Giáo trình Tổng quan Đảm bảo an toàn thông tin trong thư viện điện tử - Nguyễn Văn Hiệp

pdf 8 trang huongle 2790
Bạn đang xem tài liệu "Giáo trình Tổng quan Đảm bảo an toàn thông tin trong thư viện điện tử - Nguyễn Văn Hiệp", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfgiao_trinh_tong_quan_dam_bao_an_toan_thong_tin_trong_thu_vie.pdf

Nội dung text: Giáo trình Tổng quan Đảm bảo an toàn thông tin trong thư viện điện tử - Nguyễn Văn Hiệp

  1. Töíng quan ÀAÃM BAÃO AN TOAÂN THÖNG TIN TRONG THÛ VIÏÅN ÀIÏÅN TÛà ThS Nguyïîn Vùn Hiïåp Trûúâng Àaåi hoåc KHXH&NV Tp. Höì Chñ Minh ûå phaát triïín cuãa cöng nghïå thöng tin vaâ cêåy. ATTT bao haâm caác nöåi dung baão vïå vaâ baão truyïìn thöng àaä vaâ àang taác àöång sêu sùæc mêåt thöng tin, an toaân dûä liïåu, an toaân maáy tñnh Sàïën kinh tïë, chñnh trõ vaâ àúâi söëng xaä höåi. vaâ an toaân mang”å [4]. Ngaây caâng nhiïìu töí chûác, àún võ, doanh nghiïåp Theo ISO 17799/27001 [10], ATTT laâ khaã hoaåt àöång lïå thuöåc gêìn nhû hoaân toaân vaâo hïå nùng baão vïå àöëi vúái möi trûúâng thöng tin kinh thöëng maång maáy tñnh, maáy tñnh vaâ cú súã dûä tïë- xaä höåi, àaãm baão cho viïåc hònh thaânh, sûã liïåu. Noái caách khaác, khi hïå thöëng thöng tin duång vaâ phaát triïín vò lúåi ñch cuãa moåi cöng dên, (HTTT) hoùåc cú súã dûä liïåu gùåp sûå cöë thò hoaåt moåi töí chûác vaâ cuãa quöëc gia. Thöng qua caác àöång cuãa caác àún võ naây bõ aãnh hûúãng nghiïm chñnh saách vïì ATTT, laänh àaåo thïí hiïån yá chñ vaâ troång, thêåm chñ coá thïí bõ tï liïåt hoaân toaân. nùng lûåc cuãa mònh trong viïåc quaãn lyá hïå thöëng Vêën àïì àaãm baão an toaân thöng tin (ATTT) thöng tin. ATTT àûúåc xêy dûång trïn nïìn taãng ngaây caâng nhêån àûúåc nhiïìu sûå quan têm. Giúâ möåt hïå thöëng caác chñnh saách, quy tùæc, quy trònh àêy ATTT àûúåc xïëp ngang haâng vúái nhûäng vêën vaâ caác giaãi phaáp kyä thuêåt nhùçm muåc àñch àaãm àïì thiïët thûåc trong cuöåc söëng nhû: an toaân thûåc baão an toaân taâi nguyïn thöng tin maâ töí chûác àoá phêím, an toaân y tïë, an toaân lao àöång vaâ àûúåc súã hûäu cuäng nhû caác taâi nguyïn thöng tin cuãa Àaãng vaâ Nhaâ nûúác ta àùåc biïåt quan têm. Àaä coá caác àöëi taác, caác khaách haâng trong möåt möi rêët nhiïìu vùn baãn cuãa chñnh phuã àûúåc àûa ra trûúngâ thöng tin toaân cêìu. yïu cêìu caác cú quan, töí chûác, doanh nghiïåp Tûåu chung laåi, ATTT laâ sûå duy trò tñnh bñ thûåc hiïån caác biïån phaáp àaãm baão ATTT trong mêåt, tñnh toaân veån vaâ tñnh sùén saâng cuãa thöng hoaåt àöång cuãa àún võ mònh [4, 5, 6, 7]. tin, trong àoá: Tuy nhiïn, xêy dûång möåt hïå thöëng àaãm baão Tñnh bñ mêåt: thöng tin chó àûúåc khai thaác ATTT toaân diïån, hiïåu quaã khöng phaãi laâ möåt búãi nhûäng àöëi tûúång (ngûúâi, chûúng trònh maáy cöng viïåc dïî daâng, àùåc biïåt àöëi vúái caác cú quan tñnh ) àûúåc cêëp pheáp. thöng tin-thû viïån, núi ATTT coân laâ möåt khaái niïåm khaá múái, àöåi nguä caán böå coân yïëu vïì cöng Tñnh toaân veån: thöng tin chó àûúåc pheáp xoáa nghïå thöng tin vaâ vêën àïì ATTT thûúâng àûúåc hoùåc sûãa búãi nhûäng àöëi tûúång àûúåc cêëp pheáp vaâ mùåc àõnh chó daânh cho böå phêån cöng nghïå phaãi àaãm baão thöng tin vêîn coân chñnh xaác khi thöng tin. àûúåc lûu trûä vaâ truyïìn ài. 1. Khaái niïåm vïì An toaân thöng tin Tñnh sùén saâng: thöng tin coá thïí àûúåc truy “An toaân thöng tin: bao göìm caác hoaåt àöång xuêët búãi nhûäng ngûúâi àûúåc pheáp vaâo bêët cûá khi quaãn lyá, nghiïåp vuå vaâ kyä thuêåt àöëi vúái hïå thöëng naâo hoå muöën. thöng tin nhùçm baão vïå, khöi phuåc caác hïå thöëng, Trong hoaåt àöång thû viïån, ATTT “laâ viïåc caác dõch vuå vaâ nöåi dung thöng tin àöëi vúái nguy àaãm baão phêìn cûáng, caác dõch vuå, caác chûúng cú tûå nhiïn hoùåc do con ngûúâi gêy ra. Viïåc baão trònh vaâ thöng tin luön úã traång thaái sùén saâng vïå thöng tin, taâi saãn vaâ con ngûúâi trong hïå cho ngûúâi sûã duång” [12]. Noái caách khaác, àaãm thöëng thöng tin nhùçm baão àaãm cho caác hïå baão ATTT trong thû viïån laâ viïåc baão vïå thöng thöëng thûåc hiïån àuáng chûác nùng, phuåc vuå àuáng tin vaâ HTTT khoãi caác truy cêåp, chónh sûãa hoùåc àöëi tûúång möåt caách sùén saâng, chñnh xaác vaâ tin sûã duång thöng tin traái pheáp. Viïåc àaãm baão THÖNG TIN vaâ TÛ LIÏÅU - 5/2015 27
  2. Töíng quan ATTT trong thû viïån cuäng phaãi duy trò àûúåc baão àaãm tñnh toaân veån vaâ lêu daâi cuãa caác böå tñnh bñ mêåt, tñnh toaân veån vaâ tñnh sùén saâng, cuå sûu têåp söë àïí cho möåt cöång àöìng hoùåc möåt têåp thïí nhû sau: húåp cöång àöìng ngûúâi duâng tin xaác àõnh luön coá Tñnh bñ mêåt: chó nhûäng ngûúâi duâng àûúåc thïí sûã duång möåt caách nhanh choáng, kõp thúâi vaâ cêëp quyïìn múái àûúåc pheáp truy cêåp vaâo caác cú kinh tï”ë [15]. súã dûä liïåu, nguöìn taâi liïåu àiïån tûã vaâ caác taâi Toám laåi, TVÀT thûåc chêët laâ möåt hïå thöëng nguyïn khaác cuãa thû viïån. Thû viïån khöng thöng tin hoaân chónh, àûúåc hiïíu laâ núi lûu trûä àûúåc pheáp tiïët löå thöng tin cuãa ngûúâi sûã duång nguöìn thöng tin söë hoáa, àùåc biïåt laâ thöng tin nhû thöng tin caá nhên cuãa ngûúâi sûã duång, thöng toaân vùn, àöìng thúâi sûã duång caác phûúng tiïån tin vïì lõch sûã mûúån - traã àiïån tûã trong thu thêåp, lûu trûä, xûã lyá, tòm kiïëm Tñnh toaân veån: àaãm baão sûå chñnh xaác, vaâ phöí biïën thöng tin. Cuäng chñnh vò leä àoá, vêën àïì ATTT trong caác TVÀT laâ möåt trong caác khöng thay àöíi cuãa thöng tin göëc, vñ duå nhû yïëu töë söëng coân cuãa möåt HTTT thû viïån. Yïu caác thöng tin thû muåc trong caác cú súã dûä cêìu àùåt ra laâ phaãi laâm sao àïí coá thïí àaáp ûáng liïåu, thöng tin àûúåc àùng taãi trïn website cuãa moåi dõch vuå cuãa möåt thû viïån, àöìng thúâi phaãi thû viïån luön àaãm baão hïå thöëng àûúåc vêån haânh möåt Tñnh sùén saâng: caác nguöìn tin cuãa thû viïån caách an toaân. phaãi luön trong traång thaái sùén saâng cho ngûúâi 2.2. Caác yïu cêìu vïì ATTT trong TVÀT sûã duång truy cêåp bêët cûá thúâi gian naâo, vñ duå: hïå thöëng OPAC, website thû viïån, caác cú súã dûä Muåc tiïu cuãa caác cuöåc têën cöng vaâo liïåu àiïån tûã HTTT trong àoá coá TVÀT laâ nhùçm phaá vúä cêëu truác ATTT dûåa trïn ba tñnh chêët laâ “ tñnh bñ 2. Thû viïån àiïån tûã vaâ caác àiïím yïëu an mêåt”, “ tñnh toaân veån” vaâ “tñnh sùén saâng”. toaân thöng tin Chñnh vò vêåy, caác yïu cêìu vïì ATTT cuäng xoay 2.1. Khaái niïåm thû viïån àiïån tûã quanh viïåc xêy dûång caác giaãi phaáp nhùçm chöëng Thû viïån àiïån tûã (TVÀT) laâ möåt khaái niïåm traã caác haânh vi laâm vö hiïåu möåt hoùåc caã ba tñnh chûa àûúåc àõnh nghôa thöëng nhêët vaâ coân nhiïìu chêët trïn. Cêìn nhêën maånh rùçng, mùåc duâ ba tñnh tranh luêån. Theo Hiïåp höåi Thû viïån Viïån chêët trïn coá tñnh àöåc lêåp, song trong thûåc tïë nghiïn cûáu (Association of Research Library), chuáng coá aãnh hûúãng lêîn nhau. Khi möåt tñnh caác thuêåt ngûä nhû: “Thû viïån àiïån tûã - E - chêët bõ xêm haåi, cêëu truác ATTT seä bõ phaá vúä vaâ Library”, “Thû viïån söë - Digital Library”, “Thû se ä taác àöång àïën caác tñnh chêët coân laåi. Vò vêåy, àïí viïån aão - Virtual Library”, “ Thû viïån tin hoåc àaãm baão ATTT cêìn coá möåt giaãi phaáp toaân diïån, hoaá”, “Thû viïån àa phûúng tiïån”, àûúåc sûã àöìng böå. duång cuâng möåt nöåi dung, yá nghôa. Tuy nhiïn, Vò nhûngä ly á do trïn, yïu cêuì àêuì tiïn vïì ngaây nay thuêåt ngûä “thû viïån söë” àûúåc cöång ATTT cho hï å thöngë TVÀT la â “Tñnh nhêtë quan,á àöìng thû viïån thïë giúái sûã duång nhiïìu vaâ phöí àöngì bö å trong viïcå quanã ly á ATTT”. Yïu cêuì trïn biïën. Coân