b. Về phần mềm
- Thiết lập các chính sách bảo mật trên server
- Thiết lập cơ chế sao lƣu dữ liệu đồng bộ và tự động.
Trong chiến lƣợc tổng quan về an ninh thông tin, không thể không kể đến các phƣơng án phục hồi và đối phó sự cố. Tổ chức hệ thống mạng sẽ phải có một hệ thống lƣu trữ chuyên nghiệp, đáp ứng nhu cầu lƣu trữ thông tin ngày càng nhiều, đảm bảo các yêu cầu về độ tin cậy, khả năng mở rộng, quản trị dễ dàng, đảm bảo lƣu trữ cho các ứng dụng của bộ trên toàn hệ thống.
- Thiết lập cơ chế phục hồi dữ liệu - Thiết lập chính sách về tài khoản. - Thiết lập chính sách giám sát,
- Thiết lập sự kiện đăng nhập cho hệ thống
- Có áp dụng chính sách IP Sec đƣợc áp dụng để kiểm soát IP truy cập vào server.
- Thiết lập các chính sách về tài khoản (Account policies)
c. Bảo mật cho hệ thống Windows (Máy trạm)
Một trong những yếu tố quan tâm hàng đầu trong việc thiết kế bảo mật một hệ thống thông tin đó là kiểm soát chặt chẽ tất cả các máy tính của tổ chức. Vì chúng là nơi cất giữ tài sản thông tin có giá trị của tổ chức. Kẻ tấn công có thể trực tiếp tấn công thẳng vào máy tính và lấy đi những dữ liệu quý báu.
Việc xác định những mối đe dọa và những lỗ hỗng ở tất cả máy tính trong tổ chức là điều thiết yếu và cấp bách .
- Thiết lập cơ chế tạo account và password an toàn. - Vận hành máy tính đúng quy trình.
- Sử dụng password phức hợp, chánh sử dụng một password cho nhiều account.
3.3.2. Về con ngƣời:
Nguồn nhân lực luôn là vấn đề cốt lõi trong công tác an toàn, bảo mật hệ thống thông tin.
Làm thế nào để quản lý ngƣời dùng? Chúng ta có thể thiết lập các quy chế sử dụng thiết bị nhƣ một cách bắt buộc. Nhƣng làm thế nào để phát hiện cũng nhƣ ngăn chặn các hành động cố ý: Nhƣ cấm ngƣời dùng có thể cài đƣợc các phần mềm không đƣợc phép. Hoặc trong trƣờng hợp phát hiện ra bất kỳ một dấu hiệu nào vi phạm. Công việc cần và đủ là phải khoanh đƣợc vùng
và yêu cầu ngƣời sử dụng sử dụng thiết bị cũng nhƣ các phần mềm một cách hợp lý
- Thiết lập các cơ chế và chính sách phù hợp với yêu cầu của trung tâm. - Thƣờng xuyên hƣớng dẫn, đào tạo các cán bộ trong trung tâm có kiến thức về công nghệ thông tin về an toàn, bảo mật thông tin. Sử dụng hệ thống đúng quy trình, luôn luôn tuân thủ các cơ chế và chính sách đã đề ra.
- Đề cao tính bảo mật trong hệ thống thông tin.
3.3.3. Về dữ liệu
- Về dữ liệu lƣu trữ tại trung tâm thì xây dựng phần mềm mã hóa dữ liệu theo giải thuật RSA/ DES/AES để mã hóa dữ liệu.
- Các dữ liệu đƣa lên trang thông tin điện tử thì đƣợc ký số để xác minh, chứng thực nguồn gốc tài liệu.
3.3.4. Đề xuất giả pháp chữ ký số cho trang thông tin điện tử Mô hình chứng thực quốc gia: Mô hình chứng thực quốc gia:
Mô hình chứng thực quốc gia gồm 2 khu vực: Khu vực công cộng và khu vực chuyên dùng phục vụ các cơ quan thuộc hệ thống chính trị. Khu vực công cộng cung cấp dịch vụ chứng thực cho các cơ quan, tổ chức, cá nhân sử dụng trong các hoạt động công cộng. Khu vực chuyên dùng cung cấp các dịch vụ cho các cơ quan thuộc hệ thống chính trị.[5]
Theo điều 6 nghị định 26/2007/NĐ-CP quy định trách nhiệm quản lý về dịch vụ chứng thực chữ ký số, Bộ Bƣu chính, Viễn thông ( nay là Bộ Thông Tin Truyền Thông) thành lập và duy trì hoạt động của tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia. Tổ chức chứng thực chữ ký số quốc gia là duy nhất và cung cấp dịch vụ chứng thực cho các tổ chức chứng thực chữ ký số công cộng. Ban Cơ yếu Chính phủ thành lập và duy trì hoạt động của tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng phục vụ các cơ quan thuộc hệ thống chính trị.
