Vì vậy, luận văn đi vào nghiên cứu các giải pháp an ninh thông tin trong giải pháp điện toán đám mây áp dụng cho doanh nghiệp chứng khoán tại Việt Nam để giải quyết những vấn đề trên.. K
Trang 1-
VƯƠNG QUỐC HUY
AN NINH THÔNG TIN TRONG GIẢI PHÁP ĐIỆN TOÁN
ĐÁM MÂY ÁP DỤNG CHO DOANH NGHIỆP
CHỨNG KHOÁN TẠI VIỆT NAM
CHUYÊN NGÀNH: TRUYỀN DỮ LIỆU & MẠNG MÁY TÍNH
MÃ SỐ: 60.48.15
TÓM TẮT LUẬN VĂN THẠC SĨ KỸ THUẬT
NGƯỜI HƯỚNG DẪN KHOA HỌC: GS.TS NGUYỄN THÚC HẢI
HÀ NỘI – 2012
Trang 2LỜI NÓI ĐẦU
Ngày nay cùng với sự phát triển vượt bậc về khoa học công nghệ về các thiết bị phần cứng, máy chủ, các công nghệ tính toán cùng với sự mở rộng và phổ biến của Internet Điện toán đám mây là một giải pháp được đánh giá đem lại hiệu quả cao cho doanh nghiệp Công nghệ thông tin của Việt Nam tuy chưa thực sự có những đột phá nhưng cũng đang hướng theo xu thế chung ấy Các doanh nghiệp tài chính chứng khoán công nghệ thông tin đóng vai trò hết sức quan trọng, có tầm ảnh hưởng to lớn Với giải pháp điện toán đám mây, doanh nghiệp sẽ tận dụng tối đa hạ tầng mình đang có, tiết giảm chi phí đầu tư cong nghệ, tăng cường tính sẵn sàng cho hệ thống để đảm bảo những yêu cầu khắt khe nhất từ bộ phận kinh doanh cũng như từ khách hàng, đối tác, trung tâm giao dịch chứng khoán
Trên thị trường chứng khoán thế giới, giải pháp điện toán đám mây đã được nhiều tổ chức sử dụng, đem lại những thành công to lớn về mặt tài chính và hiệu năng
hệ thống Tuy vậy hơn bao giờ hết vấn đề an ninh thông tin cho các giao dịch trực tuyến thời gian thực liên quan
Trang 3đến cổ phiếu, trái phiếu, tiền được đặt lên hàng đầu do nếu phát sinh những rủi ro về bảo mật thì đi kèm với điều
ấy là những thiệt hại vô cùng to lớn về tài chính, uy tín cũng như những ràng buộc về mặt pháp lý của doanh nghiệp chứng khoán
Vì vậy, luận văn đi vào nghiên cứu các giải pháp an ninh thông tin trong giải pháp điện toán đám mây áp dụng cho doanh nghiệp chứng khoán tại Việt Nam để giải quyết những vấn đề trên
- Mục đích của luận văn
Mục đích của luận văn là nghiên cứu các mô hình điện toán đám mây, đặc thù của doanh nghiệp chứng khoán đề đề xuất mô hình phù hợp, qua đó đề xuất các giải pháp về an ninh cho doanh nghiệp
- Đối tượng nghiên cứu
Đối tượng nghiên cứu là các giải pháp an ninh cho giải pháp điện toán đám mây áp dụng cho doanh nghiệp chứng khoán
- Phương pháp nghiên cứu
Trang 4Kết hợp nghiên cứu lý thuyết, tìm hiểu thực trạng
công nghệ tại các doanh nghiệp chứng khoán tại Việt Nam, các mô hình doanh nghiệp chứng khoán tại các nước phát triển để đưa ra giải pháp điện toán đám mây, đánh giá khả năng ứng dụng, và đề xuất các giải pháp để đảm bảo
an ninh thông tin
.- Kết cấu của luận văn
Luận văn gồm 3 chương
Chương 1: Trình bày tổng quan về Điện toán đám
mây, các ứng dụng và xu hướng phát triển điện toán đám mây tại các nước trong khu vực và trên thế giới Những vấn đề về an ninh thông tin trong điện toán đám mây và các giải pháp cho những rủi ro an ninh này