úã Viïåt Nam, thuêåt ngûä “Thû viïån chó co á thï í àûúcå thûcå hiïnå khi xêy dûngå àûúcå mötå àiïån tûã” laåi àûúåc sûã duång phöí biïën hún. Theo bö å chñnh sachá vï ì ATTT dûaå trïn mötå tiïu chuêní Philip Baker: “TVÀT laâ thû viïån lûu trûä vaâ naoâ ào,á vñ du å nhû ISO17799 / ISO 27001. phuåc vuå caã êën phêím lêîn tû liïåu àiïån tûã (tû liïåu Hiïån nay nhiïìu cú quan, töí chûác àang ài theo söë hoáa)” [14]. Theo Liïn àoaân Thû viïån hûúáng naây. söë - 1993: “Caác thû viïån söë laâ caác töí chûác cung Yïu cêìu thûá hai laâ tñnh liïn tuåc: HTTT cêëp caác nguöìn lûåc, cung cêëp khaã nùng truy cêåp TVÀT hoaåt àöång liïn tuåc, vò vêåy caác quy trònh túái caác nguöìn tri thûác, phiïn dõch, phên phöëi, vïì ATTT phaãi àûúåc vêån haânh liïn tuåc 24/7. 28 THÖNG TIN vaâ TÛ LIÏÅU - 5/2015
  3. Töíng quan Tñnh liïn tuåc àaãm baão cho HTTT àûúåc vêån hïå àiïìu haânh, an toaân ûáng duång web Tuy haânh an toaân trong moåi tònh huöëng, ngay caã nhiïn, do nhêån thûác vïì ATTT chûa àêìy àuã, nhûäng tònh huöëng cûåc àoan nhû chaáy nöí, khuãng kinh phñ hoaåt àöång eo heåp, àùåc biïåt laâ kinh phñ böë, thiïn tai. Khöng nïn hiïíu ATTT chó laâ haânh daânh cho vêën àïì àaãm baão ATTT, nïn hiïån nay àöång nhêët thúâi “Thuãng àêu vaá ào”á maâ àêy laâ àa phêìn caác TVÀT chûa chuá troång àïën viïåc möåt quy trònh liïn tuåc: Lêåp kïë hoaåch (PLAN) àêìu tû vïì cú súã haå têìng kyä thuêåt. Àún cûã laâ viïåc →Xaác àõnh, phên tñch, thiïët kïë (DO)→Kiïím rêët nhiïìu thû viïån sûã duång caác phêìn mïìm hïå tra ATTT (CHECK) → Duy trò ATTT (ACT). àiïìu haânh khöng baãn quyïìn, khöng quan têm Yïu cêìu thûá ba vïì ATTT laâ tñnh phöí cêåp: túái viïåc cêåp nhêåt caác baãn vaá löîi hïå àiïìu haânh, hïå thöëng khöng àûúåc trang bõ caác phûúng tiïån Caác quy tùæc, quy trònh vïì ATTT cêìn àûúåc quaán ATTT vaâ xêy dûång caác giaãi phaáp ATTT nhû triïåt vaâ liïn tuåc àûúåc cêåp nhêåt trong phaåm vi tûúâng lûãa, caác hïå thöëng phaát hiïån xêm nhêåp traái toaân thû viïån nhùçm nêng cao nhêån thûác cuäng pheáp (IDS, IPS ); Sûã duång caác phêìn mïìm nhû traách nhiïåm vïì ATTT cuãa tûâng thaânh viïn. quaãn trõ thû viïån tñch húåp khöng àûúåc baão hiïím ATTT khöng phaãi laâ chuyïån riïng cuãa laänh vïì ATTT àaåo, nhaâ quaãn lyá, caán böå cöng nghïå thöng tin maâ laâ traách nhiïåm cuãa cöång àöìng àöëi vúái nguöìn Caác nguy cú trïn giao thûác TCP/IP: Hiïån taâi nguyïn thöng tin cuãa mònh. Vò vêåy ATTT nay caác TVÀT noái riïng vaâ cacá hïå thöëng thöng tin khaác noái chung chuã yïëu sûã duång giao thûác thûåc sûå àûúåc thûåc thi hiïåu quaã chó khi coá sûå TCP/IP. Àêy laâ möåt giao thûác dûåa trïn chuêín chung tay goáp sûác cuãa toaân thïí ngûúâi sûã duång ISO, cho pheáp sûå tûúng giao (interoperability) trong HTTT cuãa TVÀT. giûäa caác hïå maáy (platform) àa daång àûúåc cung 2.3. Möåt söë nguy cú ATTT taác àöång lïn cêëp búãi caác nhaâ saãn xuêët khaác nhau. Mö hònh TVÀT TCP/IP (Hònh 1) dûåa trïn nïìn taãng cêëu truác Caác nguy cú tûâ cú súã haå têìng kyä thuêåt: An OSI 7 lúáp. Àêy laâ möåt giao thûác àún giaãn, dïî toaân cú súã haå têìng kyä thuêåt bao göìm nhiïìu yïëu sûã duång vaâ phöí cêåp. Tuy nhiïn, do cêëu truác vaâ töë nhû: an toaân vêåt lyá, an toaân phêìn cûáng, an möåt söë àùåc tñnh truyïìn giao dûä liïåu, giao thûác toaân phêìn mïìm, an toaân haå têìng maång, an toaân naây coân mang trong mònh rêët nhiïìu àiïím yïëu. Hònh 1. Mö hònh TCP/IP THÖNG TIN vaâ TÛ LIÏÅU - 5/2015 29
