LVThS danhgiaantoanthongtintheocapdo v1 0

7 11 0
  • Loading ...
1/7 trang

Thông tin tài liệu

Ngày đăng: 04/10/2018, 17:01

TÓM TẮT LUẬN VĂN THẠC SĨ Đề tài: XÂY DỰNG QUY TRÌNH ĐÁNH GIÁ AN TỒN THƠNG TIN THEO CẤP ĐỘ Từ khóa (Keyword): An tồn thơng tin theo cấp độ, Đánh giá an tồn thơng tin, Evaluation Assurance Level, EAL Lý chọn đề tài, tính cấp thiết đề tài Trong năm gần đây, hệ thống thông tin mạng doanh nghiệp quan nhà nước đứng trước nhiều mối đe dọa an tồn thơng tin, việc đẩy mạnh cơng tác đảm bảo an tồn thơng tin mạng nhu cầu cấp thiết tất đơn vị Việc bảo đảm an tồn hệ thống thơng tin hoạt động quan, tổ chức cần thực thường xuyên, liên tục tuân theo tiêu chuẩn đánh giá an tồn thơng tin cơng bố Theo quy định Luật An tồn thơng tin mạng có hiệu lực từ ngày 01/07/2016, để áp dụng biện pháp quản lý kỹ thuật nhằm bảo vệ hệ thống thông tin phù hợp theo cấp độ, trước hết cần phân loại, xác định cấp độ an tồn thơng tin hệ thống thơng tin, với cấp độ tăng dần từ đến Để hướng dẫn thi hành Luật An tồn thơng tin mạng, vào ngày 01/07/2016, Chính phủ ban hành Nghị định 85/2016/NĐ-CP (Về đảm bảo an tồn hệ thống thơng tin theo cấp độ) quy định chi tiết tiêu chí, thẩm quyền, trình tự, thủ tục xác định cấp độ an tồn hệ thống thơng tin trách nhiệm bảo đảm an tồn hệ thống thơng tin theo cấp độ Tại Nghị định này, Chính Phủ giao Bộ Thơng tin Truyền thông hướng dẫn chi tiết việc xác định hệ thống thông tin theo cấp độ; ban hành quy định văn hướng dẫn bảo đảm an tồn thơng tin theo cấp độ,… Ngày 24/04/2017, Bộ Thơng tin Truyền thông ban hành Thông tư 03/2017/TT-BTTTT quy định chi tiết hướng dẫn số điều Nghị định 85/2016/NĐ-CP Thông tư bao gồm Chương, 19 Điều Phụ lục, thông tư 03/2017/TT-BTTTT Bộ Thơng tin Truyền thơng có hiệu lực thi hành từ ngày 1/7/2017 Bên cạnh việc hướng dẫn chủ quản hệ thống thông tin cách xác định hệ thống cấp độ an toàn hệ thống thông tin, Thông tư 03/2017/TT-BTTTT quy định cụ thể yêu cầu bảo đảm an toàn hệ thống thông tin theo cấp độ; đồng thời hướng dẫn việc kiểm tra, đánh giá an tồn thơng tin số công tác liên quan đến việc bảo đảm an tồn thơng tin Mặc dù có văn quy định hướng dẫn trên, nhiên việc triển khai thực tế gặp nhiều khó khăn Chính vậy, xây dựng quy trình đánh giá an tồn thơng tin theo cấp độ, công cụ hỗ trợ thiết thực cho công tác đánh giá an tồn thơng tin đơn vị, từ dễ dàng xác định cấp độ an tồn phương án bảo đảm an toàn HTTT theo cấp độ cho HTTT Việt Nam Do đó, tơi chọn đề tài “Xây dựng quy trình đánh giá an tồn thơng tin theo cấp độ” làm đề tài nghiên cứu cho luận văn Mục tiêu, nhiệm vụ, đối tượng, phạm vi phương pháp nghiên cứu Mục tiêu: Mục đích luận văn nghiên cứu việc đánh giá an toàn thông tin theo cấp độ đề xuất quy trình để đánh giá độ an tồn thơng tin theo cấp độ áp dụng để đánh giá độ an tồn thơng tin cho HTTT Việt