1. Trang chủ
  2. » Giáo Dục - Đào Tạo

An toàn cơ sở dữ liệu đỗ trung tuấn

598 65 3

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 598
Dung lượng 46,3 MB

Nội dung

SÁCH KHOA HỌC MS: 275-KHTN-2018 AN TOÀN sở Dử LIỆU Đ ỗ TRUNGTUẤN AN TOÀN Cơ SỞ Dữ LIỆU NHÀ XUẤT BẢN ĐẠI HỌC QUỐC GIA HÀ NỘI MỤC LỤC Giới th iệu xxi Chương Tiên hóa kĩ thuật sở liệu 1.1 Giới thiệu 1.2 Tiên hóa sở liệu 1.2.1 1.2.2 1.2.3 Lịch sừ hệ thống sở liệu Cơ sở liệu phân câ'p Cơ sở liệu m ạng 1.2.4 1.2.5 Cơ sở dừ liệu quan hệ .11 Tiến hóa phương pháp luận thiết kế sở liệu 14 1.3 1.3.1 1.3.2 1.3.3 Thếhệ sở liệu m ó i 14 Vân đề sở liệu tạ i 14 Thay đổi tổ chức máy tính 15 ứ n g dụng không truyền thông 16 1.3.4 Hệ thống sở liệ u .18 1.4 1.4.1 1.4.2 1.4.3 1.4.4 1.4.5 1.4.6 1.4.7 1.4.8 Xu nghiên cún thị trường .24 Các sở liệu cá nhân 25 Các sở liệu nhóm 26 Các sở liệu dùng cho phân xưởng .27 Các sở liệu dùng cho tồn xí n g h iệp 28 Những ưu điểm tiếp cận sở liệ u 29 Các thành phần hệ thông sở liệ u 35 Hiệu q u ả 40 Phân tán tích h ợ p 45 1.4.9 Chức thông m in h 46 1.5 Cơng nghệ sở liệu hồn thiện .46 vi AN TOAN Cơ SỞ Dử LIỆU 1.6 1.6.1 1.6.2 1.6.3 1.6.4 Các chức hệ thống thông tin .46 Chức n h .47 Chức thông tin 48 Chức hành đ ộ n g 48 Thí dụ hệ thống thông tin 48 1.7 1.7.1 1.7.2 1.7.3 1.7.4 1.7.5 Mơ hình khái niệm 48 Lược đổ khái niệm trạng th .49 Cơ sở thông tin .50 Lược đồ khái niệm hành v i 51 Các điều kiện toàn v ẹ n 52 Các luật kéo th eo 53 1.8 1.8.1 1.8.2 Kiến trúc trừu tượng hệ thống thông tin 55 Công nghệ yêu c ầ u 56 Thuộc tính cần thiết lược đồ khái n iệm 56 1.9 Kết luận 57 1.10 Câu hỏi 58 Chương An toàn liệu, xử lí saỉ sót quản trị rủi ro 2.1 2.1.1 2.1.2 2.1.3 An toàn sở liệu 59 Vi phạm an toàn sở liệu 60 Các yêu cầu bảo vệ sở liệu 61 Các dạng sai só t 63 2.2 2.2.1 2.2.2 2.2.3 Các cách kiêm sốt an tồn liệu 64 Kiêm sốt luồng thơng tin 65 Kiểm soát suy diễn 66 Kiếm soát truy c ậ p 67 2.3 Giới thiệu quản trị rủi ro 77 2.3.1 Một SỐvâri đ ê .77 2.3.2 Các ứng dụng phân tích rủi r o 78 2.4 Vai trị phân tích rủi ro 79 M ụ c lục vii 2.4.1 2.4.2 Kiếm tra lại tính đ ắ n 79 Chứng xử lí cơng nghệ thơng tin 80 2.4.3 2.4.4 2.4.5 Kiếm tra đánh giá an to n 80 Phân tích chi phí - hiệu q u ả 81 Phát triển phần mềm theo vòng đời 82 2.4.6 Phát triển phần mềm an to n 83 2.5 Các tham sơ'phân tích rủi ro 84 2.5.1 2.5.2 Các đe d ọ a .84 Tài sản 89 2.5.3 Tính dễ tổn h ại 91 2.5.4 Bảo v ệ 91 2.5.5 Các hạn c h ế 93 2.6 2.6.1 2.6.2 2.6.3 2.6.4 2.6.5 2.6.6 Mơ hình hóa chi phí - tổn th ất 95 Mơ hình thay th ế 97 Mơ hình sửa chữa 97 Mơ hình thương th u y ết 98 Mơ hình dịch v ụ 99 Mơ hình chuyển giao 99 Mơ hình tai biên 99 2.7 Kết luận 100 2.8 Câu h ỏ i 100 Chương Kiểm soát truy cập, điều khiển tương tranh 3.1 Giới th iệu 102 3.2 Các mơ hình kiểm sốt truy cập cổ điển 104 3.2.1 Kiểm soát truy cập tùy tiện 106 3.2.2 Kiểm soát truy cập bắt b u ộ c 110 3.2.3 Kiểm soát truy cập dựa vào vai 114 3.3 Kiểm soát truy cập dựa ủy quyền 115 3.3.1 Tổng quan chiên lược giao dịch tin c ậ y 117 viii AN TOÀN c SỞ D ữ LIỆU 3.3.2 Tổng quan vế khung tham chiêu kiểm soát truy cập dựa chứng chi 119 3.4 3.4.1 3.4.2 Tập hợp sách 121 Tổng quan giải pháp tập hợp sách .122 Tiêp cận đại sô' 123 3.5 3.5.1 3.5.2 Kiểm soát truy cập nhờ mật m ã .126 Tổng quan giải pháp thuê liệu 127 Tổng quan giải pháp thuê tư liệu XML 132 3.6 3.6.1 3.6.2 