1. Trang chủ
  2. Luận Văn - Báo Cáo

Giải pháp bảo mật dữ liệu tại trung tâm dữ liệu đám mây

108 7 0
Giải pháp bảo mật dữ liệu tại trung tâm dữ liệu đám mây

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

ĐẠI HỌC QUỐC GIA TP HCM TRƢỜNG ĐẠI HỌC BÁCH KHOA HỒ THỊ LINH GIẢI PHÁP BẢO MẬT DỮ LIỆU TẠI TRUNG TÂM DỮ LIỆU ĐÁM MÂY Chuyên ngành: Hệ thống thông tin quản lý Mã số: 603448 LUẬN VĂN THẠC SĨ TP HỒ CHÍ MINH, tháng 01 năm 2012 Luận văn Thạc sĩ ngành Hệ thống Thông tin Quản lý – Khóa 2010 ĐẠI HỌC QUỐC GIA TP HCM TRƢỜNG ĐẠI HỌC BÁCH KHOA HỒ THỊ LINH GIẢI PHÁP BẢO MẬT DỮ LIỆU TẠI TRUNG TÂM DỮ LIỆU ĐÁM MÂY Chuyên ngành: Hệ thống thông tin quản lý Mã số: 603448 LUẬN VĂN THẠC SĨ TP HỒ CHÍ MINH, tháng 01 năm 2012 Trang i Luận văn Thạc sĩ ngành Hệ thống Thông tin Quản lý – Khóa 2010 CƠNG TRÌNH ĐƯỢC HỒN THÀNH TẠI TRƯỜNG ĐẠI HỌC BÁCH KHOA - ĐHQG - HCM Cán hướng dẫn khoa học: TS Thoại Nam (Ghi rõ họ, tên, học hàm, học vị chữ ký) Cán chấm nhận xét 1: TS Trần Văn Hoài (Ghi rõ họ, tên, học hàm, học vị chữ ký) Cán chấm nhận xét 2: PGS.TS Đỗ Phúc (Ghi rõ họ, tên, học hàm, học vị chữ ký) Luận văn thạc sĩ bảo vệ Trường Đại học Bách Khoa, ĐHQG Tp HCM ngày 07 tháng 01 năm 2012 Thành phần Hội đồng đánh giá luận văn thạc sĩ gồm: (Ghi rõ họ, tên, học hàm, học vị Hội đồng chấm bảo vệ luận văn thạc sĩ) PGS.TS Đồng Thị Bích Thủy (Chủ tịch) TS Trần Văn Hoài (Phản biện 1) PGS.TS Đỗ Phúc (Phản biện 2) TS Thoại Nam (Ủy viên) TS Cao Hào Thi (Thư ký) Xác nhận Chủ tịch Hội đồng đánh giá LV Trưởng Khoa quản lý chuyên ngành sau luận văn sửa chữa (nếu có) CHỦ TỊCH HỘI ĐỒNG TRƢỞNG KHOA KH KT máy tính Trang ii Luận văn Thạc sĩ ngành Hệ thống Thơng tin Quản lý – Khóa 2010 TRƯỜNG ĐẠI HỌC BÁCH KHOA PHÕNG ĐÀO TẠO SĐH CỘNG HÕA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập – Tự – Hạnh phúc Tp HCM, ngày 04 tháng 07 năm 2011 NHIỆM VỤ LUẬN VĂN THẠC SĨ Họ tên học viên: Hồ Thị Linh Phái: Nữ Ngày, tháng, năm sinh: 30 / 05 / 1986 Nơi sinh: ĐăkLăk Chuyên ngành: Hệ thống thông tin quản lý MSHV: 10320914 I- TÊN ĐỀ TÀI: GIẢI PHÁP BẢO MẬT DỮ LIỆU TẠI TRUNG TÂM DỮ LIỆU ĐÁM MÂY II- NHIỆM VỤ VÀ NỘI DUNG: - Tìm hiểu đánh giá giải pháp bảo mật liệu trung tâm liệu, đặc biệt có sử dụng cơng nghệ điện tốn đám mây - Tìm hiểu chuẩn bảo mật liệu - Khảo sát trạng số trung tâm liệu nước III- NGÀY GIAO NHIỆM VỤ: 04/07/2011 IV- NGÀY HOÀN THÀNH NHIỆM VỤ: 07/01/2012 V- CÁN BỘ HƢỚNG DẪN: TS Thoại Nam CÁN BỘ HƢỚNG DẪN (Họ tên chữ ký) CHỦ NHIỆM BỘ MÔN QUẢN LÝ CHUYÊN NGÀNH (Họ tên chữ ký KHOA QL CHUYÊN NGÀNH (Họ tên chữ ký) Trang iii Luận văn Thạc sĩ ngành Hệ thống Thông tin Quản lý – Khóa 2010 LỜI CẢM ƠN Đề tài tốt nghiệp hội để tổng kết, áp dụng kiến thức học vào ứng dụng thực tiễn, qua rút kinh nghiệm thực tế hữu ích Sau học đề tài hướng dẫn tận tình thầy Thoại Nam, tơi hoàn thành đề tài đạt số kết khả dụng Để đạt kết hôm nay, vô cảm ơn:  Công ơn nuôi dưỡng dạy dỗ Cha Mẹ  Ban giám hiệu nhà trường Thầy Cô Trường Đại Học Bách Khoa TPHCM quan tâm tạo điều kiện thuận lợi để học tập rèn luyện tốt  Các Thầy Cô khoa Khoa học Kỹ thuật máy tính tận tâm giảng dạy, truyền đạt kiến thức quý báu suốt khóa học, hành trang quý báu để thành công tương lai  Thầy Thoại Nam dẫn, giúp đỡ, động viên tạo điều kiện thuận lợi cho thời gian thực đề tài  Và bạn bè nhiệt tình giúp đỡ tơi q trình học tập thực luận văn Xin chân thành cám