Xây dựng các chính sách an toàn bảo mật thông tin cho thư viện điện tử theo iso 17799 27001

Giờ đây an toàn thông tin được xếp ngang hàng với những vấn đề thiết thực trong cuộc sống như: an toàn thực phẩm, an toàn y tế, an toàn lao động...Cụ thể có rất nhiều văn bản của chính p

ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH

TRƯỜNG ĐẠI HỌC KHOA HỌC XÃ HỘI VÀ NHÂN VĂN

-

NGUYỄN VĂN HIỆP

MẬT THÔNG TIN CHO THƯ VIỆN ĐIỆN TỬ THEO

ISO 17799 - 27001

LUẬN VĂN THẠC SĨ KHOA HỌC

THÔNG TIN THƯ VIỆN

THÀNH PHỐ HỒ CHÍ MINH - NĂM 2014

ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH

TRƯỜNG ĐẠI HỌC KHOA HỌC XÃ HỘI VÀ NHÂN VĂN

-

NGUYỄN VĂN HIỆP

MẬT THÔNG TIN CHO THƯ VIỆN ĐIỆN TỬ THEO

LỜI CAM ĐOAN

Tôi xin cam đoan đây là công trình nghiên cứu của riêng tôi Kết quả nghiên cứu là trung thực và chưa được ai công bố

Người cam đoan

Nguyễn Văn Hiệp

LỜI CẢM ƠN

Trong quá trình thực hiện luận văn, tôi đã nhận được sự quan tâm, giúp đỡ, động viên và chia sẻ từ gia đình, thầy cô và các đồng nghiệp

Tôi xin gửi lời cảm ơn chân thành đến TS.Đào Thế Long – người Thầy

đã tận tình hướng dẫn, giúp đỡ và động viên tôi trong suốt quá trình thực hiện

đề tài, tôi xin gửi lời cảm ơn chân thành nhất tới Thầy

Tôi xin cảm ơn Ban Giám đốc và cán bộ thư viện trường Đại học học Khoa học Xã hội & Nhân văn đã hỗ trợ tôi trong quá trình tôi khảo sát và thu thập dữ liệu

Cảm ơn các thầy cô trong khoa Thư viện – Thông tin học, gia đình, đồng nghiệp đã hỗ trợ và tạo điều kiện cho tôi hoàn thành luân văn đúng tiến độ Xin chân thành cảm ơn

thông tin

Infrastructure

Hạ tầng khóa công khai

RSA

R- Rivest S- Shamir A- Adleman

Thuật toán mã hóa công khai

Standard Oganization

Tổ chức tiêu chuẩn quốc tế

COBIT

Control Objectives for Information and Related Technology

Quản trị, đánh giá

hệ thống thông tin và giải pháp công nghệ

Giao thức điều khiển truyền thông/giao thức internet

Protocol

Giao thức truyền tập tin

Transfer Protocol

Giao thức truyền thư điện tử đơn giản

DANH MỤC CÁC HÌNH

Hình 1.1 Tam giác an toàn bảo mật thông tin CIA

Hình 1.2 Đối tượng tác động lên hệ thống thông tin

Hình 1.3 Cấu trúc của một chính sách ATTT

Hình 2.1 Sơ đồ hệ thống TVĐT

Hình 2.2 Cấu trúc mạng TVĐT

Hình 2.3 Cơ cấu tổ chức bộ máy của một TVĐT

Hình 2.4: Các phân hệ của phần mềm quản lý thư viện

Hình 2.9.2 Hệ mật khóa công khai

Hình 3.1 Cơ cấu tổ chức tại trung tâm TTTV-ĐHKHXH&NV Hình 3.2 Sơ đồ mạng TTTT –TV ĐH KHXH&NV

MỤC LỤC

PHẦN MỞ ĐẦU 1

CHƯƠNG I : TỔNG QUAN VỀ AN TOÀN THÔNG TIN, CÁC CHUẨN AN TOÀN THÔNG TIN 7

1.1 An toàn thông tin, mục đích, vai trò và tầm ảnh hưởng của ATBMTT đến hệ thống thông tin 7

1.1.1 Định nghĩa ATBMTT, vai trò của ATBMTT trong hệ thống thông tin 7

1.1.2 Mục đích của ATBMTT, những nguyên tắc chung của ATBMTT 9

1.1.2.1 Mục đích của ATBMTT 9

1.1.2.2 Nguyên tắc chung của ATBMTT 11

1.1.3 Các mục tiêu cơ bản của ATBMTT trong HTTT 12

1.1.3.1 Tính Toàn vẹn 13

1.1.3.2 Tính bảo mật 14

1.1.3.3 Tính sẵn sàng 15

1.1.4 Các yếu tố bảo vệ thông tin: 15

1.1.4.1 Authentication (Xác thực) 15

1.1.4.2 Authorization (Ủy quyền) 16

1.1.4.3 Access control 16

1.1.4.4 Auditing hay Accounting (kiểm toán) 16

1.1.5 Đối tương tác động lên HTTT 17

1.1.6 Các thành phần cơ bản của ATBMTT 17

1.1.6.1 An toàn mức vật lý 17

1.1.6.2 An toàn mức tác nghiệp 18

1.1.6.2 Quản lý và chính sách 19

1.2 Quản lý chính sách ATBMTT – thành phần cơ bản trong các nội dung ATBMTT 21

1.2.1 Khái niệm chính sách ATBMTT, vai trò của chính sách ATBMTT 21

1.2.2 Các thành phần chính của một chính sách ATBMTT 24

Lời nói đầu/lời giới thiệu 24

Mục tiêu, mục đích của ATBMTT và chính sách ATBMTT 25

Định nghĩa về an toàn thông tin (Thuật ngữ và định nghĩa) 25

Cam kết quản lý an toàn thông tin (cam kết của lãnh đạo) 25

Sự chấp thuận chính sách ATBMTT (Chữ ký xác nhận) 26

Nguyên tắc an toàn bảo mật thông tin 26

Vai trò và trách nhiệm 26

Các hình thức xử phạt khi vi phạm chính sách ATBMTT 27

Đánh giá và giám sát 27

1.3 Quản lý ATBMTT Theo ISO 17799/27001[10,1,40] 28

1.3.1 Quá trình hình thành và phát triển của ISO 17799 và ISO 27001 [23, 24,40] 29

1.3.2 ISO/IEC 17799 [10] 30

1.3.2.1 Lợi ích của ISO 17799/27001 31

1.3.2.2 Nội dung tiêu chuẩn ISO 17799 [ 40 ] 33

1.3.2.2.1 Chính sách an ninh chung (Security Policy) 33

1.3.2.2.2 Tổ chức an toàn thông tin (Organizing Information Security) 33

1.3.2.2.3 Quản lý sự cố an toàn thông tin (Information Security Incident Management) 34

1.3.2.2.4 Xác định, phân cấp và quản lý tài nguyên (Asset Management) 34

1.3.2.2.5 An ninh nhân sự (Human Resources Security) 35

1.3.2.2.6 An ninh vật lý và môi trường (Physical and Environmental Security) 35

1.3.2.2.7 Quản trị CNTT và mạng (Communication and Operations Management) 35 1.3.2.2.8 Quản lý truy cập (Access Control) 35

1.3.2.2.9 Phát triển và duy trì hệ thống (Informations System Acquisition, Development and Maintenance) 36

1.3.2.2.10 Quản lý tính liên tục kinh doanh (Business Continuity Management) 36

1.3.2.2.11 Yếu tố tuân thủ luật pháp (Compliance) 36

1.3.3 ISO 27001 36

1.3.3.1 Đối tượng áp dụng 37

1.3.3.2 Lợi ích 38

CHƯƠNG II: THƯ VIỆN ĐIỆN TỬ – ĐỐI TƯỢNG BẢO MẬT VÀ AN TOÀN THÔNG TIN 39

2.1 Tổng quan về TVĐT 39

2.1.1 Khái niệm thư viện và TVĐT 39

2.1.2 Đặc điểm thư viện điện tử 41

2.1.2.1.Hạ tầng công nghệ thông tin 41

2.1.2.2.Về tài nguyên thông tin 41

2.1.3 Cấu trúc thư viện điện tử 42

2.1.3.1 Tài liệu số 42

2.1.3.2 Cán bộ Thư viện điện tử 44

2.1.3.3 Cơ sở vật chất, hạ tầng kỹ thuật công nghệ 46

2.1.3.3.1 Máy chủ: 46

2.1.3.3.2 Máy trạm 47

2.1.3.3.3 Phần mềm 48

a Hệ điều hành và hệ quản trị CSDL 48

b Các phần mềm hệ thống, bảo mật và các phần mềm dịch vụ 48

c Hệ thống phần mềm quản trị thư viện tích hợp 48

2.1.3.4 Người sử dụng thư viện 50

2.1.4 Cấu trúc mạng IT và môi trường vật lý mạng 51

2.1.5 Phân cấp quản lý, phân quyền truy cập hệ thống 53

2.1.6 Các yêu cầu về an toàn thông tin trong TVĐT 56

2.2 Những điểm yếu ATTT tác động lên TVĐT 58

2.2.1 Các điểm yếu (nguy cơ) từ cơ sở hạ tầng kỹ thuật 58

2.2.2 Các điểm yếu trên giao thức TCP/IP 59

2.2.3 Các điểm yếu từ các sản phẩm phần mềm 60

2.2.4 Các điểm yếu do người dùng 62

2.3 Các giải pháp ATBMTT đối với TVĐT 63

2.3.1 An toàn vật lý 63

2.3.2 An toàn hạ tầng mạng 64

2.3.2.1 Ngăn chặn, chống truy cập trái phép 66

2.3.2.2 An toàn hệ điều hành (Operating system security) 67

2.3.2.3 Sao lưu và phục hồi sau sự cố 72

2.3.1.4 Xây dựng chính sách an ninh mạng 74

2.3.3 An toàn dữ liệu (an toàn tài nguyên dữ liệu số) 75

2.3.3.1 Sự vi phạm an toàn cơ sở dữ liệu 76

2.3.3.2 Các mức độ an toàn cơ sở dữ liệu 76

2.3.3.3 Những quyền hạn khi sử dụng hệ cơ sở dữ liệu 78

2.3.3.4 Khung nhìn (VIEW) –một cơ chế bảo vệ 78

2.3.3.5 Cấp phép các quyền truy nhập 79

2.3.3.6 Kiểm tra dấu vết 79

2.3.3.7 Sử dụng mật mã trong an toàn thông tin 79

2.3.3.7.1 Hàm băm – Hash functions 80

2.3.3.7.2Mã hóa đối xứng – Symmetric 81

2.3.3.7.3Mã hóa bất đối xứng – AssymmetricKey Cryptography 82

2.3.4 An toàn người sử dụng 82

CHƯƠNG III: VẤN ĐỀ AN TOÀN BẢO MẬT THÔNG TIN TẠI TRUNG TÂM THÔNG TIN - THƯ VIỆN TRƯỜNG ĐẠI HỌC KHOA HỌC XÃ HỘI VÀ NHÂN VĂN – ĐHQG TPHCM 85

