« Home « Kết quả tìm kiếm

Xây dựng quy trình đánh giá an toàn thông tin theo cấp độ

Tóm tắt Xem thử

- 1 TÓM TẮT LUẬN VĂN THẠC SĨ Đề tài: XÂY DỰNG QUY TRÌNH ĐÁNH GIÁ AN TOÀN THÔNG TIN THEO CẤP ĐỘ Tác giả luận văn: Nguyễn Thị Thùy Dung Khóa: 2015A Người hướng dẫn: TS.
- Vũ Thị Hương Giang Từ khóa (Keyword): An toàn thông tin theo cấp độ, Đánh giá an toàn thông tin, Evaluation Assurance Level, EAL 1.
- Lý do chọn đề tài, tính cấp thiết của đề tài Trong những năm gần đây, hệ thống thông tin mạng của các doanh nghiệp cũng như các cơ quan nhà nước đang đứng trước nhiều mối đe dọa về an toàn thông tin, việc đẩy mạnh công tác đảm bảo an toàn thông tin mạng đang là nhu cầu cấp thiết đối với tất cả các đơn vị.
- Việc bảo đảm an toàn hệ thống thông tin trong hoạt động của cơ quan, tổ chức cần được thực hiện thường xuyên, liên tục và tuân theo các tiêu chuẩn đánh giá an toàn thông tin đã được công bố.
- Theo quy định của Luật An toàn thông tin mạng có hiệu lực từ ngày để áp dụng biện pháp quản lý và kỹ thuật nhằm bảo vệ hệ thống thông tin phù hợp theo cấp độ, trước hết cần phân loại, xác định cấp độ an toàn thông tin của hệ thống thông tin, với 5 cấp độ tăng dần từ 1 đến 5.
- Để hướng dẫn thi hành Luật An toàn thông tin mạng, vào ngày Chính phủ đã ban hành Nghị định 85/2016/NĐ-CP (Về đảm bảo an toàn hệ thống thông tin theo cấp độ) quy định chi tiết về tiêu chí, thẩm quyền, trình tự, thủ tục xác định cấp độ an toàn hệ thống thông tin và trách nhiệm bảo đảm an toàn hệ thống thông tin theo từng cấp độ.
- Tại Nghị định này, Chính Phủ đã giao Bộ Thông tin và Truyền thông hướng dẫn chi tiết việc xác định hệ thống thông tin theo cấp độ.
- ban hành quy định văn bản hướng dẫn về bảo đảm an toàn thông tin theo cấp độ,… Ngày Bộ Thông tin và Truyền thông cũng đã ban hành Thông tư 03/2017/TT-BTTTT quy định chi tiết và hướng dẫn một số điều của Nghị định 85/2016/NĐ-CP.
- Thông tư bao gồm 7 Chương, 19 Điều và 5 Phụ lục, thông tư 03/2017/TT-BTTTT của Bộ Thông tin và Truyền thông có hiệu lực thi hành từ ngày 1/7/2017.
- Bên cạnh việc hướng dẫn các 2 chủ quản hệ thống thông tin về cách xác định hệ thống và cấp độ an toàn hệ thống thông tin, Thông tư 03/2017/TT-BTTTT cũng quy định cụ thể về các yêu cầu bảo đảm an toàn hệ thống thông tin theo cấp độ.
- đồng thời hướng dẫn việc kiểm tra, đánh giá an toàn thông tin và một số công tác liên quan đến việc bảo đảm an toàn thông tin.
- Chính vì vậy, xây dựng một quy trình đánh giá an toàn thông tin theo cấp độ, nó sẽ là công cụ hỗ trợ thiết thực cho công tác đánh giá an toàn thông tin của các đơn vị, từ đó dễ dàng xác định được cấp độ an toàn cũng như các phương án bảo đảm an toàn HTTT theo cấp độ cho các HTTT ở Việt Nam hiện nay.
- Do đó, tôi chọn đề tài “Xây dựng quy trình đánh giá an toàn thông tin theo cấp độ” làm đề tài nghiên cứu cho luận văn của mình.
- Mục tiêu, nhiệm vụ, đối tượng, phạm vi và phương pháp nghiên cứu Mục tiêu: Mục đích của luận văn là nghiên cứu về việc đánh giá an toàn thông tin theo cấp độ và đề xuất ra một quy trình để đánh giá độ an toàn thông tin theo cấp độ có thể áp dụng để đánh giá độ an toàn thông tin cho các HTTT ở Việt Nam.
- Nhiệm vụ: Để hoàn thành được mục tiêu của luận văn đưa ra và dễ dàng tiếp cận được nội dung xây dựng quy trình đánh giá ATTT, trước tiên tác giả cần tìm hiểu lý thuyết chung về an toàn thông tin, đánh giá an toàn thông tin theo cấp độ.
- Từ đó, tác giả đề xuất ra một quy trình phục vụ việc đánh giá an toàn thông tin theo cấp độ.
- Bên cạnh đó, tác giả xây dựng mô hình căn cứ theo các bước của quy trình nhằm trực quan hóa được quy trình đánh giá an toàn thông tin theo cấp độ: 1.