ơn! TP Hồ Chí Minh, ngày 01 tháng 12 năm 2011 Sinh viên thực Hồ Thị Linh Trang viii Luận văn Thạc sĩ ngành Hệ thống Thơng tin Quản lý – Khóa 2010 TĨM TẮT LUẬN VĂN An tồn thơng tin vấn đề hầu hết danh nghiệp xem vấn đề quan tâm hàng đầu Trong luận văn này, tiến hành khảo sát số trung tâm liệu để tìm số lỗ hỏng bảo mật dựa ISO 27001 Để khắc phục lỗ hỏng này, đề nghị xây dựng hệ thống quản lý an toàn thông tin theo ISO 27001 Từ kinh nghiệm thực tế doanh nghiệp triển khai ISO 27001 nhà tư vấn, luận văn đúc kết lại thành học thực tế, giúp cho doanh nghiệp triển khai vận hành hệ thống quản lý an tồn thơng tin theo ISO 27001 Information Security is an issue that most of the businesses currently seem as the leading concern In this essay, conducting the survey in some of the data center to find out some vulnerabilities based on ISO 27001 To overcome these vulnerabilities, I recommend building information security management system ISO 27001 From the practical experience of businesses implementing information security management system ISO 27001 as well as consultants, the essay brings out the practical lessons, helping the businesses be up to deploying as well as operating information security management system ISO 27001 Trang ix Luận văn Thạc sĩ ngành Hệ thống Thơng tin Quản lý – Khóa 2010 MỤC LỤC TÓM TẮT LUẬN VĂN ix MỤC LỤC x DANH MỤC HÌNH ẢNH VÀ BẢNG BIỂU xii TỪ ĐIỂN THUẬT NGỮ xiii Mở đầu 1.1 1.1.1 Tình hình giới 1.1.2 Tình hình Việt Nam .1 1.1.3 Lý chọn đề tài 1.2 Hình thành vấn đề Phạm vi nghiên cứu .2 1.2.1 Đối tượng nghiên cứu .2 1.2.2 Không gian thời gian thực 1.3 Mục tiêu đề tài .3 1.4 Ý nghĩa đề tài Tổng quan 2.1 Những cơng trình liên quan 2.2 Những vấn đề tồn .6 2.3 Những vấn đề mà đề tài cần tập trung nghiên cứu, giải Cơ sở lý thuyết .8 3.1 Chuẩn trung tâm liệu TIA 942 3.2 An tồn thơng tin 3.2.1 Thế an tồn thơng tin 3.2.2 Những chuẩn an tồn thơng tin giới 10 3.2.3 Hiện trạng an tồn thơng tin Việt Nam 10 3.3 Giới thiệu ISO 27001 (Các yêu cầu hệ thống quản lý an tồn thơng tin) 13 3.3.1 Lịch sử phát triển ISO 27001 ISO 27002 13 3.3.2 Giới thiệu ISO 27001 .13 Trang x Luận văn Thạc sĩ ngành Hệ thống Thông tin Quản lý – Khóa 2010 3.3.3 Mục tiêu thành phần ISO 27001 14 3.3.4 Chu trình hoạt động ISO 27001 .14 3.3.5 Phạm vi áp dụng 16 3.3.6 Các yêu cầu ISO 27001 17 3.4 Giới thiệu ISO 27002 (Các biện pháp bảo vệ an tồn thơng tin) 18 3.5 Các vấn đề bảo mật tiềm mà sách thủ tục trung tâm liệu đám mây (non-cloud) không giải .19 3.5.1 Phân tích lỗ hỏng bảo mật theo ISO 27002 .19 3.5.2 Các lời khuyên bảo mật 24 Phương pháp nghiên cứu 30 4.1 Lập bảng khảo sát 30 4.2 Kết luận 30 Kết .32 5.1 Tổng hợp kết khảo sát 32 5.2 Phân tích kết thu 40 5.3 Kết luận 53 Kết luận 58 Kiến nghị 59 Tài liệu tham khảo .60 Trang xi Luận văn Thạc sĩ ngành Hệ thống Thơng tin Quản lý – Khóa 2010 DANH MỤC HÌNH ẢNH VÀ BẢNG BIỂU Hình 3-1: Chu trình hoạt động ISO 27001 15 Bảng 2-1: Literature Review Bảng 3-1: Tiêu chuẩn TIA-942 mô tả yêu cầu cho cấu trúc trung tâm liệu Bảng 5-1: Tổng hợp kết khảo sát trạng an tồn thơng tin trung tâm liệu theo ISO 27001 32 Bảng 5-2: Tổng hợp kết khảo sát trạng an tồn thơng tin trung tâm liệu theo ISO 27001 33 Bảng 5-3: Tổng hợp kết khảo sát trạng an tồn thơng tin trung tâm liệu theo ISO 27001 35 Bảng 5-4: Tổng hợp kết khảo sát trạng an tồn thơng tin trung tâm