3.1 Thực trạng an toàn bảo mật thông tin tại Trung tâm Thông tin - Thư viện trường Đại học KHXH&NV TPHCM 85

3.1.1 Giới thiệu chung về Trung tâm Thông tin Thư viện trường Đại học KHXH&NVTPHCM (TTTT-TVĐHKHXH&NV) 85

3.1.2 Thực trạng an toàn thông tin tại TTTT-TVĐHKHXH&NV 86

3.1.2.1 Từ phía nhà quản lý 86

3.1.2.2 Từ phía nhân viên thư viện 87

3.1.2.3 Từ phía nhân viên IT 87

3.1.2.4 Từ phía sinh viên, người sử dụng 88

3.1.2.4.1 Về kỹ năng sử dụng máy tính và internet 89

3.1.2.4.2 Về nhận thức an toàn thông tin 96

3.1.2.5 Các điểm yếu về ATBMTT trong Trung tâm TTTV-ĐHKHXH&NV TPHCM 101

3.1.2.5.1 Phân cấp quản lý 101

Ban giám đốc thư viện (BGĐTV) 102

Khối nghiệp vụ 102

 Phòng xử lý kỹ thuật 102

 Phòng Thông tin – Tư liệu 102

Khối phục vụ 103

3.1.2.5.2 Mô hình hệ thống mạng 104

3.1.2.5.2.1 An ninh vật lý 105

3.1.2.5.2 Đảm bảo vận hành hệ thống 105

3.1.2.5.3 Sử dụng các phần mềm 105

3.1.2.5.4 Cấu trúc mạng 106

3.1.2.5.3 Các chính sách bảo vệ thông tin 108

Chính sách mật khẩu 108

3.1.2.5.4 Khả năng phòng chống các cuộc tấn công khai thác dữ liệu của Website và các phần mềm thư viện 108

3.1.2.5.5 Khả năng phục hồi, backup hệ thống sau sự cố 111

CHƯƠNG IV: XÂY DỰNG CHÍNH SÁCH AN TOÀN BẢO MẬT THÔNG TIN CHO HỆ THỐNG THÔNG TIN THƯ VIỆN TRƯỜNG ĐHKHXH&NV THEO ISO 17799 - 27001 113

4.1 Mô hình mạng an toàn 114

4.1.1 Tường lửa lớp ngoài (Border FW) 114

4.1.2 Switch 116

4.1.3 Thư điện tử 117

4.1.4 Hệ thống phòng phát hiện xâm nhập (IDS - Intrusion Detection System) 117

4.1.5 Kiểm soát nội dung lưu thông 117

4.1.6 Ghi biên bản và giám sát thường xuyên truy cập 117

4.2 ATBMTT nội bộ (máy trạm và máy chủ) 118

4.2.1 Kiểm soát virus 118

4.2.2 Bảo vệ chống lại các hành vi trái phép 118

4.2.3 Bảo vệ bằng mật mã đối với dữ liệu 118

4.2.4 Bảo vệ bằng tường lửa cá nhân 118

4.2.5 Lưu trữ dự phòng dữ liệu 118

Kiểm soát truy cập 118

4.2.7 An toàn thông tin vật lý 119

4.3 Phân loại tài nguyên thông tin - Vai trò và trách nhiệm 119

4.3.1 Trách nhiệm cá nhân 119

4.3.2 Phân loại tài nguyên 120

4.4 Vai trò và trách nhiệm 121

4.4.1 Phân loại người sử dụng 121

4.4.1.1 Nhóm các nhà quản lý 121

4.4.1.2 Nhóm các quản trị 121

4.4.1.3 Nhóm nhân viên 122

4.4.1.4 Độc giả và người dùng vãng lai (Public Users) 122

4.4.2 Quy trình tiếp cận với các thông tin thuộc diện được bảo vệ 122

4.5 Những qui tắc, yêu cầu và hướng dẫn đảm bảo ATBMTT nội bộ 123

4.5.1 Qui tắc bảo vệ bằng mật khẩu 123

4.5.2 Qui tắc bảo vệ khỏi virus và mã chương trình độc hại 124

4.5.3 Yêu cầu kiểm soát truy cập vật lý 124

4.5.4 Các hướng dẫn tiêu hủy thông tin hoặc thiết bị một cách an toàn 125

4.5.5 Các hướng dẩn ATBMTT chỗ làm việc ( các tài liệu trên bàn làm việc, trên màn hình) 126

4.6 Các qui tắc ATBMTT về truy cập từ xa 126

4.7 Các qui tắc thực hiện truy cập vật lý tại chỗ 126

4.7.1 Những yêu cầu sao lưu dự phòng thông tin 127

4.7.2 Những yêu cầu giám sát và ghi nhật ký chẩn đoán (Diagnostic Log) 127

4.7.3 Những yêu cầu giám sát truy cập và sử dụng hệ thống, ghi nhật ký 128

4.7.4 Những yêu cầu khi làm việc với vật mang tin 128

4.7.5 Những yêu cầu khi đăng ký người dùng 129

4.7.6 Những yêu cầu về kiểm soát quyền của người dùng 130

4.7.7 Những yêu cầu về kiểm soát truy cập vào hệ điều hành 130

4.7.8 Yêu cầu đối với thủ tục đăng nhập vào hệ thống (Logon) 130

4.8 Các qui tắc làm việc từ xa của người dùng cơ động 131

4.9 Yêu cầu phân chia trách nhiệm trong đảm bảo ATBMTT 132

4.10 Các qui tắc ATBMTT khi tuyển dụng 132

4.11 Yêu cầu kiểm soát các thay đổi trong hoạt động của hệ thống 133

4.12 Các yêu cầu kiểm soát dữ liệu đầu vào 133

4.13 Các yêu cầu về ứng dụng các phương tiện mật mã 134

4.13.1 Yêu cầu sử dụng mật mã 134

4.13.2 Các tiêu chuẩn, các thủ tục, các phương pháp 134

4.14 Những yêu cầu về kiểm soát phần mềm hệ điều hành (HĐH) 135

4.15 Những yêu cầu kiểm soát truy cập và các văn bản đầu vào, phần mềm và thư viện 135 4.16 Yêu cầu kiểm soát các thay đổi 136

4.17 Mã nguồn độc hại và Trojan 137

4.18 Yêu cầu về đảm bảo tính liên tục 137

4.18.1 Các xu thế đảm bảo sự liên tục vận hành của HTTTTV 137

4.18.2 Quá trình quản lý hoạt động phục vụ liên tục 138

4.18.3 Sự liên tục vận hành của HTTTTV và phân tích ảnh hưởng 138

4.18.4 Lập và áp dụng kế hoạch hoạt động liên tục 138

4.18.5 Các cơ sở lập kế hoạch hoạt động liên tục 139

4.18.5 Thử nghiệm, hỗ trợ, và đánh giá kế hoạch đảm bảo liên tục 139

4.19 Những yêu cầu tuân thủ bản quyền đối với phần mềm 140

4.20 Những yêu cầu đảm bảo tính toàn vẹn của chứng cứ 141

4.20.1 Mức độ cho phép của chứng cứ 141

4.20.2 Chất lượng và mức độ đầy đủ của chứng cứ 141

4.20.3 Những yêu cầu về quản lý giám sát hệ thống (System Audit) 141

4.21 Một số hướng dẫn sử dụng các chính sách ATBMTT 142

Hướng dẩn 1: Khi tuyển dụng nhân viên vào làm việc và trao cho nhân viên mới quyền hạn cần thiết để có thể truy cập tài nguyên hệ thống 142

Hướng dẫn 2: Cho thôi việc và loại trừ quyền truy cập thông tin của nhân viên 142

Hướng dẩn 3 :Hành động của nhân viên thuộc các phòng khác nhau, kể cả các nhân viên nhóm ATBMTT, nhằm loại trừ hậu quả trong các trường hợp khẩn cấp (tai nạn hoặc khác thường) 143

Hướng dẫn 4:Các thủ tục kiểm tra trong trường hợp xảy ra sự cố 146

KẾT LUẬN 148

TÀI LIỆU THAM KHẢO 149

PHỤ LỤC 155

PHẦN MỞ ĐẦU

1 Lý do chọn đề tài

Sự phát triển như vũ bão của công nghệ thông tin và truyền thông đang ngày một tác động sâu sắc đến kinh tế, chính trị và đời sống xã hội Ngày càng nhiều tổ chức, đơn vị, doanh nghiệp hoạt động lệ thuộc gần như hoàn toàn vào hệ thống mạng máy tính, máy tính và cơ sở dữ liệu Nói cách khác, khi hệ thống thông tin hoặc cơ sở dữ liệu gặp sự cố thì hoạt động của các đơn vị này bị ảnh hưởng nghiêm trọng, thậm chí

có thể bị tê liệt hoàn toàn

Chưa bao giờ vấn đề đảm bảo an toàn bảo mật thông tin (ATBMTT) lại nhận được nhiều sự quan tâm như hiện nay Giờ đây an toàn thông tin được xếp ngang hàng với những vấn đề thiết thực trong cuộc sống như: an toàn thực phẩm, an toàn y

tế, an toàn lao động Cụ thể có rất nhiều văn bản của chính phủ được đưa ra yêu cầu các cơ quan, tổ chức, doanh nghiệp thực hiện các biện pháp đảm bảo an toàn thông tin trong hoạt động của đơn vị mình, đơn cử như Luật giao dịch điện tử, nghị định (NĐ) 63/2007/NĐ-CP: Qui định về xử phạt hành chính trong lĩnh vực công nghệ thông tin, NĐ64/2007/NĐ-CP: Về việc ứng dụng công nghệ thông tin trong hoạt động các cơ quan nhà nước, NĐ 90/2008/NĐ-CP: Chống thư rác, chỉ thị 897/CT-TTg: Về việc tăng cường triển khai các hoạt động đảm bảo an toàn thông tin số, hay chỉ thị 03/2007/CT-BBCVT: Tăng cường đảm bảo ATTT trên internet… với các yêu cầu như: Cơ quan nhà nước phải xây dựng nội quy bảo đảm an toàn thông tin; có cán bộ phụ trách quản lý an toàn thông tin; áp dụng, hướng dẫn và kiểm tra định kỳ việc thực hiện các biện pháp đảm bảo cho hệ thống thông tin (HTTT) trên mạng đáp ứng các tiêu chuẩn, quy chuẩn kỹ thuật về an toàn thông tin [4]…phải xây dựng quy trình, quy chế đảm bảo an toàn thông tin cho các HTTT, tham khảo các chuẩn quản lý an toàn thông tin TCVN 7652, ISO 17799/27001, đảm bảo khả năng truy vết và khôi phục thông tin trong trường hợp có sự cố [6] [7]