Tổ chức chứng thực chuyên dùng:
Tổ chức chứng thực chuyên dùng là tổ chức cung cấp các dịch vụ chứng thực cho các cơ quan, tổ chức, cá nhân có cùng tính chất hoạt động hoặc mục
đích công việc và đƣợc liên kết với nhau thông qua điều lệ hoạt động hoặc văn bản quy phạm pháp luật quy định cơ cấu tổ chức chung hoặc hình thức liên kết, hoạt động chung. Hoạt động của tổ chức chứng thực chuyên dùng nhằm phục vụ nhu cầu giao dịch nội bộ và không nhằm mục đích kinh doanh.
Trung tâm chứng thực điện tử chuyên dùng Chính phủ - Ban Cơ yếu Chính phủ là một tổ chức chứng thực chuyên dùng có nhiệm vụ cung cấp các dịch vụ nền tảng nhằm đảm bảo an toàn cho các giao dịch trên mạng phục vụ các cơ quan thuộc hệ thống chính trị.
Các dịch vụ cung cấp trong hệ thống chứng thực chuyên dùng Chính phủ gồm:
- Công bố thông tin về hệ thống chứng thực - Nhóm dịch vụ chứng thƣ số
- Cấp mới, cấp lại, thu hồi chứng thƣ số.
- Duy trì CSDL chứng thƣ số và danh sách chứng thƣ số đã thu hồi - Dịch vụ chứng thực chữ ký số
- Hỗ trợ tạo chữ ký số
- Kiểm tra tính hợp lệ của chữ ký số - Dịch vụ thời gian
- Cung cấp thời gian đồng bộ tới các máy
- Cung cấp tem (nhãn, dấu) thời gian cho các giao dịch
Quy trình cấp chứng thƣ số: - Lập danh sách thuê bao
Đối tƣợng cấp chứng thƣ số đƣợc gọi là thuê bao. Thuê bao đề nghị cấp chứng thƣ số phải là tổ chức hoặc cá nhân thuộc hệ thống chính trị. Thuê bao gửi đề nghị cấp chứng thƣ số đến ngƣời có trách nhiệm quản lý thuê bao.
Ngƣời có trách nhiệm quản lý thuê bao là ngƣời đứng đầu các cơ quan. Ngƣời có trách nhiệm quản lý thuê bao căn cứ yêu cầu đảm bảo an toàn và
xác minh thông tin trong giao dịch điện tử phục vụ nhiệm vụ của cơ quan, tổ chức mình, xét duyệt và lập danh sách thuê bao đề nghị cấp chứng thƣ số.
- Gửi yêu cầu cấp phát chứng thƣ số
Danh sách các thuê bao đề nghị cấp chứng thƣ số đƣợc gửi tới Cơ quan tiếp nhận yêu cầu chứng thực - Cục Cơ yếu 893 – Ban Cơ yếu Chính phủ (địa chỉ: 60 Nguyễn Chí Thanh, Đống Đa, Hà Nội. Email: c893@ca.gov.vn).
Sau khi nhận đƣợc đề nghị cấp chứng thƣ số, Cơ quan tiếp nhận yêu cầu chứng thực kiểm tra hồ sơ, nếu hợp lệ thì lập danh sách đề nghị cấp chứng thƣ số gửi về Trung tâm chứng thực chuyên dùng Chính phủ - Ban Cơ yếu Chính phủ.
- Phát hành chứng thƣ số
Ngay sau khi nhận đƣợc danh sách đề nghị cấp chứng thƣ số của Cơ quan tiếp nhận yêu cầu chứng thực, Trung tâm chức chứng chuyên dùng Chính phủ tạo chứng thƣ số cho thuê bao.
