ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC KHOA HỌC XÃ HỘI VÀ NHÂN VĂN NGUYỄN VĂN HIỆP XÂY DỰNG CÁC CHÍNH SÁCH AN TỒN BẢO MẬT THÔNG TIN CHO THƯ VIỆN ĐIỆN TỬ THEO ISO 17799 - 27001 LUẬN VĂN THẠC SĨ KHOA HỌC THƠNG TIN THƯ VIỆN THÀNH PHỐ HỒ CHÍ MINH - NĂM 2014 ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC KHOA HỌC XÃ HỘI VÀ NHÂN VĂN NGUYỄN VĂN HIỆP XÂY DỰNG CÁC CHÍNH SÁCH AN TỒN BẢO MẬT THƠNG TIN CHO THƯ VIỆN ĐIỆN TỬ THEO ISO 17799 - 27001 Chuyên ngành: KHOA HỌC THƯ VIỆN Mã số: 60 32 02 03 LUẬN VĂN THẠC SĨ KHOA HỌC THƯ VIỆN NGƯỜI HƯỚNG DẪN KHOA HỌC TS ĐÀO THẾ LONG THÀNH PHỐ HỒ CHÍ MINH - NĂM 2014 i LỜI CAM ĐOAN Tôi xin cam đoan cơng trình nghiên cứu riêng tơi Kết nghiên cứu trung thực chưa công bố Người cam đoan Nguyễn Văn Hiệp ii LỜI CẢM ƠN Trong trình thực luận văn, nhận quan tâm, giúp đỡ, động viên chia sẻ từ gia đình, thầy đồng nghiệp Tôi xin gửi lời cảm ơn chân thành đến TS.Đào Thế Long – người Thầy tận tình hướng dẫn, giúp đỡ động viên tơi suốt q trình thực đề tài, tơi xin gửi lời cảm ơn chân thành tới Thầy Tôi xin cảm ơn Ban Giám đốc cán thư viện trường Đại học học Khoa học Xã hội & Nhân văn hỗ trợ tơi q trình tơi khảo sát thu thập liệu Cảm ơn thầy cô khoa Thư viện – Thông tin học, gia đình, đồng nghiệp hỗ trợ tạo điều kiện cho tơi hồn thành ln văn tiến độ Xin chân thành cảm ơn Nguyễn Văn Hiệp ix DANH MỤC TỪ VIẾT TẮT Từ viết tắt IDS Nguyên tiếng Anh Intrusion Detection System CSDL DBMS Database Management System ATTT ATBMTT HTTT TVĐT MD DES 3DES OWHF FW PKI Message Digest Data Encrypt Standar Triple Data Encryption Standard Oneway Hash Function FireWall Public Key Infrastructure Ý nghĩa Hệ thống phát xâm nhập trái phép Cơ sở liệu Hệ quản trị sở liệu An tồn thơng tin An tồn bảo mật thơng tin Hệ thống thơng tin Thư viện điện tử Tóm tắt thơng điệp Tiêu chuẩn Mã hóa Dữ liệu Thuật tốn mã hóa khối lần Hàm băm chiều Tường lửa Hạ tầng khóa công khai x RSA MD5 SHA IPS ISO COBIT R- Rivest S- Shamir A- Adleman Message-Digest algorithm Secure Hash Algorithm Intrusion Prevention System International Standard Oganization Control Objectives for Information and Related Technology CNTT TVS CSHTM TCP/IP FTP SMTP Transmission Control Protocol/Internet Protocol File Transfer Protocol Simple Mail Transfer Protocol Thuật tốn mã hóa cơng khai Giải thuật Tiêu hóa tin Thuật giải băm an tồn Hệ thống chống xâm nhập Tổ chức tiêu chuẩn quốc tế Quản trị, đánh giá hệ thống thông tin giải pháp công nghệ Công nghệ thông tin Thư viện số Cơ sở hạ tầng mạng Giao thức điều khiển truyền thông/giao thức internet Giao thức truyền tập tin Giao thức truyền thư điện tử đơn giản xi DANH MỤC CÁC HÌNH Hình 1.1 Tam giác an tồn bảo mật thơng tin CIA Hình 1.2 Đối tượng tác động lên hệ thống thơng tin Hình 1.3 Cấu trúc sách ATTT Hình 2.1 Sơ đồ hệ thống TVĐT Hình 2.2 Cấu trúc mạng TVĐT Hình 2.3 Cơ cấu tổ chức máy TVĐT Hình 2.4: Các phân hệ phần mềm quản lý thư viện Hình 2.5 Mơ hình OSI lớp Hình 2.6 Mơ hình TCP/IP Hình 2.7 Quy trình xây dựng CS ATBMTT theo mơ hình PDCA Hình 2.8a Tạo giá trị băm dùng OWHF Hình 2.8b Kiểm tra tính tồn vẹn Hình 2.9.1 Hệ mật khóa đối xứng Hình 2.9.2 Hệ mật khóa cơng khai Hình 3.1 Cơ cấu tổ chức trung tâm TTTV-ĐHKHXH&NV Hình 3.2 Sơ đồ mạng TTTT –TV ĐH KHXH&NV Hình 3.3 Mơ hình ứng dụng – Tier Hình 3.4 Mơ hình ứng dụng – Tier Hình 4.1 Cấu trúc mạng máy tính HTTT TV ĐHKHXH&NV DANH MỤC CÁC BẢNG Bảng 2.1 Các giải pháp An toàn hạ tầng mạng iii MỤC LỤC PHẦN MỞ ĐẦU CHƯƠNG I : TỔNG QUAN VỀ AN TỒN THƠNG TIN, CÁC CHUẨN AN TỒN THƠNG TIN 1.1 An tồn thơng tin, mục đích, vai trị tầm ảnh hưởng ATBMTT đến hệ thống thông tin 1.1.1 Định nghĩa ATBMTT, vai trò ATBMTT hệ thống thông tin 1.1.2 Mục đích ATBMTT, nguyên tắc chung ATBMTT 1.1.2.1 Mục đích ATBMTT 1.1.2.2 Nguyên tắc chung ATBMTT 11 1.1.3 Các mục tiêu ATBMTT HTTT 12 1.1.3.1 Tính Tồn vẹn 13 1.1.3.2 Tính bảo mật 14 1.1.3.3 Tính sẵn sàng 15 1.1.4 Các yếu tố bảo vệ thông tin: 15 1.1.4.1 Authentication (Xác thực) 15 1.1.4.2 Authorization (Ủy quyền) 16 1.1.4.3 Access control 16 1.1.4.4 Auditing hay Accounting (kiểm toán) 16 1.1.5 Đối tương tác động lên HTTT 17 1.1.6 Các thành phần ATBMTT 17 1.1.6.1 An toàn mức vật lý 17 1.1.6.2 An toàn mức tác nghiệp 18 1.1.6.2 Quản lý sách 19 1.2 Quản lý sách ATBMTT – thành phần nội dung ATBMTT 21 1.2.1 Khái niệm sách ATBMTT, vai trị sách ATBMTT 21 1.2.2 Các thành phần sách ATBMTT 24 Lời nói đầu/lời giới thiệu 24 Mục tiêu, mục đích ATBMTT sách ATBMTT 25 Định nghĩa an tồn thơng tin (Thuật ngữ định nghĩa) 25 Cam kết quản lý an tồn thơng tin (cam kết lãnh đạo) 25 Sự chấp thuận sách ATBMTT (Chữ ký xác nhận) 26 Ngun tắc an tồn bảo mật thơng tin 26 Vai trò trách nhiệm 26 Các hình thức xử phạt vi phạm sách ATBMTT 27 Đánh giá giám sát 27 1.3 Quản lý ATBMTT Theo ISO 17799/27001[10,1,40] 28 iv 1.3.1 Quá trình hình thành phát triển ISO 17799 ISO 27001 [23, 24,40] 29 1.3.2 ISO/IEC 17799 [10] 30 1.3.2.1 Lợi ích ISO 17799/27001 31 1.3.2.2 Nội dung tiêu chuẩn ISO 17799 [ 40 ] 33 1.3.2.2.1 Chính sách an ninh