Tuy nhiên, việc xây dựng một hệ thống đảm bảo an toàn bảo mật thông tin toàn diện, hiệu quả chưa bao giờ là một công việc dễ dàng, đặc biệt đối với các cơ quan thông tin – thư viện nơi vấn đề ATBMTT còn là một khái niệm khá mới mẻ, nơi cán

bộ thư viện còn yếu về công nghệ thông tin, nơi mà vấn đề ATBMTT thường được mặc định dành cho bộ phận IT,…(do đó chúng ta cứ loay hoay trong một mớ các câu

hỏi, an toàn thông tin phải thực hiện từ đâu, cái gì làm trước, cái gì làm sau, ai chịu trách nhiệm thực hiện công việc này, an toàn thông tin cần có những yếu tố nào)…Thư viện Việt Nam hiện nay, đặc biệt là các thư viện điện tử (TVĐT), thư viện

số đã có những bước phát triển vượt bậc dưới sự trợ giúp đắc lực của công nghệ thông tin và internet.Tuy nhiên, khi xây dựng HTTT, các thư viện điện tử thường không tuân theo một quy tắc chuẩn hay xây dựng một chính sách ATBMTT làm kim chỉ nam cho hoạt động của mình, do đó HTTT rất dễ bị các tin tặc tấn công, phá hoại Với mong muốn trả lời các câu hỏi: để đảm bảo ATBMTT trong HTTT thư viện cần

bắt đầu từ đâu, làm gì, làm như thế nào? tôi chọn: “Xây dựng các chính sách an

toàn bảo mật thông tin cho các thư viện điện tử theo chuẩn ISO 17799 – 27001”

làm đề tài cho luận văn tốt nghiệp của mình

2 Tóm lược tình hình nghiên cứu

Bảo mật an toàn thông tin là một vấn đề không mới đối với các ngành nghề như tài chính, ngân hàng,…và một số ngành nghề khác, đồng thời thu hút sự quan tâm nghiên cứu của nhiều tổ chức trên thế giới và đông đảo các nhà nghiên cứu, các viện nghiên cứu, các trường đại học, đặc biệt là vấn đề an toàn thông tin trong thương mại điện tử

Liên hiệp quốc cũng đã nghiên cứu và phổ biến về “Chính phủ điện tử và Thương mại điện tử” thông qua tài liệu giảng dạy tới các quốc gia do Trung tâm đào tạo phát triển công nghệ thông tin và truyền thông Châu Á- Thái Bình Dương (APCICT) nghiên cứu với mục tiêu truyền đạt các kiến thức cho các nhà lãnh đạo Chính phủ tại các Quốc gia Châu Á- Thái Bình Dương nhằm hoạch định chính sách quản lý và các sáng kiến về chính phủ điện tử và thương mại điện tử một cách hiệu quả hơn Ủy ban Châu Âu- Viện bảo vệ và an ninh công dân thuộc Trung tâm nghiên cứu hỗn hợp ISPRA- Italia cũng đã nghiên cứu về: “Chiến lược tin cậy và an toàn B2C trong thương mại điện tử” Nghiên cứu này đã đi sâu phân tích một cách có hệ thống về mối quan hệ giữa công nghệ, xã hội, kinh tế và chính sách nhằm đem lại sự an toàn

và tin tưởng trong thương mại điện tử Stayling Wen, một doanh nhân Đài Loan cũng nghiên cứu và cho ra đời cuốn sách “Tương lai của thương mại điện tử” Cùng với rất nhiều các tác giả khác trên thế giới cũng có các công trình nghiên cứu về về mạng

xã hội, kinh doanh, công cụ trực tuyến, công cụ tìm kiếm, an ninh mạng, bảo mật,

khung pháp lý, công nghệ và cơ sở hạ tầng cho thương mại điện tử của các quốc gia trên thế giới

Chính phủ Việt Nam đã thống nhất về mặt quản lý nhà nước về thương mại điện

tử bằng việc thành lập Cục Thương mại điện tử và Công nghệ thông tin thuộc Bộ Công Thương Cùng với đó là một số công trình nghiên cứu thương mại điện tử về bảo mật, an toàn và pháp lý đã được biết tới như: Báo cáo đề tài nhánh KC01-05 của Ban cơ yếu Chính phủ năm 2004: “Nghiên cứu, xây dựng giải pháp bảo mật thông tin trong thương mại điện tử” Đề tài: “Pháp luật về thương mại điện tử tại Việt Nam: thực trạng và một số khuyến nghị” do Tiến sĩ Nguyễn Anh Sơn – Phó vụ trưởng Vụ Pháp chế, Bộ Công Thương Công trình: “Luật thương mại quốc tế, các văn bản nền tảng của Ủy ban Liên Hợp Quốc về Luật thương mại quốc tế của UNCITRAL Kỷ yếu hội thảo khoa học quốc tế “Thương mại điện tử và phát triển nguồn nhân lực” do Tiến sĩ Nguyễn Mạnh Quyền- Phó Cục trưởng Cục Thương mại điện tử và Công nghệ thông tin chủ biên

Tuy nhiên, vấn đề bảo mật an toàn thông tin còn khá mới mẻ đối với lĩnh vực thư viện thông tin ATBMTT chưa nhận được sự quan tâm đúng mức của các nhà quản

lý, hoạch định, các nhà nghiên cứu trong lĩnh vực thông tin - thư viện Bằng chứng là rất ít tài liệu, công trình nghiên cứu, bài viết đề cập đến vấn đề này, đặc biệt là các tài liệu tiếng Việt Cụ thể chỉ có hai tài liệu đề cập tới vấn đề an toàn thông tin trong hoạt

động thư viện, trong đó tác giả Nguyễn Cương Lĩnh với bài viết: “Đảm bảo an toàn

thông tin trong các thư viện hiện đại” đăng trên tạp chí Thư viện Việt Nam [11] có

trình bày sơ lược về an toàn thông tin trong thư viện hiện đại, với những cái nhìn ban đầu về vấn đề an toàn thông tin trong thư viện, lý do phải chú ý đến vấn đề an toàn thông tin, cùng với đó là một số lưu ý được tác giả đưa ra nhằm đảm bảo an toàn thông tin trong thư viện Bài viết thứ hai của hai tác giả Nguyễn Thái Sơn và Nguyễn

Tuấn Nghĩa “Vấn đề đảm bảo an ninh mạng tại trung tâm thông tin – thư viện, Đại

học Vinh” [12], trình bày những vấn đề cần lưu ý trong việc xây dựng và đảm bảo an

ninh hệ thống mạng, cùng với những chính sách để nâng cao khả năng an ninh máy tính tại trung tâm thông tin – thư viện Đại học Vinh Tuy nhiên những chính sách được đưa ra chủ yếu là các giải pháp công nghệ chưa toàn diện và đầy đủ

Do đó việc xây dựng các chính sách bảo mật an toàn thông tin cho các TVĐT theo chuẩn ISO 17799 / 27001 là một đề tài mới và cần thiết

3 Mục đích và nhiệm vụ nghiên cứu

- Mục đích nghiên cứu: Trên cơ sở tiêu chuẩn ISO 17799/27001 luận văn tiến

hành nghiên cứu những vấn đề chung về an toàn thông tin trong TVĐT làm tiền đề cho việc tìm hiểu thực trạng an toàn thông tin tại trung tâm thông tin thư viện trường Đại học Khoa học Xã hội và Nhân văn – Đại học Quốc gia Tp HCM và đưa ra chính sách ATBMTT cho thư viện này

- Nhiệm vụ nghiên cứu: Để đạt được mục đích nghiên cứu đã đề ra, đề tài xác định phải giải quyết các nhiệm vụ sau:

+ Trình bày tổng quan về an toàn bảo mật thông tin, mục đích, nội dung và các thành phần cấu thành, các nguy cơ, rủi ro của việc mất an toàn thông tin

+ Chính sách an toàn thông tin, các chuẩn an toàn thông tin trên thế giới

+ Mô hình TVĐT Việt Nam, các thành phần cấu thành, cấu trúc TVĐT, các thành phần cần bảo mật và nội dung bảo mật

+ Xác định các điểm yếu về an toàn thông tin trong TVĐT

+ Thực trạng an toàn thông tin tại Trung tâm thông tin - Thư viện trường Đại học Khoa học Xã hội và Nhân văn TP.HCM

+ Xây dựng chính sách ATBMTT cho TVĐT tại trung tâm thông tin - thư viện trường ĐH KHXH&NV TP.HCM

4 Đối tượng và phạm vi nghiên cứu

- Đối tượng nghiên cứu: Chính sách bảo mật an toàn thông tin cho các TVĐT

theo chuẩn ISO 17799 / 27001

- Phạm vi nghiên cứu: Luận văn tập trung nghiên cứu thực trạng ATBMTT

trong TVĐT nói chung, và cụ thể tại trung tâm thông tin – thư viện trường Đại học Khoa học Xã hội & Nhân văn trên cơ sở ISO 17799 và 27001 từ đó xây dựng chính sách ATBMTT phù hợp với các TVĐT, cụ thể tại trung tâm thông tin – thư viện trường Đại học Khoa học Xã hội và Nhân văn TP.HCM

5 Phương pháp nghiên cứu

Để thực hiện luận văn, tác giả sử dụng đồng thời và hài hòa các phương pháp nghiên cứu sau:

- Phương pháp nghiên cứu, phân tích và tổng hợp tài liêu: Được sử dụng để

tìm hiểu cơ sở lý luận về an toàn bảo mật thông tin, các chuẩn bảo mật an toàn thông tin trên thế giới, mô hình TVĐT, lịch sử nghiên cứu vấn đề

- Phương pháp phỏng vấn: Được sử dụng để phỏng vấn trực tiếp cán bộ quản

lý, cán bộ phụ trách mảng công nghệ thông tin của thư viện để hiểu rõ hơn thực trạng

an toàn bảo mật thông tin, nhận thức và định hướng trong vấn đề bảo mật, an toàn thông tin của thư viện

- Phương pháp điều tra bảng hỏi: Luận văn tiến hành khảo sát nhận thức an

toàn thông tin của người sử dụng trung tâm thông tin thư viện trường ĐHKHXH&NV TPHCM bằng google docs nhằm mục đích thu thập số liệu về kiến thức an toàn thông tin của người sử dụng làm cơ sở cho việc xây dựng chính sách ATBMTT

- Phương pháp xử lý số liệu: Được sử dụng nhằm xử lý các số liệu thu thập

được trong quá trình khảo sát, tổng hợp số liệu thành các bảng biểu, biểu đồ làm cơ

sở cho việc đánh giá thực trạng ATBMTT của thư viện, nhận thức của người sử dụng

về vấn đề an toàn bảo mật thông tin

6 Hướng tiếp cận tư liệu để thực hiện đề tài

- Tài liệu của Đảng, Nhà nước về vấn đề bảo mật toàn thông tin

- Các chuẩn bảo mật an toàn thông tin trên thế giới, ở đây đề tài nghiên cứu hai chuẩn bảo mật an toàn thông tin được sử dụng rộng rãi ngày nay là chuẩn ISO 17799 / 27001

- Tài liệu nội bộ của thư viện trường ĐHKHXH&NV về vấn đề bảo mật an toàn thông tin

- Các loại tài liệu tham khảo, báo, tạp chí, cơ sở dữ liệu, kỷ yếu hội thảo…có nội dung liên quan đến những vấn đề cần nghiên cứu

7 Ý nghĩa khoa học và ý nghĩa thực tiễn

- Ý nghĩa khoa học:

Đề tài góp phần làm sáng tỏ ý nghĩa, vai trò của vấn đề ATBMTT trong hoạt động thư viện, đồng thời đưa ra một chính sách mẫu về ATBMTT trong hoạt động TVĐT