Chương 2: Trình bày ứng dụng điện toán đám mây tại
các doanh nghiệp trong lĩnh vực chứng khoán trên thế giới, hiện trạng , xu hướng phát triển điện toán đám mây tại Việt Nam nói chung và doanh nghiệp chứng khoán nói riêng
Chương 3: Đề xuất mô hình điện toán đám mây tổng
quát và giải pháp an ninh thông tin cho công ty cổ phần chứng khoán Sài Gòn
Trang 5Cuối cùng là kết luận lại những điểm chính, những đóng góp chính của luận văn, đồng thời chỉ ra những điểm cần khắc phục và định hướng phát triển tiếp theo cho luận văn
Chương 1 TỔNG QUAN VỀ ĐIỆN TOÁN ĐÁM
MÂY
1.1 Các khái niệm về điện toán đám mây
1.1.1 Định nghĩa về điện toán đám mây
Trình bày lịch sử phát triển của Điện toán đám mây xuất phát từ khái niệm tính toán lưới và các khái niệm về điện toán đám mây
1.1.2 Phân loại và đánh giá các mô hình điện toán
đám mây
Trình bày bốn mô hình cơ bản của điện toán đám mây bao gồm đám mây công cộng, đám mây riêng, đám mây lai và đám mây cộng đồng Đồng thời đưa ra những tìm hiểu các thành phần của điện toán đám mây bao gồm:
IaaS: Cung cấp hạ tầng như một dịch vụ
PaaS: Cung cấp các nền tảng như một dịch vụ
SaaS: Cung cấp phần mềm như một dịch vụ
Trang 61.2 Các ứng dụng và xu hướng phát triển điện toán đám mây trên thế giới
1.2.1 Đám mây của nhà cung cấp dịch vụ Amazon
Trình bày những tìm hiểu của một nhà cung cấp dịch vụ điện toán đám mây điển hình nhất, trong đó bao gồm các dịch vụ cơ bản và có tính quan trọng như ứng dụng, lưu trữ…
1.2.2 Ứng dụng điện toán đám mây tại các quốc gia và khu vực
Trình bày những thành tựu, định hướng phát triển công nghệ của các quốc gia như Anh, Singapor, Trung Quốc
và các tổ chức dựa trên giải pháp điện toán đám mây
1.3 An ninh thông tin trong giải pháp điện toán đám mây trên thế giới
1.3.1 Các nguy cơ an ninh trong điện toán đá mây
Nội dung đề mục trình bày những đặc trưng của môi trường điện toán đám mây, từ đó đưa ra các khuyến cáo về rủi ro về an ninh cho các nhà cung cấp, các khách
Trang 7hàng khi xem xét xây dựng, sử dụng dịch vụ trên đám mây Các nguy cơ bao gồm:
Lợi dụng hạ tầng đám mây thực hiện ý đồ xấu
Các giao diện lập trình ứng dụng API thiếu bảo mật
Các nguy cơ an ninh từ chính bên trong hệ thống
Các rủi ro phát sinh với các công nghệ chia sẻ tài nguyên
Nguy cơ mất và rò rỉ dữ liệu
Nguy cơ tài khoản và dịch vụ bị khống chế
Các nguy rủi ro chưa lường trước
1.3.2 Giải pháp an ninh thông tin trong các mô hình điện toán đám mây
Trình bày dựa trên phương pháp luận một cách tổng quan để đưa ra các giải pháp cho an ninh thông tin trong
đó nhấn mạng vào hai khía cạnh chính:
Bảo vệ thông tin cốt lõi: Đưa ra các phân tích và nhận định về tầm quan trọng của an ninh thông tin
Nhà cung câp phải cam kết: Việc ứng dụng điện toán đám mây thành công hay không phụ thuộc rất nhiều vào việc có tạo được niềm tin của người sử
Trang 8dụng vào các nhà cung cấp dịch vụ điện toán đám mây hay không Các nhà cung cấp dịch vụ cần phải được chứng nhận là tuân thủ những chính sách bảo mật nhất định.
