Gợi ý của Thầy: - Mô hình hoạt động của hệ thống mình cần là mô hình gì, chấp nhận được + Triển khai phần cứng thế nào + Triển khai phần mềm thế nào. + Ai tham gia vào hệ thống. - Giai đoạn đầu của quản lý nguy cơ + Có gì trên hệ thống : làm việc gì, làm thế nào, ai làm. + Đối mặt với vấn đề gì, đe dọa nào. + quá trình để giải quyết vấn đề đó như thế nào.  Chính sách tiêu chuẩn 1. Giải pháp con người, giải pháp kĩ thuật 2. Quy trình đảm bảo. MỤC LỤC 1 Đề bài: Xây dựng quy định về sử dụng ứng dụng và quy trình đảm bảo an toàn cho hệ thống. Phân tích cụ thể trên Trang web của Khoa công nghệ thông tin Học viện Kỹ thuật Quân sự. Phần I. Tầm quan trọng của an toàn bảo mật đối với một hệ thống thông tin. Cùng với sự phát triển nhanh chóng vượt bậc, công nghệ thông tin ngày càng có ứng dụng rộng rãi, có mặt trong hầu hết tất cả các lĩnh vực trong đời sống hiện đại. Không thể phủ nhận những lợi ích mà công nghệ thông tin mang lại, trở thành thành phần thiết yếu trong mọi cơ quan, tổ chức, đem lại khả năng xử lý thông tin cao, đồng thời có những tiện ích hỗ trợ cho công việc của chúng ta ngày một trở nên dễ dàng tiện lợi. Song cái gì cũng có hai mặt của nó, mang lại tiện ích và hiệu quả không ngờ thì các ứng dụng liên quan đến công nghệ thông tin đều chứa đựng những nguy cơ trong đó, mất an toàn an ninh thông tin là nguy cơ đáng nói hàng đầu trong phát triển công nghệ thông tin. Để đáp ứng được yêu cầu của người dùng, máy tính được phát triển rất nhanh, các phiên bản được phát hành mới ngày càng nhiều, điều này làm cho các phần mềm không được kiểm tra kỹ trước khi phát hành và bên trong chúng chứa nhiều lỗ hổng có thể bị lợi dụng. Thêm vào đó việc phát triển của hệ thống mạng, cũng như sự phân tán của hệ thống thông tin, làm cho người dùng truy cập thông tin dễ dàng hơn và tin tặc từ đó cũng có nhiều mục tiêu tấn công dễ dàng hơn. Ngày nay,các cơ quan,tổ chức phải đối mặt với những nguy cơ “không thể chấp nhận được” như: - địa chỉ IP của nhận việc thôi việc, chuyển công tác chưa được xử lý hoặc bị tin tặc phát hiện. - virut máy tính làm gián đoạn công việc quản lý, làm cho thông tin bị sửa sai lệch, thông tin bí mật bị rò rỉ trên mạng. 2 Trong thế giới phẳng, an ninh thông tin đã trở thành mối lo ngại và nguy cơ tiềm tàng, tin tặc có thể truy cập vào hệ thống của các cơ quan, tổ chức khắp nơi trên thế giới, đối với các lĩnh vực nhạy cảm như kinh doanh, cổ phiếu, chứng khoán tiền tệ, và đặc biệt cả an ninh quốc phòng, những vấn đề mất an ninh an toàn thông tin là vấn đề không thể chấp nhận được. Do vậy, để bảo mật thông tin, các cơ quan, tổ chức cần đặt vấn đề áp dụng hệ thống quản lý thông tin như một yêu cầu mang tính chiến lược, không nên chỉ quan tâm đến lợi ích trước mắt mà còn phải quan tâm đến vấn đề phát triển lâu dài. Việc triển khai các phương pháp đảm bảo an ninh thông tin đối với các hệ thống thông tin trong các tổ chức các cơ quan thường gặp phải khó khăn do nhận thức của con người, chưa hiểu được tầm quan