- Ý nghĩa thực tiễn:

 Kết quả nghiên cứu của luận văn sẽ góp phần làm rõ tầm quan trọng của ATBMTT trong hoạt động thư viện, từ chính sách ATBMTT mà luận văn xây dựng cho trung tâm thông tin – thư viện trường Đại học Khoa học Xã hội và Nhân văn TP.HCM, các thư viện có thể tham khảo để xây dựng một chính sách ATBMTT riêng phù hợp với điều kiện thực tế của thư viện mình

 Luận văn có thể đươc dùng làm tài liệu tham khảo, làm cơ sở cho việc biên soạn bài giảng phục vụ cho việc học tập và nghiên cứu trong lĩnh vực thông tin – thư viện

8 Bố cục của luận văn

Ngoài phần mở đầu, kết luận, tài liệu tham khảo, bố cục của luận văn được chia làm 4 chương:

Chương I: Tổng quan về an toàn thông tin, các chuẩn an toàn thông tin

Chương II:Thư viện điện tử – đối tượng bảo mật vàan toàn thông tin

Chương III: Vấn đề an toàn bảo mật thông tin tại trung tâm thông tin - thư viện

trường Đại học Khoa học Xã hội và Nhân văn – TP.HCM

Chương IV: Xây dựng chính sách an toàn bảo mật thông tin cho HTTT thư viện

trường ĐH KHXH&NV TP.HCM theo ISO 17799 /27001

CHƯƠNG I : TỔNG QUAN VỀ AN TOÀN THÔNG TIN,

CÁC CHUẨN AN TOÀN THÔNG TIN

1.1 An toàn thông tin, mục đích, vai trò và tầm ảnh hưởng của ATBMTT đến hệ thống thông tin

1.1.1 Định nghĩa ATBMTT, vai trò của ATBMTT trong hệ thống thông tin

Công nghệ thông tin và truyên thông ngày càng phát triển, những khái niệm như

an ninh mạng, bảo mật, an toàn thông tin, không còn xa lạ đối với mỗi chúng ta ATBMTT giờ đây không chỉ còn là mối quan tâm của các công ty, tổ chức liên quan đến tài chính, ngân hàng mà nó cũng là mối quan tâm của các thư viện Đặc biệt là các TVĐT, thư viện số nơi mà các hoạt động thư viện đang dần được tự động hóa, mục lục truyền thống được thay thế bằng mục lục điện tử, cùng với đó là các dịch vụ trực tuyến dựa trên web được cung cấp cho người sử dụng

Thông tin là một loại tài sản, cũng như các loại tài sản quan trọng khác của các

cơ quan tổ chức hay các cơ quan thông tin - thư viện, chúng có giá trị cho mỗi cơ quan - tổ chức và do đó cần được bảo vệ thích hợp ATBMTTlà bảo vệ thông tin trước các nguy cơ mất an toàn nhằm đảm bảo tính liên tục trong hoạt động của các tổ chức, doanh nghiệp, giảm thiểu sự phá hoại và gia tăng tới mức tối đa cơ hội phát triển

An toàn nghĩa là thông tin được bảo vệ, các hệ thống và những dịch vụ có khả năng chống lại những tai họa, lỗi và sự tác động không mong đợi, các thay đổi tác động đến độ an toàn của hệ thống là nhỏ nhất Đảm bảo an toàn là một trong những chỉ tiêu chất lượng cơ bản của hệ thống truyền tin số

Thông tin có thể tồn tại dưới nhiều dạng Thông tin có thể được in hoặc được viết trên giấy, được lưu trữ dưới dạng điện tử, dạng văn bản hoặc phi văn bản Nhưng cho

dù tồn tại dưới dạng nào đi chăng nữa, thông tin được đưa ra với hai mục đích chính

là chia sẻ và lưu trữ, và luôn cần có sự bảo vệ thích hợp Vậy an toàn thông tin là gì?

An toàn thông tin bao gồm các hoạt động quản lý, nghiệp vụ và kỹ thuật đối với

HTTT nhằm bảo vệ, khôi phục các hệ thống, các dịch vụ và nội dung thông tin đối với nguy cơ tự nhiên hoặc do con người gây ra Việc bảo vệ thông tin, tài sản và con người trong HTTT nhằm bảo đảm cho các hệ thống thực hiện đúng chức năng, phục

vụ đúng đối tượng một cách sẵn sàng, chính xác và tin cậy An toàn thông tin bao hàm các nội dung bảo vệ và bảo mật thông tin, an toàn dữ liệu, an toàn máy tính và

an toàn mạng [1]

Theo ISO 17799/27001 [40] An Toàn Thông Tin là khả năng bảo vệ đối với môi

trường thông tin kinh tế xã hội, đảm bảo cho việc hình thành, sử dụng và phát triển

vì lợi ích của mọi công dân, mọi tổ chức và của quốc gia Thông qua các chính sách

về ATBMTT , lãnh đạo thể hiện ý chí và năng lực của mình trong việc quản lý HTTT ATBMTT được xây dựng trên nền tảng một hệ thống các chính sách, quy tắc, quy trình và các giải pháp kỹ thuật nhằm mục đích đảm bảo an toàn tài nguyên thông tin

mà tổ chức đó sở hữu cũng như các tài nguyên thông tin của các đối tác, các khách hàng trong một môi trường thông tin toàn cầu

An toàn thông tin là sự duy trì tính bảo mật, tính toàn vẹn và tính sẵn sàng của thông tin; ngoài ra còn có thể bao hàm một số tính chất khác như tính xác thực, kiểm soát được, không từ chối và tin cậy [3]

Thông tin là tài sản vô giá của mỗi tổ chức, doanh nghiệp, mỗi cơ quan thông tin – thư viện, tuy nhiên, thông tin chỉ có giá trị cao khi đảm bảo tính chính xác và kịp thời, hệ thống chỉ có thể cung cấp các thông tin có giá trị thực sự khi các chức năng của nó đảm bảo hoạt động đúng đắn do đó, vấn đề ATBMTTcó một vị trí, vai trò vô cùng quan trọng trong việc giảm thiểu các rủi ro về thông tin, giúp các tổ chức, doanh nghiệp, cơ quan thông tin – thư viện phát triển một cách bền vững Càng ngày vấn đề đảm bảo an toàn thông tin càng trở nên khó khăn hơn, những khó khăn này có nhiều nguyên do khác nhau như: Trên mạng máy tính, thông tin được lưu giữ trên các thiết

bị vật lý (đĩa, băng từ…) hoặc được truyền qua mạng Những thông tin có giá trị luôn chịu những mối đe dọa của những người không được ủy quyền, họ có thể là những

kẻ tấn công bất hợp pháp hoặc những người trong nội bộ cơ quan, tổ chức có thông tin cần bảo vệ Mất an toàn do vấn đề dùng chung khi chia sẻ tài nguyên với nhau, chia sẻ tài nguyên dẫn đến việc mất an toàn thông qua việc truy cập, mất an toàn do việc bất cẩn của các nhân viên trong việc sử dụng các máy tính trong mạng nội bộ…Và một khi hệ thống bị xâm phạm thì hậu quả gây ra sẽ rất lớn như mất nhiều thời gian để khôi phục, giảm năng suất, tiêu tốn nhiều tiền của, làm ngừng trệ hoạt

động của hệ thống và hoạt động của tổ chức.Do đó việc đảm bảo an toàn thông tin là cực kỳ quan trọng và cần thiết

1.1.2 Mục đích của ATBMTT, những nguyên tắc chung của ATBMTT

Phòng ngừa: Đây là hành động nhằm ngăn chặn các hành động xâm phạm máy

tính hoặc thông tin một cách bất hợp pháp Việc ngăn chặn các hành vi trên đòi hỏi

sự phân tích cẩn thậnvà có những kế hoạch chi tiết Để thực hiện công việc này quả thật không đơn giản, và đòi hỏi các chuyên gia bảo mật thông tin không ngừng hoàn thiện khả năng của mình

Để làm tốt công việc phòng ngừa này điều trước tiên cần thực hiện là đo lường mức độ bảo vệ thông tin đang được thực hiện, nhằm bảo vệ thông tin không bị thay đổi trái phép, bị phá hoại, bị lộ ra khi có tai nạn hoặc do sự cố ý Sự phòng ngừa trước tiên là việc thiết lập các chính sách an toàn thông tin Chính sách an toàn thông tin, các chương trình nhận thức về bảo mật và các thủ tục điều khiển sự truy cập là các mối quan hệ tương quan và cần phải được xây dựng sớm Chính sách an toàn thông tin là nền tảng cho tất cả những gì được xây dựng lên

Đối tượng đầu tiên trong quá trình phát triển kế hoạch phòng ngừa là xác định những gì cần bảo vệ và tài liệu hóa các thông tin này trong một chính sách chung về

an toàn bảo mật thông tin Chính sách phải xác định trách nhiệm của tổ chức, của cá nhân và của người quản lý Chính sách này cũng đặt ra các trách nhiệm cho sự triển khai thực hiện, kỷ luật cần thi hành, sự kiểm tra và xem xét lại bảo mật Thêm nữa chính sách phải rõ ràng, ngắn gọn, xúc tích, mạch lạc, chặt chẽ và thống nhất Nếu không được hiểu rõ ràng, chính sách sẽ được thực thi kém và hiệu lực kiểm tra và xem xét lại sẽ kém hiệu quả Sau khi xây dựng một chính sách bảo mật an toàn thông

tin hoàn chỉnh, cần tiến hành quá trình nhận thức về bảo mật cho đội ngũ nhân viên, tức giáo dục nhân viên về tầm quan trọng của bảo mật, cách sử dụng các công cụ đo lường bảo mật, các thủ tục báo cáo về sự vi phạm chế độ bảo mật, và trách nhiệm chung của nhân viên khi thực thi chính sách an toàn thông tin Và công việc cuối cùng

là việc thiết lập các chính sách truy cập, tức là việc phân quyền truy cập dựa trên các yếu tố nhận biết căn bản Để quản lý truy cập bằng cách tạo lập các tài khoản sử dụng các phương pháp định danh, xác nhận để đảm bảo các quy tắc trong định danh và xác thực trong việc giới hạn truy cập tới các tài nguyên

Phát hiện: Nhằm xác định các sự kiện khi nó đang thực hiện Phát hiện hiểm hoạ

đối với HTTT là một vấn đề rất quan trọng Với sự đe dọa xung quanh ngày càng tăng, dù cho hệ thống đã được bảo vệ ở mức nào đi chăng nữa thì cũng vẫn luôn tiềm

