BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - Nguyễn Thị Thùy Dung XÂY DỰNG QUY TRÌNH ĐÁNH GIÁ AN TỒN THƠNG TIN THEO CẤP ĐỘ Chuyên ngành: Công nghệ thông tin LUẬN VĂN THẠC SĨ KỸ THUẬT CÔNG NGHỆ THÔNG TIN NGƯỜI HƯỚNG DẪN KHOA HỌC: TS VŨ THỊ HƯƠNG GIANG Hà Nội – Năm 2018 LỜI CẢM ƠN Em xin chân thành bày tỏ lòng biết ơn sâu sắc đến TS Vũ Thị Hương Giang - Viện Công nghệ thông tin Truyền thông – Trường Đại học Bách Khoa Hà Nội người tận tình hướng dẫn, bảo, giúp đỡ em thực hoàn thành luận văn tốt nghiệp Em xin chân thành cảm ơn thầy, cô giáo - Viện Công nghệ Thông tin Truyền thông - Trường Đại học Bách Khoa Hà Nội, người tận tình truyền đạt kiến thức, quan tâm, động viên em suốt thời gian em học tập nghiên cứu Trường Em xin gửi lời cảm ơn đến gia đình, bạn học, đồng nghiệp ln động viên giúp đỡ, chia sẻ kinh nghiệm cung cấp tài liệu hữu ích suốt thời gian tơi học tập đặc biệt trình thực luận văn tốt nghiệp vừa qua Trong trình nghiên cứu, tìm hiểu thực nghiệm luận văn chắn khơng thể tránh khỏi sai sót định, em mong nhận góp ý thầy, giáo bạn để luận văn hoàn chỉnh Em xin trân trọng cảm ơn! Hà Nội, tháng năm 2018 Tác giả luận văn Nguyễn Thị Thùy Dung LỜI CAM ĐOAN Tôi xin cam đoan: Những nội dung luận văn cơng trình nghiên cứu hướng dẫn trực tiếp TS Vũ Thị Hương Giang Mọi nguồn tài liệu tham khảo dùng luận văn trích dẫn rõ ràng tên tác giả, tên cơng trình, thời gian, địa điểm công bố Các số liệu, kết nêu luận văn trung thực chưa cơng bố cơng trình khác Mọi chép không hợp lệ, vi phạm quy chế đào tạo tơi xin chịu hồn tồn trách nhiệm Hà Nội, tháng năm 2018 Tác giả luận văn Nguyễn Thị Thùy Dung MỤC LỤC TRANG PHỤ BÌA LỜI CẢM ƠN .2 LỜI CAM ĐOAN .3 DANH MỤC CÁC KÝ HIỆU, CÁC TỪ VIẾT TẮT DANH MỤC CÁC HÌNH VẼ DANH MỤC CÁC BẢNG BIỂU .10 MỞ ĐẦU 12 Lý chọn đề tài, tính cấp thiết đề tài .12 Mục tiêu, nhiệm vụ, đối tượng, phạm vi phương pháp nghiên cứu .13 Cấu trúc luận văn 15 CHƯƠNG 1: TỔNG QUAN VỀ AN TỒN THƠNG TIN, ĐÁNH GIÁ AN TỒN THƠNG TIN .16 1.1 An tồn thơng tin 16 1.1.1 Một số khái niệm 16 1.1.2 Những nguyên tắc an tồn thơng tin 16 1.2 Đánh giá an tồn thơng tin .16 1.2.1 Phân loại cấp độ an toàn HTTT 17 1.2.2 Nguyên tắc xác định cấp độ an toàn HTTT 17 1.2.3 Tiêu chí xác định cấp độ an toàn HTTT 19 1.3 Thực trạng việc đánh giá an tồn thơng tin Việt Nam giới .21 1.4 Phương pháp đánh giá an tồn cơng nghệ thơng tin TCVN 11386:2016 (ISO/IEC 18045:2008) 24 1.4.1 Tổng quan TCVN 11386:2016 24 1.4.2 Mơ hình đánh giá 24 1.5 Định hướng giải pháp 26 CHƯƠNG 2: ĐỀ XUẤT QUY TRÌNH ĐÁNH GIÁ AN TỒN THƠNG TIN THEO CẤP ĐỘ .28 2.1 Đề xuất quy trình đánh giá an tồn thơng tin theo cấp độ .28 2.1.1 Sơ đồ tổng quan đánh giá an tồn thơng tin theo cấp độ 28 2.1.2 Chi tiết quy trình đánh giá an tồn thơng tin theo cấp độ .36 2.1.2.1 Chú thích quy tắc vẽ quy trình đánh giá an tồn thơng tin theo cấp độ 36 2.1.2.2 Sơ đồ quy trình đánh giá an tồn thơng tin theo cấp độ 36 2.1.2.3 Mô tả bước thực 38 2.1.3 Quy trình tiếp nhận/ xử lý hồ sơ .52 2.1.4 Quy trình thẩm định hồ sơ đề xuất 52 2.1.5 Quy trình đánh giá an tồn thơng tin theo cấp độ 54 2.1.6 Quy trình kết luận đánh giá an tồn thơng tin theo cấp độ .55 2.2 Mơ hình chuyển đổi trạng thái hồ sơ .55 2.2.1 Danh sách trạng thái quy trình .55 2.2.1.1 Trạng thái hồ sơ 55 2.2.1.2 Trạng thái nộp hồ sơ cứng 57 2.2.1.3 Trạng thái thẩm định hồ sơ đề xuất cấp độ 57 2.2.1.4 Trạng thái khảo sát đánh giá tiêu .58 2.2.1.5 Trạng thái đánh giá tổng thể an toàn hệ thống thơng tin 58 2.2.2 Mơ hình chuyển đổi trạng thái hồ sơ 59 2.3 Mơ hình xử lý ngoại lệ 63 2.4 Mơ hình phân quyền theo bước quy trình 64 2.4.1 Danh sách tác nhân tham gia 64 2.4.2 Phân quyền theo chức hệ thống 65 2.4.3 Phân quyền phạm vi khai thác liệu 69 2.5 Mơ hình Quản lý nhật ký hệ thống 70 2.6 Sơ đồ phân cấp chức theo quy trình đề xuất .71 2.6.1 Mơ hình chức website 71 2.6.2 Nhóm chức hỗ trợ người dùng .72 2.6.3 Nhóm chức dành cho Chuyên viên tiếp nhận/xử lý hồ sơ .73 2.6.4 Nhóm chức dành cho Chuyên viên thẩm định hồ sơ đề xuất cấp độ 74 2.6.5 Nhóm chức dành cho Chuyên viên đánh giá an toàn hệ thống thông tin .75 2.6.6 Nhóm chức dành cho Đối tượng kiểm tra, đánh giá 76 2.6.7 Nhóm chức dành cho Quản trị hệ thống 77 2.7 Mơ hình ca sử dụng 79 2.7.1 Biểu đồ ca sử dụng 79 2.7.2 Biểu đồ gói ca sử dụng 80 2.7.2.1 Quản trị người dùng phân quyền kiểm soát 80 2.7.2.2 Quản lý nhật ký hệ thống 81 2.7.2.3 Biểu đồ thống kê trạng thái 81 2.7.2.4 Thống kê 82 CHƯƠNG 3: THỬ NGHIỆM 84 3.1 Kiến trúc hệ thống 84 3.2 Công cụ sử dụng 84 3.3 Kịch thử nghiệm 85 3.3.1 Danh sách tài khoản 85 3.3.2 Kịch kiểm thử theo luồng thơng tin quy trình 87 3.3.3 Kịch kiểm thử xử lý ngoại lệ với trường hợp đối tượng kiểm tra, đánh giá cập nhật hồ sơ đề xuất cấp độ theo biểu mẫu .88 3.4 Kết đánh giá kết thử nghiệm 90 3.4.1 Kết xây dựng chương trình .90 3.4.2 Đánh giá 95 KẾT LUẬN, HƯỚNG PHÁT TRIỂN 96 Kết luận .96 Những vấn đề tồn 96 Hướng phát triển .97 TÀI LIỆU THAM KHẢO 98 DANH MỤC CÁC KÝ HIỆU, CÁC TỪ VIẾT TẮT Ký hiệu Tiếng Việt HTTT Hệ thống thông tin CNTT Công nghệ thông tin CSDL Cơ sở liệu ATTT An tồn thơng tin ATHTTT An tồn hệ thống thơng tin BTTTT Bộ Thơng tin Truyền thơng VNISA Hiệp hội an tồn thơng tin Việt Nam NSD Người sử dụng DANH MỤC CÁC HÌNH VẼ Hình 1.1: Chỉ số an tồn thơng tin 2017 23 Hình 1.2: Tổng quan mơ hình đánh giá theo TCVN 11386:2016 25 Hình 2.1: Sơ đồ tổng quan đánh giá an tồn thơng tin theo cấp độ 31 Hình 2.2: Sơ đồ quy trình đánh giá an tồn thơng tin theo cấp độ 37 Hình 2.3: Quy trình tiếp nhận/xử lý hồ sơ 52 Hình 2.4: Quy trình thẩm