trọng của an ninh thông tin, nó cũng không phô ra như các nguồn lợi khác vì thế thường dẫn đến tâm lý chủ quan, coi thường. Điểm thứ hai, triển khai hệ thống công nghệ đảm bảo an ninh an toàn thông tin cùng với thực hiện các nguyên tắc tiêu chuẩn đòi hỏi cần nguồn đầu tư lớn chính vì thế, hầu hết các cơ quan tổ chức không có sự đầu tư mạnh cho vấn đề này. Nhìn lại thực trạng về vấn đề an toàn thông tin ở Việt Nam trong nửa đầu tháng 9/2014, đã có tổng cộng 1039 website của Việt Nam bị tấn công, đây là con số cao nhất trong năm 2014. Trung bình mỗi ngày có hơn 18 website của Việt Nam bị chiếm quyền điều khiển. Năm 2014 thực sự là một năm rất nóng về tình hình tấn công ứng dụng web tại Việt Nam. Rõ ràng, mất an toàn, an ninh thông tin đối với các tổ chức nhà nước không còn là nguy cơ rủi ro nữa mà đã và đang hiện hữu với mức độ nghiêm trọng. Chính vì vậy, triển khai an ninh an toàn thông tin đã trở thành một nhu cầu cấp thiết cần được chú trọng ưu tiên hàng đầu cho mọi hệ thống công nghệ thông tin hiện nay. Phần II. Các tiêu chuẩn chính sách an toàn thông tin (dựa theo ISO 27001) Khi đề cập đến vấn đề an toàn thông tin thì đa số cho rằng, đó là vấn đề của kỹ thuật, chứ không phải vấn đề quản lý. Chính vì vậy, đa số các tổ chức chỉ mới tập trung và việc đầu tư các thiết bị phần cứng, nâng cấp hệ thống, xây dựng giải pháp, tái cấu trúc hệ thống vật lý… Trong đó những vấn đề mang tính quyết định trong an toàn thông tin thì các tổ chức chưa thực sự quan tâm, cụ thể như: 3 +)Chính sách an toàn thông tin chưa được hoạch định bài bản. +) Trách nhiệm an toàn thông tin chưa được giao rõ ràng và chi tiết đến mỗi bộ phận, đến mỗi loại thông tin; +) Chưa có kế hoạch, phương án xử lý rủi ro khi xuất hiện mối đe dọa an toàn thông tin. +) Việc truyền thông an toàn thông tin trong tổ chức chưa được phổ biến, tập huấn đầy đủ đến các cấp quản lý, đến mỗi nhân viên. Có những vấn đề không phải máy móc nào cũng có thể xử lý được như: “Nhân viên nào được mang tài sản vào/ra tổ chức, các thủ tục mang vào/ra thế nào. Chính sách gì cho phép nhân viên được khai thác những loại thông tin gì trong tổ chức.” Bên cạnh đó các tổ chức chỉ mới tập trung vào giải quyết sự đe dọa an toàn thông tin từ bên ngoài, còn sự đe dọa từ bên trong chưa thực sự được quan tâm một cách nghiêm túc, đó thực sự là những quan niệm sai lầm đối với an ninh an toàn thông tin. Hiểu một cách đầy đủ, an ninh thông tin được xuất phát từ hai yếu tố là công nghệ và con người, trong đó con người là yếu tố dễ gây mất an toàn nhất, là mục tiêu hàng đầu của kẻ tấn công muốn nhắm vào, bởi những vấn đề mất an toàn phát sinh từ phía con người là hầu như không kiểm soát được, luôn có thẻ xảy ra bất cứ lúc nào. Những nguy cơ, hiểm họa mà con người gây ra rất khó quản lý và khó đoán, không lường trước. Cũng giống như hoạt động sống của con người ngoài xã hội, để hạn chế những hành vi xấu người ta đưa ra các bộ luật để con người dựa vào đó biết được đâu là việc không được làm, làm