liệu theo ISO 27001 38 Trang xii Luận văn Thạc sĩ ngành Hệ thống Thông tin Quản lý – Khóa 2010 TỪ ĐIỂN THUẬT NGỮ Viết tắt Ý nghĩa Plan – Do – Check - Act PDCA Chu trình hoạt động ISO 27001 Organization for OECD Tổ chức Hợp tác Phát triển Kinh STT Thuật ngữ Economic Cooperation tế and Development Information Security ISMS Hệ thống quản lý bảo mật thông tin Management System Internet Data Center IDC Trung tâm liệu internet Information Technology ITIL Thư viện sở hạ tầng công nghệ Infrastructure Library Control Objectives for thông tin CoBiT Information and related Các mục tiêu kiểm sốt cho thơng tin cơng nghệ liên quan Technology Operationally Critical Octave Threat, Asset, and Đánh giá mối đe dọa, tài sản lỗ hỏng quan trọng Vulnerability EvaluationSM Payment Card Industry PCI DSS – Data Security Chuẩn bảo mật liệu dành cho toán thẻ Standard Code of Practice for ISO 17799 Information Security Quy tắc thực hành cho quản lý an toàn thông tin Management 10 British Standards BSI Viện tiêu chuẩn Anh quốc SOA Tài liệu tuyên bố mô tả mục Institution 11 Statement of Applicability tiêu kiểm soát biện pháp liên quan áp dụng cho hệ thống quản lý an tồn thơng tin tổ chức Trang xiii Luận văn Thạc sĩ ngành Hệ thống Thơng tin Quản lý – Khóa 2010 PHỤC LỤC Kết khảo sát trạng an tồn thơng tin trung tâm liệu Yêu cầu Doanh nghiệp đáp ứng Nội dung chi tiết Không 4.2 4.2.1 4.2.2 4.2.3 4.2.4 4.3 4.3.2 4.3.3 5.1 5.2 5.2.1 5.2.2 7.2 7.3 8.1 8.2 8.3 Biện pháp A.5 A.5.1 A.5.1.1 A.5.1.2 A.6 A.6.1 A.6.1.1 A.6.1.2 Hệ thống quản lý an tồn thơng tin (ISMS) Thiết lập quản lý ISMS Thiết lập hệ thống ISMS Triển khai điều hành ISMS Giám sát xem xét lại ISMS Duy trì cải tiến ISMS Các yêu cầu hệ thống tài liệu Biện pháp quản lý tài liệu (document) Biện pháp quản lý hồ sơ (records) Trách nhiệm ban lãnh đạo Cam kết ban lãnh đạo Quản lý nguồn lực Cấp phát nguồn lực Đào tạo, nhận thức lực Kiểm toán nội ISMS Xem xét lại ban lãnh đạo ISMS Đầu vào việc xem xét lại Đầu việc xem xét lại Cải tiến ISMS Cải tiến thường xuyên Hành động khắc phục Hành động phịng ngừa Nội dung chi tiết Chính sách an tồn thơng tin Chính sách an tồn thơng tin Tài liệu sách an tồn thơng tin Xem xét lại sách an tồn thơng tin Tổ chức đảm bảo an tồn thơng tin Tổ chức nội Cam kết ban quản lý đảm bảo an tồn thơng tin Phối hợp đảm bảo an tồn thơng tin Có x x x x x x x x x x x x x x x x Doanh nghiệp đáp ứng Không xác định Khơng Một phần Có Rất đầy đủ x x x x Trang 22 Luận văn Thạc sĩ ngành Hệ thống Thơng tin Quản lý – Khóa 2010 A.6.1.3 A.6.1.4 A.6.1.5 A.6.1.6 A.6.1.7 A.6.1.8 A.6.2 A.6.2.1 A.6.2.2 A.6.2.3 A.7 A.7.1 A.7.1.1 A.7.1.2 A.7.1.3 A.7.2 A.7.2.1 A.7.2.2 A.8 A.8.1 A.8.1.1 A.8.1.2 A.8.1.3 A.8.2 A.8.2.1 A.8.2.2 A.8.2.3 A.8.3 A.8.3.1 A.8.3.2 A.8.3.3 A.9 Phân định trách nhiệm đảm bảo an tồn thơng tin Quy trình cấp phép cho phương tiện xử lý thông tin Các thỏa thuận bảo mật Liên lạc với quan/tổ chức có thẩm quyền Liên lạc với nhóm chuyên gia Xem xét độc lập an tồn thơng tin Các bên tham gia bên ngồi Xác định rủi ro liên quan đến bên tham gia bên Giải an toàn làm việc với khách hàng Giải an toàn thỏa thuận với bên thứ ba Quản lý tài sản Trách nhiệm tài sản Kiểm kê tài sản Quyền sở hữu tài sản Sử dụng hợp lý tài sản Phân loại thông tin Hướng dẫn phân loại Gắn nhãn xử lý thơng tin Đảm bảo an tồn thông tin từ nguồn nhân lực Trƣớc tuyển