ẩn những hiểm họa Và để cho HTTT được an toàn hệ thống nên được bảo vệ theo nhiều lớp, nhiều tuyến Có ít nhất bốn lớp cần được bảo vệ là: lớp ngoài bao quát toàn

bộ lãnh thổ hệ thống, trên đó bố trí các trang bị của HTTT; lớp thứ hai gồm các phòng làm việc và các trang bị của hệ thống; lớp thứ ba là các bộ phận cấu thành của hệ thống (các phương tiện kỹ thuật, các chương trình, các hệ CSDL) và lớp thứ tư bao gồm các quá trình xử lý thông tin Nguyên tắc nhiều lớp không chỉ dựa trên phương pháp ngăn chặn, từng bước làm suy yếu sự tấn công của đối phương mà còn vì sự đa dạng của các nhiệm vụ đảm bảo thông tin, đồng thời giúp cho việc phát hiện tấn công được dễ dàng hơn Mỗi khi một lớp bị hỏng thì nó sẽ được cảnh báo và sẽ được báo động thông qua hệ thống phát hiện xâm nhập trái phép (IDS) để từ đó có thể đưa ra các phương án đáp trả kịp thời khi sự cố diễn ra IDS có khả năng kiểm soát các hoạt động của hệ thống và thông báo cho người chịu trách nhiệm khi hoạt động đó cần kiểm tra chứng thực Hệ thống có thể dò tìm dấu vết tấn công, những thay đổi trên tập tin, cấu hình và các hoạt động khác của hệ thống Để bảo vệhệ thống thì toàn bộ

hệ thống cần được giám sát Các công cụ dò tìm xâm nhập máy tính trái phép sẽ được đặt ở một chỗ hợp lý trên mạng và trên tầng ứng dụng

Đáp trả: Đề cập tới vấn đề phát triển các chiến lược và kỹ thuật để có thể giải

quyết các cuộc tấn công hay mất mát dữ liệu Để quá trình phát hiện có giá trị, thì cần

có một kế hoạch đáp trả đúng lúc và thích hợp Việc phát triển một hệ thống đáp trả thích hợp bao gồm nhiều yếu tố từ đơn giản đến phức tạp.Đơn giản như việc đối phó

với các thảm họa tự nhiên như bão, động đất, ngập lụt, hỏa hoạn,… tới các vấn đề phức tạp hơn như đối phó lại các hiểm họa bảo mật máy tính và hệ thống hạ tầng công nghệ thông tin Kế hoạch đáp trả - đối phó phải được viết ra và thông qua các cấp lãnh đạo thích hợp Kế hoạch nên làm rõ mức độ ưu tiên của từng loại sự kiện và yêu cầu một mức cảnh báo và đối phó thích hợp đối với mỗi mức độ ưu tiên của các

sự kiện/hiểm họa

1.1.2.2 Nguyên tắc chung của ATBMTT

Trong quá trình xây dựng và thiết kế hệ thống ATBMTT, cần tuân thủ các nguyên tắc cơ bản sau:

Nguyên tắc đầu tiên là việc thẩm định về bảo mật phải đủ khó và cần tính tới tất

cả các tình huống, khả năng tấn công có thể được thực hiện Để thực hiện được công

việc trên, điều đầu tiên là cần thường xuyên hoàn thiện và phát triển hệ thống đảm bảo an toàn thông tin Hệ thống phải đảm bảo việc chống lại tất cả các tấn công từ bên ngoài và cả bên trong HTTT Thực tế cho thấy cùng với sự phát triển công nghệ

và đội ngũ hacker, các kiểu tấn công ngày càng tinh vi hơn, không ít trong số đó dễ dàng lọt qua các HTTT không được bảo vệ đầy đủ Do đó phải thường xuyên giám sát sự vận hành của hệ thống, phát hiện các điểm yếu, các kênh rò rỉ thông tin và các kiểu xâm nhập trái phép mới, hoàn thiện các cơ chế và phương pháp bảo vệ tùy thuộc vào đặc tính của các kiểu tấn công và các mối đe dọa mới Để đảm bảo nguyên tắc này, hệ thống ATBMTTphải được thiết kế mềmdẻo, có khả năng tích hợp các phương tiện mới

Thứ hai là cần đảm bảo tính hệ thống và tổng thể trong việc sử dụng các phương tiện đảm bảo ATBMTT Những kẻ xâm nhập bất hợp pháp vào hệ thống để khai thác

và phá hoại thông tin thường sử dụng mọi phương tiện và dựa vào sơ hở của hệ thống,

kể cả việc lợi dụng yếu tố con người Vì vậy các phương tiện đảm bảo ATBMTT phải đồng bộ và được kết hợp lại thành một thể thống nhất Hệ thống này là tập hợp các giải pháp về tổ chức - quản trị và các giải pháp kỹ thuật Trong đó, bên cạnh các giải pháp kỹ thuật, các giải pháp về tổ chức - quản trị hệ thống có vai trò đặc biệt Đó là quá trình đảm bảo kiểm soát an toàn sự vận hành của hệ thống, bố trí nguồn nhân lực chuyên trách một cách phù hợp, xây dựng chính sách an toàn và các quy định về vận hành hệ thống, sử dụng hợp lý các nguồn tài nguyên thông tin, các máy chủ, máy

trạm; những quy định này xác định yêu cầu cụ thể đảm bảo an toàn cho các thành phần của hạ tầng thông tin, mô tả các phương tiện và biện pháp thực hiện các yêu cầu được đặt ra trong chính sách ATBMTT và kiểm tra việc thực hiện chúng.Tài sản phải được bảo vệ cho tới khi hết giá trị sử dụng hoặc hết ý nghĩa bí mật

Thứ ba là cần đảm bảo nguyên tắc tập trung Công tác đảm bảo ATBMTT là

hoạt động có điều khiển, cần được quản lý thống nhất và vì vậy phải vận hành trên nguyên tắc tập trung Nguyên tắc này cho phép bám sát được các mục tiêu chung và tập trung được nguồn lực và phương tiện kỹ thuật để thực hiện các nhiệm vụ an toàn đặt ra

Thứ tư cần đảm bảo tính trong suốt đối với hạ tầng thông tin Hệ thống ATBMTT

phải đơn giản trong cách sử dụng Điều này có nghĩa là việc sử dụng hệ thống ATBMTT không nhất thiết đòi hỏi người sử dụng phải hiểu biết nhiều và phải thực hiện nhiều động tác phức tạp Ngoài ra, hệ thống ATBMTT cần được xây dựng và thiết kế sao cho không gây ra cản trở hoặc giảm hiệu quả họat động của HTTT

1.1.3 Các mục tiêu cơ bản của ATBMTT trong HTTT

Như chúng ta đều biết, đối với các cơ quan tổ chức nói chung và các cơ quan thông tin – thư viện nói riêng, thông tin/dữ liệu đóng một vai trò hết sức quan trọng, chúng ảnh hướng trực tiếp tới sự tồn tại và phát triển của các tổ chức này Vì vậy, việc bảo mật những thông tin và dữ liệu là điều vô cùng cần thiết, nhất là trong bối cảnh hiện nay khi các HTTT ngày càng được mở rộng với những đầu tư to lớn về cơ

sở hạ tầng, trang thiết bị, nguồn tài nguyên thông tin, dẫn đến tiềm ẩn nhiều nguy cơ không lường trước được

Khi phân tích một hệ thống bảo mật chúng ta cần xuất phát từ những tính chất cơ

bản của ATBMTT Có vùng dữ liệu yêu cầu tính bảo mật của thông tin, có vùng dữ liệu cần tính toàn vẹn, tất cả các dữ liệu đó đều phải được đáp ứng khi yêu cầu đó là

tính sẵn sàng của hệ thống Các tính chất:

- Tính bảo mật của thông tin (CONFIDENTIALITY)

- Tính toàn vẹn thông tin (INTERGRITY)

- Tính sẵn sàng của hệ thống (AVAILABILITY) [1]

Là ba góc của tam giác bảo mật CIA của một đối tượng cần bảo vệ [44] (Hình 1.1)

SECURITY OBJECTIVIES

 Tính bí mật (confidentiality): đảm bảo thông tin chỉ được truy cập bởi người

dùng hợp pháp.Giảm thiểu tối đa mọi hành vi ăn cắp, khai thác thông tin bất hợp pháp

 Tính toàn vẹn (integrity): bảo vệ tính chính xác, đầy đủ của thông tin cũng

như các phương pháp xử lý; Ngăn ngừa các hành vi sửa đổi, giả mạo thông tin

 Tính sẵn sàng (availability): đảm bảo những người dùng hợp pháp mới được

truy cập các thông tin và tài sản liên quan khi có yêu cầu.Hệ thống cần được sẵn sàng phục vụ và đứng vững trước mọi rủi ro khách quan và chủ quan [2]

1.1.3.1 Tính Toàn vẹn

Tính toàn vẹn dữ liệu trước hết liên quan đế an ninh vật lý Nếu các thiết bị vật lý này bị hư hỏng thì tính toàn vẹn của HTTT sẽ bị phá hủy Tiếp theo là việc đảm bảo an toàn phần mềm, ta biết rằng hoạt động của HTTT đều được xây dựng trên các phần mềm hệ thống, nếu hệ thống bị nhiễm virus, tài liệu bị phá hủy thì tính toàn vẹn của HTTT cũng bị phá hủy, bên cạnh đó cần quan tấm tới các vấn đề phòng chống sự phá hoại của các hacker đối với hệ thống

Tính toàn vẹn đảm bảo các file dữ liệu không bị thay đổi trong quá trình lưu trữ, chuyển giao và sử dụng Để đảm bảo dữ liệu được toàn vẹn người ta sử dụng các mô hình mật mã một chiều (One Way Hash cripto system) để tính giá trị băm (Message

Hình 1.1 Tam giác an toàn bảo mật thông tin CIA

Digest -MD) của văn bản Giá trị băm này được coi như “dấu tay” của văn bản Mỗi văn bản có một MD duy nhất Hai văn bản khác nhau dù chỉ 1 bit cũng sẽ cho hai giá trị MD khác nhau Dựa vào tính chất này người ta dùng MD để kiểm tra tính toàn vẹn của văn bản

Tính toàn vẹn là một thuộc tính rất quan trong đối với các HTTT nói chung và HTTT thư viện nói riêng Nó đảm bảo tính chính xác, không thay đổi của dữ liệu trong mọi tình huống

Tính toàn vẹn của thông tin được đại diện bởi quyền MODIFY (sửa đổi)

1.1.3.2 Tính bảo mật

Dữ liệu trong các HTTT rất đa dạng, chúng khác nhau về nội dung, mục đích và đối tượng sử dụng Xét về khía cạnh ATBMTT, các thông tin trên cần được phân cấp theo mức độ bảo mật như thông tin dùng chung (public), các thông tin dùng riêng cho một số đối tương (private) và thông tin mật (secret)- những thông tin, hồ sơ chưa được bạch hóa

Tính bảo mật của thông tin là mức độ bảo mật cần thiết nhằm đảm bảo những dữ liệu quan trọng không bị rò rỉ hay lộ thông tin Kẻ tấn công có thể thực hiện nhiều phương thức nhằm đạt được mục đích là lấy những thông tin mong muốn Những phương thức đó có thể là giám sát hệ thống mạng, lấy các file chứa mật khẩu, hay Social engineering

Thông tin có thể bị lộ do không sử dụng các phương thức mã hóa đủ mạnh khi truyền hay lưu trữ thông tin

Để đảm bảo tính bảo mật của thông tin,ngoài việc phân cấp bảo mật thông tin, người ta sử dụng các hệ thống mật mã đối xứng và bất đối xứng để mã hóa thông tin Tùy theo độ mật, môi trường sử dụng ta có thể sử dụng các thuật toán mật mã phù hợp.Hiện nay trong các hệ điều hành như WINDOWS, LINUX có tích hợp sẵn các công cụ mật mã như DES, 3DES, RSA….Ngoài ra ta cũng có thể xây dựng các phần mềm mật mã dùng riêng, phục vụ nhu cầu của từng thư viện

