ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN THANH TUYỀN ÁP DỤNG ENTERPRISE ARCHITECTURE XÂY DỰNG KHUNG KIẾN TRÚC BẢO ĐẢM AN TỒN THƠNG TIN CHO CÁC TỔ CHỨC, DOANH NGHIỆP TẠI VIỆT NAM LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN Hà Nội - Năm 2016 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN THANH TUYỀN ÁP DỤNG ENTERPRISE ARCHITECTURE XÂY DỰNG KHUNG KIẾN TRÚC BẢO ĐẢM AN TỒN THƠNG TIN CHO CÁC TỔ CHỨC, DOANH NGHIỆP TẠI VIỆT NAM Ngành: Công nghệ thông tin Chuyên ngành: Quản lý Hệ thống thơng tin Mã số: Chun ngành đào tạo thí điểm LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN Xác nhận giáo viên hướng dẫn Chữ ký chủ tịch hội đồng bảo vệ luận văn Hà Nội - Năm 2016 LỜI CAM ĐOAN Tôi xin cam đoan, luận văn “Áp dụng Enterprise Architecture xây dựng khung kiến trúc bảo đảm tồn thơng tin cho tổ chức, doanh nghiệp Việt Nam” thực hướng dẫn TS Lê Quang Minh Trong toàn nội dung luận văn, điều trình bày cá nhân tôi tổng hợp từ nhiều nguồn tài liệu Tất nguồn tài liệu tham khảo có xuất xứ rõ ràng trích dẫn hợp pháp Hà Nội, ngày 28 tháng 10 năm 2016 Tác giả luận văn Nguyễn Thanh Tuyền LỜI CẢM ƠN Trước tiên, xin chân thành cảm ơn TS Lê Quang Minh (Viện Công nghệ thông tin, Đại Học Quốc gia Hà Nội), người động viên, hướng dẫn giúp đỡ, bảo, đồng thời cung cấp tài liệu q trình tơi thực đề tài Tôi xin cảm ơn ban chủ nhiệm Khoa tồn thể thầy, giáo Khoa Cơng nghệ thông tin – Trường Đại học Công nghệ tạo điều kiện giúp đỡ thời gian học tập q trình hồn thành luận văn Cuối cùng, tơi xin cảm ơn gia đình, bạn bè ln bên cạnh, động viên, khuyến khích tơi q trình học tập, nghiên cứu Mặc dù cố gắng trình thực luận văn khơng thể tránh khỏi thiếu sót Tơi mong nhận góp ý thầy, bạn học viên Xin trân trọng cảm ơn! Tác giả luận văn Nguyễn Thanh Tuyền MỤC LỤC LỜI CAM ĐOAN LỜI CẢM ƠN BẢNG CÁC CHỮ CÁI VIẾT TẮT DANH MỤC CÁC HÌNH VẼ .8 DANH MỤC CÁC BẢNG .9 PHẦN MỞ ĐẦU 10 Cơ sở khoa học thực tiễn đề tài 10 1.1 Về phương pháp luận xây dựng kiến trúc tổ chức, doanh nghiệp 10 1.2 Xây dựng khung kiến trúc bảo đảm an tồn thơng tin cho tổ chức doanh nghiệp Việt Nam 11 Đối tượng phạm vi nghiên cứu 11 2.1 Đối tượng nghiên cứu 11 2.2 Phạm vi nghiên cứu 12 Phương pháp nghiên cứu .12 CHƯƠNG I: TỔNG QUAN VỀ KIẾN TRÚC TỔNG THỂ, 13 1.1 Tổng quan kiến trúc tổng thể 13 1.1.1 Các khái niệm 13 1.1.2 Thành phần kiến trúc tổng thể: 14 1.1.3 Tầm quan trọng kiến trúc tổng thể .15 1.1.4 Quy trình xây dựng kiến trúc tổng thể 17 1.2 Tổng quan khung kiến trúc tổng thể 18 1.2.1 Khung kiến trúc tổng thể gì? 18 2.2.2 Lịch sử phát triển khung kiến trúc EA 19 1.2.3 Phân loại 20 1.3 Các phương pháp xây dựng khung kiến trúc tổng thể .21 1.3.1 Khung kiến trúc ZACHMAN 21 1.3.2 Khung kiến trúc TOGAF 25 1.3.3 Khung kiến trúc ITI-GAF 38 CHƯƠNG II: CƠ SỞ LÝ LUẬN VỀ AN TỒN THƠNG TIN, HỆ THỐNG QUẢN LÝ AN TỒN