dụng Các vai trò trách nhiệm Thẩm tra Điều khoản điều kiện tuyển dụng Trong thời gian làm việc Trách nhiệm ban quản lý Nhận thức, giáo dục đào tạo an tồn thơng tin Xử lý kỷ luật Chấm dứt thay đổi công việc Trách nhiệm kết thúc hợp đồng Bàn giao tài sản Hủy bỏ quyền truy cập Đảm bảo an toàn vật lý môi trƣờng x x x x x x x x x x x x x x x x x x x x x x x Trang 23 Luận văn Thạc sĩ ngành Hệ thống Thông tin Quản lý – Khóa 2010 A.9.1 A.9.1.1 A.9.1.2 A.9.1.3 A.9.1.4 A.9.1.5 A.9.1.6 A.9.2 A.9.2.1 A.9.2.2 A.9.2.3 A.9.2.4 A.9.2.5 A.9.2.6 A.9.2.7 A.10 A.10.1 A.10.1.1 A.10.1.2 A.10.1.3 A.10.1.4 A.10.2 A.10.2.1 A.10.2.2 A.10.2.3 A.10.3 A.10.3.1 A.10.3.2 A.10.4 A.10.4.1 Các khu vực an toàn Vành đai an tồn vật lý Kiểm sốt cổng truy cập vật lý Bảo vệ văn phòng, phòng làm việc vật dụng Bảo vệ chống lại mối đe dọa từ bên ngồi từ mơi trường Làm việc khu vực an toàn Các khu vực truy cập tự do, phân phối tập kết hàng Đảm bảo an tồn trang thiết bị Bố trí bảo vệ thiết bị Các tiện ích hỗ trợ An tồn cho dây cáp Bảo dưỡng thiết bị An toàn cho thiết bị hoạt động bên trụ sở tổ chức An toàn loại bỏ tái sử dụng thiết bị Di dời tài sản Quản lý truyền thông vận hành Các trách nhiệm thủ tục vận hành Các thủ tục vận hành ghi thành văn Quản lý thay đổi Phân tách nhiệm vụ Phân tách chức phát triển, kiểm thử vận hành Quản lý chuyển giao dịch vụ bên thứ ba Chuyển giao dịch vụ Giám sát xem xét lại dịch vụ bên thứ ba Quản lý thay đổi dịch vụ bên thứ ba Lập kế hoạch chấp nhận hệ thống Quản lý lực hệ thống Chấp nhận hệ thống Bảo vệ chống lại mã độc hại mã di động Quản lý chống lại mã độc hại x x x x x x x x x x x x x x x x x x x x x x x x Trang 24 Luận văn Thạc sĩ ngành Hệ thống Thông tin Quản lý – Khóa 2010 A.10.4.2 A.10.5 A.10.5.1 A.10.6 A.10.6.1 A.10.6.2 A.10.7 A.10.7.1 A.10.7.2 A.10.7.3 A.10.7.4 A.10.8 A.10.8.1 A.10.8.2 A.10.8.3 A.10.8.4 A.10.8.5 A.10.9 A.10.9.1 A.10.9.2 A.10.9.3 A.10.10 A.10.10.1 A.10.10.2 A.10.10.3 A.10.10.4 A.10.10.5 A.10.10.6 A.11 A.11.1 A.11.1.1 A.11.2 A.11.2.1 A.11.2.2 A.11.2.3 A.11.2.4 A.11.3 A.11.3.1 A.11.3.2 Kiểm soát mã di động Sao lƣu Sao lưu thông tin Quản lý an tồn mạng Kiểm sốt mạng An tồn cho dịch vụ mạng Xử lý phƣơng tiện Quản lý phương tiện di dời Loại bỏ phương tiện Các thủ tục xử lý thơng tin An tồn cho tài liệu hệ thống Trao đổi thơng tin Các sách thủ tục trao đổi thông tin Các thỏa thuận trao đổi Vận chuyển phương tiện vật lý Thông điệp điện tử Các hệ thống thông tin nghiệp vụ Các dịch vụ thƣơng mại điện tử Thương mại điện tử Các giao dịch trực tuyến Thông tin công khai Giám sát Ghi nhật ký đánh giá Giám sát sử dụng hệ thống Bảo vệ thông tin nhật ký Nhật ký người điều hành người quản trị Ghi nhật ký lỗi Đồng thời gian Quản lý truy cập Yêu cầu nghiệp vụ quản lý truy cập Chính sách quản lý truy cập Quản lý truy cập ngƣời dùng Đăng ký người dùng Quản lý đặc quyền Quản lý mật người dùng Xem xét quyền truy cập người dùng Các trách nhiệm ngƣời dùng Sử dụng mật Thiết bị người dùng không sử x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x Trang 25 Luận văn Thạc sĩ ngành Hệ thống Thơng tin Quản lý – Khóa 2010 A.11.3.3 A.11.4 A.11.4.1 A.11.4.2 A.11.4.3 A.11.4.4 A.11.4.5 A.11.4.6 A.11.4.7 A.11.5 A.11.5.1 A.11.5.2 A.11.5.3 A.11.5.4 A.11.5.5 A.11.5.6 A.11.6 A.11.6.1 A.11.6.2 A.11.7 A.11.7.1 A.11.7.2 A.12 A.12.1 A.12.1.1 A.12.2 A.12.2.1 A.12.2.2 A.12.2.3 