2.3. Thực trạng quản lý ứng dụng CNTT trong hoạt động thư viện tại Trung
2.3.4. Thực trạng quản lý phần mềm ứng dụng
Căn cứ vào nhu cầu cấp thiết trong hoạt động thư viện, Lãnh đạo Trung tâm xây dựng kế hoạch trang bị phần mềm ứng dụng để trình ĐHQGHN phê duyệt, triển khai.
Các phần mềm ứng dụng được sử dụng đều là những phần mềm bản quyền được trang bị theo nhu cầu của trung tâm. Những phần mền này được sự kiểm duyệt chặt chẽ của các cơ quan về an ninh mạng.
Các phần mềm ứng dụng có thể coi như một tài sản cố định nhưng được nâng cấp, “làm mới” thường xuyên và được hỗ trợ kỹ thuật từ phía nhà cung cấp.
Việc sử dụng các phần mềm ứng dụng được thực hiện và quản lý chặt chẽ nhằm tránh việc thất thốt, rị rỉ thơng tin cũng như bị tin tặc tấn công. Do vậy công tác quản lý phần mềm ứng dụng thường được tập trung chủ yếu vào vấn đề bảo mật thông tin.
Nhằm đảm bảo về quản lý an ninh thơng tin thì Trung tâm thơng tin thư viện đã triển khai, trang bị và sử dụng một số nội dung đảm bảo an ninh và bảo mật thông tin như hệ thống tường lửa (FireWall) dưới dạng phần mềm được cài đặt trên Server. Ngoài ra, nhằm nâng cao tính bảo mật thơng tin, Trung tâm đã sử dụng Công nghệ phát hiện và ngăn chặn xâm nhập mạng IDS/IPS, bao gồm:
Hệ thống phát hiện xâm nhập (Intrusion Detect System - IDS).
Hệ thống phát hiện xâm nhập cung cấp thêm cho việc bảo vệ thông tin mạng ở mức độ cao hơn. IDS cung cấp thông tin về các cuộc tấn công vào hệ thống mạng. Tuy nhiên IDS không tự động cấm hoặc là ngăn chặn các cuộc tấn công.
Hệ thống ngăn chặn xâm nhập (Intrusion Prevent System-IPS).
Giải pháp ngăn ngừa xâm nhập nhằm mục đích bảo vệ tài nguyên, dữ liệu và mạng. Chúng sẽ làm giảm bớt những mối đe dọa tấn công bằng việc loại bỏ lưu lượng mạng bất hợp pháp, trong khi vẫn cho phép các hoạt động hợp pháp được tiếp tục.
IPS ngăn chặn các cuộc tấn công dưới những dạng sau:
- Ứng dụng không mong muốn và tấn công kiểu “Trojan horse” nhằm vào mạng và ứng dụng cá nhân, qua việc sử dụng các nguyên tắc xác định và danh sách kiểm soát truy nhập.
- Các tấn công từ chối dịch vụ như “lụt” các gói tin SYN và ICMP bởi việc dùng các thuật toán dựa trên cơ sở “ngưỡng”.
- Sự lạm dụng các ứng dụng và giao thức qua việc sử dụng những qui tắc giao thức ứng dụng và chữ kí.
- Những tấn cơng quá tải hay lạm dụng ứng dụng bằng việc sử dụng giới hạn tài nguyên dựa trên cơ sở ngưỡng.
Modul phân tích gói:
Nhiệm vụ phân tích cấu trúc thơng tin trong các gói tin. Card giao tiếp mạng (NIC) của máy giám sát được đặt ở chế độ khơng phân loại, các gói tin qua chúng đều được sao chép và chuyển lên lớp trên.
Modul phát hiện tấn công:
Modul quan trọng nhất trong hệ thống, có khả năng phát hiện các cuộc tấn cơng. Có 2 phương pháp phát hiện các cuộc tấn cơng xâm nhập:
- Dị tìm sự lạm dụng (Missuse Detection): Phương pháp này phân tích các hoạt động của hệ thống, tìm kiếm dựa trên các dấu hiệu tấn công, tức là các sự kiện giống các mẫu tấn công đã biết.
