Đang tải... (xem toàn văn)
Untitled & BỘ GIÁO DỤC VÀ ĐÀO TẠO ĐẠI HỌC UEH – TRƯỜNG CÔNG NGHỆ VÀ THIẾT KẾ KHOA CÔNG NGHỆ THÔNG TIN KINH DOANH BÁO CÁO CUỐI KỲ KIẾN TRÚC BẢO MẬT DOANH NGHIỆP TRONG MÔI TRƯỜNG HỘI TỤ KINH DOANH 1[.]
lOMoARcPSD|21911340 & BỘ GIÁO DỤC VÀ ĐÀO TẠO ĐẠI HỌC UEH – TRƯỜNG CÔNG NGHỆ VÀ THIẾT KẾ KHOA CÔNG NGHỆ THÔNG TIN KINH DOANH BÁO CÁO CUỐI KỲ: KIẾN TRÚC BẢO MẬT DOANH NGHIỆP TRONG MÔI TRƯỜNG HỘI TỤ KINH DOANH Lớp HP Mã lớp HP GV hướng dẫn Nhóm Sinh viên : : : : SA (Kiến trúc Hệ thống) 22D1INS50900401 Võ Hà Quang Định Nguyễn Cao Nguyên Thảo Nguyễn Như Hương Huỳnh Thị Lan Nguyễn Anh Tuấn Nguyễn Dương Anh Tuấn 1|Page lOMoARcPSD|21911340 MỤC LỤC I PHÂN CHIA CÔNG VIỆC: I MỤC TIÊU, KẾT QUẢ BÀI NGHIÊN CỨU: .3 A Mục tiêu: B Kết quả: .5 II PHƯƠNG PHÁP LUẬN: A Kiến trúc doanh nghiệp CIMOSA: PERA: .9 Zachman framework: 10 TOGAF: 11 B Mơ hình bảo mật: 11 ASSET NIST: 11 BS7799 BSI: .13 C Khung đề xuất kiến trúc bảo mật doanh nghiệp môi trường hội tụ kinh doanh: 16 Framework: 16 Chiến lược môi trường hội tụ kinh doanh: 16 Cấp độ 1: Các mơ hình an tồn hội tụ kinh doanh .18 3.1 Cách tiếp cận phân tích rủi ro: .19 3.2 Cách tiếp cận đường sở BS7799 .22 Cấp độ 2: Kiến trúc bảo mật doanh nghiệp 23 2|Page lOMoARcPSD|21911340 4.1 Hàng - người lập kế hoạch 23 4.2 Hàng - hàm tạo .25 4.3 Hàng - Quản trị viên 25 D Mơ hình tham chiếu: 25 I PHÂN CHIA CÔNG VIỆC: 1) Anh Tuấn: - Xác định mục tiêu/ kết báo (câu hỏi nghiên cứu): - Tại tác giả đưa mục tiêu này? 2) Nguyên Thảo, Lan, Hương: - Phương pháp luận tác giả 3) Dương Anh Tuấn: - Giải pháp tác giả (thu thập, nghiên cứu) - Kết đạt hướng nghiên cứu I MỤC TIÊU, KẾT QUẢ BÀI NGHIÊN CỨU: A Mục tiêu: Mục tiêu chung báo cáo cung cấp mô hình tiếp cận chiến lược giúp nhà quản trị doanh nghiệp giải vấn đề quản lý lập kế hoạch, thực vận hành an tồn thơng tin mơi trường hội tụ kinh doanh Từ mục tiêu chung nêu trên, vào mục tiêu cụ thể phần kiểm soát an ninh nhằm giảm thiểu rủi ro mát, với biện pháp bảo vệ, đối phó với mối đe dọa chưa, xảy 3|Page lOMoARcPSD|21911340 Mục tiêu: chống lại gián đoạn hoạt động kinh doanh quy trình kinh doanh quan trọng cách lập kế hoạch kinh doanh liên tục Mục tiêu: kiểm sốt quyền truy cập thơng tin, ngăn chặn truy cập trái phép vào HTTT, bảo vệ dịch vụ kết nối mạng, ngăn chặn truy cập máy tính trái phép, đảm bảo an tồn thơng tin sử dụng phương tiện điện toán di động thiết bị kết nối mạng cách kiểm soát truy cập từ xa, kiểm soát truy cập đầu vào, kiểm soát truy cập toàn hệ thống, cấp quyền truy cập cá nhân, theo dõi hoạt động truy cập thường xuyên Mục tiêu: đảm bảo an ninh hệ thống hoạt động, ngăn ngừa mát, sửa đổi sử dụng sai liệu người dung hệ thống, bảo vệ tính bí mật, tính xác thực tính tồn vẹn thông tin, đảm bảo dự án CNTT an tồn, trì tính bảo mật phần mềm liệu hệ thống ứng dụng cách phát triển bảo trì hệ thống thường xuyên Mục tiêu: ngăn chặn