  4. Töíng quan Mötå sö ë nguy cú TCP/IP co á thï í bõ tênë cöng nhû: caác löîi lêåp trònh Möåt trong nhûäng taác haåi cuãa • TCP/IP Attacks: Loaåi têën cöng naây xaãy ra löîi phêìn mïìm laâ phaá hoaåi tñnh toaân veån cuãa dûä trïn lúáp IP hay “host-to-host”. Möåt söë liïåu nhû: àaánh cùæp möåt caách bêët húåp phaáp Router/Firewall coá thïí ngùn chùån möåt söë giao quyïìn sûã duång dûä liïåu, xoáa, sûãa, thïm dûä liïåu thûác khoá kiïím soaát trïn Internet, tuy nhiïn vêîn hoùåc phaát laåi möåt söë thöng tin quan troång nhùçm coá möåt söë giao thûác khöng an toaân maâ hacker thûåc hiïån möåt söë muåc àñch cuãa keã têën cöng. coá thïí lúåi duång nhû SMTP & ICMP, TCP, Möåt trong nhûäng cöng cuå quan troång nhêët àïí UDP vaâ IP. àaãm baão tñnh toaân veån dûä liïåu laâ sûã duång caác • Caác hònh thûác têën cöng TCP/IP gùåp phaãi cöng cuå mêåt maä nhû caác haâm bùm möåt chiïìu nhû: (OWHF). Hiïån nay, caác giaãi thuêåt àûúåc sûã duång phöí biïën laâ MD5, SHA1, SHA2. - Port Scans (Queát caác cöíng). Caác nguy cú do ngûúâi duâng: Xuêët phaát tûâ - TCP SYN or TCP ACK Flood Attack (têën àùåc àiïím “Cöng cöång”, ngûúâi duâng trong hïå cöng traân böå àïåm). thöëng thû viïån rêët àa daång, nhêån thûác vïì ATTT - TCP Sequence Number Attack. khöng àöìng nhêët, àiïìu naây gêy ra rêët nhiïìu ruãi - TCP/IP Hijacking (Giaã maåo TCP/IP). ro cho hïå thöëng. Viïåc kiïím soaát truy cêåp, quaãn - Network Sniffers: Bùæt giûä vaâ hiïín thõ caác lyá chêët lûúång mêåt khêíu, kiïím soaát vaâ baão vïå thöng baáo trïn maång. thöng tin caá nhên, ngùn chùån caác haânh vi lêëy - Tênë cöng tû â chöië dõch vu å (Denial Of Service cùæp, sûãa àöíi nöåi dung thöng tin àang laâ nhûäng attacks- DOS/DDOS): Loaåi têën cöng khai thaác thaách thûác cho caác nhaâ quaãn trõ hïå thöëng thû caác àiïím yïëu trïn caác dõch vuå TCP vaâ UDP viïån. Theo nhiïìu taâi liïåu nghiïn cûáu, coá 80% nhùçm vö hiïåu caác dõch vuå cuãa thû viïån. Baãn nguy cú caác cuöåc têën cöng xuêët phaát tûâ nöåi böå. chêët thûåc sûå cuãa DOS/DDOS laâ keã têën cöng Àiïìu naây cho thêëy con ngûúâi laâ khêu yïëu nhêët seä chiïëm duång möåt lûúång lúán taâi nguyïn trong toaân böå quy trònh an toaân vaâ baão mêåt maång nhû bùng thöng, böå nhúá vaâ laâm mêët thöng tin. khaã nùng xûã lyá caác yïu cêìu dõch vuå tûâ ngûúâi Kyä thuêåt khai thaác àiïím yïëu do ngûúâi duâng sûã duång khaác. phöí biïën laâ “social engenering”[13]. Kyä thuêåt Caác nguy cú tûâ caác saãn phêím phêìn mïìm: “social engenering” laâ phûúng phaáp têën cöng Do tñnh “cöng cöång” (public) cuãa hï å thöëng, caác phi ky ä thuêåt, dûåa trïn sûå thiïëu hiïíu biïët cuãa phêìn mïìm àûúåc caác TVÀT sûã duång àa phêìn laâ ngûúâi duâng àïí lûâa gaåt hoå cung cêëp caác thöng nhûäng saãn phêím thûúng maåi, khöng àûúåc baão tin nhaåy caãm nhû username, password hay caác hiïím vïì ATTT. Hïå thöëng thöng tin TVÀT dïî thöng tin quan troång khaác. Chñnh vò yïëu töë têën bõ töín thûúng búãi möåt loaåt caác phêìn mïìm àöåc cöng phi kyä thuêåt dûåa trïn sûå thiïëu hiïíu biïët, haåi (Malware) vaâ caác phêìn mïìm giaán àiïåp khöng àïì phoâng cuãa ngûúâi sûã duång maâ daång (Spyware) nhû: trojan, virus, worms, adware, têën cöng naây àûúåc xem laâ daång têën cöng nguy keylogger, rootkit [17]. Caác phêìn mïìm thû hiïím nhêët. viïån khi àûúåc thiïët kïë thûúâng ñt chuá troång àïën Ngoaâi viïåc phoâng chöëng böën nhoám nguy cú caác löîi baão mêåt vaâ thûúâng khöng coá caác baãn vaá nïu trïn, àïí àaãm baão an toaân haå têìng TVÀT löîi (servise park) nïn trong quaá trònh sûã duång caác nhaâ quaãn lyá cuäng cêìn quan têm túái viïåc dïî bõ hacker khai thaác caác löîi baão mêåt nhû: nêng cao nhêån thûác vaâ hiïíu biïët vïì ATTT, àùåc “SQL injection”, Cross-site Scripting (XSS), biïåt cêìn xêy dûång möåt böå quy tùæc, chñnh saách 30 THÖNG TIN vaâ TÛ LIÏÅU - 5/2015