chung (Security Policy) 33 1.3.2.2.2 Tổ chức an tồn thơng tin (Organizing Information Security) 33 1.3.2.2.3 Quản lý cố an tồn thơng tin (Information Security Incident Management) 34 1.3.2.2.4 Xác định, phân cấp quản lý tài nguyên (Asset Management) 34 1.3.2.2.5 An ninh nhân (Human Resources Security) 35 1.3.2.2.6 An ninh vật lý môi trường (Physical and Environmental Security) 35 1.3.2.2.7 Quản trị CNTT mạng (Communication and Operations Management)35 1.3.2.2.8 Quản lý truy cập (Access Control) 35 1.3.2.2.9 Phát triển trì hệ thống (Informations System Acquisition, Development and Maintenance) 36 1.3.2.2.10 Quản lý tính liên tục kinh doanh (Business Continuity Management) 36 1.3.2.2.11 Yếu tố tuân thủ luật pháp (Compliance) 36 1.3.3 ISO 27001 36 1.3.3.1 Đối tượng áp dụng 37 1.3.3.2 Lợi ích 38 CHƯƠNG II: THƯ VIỆN ĐIỆN TỬ – ĐỐI TƯỢNG BẢO MẬT VÀ AN TỒN THƠNG TIN 39 2.1 Tổng quan TVĐT 39 2.1.1 Khái niệm thư viện TVĐT 39 2.1.2 Đặc điểm thư viện điện tử 41 2.1.2.1.Hạ tầng công nghệ thông tin 41 2.1.2.2.Về tài nguyên thông tin 41 2.1.3 Cấu trúc thư viện điện tử 42 2.1.3.1 Tài liệu số 42 2.1.3.2 Cán Thư viện điện tử 44 2.1.3.3 Cơ sở vật chất, hạ tầng kỹ thuật công nghệ 46 2.1.3.3.1 Máy chủ: 46 2.1.3.3.2 Máy trạm 47 2.1.3.3.3 Phần mềm 48 a Hệ điều hành hệ quản trị CSDL 48 b Các phần mềm hệ thống, bảo mật phần mềm dịch vụ 48 c Hệ thống phần mềm quản trị thư viện tích hợp 48 v 2.1.3.4 Người sử dụng thư viện 50 2.1.4 Cấu trúc mạng IT môi trường vật lý mạng 51 2.1.5 Phân cấp quản lý, phân quyền truy cập hệ thống 53 2.1.6 Các yêu cầu an tồn thơng tin TVĐT 56 2.2 Những điểm yếu ATTT tác động lên TVĐT 58 2.2.1 Các điểm yếu (nguy cơ) từ sở hạ tầng kỹ thuật 58 2.2.2 Các điểm yếu giao thức TCP/IP 59 2.2.3 Các điểm yếu từ sản phẩm phần mềm 60 2.2.4 Các điểm yếu người dùng 62 2.3 Các giải pháp ATBMTT TVĐT 63 2.3.1 An toàn vật lý 63 2.3.2 An toàn hạ tầng mạng 64 2.3.2.1 Ngăn chặn, chống truy cập trái phép 66 2.3.2.2 An toàn hệ điều hành (Operating system security) 67 2.3.2.3 Sao lưu phục hồi sau cố 72 2.3.1.4 Xây dựng sách an ninh mạng 74 2.3.3 An toàn liệu (an toàn tài nguyên liệu số) 75 2.3.3.1 Sự vi phạm an toàn sở liệu 76 2.3.3.2 Các mức độ an toàn sở liệu 76 2.3.3.3 Những quyền hạn sử dụng hệ sở liệu 78 2.3.3.4 Khung nhìn (VIEW) –một chế bảo vệ 78 2.3.3.5 Cấp phép quyền truy nhập 79 2.3.3.6 Kiểm tra dấu vết 79 2.3.3.7 Sử dụng mật mã an tồn thơng tin 79 2.3.3.7.1 Hàm băm – Hash functions 80 2.3.3.7.2Mã hóa đối xứng – Symmetric 81 2.3.3.7.3Mã hóa bất đối