Về điều khiển tương tranh 133 Toàn vẹn liệu 134 Giao tác chương trìn h 135 3.6.3 Vâh đề tương tranh, hay tranh chap ữong khai thác liệu 136 3.7 3.7.1 Đặc tính khai thác khơng xung đ ộ t 139 Một SỐkhái niệm 19 3.7.2 3.7.3 3.7.4 Khai thác có thứ tự .141 Thuộc tính phép to án 142 Đặc tính khai thác có thứ t ự 143 3.7.5 Đồ thị thứ tự thực giao tá c 143 3.8 3.8.1 3.8.2 Thuật tcán khóa hai pha 145 Nguyên tắc việc khoá giao tác 145 Thuật tốn khóa 146 3.8.3 3.8.4 3.8.5 Hạn chếhai p h a 147 Việc khóa sở liệu phân tá n 149 Khóa chết 150 3.9 Các thuật toán nguyên thủy để tiên hành khóa giao tác 153 3.9.1 3.9.2 3.9.3 Đánh dấu giao tác 153 Đánh dâu h t 153 Thuật toán xếp toàn b ộ .154 3.9.4 Thuật toán xếp phần 155 3.10 Kết luận 156 3.11 Câu hỏi 157 M ụ c lục ix Chương Giới thiệu vể mật mã tính riêng tư 4.1 4.1.1 4.1.2 4.1.3 Mật m ã 158 Độ phức tạp tính tốn 160 Công khai hay không công khai thuật tốn khóa 161 Các mã bí m ậ t 162 4.2 4.2.1 Phá lược đổ mật m ã 163 Phá chi biết mã h ó a 163 4.2.2 4.2.3 Phá biết r õ 164 Phá biết rõ c h ọ n 165 4.3 4.3.1 Các loại hàm mật m ã 166 Mật mã khóa bí m ậ t 166 4.3.2 4.3.3 4.4 Mật mã khóa cơng k h 171 Các thuật toán b ă m 183 Giới thiệu bảo tồn tính riêng t 188 4.4.1 4.4.2 Nhu cầu bảo tồn tính riêng tư khai phá liệu 188 Tính tốn đảm bảo tính riêng tư 188 4.5 4.5.1 4.5.2 Phương pháp ngẫu nhiên h óa 190 Lượng hóa tính riêng t 192 Târi công thù địch vào phương pháp ngẫu nhiên 194 4.5.3 4.5.4 Các phương pháp ngẫu nhiên hỏa đổi vớicác dòng liệu 195 Các nhiễu loạn bội 195 4.5.5 4.5.6 Hoán đổi liệ u 196 Nhận xét phương pháp ngẫu nhiên 197 4.6 4.6.1 Các khung tham chiêu k ẩn d a n h 197 Về k ẩn d a n h .197 4.6.2 Bảo tồn tính riêng tư cá n h â n 202 4.6.3 Giữ riêng tư dựa vào tiện ích 203 4.6.4 Hiện 204 4.6.5 Phương pháp £ đa dạng 204 4.7 Khai phá liệu bảo toàn riêng tư phân tá n 205 X 4.7.1 4.7.2 AN TOÀN Cơ SỞ D ữ LIỆU Giói th iệu 205 Các thuật toán khai phá liệu giữ riêng tư phân tán phân đoạn n g a n g 206 4.7.3 Các thuật toán khai phá liệu giữ riêng tư phân tán phân đoạn d ọ c 209 4.7.4 Các thuật toán phân tán k ẩn danh 29 4.8 Bảo toàn riêng tư kết ứng dụng 210 4.8.1 4.8.2 Giấu luật kết h ợ p 210 Giảm hiệu phân loại 211 4.8.3 4.9 Kiểm tra lại câu hỏi điều khiển suy lu ận 212 Những hạn chê'về tính riêng tư theo chiểu liệu 216 4.10 Kết luận 217 4.11 Câu h ỏ i 218 Chương Dung thứ lỗi sở liệu phân tán 5.1 Giới thiệu chịu lỗi 220 5.1.2 5.1.3 Các mơ hình lỗi 222 Giấu lỗi nhờ dự p h ò n g 223 5.2 5.2.1 5.2.2 5.2.3 5.2.4 Giải pháp chịu lỗi đơi với q trình 225 Khía cạnh thiết kế 225 Giấu lỗi trình 227 Thỏa thuận hệ thống lỗi 228 Phát lỗ i 232 5.3 5.3.1 Truyền thông khách/chủ tin c ậ y 233 Truyền thòng điếm - đ iếm 233 5.3.2 Khắc phục gọi thủ tục từ x a 234 5.4 5.4.1 5.4.2 Truyền thơng nhóm tin c ậ y 236 Các lược đồ phát đa điếm tin cậy b ản 236 Khả mở rộng phát đa điểm tincậy 240 5.4.3 Phát đa điếm với tính nguyên t 243 M ụ c lục xi 5.5 Giao kết phân tá n 250 5.5.1 Giao kết hai p h a 251 5.5.2 Giao kết ba p h a 254 5.6 Khắc phục lỗ i 255 5.6.1 Giới thiệu khắc phục 255 5.6.2 Điếm kiểm tr a 256 5.6.3 Nhật kí thơng báo 261 5.6.4 Tính tốn hướng khơi p h ụ c .265 5.7 Kết luận 265 5.8 Câu hỏi .267 Chương An toàn dịch vụ Web ngữ nghĩa OLAP 6.1 Giới thiệu 268 6.2 Bảo vệ dịch vụ W eb 269 6.2.1 Tổng quan 269 6.2.2 Các dịch vụ Web 270 6.2.3 Các dịch vụ Web an toàn 271 6.2.4 XACML SAML 272 6.2.5 Shibboleth 274 6.3 An toàn Web ngữ nghĩa 278 6.3.1 Tổng quan 278 6.3.2 Web ngữ n g h ĩa 279 6.3.3 An toàn Web ngữ n g h ĩa 281 6.3.4 BảovệXM L 282 6.3.5 Bảo vệ khung mô tả tài nguyên .293 6.3.6 An toàn th ể 285 6.3.7 Câu hỏi an tồn xử lí luật cho Web ngữ n g h ĩa 285 6.3.8 Tính riêng tư lòng tin vào Web ngữ nghĩa 286 Phụ lục KIẾN TRÚC HÊ THỐNG THÔNG TIN VÀ KIẾN TRÚC PHẨN M É M 563 trì ùy ban chuyên gia dành riêng cho phát triển cua chuẩn hệ thống quản lý quốc tế, an ninh thơng tin, hay cịn gọi họ chuẩn hệ thống quan trị an tồn thơng tin ISMS1 Thông qua việc sử dụng họ chuẩn ISMS, tổ chức phát triển thực khn khổ việc quản lý an tồn tài sản thơng tin họ Những thơng tin gồm thơng tin tài chính, sở hữu trí tuệ, chi tiết nhân viên, thông tin mà khách hàng bên thứ ba trao cho họ Các chuẩn sử dụng đế chuẩn bị cho đánh giá độc lập ISMS, nhằm bảo vệ thông tin Họ chuẩn ISMS trợ giúp tổ chức theo loại kích cỡ khác nhau, để thực vận hành ISMS bao gồm chuẩn quốc tế sau: • ISO / IEC 27000, hệ thống quản lý an ninh thông tin; tổng quan từ vựng; • ISO / IEC 27001, hệ thống quản lý an ninh thông tin; yêu cầu; • ISO / EEC 27.002, quy phạm thực hành kiểm sốt an ninh thơng tin; • ISO / IEC 27.003, hướng dẫn thực hệ thống quản lý an ninh thơng tin; • ISO / IEC 27.004, quản lý an ninh thơng tin; đo lường; • ISO / IEC 27.005, quản lý rủi ro an ninh thơng tin; • ISO / IEC 27.006, yêu cầu quan đánh giá chứng nhận hệ thống quản lý an ninh thơng tin; • ISO / IEC 27.007, hướng dẫn kiểm tra lại hệ thống quản lý an ninh thơng tin; • ISO / IEC TR 27.008, hướng dẫn cho kiểm toán viên kiểm soát an ninh thơng tin; • ISO / IEC 27.009, ứng dụng theo ngành cụ thể, theo yêu cầu chuẩn ISO / IEC 27001; ISMS: Inform ation Security M anagem ent System: hệ thống quản trị an tồn thơ n g tin AN TOÀN c SỞ D ữ LIỆU 564 • ISO / EEC 27.010, quản lý an tồn thông tin truyền thông liên ngành liên tổ chức; • ISO / EEC 27.011, hướng dẫn quản lý an ninh thông tin cho tổ chức viễn thơng dựa ISO / IEC 27.002; • ISO / IEC 27.013, hướng dẫn việc thực tích hợp chuẩn ISO / EEC 27001 ISO / IEC 20000-1; • ISO / IEC 27.014, quản trị an ninh thơng tin; • ISO / IEC TR 27.015, hướng dẫn quản lý an ninh thông tin cho dịch vụ tài chính; • ISO / EEC TR 27.016, quản trị an tồn thơng tin, kinh tế tổ chức; • ISO / IEC 27.017, quy phạm thực hành kiểm soát an ninh thông tin theo chuẩn ISO / IEC 27.002 cho dịch vụ điện tốn đám mây; • ISO / IEC 27.018, quy phạm thực hành bảo vệ thơng tin cá nhân, đám mây cơng cộng; • ISO / IEC 27.019, hướng dẫn quản lý an ninh thông tin theo chuẩn ISO / 1EC 27.002 cho hệ thống kiểm sốt q trình cụ thể, ngành cơng nghiệp tiện ích lượng Các tiêu đề Cơng nghệ thơng tin - Kỹ thuật an tồn cho biết chuẩn quốc tế xuất phát từ ủ y ban kỹ thuật chung ISO / IEC JTC1 1, công nghệ thông tin, tiểu ban s c 27, kỹ thuật an tồn cho cơng nghệ thơng tin 10.18.2 Mục đích chuẩn quốc tế an toàn sở liệu Chuẩn cung cấp nhìn tổng quan hệ thống quản lý an ninh thông tin xác định điều khoản liên quan Phụ lục A cung cấp, làm rõ cách dạng sử dụng để thể yêu cầu hướng dẫn tuân theo chuẩn ISMS Họ chuẩn ISMS gồm nhiều chuẩn, với mục đích: JTC: Joint Technical Committee: Ban đẩu mối kĩ thuật Phụ lục KIẾN TRÚC HÊ THỐNG THỦNG TIN VÀ KIẾN TRÚC PHẨN M É M 565 Xác định yêu cầu ISMS để chứng