truy cập trái phép, làm hỏng can thiệp vào HTTT, ngăn ngừa mát, hu hỏng, xâm nhập trái phép làm gián đoạn hoạt động cụa hệ thống, ngăn chặn xâm nhập đánh cắp thông tin cách tăng cường bảo mật hệ thống phần cứng, thiết bị đầu cuối Mục tiêu: tránh vi phạm luật hình sự, dân sự, luật, quy định nghĩa vụ hợp đồng yêu cầu bảo mật nào, đảm bảo tuân thủ hệ thống với sách bảo mật tổ chức cách tuân thủ nghiêm quy tắc an toàn, bảo mật đề Mục tiêu: giảm thiểu rủi ro lỗi người, trộm cắp, giam lận, đảm bảo người dùng nhận thức đe dọa mối quan tâm an ninh thông tin, giảm thiểu thiệt hại từ cố trục trặc bảo mật cách tăng cường công tác an ninh dân Mục tiêu: quản lý bảo mật thơng tin cơng ty, trì tính bảo mật phương tiện xử lý thông tin tổ chức tài sản thông tin bên thứ ba truy cập, trì tính bảo mật thơng tin trách nhiệm xử lý thông tin giao cho tổ chức khác cách quản lý an ninh tổ chức Mục tiêu: đảm bảo vận hành xác an tồn phương tiện xử lý thông tin, giảm thiểu rủi ro hệ thống bị lỗi, bảo vệ tính tồn vẹn sẵn sàng việc xử lý thông tin truyền thông, đảm bảo việc bảo vệ thông tin mạng bảo vệ sở hạ tầng hỗ trợ, ngăn ngừa 4|Page lOMoARcPSD|21911340 thiệt hại, gián đoạn, mát, sử dụng sai thông tin trao đổi tổ chức cách quản lý vận hành truyền thông tổ chức Mục tiêu: trì bảo vệ thích hợp tài sản doanh nghiệp đảm bảo chúng nhận mức độ bảo vệ thích hợp cách phân loại kiểm soát tài sản Mục tiêu: đưa định hướng quản lý hỗ trợ bảo mật thông tin cách thiết lập sách bảo mật 10 mục tiêu mà tác giả nêu phía nghiên cứu cách kỹ lưỡng áp dụng cho hình thức doanh nghiệp từ nhỏ tới lớn Toàn mục tiêu đưa bao quát toàn vấn đề liên quan tới bảo mật doanh nghiệp dù quy mô Tuy nhiên với doanh nghiệp vừa nhỏ đưa biện pháp bảo mật, khơng gặp q nhiều trường hợp rủi ro nên lựa chọn thiết lập mục tiêu cho phù hợp với tình hình doanh nghiệp, nhằm giảm bớt gánh nặng chi phí mà đem lại hiệu cao độ bảo mật môi trường hội tụ kinh doanh B Kết quả: II PHƯƠNG PHÁP LUẬN: Bài nghiên cứu “Enterprise security architecture in business convergence environments” viết Sangkuyn Kim Choon Seong Leem, Đại học Yonsei, Seoul, Hàn Quốc Dựa vào thơng tin phần tóm lược nội dung qua tìm hiểu phân tích, thấy tác giả sử dụng phương pháp phân tích tổng hợp lý thuyết làm phương pháp chính, bên cạnh đó, cịn sử dụng phương pháp nghiên cứu định tính Phương pháp phân tích tổng hợp lý thuyết phương pháp phân chia thông tin thu thập thành phận riêng biệt từ tài liệu có sẵn Từ đó, phát xu hướng hay đặc điểm chung đối tượng nghiên cứu Trong phương pháp này, thông tin quan trọng liên quan trực tiếp đến mục đích nghiên cứu nghiên cứu khoa học lựa chọn lưu lại Đây phương pháp liên kết, xếp tài liệu, thông tin lý thuyết thu Từ tạo tiền đề, hệ thống lý thuyết chủ đề nghiên cứu 5|Page lOMoARcPSD|21911340 Thông qua nghiên cứu, tác giả muốn cung cấp mơ hình tiếp cận chiến lược giúp nhà quản trị