xứng – AssymmetricKey Cryptography 82 2.3.4 An toàn người sử dụng 82 CHƯƠNG III: VẤN ĐỀ AN TOÀN BẢO MẬT THÔNG TIN TẠI TRUNG TÂM THÔNG TIN - THƯ VIỆN TRƯỜNG ĐẠI HỌC KHOA HỌC XÃ HỘI VÀ NHÂN VĂN – ĐHQG TPHCM 85 3.1 Thực trạng an tồn bảo mật thơng tin Trung tâm Thông tin - Thư viện trường Đại học KHXH&NV TPHCM 85 3.1.1 Giới thiệu chung Trung tâm Thông tin Thư viện trường Đại học KHXH&NVTPHCM (TTTT-TVĐHKHXH&NV) 85 3.1.2 Thực trạng an tồn thơng tin TTTT-TVĐHKHXH&NV 86 3.1.2.1 Từ phía nhà quản lý 86 3.1.2.2 Từ phía nhân viên thư viện 87 165  Tường lửa (Firewall)  Phần mềm chống virus (Anti-Virus)  Tường lửa cho ứng dụng web  Hệ thống quản lý chống thất thoát liệu ( Data loss Protection)  Lọc nội dung web  Bộ lọc chống thư rác (Anti-Spam)  Chống lừa đảo trực tuyến (Anti-Fishing)  Bảo mật mạng không dây  Bảo mật thiết bị di động Nhóm cơng cụ dị qt điểm yếu, quản lý vá ATTT  Dò quét đánh giá an ninh mạng  Dò quét an ninh ứng dụng  Quản lý vá (Patch Management) Nhóm giải pháp quản lý log-file, kiện cố ATTT  Hệ thống quản lý log-file (Log Management)  Hệ thống quản lý kiện an ninh (SIEM-Security Incident & Event Management) Những phương pháp khác ( chưa nêu trên) Các máy tính mạng lan thư viện có đặt lịch quét virus? khởi động máy hàng ngày hàng tuần hàng tháng không khác…… 10 Để theo dõi kiện an ninh mạng xảy kỹ thuật sử dụng log file Thư viện có sử dụng hình thức log files5 khơng? Khơng Có  Log file hệ điều hành  Log file thiết bị mạng  Log file ứng dụng  Log file phần mềm, thiết bị an toàn mạng (Firewall, IDS/IPS, AV…)  Logfile CSDL  Logfile thư điện tử log files: tạo thiết bị, phần mềm để ghi lại thông tin trình hoạt động 166  Logfile phần mềm quản trị thư viện tích hợp  Khác 11 Log file truy cập giữ lại lâu? Được lưu trữ/ Không bị ghi đè Ghi đè lên cũ kích thước log file tới hạn Hơn 60 ngày 21-60 ngày 14-20 ngày 7-13 ngày 3-6 ngày Không rõ Khác (vui lòng nêu ra) 12 Thư viện có lắp đặt sử dụng mạng khơng dây hay khơng? Có Khơng 13 Thư viện có xây dựng sách bảo mật việc sử dụng mạng không dây hay khơng? Có xây dựng sách riêng Có, bao gồm sách ATTT chung thư viện khơng 14 Chính sách ATTT cho mạng khơng dây thư viện bao gồm nội dung gì? (có thể chọn nhiều đáp án)  Tách biệt mạng có dây/khơng dây  Áp dụng biện pháp xác thực, mã hóa liệu  Theo dõi, quản lý kết nối truy cập mạng  Đặt mật truy cập mạng không dây  Kiểm tra đánh giá thường kỳ mạng khơng dây  khác 167 15 Thư viện có chế hỗ trợ người dùng việc hủy bỏ thông tin cá nhân khỏi hệ thống NSD không tiếp tục sử dụng thư viện hay không? Có Khơng 16 Theo anh đâu khó khăn việc bảo vệ thông tin cá nhân?  