Đánh giá ƣu nhƣợc điểm của hệ thống:

Một phần của tài liệu Nghiên cứu bảo mật hệ thống thông tin và đề xuất giải pháp bảo mật cho hệ thống thông tin thư viện của trường đại học tài nguyên môi trường hà nội (Trang 62)

3.2.1. Ƣu điểm:

- Phù hợp cho các hệ thống thông tin thƣ viện vừa và nhỏ, - Cần ít nhân lực hiểu biết về công nghệ thông tin.

- Chi phí thấp. - Dễ vận hành.

3.2.2. Nhƣợc điểm:

- Không tự quản lý đƣợc dữ liệu - Hệ thống bảo mật chƣa cao

- Phụ thuộc nhiều vào nhà cung cấp

3.3 Đề xuất giải pháp bảo mật cho hệ thống

Để một mô hình hệ thống mạng nói chung và hệ thống thông tin Thƣ viện trƣờng đại học Tài nguyên và môi trƣờng nói riêng hoạt động ổn định và đảm bảo an toàn thông tin thì giải pháp an ninh mạng cho hệ thống thông tin cần phải đáp ứng đƣợc các yêu cầu sau:

- Yêu cầu phải bảo vệ hệ thống thông tin trƣớc các nguy cơ đe dọa hiện nay

- Mô hình bảo mật yêu cầu đƣợc thiết lập với nhiều lớp - Các thiết bị an ninh mạng cần phải đƣợc quản lý tập trung

- Có chính sách nâng cấp, cập nhật sản phẩm và hỗ trợ kỹ thuật nhằm đáp ứng khả năng bảo vệ của các thiết bị trƣớc các nguy cơ mới nảy sinh

- Các thiết bị cần đảm bảo thông lƣợng, tránh gây ra nghẽn mạng trên các thiết bị này

- Giải pháp cần đảm bảo khả năng mở rộng

3.3.1. Giả pháp về phần cứng

a. Về hệ thống Sử dụng Firewall Cyberoam Firewall-UTM

Lý do chọn Cyberoam Firewall-UTM là nó đáp ứng đƣợc đầy đủ các tính năng bảo mật cho hệ thống mạng tại tầng ứng dụng cụ thể nó có các tính năng nhƣ sau:

Tính Năng Mô tả

Stateful Inspection Firewall (Đƣợc chứng nhận bởi ICSA Labs)

• Sử dụng bảng trạng thái kiểm soát các gói tin

• Ngăn chặn dịch vụ(DoS ) và tần công dồn dập từ các nguồn bên ngoài vào và bên trong ra.

• Nhận dạng ngƣời sử dụng & kiểm soát các ứng dụng ( P2P, IM)

Cổng kết nối mạng riêng ảo (VPN)

• IPSec, L2TP, PPTP, SSL VPN

• Độ sẵn sàng cao cho các kết nối VPN IPSec, L2TP

• Dual VPNC Certifications - Basic and AES Interop

Gateway Anti-Virus & Anti-Spyware

• Theo dõi các luồng HTTP, HTTPs,FTP, IMAP, POP3 and SMTP

• Phát hiện và loại bỏ viruses, worms, Trojans • Kiểm soát các email vào ra hệ thống bằng chính sách.

• Kiểm soát các file trao đổi dựa trên từ khóa • Nhận dạng ngƣời dung tức thời trong trƣờng hợp bị tấn công

Gateway Anti-Spam • Theo dõi và nhận dạng tấn công spam qua cổng SMTP, POP3 và IMAP cách ly hoặc đính kèm nội dung dựa trên chính sách (Policy) hoặc các danh sách (black list & white list)

• Bảo vệ khỏi sự bùng nổ lây nhiêm virus • Bảo vệ khỏi các hình thức spam bao gồm spam ảnh (image-spam) bằng việc sử dung công nghệ dò tìm mẫu (Recurrent Pattern Detection RPD)