  5. Töíng quan vïì ATTT giuáp cho viïåc quaãn lyá, vêån haânh hïå 3.2. An toaân haå têìng maång thöëng àûúåc an toaân vaâ hiïåu quaã. Trong caác TVÀT, nguöìn taâi nguyïn thöng 3. Caác giaãi phaáp an toaân thöng tin àöëi vúái tin àûúåc truy cêåp thöng qua Internet vaâ maång thû viïån àiïån tûã maáy tñnh àoáng möåt vai troâ quan troång trong 3.1. An toaân vêåt lyá viïåc kïët nöëi caác nguöìn taâi nguyïn thöng An toaân vêåt lyá laâ àaãm baão sûå an toaân cuãa caác tin [14]. Hún thïë, àaãm baão tñnh sùén saâng, hiïåu thiïët bõ nhû maáy tñnh, maáy in, maân hònh, router, quaã vaâ hiïåu quaã chi phñ cuãa viïåc truy cêåp maång switch, caáp Caác thiïët bõ naây cêìn àûúåc àùåt taåi trong kyã nguyïn söë seä laâ nùng lûåc cöët loäi cuãa caác võ trñ an toaân, vñ duå, trong caác phoâng coá hïå caác thû viïån. Do àoá, an ninh maång co á möåt vai thöëng baão vïå nhû khoáa, hïå thöëng chöëng tröåm, troâ vö cuâng quan troång àöëi vúái caác TVÀT camera nhùçm ngùn chùån caác haânh vi ùn cùæp nhùçm duy trò tñnh toaân veån cuãa dûä liïåu. taâi saãn, truy cêåp traái pheáp vaâo caác maáy chuã hïå Àaãm baão an toaân haå têìng maång trong caác thöëng, phaá hoaåi dûä liïåu, hoùåc truy cêåp vaâo caác TVÀT nhùçm chöëng laåi böën nhoám nguy cú àoá nguöìn taâi nguyïn mêåt cuãa thû viïån. Noái toám laâ: truy cêåp traái pheáp (Non - authorized access); laåi, TVÀT cêìn thûåc hiïån caác biïån phaáp an ninh mêët maát hay roâ ró thöng tin (information mûác vêåt lyá nhû caác thiïët bõ phaãi àûúåc triïín khai leakage/Loss Prevention); phaá hoaåi tñnh toaân vúái yïu cêìu giaãm thiïíu thêm nhêåp cuãa nhûäng veån dûä liïåu (damage to data integrity) vaâ têën àöëi tûúång bïn ngoaâi khöng coá traách nhiïåm; caác cöng tûâ chöëi dõch vuå (denial of service attacks). hïå thöëng xûã lyá vaâ baão vïå thöng tin coá chûáa caác Caác giaãi phaáp an toaân haå têìng maång coá thïí dûä liïåu quan troång cêìn phaãi àûúåc àùåt sao cho chia thaânh caác nhoám sau: giaãm thiïíu khaã nùng thêm nhêåp cöë tònh hay hûäu • Nhoám caác giaãi phaáp ngùn chùån, chöëng yá cuãa nhûäng ngûúâi khöng àûúåc pheáp; nhûäng truy cêåp maång traái pheáp: Nhoám giaãi phaáp naây thiïët bõ coá yïu cêìu baão vïå àùåc biïåt nhû server sûã duång caác cöng cuå phoâng chöëng truy cêåp traái chûáa dûä liïåu quan troång cuãa thû viïån cêìn phaãi pheáp nhû tûúngâ lûãa (FW). Tuy nhiïn, FW àûúåc caách ly; coá caác biïån phaáp baão vï å sao cho khöng phaát hiïån ra caác haânh vi bêët thûúâng xaãy giaãm thiïíu töëi àa caác möëi àe doåa nhû lûãa, chaáy ra trïn maång. Do àoá, ngoaâi viïåc trang bõ tûúâng nöí, khoái, nûúác, buåi, nhûäng taác àöång cú hoåc, caác lûãa caác TVÀT cêìn coá möåt loaåi thiïët bõ coá khaã hoáa chêët, caác bûác xaå àiïån tûâ trûúâng maånh vaâ tia phoáng xaå ; caác thiïët bõ cêìn phaãi àûúåc theo doäi nùng theo doäi vaâ phaát hiïån moåi dêëu vïët caác thûúâng xuyïn vaâ àûúåc kiïím tra àõnh kyâ, nïëu haânh vi cuãa doâng thöng tin ài qua FW. Thiïët bõ phaát hiïån caác dêëu hiïåu coá thïí gêy ra caác hoãng nhû vêåy àûúåc goåi laâ thiïët bõ phaát hiïån vaâ ngùn hoác cho hïå thöëng cêìn sûã duång caác phûúng tiïån chùån têën cöng (IDS/IPS). IDS/IPS laâm viïåc baão vïå àùåc biïåt; àaãm baão an toaân hïå thöëng caáp; nhû möåt ngûúâi gaác cöíng phaát hiïån caác haânh vi thûåc hiïån an toaân núi laâm viïåc; caác thöng tin “bêët thûúâng” (maâ FW khöng phaát hiïån àûúåc) quyá giaá nïëu khöng àûúåc sûã duång cêìn àûúåc lûu cuãa möåt cuöåc têën cöng. Vñ duå, FW khöng phaát trûä trong möi trûúâng àûúåc baão vïå; caác maáy tñnh hiïån ra haânh vi têën cöng DDOS hoùåc TCP/IP caá nhên, maáy in phaãi àûúåc theo doäi trong thúâi hijacking. gian xûã lyá thöng tin vaâ cêìn àûúåc baão vïå khoãi ÚÃ nhoám giaãi phaáp naây coân coá caác thiïët bõ caác haânh vi àaánh cùæp baân phñm, mêåt khêíu vaâ kiïím tra, àaánh giaá àõnh kyâ, caác phûúng tiïån tòm caác haânh vi khaác trong thúâi gian khöng coá mùåt kiïëm phaát hiïån löî höíng baão mêåt vaâ vaá löîi cho ngûúâi sûã duång; toaân böå hïå thöëng bao göìm: hïå àiïìu haânh, caác THÖNG TIN vaâ TÛ LIÏÅU - 5/2015 31