Thiếu hụt nhân lực để bảo vệ an tồn thơng tin  Nhận thức hạn chế người sử dụng  Đầu tư chưa đáp ứng yêu cầu  Chưa có giải pháp cơng nghệ phù hợp  Khác  Liệt kê 17 Thư viện có tuân theo có ý định tuân theo dẫn chuẩn ATTT dưói khơng? Khơng Có ISO/IEC 17799 ISO/IEC 270016 Cobit7 HiPAA8 PCI9 Common Criteria10 Khác 18 Trong thời gian tới, Thư viện có dự kiến triển khai Hệ thống quản lý an tồn thơng tin (ISMS) theo chuẩn ATTT hay khơng Có Khơng ISO/IEC 27001: tiêu chuẩn đánh giá quản lý chất lượng hệ thống an tồn an ninh thơng tin doanh nghiệp tổ chức DAS/UKAS vương quốc Anh cấp CobiT có mục tiêu kiểm sốt thơng tin cơng nghệ liên quan HIPAA: quy tắc bảo mật HIPAA tạo tiêu chuẩn quốc gia để bảo vệ hồ sơ sức khỏe cá nhân cung cấp cho kiểm sốt thơng tin PCI: viết tắt cho Peripheral Component Interconnect, mà thuật ngữ sử dụng để mô tả giao diện kết nối phổ biến để gắn thiết bị ngoại vi máy tính với bo mạch chủ máy tính, bảng mạch 10 Common Criteria tiêu chuẩn quốc tế (IEC 15408) xác nhận bảo mật máy tính phát triển có tầm quan trọng rộng rãi 168 19 Thư viện có sách ATTT (Security Policy) chưa? (đã lãnh đạo phê duyệt đưa vào áp dụng) Có Chưa có: + Sẽ xây dựng Quy chế thời gian tới + Chưa có ý định xây dựng Quy chế 20 Phần mềm quản trị thư viện tích hợp có bảo hiểm ATTT hay không? 21 Nguồn tài nguyên điện tử thư viện bảo quản ? Lưu trữ thiết bị online Lưu trữ thiết bị lưu trữ Bảo quản thiết bị lưu trữ Hình thức bảo quản khác: chuyên dụng kho lưu trữ chuyên dụng 22 Việc lưu để bảo quản thư viện thực ? Hàng ngày Hàng tuần Hàng tháng Khác (Ghi rõ): 23 Thư viện có Website khơng: Có khơng Nếu có:   Ai người nắm giữ tài khoản đăng nhập Website: Phòng nghiệp vụ Ban giám đốc TV khác Thư viện có cập nhật thơng tin thường xun, xác, rà sốt phát sai sót website:  Quản trị mạng Có khơng Thư viện có cử cán tham gia khóa đào tạo kỹ vận hành quản trị website: Có khơng 24 Thư viện có máy chủ khơng? Có khơng Nếu có:  Có cài dịch vụ Domain:  Các máy client mạng lan có Join vào Domain: Có khơng Có 25 Thư viện có hệ thống, thiết bị phịng cháy chữa cháy khơng? Có Khơng khơng 169 Nếu có:  Vị trí đặt phương tiện, thiết bị phòng cháy chữa cháy: Trong phòng lưu trữ thơng tin (phịng máy chủ, kho lưu trữ ) Tại văn phòng quan Tại phòng bảo vệ Gần hệ thống điện tập trung  Thư viện có hệ thống báo cháy: Có Khơng 26 Thư viện có sử dụng phần mềm khóa máy tính, khóa