THƠNG TIN 45 2.1 An tồn thơng tin 45 2.1.1 Khái niệm 45 2.1.2 Các yếu tố ảnh hưởng đến an tồn thơng tin 48 2.2 Thực trạng an tồn thơng tin Việt Nam 51 2.2.1 Thực trạng an tồn thơng tin tổ chức doanh nghiệp 51 2.2.2 Hoạt động công mạng vào tổ chức, doanh nghiệp 52 2.3 Quản lý an tồn thơng tin theo tiêu chuẩn TCVN ISO/IEC 27002:2011 54 2.3.1 Tổng quan tiêu chuẩn TCVN ISO/IEC 27002:2011 54 2.3.2 Cấu trúc tiêu chuẩn TCVN ISO/IEC 27002:2011 .55 CHƯƠNG III: XÂY DỰNG KHUNG KIẾN TRÚC BẢO ĐẢM AN TỒN THƠNG TIN CHO CÁC TỔ CHỨC DOANH NGHIỆP 57 3.1 Đề xuất khung kiến trúc bảo đảm an tồn thơng tin 58 3.1.1 Mơ hình đơn giản .59 3.1.2 Mơ hình trung gian 60 3.1.3 Mơ hình nâng cao 61 3.2 Khung kiến trúc bảo đảm an tồn thơng tin .63 3.2.1 Phân cụm tiêu chuẩn TCVN ISO/IEC 27002:2011 64 3.2.2 Xây dựng câu hỏi đánh giá 71 3.3 Đánh giá kết đạt hướng phát triển tương lai 72 3.3.1 Kết đạt 72 3.3.2 Hướng phát triển tương lai 72 KẾT LUẬN 73 TÀI LIỆU THAM KHẢO 74 BẢNG CÁC CHỮ CÁI VIẾT TẮT DANH MỤC CÁC HÌNH VẼ Hình 1.1: Các thành phần kiến trúc tổng thể .15 Hình 1.2: Mục đích lợi ích kiến trúc tổng thể 16 Hình 1.3: Quy trình xây dựng kiến trúc tổng thể 17 Hình 1.4: Tỷ lệ áp dụng khung kiến trúc 19 Hình 1.5: Lịch sử khung kiến trúc tổng thể .20 Hình 1.6: Lược đồ khung Zachman 22 Hình 1.7: Phương pháp phát triển kiến trúc (ADM) – TOGAF 26 Hình 1.8: Các thành phần TOGAF 27 Hình 1.9: Các vịng lặp ADM 31 Hình 1.10: Khung nội dung kiến trúc chuẩn .33 Hình 1.11: Cách mơ tả thành phần khung nội dung kiến trúc chuẩn 35 Hình 1.12: Mơ hình tham chiếu cơng nghệ .36 Hình 1.13: Mơ hình tham chiếu sở hạ tầng thơng tin tích hợp 38 Hình 1.14: Mơ hình ITI-GAF 40 Hình 1.15: Mơ hình 3x3x3 43 Hình 2.1: Mơ hình tam giác an tồn thơng tin CIA 46 Hình 2.2: Các thuộc tính an tồn thơng tin 47 Hình 3.1: Mơ hình an tồn thơng tin cho tổ chức, doanh nghiệp 58 Hình 3.2: Mơ hình an tồn thơng tin cho tổ chức, doanh nghiệp nhỏ .59 Hình 3.3: Mơ hình an tồn thơng tin cho tổ chức, 60 Hình 3.4: Mơ hình an tồn thơng tin cho tổ chức, doanh nghiệp lớn 61 DANH MỤC CÁC BẢNG Bảng 1.1: Mô hình 3x3x3 44 Bảng 2.1: Cấu trúc tiêu chuẩn 57 Bảng 3.1: Phân cụm TCVN theo ITI-GAF 70 Bảng 3.2: Bộ câu hỏi với trọng số ITI 112 71 68 10 11 12 13 69 14 15 16 17 18 19 20 21 70 22 23 24 25 26 27 Bảng 3.1: Phân cụm TCVN theo ITI-GAF 71 3.2.2 Xây dựng câu hỏi đánh giá Bộ câu hỏi đánh giá xây dựng kết xây dựng nguyên tắc câu hỏi bảo phủ hết nội dung tiêu chí TCVN nhóm STT Việc phân loại mức độ thông tin nghiệp vụ để đảm bảo an tồn thơng tin nội quan quy định hay chưa (C6.2.1)? Đã đưa yêu cầu an toàn thành phần cụ thể hệ thống thông tin hay chưa (C11.1)? Có hay khơng thủ tục rà sốt tính đắn thơng tin hoạt động trao đổi thơng tin (C11.2)? Có hay khơng thủ tục kiểm sốt đánh giá thay đổi thành phần toàn hệ thống thơng tin (C9.1.2)? Có hay khơng việc thiết