Tính mật của thông tin được đại diện bởi quyền READ (đọc)

1.1.3.3 Tính sẵn sàng

“Muốn truy cập dữ liệu, hãy khởi động máy tính lên trước đã”

Khả năng đáp ứng của thông tin là điều rất quan trọng, điều này thể hiện tính sẵn

sàng phục vụ của các dịch vụ Khả năng đáp ứng của hệ thống chịu ảnh hưởng bởi

khá nhiều thành phần như phần cứng, phần mềm hay hệ thống Backup

Khả năng đáp ứng của hệ thống cần được tính đến dựa trên số người truy cập và

mức độ quan trọng của dữ liệu

Bên cạnh ba mục tiêu trên, an toàn thông tin còn một mục tiêu thứ cấp đó là tính không thể chối bỏ -Non repudiation, là một chức năng ngăn một thực thể phủ nhận những hành động hoặc lời cam kết của mình trước đó Khi có những cuộc tranh cãi

do một thực thể phủ nhận mình không thực hiện một hành động nào đó thì một biện pháp xác minh để giải quyết tình huống này là cần thiết Đây là một biện pháp nhằm bảo đảm và xác nhận nguồn gốc của thông điệp, xác định thông tin được cung cấp có phải là những thông tin chính xác của chính nhà cung cấp hay không Một ví dụ điển hình là khi chúng ta tải về các chương trình trên mạng, ta thường thấy nhà cung cấp hay kèm theo một chuỗi số hàm băm MD5 hay SHA dùng để xác nhận chương trình

là do nhà cung cấp xây dựng và phát triển Vì nếu như một chương trình khác được các attacker/hacker đưa lên thì chắc chắn có sự thay đổi về nội dung, và khi đó giá trị MD5/SHA đã bị thay đổi, khác với giá trị mà nhà cung cấp đưa ra Còn ngược lại, nếu giá trị MD5/SHA giống như giá trị gốc thì chương trình trên đúng là của nhà cung cấp này và khi nó gây ra các tác hại nào đó thì họ không được quyền chối bỏ trách nhiệm bằng cách nói rằng chương trình đó không phải do họ viết

1.1.4 Các yếu tố bảo vệ thông tin:

Như đã trình bày ở phần trên, mục tiêu cơ bản của an toàn thông tin trong HTTT,

là đảm bảo được tính bí mật, tính toàn vẹn và tính sẵn sàng của thông tin, và để thực hiện được ba mục tiêu đó, HTTT cần 4 nhân tố sau [44]:

1.1.4.1 Authentication (Xác thực)

Là một quá trình xác nhận đặc điểm nhận biết của người dùng hay một tiến trình kiểm tra lại định danh của một người sử dụng, một thiết bị hay các thực thể khác trong hệ thống máy tính, qua đó quyết định quyền truy nhập cơ sở dữ liệu và khả năng thực hiện các giao dịch của người đó Và nhân tố này cũng bao hàm một tiến

trình được sử dụng để kiểm tra lại rằng các dữ liệu nguyên thủy được truyền đi đúng đắn, và đảm bảo tính đồng nhất không bị sai lệch Việc xác thực thường thông qua tên truy nhập và mật khẩu hay các phương pháp phức tạp hơn như chứng thực số Ví

dụ khi bạn đăng nhập một hệ thống máy tính thì tiến trình xác thực diễn ra khi bạn nhập vào tài khỏan bao gồm username và password trên màn hình logon

1.1.4.2 Authorization (Ủy quyền)

Là tiến trình kiểm tra quyền hạn của người dùng sau khi đăng nhập hệ thống Quyền và sự cấp phép này đã được xác lập từ trước đó để truy cập hay sử dụng một chương trình, một tiến trình, thông tin hay hệ thống Các quyền này dựa trên xác nhận

cá nhận và những điều cần biết Ví dụ một người dùng sau khi đăng nhập hệ thống cần phải trải qua tiến trình Authorization, sau đó người dùng này được phép truy cập vào máy chủ hay dữ liệu nào thì tùy thuộc vào quyền hạn mà anh ta có được do tiến trình

ta thường gán các quyền như được phép đọc, ghi, xóa …Quá trình này được gọi là kiểm sóat truy cập (Access control)

1.1.4.4 Auditing hay Accounting (kiểm toán)

Đây là quá trình ghi nhật ký hệ thống để lưu giữ lại các hành động diễn ra đối với các đối tượng hay dữ liệu Thông thường chúng ta thường hay ghi log file các lần user đăng nhập thành công hay thất bại hệ thống của mình, hoặc sau khi đăng nhập anh ta có những thao tác gì, quá trình này được gọi là Auditing hay Accounting

1.1.5 Đối tương tác động lên HTTT

Có hai đối tượng chính tác động lên HTTT

Chủ sở hữu hệ thống sẽ là người đưa ra các quyết định về biện pháp chống trả khi sự cố xảy ra với những tác động mang tính điều khiển như tăng cường thêm các giải pháp đáp trả tại các vị trí xung yếu nhằm giảm thiểu tối đa các hiểm họa, đưa ra các biện pháp lưu giữ (backup) hệ thống và dữ liệu (nguồn tài nguyên thông tin) nhằm phục hồi sau sự cố

Hình 1.2 Đối tượng tác động lên hệ thống thông tin

Đối tượng thứ hai là người vi phạm, chúng thường tạo ra các mối đe dọa đối với HTTT, các mối đe dọa có thể là do con người như hacker, nghe lén, spam…hoặc các mối đe dọa khác tới từ tự nhiên (cháy, nổ, lũ lụt…) Các mối đe dọa này sẽ tác động lên các vị trí xung yếu của HTTT gây ra các mối nguy hiểm cho tài nguyên thông tin

1.1.6 Các thành phần cơ bản của ATBMTT

ATBMTT bao gồm ba thành phần chính có mối quan hệ tác động qua lại lẫn nhau, bao gồm An toàn mức vật lý, an toàn mức tác nghiệp, quản lý và chính sách

1.1.6.1 An toàn mức vật lý

An toàn ở mức vật lý là sự bảo vệ tài sản và thông tin khỏi sự truy cập vật lý không hợp lệ.Nhằm mục tiêu ngăn chặn sự truy cập vật lý làm hư hại và cản trở thông tin và tài sản của tổ chức,các phương tiện xử lý thông tin nhạy cảm hoặc quan trọng cần được đặt trong phòng nằm trong các khu vực an toàn, được bảo vệ bởi các hàng

Tăng cường

Lưu giữ

Những tác động điều khiển

Giảm bớt

Vị trí xung yếu

Đưa ra quyết định

qqquyếtđịnh

B/pháp chống trả

Tạo ra

Chủ sở hữu

Mối hiểm nguy

rào an ninh, các thanh chắn an ninh phù hợp và các biện pháp quản lý lối vào Chúng cần được bảo vệ về mặt vật lý trước sự truy cập, hủy hoại và can thiệp trái phép Đây là công việc tương đối dễ thực hiện, và có thể sử dụng nhiều biện pháp khác nhau, trong đó biện pháp đầu tiên là làm sao cho vị trí của thư viện càng ít trở thành mục tiêu tấn công càng tốt.Biện pháp bảo vệ thứ hai là phát hiện và ngăn chặn các kẻ đột nhập hay kẻ trộm bằng các thiết bị an ninh như camera, thiết bị chống trộm, hay chính là việc thiết lập các vành đai an toàn vật lý, Các vành đai an toàn (như tường, cổng ra/vào có kiểm soát bằng thẻ hoặc bàn tiếp tân) để bảo vệ các khu vực chứa thông tin và phương tiện xử lý thông tin.Và biện pháp bảo vệ thứ ba là khôi phục những dữ liệu hay hệ thống cực kỳ quan trọng bị trộm hay mất mát

1.1.6.2 An toàn mức tác nghiệp

An toàn mức tác nghiệp bao gồm việc kiểm soát truy cập, chứng thực và an toàn topo mạng sau khi thiết lập mạng Là sự kết hợp của tất cả các quá trình, các chức năng và các chính sách bao gồm cả yếu tố con người và yếu tố kỹ thuật, trong đó yếu

tố con người tập trung vào các chính sách được thực thi trong tổ chức,yếu tố kỹ thuật bao gồm các công cụ được cài đặt vào hệ thống

An toàn mức tác nghiệp được chia thành nhiều phần khác nhau như sử dụng phần mềm để chống virus xâm nhập hệ thống, định danh và chứng thực (dùng username/password, Chứng thực đa yếu tố, Chứng thực bằng thẻ thông minh, Chứng thực bằng sinh trắc học…), và việc kiểm soát truy cập bao gồm [44]:

Kiểm soát truy cập bắt buộc (MAC – Mandatory Access Control):Cách truy cập

tĩnh, sử dụng một tập các quyền truy cập được định nghĩa trước đối với các file trong

hệ thống

Kiểm soát truy cập phân quyền (DAC – Discretionary Access Control): Do chủ

tài nguyên cấp quyền thiết lập một danh sách kiểm soát truy cập (ACL – Access Control List)

Kiểm soát truy cập theo vai trò (chức vụ) (RBAC – Role Based Access Control):

Truy cập với quyền hạn được xác định trước trong hệ thống, quyền hạn này căn cứ trên chức vụ của người dùng trong tổ chức

Ngoài ra việc điểu khiển truy cập còn bao gồm các phương pháp xử lý phần mềm như việc sử dụng "đường dẫn ẩn" (hidden path), chữ ký điện tử (digital signatures),

mã hóa (encryption), các rào cản (social barriers), và theo dõi hoạt động của hệ thống bằng sức người hoặc bằng các hệ thống tự động Hay sự ủy quyền được thực thi bằng cách sử dụng phương pháp điều khiển truy cập trên cơ sở vai trò (role based access control), hay bằng cách dùng các danh sách điểu khiển truy cập (access control list)

1.1.6.2 Quản lý và chính sách

Quản lý và chính sách nhằm cung cấp những hướng dẫn, những quy tắc, những quy trình để thiết lập một môi trường thông tin an toàn Trong đó đặc biệt chú trọng đến một số chính sách quan trọng như:

Chính sách nhà quản trị: Trình bày đường lối chỉ đạo và những quy tắc, quy

trình cho việc nâng cấp, theo dõi, sao lưu, và kiểm toán (Audit)

Nhu cầu thiết kế: Những yêu cầu của hệ thống để đối phó với các rủi ro về an toàn thông tin Đây là những nhu cầu rất căn bản trong phần thiết kế ban đầu và nó

có ảnh hưởng rất lớn đến các giải pháp được sử dụng, đó là những mô tả chi tiết về các nhu cầu bảo mật