- Tác giả xây dựng mô hình chuyển đổi trạng thái hồ sơ nhằm đưa ra một tập trạng thái mà người dùng có thể nhìn thấy được, quản lý được số lượng trạng thái trong quy trình.
- Đồng thời, tác giả cũng đưa ra luật chuyển đổi trạng thái nhằm kiểm soát mức độ khai thác dữ liệu của mỗi người dùng thuộc vai trò khác nhau.
- Với mô hình xử lý ngoại lệ, tác giả muốn đưa ra quy định cho phép thông tin được xử lý trong quy trình.
- Từ việc quản lý được số lượng trạng thái trong quy trình sẽ xác định được các nút tham gia vào quy trình, từ đó có thể đưa ra được nguyên tắc chung trong việc kiểm soát xử lý dữ liệu khi chuyển đổi giữa các vai trò, bên cạnh đó cũng đưa ra trường hợp tối ưu quy định vai trò nào được phép thực hiện những luồng ngoại lệ gì.
- Xây dựng mô hình phân quyền theo các bước trong quy trình: Trong quy trình đánh giá cấp độ an toàn được đề xuất, cảnh báo nguy cơ mất an toàn thông tin mạng cho các TT/CTTĐT, số lượng các đối tượng giám sát dữ liệu cần quản lý là rất lớn.
- Từ đó cần phải giải quyết yêu cầu quản lý thông tin xác thực và phân quyền cho các tài khoản trong hệ thống một cách nhất quán và linh hoạt.
- Chương trình đánh giá an toàn hệ thống thông tin sẽ cung cấp chức năng hỗ trợ định nghĩa ra danh sách các vai trò (roles) để đảm nhận các chức năng công việc khác nhau.
- Người dùng của hệ thống sẽ được phân một vai trò riêng, và thông qua việc phân vai trò này mà họ sẽ được cấp phát những quyền hạn cho phép họ thi hành những chức năng cụ thể trong hệ thống 4.
- Xây dựng mô hình Quản lý nhật ký hệ thống: Trong quá trình vận hành hệ thống, việc thực hiện thu thập các dữ liệu nhật ký truy cập cũng là một vấn đề thiết thực.
- Quản lý nhật ký hệ thống nhằm phát hiện, cảnh báo nguy cơ sự cố an toàn thông tin mạng, các tấn công, bất thường.
- Thông tin nhật ký được ghi nhận sẽ phục vụ cho việc tra vết hệ thống.
- Đối tượng nghiên cứu của luận văn: Quy trình đánh giá an toàn thông tin theo cấp độ.
- Phạm vi nghiên cứu: Quy trình đánh giá an toàn thông tin theo cấp độ mà tác giả đề xuất có thể xây dựng trên những ứng dụng khác nhau, trong phạm vi cho 4 phép của đề tài, tác giả sẽ trực quan hóa quy trình đánh giá an toàn thông tin theo cấp độ dưới dạng một website và thử nghiệm các module hỗ trợ hệ thống đánh giá an toàn thông tin theo cấp độ.
- Phương pháp nghiên cứu: Tổng hợp lý thuyết (thu thập, tìm hiểu, phân tích), đề xuất quy trình, xây dựng thử nghiệm và đánh giá.
- Ý nghĩa khoa học và thực tiễn: Nghiên cứu, đề xuất quy trình đánh giá an toàn thông tin theo cấp độ được áp dụng ở Việt Nam đóng góp một quy trình giúp cho việc đánh giá độ an toàn thông tin cho các HTTT ở Việt Nam được thuận lợi, dễ dàng, nhanh chóng hơn.
- tóm tắt những điểm cơ bản và đóng góp mới của tác giả và phương pháp nghiên cứu.
- CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN THÔNG TIN, ĐÁNH GIÁ TOÀN THÔNG TIN: Nội dung chương này trình bày những tìm hiểu lý thuyết về an toàn thông tin và đánh giá an toàn thông tin cho các HTTT.
- Thực trạng việc đánh giá an toàn thông tin theo cấp độ ở Việt Nam.
- CHƯƠNG 2: ĐỀ XUẤT QUY TRÌNH ĐÁNH GIÁ AN TOÀN THÔNG TIN THEO CẤP ĐỘ: Nội dung chương này trình bày đề xuất một quy trình đánh giá an toàn thông tin theo cấp độ, giúp cho việc đánh giá cấp độ an toàn thông tin của các HTTT ở Việt Nam được dễ dàng, phù hợp với các quy định của Nhà nước.
- CHƯƠNG 3: THỬ NGHIỆM: Trực quan hóa quy trình đánh giá an toàn thông tin theo cấp độ đã đề xuất.
- Đánh giá về kết quả thử nghiệm đã đạt được.
- KẾT LUẬN: Nội dung phần mở đầu, tác giả đã tổng kết về các kết quả đạt được của luận văn, bên cạnh đó cũng có những vấn đề còn tồn tại và từ đó tác giả đưa ra hướng giải quyết và phát triển của đề tài.
- Kết luận Luận văn đã tạo điều kiện cho tác giả tìm hiểu, nắm bắt được những kiến thức về an toàn thông tin và phương pháp đánh giá an toàn thông tin theo cấp độ cho các HTTT.