- Chuyển giao chứng thƣ số tới thuê bao
Trung tâm chứng thực chuyên dùng Chính phủ chuyển giao chứng thƣ số cho Cơ quan tiếp nhận yêu cầu chứng thực để chuyển giao cho Ngƣời có trách nhiệm quản lý thuê bao. Ngƣời có trách nhiệm quản lý thuê bao bàn giao chứng thƣ số tới thuê bao.
3.3.5. Triển khai dịch vụ chứng thực. Nội dung triển khai: Nội dung triển khai:
Nội dung triển khai dịch vụ chứng thực tới các cơ quan thuộc hệ thống chính trị bao gồm những công việc sau:
Tƣ vấn triển khai và ứng dụng các dịch vụ chứng thực.
Cấu hình các thiết bị đƣờng truyền dữ liệu tới Trung tâm chứng thực chuyên dung Chính phủ - Ban Cơ yếu Chính phủ.
Cấp phát chứng thƣ số và phần mềm (client) ký tài liệu Cài đặt phần mềm ký tại liệu
Hƣớng dẫn sử dụng phần mềm ký tài liệu.
Hƣớng dẫn tích hợp các dịch vụ chứng thực vào phần mềm nghiệp vụ của các cơ quan nhà nƣớc.
Tƣ vấn các vấn đề có liên quan khác.
Điều kiện triển khai:
Để có thể triển khai hệ thống chứng thực, các cơ quan cần thỏa mãn một số điều kiện sau:
- Có nhu cầu sử dụng hệ thống chứng thực để đảm bảo an toàn cho các giao dịch trên mạng.
- Có bộ phận chuyên trách về công nghệ thông tin có khả năng hỗ trợ ngƣời dùng cuối.
- Có hệ thống mạng nội bộ kết nối với mạng số liệu chuyên dùng các cơ quan Đảng, Nhà nƣớc hoặc mạng Internet.
Hiện tai có thể triển khai những ứng dụng nhƣ:
- Bảo mật email
- Bảo mật máy chủ (webserver), VPN. - Phần mềm client mã hóa email
KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN 1. Luận văn có kết quả chính là:
- Nghiên cƣ́u tổng quan về Bảo mật hệ thống thông tin.
- Nghiên cứu một số bài toán bảo mật, mã hóa, đảm bảo an toàn trong hệ thống thông tin
- Đề xuất các phƣơng pháp bảo mật cho hệ thống an toàn thông tin trong Thƣ viện trƣờng đại học Tài Nguyên và Môi trƣờng Hà Nội.
- Kết hợp với các nhà cung cấp ứng dụng PKI: dịch vụ chứng chỉ số của FPT, VNPT, BKAV,... để đề xuất các giải pháp tƣ vấn phù hợp nhất triển khai cho từng mô hình hệ thống.
2. Hƣớng phát triển của luận văn:
Tiếp tục nghiên cứu để hƣớng đến xây dựng hoàn thiện các hệ thống khác nhau với độ bảo mật cao.
Áp dụng các nghiên cứu tiên tiến trên thế giới về các giải pháp kỹ thuật bảo mật hệ thống, từ đó hoàn thiện và tối ƣu hoá mô hình ứng dụng. Kết hợp thuâ ̣t toán t ối ƣu về mã hóa khóa đối xứng và mã hóa khóa công khai vào chƣơng trình mã hóa tài liê ̣u.
Xây dựng phần mềm chữ ký điện tử, áp dụng trên nền web phục vụ cho trung tâm thông tin Thƣ viên.
Tác giả rất mong tiếp tục nhận đƣợc sự ủng hộ góp ý quý báu của thầy cô, bạn bè để luận văn đƣợc hoàn thiện hơn, mang lại các ứng dụng hiệu quả thiết thực trong tƣơng lai./.
TÀI LIỆU THAM KHẢO Tiếng Việt
[1]. Phan Đình Diệu (2002), Lý thuyết mật mã và an toàn thông tin Nxb Hà Nội
[2]. An toàn bảo mật thông tin của Lê Thụy Khoa công nghệ thông tin – Đại học dân lập Hải Phòng.
[3]. Giáo trình an toàn và bảo mật thông tin của Đại học Hàng Hải
[4]. Bài giảng bảo mật hệ thống thông tin của Học viện Bƣu chính Viễn Thông
[5]. http://ca.gov.vn