Kế hoạch khôi phục sau biến cố (DRP- Disaster Recovery Plans): Đây là một trong những vấn đề nhức đầu nhất mà các chuyên gia ATBMTTphải đối mặt, và đây cũng là công việc thường tiêu tốn rất nhiều tiền của để có thể kiểm tra, sao lưu, thiết lập hệ thống dự phòng, để giữ cho hệ thống hoạt động liên tục Kế hoạch khôi phục bao gồm việc sao lưu dữ liệu hay lập những “điểm nóng” (là nơi được thiết kế để cung cấp các dịch vụ nhanh chóng và thuận tiện nhất khi có sự cố xảy ra như hệ thống hay mạng bị sập)

Chính sách an toàn thông tin

Tổng hợp các quy tắc, nội quy, quy trình,công nghệ…về an toàn thông tin của một tổ chức Về cơ bản cấu trúc một chính sách ATBMTT được mô tả như trên hình 1.3

Các chính sách về ATBMTT có thể phân loại như sau:

Chính sách về sử dụng: Quy định các thông tin về nguồn tài nguyên được sử

dụng, cách sử dụng như thế nào và mục đích sử dụng Những quy định về cách sử dụng máy tính như đăng nhập, mật khẩu, an toàn vật lý nơi làm việc… hay những quy định về sự riêng tư, quyền sở hữu và hậu quả khi có những hành động không hợp pháp, cách sử dụng internet và email

Chính sách quản lý người dùng: Nhằm xác định các thao tác được thực hiện ở

những trường hợp bình thường trong hoạt động của nhân viên, cách ứng xử với các nhân viên mới được kết nạp thêm vào hệ thống

Những chính sách trên phải được văn bản hóa, duy trì, và luôn sẵn sàng đối với tất cả nhân viên khi cần sử dụng Ví dụ cần chuẩn bị các văn bản, thủ tục cho các hoạt

Hình 3

ĐIỀU KHIỂN ATTT

Tổ chức, kiểm tra và phân tích chức năng của hệ thống ATTT

ĐIỀU HÀNH NHÂN VIÊN Huấn luyện về các yêu cầu ATTT

và kiểm tra việc chấp hành của nhân viên

CHÍNH SÁCH ATTT

Giải pháp của ban lãnh đạo

XÂY DỰNG CÁC CHÍNH SÁCH AN TOÀN

THÔNG TIN

C C

T H

T Ụ

C N

N G Ệ

Q

Y T Ắ

Hình 1.3 Cấu trúc của một chính sách ATBMTT

động hệ thống có liên quan đến các thiết bị trao đổi và xử lý thông tin, như các thủ tục khởi động và tắt máy tính, sao lưu, bảo dưỡng thiết bị, điều khiển thiết bị, vấn đề

an toàn và quản lý thư từ và phòng máy tính…và để những chính sách bảo mật phát huy tối đa hiệu quả thì phải có sự hỗ trợ toàn diện và triệt để từ phía nhà quản lý trong

tổ chức

1.2 Quản lý chính sách ATBMTT – thành phần cơ bản trong các nội dung ATBMTT

1.2.1 Khái niệm chính sách ATBMTT, vai trò của chính sách ATBMTT

Chính sách ATBMTT (Infomaton Security Policy): là những chỉ thị và hướng

dẫn về an toàn thông tin Hay Chính sách an toàn thông tin là tập hợp các luật, quy tắc và các thủ tục nhằm điều chỉnh cách một tổ chức quản lý, bảo vệ và phân phối tài nguyên một cách hợp lý, để đạt được các mục tiêu an toàn thông tin [26].Các luật,

quy tắc và các thủ tục này phải được gắn với trách nhiệm của từng cá nhân, và có thể xác định cụ thểcác điều kiện mà trong đó các cá nhân được phép thực thi quyền hạn của mình

Hay chính sách an toàn bảo mật thông tin là tài liệu hướng dẫn về an toàn thông

tin trong một tổ chức tài liệu này đề cập đến sự hỗ trợ của cấp quản lý, cam kết và định hướng trong việc đạt được các mục tiêu về an toàn thông tin.Chính sách an toàn bảo mật thông tin là một văn bản mang tính khái niệm, không cụ thể về phương thức thi hành, bao gồm các tiêu chí an toàn thông tin của một tổ chức [29]

Chính sách an toàn bảo mật thông tin là tập hợp các điều luật, các quy định bảo đảm sự bảo vệ có hiệu quả các hệ thông xử lý thông tin chống lại các hiểm họa ATBMTT.[16]

Theo “Sách da cam” (1983) [12], Chính sách an toàn bảo mật thông tin là tập

hợp các điều luật, các qui định và các giải pháp thực tế để giám sát sự điều khiển, sự bảo vệ và việc phân phối các thông tin nhạy cảm trong hệ thống

Tóm lại, chính sách ATBMTT thể hiện những quy định chung nhất của các cấp lãnh đạo đối với việc bảo vệ HTTT, bao gồm đầy đủ các yếu tố: thông tin (Information), hạ tầng thông tin (phần cứng, phần mềm, mạng và các hệ thống khác,…) và các ứng dụng (CSDL, Web, ứng dụng nghiệp vụ,…)

Một chính sách ATBMTT là một tài liệu, công bố những tài sản cần được bảo

vệ và tại sao phải bảo vệ chúng, người nào chịu trách nhiệm cho việc bảo vệ này, hoạt động nào được chấp nhận và hoạt động nào không được chấp nhận Phần lớn các chính sách an toàn thông tin đòi hỏi an toàn vật lý, an toàn mạng, quyền truy cập, bảo

vệ chống lại virus và khôi phục sau thảm họa Chính sách phải được phát triển thường xuyên và nó là một tài liệu sống, công ty hoặc văn phòng an toàn phải tra cứu và cập nhật thường xuyên hay định kỳ thông qua nó

Vậy tại sao phải thiết lập một chính sách an toàn thông tin trong các cơ quan - tổ chức nói chung và trong các thư viện điện tử nói riêng? Ta biết rằng để đảm bảo an toàn cho một hệ thống, cần phải có các yếu tố: Con người, quy trình, giải pháp, và các tiêu chuẩn quốc tế

Tại Việt Nam, các cơ quan - tổ chức, doanh nghiệp nói chung và thư viện điện tử nói riêng cũng đã xây dựng các giải pháp để đảm bảo an toàn hệ thống như trang bị

hệ thống tường lửa (Firewall), hệ thống chống xâm nhập (IPS), hệ thống phòng chống virus (Antivirus),… Tuy nhiên, tất cả chỉ đơn thuần là giải pháp công nghệ Một câu hỏi lại được đặt ra là hệ thống đã được trang bị giải pháp bảo mật nhưng mức độ an toàn đến đâu, giải pháp đã tốt chưa, đã đầy đủ chưa Tổ chức thực hiện giải pháp đã tốt hay chưa, con người thực hiện giải pháp như thế nào, họ đã ý thức các vấn đề về

an toàn thông tin và đã được gán trách nhiệm phải đảm bảo an toàn HTTT chưa? Thông thường, các giải pháp lúc xây dựng xong thì tốt nhưng chỉ sau một thời gian hoạt động sẽ bộc lộ nhiều điểm yếu mà nguyên nhân chính là do yếu tố con người

Hạ tầng công nghệ thông tin xây dựng tốt, hệ thống bảo mật xây dựng tốt nhưng sau khi đưa vào sử dụng, chất lượng sẽ phụ thuộc vào chính bản thân đối tượng sử dụng nó, họ có tuân thủ theo đúng giải pháp hay không, trách nhiệm của họ thế nào,

ý thức ra sao Chúng ta biết rằng bảo mật đi kèm với việc mang lại sự không thuận tiện cho người dùng và dễ dàng làm cho họ từ bỏ các biện pháp bảo mật Tuy nhiên, trong các cơ quan thông tin – thư viện, an toàn thông tin luôn phải được đưa lên hàng đầu và tất cả các thành viên đều phải tuân thủ điều này

Có thể thấy rằng, các cơ quan thông tin – thư viện đang chủ yếu thực hiện khâu giải pháp, các yếu tố khác như con người, qui trình, tiêu chuẩn quốc tế chưa được

chú trọng Các yếu tố đó chưa tốt và chưa gắn kết, chưa được giám sát bởi còn thiếu một yếu tố rất quan trọng, đó là chính sách ATBMTT

Chính sách ATBMTT như khái niệm trên đã đưa ra, nó là tài liệu cấp cao đặc thù, tập hợp các luật đặc biệt của một cơ quan - tổ chức, như những yêu cầu, quy định mà những người của cơ quan - tổ chức đó phải thực hiện để đạt được các mục tiêu về an toàn thông tin Chính sách bảo mật sẽ được người đứng đầu cơ quan - tổ chức phê chuẩn và ban hành thực hiện Nó được ví như bộ luật của cơ quan - tổ chức mà mọi thành viên trong tổ chức, các đối tác, khách hàng (người sử dụng) đều phải tuân thủ Chính sách bảo mật sẽ là tiền đề để tổ chức xây dựng các giải pháp bảo mật, xây dựng những quy trình đảm bảo an toàn hệ thống, đưa ra các hướng dẫn thực hiện, gắn kết yếu tố con người, quản trị, công nghệ để thực hiện mục tiêu an toàn hệ thống Đồng thời chính sách bảo mật cũng đưa ra nhận thức về an toàn thông tin, gán trách nhiệm

về an toàn cho các thành viên của tổ chức, từ đó đảm bảo hệ thống được vận hành đúng quy trình, an toàn hơn

Chính sách ATBMTT là cốt lõi, là trung tâm để có thể bắt đầu xây dựng các giải pháp an toàn thông tin.Từ bộ chính sách an toàn bảo mật, ngoài việc sẽ đưa ra được giải pháp an ninh toàn diện còn gắn với ý thức, trách nhiệm của thành viên trong tổ chức về an toàn thông tin Từ lâu, hậu quả của việc không xây dựng chính sách ATBMTT mà chỉ có giải pháp an ninh đã khiến cho giải pháp trở nên không toàn diện và hiệu quả

Thực tế là hiện nay, trong các cơ quan thông tin – thư viện, chúng ta thấy đều xuất hiện “chính sách ngầm” về ATBMTT Ví dụ như không được cài sniffer (phần mềm nghe lén) trong mạng, không được gửi e-mail mạo danh, không được sao chép tài liệu ra ngoài, không được dùng phần mềm không có bản quyền Những chính sách này đều bàn thảo không chính thức, không được ban hành, và phổ biến rộng rãi Điều này làm cho chính sách thiếu đi tính hiệu lực, không gắn ý thức an toàn thông tin tới từng thành viên, không quy được trách nhiệm về pháp lý và trong nhiều trường hợp có thể còn xung đột với các văn bản ban hành

Hiện tại, các cơ quan thông tin – thư viện chỉ mới đưa ra các giải pháp công nghệ

là chính mà chưa xây dựng cùng với chính sách bảo mật Mô hình mà các thư viện đang xây dựng là theo mô hình bottom-up Tức là xây dựng hạ tầng thông tin, giải

pháp bảo mật trước rồi sau đó mới xây dựng chính sách an toàn bảo mật Chính vì vậy, các giải pháp công nghệ xây dựng đều không toàn diện, thiếu đâu vá đấy, không mang tính tổng thể đồng bộ, chi phí cao Ví dụ: Đề xuất xây dựng hệ thống bảo mật mạng firewall, IPS nhưng sau đó do hệ thống máy tính bị virus, tổ chức lại đề xuất giải pháp diệt virus Khi thấy hệ thống không kiểm soát được việc truy cập mạng, lại