Nam Nhiệm vụ: Để hoàn thành mục tiêu luận văn đưa dễ dàng tiếp cận nội dung xây dựng quy trình đánh giá ATTT, trước tiên tác giả cần tìm hiểu lý thuyết chung an tồn thơng tin, đánh giá an tồn thơng tin theo cấp độ Từ đó, tác giả đề xuất quy trình phục vụ việc đánh giá an tồn thơng tin theo cấp độ Bên cạnh đó, tác giả xây dựng mơ hình theo bước quy trình nhằm trực quan hóa quy trình đánh giá an tồn thơng tin theo cấp độ: Tác giả xây dựng mơ hình chuyển đổi trạng thái hồ sơ nhằm đưa tập trạng thái mà người dùng nhìn thấy được, quản lý số lượng trạng thái quy trình Đồng thời, tác giả đưa luật chuyển đổi trạng thái nhằm kiểm soát mức độ khai thác liệu người dùng thuộc vai trò khác Với mơ hình xử lý ngoại lệ, tác giả muốn đưa quy định cho phép thông tin xử lý quy trình Từ việc quản lý số lượng trạng thái quy trình xác định nút tham gia vào quy trình, từ đưa nguyên tắc chung việc kiểm soát xử lý liệu chuyển đổi vai trò, bên cạnh đưa trường hợp tối ưu quy định vai trò phép thực luồng ngoại lệ Xây dựng mơ hình phân quyền theo bước quy trình: Trong quy trình đánh giá cấp độ an toàn đề xuất, cảnh báo nguy an tồn thơng tin mạng cho TT/CTTĐT, số lượng đối tượng giám sát liệu cần quản lý lớn Từ cần phải giải yêu cầu quản lý thông tin xác thực phân quyền cho tài khoản hệ thống cách quán linh hoạt Mỗi chuyên viên chịu trách nhiệm quản lý phân vùng giám sát gồm TT/CTTĐT phân hệ phần mềm có liên quan Chương trình đánh giá an tồn hệ thống thông tin cung cấp chức hỗ trợ định nghĩa danh sách vai trò (roles) để đảm nhận chức công việc khác Mỗi vai trò gắn liền với số quyền hạn cho phép thao tác số hoạt động cụ thể ('permissions') Người dùng hệ thống phân vai trò riêng, thơng qua việc phân vai trò mà họ cấp phát quyền hạn cho phép họ thi hành chức cụ thể hệ thống Xây dựng mơ hình Quản lý nhật ký hệ thống: Trong trình vận hành hệ thống, việc thực thu thập liệu nhật ký truy cập vấn đề thiết thực Quản lý nhật ký hệ thống nhằm phát hiện, cảnh báo nguy cố an tồn thơng tin mạng, công, bất thường Thông tin nhật ký ghi nhận phục vụ cho việc tra vết hệ thống Đối tượng nghiên cứu luận văn: Quy trình đánh giá an tồn thơng tin theo cấp độ Phạm vi nghiên cứu: Quy trình đánh giá an tồn thơng tin theo cấp độ mà tác giả đề xuất xây dựng ứng dụng khác nhau, phạm vi cho phép đề tài, tác giả trực quan hóa quy trình đánh giá an tồn thơng tin theo cấp độ dạng website thử nghiệm module hỗ trợ hệ thống đánh giá an tồn thơng tin theo cấp độ Phương pháp nghiên cứu: Tổng hợp lý thuyết (thu thập, tìm hiểu, phân tích), đề xuất quy trình, xây dựng thử nghiệm đánh giá Ý nghĩa khoa học thực tiễn: Nghiên cứu, đề xuất quy trình đánh giá an tồn thơng tin theo cấp độ áp dụng Việt Nam đóng góp quy trình giúp cho việc đánh giá độ an tồn thơng tin cho HTTT Việt Nam thuận lợi, dễ dàng, nhanh chóng Cấu