số lượng và chất lượng

• Ứng dụng ngày một áp dụng rộng rãi trong tất cả các

lĩnh vực về mọi mặt đời sống kinh tế xã hội

• Một phần thiết yếu không thể thiếu, phục vụ đời sống

con người, nâng cao chất lượng cuộc sống.

• Phục vụ cho nghiên cứu khoa học

• Ứng dụng thực tiễn thúc đẩy kinh tế, văn hóa, xã hội

phát triển.

An toàn an ninh trong công nghệ thông tin

Sự phát triển của công nghệ thông tin mang lại nhiều lợi ích cho cuộc sống con người song còn tồn tại nhiều vấn đề cần

phải quan tâm, một trong số đó là an toàn thông tin

+) Nguy cơ rò rỉ, mất an toàn thông tin+) Thường dễ dàng bị tấn công, làm mất thông tin hoặc sập đổ hệ thống dẫn đến mất dữ liệu, gây hậu quả lớn

+) Các lĩnh vực nhạy cảm như quốc phòng an ninh, tài chính, tiền tệ cũng sử dụng công nghệ thông tin để phục vụ hoạt

động của tổ chức mình, chính vì thế cần phải thực sự chú trọng

đến phát triển và đầu tư cho vấn đề đảm bảo an ninh thông tin

An toàn an ninh trong công nghệ thông tin

* Thực trạng tại Việt Nam

- Đảm bảo an ninh thông tin cho một hệ thống là khó để kiểm

soát, chi phí lớn, lợi nhuận không nhìn thấy ngay nên ở Việt

Nam các doanh nghiệp tổ chức cơ quan dường như không để

tâm và hạn chế đầu tư cho lĩnh vực này, hậu quả :

+) Nửa đầu tháng 9/2014, có tổng cộng 1039 website bị tấn công, các cuộc tấn công chủ yếu đến từ Trung Quốc

Nhu cầu cấp thiết cần phải xây dựng các ứng dụng có tính chống

chịu cao và xây dựng các quy định chung cho việc

An toàn an ninh trong công nghệ thông tin

• Con người và kỹ thuật là hai mắt xích quan trọng trong các mắt xích góp phần đến

sự ảnh hưởng của an toàn thông tin.

• Con người là khâu yếu nhất cần được chú trọng nhất.

• Ở Việt Nam, các doanh nghiệp và tổ chức hiểu an toàn hệ thống thông tin là khái

niệm thuộc về công nghệ, nên chỉ tập trung và việc đầu tư các thiết bị phần cứng,

nâng cấp hệ thống, xây dựng giải pháp, tái cấu trúc hệ thống vật lý… Trong đó

những vấn đề mang tính quyết định trong an toàn thông tin thì các tổ chức chưa

thực sự quan tâm, cụ thể như:

+)Chính sách an toàn thông tin chưa được hoạch định bài bản.

+) Trách nhiệm an toàn thông tin chưa được giao rõ ràng và chi tiết đến mỗi

bộ phận, đến mỗi loại thông tin

+) Chưa có kế hoạch, phương án xử lý rủi ro khi xuất hiện mối đe dọa an toàn thông tin.

+) Việc truyền thông an toàn thông tin trong tổ chức chưa được phổ biến, tập huấn đầy đủ đến các cấp quản lý, đến mỗi nhân viên.

An toàn an ninh trong công nghệ thông tin

• Cũng giống như ngoài xã hội, muốn xã hội được phát triển ổn

định, bình thường, không có các tệ nạn và vi phạm pháp luật

để ảnh hưởng đến môi trường sống của xã hội thì người ta sử

dụng các luật để là căn cứ cho người dân biết những việc nào

không được làm, vừa mang tính răn đe để biết được hậu quả

của việc vi phạm đó sẽ sợ mà không làm

• Trong an toàn an ninh thông tin người ta cũng đưa ra các chính sách, tiêu chuẩn và các quy định về sử dụng ứng dụng, quy

trình đảm bảo an toàn cho hệ thống, hạn chế những thói quen

xấu như:

– Thao tác cập nhật tin tức trên mạng xã hội

– Thói quen sử dụng các thiết bị

Chính sách an toàn thông tin.

Khái niệm về chính sách an toàn thông tin:

• Một chính sách là phát biểu mức cao của niềm tin, mục tiêu,

đối tượng của công ty và nghĩa chung cho mục tiêu cần đạt

được trong một lĩnh vực Đối với các hệ thống, tùy vào mức độ quan trọng, tùy vào quy trình xử lý nghiệp vụ mà có những

chính sách khác nhau, tất nhiên dựa trên các tiêu chuẩn chung

đã được quy định ISO 29700.

• Khái niệm tiêu chuẩn: Là yêu cầu bắt buộc để hỗ trợ các

chính sách riêng rẽ.

