Nghiên cứu giái pháp An toàn an ninh cho quan tổ chức dựa chuẩn ISO 17799 Nguyễn Thị Thành Chung Trường Đại học Công nghệ Luận văn Thạc sĩ ngành: Truyền liệu Mạng máy tính; Mã số: 60.48.15 Người hướng dẫn: PGS.TS Trịnh Nhật Tiến Năm bảo vệ: 2011 Abstract: Trình bày số khái niệm an tồn thơng tin chuẩn ISO 17799 Khảo sát hạ tầng mạng, trạng hệ thống an toàn an ninh tạo số đơn vị phân tích nguy cơ/rủi ro Giới thiệu định hướng lựa chọn giải pháp, sản phẩm bao gồm: Cách phân cấp nguy điểm yếu, Các định hướng lựa chọn giải pháp sản phẩm giảm bớt rủi ro đề xuất giải pháp nhằm làm giảm nhẹ rủi ro mã độc hại gây hệ thống đơn vị khảo sát Keywords: An tồn thơng tin; Mạng máy tính; Tiêu chuẩn ISO 17799; Cơng nghệ thơng tin Content An toàn an ninh (ATAN) cho hệ thống thông tin khái niệm bao hàm nhiều vấn đề lớn bao gồm ATAN cho tài nguyên phần cứng tài nguyên phần mềm hệ thống Việc đảm bảo ATAN thông tin không áp dụng giải pháp kỹ thuật công nghệ vào hệ thống thơng tin, cần phải có hành lang pháp lý làm sở cho việc triển khai, xây dựng quy định người, quy trình đáp ứng quy chế an tồn an ninh mạng Vấn đề đảm bảo tính bí mật đồng nghĩa với việc thơng tin q trình xử lý không bị xem trộm, liệu trao đổi đường truyền không bị lộ, bị đọc lén, liệu lưu trữ không bị khai thác trái phép… Hệ thống thơng tin phải đảm bảo tính tồn vẹn Với nguyên nhân chủ quan hay khách quan nào, liệu truyền từ nơi đến nới khác, hay lưu trữ phải đảm bảo không bị thay đổi, sửa chữa làm sai lệch nội dung thông tin Vấn đề đảm bảo tính sẵn sàng Hệ thống CNTT phải trạng thái phục vụ tốt nhất, sẵn sàng cung cấp thông tin, dịch vụ,… cho yêu cầu hợp pháp Với thiết bị phần cứng, việc đảm bảo thông suốt đường truyền, hệ thống không bị tắc nghẽn, hỏng hóc,… Đối tượng tham gia hệ thống CNTT phải đảm bảo tính xác thực Việc xác thực thể yêu cầu: Xác thực người sử dụng tham gia hệ thống xác thực liệu người sử dụng luân chuyển hệ thống Phải có biện pháp tối ưu để chống lại việc lộ mật khẩu, xác định quyền hạn người tham gia giao dịch hệ thống, không để xảy tình trạng giả mạo bên tham gia trao đổi thơng tin Việc đảm bảo tính chống từ chối yếu tố quan trọng việc đảm bảo ATAN cho hệ thống CNTT Hệ thống phải có biện pháp giám sát, đảm bảo đối tượng tham gia trao đổi thơng tin khơng thể từ chối, phủ nhận việc phát hành hay sửa đổi thơng tin Ngồi việc đáp ứng yếu tố kể trên, hệ thống ATAN cần phải kiểm tra, đánh giá thường xuyên, định kỳ, qua có đánh giá xác khả ATAN hệ thống Cần phải đặt chiến lược cụ thể, song song với việc phát triển hạ tầng CNTT, với ứng dụng, dịch vụ hoạt động hạ tầng Hiện nay, hầu hết quan tổ chức trang bị cho hạ tầng mạng hệ thống công nghệ thông tin phục vụ yêu cầu tác nghiệp phù hợp với đặc thù công việc đơn vị Vấn đề đảm bảo an toàn an ninh mạng, bảo mật liệu nhiều đơn vị quan tâm sẵn sàng đầu tư kinh phí thực Các khuyến nghị nêu định hướng để lựa chọn giải pháp, đồng thời đưa kinh nghiệm thực tiễn phục vụ công tác quản lý ATAN hệ thống thông tin cho quan tổ chức, dựa tiêu chuẩn quốc tế ISO-17799 - tiêu chuẩn để đánh giá khả An tồn, An ninh cho hệ thống Cơng nghệ thông tin Luận văn gồm 