doanh nghiệp giải vấn đề quản lý lập kế hoạch, thực vận hành an tồn thơng tin môi trường hội tụ kinh doanh cách phân tích phương pháp kiến trúc doanh nghiệp (EA) có, khung kiến trúc bảo mật doanh nghiệp thiết kế Vì sử dụng phương pháp nghiên cứu phân tích tổng hợp lý thuyết giúp báo phác thảo rủi ro kinh doanh mơi trường hội tụ doanh nghiệp với phân tích rủi ro kiểm soát đường sở yếu tố rủi chi tiết yếu tố trọng số chiến lược, nhằm giúp người đọc dễ hình dung đặc điểm tạo mơ hình kinh doanh với giá trị gia tăng sử dụng mơ hình hội tụ đề xuất báo A Kiến trúc doanh nghiệp Tác giả đưa hai định nghĩa:- hệ thống phức tạp thành phần văn hóa, quy trình cơng nghê thiết kế để hồn thành mục tiêu tổ chức (Johson Whitman 1998) - EA tập hợp đại diện mô tả (mô hình) có liên quan để mơ tả doanh nghiệp cho sản xuất theo yêu cầu ban quản lý (chất lượng) trì suốt thời gian sử dụng hữu ích (đã thay đổi-Zachman 1999) 6|Page lOMoARcPSD|21911340 - số định nghĩa khác Tác giả tóm tắt vài khn khổ có EA CIMOSA: Mục đích ban đầu CIMOSA (1992) "xây dựng kiến trúc hệ thống mở cho CIM xác định tập hợp khái niệm quy tắc để tạo điều kiện thuận lợi cho việc xây dựng hệ thống CIM tương lai" [4] Một ý tưởng CIMOSA phân loại hoạt động sản xuất trong: 7|Page lOMoARcPSD|21911340 Chức chung: phận chung doanh nghiệp, không phụ thuộc vào cấu tổ chức lĩnh vực kinh doanh Chức cụ thể (từng phần cụ thể): cụ thể cho doanh nghiệp Sự phát triển CIMOSA cuối dẫn đến hai mục chính: Khung mơ hình hóa : Khung cơng tác hỗ trợ "tất giai đoạn vòng đời hệ thống CIM từ định nghĩa yêu cầu , thông qua đặc tả thiết kế, mô tả triển khai thực hoạt động hàng ngày doanh nghiệp" [4] Cơ sở hạ tầng tích hợp: Cơ sở hạ tầng cung cấp "các dịch vụ công nghệ thông tin cụ thể để thực Mơ hình triển khai cụ thể", chứng minh độc lập với nhà cung cấp di động [4] Ngồi ra, khn khổ cịn cung cấp "cách tiếp cận mơ hình dựa quy trình, hướng kiện với mục tiêu bao quát khía cạnh thiết yếu doanh nghiệp mơ hình tích hợp Các khía cạnh khía cạnh chức năng, hành vi, nguồn lực, thông tin tổ chức" CIMOSA áp dụng mơ phân tích quy trình Các mơ hình CIMOSA tiêu chuẩn hóa "cũng sử dụng trực tuyến doanh nghiệp sản xuất để lập lịch trình, điều phối, giám sát cung cấp thông tin quy trình" Một tiêu chuẩn dựa CIMOSA Phương pháp Kiến trúc Tham chiếu Doanh nghiệp Tổng quát (GERAM) Trọng tâm CIMOSA xây dựng: Một khn khổ cho mơ hình doanh nghiệp, kiến trúc tham chiếu Một ngôn ngữ mơ hình doanh nghiệp Một sở hạ tầng tích hợp để ban hành mơ hình hỗ trợ Một thuật ngữ phổ biến Một liên lạc chặt chẽ với tổ chức tiêu chuẩn hóa châu Âu quốc tế thành lập để kích thích trình tiêu chuẩn hóa để hội nhập doanh nghiệp CIMOSA hướng tới việc tích hợp hoạt động doanh nghiệp cách trao đổi thông tin hiệu doanh nghiệp CIMOSA mơ hình hóa doanh nghiệp sử dụng bốn quan điểm: 8|Page lOMoARcPSD|21911340 Chế độ xem chức mô tả cấu trúc