- Trên thực tế, luận văn đã tìm hiểu và nêu ra được những nét đặc trưng về cơ sở lý thuyết an toàn thông tin, đánh giá an toàn thông tin.
- Từ đó, tác giả đã vận dụng được lý thuyết, đề xuất ra được một quy trình đánh giá an toàn thông tin theo cấp độ.
- Ngoài ra, tác giả đã xây dựng ứng dụng thử nghiệm thành công bao gồm các chức năng hỗ trợ chương trình đánh giá an toàn thông tin theo cấp độ.
- Kết quả của luận văn đóng góp một phần nền tảng cơ sở cho những tìm hiểu sâu hơn về việc ứng dụng, phát triển hệ thống đánh giá an toàn thông tin theo cấp độ ở Việt Nam.
- Hiện tại tác giả chỉ thử nghiệm đánh giá các HTTT là website, chưa mở rộng thử nghiệm đánh giá trên nhiều HTTT khác nhau.
- Bên cạnh đó, quy trình hiện tại được xây dựng dừng lại ở việc đề cập đến các bước để Đối tượng kiểm tra, đánh giá phải tự thực hiện cập nhật đầy đủ thông tin hồ sơ tổ chức mới đủ điều kiện để đánh giá an toàn thông tin hệ thống.
- Ngoài ra, chương trình hiện tại đơn thuần sử dụng giải thuật để đánh giá an toàn thông tin theo cấp độ, chưa có sự kết hợp được tool quét bảo mật để có thể bổ trợ thêm thông tin trong quá trình đánh giá an toàn thông tin theo cấp độ.
- Hướng phát triển Từ những hạn chế trên, tác giả xin đề xuất hướng phát triển, nghiên cứu tiếp theo.
- Tác giả sẽ tiến hành nghiệm đánh giá an toàn thông tin trên nhiều HTTT khác nhau theo quy định.
- Bên canh đó, tác giả đưa tiện ích vào chương trình nhằm hỗ trợ người dùng khai báo hồ sơ tổ chức.
- Chương trình tự động thu thập thông tin của tổ chức thông 6 qua website cần đánh giá của tổ chức (crawler dữ liệu), và thu thập dữ liệu thông qua bộ hồ sơ đề xuất cấp độ của tổ chức.
- Kết hợp tool quét bảo mật để có thể tìm ra các lỗ hổng tiềm tàng và những điểm yếu về cấu tạo của web nhằm bổ trợ thêm thông tin trong quá trình đánh giá an toàn thông tin theo cấp độ, từ đó đưa ra được cảnh báo cũng như phương án đảm bảo an toàn thông tin cho hệ thống cần đánh giá.
- Triển khai giải pháp sử dụng bảo mật xác thực 2 nhân tố đối với tài khoản người dùng truy cập vào chương trình thông qua token CA trong quá trình đăng nhập hệ thống.
- Người dùng có thể lựa chọn token CA do các đơn vị cung cấp dịch vụ CA công cộng được cáp phép bởi Bộ thông tin truyền thông như: Viettel, VNPT, FPT, BKav.
- Nguyễn Hải Anh (2015), “Phân định cấp độ hệ thống thông tin”, Tạp chí an toàn thông tin, Ban cơ yêu chính phủ.
- Bộ thông tin và truyền thông (2017), Thông tư số 03/2017/TT-BTTT, Về đảm bảo an toàn hệ thống thông tin theo cấp độ.
- Chính phủ (2016), Nghị định số 85/2016/NĐ-CP, Quy định chi tiết và hướng dẫn một số điều của nghị định số 85/2016/NĐ-CP ngày của chính phủ về đảm bảo an toàn hệ thống thông tin theo cấp độ.
- Trần Đức Lịch (2011), “Đánh giá an toàn hệ thống Công nghệ thông tin”, Tạp chí an toàn thông tin, Ban cơ yêu chính phủ.
- Quốc hội (2015), Luật số 86/2015/QH13, Luật an toàn thông tin mạng 8.
- Tiêu chuẩn quốc gia (2011), TCVN ISO/IEC Công nghệ thông tin – các kỹ thuật an toàn các tiêu chí đánh giá an toàn CNTT – Phần 1: Giới thiệu và mô hình tổng quan.
- Tiêu chuẩn quốc gia (2011), TCVN ISO/IEC Công nghệ thông tin – các kỹ thuật an toàn các tiêu chí đánh giá an toàn CNTT – Phần 2: Các thành phần chức năng an toàn.
- Tiêu chuẩn quốc gia (2011), TCVN ISO/IEC Công nghệ thông tin – các kỹ thuật an toàn các tiêu chí đánh giá an toàn CNTT – Phần 3: Các thành phần đảm bảo an toàn.
- Tiêu chuẩn quốc gia (2016), TCVN ISO/IEC Công nghệ thông tin – các kỹ thuật an toàn – phương pháp đánh giá an toàn công nghệ thông tin.

Xem thử không khả dụng, vui lòng xem tại trang nguồn
hoặc xem Tóm tắt