Chính vì vậy, xây dựng một quy trình đánh giá an tồn thơng tin theo cấp độ, nó s là công c h tr thi t th c cho công ẽ ụ ỗ ợ ế ựtác đánh giá an tồn thơng tin của các đơn vị ừ đó dễ dàng x
BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - Nguyễn Thị Thùy Dung XÂY DỰNG QUY TRÌNH ĐÁNH GIÁ AN TỒN THƠNG TIN THEO CẤP ĐỘ Chuyên ngành: Công nghệ thông tin LUẬN VĂN THẠC SĨ KỸ THUẬT CÔNG NGHỆ THÔNG TIN NGƯỜI HƯỚNG DẪN KHOA HỌC: TS VŨ THỊ HƯƠNG GIANG Hà Nội – Năm 2018 Tai ngay!!! Ban co the xoa dong chu nay!!! 17057204816801000000 LỜI CẢM ƠN Em xin chân thành bày tỏ lòng biết ơn sâu sắc đến TS Vũ Thị Hương Giang - Viện Công nghệ thông tin Truyền thông – Trường Đại học Bách Khoa Hà Nội người tận tình hướng dẫn, bảo, giúp đỡ em thực hoàn thành luận văn tốt nghiệp Em xin chân thành cảm ơn thầy, cô giáo - Viện Công nghệ Thông tin Truyền thông - Trường Đại học Bách Khoa Hà Nội, người tận tình truyền đạt kiến thức, quan tâm, động viên em suốt thời gian em học tập nghiên cứu Trường Em xin gửi lời cảm ơn đến gia đình, bạn học, đồng nghiệp ln động viên giúp đỡ, chia sẻ kinh nghiệm cung cấp tài liệu hữu ích suốt thời gian tơi học tập đặc biệt trình thực luận văn tốt nghiệp vừa qua Trong trình nghiên cứu, tìm hiểu thực nghiệm luận văn chắn khơng thể tránh khỏi sai sót định, em mong nhận góp ý thầy, giáo bạn để luận văn hoàn chỉnh Em xin trân trọng cảm ơn! Hà Nội, tháng năm 2018 Tác giả luận văn Nguyễn Thị Thùy Dung LỜI CAM ĐOAN Tôi xin cam đoan: Những nội dung luận văn cơng trình nghiên cứu hướng dẫn trực tiếp TS Vũ Thị Hương Giang Mọi nguồn tài liệu tham khảo dùng luận văn trích dẫn rõ ràng tên tác giả, tên cơng trình, thời gian, địa điểm công bố Các số liệu, kết nêu luận văn trung thực chưa cơng bố cơng trình khác Mọi chép không hợp lệ, vi phạm quy chế đào tạo tơi xin chịu hồn tồn trách nhiệm Hà Nội, tháng năm 2018 Tác giả luận văn Nguyễn Thị Thùy Dung MỤC LỤC TRANG PHỤ BÌA LỜI CẢM ƠN .2 LỜI CAM ĐOAN .3 DANH MỤC CÁC KÝ HIỆU, CÁC TỪ VIẾT TẮT DANH MỤC CÁC HÌNH VẼ DANH MỤC CÁC BẢNG BIỂU .10 MỞ ĐẦU 12 Lý chọn đề tài, tính cấp thiết đề tài .12 Mục tiêu, nhiệm vụ, đối tượng, phạm vi phương pháp nghiên cứu .13 Cấu trúc luận văn 15 CHƯƠNG 1: TỔNG QUAN VỀ AN TỒN THƠNG TIN, ĐÁNH GIÁ AN TỒN THƠNG TIN .16 1.1 An tồn thơng tin 16 1.1.1 Một số khái niệm 16 1.1.2 Những nguyên tắc an tồn thơng tin 16 1.2 Đánh giá an tồn thơng tin .16 1.2.1 Phân loại cấp độ an toàn HTTT 17 1.2.2 Nguyên tắc xác định cấp độ an toàn HTTT 17 1.2.3 Tiêu chí xác định cấp độ an tồn HTTT 19 1.3 Thực trạng việc đánh giá an tồn thơng tin Việt Nam giới .21 1.4 Phương pháp đánh giá an tồn cơng nghệ thơng tin TCVN 11386:2016 (ISO/IEC 18045:2008) 24 1.4.1 Tổng quan TCVN 11386:2016 24 1.4.2 Mô hình đánh giá 24 1.5 Định hướng giải pháp 26 CHƯƠNG 2: ĐỀ XUẤT QUY TRÌNH ĐÁNH