A.12.2.4 dụng Chính sách hình bàn làm việc Quản lý truy cập mạng Chính sách sử dụng dịch vụ mạng Xác thực người dùng cho kết nối bên Định danh thiết bị mạng Chuẩn đoán từ xa bảo vệ cổng cấu hình Phân tách mạng Quản lý kết nối mạng Quản lý định tuyến mạng Quản lý truy cập hệ điều hành Các thủ tục đăng nhập an toàn Định danh xác thực người dùng Hệ thống quản lý mật Sử dụng tiện ích hệ thống Thời gian giới hạn phiên làm việc Giới hạn thời gian kết nối Điều khiển truy cập thông tin ứng dụng Hạn chế truy cập thông tin Cách ly hệ thống nhạy cảm Tính tốn di động làm việc từ xa Tính tốn truyền thơng qua thiết bị di động Làm việc từ xa Tiếp nhận, phát triển trì hệ thống thơng tin u cầu đảm bảo an tồn cho hệ thống thơng tin Phân tích đặc tả yêu cầu an toàn Xử lý ứng dụng Kiểm tra tính hợp lệ liệu đầu vào Kiểm sốt việc xử lý nội Tính tồn vẹn thơng điệp Kiểm tra tính hợp lệ liệu đầu x x x x x x x x x x x x x x x x x x x x x x x Trang 26 Luận văn Thạc sĩ ngành Hệ thống Thơng tin Quản lý – Khóa 2010 A.12.3 A.12.3.1 A.12.3.2 A.12.4 A.12.4.1 A.12.4.2 A.12.4.3 A.12.5 A.12.5.1 A.12.5.2 A.12.5.3 A.12.5.4 A.12.5.5 A.12.6 A.12.6.1 A.13 A.13.1 A.13.1.1 A.13.1.2 A.13.2 A.13.2.1 A.13.2.2 A.13.2.3 A.14 A.14.1 A.14.1.1 A.14.1.2 A.14.1.3 Quản lý mã hóa Chính sách sử dụng biện pháp quản lý mã hóa Quản lý khóa An tồn cho tập tin hệ thống Quản lý phần mềm điều hành Bảo vệ liệu kiểm tra hệ thống Quản lý truy cập đến mã nguồn chương trình Bảo đảm an tồn quy trình hỗ trợ phát triển Các thủ tục quản lý thay đổi Xem xét lại kỹ thuật ứng dụng sau thay đổi hệ điều hành Hạn chế thay đối gói phần mềm Sự rị rỉ thơng tin Phát triển phần mềm thuê khoán Quản lý điểm yếu kỹ thuật Quản lý điểm yếu kỹ thuật Quản lý cố an tồn thơng tin Báo cáo kiện an tồn thơng tin điểm yếu Báo cáo kiện an tồn thơng tin Báo cáo điểm yếu an tồn thơng tin Quản lý cố an tồn thơng tin cải tiến Các trách nhiệm thủ tục Rút học kinh nghiệm từ cố an tồn thơng tin Thu thập chứng Quản lý liên tục hoạt động nghiệp vụ Các khía cạnh an tồn thơng tin quản lý liên tục hoạt động nghiệp vụ Tính đến an tồn thơng tin quy trình quản lý liên tục hoạt động nghiệp vụ Đánh giá rủi ro liên tục hoạt động tổ chức Xây dựng triển khai kế x x x x x x x x x x x x x x x x x x x Trang 27 Luận văn Thạc sĩ ngành Hệ thống Thơng tin Quản lý – Khóa 2010 A.14.1.4 A.14.1.5 A.15 A.15.1 A.15.1.1 A.15.1.2 A.15.1.3 A.15.1.4 A.15.1.5 A.15.1.6 A.15.2 A.15.2.1 A.15.2.2 A.15.3 A.15.3.1 A.15.3.2 hoạch tính liên tục, bao gồm vấn đề đảm bảo an tồn thơng tin Khung hoạch định liên tục hoạt động nghiệp vụ Kiểm tra, trì đánh giá lại kế hoạch đảm bảo liên tục hoạt động nghiệp vụ Sự tuân thủ Sự tuân thủ quy định pháp lý Xác định điều luật áp dụng Quyền sở hữu trí tuệ (IPR) Bảo vệ hồ sơ tổ chức Bảo vệ liệu riêng tư thông tin cá nhân Ngăn ngừa việc lạm dụng phương tiện xử lý thơng tin Quy định quản lý mã hóa Sự tn thủ sách tiêu chuẩn an tồn, tƣơng thích kỹ thuật Sự tuân thủ tiêu chuẩn sách an tồn Kiểm tra tương thích kỹ thuật Xem xét việc đánh giá hệ thống thông tin Các biện pháp quản lý đánh giá hệ thống thông tin Bảo vệ công cụ đánh giá hệ thống thông tin x x x x x x x x x x x x Trang 28 Luận văn Thạc sĩ ngành Hệ thống Thông tin Quản lý – Khóa 2010 PHỤC LỤC Kết khảo sát trạng an tồn thơng tin trung tâm liệu Yêu cầu Doanh nghiệp đáp ứng Nội dung chi tiết Không 4.2 4.2.1 