Các tiêu chuẩn, chính sách an toàn thông tin ISO 27001

• ISO 27001 là tiêu chuẩn của Anh về hệ thống quản lý an ninh thông tin (viết tắt là

ISMS).

• Trước đây tiêu chuẩn này có tên gọi là BS 7799 và ISO 17799.

• ISO 27001 phù hợp với mọi tổ chức lớn nhỏ và áp dụng được với mọi lĩnh vực kinh tế trên

toàn thế giới.

• Đảm bảo cho hệ thống có thể làm việc liên tục mà không xảy ra sự phá hoại hoặc mất mát nào

• Các nguyên nhân dẫn đến mất mát thông tin và dữ liệu:

– Thiên tai hỏa hoạn, lũ lụt.

– Mất ngẫu nhiên hoặc do quản lý kém

– Bị đánh cắp từ các hệ thống ở bên ngoài, hoặc do nhân viên bị mua chuộc nên tiết lộ

thông tin.

Tất cả điều trên đều gây ra hậu quả khôn lường cho tổ chức.

• Triển khai ISO 27001 sẽ xác định loại thông tin trong tổ chức, xác định mối nguy hại và mối

đe dọa Sau đó có thể thiết lập hệ thống, sự kiểm soát và quy trình để giảm thiểu các mối nguy

hại.

Các tiêu chuẩn, chính sách an toàn thông tin ISO 27001

Các lợi ích mà ISO 27001 đem lại cho tổ chức bao gồm:

• Sự liên tục trong kinh doanh

• Đánh giá được mối nguy và triển khai được các phương pháp để giảm bớt ảnh

hưởng

• An ninh được cải thiện

• Kiếm soát việc truy cập

• Tiết kiệm chi phí

• Tạo ra một quá trình quản lý nội bộ

• Tuyên truyền cam kết của bạn để bảo vệ dữ liệu của khách hàng.

• Chứng minh được rằng bạn tuân thủ các quy định pháp luật

• Xác định được rằng các lãnh đạo cấp cao thực sự nghiêm túc trong việc bảo mật dữ liệu.

• Đánh giá thường xuyên để duy trì hiệu quả bảo mật

• Cung cấp chứng nhận độc lập

Phần II Phân tích và xây dựng các quy định và quy trình sử

dụng an toàn cho trang web khoa công nghệ thông tin

HVKTQS

• Giới thiệu về trang web khoa.

Trang web khoa công nghệ thông tin của Học viện Kỹ thuật quân sự là một trang web phục vụ trong nhà trường hỗ trợ các hoạt động nghiệp vụ đào tạo và còn là kênh thông tin giữa

sinh viên với khoa, với trường

Nhóm người sử dụng

• Giáo viên chủ nhiệm:

+) Nhập thông tin sinh viên.

+) Nhập điểm từ phòng đào tạo vào cơ sở dữ liệu +) Giáo viên đảm nhiệm môn học

+) Nhập tài liệu tham khảo và một số thông tin cho môn học.

+) Giáo viên đảm nhiệm vai trò quản trị +) Nhập thông tin cho các dữ liệu của giáo viên +) Đưa thông tin cho đề tài sinh viên và phản hồi.

+) Cập nhật thông tin cho mỗi bộ môn

• Sinh viên

+ Xem thông tin cá nhân + Xem điểm.

Triển khai mô hình phần cứng

Triển khai phần cứng:

- Mô hình client /server.

- 2 server : 1 ở trung tâm công nghệ thông tin, 1 ở phòng thí nghiệm khoa,2 máy

chạy song hành cùng nhau, được đồng bộ hóa trong quá trình xử lý.

- Hệ thống máy client nằm ở trung tâm công nghệ thông tin và phòng làm việc của

các bộ môn, việc truy cập với quyền quản trị viên chỉ được thiết lập với một số máy nhất định.

- Hệ thống mạng trường sử dụng mạng không dây, có đăng ký mật khẩu, chống truy

cập một số trang web nhất định như youtube, facebook ….

• Hiệu quả của triển khai phần cứng như trên:

• Tính an toàn được đảm bảo cao, hạn chế về rủi ro.

• Hạn chế được sự truy cập bừa bãi, kể cả khi làm người quản trị làm mất mật

khẩu, thì kẻ lấy cắp cũng khó để truy cập được ở ngoài.

• Hệ thống mạng được thiết lập riêng trong học viện bảo đảm tính an toàn ,bảo

mật cao.

Triển khai mô hình nghiệp vụ cho hệ thống.

• Thực hiện quản lý sinh viên Đưa thông tin sinh viên vào hệ thống sau đó có thể sử dụng các

chức năng thống kê báo cáo đê đưa ra các thông tin sinh viên với một mục đích cụ thể.

