Qua biểu đồ có thể thấy 50% CSDL được lưu trữ vào máy tính cá nhân, và dữ liệu này là những dữ liệu dùng cho công việc chuyên của cá nhân. 45% là CSDL được lưu dữ vào máy chỉ, là những thông tin chung, thông tin mật của Sở. 5% còn lại là những dữ liệu cần thiết dùng cách lưu dữ thủ công.
Cách thức bảo vệ CSDL được sử dụng tại Sở: Phân quyền người sử dụng
Mã hóa dữ liệu Đặt password
Đã có một số nhân viên đã đặt password cho máy tính và tài liệu của mình để bảo vệ thơng tin dữ liệu. Bên cạnh đó, hệ thống CSDL của Sở đã được phân quyền sử
dụng một cách cụ thể để đảm bảo tính bí mật của thơng tin, tránh trường hợp người khơng có hoạt động liên quan được truy cập tự do vào CSDL Sở.
Nhìn chung Sở sử dụng hình thức bảo vệ cơ sở dữ liệu khá hợp lý, và ít rủi do.
2.2.4.Con người
Với vấn đề về con người e đưa ra câu hỏi trong phiếu điều tra kết hợp phỏng vấn và kết quả thu được như sau:
Sở có riêng đội ngũ nhân viên chuyên trách về CNTT đạt trình độ đại học. Bên cạnh đó 100% nhân viên trong Sở đều sử dụng máy tính thành thạo, được trang bị những kiến thức cơ bản về an tồn thơng tin và tn thủ theo những chính sách quy định nghiêm ngặt của Sở.
Trình độ về CNTT của nhân viên trong Sở đã đạt yêu cầu, đáp ứng được các nhu cầu về ứng dụng và sử dụng các phần mềm trong cơng việc. Tuy nhiên vẫn cịn một số hạn chế, chính vì thế, Sở ln có nhu cầu đào tạo nâng cao nhận thức, sự hiểu biết của các nhân viên về CNTT nói chung và về an tồn bảo mật hệ thống thơng tin nói riêng để có thể ứng dụng, hồn thành cơng việc đạt hiểu quả và tính an tồn cao.
Sở đã đánh giá được tầm quan trong của yếu tố con người trong vấn đề đảm bảo an toàn và bảo mật HTTT. Những nhân viên mới hay nhân viên chưa có kinh nghiệm sẽ được các nhân viên có kinh nghiệm trực tiếp đào tạo, bổ sung thêm kiến thức để phục vụ công việc. Việc làm này giúp giảm bớt chi phí đào tạo và tăng tinh thần đồng đội đoàn kết, thân thiết hơn. Ngoài ra cách thức mở lớp đào tạo và gửi nhân viên đi học được Sở áp dụng và cũng mang lại giá trị đáng kể tuy nhiên sẽ mất nhiều chi phí hơn.
2.3.Đánh giá về thực trạng an toàn bảo mật cho HTTT Sở Tài Chính Thái Bình
2.3.1 Ưu điểm
Trang thiết bị phần cứng được trang bị đầy đủ và hiện đại. Đây sẽ là một sự khởi
tầng về CNTT hiện tại của Sở hoàn tồn đáp ứng được khả năng tin học hóa hệ thống thông tin quản lý dự án, hỗ trợ tốt các phần mềm ứng dụng, đáp ứng được nhu cầu lưu trữ và xử lý thông tin liên quan đến dự án của Sở.
Cơ chế sao lưu dữ liệu thường xuyên giúp Sở hạn chế tối thiểu những tổn thất khi thông tin gặp phải sự cố như hỏng hóc hay bị sửa đổi, bị xóa.
Hệ thống CSDL của Sở đã được phân quyền sử dụng một cách cụ thể để đảm bảo tính bí mật của thơng tin, tránh trường hợp người khơng có hoạt động liên quan được truy cập tự do vào CSDL của Sở.
Phần lớn nhân viên và ban lãnh đạo Sở đã nhận thức được tầm quan trọng của ATBM HTTT đối với hoạt động kinh doanh và sự phát triển của Sở.