trúc luận văn Cấu trúc luận văn bao gồm phần sau: MỞ ĐẦU: Nội dung phần mở đầu lý chọn đề tài; mục đích, đối tượng, phạm vi nghiên cứu luận văn; tóm tắt điểm đóng góp tác giả phương pháp nghiên cứu CHƯƠNG 1: TỔNG QUAN VỀ AN TỒN THƠNG TIN, ĐÁNH GIÁ TỒN THƠNG TIN: Nội dung chương trình bày tìm hiểu lý thuyết an tồn thơng tin đánh giá an tồn thơng tin cho HTTT Thực trạng việc đánh giá an tồn thơng tin theo cấp độ Việt Nam CHƯƠNG 2: ĐỀ XUẤT QUY TRÌNH ĐÁNH GIÁ AN TỒN THƠNG TIN THEO CẤP ĐỘ: Nội dung chương trình bày đề xuất quy trình đánh giá an tồn thơng tin theo cấp độ, giúp cho việc đánh giá cấp độ an toàn thông tin HTTT Việt Nam dễ dàng, phù hợp với quy định Nhà nước CHƯƠNG 3: THỬ NGHIỆM: Trực quan hóa quy trình đánh giá an tồn thơng tin theo cấp độ đề xuất Đánh giá kết thử nghiệm đạt KẾT LUẬN: Nội dung phần mở đầu, tác giả tổng kết kết đạt luận văn, bên cạnh có vấn đề tồn từ tác giả đưa hướng giải phát triển đề tài Kết luận Luận văn tạo điều kiện cho tác giả tìm hiểu, nắm bắt kiến thức an tồn thơng tin phương pháp đánh giá an tồn thơng tin theo cấp độ cho HTTT Trên thực tế, luận văn tìm hiểu nêu nét đặc trưng sở lý thuyết an tồn thơng tin, đánh giá an tồn thơng tin Từ đó, t ác giả vận dụng lý thuyết, đề xuất quy trình đánh giá an tồn thơng tin theo cấp độ Ngồi ra, tác giả xây dựng ứng dụng thử nghiệm thành cơng bao gồm chức hỗ trợ chương trình đánh giá an tồn thơng tin theo cấp độ Kết luận văn đóng góp phần tảng sở cho tìm hiểu sâu việc ứng dụng, phát triển hệ thống đánh giá an toàn thông tin theo cấp độ Việt Nam Những vấn đề tồn Mặc dù có nhiều cố gắng nỗ lực tìm hiểu, nhiên trình độ nhiều hạn chế việc nghiên cứu thời gian có hạn nên luận văn khơng tránh khỏi hạn chế Hiện tác giả thử nghiệm đánh giá HTTT website, chưa mở rộng thử nghiệm đánh giá nhiều HTTT khác Bên cạnh đó, quy trình xây dựng dừng lại việc đề cập đến bước để Đối tượng kiểm tra, đánh giá phải tự thực cập nhật đầy đủ thông tin hồ sơ tổ chức đủ điều kiện để đánh giá an tồn thơng tin hệ thống Tuy nhiên, việc cập nhật gây khó khăn, bất tiện cho người dùng Ngồi ra, chương trình đơn sử dụng giải thuật để đánh giá an tồn thơng tin theo cấp độ, chưa có kết hợp tool quét bảo mật để bổ trợ thêm thơng tin q trình đánh giá an tồn thơng tin theo cấp độ Hướng phát triển Từ hạn chế trên, tác giả xin đề xuất hướng phát triển, nghiên cứu Tác giả tiến hành nghiệm đánh giá an tồn thơng tin nhiều HTTT khác theo quy định Bên canh đó, tác giả đưa tiện ích vào chương trình nhằm hỗ trợ người dùng khai báo hồ sơ tổ chức Chương trình tự động thu thập thông tin tổ chức thông qua website cần đánh giá tổ chức (crawler liệu), thu thập liệu thông qua hồ sơ đề xuất cấp độ tổ chức Kết hợp tool quét bảo mật để tìm lỗ hổng tiềm tàng điểm yếu cấu tạo web nhằm bổ trợ thêm thơng tin q trình đánh giá an tồn thơng tin