  6. Töíng quan phêìn mïìm ûáng duång, caác dõch vuå caác TVÀT • Nhoám caác giaãi phaáp nhùçm phuåc höìi dûä coá thïí sûã duång caác phêìn mïìm nhû: cöng cuå liïåu sau sûå cö:ë nhû chöëng thêët thoaát dûä liïåu, sao nmap àïí queát maång; sûã duång caác phêìn mïìm lûu (backup). nhùçm muåc àñch àaãm baão tñnh liïn Paros Proxy, WebScarab, Acunetix Web tuåc (sùén saâng) laâm viïåc cuãa hïå thöëng thöng tin Vulnerability Scanner, àïí queát löî höíng baão TVÀT. Noá giuáp caác TVÀT nhanh choáng vaâ mêåt cuãa caác ûáng duång. chuã àöång àûa hïå thöëng vaâo sûã duång sau khi bõ • Nhoám giaãi phaáp kiïím soaát truy cêåp: Kiïím sûå cöë. Coá thïí aáp duång möåt trong caác phûúng soaát truy cêåp laâ xaác àõnh quyïìn truy cêåp àïën phaáp lûu trûä sau: tûâng phêìn cuãa hïå thöëng cho tûâng loaåi ngûúâi - Backup liïn tuåc (working backup): Laâ möåt duâng; xaác nhêån vaâ xaác thûåc ngûúâi duâng vaâ khi daång backup toaân phêìn (full backup)-thûåc hiïån cêìn thiïët phaãi xaác thûåc thiïët bõ (àõa chó maång, liïn tuåc nhùçm muåc àñch phuåc höìi hïå thöëng möåt maä söë cuãa terminal, ) cêìn truy cêåp; ghi laåi têët caách tûác thò. caã cuöåc truy cêåp thaânh cöng vaâ khöng thaânh cöng; nïëu duâng mêåt khêíu àïí xaác thûåc hïå thöëng, - Cêët giûä taåi chöî (Onsite Storage):Thûåc hiïån cêìn sûã duång caác mêåt khêíu coá chêët lûúång cao vaâ bïn trong hïå thöëng. khi cêìn thiïët cêìn phaãi haån chïë söë lûúång ngûúâi - Cêët giûä bïn ngoaâi (Offsite Storage). Àûúåc truy cêåp àöìng thúâi vaâo maång. Cêìn àaãm baão taâi thûåc hiïån bïn ngoaâi hïå thöëng, thûúâng taåi caác nguyïn thöng tin cuãa caác TVÀT chó coá thïí truy vùn phoâng úã xa (remote office) hoùåc taåi möåt cêåp búãi nhûäng caá nhên àûúåc xaác thûåc. Quaá trung têm àûúåc baão vïå an toaân. trònh truy cêåp taâi nguyïn hïå thöëng thöng tin • Xêy dûång chñnh saách an ninh maång: Töíng TVÀT cuãa ngûúâi duâng cêìn thöng qua caác bûúác: húåp caác quy tùæc, quy trònh vêån haânh ATTT vaâ - Identification: Quaá trònh nhêån daång ngûúâi caác giaãi phaáp àïí thûåc thi ATTT trong cú quan duâng, ngûúâi duâng cung cêëp caác thöng tin cho thöng tin - thû viïån. Laâ bûúác hoaân thiïån möåt hïå thöëng nhêån daång. möi trûúâng laâm viïåc vaâ hoaåt àöång theo chuêín - Authentication: Xaác thûåc laâ quaá trònh baão mêåt. Hiïån nay nûúác ta coá rêët nhiïìu àún võ chûáng minh “Töi chñnh laâ töi”. Àïí xaác thûåc àang xêy dûång chñnh saách ATTT theo chuêín ngûúâi duâng, ta cêìn coá nhûäng yïuë töë sau: ISO 17799/27001, sûã duång mö hònh ISMS. + Something you KNOW: Dûåa vaâo möåt vaâi 3.3. An toaân dûä liïåu yïëu töë baån biïët (vñ duå: username/password) Thuêåt ngûä “an toaân dûä liïåu” coá nghôa laâ caác + Something you HAVE - Dûåa vaâo möåt yïëu hïå CSDL cêìn phaãi àûúåc baão vïå chöëng truy töë baån coá (vd: baån phaãi coá möåt theã tûâ) nhêåp nhùçm sûãa àöíi hay phaá hoaåi möåt caách chuã + Something you ARE - Dûåa vaâo möåt yïëu töë àõnh hay khöng chuã àõnh. Nhû vêåy, caác hïå thuöåc vïì baån (vñ duå : vên tay, gioång noái, voäng thöëng cú súã dûä liïåu phaãi àûúåc quaãn trõ, baão vïå maåc hay DNA) têåp trung, nhùçm baão àaãm àûúåc tñnh toaân veån vaâ - Authorization: Thêím quyïìn truy cêåp taâi an toaân dûä liïåu khi thûåc hiïån cêåp nhêåt, sûãa àöíi nguyïn àûúåc hïå thöëng cêëp cho ngûúâi duâng sau hay böí sung thöng tin trong caác CSDL. Viïåc khi xaác thûåc Authentication. Authorization thïí baão vïå tuyïåt àöëi caác hïå CSDL khoãi truy nhêåp laâ hiïån caác quyïìn maâ ngûúâi duâng coá thïí thûåc thi khöng thïí, nhûng caác TVÀT phaãi coá caác biïån trïn hïå thöëng. Authorization laâm viïåc trûåc tiïëp phaáp àuã maånh àïí ngùn chùån hêìu hïët truy cêåp vúái àiïìu khiïín truy cêåp Access Control. traái pheáp vaâo CSDL. 32 THÖNG TIN vaâ TÛ LIÏÅU - 5/2015
