HỆ THỐNG BẢO MẬT TRONG LƯU TRỮ NHÀ NƯỚC TS Vũ Thị Minh Hương Cục trưởng Cục Văn thư Lưu trữ Nhà nước 000007 - Tài liệu lưu trữ quốc gia di sản dân tộc, có giá trị đặc biệt nghiệp xây dựng bảo vệ Tổ quốc Việt Nam xã hội chủ nghĩa Tài liệu lưu trữ lưu trữ lịch sử khai thác, sử dụng rộng rãi cho yêu cầu nghiên cứu toàn xã hội, trừ tài liệu lưu trữ thuộc danh mục bí mật Nhà nước tài liệu lưu trữ đặc biệt quý, sử dụng dạng Trong mơi trường mạng, cần có bảo đảm liệu có tính bí mật phải cất giữ riêng cho có người có thẩm quyền phép truy cập Bảo mật thông tin việc làm quan trọng quan, đơn vị, đặc biệt Trung tâm lưu trữ quốc gia Mạng máy tính cần phải bảo vệ an toàn, tránh khỏi hiểm hoạ vơ tình cố ý gây Nhiệm vụ người quản trị mạng bảo đảm cho mạng ln cơng cụ làm việc an tồn, đáng tin cậy, bị hiểm hoạ đe doạ An toàn hệ thống bảo mật liệu điều kiện tiên bảo đảm cho việc ứng dụng công nghệ thông tin vào công tác quản lý tài liệu lưu trữ quốc gia, vậy, cần phải có giải pháp bảo mật liệu hợp lý bảo đảm tính an tồn cho liệu hệ thống đưa vào khai thác sử dụng Hiện nay, Cục Văn thư Lưu trữ Nhà nước triển khai kế hoạch ứng dụng công nghệ thông tin công tác quản lý khai thác tài liệu lưu trữ, yêu cầu bảo mật thông tin thực mức sau: Bảo Bảo Bảo Bảo Bảo mật mật mật mật mật mức mức mức mức mức hành hệ điều hành Web Server CSDL ứng dụng Bảo mật hệ thống tường lửa (firewall) Bảo mật mức hành Mức bảo mật dựa quy định pháp luật khai thác sử dụng tài liệu lưu trữ như: - Thẩm quyền quy định danh mục tài liệu đặc biệt quý, Lưu trữ lịch sử; - Thẩm quyền cho phép khai thác, sử dụng tài liệu thuộc Phông lưu trữ Nhà nước Việt Nam; - Thủ tục khai thác, sử dụng tài liệu lưu trữ; - Thẩm quyền cho phép mang tài liệu thuộc Phông lưu trữ Nhà nước Việt Nam nước ngoài; - Thẩm quyền cho phép công bố, chụp tài liệu thuộc Phông lưu trữ quốc gia Việt Nam; - Thẩm quyền cho phép khai thác, sử dụng, công bố tài liệu thuộc danh mục bí mật nhà nước tài liệu thuộc Phông lưu trữ Đảng Cộng sản Việt Nam Trên sở xây dựng quy định khai thác sử dụng thông tin tài liệu lưu trữ môi trường mạng đáp ứng yêu cầu chống truy cập trái phép người dùng Từng cá nhân phải có trách nhiệm bảo vệ tài ngun máy tính bảo đảm bí mật tên người sử dụng, mật truy cập hệ thống thông tin Dữ liệu cần phải lưu cất giữ theo quy chế bảo mật, tăng cường phòng chống virus tin học thất thoát liệu 2 Bảo mật mức hệ điều hành Trên sở sử dụng hệ điều hành, xây dựng quy chế quy định quyền: - Quyền truy nhập máy chủ/bảo trì hệ thống; - Quyền chạy chương trình ứng dụng: người sử dụng hệ thống cung cấp account mức hệ điều hành, account gán quyền cho phép chạy chương trình hệ thống Có account quản trị hệ thống (Administrator) có tồn quyền hệ thống (mức hệ điều hành), account phân quyền chạy chức cho account sử dụng khác; - Hệ thống ứng dụng Cục Văn thư Lưu trữ Nhà nước xây dựng môi trường Windows 2000 Server Khi làm việc môi trường Windows 2000 Server, người sử dụng cung cấp khoản mục người sử dụng (user account) để truy cập vùng truy cập tài nguyên mạng Khoản mục người sử dụng Windows 2000 Server bao gồm: tên, mật để nhập vùng, nhóm mà người sử dụng thành viên, quyền người sử dụng hệ thống Nó chứa thông tin khác như: Tên đầy đủ, mô tả khoản mục, thông tin môi trường làm việc máy trạm để từ nhập vùng, thời gian phép làm việc Bảo mật mức Web Server Internet Information Services (IIS) 5.0 trình chủ Web Hệ điều hành (HĐH) Microsoft Windows 2000 Do IIS dịch vụ chạy HĐH Windows 2000, đóng vai trị cầu nối cho kết nối trước truy cập tài nguyên, IIS hỗ trợ chế xác thực cho đặc tả Web hạn chế IP Quyền Web: Các quyền Web cách để kiểm sốt quyền truy cập tới phần không gian Web Các hạn chế địa IP Domain Name: Một chế xác thực quan trọng khác IIS giới hạn truy cập theo địa IP hay DNS name Sử dụng giới hạn địa IP DNS name, gán hay hạn chế quyền truy cập máy Khi điều khiển truy cập theo địa