việc đó sẽ bị trừng phạt thế nào, vừa là căn cứ để con người không phạm phải điều xấu,vừa là để răn đe con người bởi những chế tài của nó, trong điều kiện đã được phổ biến đầy đủ. Trong an toàn an ninh thông tin người ta cũng đưa ra các chính sách, tiêu chuẩn và các quy định về sử dụng ứng dụng, quy trình đảm bảo an toàn cho hệ thống để mọi người căn cứ vào đó sử dụng hệ thống sao cho an toàn nhất,các tiêu chuẩn này được xây dựng căn cứ từ một phần trong việc nghiên cứu về những lỗ hổng bảo mật từ thói quen của nhân viên. Nghiên cứu mới nhất chỉ ra rằng, những thói quen tưởng chừng như vô hại của người dùng hoàn toàn có thể gây ảnh hưởng nghiêm trọng đến bảo mật. Những thói quen xấu của người dùng có thể gây ảnh hưởng đến bảo mật hệ thống của cơ quan, đơn vị, doanh nghiệp. Đứng đầu các thói quen của người dùng gây ảnh hưởng nghiêm trọng đến bảo mật doanh 4 nghiệp chính là việc sử dụng mật khẩu có tính an toàn và độ bảo mật kém, kế đến là hành động ghi lại mật khẩu trên giấy cũng như việc bỏ qua thao tác khóa máy tính trước khi rời bàn làm việc. Bên cạnh những thói quen xấu nêu trên thao tác cập nhật tin tức trên mạng xã hội tưởng chừng như vô hại cũng được xem là thói quen gây ảnh hưởng đến sự an toàn của hệ thống. Ngoài ra việc sử dụng thiết bị cá nhân trong môi trường làm việc Khái niệm về chính sách an toàn thông tin: Một chính sách là phát biểu mức cao của niềm tin, mục tiêu, đối tượng của công ty và nghĩa chung cho mục tiêu cần đạt được trong một lĩnh vực. Đối với các hệ thống, tùy vào mức độ quan trọng, tùy vào quy trình xử lý nghiệp vụ mà có những chính sách khác nhau, tất nhiên dựa trên các tiêu chuẩn chung đã được quy định ISO 29700. Khái niệm tiêu chuẩn: Là yêu cầu bắt buộc để hỗ trợ các chính sách riêng rẽ. Phần III. Phân tích hoạt động của trang web khoa và đưa ra các tiêu chuẩn chính sách. Trang web khoa công nghệ thông tin của Học viện Kỹ thuật quân sự là một trang web phục vụ trong nhà trường hỗ trợ các nghiệp vụ đào tạo và thông tin giữa sinh viên và trường, ngoài ra đối với các hệ thống tín chỉ còn hỗ trợ cho việc đăng ký môn học cho sinh viên trước mỗi kì học. • Nhóm người sử dụng 1. Giáo viên chủ nhiệm: +) Nhập thông tin sinh viên. +) Nhập điểm từ phòng đào tạo vào cơ sở dữ liệu 2. Giáo viên đảm nhiệm môn học +) Nhập tài liệu tham khảo và một số thông tin cho môn học. 3. Giáo viên đảm nhiệm vai trò quản trị +) Nhập thông tin cho các dữ liệu của giáo viên +) Đưa thông tin cho đề tài sinh viên và phản hồi. +) Cập nhật thông tin cho mỗi bộ môn +) Thực hiện cùng chức năng quản lý tín chỉ 5 4. Sinh viên + Xem thông tin cá nhân + Xem điểm. • Hướng triển khai mô hình hệ thống: Triển khai phần cứng: xây dựng hệ thống theo mô hình client/ server. Trong đó có 2 máy server đặt trong khuôn viên trường, 1 chiếc tại phòng thí nghiệm trung tâm công nghệ thông tin, 1 chiếc tại trung tâm máy tính khu bể bơi, 2 máy chạy song hành, luôn được đồng bộ trong quá trình xử lý, hệ thống máy client sử dụng cho