Hệ thống phòng chống thâm nhập trái phép – IPS

• Cơ sở dữ liệu bao gồm hơn 3500 signatures • Hỗ trợ khả năng đa chính sách dựa trên signature

• Nhận dạng và phòng chống thâm nhập sử dụng dấu hiệu do ngƣời sử dụng thiết lập dựa trên hành vi

• Phòng chống thâm nhập dựa trên phƣơng pháp thử sai (Attempts), từ chối dịch vụ (DoS), attacks, chèn mã độc (malicious code), backdoor, và các dang tấn công trên lớp mạng, kiểm soát sử dụng proxy mạo danh bang HTTP signatures, khả năng khoa các hoạt động “phone home”

Bộ lọc nội dung và lọc ứng dụng (Content & Application Filtering)

• Tự động hóa phân loại web theo nhóm, các nhóm bao gồm hàng triệu các trang web đƣợc phân loại sẵn trong 82 nhóm nội dung

• Bộ lọc URL đƣợc sử dụng cho các ứng dụng HTTP & HTTPS.

• Phân cấp chính sách theo nhóm, phòng ban, ngƣời sử dụng, thời gian sử dụng,

• Kiểm soát download streaming media, gaming, tickers etc…

• hỗ trợ tiêu chuẩn CIPA đƣợc sử dụng cho các trƣờng học, thƣ viện

Quản lý băng thông (Bandwidth Management)

• Đảm bảo băng thông tối thiểu và tối đa bằng việc phân cấp theo phòng ban, nhóm ngƣời sử dụng hoặc theo tƣng cá nhân riêng lẻ, theo ứng dụng hoặc giao thức sử dụng

Quản lý đa kết nối (Multiple Link Management)

• Bảo mật thông qua việc quản lý đa kết nối (multiple ISP links) trên một thiết bị đơn • Phân tải dựa trên việc đánh giá luồng (Weighted round robin distribution)

• Tự động chuyển mạch khi có lỗi xảy ra trên cổng kết nối (Link Failover )

Hệ thống báo cáo tích hợp (On-Appliance Reporting)

• Hệ thống báo cáo hoàn thiện có sẵn trên thiết bị

• Báo cáo theo thời gian thực các lƣu lƣợng • Báo cáo theo ngƣời dùng

Hình 3.2: Sơ đồ mạng tổng quát b. Về phần mềm

- Thiết lập các chính sách bảo mật trên server

- Thiết lập cơ chế sao lƣu dữ liệu đồng bộ và tự động.

Trong chiến lƣợc tổng quan về an ninh thông tin, không thể không kể đến các phƣơng án phục hồi và đối phó sự cố. Tổ chức hệ thống mạng sẽ phải có một hệ thống lƣu trữ chuyên nghiệp, đáp ứng nhu cầu lƣu trữ thông tin ngày càng nhiều, đảm bảo các yêu cầu về độ tin cậy, khả năng mở rộng, quản trị dễ dàng, đảm bảo lƣu trữ cho các ứng dụng của bộ trên toàn hệ thống.

- Thiết lập cơ chế phục hồi dữ liệu - Thiết lập chính sách về tài khoản. - Thiết lập chính sách giám sát,

- Thiết lập sự kiện đăng nhập cho hệ thống

- Có áp dụng chính sách IP Sec đƣợc áp dụng để kiểm soát IP truy cập vào server.

- Thiết lập các chính sách về tài khoản (Account policies)

c. Bảo mật cho hệ thống Windows (Máy trạm)

Một trong những yếu tố quan tâm hàng đầu trong việc thiết kế bảo mật một hệ thống thông tin đó là kiểm soát chặt chẽ tất cả các máy tính của tổ chức. Vì chúng là nơi cất giữ tài sản thông tin có giá trị của tổ chức. Kẻ tấn công có thể trực tiếp tấn công thẳng vào máy tính và lấy đi những dữ liệu quý báu.