chức cần thiết để đáp ứng mục tiêu doanh nghiệp cấu trúc kiểm soát liên quan; Chế độ xem thông tin mô tả thông tin theo yêu cầu chức năng; Chế độ xem tài nguyên mô tả tài nguyên mối quan hệ chúng với cấu trúc chức điều khiển; Quan điểm tổ chức mô tả trách nhiệm giao cho cá nhân cấu trúc chức kiểm soát PERA: Purdue Enterprise Reference Architecture ( PERA ) mơ hình tham chiếu năm 1990 cho kiến trúc doanh nghiệp , phát triển Theodore J Williams thành viên Hiệp hội Sản xuất Tích hợp Máy tính Đại học Industry-Purdue PERA kiến trúc tham chiếu mơ hình hóa doanh nghiệp theo nhiều lớp nhiều giai đoạn vòng đời kiến trúc Ban đầu PERA phần phương pháp PERA, bao gồm ba khối xây dựng chính: [2] Cuối năm 1990, kết hợp hiểu biết sâu sắc từ PERA kiến trúc tham chiếu khác Phương pháp tích hợp GRAI, CIM-OSA TOVIE dẫn đến phát triển Phương pháp Kiến trúc Tham chiếu Doanh nghiệp Chung Mơ hình tham chiếu Purdue, “95” cung cấp mơ hình để kiểm sốt doanh nghiệp , mà người dùng cuối, nhà tích hợp nhà cung cấp chia sẻ việc tích hợp ứng dụng lớp doanh nghiệp: 9|Page lOMoARcPSD|21911340 PERA Mơ hình tham chiếu: Hệ thống phân cấp định kiểm soát, 1992 Tổ chức thiết bị PERA Zachman framework: Khung đặt theo tên tác giả John Zachman, người phát triển khái niệm kiến trúc tổng thể năm 1980 IBM Khung Zachman bao gồm ma trận chiều giao điểm câu hỏi thông tin với mức độ nhằm mô tả thành phần kiến trúcdưới góc nhìn khác người liên quan Ý tưởng đằng sau Zachman Framework thứ mục phức tạp mơ tả cho mục đích khác theo cách khác cách sử dụng loại mơ tả khác (ví dụ: văn bản, đồ họa) Khung Zachman cung cấp ba mươi sáu danh mục cần thiết để mơ tả hồn tồn thứ gì; đặc biệt thứ phức tạp hàng hóa sản xuất (ví dụ: thiết bị), cấu trúc xây dựng (ví dụ: tịa nhà), doanh nghiệp (ví dụ: tổ chức tất mục tiêu, người cơng nghệ nó) Khung cung cấp sáu cách biến đổi khác ý tưởng trừu tượng (không tăng chi tiết, chuyển đổi) từ sáu quan điểm khác Nó cho phép người khác nhìn vào thứ từ góc độ khác Điều tạo nhìn tổng thể môi trường, khả quan trọng minh họa hình 10 | P a g e lOMoARcPSD|21911340 Ngăn ngừa mát, sửa đổi sử dụng sai thông tin trao đổi tổ chức i) Phân loại kiểm soát tài sản Mục tiêu phần là: trì bảo vệ thích hợp tài sản doanh nghiệp đảm bảo tài sản nhận mức độ bảo vệ thích hợp j) Chính sách bảo mật Mục tiêu phần là: đưa định hướng quản lý hỗ trợ bảo mật thông tin BS7799 cung cấp hướng dẫn chung nhiều chủ đề liệt kê mà mơ tả sâu Nó sử dụng cách tiếp cận bàn chải rộng Vì BS7799 khơng cung cấp tài liệu cụ thể dứt điểm chủ đề bảo mật BS7799 không cung cấp đủ thông tin để hỗ trợ đánh giá chuyên sâu bảo mật thông tin tổ chức để hỗ trợ chương trình chứng nhận Tuy nhiên, BS7799 chắn hữu ích tổng quan cấp cao chủ đề an tồn thơng tin giúp quản lý cấp cao hiểu vấn đề liên quan đến lĩnh vực chủ điểm C Khung đề xuất kiến trúc bảo mật doanh nghiệp môi trường hội tụ kinh doanh: Framework: Tác giả nghiên cứu nguyên tắc kiểm soát bảo mật BS7799 phương pháp phân tích rủi ro với khung kiến trúc doanh nghiệp có(EA) Qua q trình nghiên cứu tổng hợp, mơ hình bảo hội tụ kinh doanh , kiến trúc bảo mật doanh nghiệp mơ hình tham chiếu mang tính ưu việt xuất Các mơ hình chia làm ba cấp độ: cấp độ gồm đặc điểm cụ thể hội tụ kinh doanh yếu tố trọng số; cấp độ cung cấp 18 ô kiến trúc bảo mật doanh nghiệp; cấp độ mơ hình tham chiếu khung bảo mật Hình cho thấy sơ đồ khung kiến trúc bảo mật thành lập với ba cấp độ Trong hình tác giả phát họa lên chi tiết framework 16 | P a g e Downloaded by vu quang (vuchinhhp20@gmail.com) lOMoARcPSD|21911340 Hình Chiến lược môi trường hội tụ kinh doanh: Để xây dựng nên mơ hình bảo mật phù hợp mơi trường hội tụ kinh doanh nhà phát triển phải nắm chiến lược kinh doanh phù hợp môi trường đó, báo này, bốn phương thức chiến lược doanh nghiệp môi trường hội tụ kinh doanh Oh(2003) lựa chọn Bốn phương thức xây dựng dựa tầm quan trọng khả cạnh tranh loại tài sản: tài sản cốt lõi tài sản bổ sung Mơ hình thể rõ ràng hình cho thấy cách thức hoạt động doanh nghiệp thay đổi qua khía cạnh 17 | P a g e Downloaded by vu quang (vuchinhhp20@gmail.com) lOMoARcPSD|21911340 Hình 2: Bốn phương thức chiến lược doanh nghiệp môi trường hội tụ kinh doanh Phương thức I – Tự hành kinh doanh hội tụ Đó chiến lược công ty hàng đầu mà công ty tiến hành đầu tư mạnh mẽ quan tâm đến tiêu chuẩn thực tế để nắm giữ quyền lực thực môi trường thị trường cạnh tranh (Courtney cộng sự, 1997) Để việc tự hành diễn thuận lợi tầm quan trọng tài sản cốt lõi cạnh tranh tài sản bổ sung phải mức cao Phương thức II - Liên minh chiến lược Đó chiến lược nhằm giảm thiểu khoản đầu tư cần thiết để xây dựng tài sản bổ sung mà cơng ty khơng có Các cơng ty có tài sản khác tạo mối quan hệ lâu dài để hỗ trợ lẫn với có khác khơng có Các cơng ty có xu hướng từ bỏ chiến lược đa dạng hóa bắt đầu tập trung vào lực trọng yếu họ (Zhang Cao, 2002) Phương thức III - Mua bán sáp nhập Có ba hình thức M&A: Hấp thụ - tổ chức mua lại bên mua hợp hoàn toàn, Độc lập - tổ chức mua độc lập Sáp nhập - tổ chức “tốt nhất” phát triển từ hai bên (Mack et al ., 2002) Sáp nhập cơng ty có liên quan đến vấn đề môi trường hội tụ kinh doanh Trong cách tiếp cận này, thành phần mạnh nhất, tài sản cốt lõi tài sản bổ sung, tổ chức sử dụng để xây dựng mơ hình kinh doanh Mỗi tài sản công ty hợp đánh giá, tài sản tốt lựa chọn tích hợp để phục vụ cho hội tụ kinh doanh 18 | P a g e Downloaded by vu quang (vuchinhhp20@gmail.com) lOMoARcPSD|21911340 Phương thức IV - Giảm thiểu ngừng đầu tư Đó chiến lược công ty không yếu khả cạnh tranh tài sản cốt lõi mà yếu tầm quan trọng tài sản bổ sung Trong tình này, cơng ty thành công lĩnh vực kinh doanh Vì vậy, tốt giảm thiểu ngừng đầu tư theo kế hoạch Trong bối cảnh hội tụ kinh doanh, tầm quan trọng tài sản cốt lõi khả cạnh