chức năng quản trị và nhập các thông tin nằm trong trung tâm công nghệ thông tin và trong các bộ môn của Khoa Công nghệ thông tin. Việc triển khai hệ thống theo mô hình trên đảm bảo tính an toàn cao hơn cho hệ thống, hệ thống máy chủ chạy song hành và phân tán đảm bảo xác suất mất an toàn thấp, giảm đi một nửa so với bình thường. Máy tính cho truy cập và thực hiện chức năng quản trị đặt tại học viện đảm bảo không có sự truy cập bửa bãi ở các hệ thống mạng ngoài kém an toàn, chẳng hạn như mạng tại nhà hoặc các điểm wifi công cộng vốn chẳng áp dụng được bất kỳ biện pháp bảo vệ nào. Chưa kể việc truy cập lung tung dẫn đến những việc mất an toàn thông tin, vì thói quen hay do sự bất cẩn của cá nhân, những thông tin quan trọng sẽ bị lọt ra bên ngoài, gây nguy hiểm cho hệ thống. Những phần public của trang web như việc quảng bá thông tin, những thông tin, diễn đàn sinh viên sẽ được để công khai, sinh viên có mật khẩu sẽ được thực hiện quyền của sinh viên trong việc xem điểm của cá nhân.  Phân tích quy trình nghiệp vụ đưa ra các công việc mà hệ thống phải đảm nhiệm đó là: - Thực hiện quản lý sinh viên. Đưa thông tin sinh viên vào hệ thống sau đó có thể sử dụng các chức năng thống kê báo cáo đê đưa ra các thông tin sinh viên với một mục đích cụ thể. - Thực hiện quản lý giáo viên: Đưa thông tin giáo viên vào hệ thống, sử dụng các chức năng báo cáo thống kê để đưa ra các thông tin về giáo viên. - Thực hiện quản lý môn học: Đưa thông tin về môn học ứng với các khoa ngành, giáo viên đảm nhiệm cụ thể, giáo viên đảm nhiệm môn học sẽ là người cung cấp thông tin về tài liệu tham khảo, đề cương bài giảng, đề cương chi tiết, đề cương ôn tập cho môn học và các thông tin liên quan khác. 6 Việc đưa thông tin bài giảng lên trên trang web khoa dưới quyền đăng nhập của giáo viên thì giáo viên phải chịu trách nhiệm, - Thực hiện quản lý điểm: Giáo viên nhận điểm từ phòng đào tạo lên, điểm nhập vào là do giáo viên chủ nhiệm, quy trình nghiệp vụ của chức năng này là giáo viên chủ nhiệm sau khi nhận được tờ phiếu điểm của phòng đào tạo gửi xuống văn phòng khoa, sẽ có nhiệm vụ lấy về nhập điểm cho sinh viên, việc nhập điểm có hiệu lực sau 1 tuần kể từ khi văn phòng gửi điểm xuống văn phòng khoa.  Thực hiện chức năng thông tin của trang web khoa. Mọi nghiệp vụ liên quan đến việc đưa thông tin vào trang web khoa phải được diễn ra dưới hệ thống máy đã quy định đặt trong học viện, không cho phép bất kì cá nhân nào được truy cập ở các thiết bị bên ngoài(nhiệm vụ thuộc về đội ngũ xây dựng phần mềm) Từ việc phân tích nghiệp vụ trên các vấn đề chúng ta có thể nhìn nhận thấy đó là: a) Vấn đề về mặt kĩ thuật. 