Việc xác định những mối đe dọa và những lỗ hỗng ở tất cả máy tính trong tổ chức là điều thiết yếu và cấp bách .

- Thiết lập cơ chế tạo account và password an toàn. - Vận hành máy tính đúng quy trình.

- Sử dụng password phức hợp, chánh sử dụng một password cho nhiều account.

3.3.2. Về con ngƣời:

Nguồn nhân lực luôn là vấn đề cốt lõi trong công tác an toàn, bảo mật hệ thống thông tin.

Làm thế nào để quản lý ngƣời dùng? Chúng ta có thể thiết lập các quy chế sử dụng thiết bị nhƣ một cách bắt buộc. Nhƣng làm thế nào để phát hiện cũng nhƣ ngăn chặn các hành động cố ý: Nhƣ cấm ngƣời dùng có thể cài đƣợc các phần mềm không đƣợc phép. Hoặc trong trƣờng hợp phát hiện ra bất kỳ một dấu hiệu nào vi phạm. Công việc cần và đủ là phải khoanh đƣợc vùng

và yêu cầu ngƣời sử dụng sử dụng thiết bị cũng nhƣ các phần mềm một cách hợp lý

- Thiết lập các cơ chế và chính sách phù hợp với yêu cầu của trung tâm. - Thƣờng xuyên hƣớng dẫn, đào tạo các cán bộ trong trung tâm có kiến thức về công nghệ thông tin về an toàn, bảo mật thông tin. Sử dụng hệ thống đúng quy trình, luôn luôn tuân thủ các cơ chế và chính sách đã đề ra.

- Đề cao tính bảo mật trong hệ thống thông tin.

3.3.3. Về dữ liệu

- Về dữ liệu lƣu trữ tại trung tâm thì xây dựng phần mềm mã hóa dữ liệu theo giải thuật RSA/ DES/AES để mã hóa dữ liệu.

- Các dữ liệu đƣa lên trang thông tin điện tử thì đƣợc ký số để xác minh, chứng thực nguồn gốc tài liệu.

3.3.4. Đề xuất giả pháp chữ ký số cho trang thông tin điện tử Mô hình chứng thực quốc gia: Mô hình chứng thực quốc gia:

Mô hình chứng thực quốc gia gồm 2 khu vực: Khu vực công cộng và khu vực chuyên dùng phục vụ các cơ quan thuộc hệ thống chính trị. Khu vực công cộng cung cấp dịch vụ chứng thực cho các cơ quan, tổ chức, cá nhân sử dụng trong các hoạt động công cộng. Khu vực chuyên dùng cung cấp các dịch vụ cho các cơ quan thuộc hệ thống chính trị.[5]

Theo điều 6 nghị định 26/2007/NĐ-CP quy định trách nhiệm quản lý về dịch vụ chứng thực chữ ký số, Bộ Bƣu chính, Viễn thông ( nay là Bộ Thông Tin Truyền Thông) thành lập và duy trì hoạt động của tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia. Tổ chức chứng thực chữ ký số quốc gia là duy nhất và cung cấp dịch vụ chứng thực cho các tổ chức chứng thực chữ ký số công cộng. Ban Cơ yếu Chính phủ thành lập và duy trì hoạt động của tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng phục vụ các cơ quan thuộc hệ thống chính trị.

Tổ chức chứng thực chuyên dùng:

Tổ chức chứng thực chuyên dùng là tổ chức cung cấp các dịch vụ chứng thực cho các cơ quan, tổ chức, cá nhân có cùng tính chất hoạt động hoặc mục

đích công việc và đƣợc liên kết với nhau thông qua điều lệ hoạt động hoặc văn bản quy phạm pháp luật quy định cơ cấu tổ chức chung hoặc hình thức liên kết, hoạt động chung. Hoạt động của tổ chức chứng thực chuyên dùng nhằm phục vụ nhu cầu giao dịch nội bộ và không nhằm mục đích kinh doanh.