nhận hệ thống đó; Đảm bao trợ giúp trực tiếp, hướng dẫn chi tiết giải thích cho tồn trình thiết lập, thực hiện, trì cải thiện ISMS; Hướng dẫn lĩnh vực cụ thể ISMS; Đánh giá phù hợp ISMS Các thuật ngữ định nghĩa nêu chuẩn quốc tế cho phép: • Nói chung có thuật ngữ định nghĩa thơng dụng họ chuẩn ISMS; • Khơng mang đầy đủ tất thuật ngữ định nghĩa dùng họ ISMS; • Không hạn chế việc đưa thuật ngữ định nghĩa mới, phù hợp 10.18.3 Về chuẩn ISO/IEC27001:2003 Chuẩn ISO/ IEC1 27001: 2003 chuẩn an ninh thông tin Nó đăng kí năm 2013 Chuẩn Tổ chức chuẩn quốc tế ISO công nhận Chuẩn mô tả đặc điểm kỹ thuật cho hệ thống quản lý an ninh thông tin (ISMS) Tổ chức đáp ứng chuẩn chứng nhận phù hợp quan chứng nhận độc lập công nhận hồn thành tốt quan thức kiểm tra lại 10.18.3.1 Cấu trúc cùa chuẩn Tên thức chuẩn Công nghệ thông tin - Kỹ thuật an ninh - Hệ thống quản lý an ninh thông tin - Các yêu cầu ISO/ IEC: International Organization for Standardization (ISO) and the International Electrotechnical Commission (IEC): tổ chức quốc tế vể chuẩn ban kĩ thuật điện tử quốc tế 566 ANTOAN Cơ Sở D ữ l iệ u ISO / EEC 27001: 2013 có mười điều khoản ngắn, với phụ lục dài, bao gồm: Phạm vi chuẩn; Cách tham chiếu tài liệu; Tái sử dụng thuật ngữ định nghĩa ISO / IEC 27000; Ngữ cảnh tổ chức bên liên quan; Lãnh đạo an ninh trợ giúp mức cao sách; Lập kế hoạch cho hệ thống quản lý an ninh thông tin; đánh giá rủi ro; xử lý rủi ro; Trợ giúp hệ thống quản lý an ninh thông tin; Khởi động hệ thống quản lý an ninh thơng tin; Kiểm sốt hiệu hệ thống; 10 Hành động khắc phục lỗi; 11 Phụ lục A: Danh sách kiểm soát mục tiêu chúng Cấu tnìc phản ánh cấu trúc chuẩn quản lý khác ISO 22.301, quản trị kinh doanh liên tục Nó giúp tổ chức thực theo chuẩn, đế cải thiện hệ thống công nghệ thông tin theo quan điểm khác Nhìn chung, chuẩn thiết kế để phù hợp với quản lý khác chuẩn ISO 9000 ISO / IEC 20000, có nhiều điểm chung với chuẩn Các kiểm soát chuấn, so với chuẩn trước an tồn sở liệu, thể qua: • A.6.1.5 An ninh thơng tin quản lý dự án; • A 12.6.2 hạn chế cài đặt phần mềm; • -A.14.2.1 Chính sách phát triển an tồn; • A 14.2.5 Các ngun tắc an tồn hệ thống kỹ thuật; • A 14.2.6 Mơi trường phát triển an tồn; • A 14.2.8 Kiểm tra an ninh hệ thống; • A 15.1.1 Chính sách an ninh thơng tin cho mối quan hệ cung ứng; Phụ lục KIẾN TRÚC HÊ THỐ NG THÔ NG TIN VA KIẾN TRÚC PHẨN M Ê M 567 • A 15 1.3 Chuồi cung ứng cơng nghệ thơng tin truyền thơng; • A 16.1.4 Đánh giá định kiện bảo mật thông tin; • A 16.1.5 ứ n g phó cố an ninh thơng tin; • A 17.2.1 sẵn sàng tiện nghi xử lí thơng tin 10.18.3.2 Các kiểm sốt chuẩn Hiện có 114 kiểm sốt 14 nhóm 35 mục tiêu kiểm sốt; chuẩn cũ có 133 kiểm sốt 11 nhóm Liệt kê 14 nhóm đó: A.5 Chính sách bảo mật thơng tin (2 kiểm sốt); A.6 Tổ chức an ninh thơng tin (7 kiểm sốt); A.7 An tồn nguồn nhân lực Có kiểm sốt áp dụng trước, sau làm việc; A.8 Quản lý tài sản (10 kiểm soát); A.9 Kiểm soát truy cập (14 kiểm soát); A 10 Mật mã (2 kiểm sốt); A 11 An tồn mơi trường vật lí (15 kiểm sốt); A.12 Vận hành an ninh (14 kiểm sốt); A 13 An tồn truyền thơng (7 kiểm sốt); 10 A.14: Bổ sung, phát triển bảo trì hệ thống (13 kiểm sốt); 11 A 15 Mối quan hệ cung ứng (5 kiểm soát); 12 A.16 Quản lý cố an ninh thông tin (7 kiểm sốt); 13 A 17 Khía cạnh bảo mật thông tin quản lý kinh doanh liên tục (4 kiểm soát); 14 A.18 Cam kết; với