đề xuất giải pháp kiểm soát truy cập mạng NAT Điều này thể hiện sự thiếu toàn diện, chiến lược

Theo khuyến cáo của các tổ chức trên thế giới, để xây dựng hệ thống an toàn thì nên xây dựng theo mô hình top-down tức là phải xây dựng chính sách an toan bảo mật trước Tổ chức thực thi theo chính sách bảo mật bao gồm con người, quy trình, giải pháp công nghệ, vật lý Phương pháp này đạt được tính toàn diện, đồng bộ và lâu dài

Trong các tài liệu chuẩn về an toàn thông tin như ISO 17799/27001 hay COBIT [13], nhiệm vụ xây dựng chính sách bảo mật đều được đặt lên đầu tiên trong lộ trình xây dựng hệ thống an toàn thông tin

Chính sách ATBMTT tác động đến toàn bộ hệ thống bao gồm phần mềm, phần cứng, truy cập, con người, các kết nối, hệ thống mạng, hạ tầng viễn thông Để xây dựng được một bộ chính sách ATBMTT tốt, trước tiên chúng ta cần xác định được các tài nguyên trong hệ thống, đánh giá mức độ quan trọng, phân loại chúng Chỉ khi xác định được đủ các tài nguyên thì bộ chính sách viết ra mới bao quát được toàn bộ tất cả những gì cần phải bảo vệ Bước tiếp theo sẽ là đánh giá các chức năng, quy trình hoạt động sử dụng các tài nguyên, sau đó, xác định tài nguyên nào cần bảo vệ

Từ đó đưa ra các chính sách bảo mật bảo vệ các tài nguyên đó

1.2.2 Các thành phần chính của một chính sách ATBMTT

Chính sách ATBMTT cần được phê chuẩn bởi nhà quản lý và phổ biến tới mọi nhân viên Một chính sách ATBMTT tối thiểu phải bao gồm:

Lời nói đầu/lời giới thiệu

Nêu lênsự cần thiết và phạm vi của một chính sách an toàn bảo mật thông tin.Trình bày một cách ngắn gọn tầm quan trọng của thông tin đối với tổ chức, thông tin có vị trí, vai trò như thế nào đến hoạt động của cơ quan – tổ chức,yêu cầu đối với vấn đề an toàn bảo mật thông tin Tại sao cần phải có một chính sách an toàn bảo mật

thông tin Phạm vi của chính sách ATBMTT, nghĩa là chính sách áp dụng cho những đối tượng, tài sản, trang thiết bị, chương trình, phần cứng…nào trong tổ chức

Mục tiêu, mục đích của ATBMTT và chính sách ATBMTT

Mô tả ngắn gọn các mục tiêu an toàn thông tin trong tổ chức.Mục tiêu chính củachính sách ATBMTT là gì? Các mục tiêu này nên trình bày một cách rõ ràng và

có liên quan đến chiến lược phát triển của tổ chức nói chung và cơ quan thông tin – thư viện nói riêng, phương hướng hoạt động tổng thể của tổ chức, cũng như việc tuân thủ pháp luật Ví dụ như: Đảm bảo cho sự hoạt động liên tục của cơ quan thông tin cũng như các dịch vụ mà cơ quan cung cấp cho người sử dụng, giảm thiểu khả năng tấn công đến HTTT, giảm thiểu mức độ tổn thất hoặc hư hỏng từ các sự cố mất an toàn thông tin,…

Định nghĩa về an toàn thông tin (Thuật ngữ và định nghĩa)

Do chính sách an toàn bảo mật thông tin nhắm tới nhiều đối tượng khác nhau và không phải tất cả mọi người đều am hiểu về công nghệ thông tin nói chung và vấn đề

an toàn thông tin nói riêng, do đó vấn đề an toàn thông tin có thể rất xa lạ và mới mẻ đối với họ, bởi vậy, trong chính sách ATBMTT cần có một phần định nghĩa ngắn gọn, dễ hiểu về các thuật ngữ liên quan về an toàn thông tin, ví dụ như: an toàn thông tin là gì? tài sản, tính bí mật, tính sẵn sàng, tính toàn vẹn, sự cố an toàn thông tin, để đảm bảo có một sự hiểu biết thống nhất và xuyên suốt trong cơ quan – tổ chức

Cam kết quản lý an toàn thông tin (cam kết của lãnh đạo)

Cam kết của nhà quản lývề việc thi hành chính sách ATBMTT là cực kỳ quan trọng trong chính sách ATBMTT, Thiếu cam kết này thì tất cả những cố gắng của các nhân viên an ninh sẽ không đem lại hiệu quả, và chính sách cũng sẽ không được thực hiện một cách nghiêm túc trong toàn bộ tổ chức Cam kết này sẽ buộc các nhân viên trong cơ quan – tổ chức phải chú ý đến vấn đềđảm bảo an toàn thông tin trong tổ chức mình, cũng như minh chứng một cách rõ nét cho quyết tâm của nhà quản lý trong việc thực hiện thành công chính sách ATBMTT Ban quản lý phải cam kết sẽ cung cấp các dẫn chứng để thiết lập, triển khai, điều hành, giám sát, đánh giá, bảo trì và nâng cấp hệ thống quản lý an toàn thông tin bằng nhiều công việc khác nhau như: Thiết lập chính sách cho hệ thống bảo đảm an toàn thông tin; Đảm bảo rằng các mục tiêu và kế hoạch của hệ thống an toàn thông tin đã được xây dựng; Xây dựng vai trò

và trách nhiệm của an toàn thông tin; Trao đổi với tổ chức về các mục tiêu đảm bảo

an toàn thông tin và làm cho phù hợp với các chính sách ATBMTT; Thông tin cho toàn bộ tổ chức biết về tầm quan trọng của các mục tiêu an toàn thông tin cần đạt được, sự tuân thủ chính sách ATBMTT, chịu trách nhiệm trước pháp luật; Cung cấp đầy đủ tài nguyên cho quá trình thiết lập, triển khai, điều hành, giám sát, kiểm tra, bảo trì và nâng cấp hệ thống an toàn thông tin; Xác định chỉ tiêu cho các rủi ro và mức độ rủi ro có thể chấp nhận được; Đảm bảo việc chỉ đạo quá trình kiểm toán nội

bộ hệ thống; Chỉ đạo việc xoát sét sự quản lý hệ thống ATBMTT

Sự chấp thuận chính sách ATBMTT (Chữ ký xác nhận)

Sự chấp thuận ban hành chính sách ATBMTT, được đánh dấu bằng chữ ký của lãnh đạo cao nhất trong cơ quan - tổ chức đó Chữ ký này thường được đặt tại một vị trí nổi bật trong chính sách ATBMTT, để một lần nữa khẳng định cam kết thực thi chính sách ATBMTT trong tổ chức của cấp lãnh đạo

Nguyên tắc an toàn bảo mật thông tin

Nguyên tắc ATBMTT hay chính là bản tóm tắt các chính sách an toàn thông tin, các chuẩn cũng như các yêu cầu có tính chất quan trọng cho một tổ chức Nhằm giải thích cho nhân viên cũng như các đối tượng có liên quan, những hành vi nào là đúng

và những hành vi nào là sai với chính sách, một vài nguyên tắc có liên quan mật thiếttới văn hóa của tổ chức hoặc luật pháp như: Quyền sở hữu trí tuệ, bảo vệ các thông tin tổ chức, bảo vệ dữ liệu khách hàng, các yêu cầu về kiến thức an toàn, các hậu quả của sự vi phạm các chính sách an toàn thông tin, Trong đó có một số nguyên tắc chung như: phòng chống virus, nâng cao nhận thức của nhân viên, đào tạo an toàn thông tin

Vai trò và trách nhiệm

Đây là một trong những thành phần quan trọng nhất của chính sách ATBMTT Cần đảm bảo tất cả các thành viên trong tổ chức phải nhận thức được tầm quan trọng của hoạt động đảm bảo an toàn thông tin, hiểu rõ trách nhiệm, vai trò của mình trong việc thi hành chính sách đó,mình cần phải làm gì, làm như thế nào…cần làm rõ vai trò và trách nhiệm của từng cá nhân và các bên tham gia có sử dụng nguồn tài nguyên thông tin của tổ chức Ví dụ như cam kết bảo mật thông tin cá nhân, không tiết lộ

thông tin người sử dụng… và để làm được điều đó cần tiến hành các chương trình đào tạo an toàn thông tin cho tất cả các nhân viên

Các hình thức xử phạt khi vi phạm chính sách ATBMTT

Ban quản lý cần phải yêu cầu tất cả các nhân viên và các bên liên quan chấp hành đảm bảo an toàn thông tin phù hợp với các thủ tục và các chính sách đã được ban hành Tất cả cần phải được đào tạo nhận thức và cập nhật thường xuyên những thủ tục, chính sách ATBMTT của tổ chức như một phần công việc bắt buộc Và khi

có các vi phạm về ATBMTTcần phải đưa ra các hình thức xử lý kỷ luật phù hợp, nhờ

đó mà chính sách ATBMTT mới được thực hiện một cách nghiêm túc trong tổ chức

Đánh giá và giám sát

Đây là một việc làm cần thiết nhằm thường xuyên xem xét việc thực hiện chính sách trong tổ chức cũng như những hiệu quả mà việc thực thi chính sách đem lại: Giúp phát hiện nhanh chóng các lỗi xảy ra, nhanh chóng xác định các tấn công, lỗ hổng và sự cố an toàn thông tin, cho phép ban quản lý xác định kết quả các công nghệ cũng như con người đã đem lại có đạt mục tiêu đề ra hay không, hỗ trợ phát hiện các

sự kiện an toàn thông tin do đó ngăn chặn sớm các sự cố an toàn thông tin bằng các chỉ thị cần thiết, xác định đúng hiệu quả các hoạt động xử lý lỗ hổng an toàn thông tin

Ngoài các yếu tố trên trong chính sách an toàn thông tin còn bao gồm một số yếu

tố khác như danh mục tài liệu tham khảo, tham chiếu các tài liệu có thể hỗ trợ các chính sách, như các chính sách về an toàn thông tin và các thủ tục cho các HTTT cụ thể, hoặc các quy tắc an toàn cho người dùng,…và một số các yếu tố chung khác như tác giả ban hành chính sách, ngày ban hành,…

Một chính sách ATBMTT nên trình bày một cách ngắn gọn và rõ ràng, nên có

độ dài dưới 5 trang Vì nếu chính sách quá dài sẽ khiến nhân viên trong tổ chức cảm thấy khó chịu khi đọc cũng như khó nắm được các nội dung trong chính sách để thực hiện

Chính sách phải phù hợp với đặc thù của từng cơ quan đơn vị, chính sách phải

rõ ràng, dễ hiểu và gần gũiđể bất kỳ ai trong cơ quan thông tin – thư viện cũng có thể thực hiện được Chính sách nên thể hiện bằng nhiều hình thức khác nhau,ngoài các tài liệu dưới dạng văn bản, chính sách có thể đưa ra các giải thích bằng hình ảnh trực