Trung tâm chứng thực điện tử chuyên dùng Chính phủ - Ban Cơ yếu Chính phủ là một tổ chức chứng thực chuyên dùng có nhiệm vụ cung cấp các dịch vụ nền tảng nhằm đảm bảo an toàn cho các giao dịch trên mạng phục vụ các cơ quan thuộc hệ thống chính trị.

Các dịch vụ cung cấp trong hệ thống chứng thực chuyên dùng Chính phủ gồm:

- Công bố thông tin về hệ thống chứng thực - Nhóm dịch vụ chứng thƣ số

- Cấp mới, cấp lại, thu hồi chứng thƣ số.

- Duy trì CSDL chứng thƣ số và danh sách chứng thƣ số đã thu hồi - Dịch vụ chứng thực chữ ký số

- Hỗ trợ tạo chữ ký số

- Kiểm tra tính hợp lệ của chữ ký số - Dịch vụ thời gian

- Cung cấp thời gian đồng bộ tới các máy

- Cung cấp tem (nhãn, dấu) thời gian cho các giao dịch

Quy trình cấp chứng thƣ số: - Lập danh sách thuê bao

Đối tƣợng cấp chứng thƣ số đƣợc gọi là thuê bao. Thuê bao đề nghị cấp chứng thƣ số phải là tổ chức hoặc cá nhân thuộc hệ thống chính trị. Thuê bao gửi đề nghị cấp chứng thƣ số đến ngƣời có trách nhiệm quản lý thuê bao.

Ngƣời có trách nhiệm quản lý thuê bao là ngƣời đứng đầu các cơ quan. Ngƣời có trách nhiệm quản lý thuê bao căn cứ yêu cầu đảm bảo an toàn và

xác minh thông tin trong giao dịch điện tử phục vụ nhiệm vụ của cơ quan, tổ chức mình, xét duyệt và lập danh sách thuê bao đề nghị cấp chứng thƣ số.

- Gửi yêu cầu cấp phát chứng thƣ số

Danh sách các thuê bao đề nghị cấp chứng thƣ số đƣợc gửi tới Cơ quan tiếp nhận yêu cầu chứng thực - Cục Cơ yếu 893 – Ban Cơ yếu Chính phủ (địa chỉ: 60 Nguyễn Chí Thanh, Đống Đa, Hà Nội. Email: c893@ca.gov.vn).

Sau khi nhận đƣợc đề nghị cấp chứng thƣ số, Cơ quan tiếp nhận yêu cầu chứng thực kiểm tra hồ sơ, nếu hợp lệ thì lập danh sách đề nghị cấp chứng thƣ số gửi về Trung tâm chứng thực chuyên dùng Chính phủ - Ban Cơ yếu Chính phủ.

- Phát hành chứng thƣ số

Ngay sau khi nhận đƣợc danh sách đề nghị cấp chứng thƣ số của Cơ quan tiếp nhận yêu cầu chứng thực, Trung tâm chức chứng chuyên dùng Chính phủ tạo chứng thƣ số cho thuê bao.

- Chuyển giao chứng thƣ số tới thuê bao

Trung tâm chứng thực chuyên dùng Chính phủ chuyển giao chứng thƣ số cho Cơ quan tiếp nhận yêu cầu chứng thực để chuyển giao cho Ngƣời có trách nhiệm quản lý thuê bao. Ngƣời có trách nhiệm quản lý thuê bao bàn giao chứng thƣ số tới thuê bao.

3.3.5. Triển khai dịch vụ chứng thực. Nội dung triển khai: Nội dung triển khai:

Nội dung triển khai dịch vụ chứng thực tới các cơ quan thuộc hệ thống chính trị bao gồm những công việc sau:

Tƣ vấn triển khai và ứng dụng các dịch vụ chứng thực.