định hồ sơ đề xuất cấp độ 53 Hình 2.5: Quy trình đánh giá an tồn thơng tin theo cấp độ .54 Hình 2.6: Quy trình kết luận đánh giá an tồn thơng tin theo cấp độ .55 Hình 2.7: Luồng biểu đồ chuyển trạng thái hồ sơ 62 Hình 2.8: Xử lý ngoại lệ với trường hợp đối tượng kiểm tra, đánh giá cập nhật hồ sơ đề xuất cấp độ theo biểu mẫu 63 Hình 2.9: Mơ hình chức 71 Hình 2.10: Biểu đồ ca sử dụng chương trình đánh giá ATTT 79 Hình 2.11: Biểu đồ ca sử dụng Quản trị người dùng phân quyền kiểm soát .80 Hình 2.12: Biểu đồ ca sử dụng Quản lý nhật ký hệ thống 81 Hình 2.13: Biểu đồ ca sử dụng biểu đồ thống kê trạng thái hồ sơ 82 Hình 2.14: Biểu đồ ca sử dụng Thống kê 82 Hình 3.1: Giao diện đăng nhập chương trình 90 Hình 3.2: Giao diện chương trình đánh giá an tồn thơng tin theo cấp độ .91 Hình 3.3: Giao diện phân quyền theo bước quy trình .91 Hình 3.4: Giao diện chức xử lý luồng thơng tin quy trình 92 Hình 3.5: Giao diện lịch sử trạng thái hồ sơ theo nhóm người dùng quy trình 93 Hình 3.6: Giao diện quản lý nhật ký hệ thống 93 Hình 3.7: Giao diện chức thống kê số lượng hồ sơ xử lý theo người dùng .94 Hình 3.8: Giao diện thống kê nhanh 95 DANH MỤC CÁC BẢNG BIỂU Bảng 2.1: Chú thích quy tắc vẽ quy trình đánh giá an tồn thơng tin theo cấp độ 36 Bảng 2.2: Mô tả bước thực quy trình đánh giá an tồn thơng tin theo cấp độ 38 Bảng 2.3: Danh sách trạng thái hồ sơ 56 Bảng 2.4: Danh sách trạng thái nộp hồ sơ cứng 57 Bảng 2.5: Danh sách trạng thái thẩm định hồ sơ đề xuất cấp độ 57 Bảng 2.6: Danh sách trạng thái khảo sát đánh giá tiêu .58 Bảng 2.7: Danh sách trạng thái đánh giá tổng thể an toàn hệ thống thông tin 59 Bảng 2.8: Thao tác làm thay đổi trạng thái hồ sơ đối vai trò hệ thống 59 Bảng 2.9: Danh sách tác nhân tham gia hệ thống .64 Bảng 2.10: Danh sách quyền kiểm soát 67 Bảng 2.11: Bảng thuộc tính nhóm người dùng 68 Bảng 2.12: Bảng thuộc tính thơng tin chức 68 Bảng 2.13: Bảng thuộc tính phân quyền cho nhóm người dùng .68 Bảng 2.14: Bảng thuộc tính thơng tin người dùng 69 Bảng 2.15: Bảng thuộc tính thơng tin phạm vi khai thác 69 Bảng 2.16: Bảng thuộc tính thông tin hồ sơ phân quyền theo phạm vi khai thác 70 Bảng 2.17: Bảng thuộc tính thơng tin nhật ký hệ thống 70 Bảng 2.18: Nhóm chức hỗ trợ người dùng .73 Bảng 2.19: Nhóm chức dành cho Chuyên viên tiếp nhận/xử lý hồ sơ .73 Bảng 2.20: Nhóm chức dành cho Chuyên viên thẩm định hồ sơ đề xuất cấp độ 75 Bảng 2.21: Nhóm chức dành cho Chuyên viên đánh giá an toàn HTTT 76 Bảng 2.22: Nhóm chức dành cho Đối tượng kiểm tra, đánh giá 76 Bảng 2.23: Nhóm chức dành cho Quản trị hệ thống 78 10 CHƯƠNG 3: THỬ NGHIỆM Nhằm đánh giá tính thực quy trình đề xuất, chương trình bày việc xây dựng website mơ hình hóa quy trình đánh giá an tồn thơng tin theo cấp độ đề xuất 3.1 Kiến trúc hệ thống Dựa logic