yêu cầu nội bộ, với sách u cầu bên ngồi (8 kiểm soát) Các kiểm soát cập nhật phản ánh thay đổi cơng nghệ có ảnh hưởng đến nhiều tổ chức Cũng sử dụng chấp thuận ISO 27001: 2013, không sử dụng kiểm sốt 568 AN TỒN Cơ SỞ D ữ LIỆU 10.18.4 Chuẩn ISO 27001 10.18.4.1 Giới thiệu chuẩn ISO 27001 Trước chuẩn có tên gọi BS 7799 ISO 17799 ISO 27001 chuẩn Anh hệ thống quản lý an ninh thông tin (viết tắt làlSM S) Thông tin phần quan trọng mồi tổ chức chuẩn đưa phương pháp đánh giá việc theo dõi, bảo vệ quản lý hệ thống thông tin liệu Việc liệu thông tin trường hợp gây bất tiện cho tổ chức, trầm trọng khiến tổ chức sụp đổ v ề cách mà chuẩn ISO 27001 giúp tổ chức, người ta thấy ISO 27001 phù hợp với tổ chức lớn nhỏ áp dụng với lĩnh vực kinh tế tồn giới • Thơng qua việc triển khai hệ thống vững để quản lý thông tin tổ chức, người ta bảo vệ tài sản thông tin, đảm bảo liên tục kinh doanh có xảy phá hoại mát nào; • Mất mát phá hoại nhiều nguyên nhân; thiên tai hoả hạn lũ lụt, mát ngẫu nhiên quản lý kém, bị mua chuộc bị đánh cắp, mát gây hậu khơn lường cho tổ chức; • Thơng tin liệu mà tổ chức sở hữu liệu lưu lại dạng điện tử, thông tin chuyển qua bưu điện hay thư điện tử, liệu thông tin in mà người tổ chức lưu giữ; • Thơng qua việc triển khai ISO 27001 tổ chức xác định loại thông tin tổ chức xác định mối nguy mối đe dọa Sau người ta thiết lập hệ thống, thiết lập kiêm soát quy trình để giảm thiều mối nguy ISO 27001 tạo hệ thống theo dõi trì: • Tính bảo mật thơng tin; • Tính sẵn có thơng tin; Phụ lục KIẾN TRÚC HE THỐNG THÔNG TIN VA KIẾN TRÚC PHẮN M Ê M 569 • Tinh xác thơng tin Tồ chức xử lý thơng tin thay cho tổ chức khác có lợi ich lớn từ việc cơng nhận họ chứng minh họ có q trình chỗ việc theo dõi liên tục bảo vệ liệu bên thứ ba 10.18.4.2 Lợi ích chuẩn ISO 27001 Các lợi ích mà ISO 27001 đem lại cho tổ chức bao gồm: Sự liên tục kinh doanh; Đánh giá mối nguy triển khai phương pháp để giảm bớt ảnh hưởng; An ninh cải thiện; Kiếm soát việc truy cập; Tiết kiệm chi phí; Tạo q trình quản lý nội bộ; Tuyên truyền cam kết, để bảo vệ liệu khách hàng; Chứng minh tuân thủ quy định pháp luật; Xác định lãnh đạo cấp cao thực nghiêm túc việc bảo mật liệu; 10 Đánh giá thường xuyên để trì hiệu bảo mật; 11 Cung cấp chứng nhận độc lập Đánh giá liên tục giành lợi cạnh tranh, người ta thấy: • Nếu tổ chức đạt chứng nhận ISO 27001, khách hàng tin tưởng biết mối rủi ro an ninh đánh giá giảm thiểu tổ chức đối tác họ có sẵn hệ thống để bảo vệ khơi phục thơng tin nhanh chóng trường hợp liệu; • Một q trình cải tiến liên tục đem lại cho tổ chức công cụ quản lý cần thiết để giám sát cải tiến vấn đề an ninh thông tin giá trị tổ chức A NTOAN Cơ Sở D ữ l iệ u 570 10.18.4.3 Mười lý để chứng nhận ISO 27001 Có mười lí mà người ta thấy nên đăng kí với chuẩn ISO 27001 Thơng tin Người ta trí thơng tin yếu tố sống tồ chức hay doanh nghiệp Tuy nhiên, việc nắm bắt kiểm sốt thơng tin thường khó khơng qn Khi chuẩn ISO 27001 giúp tổ chức hay doanh nghiệp quản lý thơng tin cách hiệu hơn; Thúc đẩy quan hệ đối tác Trong kinh doanh, tổ chức hay doanh nghiệp ngày ý thức việc thiếu kiểm sốt mình, đặc biệt cơng tác thông tin tới nhà cung cấp khách hàng tiềm Bởi họ tìm kiếm quy tắc tin tưởng nhờ hệ thống đánh chuẩn ISO 27001 cung cấp; Cho phép cắt giam chi phí chuỗi cung ứng Chuẩn ISO 27001 coi sáng kiến giúp giảm thiểu hoạt động