ổ cứng, khóa thư mục: Có Khơng Nếu có:  Liệt kê phần mềm Thư viện dùng: ……………  Hiện trạng quyền phần mềm: Phần mềm có quyền Phần mềm miễn phí Phần mềm quyền crack 27 công việc quan trọng thư viện (ví dụ quản lý csdl tồn văn, virtual,…) người quản lý 28 Thư viện thực cơng việc kết thúc hợp đồng lao động với nhân viên 29 theo anh hệ thống thư viện có khiếm khuyết việc đảm bảo an tồn thơng tin 30 rời vị trí làm việc, cán thư viện có yêu cầu phải khóa máy lại ko? 31 Vấn đề khó khăn thư viện gặp phải việc thực thi bảo vệ an tồn cho hệ thống thơng tin gì? Lãnh đạo chưa hỗ trợ mức cần thiết cho ATTT Sự thiếu hiểu biết an tồn thơng tin tổ chức Việc nâng cao nhận thức cho người sử dụng bảo mật máy tính Việc xác định xác mức độ ưu tiên ATTT tương quan chung với vấn đề khác tổ chức 170 Việc cần thiết áp dụng nguyên tắc quản lý rủi ro (Risk Management principles) Việc cập nhật kịp thời cách thức công hay những điểm yếu xuất Việc phản ứng nhanh xác xảy vụ cơng máy tính Việc quản lý chặt chẽ cấu hình hệ thống mạng (Configuration Management) Những hệ thống máy tính khơng quản lý tốt Các vấn đề khác với vấn đề nêu Khác (chưa liệt kê) PHỤ LỤC 4: PHIẾU PHỎNG VẤN BAN GIÁM ĐỐC TTTT – TV ĐHKHXH&NV I Mục tiêu vấn - Tìm hiểu thực trạng an tồn thơng tin thư viện trường Đại học Khoa học Xã hội Nhân văn Tp.HCM, đánh giá ưu điểm hạn chế công tác bảo đảm an tồn thơng tin thư viện - Kế hoạch đảm bảo an tồn thơng tin thư viện tương lai II Đối tượng vấn Cán lãnh đạo, quản lý thư viện trường đại học Khoa học Xã hội Nhân văn III Kỹ thuật vấn Phỏng vấn cá nhân IV Nội dung vấn Nguồn nhân lực - Tổng số cán thư viện: - Tổng số cán phải sử dụng máy tính cơng việc: - Trình độ CNTT cán phải sử dụng máy tính cơng việc: Bằng cấp Sau đại Đại học Cao đẳng học Số lượng Trung Tin học Tin học cấp B A Khác 171 - Cán phụ trách công nghệ thông tin đơn vị STT Họ tên Trình độ, chun mơn Q trình đào tạo, bồi dưỡng tin học Câu hỏi 1: Thư viện có phận phụ trách cán phụ trách an tồn thơng tin khơng? Có khơng Nếu có: - Số cán có chứng quốc tế: - Loại chứng quốc tế: - Số cán có chứng nước: - Loại chứng nước: Câu hỏi 3: Thư viện có thường xuyên cử cán chuyên trách CNTT tham gia đào tạo, tập huấn bản, nâng cao an toàn an ninh thơng tin: có khơng Liệt kê tên khố, thời gian, số lượng tham dự (nếu có): Câu hỏi 4: Kinh phí hoạt động thư viện năm? Kinh phí trích cho hoạt động đảm bảo an tồn thông tin thư viện? Câu hỏi 5: Ơng/bà vui lịng cho biết ý kiến vấn đề sau: Có cần cán chuyên trách ATTT Cần thiết chưa cần Cần thiết chưa cần không? Các chức danh ATTT có cần thiết khơng? 