1.4.1 Kết luận chương 1
Đưa ra các kết luận tóm tắt nội dung chương 1
Chương 2: ỨNG DỤNG ĐIỆN TOÁN ĐÁM MÂY VÀ
có, nâng cao độ sẵng sàng cho toàn hệ thống, giảm chi phí vấn hành và đầu tư hạ tầng khi phát triển dịch vụ mới
Trang 92.1.2 Ứng dụng điện toán đám mây tại công ty chứng khoán Winterflood
Trình bày ứng dụng giải pháp tạo đám mây riêng với giải pháp UCS (Cisco Unified Computing System) kết hợp với giải pháp của Vmware, Winterflood đã dần dần chuyển hóa hệ thống của mình lên đám mây riêng, đáp ứng các yêu cầu khắt khe về tiết giảm chi phí và tăng tính sẵn sàng dịch vụ
2.1.3 Ứng dụng điện toán đám mây tại Trung tâm giao dịch chứng khoán NewYork
Trình bày giải pháp đám mây cộng đồng tại trung tâm giao dịch chứng khoán NewYork và các kết quả đạt được:
Nhanh chóng kết nối tới các thị trường
Tính linh động cao: Sẵn sàng thích ứng với yêu cầu
về sự phát triển và thay đổi
Đơn giản truy nhập một lượng lớn các dịch vụ
Chi phí thấp: Các thành viên không phải tự vận hành, xây dựng các hệ thống mới cho chính mình
Trang 10 Giải pháp linh động cho nhiều đối tượng thành viên
Tính bảo mật: Được xây dựng bảo mật dựa trên các tiêu chuẩn thế giới cụ thể với giải pháp của mình NYSE đã sử dụng các phương pháp sau:
Xây dựng kiến trúc hệ thống bảo mật theo chiều sâu
Phân tách riêng rẽ dữ liệu của khách hàng
Giám sát truy nhập
Quản lý định danh vào truy nhập
Phục hồi sau thảm họa và không gián đoạn hoạt động
Đảm bảo hệ thống sẵn sàng
Phản ứng trước sự cố
Bảo mật mức vật lý
Bảo mật thông tin cá nhân
2.2 Xu hướng phát triển của điện toán đám mây với thị trường Chứng khoán
Qua các kinh nghiệm về ứng dụng điện toán đám mây tại các doanh nghiệp chứng khoán, phần này luận nay trình bày xu hướng phát triển của điện toán đám mây tại
Trang 11thị trường chứng khoán Bên cạnh việc tận dụng hạ tầng sẵn có để phát triển đám mây riêng cho chính mình Xu hướng phát triển của các công ty, thị trường chứng khoán
sẽ hướng tới sử dụng các đám mây công cộng giúp tăng tính sẵn sàng, tăng tốc độ nhất là khi thị trường tài chính thế giới ngày càng mở rộng, có liên kết với nhau, các nhà đầu tư, các doanh nghiệp tài chính cũng không đơn thuần đầu tư trong lãnh thổ, thị trường của chính mình mà còn vươn tới các thị trường tại nhiều quốc gia khác Do là các dịch vụ tài chính, liên quan đến tài sản như cổ phiếu, tiền giao dịch trên thời gian thực nên các vấn đề về an ninh trên nền điện toán đám mây được đặt ở vị trí quan trọng hơn bao giờ hết
2.3 Hiện trạng áp dụng điện toán đám mây ở Việt Nam
2.3.1 Ứng dụng điện toán đám mây của BKAV
Trình bày ứng dụng giải pháp điện toán đám mây tại công ty An ninh mạng Bkav đã với phần mềm diệt virus Bkav 2010 sử dụng công nghệ điện toán đám mây Với công nghệ điện toán đám mây, các tác tử đám mây
Trang 12tích hợp trong Bkav (Bkav Cloud Agent) tương tác online với hệ thống đám mây Bkav Cloud, khiến việc cập nhật mẫu virus có thể nhanh tới từng phút