• Thực hiện quản lý giáo viên: Đưa thông tin giáo viên vào hệ thống, sử dụng các chức năng

báo cáo thống kê để đưa ra các thông tin về giáo viên.

• Thực hiện quản lý môn học: Đưa thông tin về môn học ứng với các khoa ngành, giáo viên

đảm nhiệm cụ thể, giáo viên đảm nhiệm môn học sẽ là người cung cấp thông tin về tài liệu

tham khảo, đề cương bài giảng, đề cương chi tiết, đề cương ôn tập cho môn học và các thông

tin liên quan khác Việc đưa thông tin bài giảng lên trên trang web khoa dưới quyền đăng nhập

của giáo viên thì giáo viên phải chịu trách nhiệm,

• Thực hiện quản lý điểm: Giáo viên nhận điểm từ phòng đào tạo lên, điểm nhập vào là do

giáo viên chủ nhiệm, quy trình nghiệp vụ của chức năng này là giáo viên chủ nhiệm sau khi

nhận được tờ phiếu điểm của phòng đào tạo gửi xuống văn phòng khoa, sẽ có nhiệm vụ lấy về

nhập điểm cho sinh viên, việc nhập điểm có hiệu lực sau 1 tuần kể từ khi văn phòng gửi điểm

xuống văn phòng khoa.

• Thực hiện chức năng thông tin của trang web khoa.

Mọi nghiệp vụ liên quan đến việc đưa thông tin vào trang web khoa phải được diễn ra dưới hệ thống máy đã quy định đặt trong học viện, không cho phép bất kì cá nhân nào được truy

cập ở các thiết bị bên ngoài(nhiệm vụ thuộc về đội ngũ xây dựng phần mềm)

Những đe dọa đối với hệ thống

• Các đe dọa đến từ nhân tố con người

– Lỗi không chú ý đến quá trình nhập liệu, dẫn đến bỏ quên làm hỏng

thông tin.

– Gian lận và trộm cắp: Lỗi hệ thống có chủ tâm.

– Các tấn công do chủ ý từ bên ngoài vào.

– Lỗ hổng bảo mật do thói quen của con người có thể làm gây hại cho hệ

thống:

+) Tin tưởng vào các ứng dụng cấp qua mạng +) Sử dụng hệ thống không đúng chỉ dẫn, không đúng quy định.

+) Tin tưởng vào người dùng trong hệ thống.

+) Bị lừa qua mạng, thói quen truy cập mạng.

+) Sử dụng các thiết bị lưu trữ không đúng cách +) Mất mật khẩu, không có biện pháp quản lý mật khẩu tôt, không thực hiện đổi mật khẩu định kỳ, tạo mật khẩu tính bảo mật kém,

Những đe dọa với hệ thống

Biện pháp hạn chế những đe dọa của hệ thống từ phía người dùng:

khóa tài khoản trong một khoảng thời gian nhất định trước

khi tiếp tục cho đăng nhập nếu tiếp tục đăng nhập vượt qua

Những đe dọa với hệ thống

- Về phía người sử dụng:

• Mật khẩu đăng nhập hệ thống phải có độ phức tạp cao (có độ

dài tối thiểu 8 ký tự, ký tự số và ký tự đặc biệt như !, @, #, $,

Những đe dọa với hệ thống

• 2 Vấn đề về bảo mật thông tin

- Giải pháp về kỹ thuật

+) Phải đảm bảo yêu cầu bảo mật thông tin và các thỏa thuận bí mật Mã hóa các thông tin cần bảo vệ, sử dụng mã hóa dữ liệu sql mã hóa

theo từng cột user, pass, đối với người quản trị chỉ có thể có được user mà

không được phép xem pass.

+) Mọi công việc nghiệp vụ liên quan đến hệ thống chỉ có thể được tiến hành trong cơ quan nơi làm việc, không được phép diễn ra ở những nơi

công cộng khác.

- Giải pháp về phía con người

+) Tuyệt đối không tiết lộ thông tin của cơ quan ra bên ngoài, cần có chế

tài hợp lý cho những kẻ để lộ thông tin.

Những đe dọa với hệ thống

• Vấn đề về phân quyền

Đảm bảo phân cấp trách nhiệm đảm bảo an toàn thông tin trong tổ chức.Tiến hành phân cấp đến mức nhỏ nhất cho các đối tượng tham gia hệ

thống đảm bảo tính hiện quả và tránh tranh chấp Biện pháp tiến hành đảm

bảo xây dựng phân quyền logic cho hệ thống, đảm bảo người dùng có quyền

tương ứng với các chức năng nằm trong quyền hạn và công việc của mình

Giới hạn việc sử dụng các chức năng của chương trình đối với từng nhóm đối

tượng khác nhau.