thiết kế tập trung, hệ thống xây dựng theo kiến trúc lớp lớp giao diện, lớp xử lý nghiệp vụ, lớp liệu Các lớp thiết kế xây dựng tách biệt để chạy khác Với kiến trúc lớp xây dựng hệ thống phần mềm có độ ổn định cao mềm dẻo Sự độc lập tương đối tầng cho phép lựa chọn sản phẩm, công nghệ tốt cho tầng tổ chức chương trình có tính Module hố cao  Lớp giao diện người dùng: Là phần gắn với thao tác người dùng Các chức trình diễn kết để người dùng hiểu  Lớp xử lý nghiệp vụ: Đây lớp quan trọng gắn kết quy trình logic thực tính tốn…đồng thời chuyển đổi liệu lớp giao diện lớp liệu  Lớp liệu: Đây lớp lưu trữ thông tin phục vụ cho lớp ứng dụng khai thác Các đơn vị tham gia hệ thống sử dụng giao diện cuối dạng WebBrowser để truy cập, vận hành sử dụng hệ thống thông qua Internet 3.2 Công cụ sử dụng Danh sách công cụ hỗ trợ lập trình, xây dựng chương trình đánh giá an tồn thơng tin theo cấp độ Chương trình xây dựng Web với ngơn ngữ lập trình Java, Javascript 84 Bảng 3.1: Công cụ sử dụng xây dựng chương trình STT Mục đích Tên cơng cụ Windows Server 2012 - 64 bit Hệ điều hành máy chủ Windows 7, 8, 10, Windows Hệ điều hành máy trạm Server 2012, … Oracle database 11gR2 server Công cụ quản trị CSDL Sping Tool Suite Công cụ phát triển Microsoft Excel Công cụ báo cáo Apache Tomcat 9.0.1 Công cụ thi hành ứng dụng Java Servlet JavaServer Pages (JSP), cung cấp máy chủ HTTP cho ngôn ngữ Java túy để thực thi chương trình lệnh viết ngơn ngữ Java Spring Web MVC 5.0.4 Web Frameworks Hibernate JPA Công cụ cho phép người lập trình thao tác với database cách hồn tồn tự nhiên thơng qua đối tượng 3.3 Kịch thử nghiệm Tác giả xây dựng kịch kiểm thử để hỗ trợ người dùng thao tác kiểm tra độ đáp ứng quy định thực tế quy trình tin học hóa chương trình đánh giá an tồn thơng tin theo cấp độ Từ có sở để thử nghiệm đánh giá kết 3.3.1 Danh sách tài khoản Danh sách tài khoản lập phân quyền theo vai trị Thơng tin tài khoản bao gồm: Họ tên, tên đăng nhập, mật vai trò phân quyền cho người dùng 85 Bảng 3.2: Danh sách tài khoản hệ thống STT Họ tên Quản trị hệ thống Chuyên viên tiếp nhận hồ sơ Chuyên viên tiếp nhận hồ sơ Chuyên viên thẩm định hồ sơ Chuyên viên thẩm định hồ sơ Tên đăng Mật nhập Admin Cvtiepnhan1 Cvtiepnhan2 Cvthamdinh1 Cvthamdinh2 Chuyên viên đánh Vai trò 123456 Quản trị hệ thống 123456 Tổ chức tiếp nhận hồ sơ 123456 Tổ chức tiếp nhận hồ sơ 123456 Tổ chức thẩm định hồ sơ 123456 Tổ chức thẩm định hồ sơ 123456 Tổ chức đánh giá giá an tồn thơng Cvdanhgia1 tin Chun viên đánh 123456 Tổ chức đánh giá 123456 Đối tượng kiểm tra giá an tồn thơng Cvdanhgia2 tin Ủy ban chứng khoán nhà ngước Hệ thống quản lý văn ubcknn đánh giá 123456 qlvb Đối tượng kiểm tra đánh giá 86 3.3.2 Kịch kiểm thử theo luồng thơng tin quy trình Kịch kiểm thử xây