Ƣu điểm: phát hiện các cuộc tấn cơng nhanh và chính xác, khơng đưa
ra các cảnh báo sai làm giảm khả năng hoạt động của mạng, giúp người quản trị xác định các lỗ hổng bảo mật trong hệ thống của mình.
Nhƣợc điểm: Không phát hiện được các tấn cơng khơng có trong mẫu,
các tấn cơng mới. Do đó hệ thống phải ln cập nhật các mẫu tấn công mới.
Modul phản ứng:
Khi có dấu hiệu của sự tấn cơng hoặc xâm nhập thì modul phát hiện tấn cơng sẽ gửi tín hiệu thơng báo đến modul phản ứng. Khi đó, modul phản ứng sẽ kích hoạt Firewall thực hiện chức năng ngăn chặn cuộc tấn công. Tại đây nếu chỉ đưa ra các cảnh báo tới người quản trị và dừng lại ở đó thì hệ thống này được gọi là hệ thống phòng thủ bị động.
Một số kĩ thuật ngăn chặn:
- Chấm dứt phiên làm việc (Terminate Session): Hệ thống IPS gửi các gói tin reset thiết lập lại cuộc giao tiếp tới Client và Server. Kết quả cuộc giao tiếp sẽ được bắt đầu lại và cuộc tấn công bị ngừng lại.
Nhược điểm: thời gian gửi gói tin reset là quá chậm so với cuộc tấn công; phương pháp này không hiệu quả với các giao thức hoạt động trên UDP như DNS; các gói reset phải có trường Sequence number đúng thì server mới chấp nhận: Cảnh báo tức thì (Realtime Alerting), Tạo ra bản ghi log (Log packet).
Ba modul trên hoạt động tuần tự tạo nên IPS hoàn chỉnh. IPS được xem là thành công nếu chúng hội tụ được các yếu tố như thực hiện nhanh, chính xác, đưa ra các thơng báo hợp lý, phân tích được tồn bộ thơng lượng, ngăn chặn thành cơng và có chính sách quản lí mềm.
Những hạn chế của IDS /IPS.
So với Firewall, IDS/ IPS đã thể hiện được nhiều tính năng ưu việt. Nó khơng chỉ có khả năng phát hiện ra các cuộc tấn cơng, mà cịn chống lại các cuộc tấn công này một cách hữu hiệu. Tuy vậy hệ thống này vẫn còn những hạn chế sau:
Các sản phẩm IPS không thể nhận biết được trạng thái tầng ứng dụng (chỉ có thể nhận biết được các dịng thơng tin trên tầng mạng). Do vậy các cuộc tấn công trên tầng ứng dụng sẽ không bị phát hiện và ngăn chặn.
Để có cái nhìn khách quan hơn về các phần mềm đang được ứng dụng tại Trung tâm, trong phạm vi đề tài, tơi có thực hiện một điều tra bằng phiếu hỏi đối với 91 cán bộ của Trung tâm và đối với 465 bạn đọc về các phần mềm ứng dụng theo 5 mức đánh giá là Rất tốt; Tốt; Bình thường; Khơng tốt lắm; Khơng tốt. Kết quả thu được ở bảng sau:
Bảng 2.8. Số liệu khảo sát về sử dụng các phân mềm ứng dụng
Rất tốt Tốt Bình thường Khơng tốt lắm Không tốt Cán bộ 31 48 12 0 0 Bạn đọc 57 289 102 17 0
Biểu đồ 2.4. Biểu đồ đánh giá của cán bộ nghiệp vụ về các phầm mềm
Thông qua những số liệu và biểu đồ trên, ta thấy, đa phần cán bộ nghiệp vụ và bạn đọc đề đánh giá cao về việc sử dụng các phần mềm trong công tác chuyên môn thư viện của Trung tâm.