03 chương: Chương 1: Tổng quan An tồn an ninh hệ thống thơng tin Trình bày số khái niệm an tồn thông tin chuẩn ISO 17799 Chương 2: Hiện trạng an tồn an ninh thơng tin số đơn vị Việt Nam Khảo sát hạ tầng mạng, trạng hệ thống an toàn an ninh tạo số đơn vị phân tích nguy cơ/rủi ro Chương 3: Phương hướng giải vấn đề an ninh an toàn đơn vị Giới thiệu định hướng lựa chọn giải pháp, sản phẩm bao gồm: 1/ Cách phân cấp nguy điểm yếu 2/ Các định hướng lựa chọn giải pháp sản phẩm giảm bớt rủi ro 3/ Đề xuất giải pháp nhằm làm giảm nhẹ rủi ro mã độc hại gây hệ thống đơn vị khảo sát Cuối cùng, để có luận văn này, tơi xin bày tỏ lòng biết ơn sâu sắc tới thầy giáo Trường Đại học Công nghệ, Khoa Công nghệ Thông tin, Ban Giám hiệu Trường Đại học Công nghệ tạo điều kiện, động viên truyền thụ kiến thức bổ ích Đặc biệt tơi xin gửi lời cám ơn chân thành đến thầy giáo PGS.TS Trịnh Nhật Tiến đồng nghiệp Công ty Misoft, Công ty Mi2, Bộ Ngoại giao, Bộ Công thương, Bộ Nội vụ, Kiểm tốn nhà nước… tận tình giúp đỡ để tơi hồn thành luận văn References Tiếng Việt http://www.misoft.com.vn/ http://www.mi2.com.vn/ http://www.bkav.com.vn/ Vương Trung Thắng (2008), Giải pháp McAfee Total Security, Công ty Mi2, tr 3, 5 Nguyễn Mạnh Cường (2007), Tổng thể giải pháp chống mã độc hại Trend Micro, Công ty Misoft, tr 1, 3, 5-7 Tiếng Anh John Wack, Ken Cutler , Jamie Pole, NIST Special Publication 800-41, Guidelines on Firewalls and Firewall Policy, 75 pages (Jan 2002), pp 3-19 Gary Stoneburner, Alice Goguen, and Alexis Feringa, NIST Special Publication 800-30, Risk Management Guide for Information Technology Systems, Publ 80030, 54 pages (July 2002), pp 8-24 Information technology – Security techniques – Code of Practice for information security management ISO/IEC17799:2005(E), Second edition 2005-06-15, pp 4, 7, 9-11, 14, 19, 23, 29, 31, 37, 42-46, 52, 60, 65-66, 77, 90, 95, 100 W.T.Polk & L.E.Bassaham, NIST-Antivirus-sp800-5, Anti-Virus Tool and Techniques, December 2, 1992 pp 3-4, 27, 35-37 Peter Mell , Karen Kent, Joseph Nusbaum, NIST Special Publication 800-83, Guide to Malware Incident Prevention and Handling, November 2005 pp 2-11, 3-6, 3-18, 4-1 Trend Micro Incoporated, Interscan Messaging Security Suite 7.1 for Windows Administrator’s Guides, November 2009 Trend Micro Incoporated, OfficeScan 10.5 - Administrator’s Guides, May 2011 Trend Micro Incoporated, ScanMail™ Suite for Microsoft™ Exchange 10.2 Administrator’s Guides, September 2011 http://about-threats.trendmicro.com 10 http://www.microsoft.com ... quan tổ chức, dựa tiêu chuẩn quốc tế ISO- 17799 - tiêu chuẩn để đánh giá khả An toàn, An ninh cho hệ thống Công nghệ thông tin Luận văn gồm 03 chương: Chương 1: Tổng quan An tồn an ninh hệ thống... niệm an tồn thơng tin chuẩn ISO 17799 Chương 2: Hiện trạng an toàn an ninh thông tin số đơn vị Việt Nam Khảo sát hạ tầng mạng, trạng hệ thống an toàn an ninh tạo số đơn vị phân tích nguy cơ/ rủi... quan tâm sẵn sàng đầu tư kinh phí thực Các khuyến nghị nêu định hướng để lựa chọn giải pháp, đồng thời đưa kinh nghiệm thực tiễn phục vụ công tác quản lý ATAN hệ thống thông tin cho quan tổ chức,