dựng để hỗ trợ người dùng thao tác bước quy trình Kịch có bước tương ứng cho đối tượng tham gia chương trình, từ Đối tượng kiểm tra, đánh giá thực khai báo hồ sơ; Chuyên viên tiếp nhận thực tiếp nhận/xử lý hồ sơ; Chuyên viên thẩm định thực thẩm định hồ sơ đề xuất cấp độ; Và cuối đối tượng kiểm tra, đánh gia thực khảo sát theo hệ thống đánh giá chuyên viên đánh giá thực kết luận kết đánh giá Hệ thống có xử lý phân quyền cho người dùng thao tác khai thác mức độ khác Bảng 3.3: Kịch kiểm thử theo luồng thơng tin quy trình STT Tên case Người dùng Dữ liệu thực Tên hệ thống: Cổng thông tin điện tử Ủy ban Chứng khoán Nhà nước Thêm hồ sơ Website: http://www.ssc.gov.vn ubcknn Chủ quản: Ủy ban Chứng khoán Nhà nước Đơn vị vận hành: Ủy ban Chứng khốn Nhà nước Loại hình hệ thống: Hệ thống thông tin phục vụ người dân, doanh nghiệp hệ Cập thông tin xác định hệ thống thông tin thống trực tiếp hỗ trợ cung cấp dịch nhật Ubcknn vụ trực tuyến Phân loại: Theo chức phục vụ hoạt động nghiệp vụ Hình thức hình thành: Đầu tư xây dựng, thiết lập 87 STT Tên case Người dùng Dữ liệu thực Tài liệu mô tả, thuyết minh tổng quan hệ thống thông tin Tài liệu thiết kế Tài liệu thuyết minh việc đề xuất cấp độ tiêu chí theo quy định Cập nhật hồ sơ đề xuất Ubcknn cấp độ pháp luật Tài liệu thuyết minh phương án bảo đảm an tồn thơng tin theo cấp độ tương ứng Ý kiến mặt chuyên môn đơn vị chun trách an tồn thơng tin chủ quản hệ thống thông tin hệ thống thông tin đề xuất cấp độ cấp độ 5 Tiếp nhận/Xử lý hồ sơ Thẩm định hồ sơ Đánh giá ATTT Kết luận đánh giá ATTT Cvtiepnhan1 Phê duyệt hồ sơ Cvthamdinh1 Phê duyệt thẩm định hồ sơ Ubcknn Cvdanhgia1 Khảo sát tiêu chí đánh giá an tồn thơng tin theo cấp độ Kết luận kết đánh giá ATTT 3.3.3 Kịch kiểm thử xử lý ngoại lệ với trường hợp đối tượng kiểm tra, đánh giá cập nhật hồ sơ đề xuất cấp độ theo biểu mẫu Kịch kiểm thử xây dựng để hỗ trợ người dùng thao tác bước quy trình Đối tượng kiểm tra, đánh giá cập nhật hồ sơ đề xuất cấp độ theo biểu mẫu thay cho thao tác cập nhật thông tin chung, thông tin xác định hệ thống hồ sơ đề xuất cấp độ 88 Bảng 3.4: Kịch kiểm thử xử lý ngoại lệ với trường hợp đối tượng kiểm tra, đánh giá cập nhật hồ sơ đề xuất cấp độ theo biểu mẫu STT Tên case Người dùng Dữ liệu thực Tài liệu mô tả, thuyết minh tổng quan hệ thống thông tin Tài liệu thiết kế Tài liệu thuyết minh việc đề xuất cấp độ tiêu chí theo quy định Thêm hồ sơ đề xuất cấp Ubcknn độ pháp luật Tài liệu thuyết minh phương án bảo đảm an tồn thơng tin theo cấp độ tương ứng Ý kiến mặt chuyên môn đơn vị chun trách an tồn thơng tin chủ quản hệ thống thông tin hệ thống thông tin đề xuất cấp độ cấp độ 5 Tiếp nhận/Xử lý hồ sơ Thẩm định hồ sơ Đánh giá ATTT Kết luận đánh giá ATTT Cvtiepnhan1 Phê duyệt hồ sơ Cvthamdinh1 Phê