1. Phải đảm bảo yêu cầu bảo mật thông tin và các thỏa thuận bí mật. Mã hóa các thông tin cần bảo vệ, sử dụng mã hóa dữ liệu sql mã hóa theo từng cột user, pass, đối với người quản trị chỉ có thể có được user mà không được phép xem pass. - Xây dựng hệ thống mật khẩu đối với mỗi tài khoản chỉ được cấp cho một người quản lý và sử dụng. - Xây dựng hệ thống phân quyền logic đảm bảo phân quyền nhỏ nhất đối với những người sử dụng hệ thống. - Hệ thống cần được xây dựng mà cần giới hạn số lần đăng nhập sai liên tiếp vào hệ thống. Hệ thống tự động khóa tài khoản trong một khoảng thời gian nhất định trước khi tiếp tục cho đăng nhập nếu tiếp tục đăng nhập vượt qua một số lần quy định. 2. Đảm bảo phân cấp trách nhiệm đảm bảo an toàn thông tin trong tổ chức.Tiến hành phân cấp đến mức nhỏ nhất cho các đối tượng tham gia hệ thống đảm bảo tính hiện quả và tránh tranh chấp. Biện pháp tiến hành đảm bảo xây dựng phân quyền logic cho hệ thống, đảm bảo người dùng có quyền tương ứng với các chức năng nằm trong quyền hạn và công việc của mình. Giới hạn việc sử dụng các chức năng của chương trình đối với từng nhóm đối tượng khác nhau. 7 3. Hệ thống được xây dựng lên có khả năng chống lại các mã tấn công độc hại, một số mã tấn công độc hại bị đưa vào hệ thống thông qua việc truy cập các trang web hoặc tải về các tài liệu chứa mã độc, việc hệ thống có sử dụng mạng trao đổi thông tin và một số nghiệp vụ giữa sinh viên và hệ thống dẫn đến nguy cơ cho các cuộc tấn công và sự xâm nhập của các mã độc, việc giáo viên có thể tải tài liệu từ máy mình lên trên hệ thống cho sinh viên lấy tài liệu tham khảo cũng là một trong những yếu tố giúp vi rút có thể xâm nhập vào hệ thống. Sử dụng FireWall, Antivirus. Thường xuyên cập nhật các phiên bản (Version) mới, các bản vá lỗi của các phần mềm chống virus để bảo đảm chương trình quét virus của cơ quan trên các máy chủ, máy trạm luôn được cập nhật mới nhất, thiết lập chế độ quét thường xuyên ít nhất là hằng tuần. 4. Cấu hình an toàn cho các thiết bị mạng. - Phải đặt mật khẩu truy cập vào mạng đối với các hệ thống mạng không dây trong học viện. 5. Sử dụng các giao thức bảo mật mạng như IPSec, SSL để chống lại các loại hình tấn công phiên, chống tấn công nghe lén. 6. Phải có biện pháp tổ chức quản lý tài khoản: Các tài khoản và định danh người dùng trong hệ thống thông tin, bao gồm: tạo mới, kích hoạt, sửa đổi và loại bỏ các tài khoản , đồng thời tổ chức kiểm tra các tài khoản của hệ thống thông tin ít nhất 6 thang một lần, thông qua các công cụ của hệ thống. Hủy tài khoản, quyền truy nhập hệ thống thông tin, thu hồi lại tất cả các tài sản liên quan tới hệ thống thông tin (khóa, thẻ nhận dạng, thư mục lưu trữ, ) đối với cán bộ, công chức, viên chức đã chuyến công tác, chấm dứt hợp đồng lao động. 7. Phải xây dựng hệ thống quản lý logfile: Hệ thống thông tin cần ghi nhận các sự kiện: quá trình đăng nhập vào hệ thống, các thao tác cấu hình hệ thống. Thường xuyên kiểm tra, sao lưu (backup) các logfile theo từng tháng để lưu vết theo dõi, xác định những sự kiện đã xảy ra của hệ thống và hạn chế việc tràn logfile gây ảnh hưởng đến hoạt động của hệ thống dạng nhật ký người dùng với các nội dung như: nội dung thay đổi, lý do thay đổi, thời gian, vị trí thay đổi, 8. Tổ chức kiểm tra quản lý tài nguyên : Kiểm tra, giám sát chức năng chia sẻ thông