trùng lặp công ty hay doanh nghiệp Chẳng hạn người ta muốn kiểm tra lượng hàng nhập vào xuất Chuẩn ISO 27001 coi sáng kiến nhằm giảm liệu đầu vào cho doanh nghiệp; Đó khơng đơn an tồn sở liệu Ngồi việc đảm bảo an ninh thơng tin, ISO 27001 cung cấp giải pháp quản lý bảo mật, tính tồn vẹn sẵn có thơng tin Điều có nghĩa trợ giúp quản lý rủi ro cho tổ chức doanh nghiệp; Hoại động quy trình hệ thống quản ISO 27001 giúp huy động nguồn lực then chốt nhằm đề hành động cần thiết để giảm thiểu cố thông tin quản lý rủi ro thông tin cho tổ chức doanh nghiệp; Áp dụng không riêng cho công nghệ thông tin truyền thông ISO 27001 biết đẻn chuẩn đánh giá lĩnh vực công nghệ thông tin Tuy nhiên, chuẩn mở rộng bao quát toàn tổ chức hay doanh nghiệp, từ nhân viên đến giám đốc điều hành; Được tô chức quốc tế công nhận Điều không đảm bảo cho công ty hay doanh nghiệp trì tiến hoạt động P h ụ lục KIẾN TRÚC HÊ THỐNG THÔNG TIN VÀ KIẾN TRÚC PHÂN M É M 571 mà giúp xác định lực tỉm kiếm hội hợp tác, quy mô quốc tế; Tăng kha trúng thầu hội ký kết hợp đồng Khách hàng thường bị hạn chế nguồn lực để tim hiểu đối tác hay nhà cung cấp Thơng thường họ sử dụng ISO 27001 chuẩn quản lý khác làm thước đo xác định xem tổ chức hay doanh nghiệp có đối tác tin cậy hay khơng để từ tiếp tục xem xét hồ sơ bỏ thầu; Cải thiện lợi nhuận Các cố vụ việc nghiêm trọng cố khiến tổ chức hay doanh nghiệp lãng phí thời gian tiền bạc Do vậy, điều quan trọng làm thể xác định cố rủi ro tiềm ẩn triển khai hành động phịng ngừa cố Thường tổ chức hay doanh nghiệp phải bỏ thời gian tiền bạc để khắc phục cố an ninh thông tin, nguyên nhân không chủ động xác định cố rủi ro tiềm ẩn Trên sở đó, ISO 27001 hướng tới giúp doanh nghiệp đảm bảo thông tin cung cấp chỗ, lúc người; 10 Liên tục cải tiến Môi trường kinh doanh không ngừng thay đổi Do vậy, tổ chức hay doanh nghiệp cần phải cải tiến thay đổi để phù hợp với xu Để tăng tính hiệu cho doanh nghiệp, ISO 27001 hỗ trợ họ giám sát số quan trọng đưa định hành động phù hợp với thực tế 10.18.4.4 Quá trình chứng nhận ISO 27001 Quy trình chứng nhận ISO/IEC 27001 giống quy tnnh chứng nhận tiêu chuẩn ISO 9001 hệ thống quản lý khác Quy trình đánh giá độc lập Hệ thống quản lý an ninh thông tin ISMS, tổ chức chứng nhận, chia làm ba giai đoạn chính: Tiền đánh giá1 Sau ký hợp đồng chứng nhận với Tổ chức chứng nhận công nhận, tổ chức chứng nhận Pre-audit: tiền đánh giá AN TOÀN c SỞ D ữ LIỆU 572 yêu cầu đơn vị gửi tài liệu ISMS, sơ tay sách yêu cầu buổi làm việc ngắn sở đơn vị để giới thiệu tổ chức xác định đầu mối liên lạc cho giai đoạn Khi đơn vị sẵn sàng, họ tổ chức đánh giá chứng nhận theo thoả thuận; Đánh giá cấp chúĩìg nhận1 Giai đoạn đánh giá thức Một nhiều chuyên gia đánh giá từ Tổ chức chứng nhận đến sở đơn vị, làm việc theo cách họ cách hệ thống thông qua danh sách đánh giá, kiểm tra khía cạnh Họ kiểm tra sách ISMS đơn vị, tiêu chuẩn quy trinh yêu cầu đặt tiêu chuẩn ISO/IEC 27001, tìm kiếm chứng chứng minh tổ chức đơn vị thực theo hệ thống tài liệu thực tế, hay nói cách khác, câu nói ưa thích chun gia đánh giá hãv chi cho tơi Họ thu thập đánh giá chứng bao gồm sản phẩm sản xuất theo quy trình ISMS, hồ sơ cho phép người sử dụng định có quyền truy cập định đến hệ thống tương xứng, biên họp lãnh đạo xác nhận phê duyệt sách, cách quan sát trực tiếp trình ISMS hoạt động thực tế; Báo cáo