duyệt thẩm định hồ sơ Ubcknn Cvdanhgia1 Khảo sát tiêu chí đánh giá an tồn thơng tin theo cấp độ Kết luận kết đánh giá ATTT 89 3.4 Kết đánh giá kết thử nghiệm 3.4.1 Kết xây dựng chương trình Thơng qua việc đề xuất quy trình đánh giá an tồn thơng tin theo cấp độ, tác giả thử nghiệm cài đặt chương trình để trực quan hóa quy trình hệ thống Phần tác giả giới thiệu hình ảnh số chức cài đặt Giao diện đăng nhập chương trình: Để sử dụng chương trình, NSD phải thực đăng nhập với tài khoảng phân quyền để truy cập vào ứng dụng Hình 3.1: Giao diện đăng nhập chương trình 90 Giao diện chương trình đánh giá an tồn thơng tin theo cấp độ: Sau đăng nhập thành cơng, chương trình hiển thị hình làm việc tương ứng với vai trò tài khoản đăng nhập Hình 3.2: Giao diện chương trình đánh giá an tồn thơng tin theo cấp độ Giao diện chức phân quyền theo bước quy trình: Chương trình đánh giá an tồn hệ thống thơng tin cung cấp chức hỗ trợ định nghĩa danh sách vai trò để đảm nhận chức cơng việc khác Mỗi vai trị gắn liền với số quyền hạn cho phép thao tác số hoạt động cụ thể Người dùng hệ thống phân vai trị riêng, thơng qua việc phân vai trò mà họ cấp phát quyền hạn cho phép họ thi hành chức cụ thể hệ thống Hình 3.3: Giao diện phân quyền theo bước quy trình 91 Giao diện trực quan xử lý luồng thông tin quy trình: Mỗi người dùng hệ thống phân vai trị riêng, thơng qua việc phân vai trò mà họ cấp phát quyền hạn cho phép họ thi hành chức cụ thể hệ thống Khi người dùng đăng nhập thành cơng, chương trình hiển thị chức tương ứng bước quy trình tùy thuộc vào vai trò họ cấp phát Mỗi người dùng khai thác thơng tin mức độ khác Hình 3.4: Giao diện chức xử lý luồng thông tin quy trình Giao diện chức hiển thị lịch sử trạng thái hồ sơ theo nhóm người dùng quy trình: Chương trình hỗ trợ NSD theo dõi lịch sử xử lý hồ sơ trình khai báo, tiếp nhận/xử lý hồ sơ, thẩm định hồ sơ, …Thông tin xử lý hiển thị theo biểu đồ trạng thái hiển thị thông tin mức độ khác tùy thuộc vai trò người dùng 92 Hình 3.5: Giao diện lịch sử trạng thái hồ sơ theo nhóm người dùng quy trình Giao diện chức Quản lý nhật ký hệ thống: Chương trình cho phép cán quản trị hệ thống theo dõi thống kê trình hoạt động người dùng hệ thống cách lưu lại thao tác chức khác chương trình Nhật ký cho biết người dùng làm việc vào thời điểm Các chức bao gồm: Tìm kiếm nhật ký hệ thống; Xóa nhật ký hệ thống; Xuất danh sách nhật ký tệp tin excel; Hình 3.6: Giao diện quản lý nhật ký hệ thống 93 Giao diện chức thống kê số lượng hồ sơ xử lý theo người dùng: Cho phép thống kê trực quan theo thông tin: Tổng số hồ sơ, số lượng hồ sơ xử lý, số lượng hồ sơ thẩm định, …Ngồi ra, chương trình cho phép thống kê theo mục đích người sử dụng, đưa tiêu chí hỗ trợ người dùng thống kê: Thống kê hồ sơ theo cấp độ; Thống kê số lượng người tham gia xử lý, tham gia thẩm định;… Hình 3.7: Giao diện chức thống kê số lượng hồ sơ xử lý theo người dùng Bộ lọc giúp lọc thông tin hồ sơ người xử lý theo điều kiện khác NSD lọc thông tin theo tên đăng nhập, tên đầy đủ, … Giao diện chức Thống kê nhanh: Chức cho phép NSD xem nhanh số lượng hồ sơ theo trạng thái xử lý hồ sơ Với biểu đồ thống kê hồ sơ, NNSD nắm số lượng hồ sơ khai báo xử lý chương trình 94 Hình 3.8: Giao diện thống kê nhanh 3.4.2 Đánh giá Qua kết thử nghiệm mơ hình cho thấy chương trình xây dựng bước đầu trực quan luồng thông tin theo quy trình đề xuất Chương trình áp dụng thực phân quyền nhóm người dùng theo bước đề xuất quy trình Từ chương trình hiển thị chức tương ứng chức gán cho nhóm người dùng Chương trình đảm bảo hạn chế mức độ truy cập phạm vi liệu cho nhóm người sử dụng khác Đảm bảo người dùng xử lý liệu phạm vi quản lý có khả kiểm sốt truy cập thơng tin tùy theo vai trị người sử dụng Ngồi ra, chương trình cung cấp chức thống kê báo cáo đáp ứng yêu cầu quản lý 95 KẾT LUẬN, HƯỚNG PHÁT TRIỂN Kết luận Luận văn tạo điều kiện cho tác giả tìm hiểu, nắm bắt kiến thức an tồn thơng tin phương pháp đánh giá an tồn thơng tin theo cấp độ cho HTTT Trên thực tế, luận văn tìm hiểu nêu nét đặc trưng sở lý thuyết an tồn thơng tin, đánh giá an tồn thơng tin Từ đó, tác giả vận dụng lý thuyết, đề xuất quy trình đánh giá an tồn thơng tin theo cấp độ Ngoài ra, tác giả xây dựng ứng dụng thử nghiệm thành công bao gồm chức hỗ trợ chương trình đánh giá an tồn thơng tin theo cấp độ Kết luận văn đóng góp phần tảng sở cho tìm hiểu sâu việc ứng dụng, phát triển hệ thống đánh giá an tồn thơng tin theo cấp độ Việt Nam Những vấn đề tồn Mặc dù có nhiều cố gắng nỗ lực tìm hiểu, nhiên trình độ cịn nhiều hạn chế việc nghiên cứu thời gian có hạn nên luận văn không tránh khỏi hạn chế Hiện tác giả thử nghiệm đánh giá HTTT website, chưa mở rộng thử nghiệm đánh giá nhiều HTTT khác Bên cạnh đó, quy trình xây dựng dừng lại việc đề cập đến bước để Đối tượng kiểm tra, đánh giá phải tự thực cập nhật đầy đủ thông tin hồ sơ tổ chức đủ điều kiện để đánh giá an tồn thơng tin hệ thống Tuy nhiên, việc cập nhật gây khó khăn, bất tiện cho người dùng Ngồi ra, chương trình đơn sử dụng giải thuật để đánh giá an tồn thơng tin theo cấp độ, chưa có kết hợp tool quét bảo mật để bổ trợ thêm thơng tin q trình đánh giá an tồn thơng tin theo cấp độ 96 Hướng phát triển Từ hạn chế trên, tác giả xin đề xuất hướng phát triển, nghiên cứu Tác giả tiến hành nghiệm đánh giá an tồn thơng tin nhiều HTTT khác theo quy định Bên canh đó, tác giả đưa tiện ích vào chương trình nhằm hỗ trợ người dùng khai báo hồ sơ tổ chức Chương trình tự động thu thập thơng tin tổ chức thông qua website cần đánh giá tổ chức (crawler liệu), thu