172 Câu hỏi 6: Theo ơng/bà vấn đề an tồn thơng tin có cần thiết với thư viện khơng? Có khơng Câu hỏi 7: Để đảm bảo an tồn thơng tin thư viện, thời gian qua thư viện tiến hành công việc, giải pháp nào? Câu hỏi 8: Để đảm bảo an tồn thơng tin cho thư viện, theo ông/bà cần thực giải pháp sau đây? Nâng cao nhận thức an tồn thơng tin cho cán lãnh đạo, đội ngũ cán thư viện người sử dụng Đầu tư sở vật chất cho cơng tác đảm bảo an tồn bảo mật thơng tin Tổ chức lại mơ hình thư viện theo hướng đảm bảo an tồn bảo mật thơng tin Tất giải pháp Câu hỏi 9: theo ông/bà an tồn thơng tin gì? a Các giải pháp cơng nghệ đảm bảo an tồn thơng tin b Cần tham gia người c Cần có quy trình an tồn d Tn theo chuẩn an toàn e Ý kiến khác 173 PHỤ LỤC 5: TỔNG HỢP KẾT QUẢ KHẢO SÁT KIẾN THỨC, KỸ NĂNG AN TỒN BẢO MẬT THƠNG TIN CỦA NGƯỜI SỬ DỤNG TTTT – TVĐHKHXH&NV Bảng 5.1 Kỹ lướt web an toàn Khi gặp trang web Số lượng lạ, không rõ nguồn Tỷ lệ (%) gốc Truy cập không đắn đo 97 38.2 105 41.3 52 20.5 Cân nhắc truy cập biết rõ nguồn gốc tin cậy Bỏ qua, không truy cập vào trang WEB Bảng 5.2 Kỹ sử dụng email Hành động Số lượng gặp mail lạ, có Tỷ lệ (%) file đính kèm Xóa mail khơng rõ nguồn gốc 61 24 83 32.7 110 43.3 Mở file đính kèm link đến site Chỉ mở mail chắn file đính kèm khơng bị 174 viruts , nhiễm mã độc file rác Bảng 5.3 số lần máy tính, tài khoản email, mạng xã hội bị cơng, ăn cắp, xóa liệu Số lần bị công, Số lượng ăn cắp liệu Tỷ lệ (%) Chưa xảy 120 47.2 Dưới lần 109 42.9 Dưới lần 21 8.3 Trên lần 1.6 Bảng 5.4 Định kỳ thay đổi mật tài khoản mạng xã hội, mail… Định kỳ thay đổi Số lượng mật Tỷ lệ (%) Không cần thay đổi 150 59.1 tháng lần 36 14.2 tháng lần 68 26.8 Bảng 5.5 cài đặt mật đăng nhập máy tính Cài đặt mật Số lượng đăng nhập Tỷ lệ (%) Có 118 52.8 Không 132 47.2 175 Bảng 5.6 cách người sử dụng đặt mật khẩu Có độ dài đặt > ký tự thông tin với ký cá nhân tự thường, Mật thân người Cài đặt mật đăng thân ( tên, ngày nhập in hoa, số, Không quan tâm đến chất ký tự đặc biệt lượng mật sinh …) chuỗi ký tự có nghĩa từ điển Số lượng 134 25 46 Tỷ lệ (%) 65.4 12.2 22.4 Bảng 5.7 sử dụng phần mềm diệt virus Phần mềm Phần Chỉ Sử Phần diệt viruts mềm dùng dụng mềm online có diệt phần diệt quyền viruts máy mềm viruts offline tính diệt online Kasparsky, free bị virus Free Số lượng Tỷ (%) lệ BKAV, nhiễm AVG… viruts 32 77 13.1 31.4 82 54 33.5 22 176 Bảng 5.8 Sử dụng phần mềm để dọn rác tối ưu hệ thống máy tính