tin (Network File and Folder Sharing). Tổ chức cấp phát tài 8 nguyên trên máy chủ theo danh mục thư mục cho từng phòng/đơn vị trực thuộc; khuyến cáo người sử dụng cân nhắc việc chia sẻ tài nguyên cục bộ trên máy đang sử dụng, tuyệt đối không được chia sẻ toàn bộ ổ cứng. Khi thực hiện việc chia sẻ tài nguyên trên máy chủ hoặc trên máy cục bộ nên sử dụng mật khẩu để bảo vệ thông tin 9. Hệ thống được xây dựng lên phải đảm bảo chức năng vê sao lưu dự phòng Các dữ liệu quan trọng cần phải sao lưu , bao gồm: thông tin cấu hình của hệ thống mạng, máy chủ; phần mềm ứng dụng và cơ sở dữ liệu; tập tin ghi nhật ký. +) Các cơ quan phải lập kế hoạch và thực hiện sao lưu dữ liện phù hợp với điều kiện của từng cơ quan, đảm bảo khả năng phục hồi dữ liệu khi có sự cố xảy ra. b) Vấn đề từ phía người dùng Những quy tắc cần xác định ở đây là: 1. Quy tắc về đặt và sử dụng mật khẩu. Mật khẩu đăng nhập hệ thống phải có độ phức tạp cao (có độ dài tối thiểu 8 ký tự, ký tự số và ký tự đặc biệt như !, @, #, $, %, ) và phải được thay đổi ít nhất 3 tháng /lần và được giữ bí mật, bởi mật khẩu tượng trưng cho định danh người dùng, mọi hoạt động diễn ra dưới mật khẩu cọi như do người dùng đó thực hiện. Có ý thức trong giữ bí mật mật khẩu và hoạt động nghiệp vụ, không để lộ mật khẩu. 2. Quy tắc về sử dụng mạng: không trao đổi công việc trên các hệ thống mạng xã hội hoặc email, chỉ cung cấp những hỗ trợ thiết yếu nhất bảo đảm duy trì hoạt động của hệ thống thông tin, hạn chế sử dụng các trang mạng không lành mạnh, không cần thiết. 3. Quy tắc về sử dụng máy tính 4. Quy tắc về ứng xử trong tình huống cố định - Nghi ngờ virus - Nghi ngờ tấn công - Nghi ngờ mất mát dữ liệu Khi phát hiện ra bất kỳ dấu hiện nào liên quan đến việc bị nhiễm mã độc trên máy trạm (ví dụ: máy hoạt động chậm bất thường, cảnh báo từ phần mềm phòng chống mã độc, mất dữ liệu,…), người sử dụng phải tắt máy và báo trực tiếp cho bộ phận có trách nhiệm của đơn vị để xử lý. 9 5. Quy tắc về thiết lập thông số hệ thống mạng cho các thành viên quản trị. 6. Quy tắc xử lý và sử dụng thông tin +) Mỗi giáo viên,sinh viên chỉ được phép truy cập các thông tin phù hợp với chức năng, trách nhiệm, quyền hạn của mình, có trách nhiệm bảo mật tài khoản truy cập thông tin. +) hệ thống có rất nhiều nghiệp vụ liên quan đến việc cập nhật thông tin vậy làm thế nào để đảm bảo an toàn thông tin khi việc cập nhật thông tin nhiều thế 10 . vấn đề mang tính quy t định trong an toàn thông tin thì các tổ chức chưa thực sự quan tâm, cụ thể như: 3 +)Chính sách an toàn thông tin chưa được hoạch định bài bản. +) Trách nhiệm an toàn. giải quy t sự đe dọa an toàn thông tin từ bên ngoài, còn sự đe dọa từ bên trong chưa thực sự được quan tâm một cách nghiêm túc, đó thực sự là những quan niệm sai lầm đối với an ninh an toàn. đã được phổ biến đầy đủ. Trong an toàn an ninh thông tin người ta cũng đưa ra các chính sách, tiêu chuẩn và các quy định về sử dụng ứng dụng, quy trình đảm bảo an toàn cho hệ thống để mọi người