Cấu hình các thiết bị đƣờng truyền dữ liệu tới Trung tâm chứng thực chuyên dung Chính phủ - Ban Cơ yếu Chính phủ.

Cấp phát chứng thƣ số và phần mềm (client) ký tài liệu Cài đặt phần mềm ký tại liệu

Hƣớng dẫn sử dụng phần mềm ký tài liệu.

Hƣớng dẫn tích hợp các dịch vụ chứng thực vào phần mềm nghiệp vụ của các cơ quan nhà nƣớc.

Tƣ vấn các vấn đề có liên quan khác.

Điều kiện triển khai:

Để có thể triển khai hệ thống chứng thực, các cơ quan cần thỏa mãn một số điều kiện sau:

- Có nhu cầu sử dụng hệ thống chứng thực để đảm bảo an toàn cho các giao dịch trên mạng.

- Có bộ phận chuyên trách về công nghệ thông tin có khả năng hỗ trợ ngƣời dùng cuối.

- Có hệ thống mạng nội bộ kết nối với mạng số liệu chuyên dùng các cơ quan Đảng, Nhà nƣớc hoặc mạng Internet.

Hiện tai có thể triển khai những ứng dụng nhƣ:

- Bảo mật email

- Bảo mật máy chủ (webserver), VPN. - Phần mềm client mã hóa email

KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN 1. Luận văn có kết quả chính là:

- Nghiên cƣ́u tổng quan về Bảo mật hệ thống thông tin.

- Nghiên cứu một số bài toán bảo mật, mã hóa, đảm bảo an toàn trong hệ thống thông tin

- Đề xuất các phƣơng pháp bảo mật cho hệ thống an toàn thông tin trong Thƣ viện trƣờng đại học Tài Nguyên và Môi trƣờng Hà Nội.

- Kết hợp với các nhà cung cấp ứng dụng PKI: dịch vụ chứng chỉ số của FPT, VNPT, BKAV,... để đề xuất các giải pháp tƣ vấn phù hợp nhất triển khai cho từng mô hình hệ thống.

2. Hƣớng phát triển của luận văn:

Tiếp tục nghiên cứu để hƣớng đến xây dựng hoàn thiện các hệ thống khác nhau với độ bảo mật cao.

Áp dụng các nghiên cứu tiên tiến trên thế giới về các giải pháp kỹ thuật bảo mật hệ thống, từ đó hoàn thiện và tối ƣu hoá mô hình ứng dụng. Kết hợp thuâ ̣t toán t ối ƣu về mã hóa khóa đối xứng và mã hóa khóa công khai vào chƣơng trình mã hóa tài liê ̣u.

Xây dựng phần mềm chữ ký điện tử, áp dụng trên nền web phục vụ cho trung tâm thông tin Thƣ viên.

Tác giả rất mong tiếp tục nhận đƣợc sự ủng hộ góp ý quý báu của thầy cô, bạn bè để luận văn đƣợc hoàn thiện hơn, mang lại các ứng dụng hiệu quả thiết thực trong tƣơng lai./.

TÀI LIỆU THAM KHẢO Tiếng Việt

[1]. Phan Đình Diệu (2002), Lý thuyết mật mã và an toàn thông tin Nxb Hà Nội

[2]. An toàn bảo mật thông tin của Lê Thụy Khoa công nghệ thông tin – Đại học dân lập Hải Phòng.

[3]. Giáo trình an toàn và bảo mật thông tin của Đại học Hàng Hải

[4]. Bài giảng bảo mật hệ thống thông tin của Học viện Bƣu chính Viễn Thông

[5]. http://ca.gov.vn

Một phần của tài liệu Nghiên cứu bảo mật hệ thống thông tin và đề xuất giải pháp bảo mật cho hệ thống thông tin thư viện của trường đại học tài nguyên môi trường hà nội (Trang 62)

Tải bản đầy đủ (PDF)

(73 trang)