4.2.2 4.2.3 4.2.4 4.3 4.3.2 4.3.3 5.1 5.2 5.2.1 5.2.2 7.2 7.3 8.1 8.2 8.3 Biện pháp A.5 A.5.1 A.5.1.1 A.5.1.2 A.6 A.6.1 A.6.1.1 A.6.1.2 Có Hệ thống quản lý an tồn thơng tin (ISMS) Thiết lập quản lý ISMS Thiết lập hệ thống ISMS Triển khai điều hành ISMS Giám sát xem xét lại ISMS Duy trì cải tiến ISMS Các yêu cầu hệ thống tài liệu Biện pháp quản lý tài liệu (document) Biện pháp quản lý hồ sơ (records) Trách nhiệm ban lãnh đạo Cam kết ban lãnh đạo Quản lý nguồn lực Cấp phát nguồn lực Đào tạo, nhận thức lực Kiểm toán nội ISMS Xem xét lại ban lãnh đạo ISMS Đầu vào việc xem xét lại Đầu việc xem xét lại Cải tiến ISMS Cải tiến thường xuyên Hành động khắc phục Hành động phòng ngừa Nội dung chi tiết Chính sách an tồn thơng tin Chính sách an tồn thơng tin Tài liệu sách an tồn thơng tin Xem xét lại sách an tồn thơng tin Tổ chức đảm bảo an tồn thơng tin Tổ chức nội Cam kết ban quản lý đảm bảo an tồn thơng tin Phối hợp đảm bảo an tồn thơng tin x x x x x x x x x x x x x x x x Doanh nghiệp đáp ứng Không xác định Không Một phần Có Rất đầy đủ x x x x Trang 29 Luận văn Thạc sĩ ngành Hệ thống Thông tin Quản lý – Khóa 2010 A.6.1.3 A.6.1.4 A.6.1.5 A.6.1.6 A.6.1.7 A.6.1.8 A.6.2 A.6.2.1 A.6.2.2 A.6.2.3 A.7 A.7.1 A.7.1.1 A.7.1.2 A.7.1.3 A.7.2 A.7.2.1 A.7.2.2 A.8 A.8.1 A.8.1.1 A.8.1.2 A.8.1.3 A.8.2 A.8.2.1 A.8.2.2 A.8.2.3 A.8.3 A.8.3.1 A.8.3.2 A.8.3.3 A.9 Phân định trách nhiệm đảm bảo an tồn thơng tin Quy trình cấp phép cho phương tiện xử lý thông tin Các thỏa thuận bảo mật Liên lạc với quan/tổ chức có thẩm quyền Liên lạc với nhóm chuyên gia Xem xét độc lập an tồn thơng tin Các bên tham gia bên Xác định rủi ro liên quan đến bên tham gia bên Giải an toàn làm việc với khách hàng Giải an toàn thỏa thuận với bên thứ ba Quản lý tài sản Trách nhiệm tài sản Kiểm kê tài sản Quyền sở hữu tài sản Sử dụng hợp lý tài sản Phân loại thông tin Hướng dẫn phân loại Gắn nhãn xử lý thơng tin Đảm bảo an tồn thơng tin từ nguồn nhân lực Trƣớc tuyển dụng Các vai trò trách nhiệm Thẩm tra Điều khoản điều kiện tuyển dụng Trong thời gian làm việc Trách nhiệm ban quản lý Nhận thức, giáo dục đào tạo an tồn thơng tin Xử lý kỷ luật Chấm dứt thay đổi công việc Trách nhiệm kết thúc hợp đồng Bàn giao tài sản Hủy bỏ quyền truy cập Đảm bảo an tồn vật lý mơi x x x x x x x x x x x x x x x x x x x x x x x Trang 30 Luận văn Thạc sĩ ngành Hệ thống Thơng tin Quản lý – Khóa 2010 A.9.1 A.9.1.1 A.9.1.2 A.9.1.3 A.9.1.4 A.9.1.5 A.9.1.6 A.9.2 A.9.2.1 A.9.2.2 A.9.2.3 A.9.2.4 A.9.2.5 A.9.2.6 A.9.2.7 A.10 A.10.1 A.10.1.1 A.10.1.2 A.10.1.3 A.10.1.4 A.10.2 A.10.2.1 A.10.2.2 A.10.2.3 A.10.3 A.10.3.1 A.10.3.2 A.10.4 trƣờng Các khu vực an toàn Vành đai an toàn vật lý Kiểm soát cổng truy cập vật lý Bảo vệ văn phòng, phòng làm việc vật dụng Bảo vệ chống lại mối đe dọa từ bên từ mơi trường Làm việc khu vực an tồn Các khu vực truy cập tự do, phân phối tập kết hàng Đảm bảo an toàn trang thiết bị Bố trí bảo vệ thiết bị Các tiện ích hỗ trợ An toàn cho dây cáp Bảo dưỡng thiết bị An toàn cho thiết bị hoạt động bên trụ sở tổ chức An toàn loại bỏ tái sử dụng thiết bị Di dời tài sản Quản lý truyền thông vận hành Các trách nhiệm thủ tục vận hành Các thủ tục vận hành ghi thành văn Quản lý thay đổi Phân tách nhiệm vụ Phân tách chức phát triển, kiểm thử vận hành Quản lý chuyển giao dịch vụ bên thứ ba Chuyển giao dịch vụ Giám sát xem xét lại dịch vụ bên thứ ba Quản lý thay đổi dịch vụ bên thứ ba Lập kế hoạch chấp nhận hệ thống Quản lý lực hệ thống Chấp nhận hệ thống Bảo vệ chống lại mã độc hại mã di động x x x x x x x x x x x x x x x x x x x x x x x Trang 31 Luận văn Thạc sĩ ngành Hệ thống Thông tin Quản lý – Khóa 2010 A.10.4.1 A.10.4.2 A.10.5 A.10.5.1 A.10.6 A.10.6.1 A.10.6.2 A.10.7 A.10.7.1 A.10.7.2 A.10.7.3 A.10.7.4 A.10.8 A.10.8.1 A.10.8.2 A.10.8.3 A.10.8.4 A.10.8.5 A.10.9 A.10.9.1 A.10.9.2 A.10.9.3 A.10.10 A.10.10.1 A.10.10.2 A.10.10.3 A.10.10.4 A.10.10.5 A.10.10.6 A.11 A.11.1 A.11.1.1 A.11.2 A.11.2.1 A.11.2.2 A.11.2.3 A.11.2.4 A.11.3 Quản lý chống lại mã độc hại Kiểm soát mã di động Sao lƣu Sao lưu thông tin Quản lý an tồn mạng Kiểm sốt mạng An tồn cho dịch vụ mạng Xử lý phƣơng tiện Quản lý phương tiện di dời Loại bỏ phương tiện Các thủ tục xử lý thông tin An tồn cho tài liệu hệ thống Trao đổi thơng tin Các sách thủ tục trao đổi thơng tin Các thỏa thuận trao đổi Vận chuyển phương tiện vật lý Thông điệp điện tử Các hệ thống thông tin nghiệp vụ Các dịch vụ thƣơng mại điện tử Thương mại điện tử Các giao dịch trực tuyến Thông tin công khai Giám sát Ghi nhật ký đánh giá Giám sát sử dụng hệ thống Bảo vệ thông tin nhật ký Nhật ký người điều hành người quản trị Ghi nhật ký lỗi Đồng thời gian Quản lý truy cập Yêu cầu nghiệp vụ quản lý truy cập Chính sách quản lý truy cập Quản lý truy cập ngƣời dùng Đăng ký người dùng Quản lý đặc quyền Quản lý mật người dùng Xem xét lại quyền truy cập người dùng Các trách nhiệm ngƣời dùng x x x x x x x x x x x x x x x x x x x x x x x x x x x x Trang 32 Luận văn Thạc sĩ ngành Hệ thống Thơng tin Quản lý – Khóa 2010 A.11.3.1 A.11.3.2 A.11.3.3 A.11.4 A.11.4.1 A.11.4.2 A.11.4.3 A.11.4.4 A.11.4.5 A.11.4.6 A.11.4.7 A.11.5 A.11.5.1 A.11.5.2 A.11.5.3 A.11.5.4 A.11.5.5 A.11.5.6 A.11.6 A.11.6.1 A.11.6.2 A.11.7 A.11.7.1 A.11.7.2 A.12 A.12.1 A.12.1.1 A.12.2 A.12.2.1 A.12.2.2 Sử dụng mật Thiết bị người dùng khơng sử dụng Chính sách hình bàn làm việc Quản lý truy cập mạng Chính sách sử dụng dịch vụ mạng Xác thực người dùng cho kết nối bên Định danh thiết bị mạng Chuẩn đoán từ xa bảo vệ cổng cấu hình Phân tách mạng Quản lý kết nối mạng Quản lý định tuyến mạng Quản lý truy cập hệ điều hành Các thủ tục đăng nhập an toàn Định danh xác thực người dùng Hệ thống quản lý mật Sử dụng tiện ích hệ thống Thời gian giới hạn phiên làm việc Giới hạn thời gian kết nối Điều khiển truy cập thông tin ứng dụng Hạn chế truy cập thông tin Cách ly hệ thống nhạy cảm Tính tốn di động làm việc từ xa Tính tốn truyền thơng qua thiết bị di động Làm việc từ xa Tiếp nhận, phát triển trì hệ thống thơng tin Yêu cầu đảm bảo an toàn cho hệ thống thơng tin Phân tích đặc tả u cầu an toàn Xử lý ứng dụng Kiểm tra tính hợp lệ liệu đầu vào Kiểm soát việc xử lý nội x x x x x x x x x x x x x x x x x x x x x x x Trang 33 Luận văn Thạc sĩ ngành Hệ thống Thơng tin Quản lý – Khóa 2010 A.12.2.3 A.12.2.4 A.12.3 A.12.3.1 A.12.3.2 A.12.4 A.12.4.1 A.12.4.2 A.12.4.3 A.12.5 A.12.5.1 A.12.5.2 A.12.5.3 A.12.5.4 A.12.5.5 A.12.6 A.12.6.1 A.13 A.13.1 A.13.1.1 A.13.1.2 A.13.2 A.13.2.1 A.13.2.2 A.13.2.3 A.14 A.14.1 A.14.1.1 Tính tồn vẹn thơng điệp Kiểm tra tính hợp lệ liệu đầu Quản lý mã hóa Chính sách sử dụng biện pháp quản lý mã hóa Quản lý khóa An tồn cho tập tin hệ thống Quản lý phần mềm điều hành Bảo vệ liệu kiểm tra hệ thống Quản lý truy