đánh giá2 Kết đánh giá báo cáo thức cho ban lãnh đạo Tùy thuộc vào cách thức thực đánh giá thự c tế v theo trình đánh giá chuẩn chuvên gia đánh giá, chuyên gia nêu lên vấn đề sau, theo thứ tự tăng dần mức độ nghiêm trọng Các mức độ là: • Điểm quan sát* Các khuyến nghị vấn đề tiềm tương lai khuyên để tâm xem xét; • Điểm phù hợp í/ Đây lả điểm chưa phủ hợp mà tổ chức phải giải quyết, điều kiện để cấp chứng nhận Tồ Certification audit: đánh g iá cấp c h ứ n g nhện Post-audit: báo cáo đánh g iá , sau kiểm tốn Observation: quan sát Minor noncompliance: phù hợp P hụ lục KIẾN TRÚC HÊ THỐNG THÔNG TIN VÀ KIẾN TRÚC PHẨN MẼM 573 chức chứng nhận có thê đưa không đưa kiến nghị khẳc phục điểm không phù hợp nhẹ Họ thức kiềm tra xem điểm khơng phù hợp nhẹ giải hay chưa, chi dựa báo cáo khắc phục tồ chức đánh giá Họ dành cho tổ chức đánh giá khoang thời gian để giải vấn đề tiếp tục xin cấp chứng nhận, dù áp dụng cách hai cách trên, gần chắn tổ chức chứng nhận muốn xác nhận thứ giài trước lần đánh giá chứng nhận tiếp theo; • Điểm không phù hợp nhiều Trường hợp này, với điểm kết thúc q trình chứng nhận, vấn đề quan trọng có nghĩa tổ chức nhận chứng nhận ISO/IEC 27001 giải xong điểm không phù hợp Tổ chức chứng nhận kiến nghị cách thức giải điểm khơng phù hợp yêu cầu tổ chúc chứng nhận đưa chứng tích cực chứng minh điểm khơng phù hợp giải triệt để trước cấp chứng nhận Cuộc đánh giá bị đình xác định điêm khơng phù hợp nặng tới mức tổ chức khơng có hội sửa chữa vấn đề trước tiếp tục đánh giá Sau lần đánh giá chứng nhận ban đầu có đánh giá định kỳ tiếp theo, thường gọi đánh giá giám sát, gọi đánh giá liên tục thời gian tổ chức lựa chọn trì chứng nhận Chứng nhận có giá trị ba năm, vậy, có đánh giá cấp lại chứng nhận sau ba năm Người ta lưu ý việc thực hiện: Giống kỳ thi, người ta cảm thấy dễ dàng khơng quen dần với đánh giá chứng nhận thông qua thực hành Hãy xem lần xem xét tính sẵn sàng, đánh giá nội xem xét tiền đánh giá hội để tìm hiểu trình đánh nguồn cung cấp M a jo r n o n c o m p lia n c e : k h ô n g p h ù h ợ p lớn 574 AN TOÀN Cơ SỞ D ữ LIỆU thông tin khu vực cần cải tiến, trước thực đánh giá chứng nhận Trong sau q trình này, trao đổi với nhà quản lý người khác tham gia vào trình cách thứ diễn ra, chia sẻ tin tức tốt có Nếu xem xét cách hợp lý, tất lần đánh giá từ bên hội quý giá để tổ chức xác nhận hệ thống ISMS minh hiệu quả, để nhận lời khuyên tư vấn chuyên gia đánh giá có kinh nghiệm tổ chức phù hợp khác 10.19 Kết luận Chương 10 đề cập (i) kiến trúc hệ thống thơng tin; (ii) kiến trúc phần mềm khía cạnh an toàn hệ thống Liên quan đến kiến trúc hệ thống thông tin khung (i) khung Zachman; (ii) khung TOGAF; (iii) khung FEA; khung GATNER Liên quan đến kiến trúc phần mềm: Xét khía cạnh an tồn hệ thống nói chung, an tồn sở liệu nói riêng, vai hệ thống phần mềm có ảnh hưởng đến hệ thống sở liệu Việc xác định vai trình xây dựng phần mềm, trình sử dụng phần mềm có ý nghĩa việc thiết kế chế an toàn, từ thiết kế hệ thống phần mềm Người ta thấy cần gài sách an tồn vào kiến trúc phần mềm Chuẩn an toàn sở liệu có tác dụng hướng q trình thiết kế sở liệu, khai thác sở liệu tuân theo chuẩn quốc tế quy định riêng tổ chức Các khái niệm kiến trúc phần mềm bối cảnh an toàn sở liệu khơng tương thích; nhiên cần có kiến thức kiến trúc phần mềm để có đặc tả an tồn liệu an toàn sở liệu cách cần