lập thủ tục phân công trách nhiệm nhằm đảm bảo xử lý cố an toàn thơng tin (C12.2.1)? Có hay khơng việc đưa u cầu an tồn thơng tin vào quy trình quản lý hệ thống thơng tin nhằm đảm bảo khả làm việc liên tục hệ thống (C13.1.1)? Có hay khơng thủ tục ngăn ngừa giám sát khả sử dụng phương tiện thông tin khơng mục đích (C14.1.5)? Có hay khơng yêu cầu thỏa thuận sở hữu thông tin phương tiện xử lý thông tin nhằm đảm bảo an tồn thơng tin hệ thống (C5.1 )? Bảng 3.2: Bộ câu hỏi với trọng số ITI 112 72 3.3 Đánh giá kết đạt hướng phát triển tương lai 3.3.1 Kết đạt Đề xuất khung kiến trúc bảo đảm an tồn thơng tin cho tổ chức, doanh nghiệp dựa cách tiếp cận khung kiến trúc ITI-GAF kết hợp với tiêu chuẩn bảo đảm an ninh, an tồn thơng tin Đây khung kiến trúc có tính linh hoạt cao, để sử dụng áp dụng cho cấp độ tổ chức, doanh nghiệp, sở xây dựng khung kiến trúc đảm bảo an ninh không giang mạng cho quốc gia phát triển Phân cụm tiêu chuẩn TCVN ISO/IEC 27002:2011 ánh xạ sang mơ hình ITI-GAF, cơng việc tốn nhiều công sức việc nghiên cứu, phân tích 134 tiêu chí TCVN để đưa vào mơ hình ITI-GAF - Bước đầu đưa câu hỏi với 100 câu hỏi tích hợp vào cơng cụ đánh giá làm cở sở để khảo sát, đánh giá thực trạng cơng tác bảo đảm an tồn thơng tin cho tổ chức, doanh nghiệp để triển khai giải pháp khác nhằm nâng cao lực bảo đảm an tồn thơng tin cho tổ chức, doanh nghiệp 3.3.2 Hướng phát triển tương lai Trong tương khung kiến trúc bảo đảm an tồn thơng tin cho tổ chức, doanh nghiệp cần phải kết hợp với nhiều tiêu chuẩn an ninh, an tồn thơng tin khác bên cạnh TCVN ISO/IEC 27002:2011 tiêu chuẩn ISO 272001, Tiêu chuẩn COBIT, NIST nhằm đưa khung kiến trúc toàn diện 73 KẾT LUẬN Ngày nay, nguy an ninh, an tồn thơng tin ngày gia tăng mạnh mẽ, phức tạp ảnh hưởng nhiều đến hoạt động tổ chức, doanh nghiệp Ở nước phát triển, với doanh nghiệp hoạt động môi trường mạng dẫn đến rủi ro xảy nghiêm trọng Do đó, cần thiết để có phương pháp xây dựng sách đảm bảo an tồn thơng tin cách toàn diện, dễ hiểu dễ thực cho tổ chức, doanh nghiệp Khung kiến trúc bảo đảm an tồn thơng tin hướng dẫn cho biện pháp, sách đảm bảo an tồn thơng tin Khung kiến trúc bảo đảm an tồn thơng tin dựa ITI-GAF giải pháp dễ thực để để đáp ứng yêu cầu Một mặt, thừa hưởng tất tính tốt cách tiếp cận kiến trúc doanh nghiệp Mặt khác, đơn giản hóa để phù hợp với sở hạ tầng lực tổ chức, doanh nghiệp Các mơ hình đánh giá giúp tổ chức, doanh nghiệp để xác định việc cần thực Dựa vào đó, cho phép tổ chức, doanh nghiệp để xây dựng kế hoạch hành động dài hạn ngắn hạn và giám sát, đánh giá lại điều chỉnh mục tiêu sau giai đoạn phát triển Đây điều kiện tiên để xây dựng hệ thống toàn diện đảm bảo an toàn thông tin 74 TÀI LIỆU THAM KHẢO Tiếng Việt Bộ Khoa học Công nghệ (2010), Đề tài “Nghiên cứu xây dựng kiến trúc Công nghệ thông tin & Truyền thông giải pháp công