thập liệu thông qua hồ sơ đề xuất cấp độ tổ chức Kết hợp tool qt bảo mật để tìm lỗ hổng tiềm tàng điểm yếu cấu tạo web nhằm bổ trợ thêm thông tin q trình đánh giá an tồn thơng tin theo cấp độ, từ đưa cảnh báo phương án đảm bảo an tồn thơng tin cho hệ thống cần đánh giá Triển khai giải pháp sử dụng bảo mật xác thực nhân tố tài khoản người dùng truy cập vào chương trình thơng qua token CA q trình đăng nhập hệ thống Người dùng lựa chọn token CA đơn vị cung cấp dịch vụ CA công cộng cáp phép Bộ thông tin truyền thông như: Viettel, VNPT, FPT, BKav 97 TÀI LIỆU THAM KHẢO Nguyễn Hải Anh (2015), “Phân định cấp độ hệ thống thơng tin”, Tạp chí an tồn thơng tin, Ban u phủ Bộ thơng tin truyền thông (2017), Thông tư số 03/2017/TT-BTTT, Về đảm bảo an tồn hệ thống thơng tin theo cấp độ Cherdantseva Y and Hilton J (2013), Information Security and Information Assurance The Discussion about the Meaning, Scope and Goals, IGI Global Publishing, Hershey Chính phủ (2016), Nghị định số 85/2016/NĐ-CP, Quy định chi tiết hướng dẫn số điều nghị định số 85/2016/NĐ-CP ngày 01/07/2016 phủ đảm bảo an tồn hệ thống thơng tin theo cấp độ ISO/IEC 27000:2009 (E) (2009), Information technology - Security techniques - Information security management systems - Overview and vocabulary, ISO/IEC Trần Đức Lịch (2011), “Đánh giá an tồn hệ thống Cơng nghệ thơng tin”, Tạp chí an tồn thơng tin, Ban u phủ Quốc hội (2015), Luật số 86/2015/QH13, Luật an tồn thơng tin mạng Tiêu chuẩn quốc gia (2011), TCVN 8709-1:2011 (ISO/IEC 15408-1:2009), Công nghệ thông tin – kỹ thuật an tồn tiêu chí đánh giá an tồn CNTT – Phần 1: Giới thiệu mơ hình tổng quan Tiêu chuẩn quốc gia (2011), TCVN 8709-2:2011 (ISO/IEC 15408-2:2009), Công nghệ thơng tin – kỹ thuật an tồn tiêu chí đánh giá an tồn CNTT – Phần 2: Các thành phần chức an toàn 10 Tiêu chuẩn quốc gia (2011), TCVN 8709-3:2011 (ISO/IEC 15408-3:2009), Công nghệ thông tin – kỹ thuật an tồn tiêu chí đánh giá an toàn CNTT – Phần 3: Các thành phần đảm bảo an toàn 11 Tiêu chuẩn quốc gia (2016), TCVN 11386:2016 (ISO/IEC 18045:2008), Công nghệ thông tin – kỹ thuật an toàn – phương pháp đánh giá an tồn cơng nghệ thơng tin 98 ... đánh giá an thống theo liệu khảo sát hệ thống hệ thống theo an tồn thơng tin thống theo cấp tồn thơng tin tiêu chí đánh giá theo cấp độ tiêu chí theo cấp độ độ theo cấp độ cấp độ đánh giá cấp độ. .. Kết đánh giá Hệ thống đánh giá cung Thống kê kết Hệ thống đánh giá b đánh giá đánh giá an cấp độ an toàn hệ cấp chức thống kê an tồn thơng tin tồn thông tin thống thông tin kết đánh giá theo cấp. .. theo cấp độ Việt Nam CHƯƠNG 2: ĐỀ XUẤT QUY TRÌNH ĐÁNH GIÁ AN TỒN THƠNG TIN THEO CẤP ĐỘ: Nội dung chương trình bày đề xuất quy trình đánh giá an tồn thơng tin theo cấp độ, giúp cho việc đánh giá cấp