thiết TÀI LIỆU THAM KHẢO E Hunt, S Bosworth, D B Hoyt, Computer Security Handbook, Ed John Wiley & son, 1995 Cloud security alliance, Top ten big data security and privacy challenges, 2012 Đỗ Trung Tuấn, Cơ sở liệu, NXB Giáo dục, 1999 Đỗ Trung Tuấn, Hệ thống phân tán, NXB Đại học Quốc gia Hà Nội, 2016 European Union Agency for Fundamental Rights, Handbook on European data protection law, Ed Publications Office of the European Union, 2014 IBM, Định nghĩa kiến trúc ứng dụng với Rational Software Architect, http://www.ibm.com/, 2015 J A Zachman, A Framework fo r information systems architecture, IBM Systems Journal, Vol 26, N 3, 1987 M Gertz, s Jajodia, Handbook o f Database Security, Ed Springer, 2008 Moises Daniel Diaz Tolerado, The Architecture o f Enterprise Information Systems, http://www.moisesdaniel.com, 2015 10 Nick Rozanski , Eoin Woods, Software Systems Architecture: Working With Stakeholders Using Viewpoints and Perspectives, 2nd Edition, Ed Addison Wesley, 2012 11 P C Lockemann, Information System Architectures: From Art to Science, Procedings of BTW 2003, p 1-27, Springer, 2003 12 P Kruchen, Architecture Bluprints, The "4+1" view model o f software architecture, EEEE Software Vol 12, N 6, p 42- 50, 1995 13 Roger Sessions, A Comparison o f the Top Four EnterpriseArchitectareMethodologies, ObjectWatch, Inc., 2007 576 AN TOANCƠ Sở D ữ l iệ u 14 Serge Vaudenay, A Classical Introduction to Cryptography, Applications fo r SlashdotMedia, 10 Ways to Build a Better Big Data, Security Strategy, IT Manager’s Journal, 2014 15 Sophos, Threatsaurus: The A-Z o f computer and data security threats, Ed Sophos, 2013 16 Vasconcelos, p Sousa, J Tribolet, Information System Architectures: representation, Planning and Evaluation, Systemics, cybernetics and informatics, Vol 1, N 6, 2003 NHÀ XUẤT BẢN ĐẠI HỌC QUỐC GIA HÀ NỘI 16 Hàng Chuỗi - Hai Bà Trưng Hà Nội Giám đốc - Tổng Biên tập: (024) 39715011 Quản lý x u ỉt bản: (024) 39728806; Fax: (024) 39724736 Biên tập: (024) 39714896 Kỹ thuật xuăt bản: (024) 39715013 Chịu trách nhiệm xuất bản: Giám đốc - Tổng Biên tập: TS PHẠM THỊ TRÂM Hội nghiệm thu giáo trinh Người nhận xét: Trường Đại học Khoa học Tự nhiên - ĐHQGHN PGS TS NGUYỄN ĐÌNH HĨA TS NGUYỄN HẢI VINH Biên tập: TRỊNH THỊ THU HÀ Chế bản: NGUYỄN SỸ DƯƠNG Trình bày bia: NGUYỄN NGỌC ANH AN TOÀN C SỞ Dữ LIỆU Mã số: 1K-21 ĐH2018 In 300 cuốn, khổ 16x24 cm Công ty cổ phần In thương mại Truyền thông Việt Nam Sổ 7, ngách 28, ngõ 29, phố Vĩnh Tuy, Hai Bà Trưng, Hà Nội Số xuất bản: 2210-2018/CXBIPH/01-216/DHQGHN, 27/6/2018 Quyết định xuất số: 20 KH-TN/QĐ-NXBĐHQGHN, ngày 02/8/2018 In xong nộp lưu chiểu năm 2018 ... niệm đảm bảo an toàn hệ thống sở liệu; xxii AN TOÀN Cơ SỞ Dữ LIÊU Chương 5: Dung thứ lỗi ừong sơ dừ liệu phân tán, đề cập vấn đế an toàn sở liệu mơi trường phân tán, tức an tồn liệu sở liệu phân... nhiều ứng dụng sở liệu Để sử dụng lại liệu sở liệu phân cấp sở liệu loại hình khác, người ta có phương pháp chuyển chúng sang dạng sở liệu quan hệ hay sở liệu mạng 1.2.3 Cơ sở liệu mạng Vào năm... công nghệ thông tin hay không Cơ sờ liệu phân cấp 0 Cơ sờ liệu mạng Hệ quản trị tệp Cơ sở liệu phân tán Cơ sờ liệu hướng đối tượng Cơ sờ liệu suy diễn Cơ sở dử liệu quan1 hệ hệ Phương pháp luận

Ngày đăng: 19/03/2021, 11:49

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w