Người sử dụng phải có nhiệm vụ giữ bí mật đối với mật khẩu để thực hiện đúng quyền của mình, tránh các lỗi trong quá trình thực hiện ghi nhập.

Những đe dọa với hệ thống

• Quy tắc về sử dụng mạng: không trao đổi công việc trên các hệ thống

mạng xã hội hoặc email, chỉ cung cấp những hỗ trợ thiết yếu nhất bảo đảm duy trì hoạt động của hệ thống thông tin, hạn chế sử dụng các trang mạng

không lành mạnh, không cần thiết.

• Khi phát hiện ra bất kỳ dấu hiện nào liên quan đến việc bị nhiễm mã độc

trên máy trạm (ví dụ: máy hoạt động chậm bất thường, cảnh báo từ phần

mềm phòng chống mã độc, mất dữ liệu,…), người sử dụng phải tắt máy và báo trực tiếp cho bộ phận có trách nhiệm của đơn vị để xử lý

Những đe dọa với hệ thống

• Quy tắc về sử dụng các thiết bị sao lưu dự phòng.

• Quy tắc xử lý và sử dụng thông tin

• +) Mỗi giáo viên,sinh viên chỉ được phép truy cập các thông tin phù hợp với chức năng, trách nhiệm, quyền

hạn của mình, có trách nhiệm bảo mật tài khoản truy

cập thông tin.

• +) hệ thống có rất nhiều nghiệp vụ liên quan đến việc

cập nhật thông tin vậy làm thế nào để đảm bảo an

toàn thông tin khi việc cập nhật thông tin nhiều thế

Những đe dọa đến từ tấn công hệ thống máy tính

• Những đe dọa đến từ các vụ tấn công trên hệ thống máy tính

xuất phát từ việc phải đảm bảo các yếu tố về mặt kỹ thuật và

công nghệ, việc triển khai hệ thống tường lửa và các hệ thống

diệt vi rút, nhận dạng các yếu tố nguy hiểm cho hệ thống

• Ngoài ra còn xuất phát từ thói quen sử dụng các thiết bị lưu trữ ngoài không đúng và thói quén sử dụng mạng, tính tò mò khi

sử dụng các ứng dụng trên internet cũng là điểm mà những kẻ

tấn công mạng chú ý tới

• Biện pháp : Triển khai cấu hình mạng an toàn đến từng thiết

bị, triển khai hệ thống công nghệ bảo vệ hệ thống cùng với có

chính sách đối với nhân viên trong việc sử dụng internet Sử

dụng các giao thức bảo mật mạng như IPSec, SSL để chống

lại các loại hình tấn công phiên, chống tấn công nghe lén.

Những đe dọa đến hệ thống máy tính

• Hệ thống được xây dựng lên phải đảm bảo chức năng vê sao

lưu dự phòng

Các dữ liệu quan trọng cần phải sao lưu , bao gồm: thông tin

cấu hình của hệ thống mạng, máy chủ; phần mềm ứng dụng và

cơ sở dữ liệu; tập tin ghi nhật ký

• +) Các cơ quan phải lập kế hoạch và thực hiện sao lưu dữ liện

phù hợp với điều kiện của từng cơ quan, đảm bảo khả năng

phục hồi dữ liệu khi có sự cố xảy ra

Những đe dọa đến hệ thống máy tính

• Phải xây dựng hệ thống quản lý logfile: Hệ thống

thông tin cần ghi nhận các sự kiện: quá trình đăng

nhập vào hệ thống, các thao tác cấu hình hệ thống

Thường xuyên kiểm tra, sao lưu (backup) các logfile

theo từng tháng để lưu vết theo dõi, xác định những

sự kiện đã xảy ra của hệ thống và hạn chế việc tràn

logfile gây ảnh hưởng đến hoạt động của hệ thống

dạng nhật ký người dùng với các nội dung như: nội

dung thay đổi, lý do thay đổi, thời gian, vị trí thay

đổi,

Những đe dọa đến hệ thống máy tính

• Phải có biện pháp tổ chức quản lý tài khoản: Các tài

khoản và định danh người dùng trong hệ thống thông

tin, bao gồm: tạo mới, kích hoạt, sửa đổi và loại bỏ

các tài khoản , đồng thời tổ chức kiểm tra các tài

khoản của hệ thống thông tin ít nhất 6 thang một lần,

thông qua các công cụ của hệ thống Hủy tài khoản,

quyền truy nhập hệ thống thông tin, thu hồi lại tất cả

các tài sản liên quan tới hệ thống thông tin (khóa, thẻ

nhận dạng, thư mục lưu trữ, ) đối với cán bộ, công

chức, viên chức đã chuyến công tác, chấm dứt hợp

đồng lao động.

Thank You!

www.themegallery.com