IP, nhiều người dùng Web phải truy cập thông qua máy chủ Proxy hay qua Firewall Các kết nối tới Web server bắt nguồn từ Proxy hay Firewall 4 Bảo mật mức CSDL Thông thường hệ sở liệu phải cung cấp tính bảo mật, kiểm sốt việc truy cập sử dụng sở liệu như: - Ngăn chặn truy cập liệu trái phép; - Kiểm soát phần đĩa sử dụng; - Kiểm soát nguồn tài nguyên hệ thống sử dụng (như thời gian CPU); - Theo dõi trình truy cập người sử dụng Mỗi người sử dụng sở liệu có giản đồ tương ứng với tên Mỗi giản đồ tập hợp logic đối tượng sở liệu bảng, views, sequences, synonyms, indexes, clusters, procedures, functions, packages, database links Mặc định, người sử dụng sở liệu tạo có quyền truy cập tới tất đối tượng có giản đồ người sử dụng Bảo mật sở liệu chia làm hai loại: Bảo mật hệ thống (System security) Bảo mật liệu (Data security) Bảo mật hệ thống bao gồm chế kiểm soát quyền truy cập sử dụng sở liệu mức hệ thống Bảo mật hệ thống bao gồm: - Kiểm tra kết hợp đồng thời người sử dụng/mật khẩu; - Dung lượng đĩa có sẵn cho giản đồ đối tượng người sử dụng; - Giới hạn tài nguyên cho người sử dụng Cơ chế bảo mật hệ thống có nhiệm vụ kiểm tra: - Người sử dụng có phép kết nối vào sở liệu hay không; - Bộ giám sát sỏ liệu có hoạt động hay khơng; - Các thao tác hệ thống người sử dụng có thực hay không Bảo mật liệu bao gồm chế truy cập sử dụng sở liệu tới đối tượng sở liệu như: Mỗi người sử dụng phép truy cập vào đối tượng riêng kiểu hành động mà người sử dụng phép thao tác đối tượng 5 Bảo mật mức ứng dụng Các hệ thống có modules bảo mật thiết kế riêng cho mức ứng dụng, cung cấp công cụ xác thực người sử dụng Một lần người sử dụng lại gán quyền chạy chức hệ thống, quyền truy/xuất vùng liệu khác nhau, xây dựng profiles riêng biệt cho users truy cập từ xa để bảo đảm tính bảo mật ngăn chặn việc xâm nhập liệu users khác Các đối tượng hệ thống bảo mật mức ứng dụng: - Người sử dụng: Ngoài việc sử dụng account hệ quản trị sở liệu Oracle, hệ thống tổ chức lưu trữ thông tin người sử dụng hệ thống; - Nhóm: Nhóm người sử dụng có quyền, chức - Chức năng: Các chức hệ thống gán cho nhóm người sử dụng Việc phân quyền chức cho người sử dụng hay phân quyền chức cho nhóm việc thừa kế quyền nhóm mà người sử dụng thuộc nhóm lưu trữ CSDL Oracle 6 Bảo mật hệ thống tường lửa (firewall) Firewall thực ngăn cách hệ thống server quan trọng với truy cập từ bên ngoài, ngăn ngừa tình trạng phá hoại hay truy cập trái phép từ bên đến liệu lưu trữ server Yêu cầu hệ thống firewall phải ngăn ngừa truy cập trái phép không làm giảm tốc độ truy cập trao đổi liệu người dùng hợp lệ Nói cách khác, firewall phải bảo đảm cho việc trao đổi thông tin mạng diễn bình thường Để thực quản lý dùng firewall, firewall sử dụng hỗ trợ nhiều giao diện kết nối để có phân khu vực quản lý thành nhiều vùng khác Các firewall có nhiều giao diện cung cấp cho người dùng nhiều tùy chọn việc phân vùng quản lý Yêu cầu hệ thống firewall dùng cho Cục Văn thư Lưu trữ Nhà nước gồm có: Với External Firewall - cung cấp ba giao diện (dùng cho kết nối Internet, kết nối với hệ thống mạng LAN vùng DMZ) Internal Firewall - có hai giao diện dùng phân chia Internal LAN External LAN Các firewall có khả mở rộng để hỗ trợ thêm nhiều giao diện cần Dưới sơ đồ hệ thống mạng Trung tâm Trụ sở Cục Văn thư Lưu trữ Nhà nước: ... Bảo mật sở liệu chia làm hai loại: Bảo mật hệ thống (System security) Bảo mật liệu (Data security) Bảo mật hệ thống bao gồm chế kiểm soát quyền truy cập sử dụng sở liệu mức hệ thống Bảo mật hệ. .. ứng dụng công nghệ thông tin công tác quản lý khai thác tài liệu lưu trữ, u cầu bảo mật thơng tin thực mức sau: Bảo Bảo Bảo Bảo Bảo mật mật mật mật mật mức mức mức mức mức hành hệ điều hành Web... dụng Bảo mật hệ thống tường lửa (firewall) Bảo mật mức hành Mức bảo mật dựa quy định pháp luật khai thác sử dụng tài liệu lưu trữ như: - Thẩm quyền quy định danh mục tài liệu đặc biệt quý, Lưu trữ