nghệ phù hợp cho việc triển khai Chính phủ điện tử Việt Nam”, chương trình KH&CN trọng điểm cấp nhà nước, mã số KC.01/06-10 Nguyễn Minh Hồng (2010), Nghiên cứu xây dựng kiến trúc công nghệ thông tin truyền thông giải pháp công nghệ phù hợp cho việc triển khai Chính phủ điện tử Việt Nam, Báo cáo tổng hợp Đề tài khoa học cấp Nhà nước mã số KC.01.18 ,Bộ Thông tin Truyền thông Tiêu chuẩn TCVN ISO/IEC 27002:2011 Công nghệ thông tin – kỹ thuật an toàn – quy tắc thực hành quản lý an tồn thơng tin Viện CNTT – ĐHQG Hà Nội (2014), Thuyết minh đề tài “Nghiên cứu xây dựng thử nghiệm mơ hình chứng thực điện tử văn pháp lý để thúc đẩy triển khai dịch vụ công địa bàn Thành phố Hà Nội”, Đề tài nghiên cứu khoa học phát triển công nghệ cấp thành phố, mã số 01C07/02-2014-2 Nguyễn Văn Đồi, Lê Khắc Quyền (2015), “Nghiên cứu, tìm hiểu kiến trúc TOGAF ứng dụng TOGAF trường đại học”, Tạp chí Cơng nghệ Thơng tin Truyền thông, kỳ tháng 4/2015 Tiếng Anh "Business Systems Planning and Business Information Control Study: A comparison” In:IBM Systems Journal, vol 21, no 3, 1982 p 31-53 Nguyen Ai Viet (2016), TOWARD ASEAN-EU COOPERATION IN CYBER SECURITY: An analysis on alignment between EU and ASEAN priorities and objectives – Final Report of CONNECT2SEA project J A Zachman (1987) "A Framework for Information Systems Architecture" In: IBM Systems Journal, vol 26, no IBM Publication G321-5298 75 The Open Group Architectural Framework, TOGAF 9.1 Online Documents (2012), URL: http://pubs.opengroup.org/architecture/togaf9doc/arch/ National Institute of Standards and Technology, Framework for Improving Critical Infrastructure Cybersecurity (2014), URL: http://www.nist.gov/cyberframework/upload/cybersecurity-framework021214.pdf 11 White House(2007), FEA Consolidated Reference Model Document 10 Version 2.3, URL: http://www.whitehouse.gov/sites/default/files/omb/assets/fea_docs/FEA_ CRM_v23_Final_Oct_2007_Revised.pdf 12 Roger Sessions(2007), A Comparison of the Top Four Enterprise Architecture Methodologies, ObjectWatch 13 USA (2013), Federal Enterprise Architecture Framework, version 2.0 The Open Group Architectural Framework, TOGAF 9.1 Online Documents, URL: http://pubs.opengroup.org/architecture/togaf9-doc/arch/ 14 76 77 78 79 80 ... thể tổ chức, doanh nghiệp; Phương pháp luận xây dựng khung kiến trúc tổ chức, doanh nghiệp 12 Cách áp dụng phương pháp luận xây dựng khung kiến trúc tổ chức, doanh nghiệp vào việc xây dựng khung. .. tài 10 1.1 Về phương pháp luận xây dựng kiến trúc tổ chức, doanh nghiệp 10 1.2 Xây dựng khung kiến trúc bảo đảm an toàn thông tin cho tổ chức doanh nghiệp Việt Nam 11 Đối tượng... kiến trúc bảo đảm an tồn thơng tin cho tổ chức, doanh nghiệp Việt Nam 2.2 Phạm vi nghiên cứu Tổng quan phương pháp luận xây dựng khung kiến trúc tổ chức, doanh nghiệp Giới thiệu số phương pháp