tranh tài sản bổ sung tảng sở cho doanh nghiệp thực liên kết có động thái hợp tác nhau, để cải thiện tình hình doanh nghiệp, khắc phụ điểm yếu bổ sung mạnh để tăng khả cạnh tranh, tạo mô hình kinh doanh sáng tạo Việc tác giả lựa chọn nghiên cứu để xây dựng mơ hình bảo mật dựa bốn phương thức hợp lí cần thiết Cấp độ 1: Các mơ hình an tồn hội tụ kinh doanh Ở phần này, tác giả nêu lên đặc điểm cụ thể hội tụ kinh doanh yếu tố trọng số Tác giả mô tả Abrams rủi ro hội tụ kinh doanh Sự hội tụ tài sản cho cần có đánh giá cách kĩ mà rủi ro lợi ích khơng thể đánh giá hết trrong phân tích ban đầu ‘Những rủi ro tiềm ẩn bao gồm quản lý lỏng lẻo, chuyển hướng vốn, nhân viên tập trung, lan truyền thơng điệp tiếp thị khiến khách hàng khó chịu Ưu điểm thực thể mạnh với dòng sản phẩm tổng hợp mang lại nhiều giá trị cho khách hàng nhà đầu tư tài cách kết hợp nội dung truyền tải.’ Đó cho vấn đề tiềm tàng cần đánh giá kĩ lưỡng quản lí rủi ro hội tụ kinh doanh Trong nghiên cứu tác giả tập trung vào rủi ro bảo mật thông tin Ứng dụng phương pháp rủi ro phương pháp tiếp cận đường sở để tạo nên mẫu bảo mật hội tụ kinh doanh 19 | P a g e Downloaded by vu quang (vuchinhhp20@gmail.com) lOMoARcPSD|21911340 3.1 Cách tiếp cận phân tích rủi ro: ” Thuật ngữ rủi ro có liên quan đến nhiều nỗ lực người hoạt động thăm dị khơng gian, xây dựng lị phản ứng hạt nhân, mua lại công ty, đánh giá bảo mật hệ thống thông tin phát triển hệ thống thông tin (Huang cộng sự, 2004; Baccarini cộng sự, 2004) Phân tích rủi ro sử dụng để đảm bảo bảo mật hiệu chi phí, phù hợp, kịp thời phản ứng trước mối đe dọa Về nghiên cứu trước đây, quy trình phân tích rủi ro phân loại thành bốn bước (Dey Ogunlana, 2004; Kim Leem, 2005; Rainer cộng sự, 1991): (1) thông tin xác định, phân loại định giá tài sản; (2) xác định phân tích tình trạng dễ bị tổn thương; (3) xác định phân tích mối đe dọa; (4) xác định phân tích rủi ro Các phương pháp phân tích rủi ro nhóm thành định lượng định tính (Rainer cộng sự, 1991) Các phương pháp định lượng Hầu hết phương pháp phân tích rủi ro định lượng coi rủi ro mát hàm tính dễ bị tổn thương tài sản trước mối đe dọa nhân với xác suất mối đe dọa trở thành thực (Suh, 1996) Các phương pháp luận bao gồm ALE (Rainer cộng sự, 1991), phương pháp Courtney (Ron, 1988), thống trị ngẫu nhiên (Post Diltz, 1986), phương pháp Monte Carlo Các phương pháp luận định tính Các phương pháp luận định tính dựa giả định mối đe dọa tổn thất định thể cách thích hợp la kiện rời rạc thơng tin xác khơng tổng hợp (Suh, 1996) Các phương pháp bao gồm kỹ thuật Delphi, phương pháp phân tích kịch (Rainer cộng sự, 1991), phương pháp tiếp cận số liệu mờ (Rainer cộng sự, 1991).“ Ở báo này, tác giả sử dụng phương pháp định tính để tính tốn rủi ro cho doanh nghiệp mơi trường kinh doanh hội tụ: Rủi ro = giá trị tài sản * khả 20 | P a g e Downloaded by vu quang (vuchinhhp20@gmail.com)