cập đến mã nguồn chương trình Bảo đảm an tồn quy trình hỗ trợ phát triển Các thủ tục quản lý thay đổi Xem xét lại kỹ thuật ứng dụng sau thay đổi hệ điều hành Hạn chế thay đối gói phần mềm Sự rị rỉ thơng tin Phát triển phần mềm thuê khoán Quản lý điểm yếu kỹ thuật Quản lý điểm yếu kỹ thuật Quản lý cố an tồn thơng tin Báo cáo kiện an tồn thơng tin điểm yếu Báo cáo kiện an tồn thơng tin Báo cáo điểm yếu an tồn thơng tin Quản lý cố an tồn thơng tin cải tiến Các trách nhiệm thủ tục Rút học kinh nghiệm từ cố an toàn thông tin Thu thập chứng Quản lý liên tục hoạt động nghiệp vụ Các khía cạnh an tồn thơng tin quản lý liên tục hoạt động nghiệp vụ x Tính đến an tồn thơng tin x x x x x x x x x x x x x x x x x x Trang 34 Luận văn Thạc sĩ ngành Hệ thống Thông tin Quản lý – Khóa 2010 A.14.1.2 A.14.1.3 A.14.1.4 A.14.1.5 A.15 A.15.1 A.15.1.1 A.15.1.2 A.15.1.3 A.15.1.4 A.15.1.5 A.15.1.6 A.15.2 A.15.2.1 A.15.2.2 A.15.3 A.15.3.1 A.15.3.2 quy trình quản lý liên tục hoạt động nghiệp vụ Đánh giá rủi ro liên tục hoạt động tổ chức Xây dựng triển khai kế hoạch tính liên tục, bao gồm vấn đề đảm bảo an tồn thơng tin Khung hoạch định liên tục hoạt động nghiệp vụ Kiểm tra, trì đánh giá lại kế hoạch đảm bảo liên tục hoạt động nghiệp vụ Sự tuân thủ Sự tuân thủ quy định pháp lý Xác định điều luật áp dụng Quyền sở hữu trí tuệ (IPR) Bảo vệ hồ sơ tổ chức Bảo vệ liệu riêng tư thông tin cá nhân Ngăn ngừa việc lạm dụng phương tiện xử lý thông tin Quy định quản lý mã hóa Sự tn thủ sách tiêu chuẩn an tồn, tƣơng thích kỹ thuật Sự tn thủ tiêu chuẩn sách an tồn Kiểm tra tương thích kỹ thuật Xem xét việc đánh giá hệ thống thông tin Các biện pháp quản lý đánh giá hệ thống thông tin Bảo vệ công cụ đánh giá hệ thống thông tin x x x x x x x x x x x x x x Trang 35 Luận văn Thạc sĩ ngành Hệ thống Thơng tin Quản lý – Khóa 2010 PHẦN LÝ LỊCH TRÍCH NGANG Họ tên: Hồ Thị Linh Ngày, tháng, năm sinh: 30/05/1986 Nơi sinh: ĐăkLăk Địa liên lạc: 78/3 đường 18, khu phố 5, phường Linh Trung, quận Thủ Đức, TP Hồ Chí Minh QUÁ TRÌNH ĐÀO TẠO Thời gian 09/2004 – 12/2008 02/2009 – 07/2009 10/2009 – 08/2010 09/2010 – Trƣờng ĐH Nông Lâm TPHCM ĐH Bách Khoa TPHCM ĐH Bách Khoa TPHCM ĐH Bách Khoa TPHCM Ngành học Công nghệ thông tin Hệ Đại học quy Hệ thống thơng tin quản lý Hệ thống thông tin quản lý Hệ thống thông tin quản lý Chứng chuyển đổi chuyên ngành Bồi dưỡng sau đại học Cao học quy Q TRÌNH CÔNG TÁC Thời gian 09/2008 – 03/2010 04/2010 – 07/2011 08/2011 – 11/2011 Công ty Công ty TNHH phần mềm Tầm Nhìn Việt Cơng ty Cổ phần Phong Phú Sắc Việt Công ty Cổ phần Công nghệ Truyền thông Việt Nam Chức vụ Developer Business Analyst Thực tập ... TÀI: GIẢI PHÁP BẢO MẬT DỮ LIỆU TẠI TRUNG TÂM DỮ LIỆU ĐÁM MÂY II- NHIỆM VỤ VÀ NỘI DUNG: - Tìm hiểu đánh giá giải pháp bảo mật liệu trung tâm liệu, đặc biệt có sử dụng cơng nghệ điện tốn đám mây. .. việc đánh giá giải pháp bảo mật liệu trung tâm liệu cải tiến giải pháp bảo mật giúp doanh nghiệp tin tưởng lựa chọn dịch vụ trung tâm liệu điện tốn đám mây Khuyến khích trung tâm liệu Việt Nam... kiểm toán thực tế trung tâm liệu (Xem bảng số liệu phần phụ lục) Trong số trung tâm liệu: trung tâm liệu có chứng ISO 27001, trung tâm liệu triển khai ISO 27001, trung tâm liệu lên kế hoạch triển

Ngày đăng: 03/09/2021, 14:35

Xem thêm:

Tài liệu cùng người dùng

  • Đang cập nhật ...

Tài liệu liên quan