GIÁ AN TỒN THƠNG TIN THEO CẤP ĐỘ 28 2.1 Đề xuất quy trình đánh giá an tồn thơng tin theo cấp độ .28 2.1.1 Sơ đồ tổng quan đánh giá an tồn thơng tin theo cấp độ 28 2.1.2 Chi tiết quy trình đánh giá an tồn thơng tin theo cấp độ .36 2.1.2.1 Chú thích quy tắc vẽ quy trình đánh giá an tồn thơng tin theo cấp độ 36 2.1.2.2 Sơ đồ quy trình đánh giá an tồn thơng tin theo cấp độ 36 2.1.2.3 Mô tả bước thực 38 2.1.3 Quy trình tiếp nhận/ xử lý hồ sơ .52 2.1.4 Quy trình thẩm định hồ sơ đề xuất 52 2.1.5 Quy trình đánh giá an tồn thơng tin theo cấp độ 54 2.1.6 Quy trình kết luận đánh giá an tồn thơng tin theo cấp độ .55 2.2 Mơ hình chuyển đổi trạng thái hồ sơ .55 2.2.1 Danh sách trạng thái quy trình .55 2.2.1.1 Trạng thái hồ sơ 55 2.2.1.2 Trạng thái nộp hồ sơ cứng 57 2.2.1.3 Trạng thái thẩm định hồ sơ đề xuất cấp độ 57 2.2.1.4 Trạng thái khảo sát đánh giá tiêu .58 2.2.1.5 Trạng thái đánh giá tổng thể an toàn hệ thống thơng tin 58 2.2.2 Mơ hình chuyển đổi trạng thái hồ sơ 59 2.3 Mơ hình xử lý ngoại lệ 63 2.4 Mơ hình phân quyền theo bước quy trình 64 2.4.1 Danh sách tác nhân tham gia 64 2.4.2 Phân quyền theo chức hệ thống 65 2.4.3 Phân quyền phạm vi khai thác liệu 69 2.5 Mơ hình Quản lý nhật ký hệ thống 70 2.6 Sơ đồ phân cấp chức theo quy trình đề xuất .71 2.6.1 Mơ hình chức website 71 2.6.2 Nhóm chức hỗ trợ người dùng .72 2.6.3 Nhóm chức dành cho Chuyên viên tiếp nhận/xử lý hồ sơ .73 2.6.4 Nhóm chức dành cho Chuyên viên thẩm định hồ sơ đề xuất cấp độ 74 2.6.5 Nhóm chức dành cho Chuyên viên đánh giá an toàn hệ thống thông tin .75 2.6.6 Nhóm chức dành cho Đối tượng kiểm tra, đánh giá 76 2.6.7 Nhóm chức dành cho Quản trị hệ thống 77 2.7 Mơ hình ca sử dụng 79 2.7.1 Biểu đồ ca sử dụng 79 2.7.2 Biểu đồ gói ca sử dụng 80 2.7.2.1 Quản trị người dùng phân quyền kiểm soát 80 2.7.2.2 Quản lý nhật ký hệ thống 81 2.7.2.3 Biểu đồ thống kê trạng thái 81 2.7.2.4 Thống kê 82 CHƯƠNG 3: THỬ NGHIỆM 84 3.1 Kiến trúc hệ thống 84 3.2 Công cụ sử dụng 84 3.3 Kịch thử nghiệm 85 3.3.1 Danh sách tài khoản 85 3.3.2 Kịch kiểm thử theo luồng thơng tin quy trình 87 3.3.3 Kịch kiểm thử xử lý ngoại lệ với trường hợp đối tượng kiểm tra, đánh giá cập nhật hồ sơ đề xuất cấp độ theo biểu mẫu .88 3.4 Kết đánh giá kết thử nghiệm 90 3.4.1 Kết xây dựng chương trình .90 3.4.2 Đánh giá 95 KẾT LUẬN, HƯỚNG PHÁT TRIỂN 96 Kết luận .96 Những vấn đề tồn 96 Hướng phát triển .97 TÀI LIỆU THAM KHẢO 98 DANH MỤC CÁC KÝ HIỆU, CÁC TỪ VIẾT TẮT Ký hiệu Tiếng Việt HTTT Hệ thống thông tin CNTT Công nghệ thông tin CSDL Cơ sở liệu ATTT An tồn thơng tin ATHTTT An tồn hệ thống thơng tin BTTTT Bộ Thơng tin Truyền thơng VNISA Hiệp hội an tồn thơng tin Việt Nam NSD Người sử dụng DANH MỤC CÁC HÌNH VẼ Hình 1.1: Chỉ số an tồn thơng tin 2017 23 Hình 1.2: Tổng quan mơ hình đánh giá theo TCVN 