theo cấp độ, từ đưa cảnh báo phương án đảm bảo an tồn thơng tin cho hệ thống cần đánh giá Triển khai giải pháp sử dụng bảo mật xác thực nhân tố tài khoản người dùng truy cập vào chương trình thơng qua token CA q trình đăng nhập hệ thống Người dùng lựa chọn token CA đơn vị cung cấp dịch vụ CA công cộng cáp phép Bộ thông tin truyền thông như: Viettel, VNPT, FPT, BKav TÀI LIỆU THAM KHẢO Nguyễn Hải Anh (2015), “Phân định cấp độ hệ thống thơng tin”, Tạp chí an tồn thơng tin, Ban u phủ Bộ thông tin truyền thông (2017), Thông tư số 03/2017/TT-BTTT, Về đảm bảo an tồn hệ thống thơng tin theo cấp độ Cherdantseva Y and Hilton J (2013), Information Security and Information Assurance The Discussion about the Meaning, Scope and Goals, IGI Global Publishing, Hershey Chính phủ (2016), Nghị định số 85/2016/NĐ-CP, Quy định chi tiết hướng dẫn số điều nghị định số 85/2016/NĐ-CP ngày 01/07/2016 phủ đảm bảo an tồn hệ thống thông tin theo cấp độ ISO/IEC 27000:2009 (E) (2009), Information technology - Security techniques - Information security management systems - Overview and vocabulary, ISO/IEC Trần Đức Lịch (2011), “Đánh giá an tồn hệ thống Cơng nghệ thơng tin”, Tạp chí an tồn thơng tin, Ban yêu phủ Quốc hội (2015), Luật số 86/2015/QH13, Luật an tồn thơng tin mạng Tiêu chuẩn quốc gia (2011), TCVN 8709-1:2011 (ISO/IEC 15408-1:2009), Công nghệ thông tin – kỹ thuật an tồn tiêu chí đánh giá an toàn CNTT – Phần 1: Giới thiệu mơ hình tổng quan Tiêu chuẩn quốc gia (2011), TCVN 8709-2:2011 (ISO/IEC 15408-2:2009), Công nghệ thông tin – kỹ thuật an tồn tiêu chí đánh giá an toàn CNTT – Phần 2: Các thành phần chức an toàn 10 Tiêu chuẩn quốc gia (2011), TCVN 8709-3:2011 (ISO/IEC 15408-3:2009), Công nghệ thông tin – kỹ thuật an tồn tiêu chí đánh giá an tồn CNTT – Phần 3: Các thành phần đảm bảo an toàn 11 Tiêu chuẩn quốc gia (2016), TCVN 11386:2016 (ISO/IEC 18045:2008), Cơng nghệ thơng tin – kỹ thuật an tồn – phương pháp đánh giá an tồn cơng nghệ thơng tin ... chi tiết hướng dẫn số điều nghị định số 85/ 201 6/NĐ-CP ngày 01 /07 / 201 6 phủ đảm bảo an tồn hệ thống thơng tin theo cấp độ ISO/IEC 2 700 0: 200 9 (E) ( 200 9), Information technology - Security techniques... 15 408 -2: 200 9), Công nghệ thơng tin – kỹ thuật an tồn tiêu chí đánh giá an tồn CNTT – Phần 2: Các thành phần chức an toàn 10 Tiêu chuẩn quốc gia ( 201 1), TCVN 8 709 -3: 201 1 (ISO/IEC 15 408 -3: 200 9),... TCVN 8 709 -1: 201 1 (ISO/IEC 15 408 -1: 200 9), Cơng nghệ thơng tin – kỹ thuật an tồn tiêu chí đánh giá an tồn CNTT – Phần 1: Giới thiệu mơ hình tổng quan Tiêu chuẩn quốc gia ( 201 1), TCVN 8 709 -2: 201 1 (ISO/IEC
- Xem thêm -

Xem thêm: LVThS danhgiaantoanthongtintheocapdo v1 0, LVThS danhgiaantoanthongtintheocapdo v1 0

Gợi ý tài liệu liên quan cho bạn

Nhận lời giải ngay chưa đến 10 phút Đăng bài tập ngay