  7. Töíng quan Àïí àaãm baão an toaân dûä liïåu caán böå cöng hoiã àùtå ra la â thöng tin cuaã ngûúiâ sû ã dungå àûúcå nghïå thöng tin cuãa caác TVÀT cêìn phên chia cacá thû viïnå lûu trû ä nhû thï ë nao?â Co á àamã baoã möåt caách roä raâng quyïìn haån cuãa tûâng àöëi rùngç nhûngä thöng tin nayâ khöng ro â ró ra ngoai,â tûúång khi sûã duång hïå CSDL, vúái caác quyïìn: gêy anhã hûúngã túiá ngûúiâ sû ã dung.å An toanâ ú ã àêy àoåc (read), cheân (insert), sûãa àöíi (modify), àï ì cêpå túiá quyïnì riïng tû va â baoã mêt.å xoáa (delete) dûä liïåu, cêìn xaác àõnh roä ai seä coá Quyïìn riïng tû (privacy) laâ thuêåt ngûä liïn têët caã caác quyïìn trïn, ai chó coá möåt söë quyïìn quan chùåt cheä àïën ATTT ngûúâi sûã duång. Riïng haån nhêët àõnh. Bïn caånh àoá cêìn sûã duång mêåt tû tûác laâ quyïìn àûúåc giûä kñn, giûä riïng vaâ maä àïí àaãm baão an toaân dûä liïåu. Mêåt maä laâ khöng cöng böë caác thöng tin caá nhên, laâ quyïìn phûúng phaáp baão vïå thöng tin bùçng viïåc maä àûúåc giûä bñ mêåt caá nhên, àûúåc baão vïå bñ mêåt caá hoáa chuáng (encrypting) thaânh möåt daång maâ nhên, khöng bõ xêm phaåm bñ mêåt caá nhên, baão chó coá thïí àoåc búãi ngûúâi coá thêím quyïìn vúái hïå vïå caá nhên trûúác viïåc bõ maåo danh vaâ giaã maåo thöëng àoá hay möåt ngûúâi duâng cuå thïí. Viïåc sûã thöng tin [21, 22]. duång vaâ taåo hïå thöëng àoá goåi laâ mêåt maä Baão mêåt (Confidentiality) nghôa laâ caác (cryptography). Coá thïí sûã duång caác phûúng thöng tin giao dõch, tòm kiïëm, download, lônh thûác maä hoáa cú baãn sau: vûåc ngûúâi duâng quan têm khi sûã duång thû - Haâm bùm - HASH ((MD5, SHA1, SHA2); viïån phaãi àûúåc giûä bñ mêåt. - Maä hoáa àöëi xûáng - Symmetric (möåt söë Caác thöng tin cuãa ngûúâi sûã duång coá thïí bõ thuêåt toaán maä hoáa àöëi xûáng phöí biïën hiïån nay àaánh cùæp phuåc vu å cho nhiïìu muåc àñch khaác nhû DES, 3DES vaâ AES); nhau, nhû: lúåi duång taâi khoaãn ngûúâi duâng àïí - Maä hoáa bêët àöëi xûáng - Asymmetric (RSA, truy cêåp bêët húåp phaáp hïå thöëng, têën cöng ECC, Diffie-Helman ). HTTT thû viïån, cung cêëp thöng tin ngûúâi sûã duång cho bïn thûá ba, Do àoá, caác TVÀT cêìn 3.4. An toaân ngûúâi sûã duång coá nhûäng biïån phaáp cuå thïí àïí àaãm baão ATTT Ngûúâi sûã duång TVÀT bao göìm nhiïìu àöëi ngûúâi sûã duång, vaâ cêìn àûúåc thïí hiïån trong tûúång khaác nhau coá tûúng taác vúái thû viïån [19]. chñnh saách ATTT cuå thïí. An toaân ngûúâi sûã duång coá möëi liïn hïå mêåt thiïët Xaác thûåc ngûúâi duâng: Khi noái vïì hïå vúái caác vênë àïì vïì an toaân cú súã haå têìng kyä thöëng caác biïån phaáp töíng húåp nhùçm baão àaãm thuêåt, an toaân dûä liïåu àûúåc trònh baây úã phêìn an toaân cho viïåc trao àöíi thöng tin trïn maång trïn. Tuy nhiïn, an toaân ngûúâi sûã duång thûúâng maáy tñnh, ngûúâi ta thûúâng nhùæc àïën AAA àïì cêåp túái vêën àïì kiïím soaát truy cêåp nhùçm àaãm (Authentication - xacá thûc;å Authorization - phên baão tñnh baão mêåt vaâ xaác thûåc. quyïìn vaâ Accounting - tñnh toaán), trong àoá An toaân ngûúâi sûã duång bao haâm hai vêën àïì xaác thûåc laâ cöng àoaån àêìu tiïn vaâ quan troång chñnh, laâ: àaãm baão ATTT cuãa ngûúâi sûã duång vaâ nhêët. Tûúng tûå nhû vêåy, trong caác TVÀT, àïí xaác thûåc ngûúâi duâng khi tiïëp cêån hïå thöëng. àaãm baão an toaân, ngûúâi sûã duång cêìn phaãi traãi An toanâ thöng tin ngûúiâ sû ã dung:å Vúiá sû å giupá qua bûúác xaác thûåc trûúác khi sûã duång caác saãn sûcá cuaã mayá tñnh àiïnå tû ã va â mangå mayá tñnh, cacá phêìm - dõch vuå thû viïån. Hiïån nay, àa phêìn thöng tin cuaã ngûúiâ sû ã dungå (thöng tin ca á nhên, caác TVÀT àïìu yïu cêìu xaác thûåc thöng qua lõch sû ã tòm kiïm,ë giao dõch, mûúnå - tra, )ã àïuì username vaâ password maâ ngûúâi sûã duång àûúcå ghi laiå va â àûúcå lûu trû ä trong hï å thöng.ë Cêu àûúåc cêëp. THÖNG TIN vaâ TÛ LIÏÅU - 5/2015 33