11386:2016 25 Hình 2.1: Sơ đồ tổng quan đánh giá an tồn thơng tin theo cấp độ 31 Hình 2.2: Sơ đồ quy trình đánh giá an tồn thơng tin theo cấp độ 37 Hình 2.3: Quy trình tiếp nhận/xử lý hồ sơ 52 Hình 2.4: Quy trình thẩm định hồ sơ đề xuất cấp độ 53 Hình 2.5: Quy trình đánh giá an tồn thơng tin theo cấp độ .54 Hình 2.6: Quy trình kết luận đánh giá an tồn thơng tin theo cấp độ .55 Hình 2.7: Luồng biểu đồ chuyển trạng thái hồ sơ 62 Hình 2.8: Xử lý ngoại lệ với trường hợp đối tượng kiểm tra, đánh giá cập nhật hồ sơ đề xuất cấp độ theo biểu mẫu 63 Hình 2.9: Mơ hình chức 71 Hình 2.10: Biểu đồ ca sử dụng chương trình đánh giá ATTT 79 Hình 2.11: Biểu đồ ca sử dụng Quản trị người dùng phân quyền kiểm soát .80 Hình 2.12: Biểu đồ ca sử dụng Quản lý nhật ký hệ thống 81 Hình 2.13: Biểu đồ ca sử dụng biểu đồ thống kê trạng thái hồ sơ 82 Hình 2.14: Biểu đồ ca sử dụng Thống kê 82 Hình 3.1: Giao diện đăng nhập chương trình 90 Hình 3.2: Giao diện chương trình đánh giá an tồn thơng tin theo cấp độ .91 Hình 3.3: Giao diện phân quyền theo bước quy trình .91 Hình 3.4: Giao diện chức xử lý luồng thơng tin quy trình 92 Hình 3.5: Giao diện lịch sử trạng thái hồ sơ theo nhóm người dùng quy trình 93 Hình 3.6: Giao diện quản lý nhật ký hệ thống 93 Hình 3.7: Giao diện chức thống kê số lượng hồ sơ xử lý theo người dùng .94 Hình 3.8: Giao diện thống kê nhanh 95 DANH MỤC CÁC BẢNG BIỂU Bảng 2.1: Chú thích quy tắc vẽ quy trình đánh giá an tồn thơng tin theo cấp độ 36 Bảng 2.2: Mô tả bước thực quy trình đánh giá an tồn thơng tin theo cấp độ 38 Bảng 2.3: Danh sách trạng thái hồ sơ 56 Bảng 2.4: Danh sách trạng thái nộp hồ sơ cứng 57 Bảng 2.5: Danh sách trạng thái thẩm định hồ sơ đề xuất cấp độ 57 Bảng 2.6: Danh sách trạng thái khảo sát đánh giá tiêu .58 Bảng 2.7: Danh sách trạng thái đánh giá tổng thể an toàn hệ thống thông tin 59 Bảng 2.8: Thao tác làm thay đổi trạng thái hồ sơ đối vai trò hệ thống 59 Bảng 2.9: Danh sách tác nhân tham gia hệ thống .64 Bảng 2.10: Danh sách quyền kiểm soát 67 Bảng 2.11: Bảng thuộc tính nhóm người dùng 68 Bảng 2.12: Bảng thuộc tính thơng tin chức 68 Bảng 2.13: Bảng thuộc tính phân quyền cho nhóm người dùng .68 Bảng 2.14: Bảng thuộc tính thơng tin người dùng 69 Bảng 2.15: Bảng thuộc tính thơng tin phạm vi khai thác 69 Bảng 2.16: Bảng thuộc tính thông tin hồ sơ phân quyền theo phạm vi khai thác 70 Bảng 2.17: Bảng thuộc tính thơng tin nhật ký hệ thống 70 Bảng 2.18: Nhóm chức hỗ trợ người dùng .73 Bảng 2.19: Nhóm chức dành cho Chuyên viên tiếp nhận/xử lý hồ sơ .73 Bảng 2.20: Nhóm chức dành cho Chuyên viên thẩm định hồ sơ đề xuất cấp độ 75 Bảng 2.21: Nhóm chức dành cho Chuyên viên đánh giá an toàn HTTT 76 Bảng 2.22: Nhóm chức dành cho Đối tượng kiểm tra, đánh giá 76 Bảng 2.23: Nhóm chức dành cho Quản trị hệ thống 78 10