Sử dụn g phầ n Ý Hàn g tháng/lầ thán n g mề Hàn Khôn kiế g g bao n tuần c m Số lượn 27 35 44 134 10.8 14.1 17.7 53.8 3.6 g Tỷ lệ (%) Bảng 5.9 Mức độ quan tâm tới vấn đề ATBMTT Mức độ quan tâm Số lượng Tỷ lệ (%) Khơng 86 34 Có 87 34.4 81 31.6 Có nghe chưa cảm thấy xúc Bảng 5.10 Mức độ cần thiết ATBMTT thư viện Mức Rất Khá độ cần cần cần thiế thiế thiết t t Cần Khôn thiế g cần t thiết Rất khôn g cần thiết 177 Số lượn 146 44 32 23 57.5 17.3 12.6 9.1 3.5 g Tỷ lệ (%) Bảng 5.11 Nguy an toàn cho hệ thống TVĐT Nguy ATBMTT TVĐT Số lượng Tỷ lệ (%) Trang WEB thư viện bị công , hệ thống bị sập , khả truy cập liệu bị thay đổi , 83 33.3 23 9.2 63 25.3 26 10.4 15 tính tồn vẹn Trang WEB thư viện bị công , hệ thống bị sập , khả truy cập liệu bị thay đổi , tính tồn vẹn , Các thơng tin cá nhân bị bị phát tán mạng Thư viện hệ thống thông tin phục vụ cộng đồng , không cần bảo vệ trước hiểm họa ATTT Mất mát thông tin quý hacker rủi ro khác, Trang WEB thư viện bị công , hệ thống bị sập , khả truy cập liệu bị thay đổi , tính tồn vẹn , Các thơng tin cá nhân bị bị phát tán mạng Mất mát thông tin quý hacker rủi ro khác, Trang WEB thư viện bị công , hệ thống bị sập , khả truy cập liệu bị thay đổi , tính tồn vẹn 178 Mất mát thông tin quý hacker rủi ro khác, Các thông tin cá nhân bị bị phát tán 13 5.2 16 6.4 10 mạng Mất mát thông tin quý hacker rủi ro khác Các thông tin cá nhân bị bị phát tán mạng Bảng 5.12 Trách nhiệm ATBMTT TVĐT Trách nhiệm ATBMTT Toàn thể cộng đồng sử dụng thư Số lượng Tỷ lệ (%) 62 24.8 2.4 13 5.2 19 7.6 Ban giám đốc, Nhân viên IT 42 16.8 Ban giám đốc 2.4 Nhân viên IT 102 40.8 viện Nhân viên IT, Tồn thể cộng đồng sử dụng thư viện Khơng quan tâm Ban giám đốc, Nhân viên IT, Toàn thể cộng đồng sử dụng thư viện 179 Bảng 5.13 Mong muốn người sử dụng việc giữ bí mật thơng tin cá nhân Giữ bí mật thơng Số lượng tin cá nhân Tỷ lệ (%) Có 202 79.5 Khơng 52 21.5 ... VĂN HIỆP XÂY DỰNG CÁC CHÍNH SÁCH AN TỒN BẢO MẬT THÔNG TIN CHO THƯ VIỆN ĐIỆN TỬ THEO ISO 17799 - 27001 Chuyên ngành: KHOA HỌC THƯ VIỆN Mã số: 60 32 02 03 LUẬN VĂN THẠC SĨ KHOA HỌC THƯ VIỆN NGƯỜI... Chương IV: Xây dựng sách an tồn bảo mật thơng tin cho HTTT thư viện trường ĐH KHXH&NV TP.HCM theo ISO 17799 /27001 CHƯƠNG I : TỔNG QUAN VỀ AN TOÀN THƠNG TIN, CÁC CHUẨN AN TỒN THƠNG TIN 1.1 An tồn... Tổng quan an tồn thơng tin, chuẩn an tồn thơng tin Chương II :Thư viện điện tử – đối tượng bảo mật v? ?an tồn thơng tin Chương III: Vấn đề an tồn bảo mật thơng tin trung tâm thông tin - thư viện trường