2.3.2 Đám mây của nhà cung cấp dịch vụ FPT
Trình bày các nội dung liên quan tới sự phát triển đám mây của nhà cung cấp dịch vụ FPT
Trong giải pháp của mình FPT cũng phối hợp với công ty chuyên cung cấp giải pháp bảo mật cho doanh nghiệp là Trendmicro để đảm bảo an ninh cho đám mây của mình Trong đó các khía cạnh về an ninh được nhà cung cấp đưa vào trong giải pháp của mình như:
Trend Micro SecureCloud
Trend Micro Deep Security
2.4 Xu hướng phát triển điện toán đám mây tại Việt Nam
Hiện nay đã có một vài doanh nghiệp lớn tại Việt Nam đưa điện toán đám mây vào ứng dụng và hiệu suất kinh doanh được cải thiện đáng kể Tuy nhiên số lượng là khá ít Phần lớn vẫn chỉ dừng ở mức quan tâm và tìm hiểu
Trang 132.5 Thực trạng áp dụng điện toán đám mây của doanh nghiệp chứng khoán tại Việt Nam
Đi theo xu thế phát triển chung của công nghệ, nhằm tiết giảm chi phí và tăng tính sẵn sàng cao của hạ tầng, nền tảng, dịch vụ, các doanh nghiệp ở Việt Nam nói chung và doanh nghiệp chứng khoán tại Việt Nam nói riêng đang dần từng bước tiếp cận với mô hình điện toán đám mây nhằm đáp ứng nhu cầu kinh doanh, chiến lược phát triển của doanh nghiệp mình
Trên thực tế, thực tiễn ứng dụng điện toán đám mây tại các doanh nghiệp chứng khoán tại Việt Nam mới dừng ở mức khiêm tốn, chủ yếu đang trong giai đoạn phát triển và lên kế hoạch xây dựng đám mây riêng cho chính mình
2.6 Kết luận chương 2
Đưa ra các tổng kết về nội dung chương 2
Trang 14Chương 3: ĐỀ XUẤT MÔ HÌNH ĐÁM MÂY VÀ GIẢI PHÁP AN NINH THÔNG TIN CHO DOANH NGHIỆP CHỨNG KHOÁN TẠI VIỆT NAM 3.1 Đề xuât mô hình điện toán đám mây tổng quát cho công ty cổ phần chứng khoán Sài Gòn
3.1.1 Hiện trạng công nghệ tại công ty cổ phần chứng
khoán Sài Gòn SSI
Trình bày những tìm hiểu vê mô hình mạng, các ứng dụng tại công ty cổ phần chứng khoán Sài Gòn là một doanh nghiệp điển hình trong lĩnh vực chứng khoán tại Việt Nam Từ mô hình đó đưa ra những đặc thù về hệ thống của doanh chứng khoán
3.1.2 Mô hình đám mây tổng quát đề xuất cho công ty
chứng khoán Sài Gòn SSI
Từ đặc thù của doanh nghiệp chứng khoán khác với các doanh nghiệp ngân hàng hay thương mại điện tử có thanh toán trực tuyến, luận văn trình bày tính cấp thiết cần phải xem xét với hệ thống công nghệ thông tin về tính sẵn sàng, tính linh động, tính bảo mật, toàn vẹn và xác thực Xuất phát từ yêu cầu đó đưa ra mô hình đám mây tổng
Trang 15quát sử dụng giải pháp đám mây lai cũng như các khía cạnh an ninh cần xem xét để đảm bảo các mục tiêu đã đề
ra
Trong giải pháp luận văn trình bày, đám mây riêng
đề xuất sử dụng giải pháp Vcloud của Vmware và đám mây công cộng đề xuất sử dụng các nhà cung cấp đang có trên thị trường, tuy vậy về vấn đề bảo mật cần xem xét đảm bảo các tiêu chí đưa ra trong các phần sau của luận văn
3.2 Đề xuất các giải pháp an ninh thông tin cho công ty
đã đề xuất với đặc thù của doanh nghiệp chứng khoán