  8. Töíng quan Kïët luêån saãn phêìm phêìn mïìm vaâ àïën tûâ chñnh ngûúâi sûã duång. Àïí àaãm baão ATTT trong TVÀT cêìn tiïën TVÀT laâ möåt hïå thöëng thöng tin hoaân haânh àöìng thúâi nhiïìu giaãi phaáp khaác nhau, tûâ chónh, chõu sûå taác àöång cuãa caác yïëu töë gêy mêët caác giaãi phaáp vïì quaãn lyá àïën caác hûúáng dêîn ATTT. Caác nguy cú naây coá thïí àïën tûâ cú súã haå thûåc thi ATTT vaâ cuöëi cuâng laâ lûåa choån caác têìng kyä thuêåt, tûâ caác giao thûác maång, àïën tûâ caác giaãi phaáp cöng nghïå àïí thûåc hiïån. Taâi liïåu tham khaão 1. Quyïët àõnh 2615/QÀ-BTC, ngaây 19 thaáng 10 nùm 13. Mike Meyers’ Certification Passport : CompTIA 2012: Vïì viïåc àaãm baão an toaân thöng tin trïn möi trûúâng Security plus _Trevor Kay 2003. maáy tñnh vaâ maång maáy tñnh. 14. Singh, S. (2003). Digital library: Definition to imple- 2. Quöëc höåi (2006), Luêåt Cöng nghïå thöng tin söë mentation. Ranganathan Research Centre: Delhi. 67/2006/QH11, ngaây 29 thaáng 6 nùm 2006. (Truy cêåp 3. Quöëc höåi (2005), Luêåt Giao dõch àiïån tûã söë ngaây 22/07/2014) 51/2005/QH11, ngaây 29 thaáng 11 nùm 2005. 15. Nguyïîn Thõ Nhõ, Mai Àaåi Phûúng (2011), Xêy dûång 4. Nghõ àõnh 63/2007/NÀ-CP, ngaây 10 thaáng 4 nùm vaâ sûã duång TVÀT höî trúå daåy hoåc vêåt lyá trung hoåc phöí thöng, 2007: Qui àõnh vïì xûã phaåt haânh chñnh trong lônh vûåc CNTT. Kyã yïëu höåi thaão quöëc gia vïì giaãng daåy vêåt lyá. 5. Nghõ àõnh 64/2007/NÀ-CP, ngaây 10 thaáng 4 nùm 16. Nguyïîn Höìng Ngoåc (2011), Möåt söë vêën àïì vïì söë hoáa 2007: Vïì viïåc ûáng duång CNTT trong hoaåt àöång caác cú quan taâi liïåu taåi Viïåt Nam// nhaâ nûúác. index.php/chuyen-de/22-chuyen-de/243-mot-so-van-de-so- 6. Nghõ àõnh 90/2008/NÀ-CP, ngaây 13 thaáng 8 nùm hoa-tai-lieu-vn?tmpl=component&print=1&page= (Truy cêåp 2008: Vïì viïåc chöëng thû raác. ngaây 05/11/2014). 7. Chó thõ 03/2007/CT-BBCVT, ngaây 23 thaáng 2 nùm 17. Prof. Dr. Christoph Meinel (2005), Internetworking 2007: Vïì viïåc tùng cûúâng àaãm baão an toaân thöng tin trïn with TCP/IP, NXBGD, Haâ Nöi.å maång Internet. 18. Xie Wei, Chun-Hong Zhang (2009). Digital library 8. Chó thõ 897/CT-TTg, ngaây 10 thaáng 6 nùm 2011: Vïì network security technology research. Computer Knowledge viïåc tùng cûúâng triïín khai caác hoaåt àöång àaãm baão an toaân and Technology, 2009,5 (4): 814-815. thöng tin söë. 19. Olson, Ingrid M and Abrams, Marshall D (2012). 9. Quöëc höåi (2010), Luêåt Baão vïå quyïìn lúåi ngûúâi tiïu Information Security Policy, IEEE Explore, P.430 – 433. duâng söë 59/2010/QH12, ngaây 17/11/2010. 20. Karin Hone and J.H.P.Eloff. Information security pol- 10. Quyïët àõnh söë 63/QÀ-TTg, ngaây 13 thaáng 01 nùm icy, What do international information security standards 2010, Phï duyïåt Quy hoaåch phaát triïín an toaân thöng tin söë Say? quöëc gia àïën nùm 2020. 21. Nguyïîn Vùn Anh (2010), Nghiïn cûáu hïå thöëng quaãn 11. Chuêín baão mêåt ISO 17799 – Toaân têåp// lyá an toaân thöng tin theo tiïu chuêín ISO 27001: Luêån vùn perts.net/bai-viet-ky-thuat/security/661-chun-bo-mt-iso- thaåc syä ngaânh hïå thöëng thöng tin, trûúâng Àaåi hoåc Cöng nghïå, 17799-toan-tp.html ÀHQGHN. 12. Banerjee, K. (2003). How much security does your 22. Vuä Thanh Vên (2012) “Quyïìn riïng tû vaâ vùn hoáa library need? Computers in Libraries, 23(5), 12-15. Truy cêåp ûáng xûã cuãa nhaâ baáo”, Kyã yïëu höåi thaão: Sûå nghiïåp Thöng tin ngaây 28/04/2014, tûâ cú súã dûä liïåu ProQuest. - Thû viïån Viïåt Nam àöíi múái vaâ höåi nhêåp quöëc tïë. 34 THÖNG TIN vaâ TÛ LIÏÅU - 5/2015