Trang 163.2.1.1 Yêu cầu an ninh thông tin của nhà nước với doanh nghiệp chứng khoán
3.2.1.2 Yêu cầu quản lý truy nhập và định danh
Trình bày các khái niệm về định danh, quan hệ giữa quản lý định danh và kiểm soát truy nhập trong công nghệ thông tin nói chung và điện toán đám mây nói riêng Với giải pháp điện toán đám mây có những mô hình quản
lý định danh và truy nhập nào, các yêu cầu kiểm tra mức
độ tin cậy của định danh, các phương pháp lưu log và kiểm soát cũng như các yêu cầu về mặt kỹ thuật khi lựa chọn giải pháp quản lý định danh cho doanh nghiệp khi sử dụng giải pháp điện toán đám mây
3.2.1.3 Yêu cầu quản lý thông tin và an toàn dữ liệu
Mục này luận văn trình bày các yêu cầu về quản lý thông tin trên môi trường đám mây, phương thức phân tán
dữ liệu để bảo mật và tận dụng tối đa hạ tầng lưu trữ Về
an toàn dữ liệu luận văn tập trung đi sâu vào phân tích các ngữ cảnh của dữ liệu trên đám mây và sau đó đưa ra các yêu cầu của giải pháp quản lý thông tin và an toàn dữ liệu trong giải pháp điện toán đám mây Các nội dung của an toàn dữ liệu bao gồm:
Trang 17 An toàn dữ liệu khi di chuyển từ hệ thống doanh nghiệp lên đám mây
An toàn dữ liệu khi di chuyển trong đám mây
An toàn dữ liệu khi lưu trữ trên đám mây
3.2.1.4 Yêu cầu bảo mật ứng dụng
Luận văn trình bày các yêu cầu về bảo mật ứng dụng bao gồm các điểm chính sau:
Bảo mật trong vòng đời phát triển phần mềm: Các yêu cầu được đưa ra cần xem xét tính bảo mật của phần mềm ngay khi thiết kế và trong quá trình xây dựng
Bảo mật khi sử dụng ứng dụng: Khi sử dụng ứng dụng cần tuân thủ kiến trúc xác thực, ủy quyền, yêu cầu tuân thủ trog vận hành
Yêu cầu có cơ chế kiểm thử đánh giá tính bảo mật của ứng dụng trên môi trường điện toán đám mây
Kiểm soát ứng dụng trên đám mây qua việc sử dụng các giải pháp lưu log của sự kiện truy nhập, thao tác trên ứng dụng
Yêu cầu khi lựa chọn giải pháp cho bảo mật ứng dụng
Trang 183.2.1.5 Yêu cầu về mã hóa và quản lý khóa
Trình bày về vai trò của mã hóa, quản lý khóa trong truyền dẫn và lưu trữ dự liệu trong giải pháp điện toán đám mây Từ đặc thù đó đưa ra các yêu cầu về giải pháp
mã hóa như cần mã hóa thông tin gì, sử dụng các giải pháp nào thì đảm bảo an toàn Các mô hình quản lý khóa cũng được đưa ra trong mục này
3.2.1.6 Yêu cầu bảo mật trong ảo hóa
Ảo hóa là công nghệ nền tảng đóng vai trò hết sức quan trọng trong sự phát triển của giải pháp điện toán đám mây Tuy nhiên đi kèm với các ưu điểm vượt trội về hiệu suất, tiết kiệm chi phí, tăng tính sẵn sàng nhưng giải pháp cũng gặp phải những rủi ro sẽ được trình bày từ đánh giá của các nhà quản lý công nghệ thông tin, các tổ chức có
uy tín Từ đó luận văn có đề xuất các yêu cầu bảo mật cho
hệ thống ảo hóa phải được xây dựng ngay từ khi thiết kế
hệ thống, trong quá trình vận hành hệ thống thì yêu cầu về tuân thủ của nhân viên vận hành cũng ảnh hưởng lớn tới rủi ro an ninh doanh nghiệp