2.3.2. Nhược điểm
Thực trạng về an toàn bảo mật của Sở hiện nay đang là vấn đề rất nóng hổi. Vấn đề về bảo mật, an tồn phần cứng. Việc bảo vệ phần cứng ở Sở còn sơ sài chưa được chú trọng, chưa được vệ sinh thường xuyên dẫn đến việc bị hỏng hóc các thiết bị. Chưa có biện pháp ngăn chặn tối ưu kẻ xâm nhập bất hợp pháp. Chưa có biện pháp theo dõi nhật ký của máy tính để phịng ngừa khi khơng xử dụng có kẻ xâm nhập hệ thống một cách bất hợp pháp.
Vấn đề an toàn bảo mật cho phần mền cần được quan tâm nhiều hơn. Các vụ tấn cơng xảy ra có 90% là do virus gây ra dẫn đến là do một số nhân viên sử dụng phần mền crack và ít sử dụng phần mền diệt virus. Đây chính là một trong những nguy cơ tiềm ẩn gây mất an toàn HTTT cần Sở phải quan tâm và nhắc nhở nhân viên của mình. Việc mua bản quyền phần mềm giúp tránh được rủi ro từ việc tải phần mềm miễn phí) có kèm theo virus, mã độc…) đồng thời có thể thường xuyên được cập nhật thông tin về các nguy cơ ATTT, cập nhật các bản và lỗi của nhà sản xuất. Hơn nữa các phần mền và ứng dụng không đặt mật khẩu riêng để đảm bảo tính an tồn. Khi sử dụng phần mềm chuyên biệt chưa phân quyền người dùng dẫn đến việc truy cập dữ liệu ngang nhau để lộ thông tin. Khi hệ thống gặp sự cố chưa có cách khắc phục tốt nhất. Mạng wifi chưa có hệ thống bảo mật đường truyền tốt.
Một trong những vấn đề quan trọng nhất đó là thành phần con người. Sở chưa kiểm sốt nội bộ chặt chẽ, nhân viên chưa có kiến tức chuyên sâu về ATBM.
CHƯƠNG 3: ĐỊNH HƯỚNG PHÁT TRIỂN VÀ ĐỀ XUẤT GIẢI PHÁP ĐẢM BẢO AN TỒN VÀ BẢO MẬT THƠNG TIN TẠI SỞ TÀI CHÍNH THÁI BÌNH
3.1 Định hướng phát triển an tồn cho HTTT Sở Tài chính Thái Bình
Với tốc độ phát triển như vũ bão của CNTT hiện nay thì nhu cầu sử dụng máy tính của con người càng ngày càng cao và đóng vai trị khơng thể thiếu được trong công việc và cuộc sống. Song song với sự phát triển đó, tội phạm về CNTT, đặc biệt là tội phạm cơng nghệ cao có xu hướng gia tăng và ngày càng tinh vi, phức tạp hơn. Chính vì vậy an tồn và bảo mật HTTT ln là một vấn đề khó và bức thiết.
Chính vì vậy, bắt buộc Sở phải quan tâm đến an toàn và bảo mật HTTT của Sở. Sở Tài chính Thái Bình cần phải xác định những bước đi đúng đắn trong việc ứng dụng CNTT của mình để theo kịp sự phát triển chung của xã hội. Cụ thể Sở cần định hướng xây dựng HTTT đảm bảo được các yếu tố sau :
- Triển khai hệ thống bảo mật hệ thống mạng tại STC
- Thay thế thiết bị máy chủ, triển khai theo mơ hình ảo hóa đảm bảo tính sẵn sàng cho các ứng dụng hoạt động liên tục: STC.
- Xây dựng hệ thống sao lưu dữ liệu tập trung cho STC và các PTC để đảm bảo cho các phần mềm ứng dụng hoạt động liên tục.
- Bổ sung, thay thế máy tính để bàn, máy tính xách tay, máy in đã hết hao mòn. - Thay thế Router kết nối mạng HTTT cho các PTC khai thác ứng dụng TABMIS (thiết bị cũ triển khai từ năm 2010 đến nay hay bị treo).
- Tập huấn về quản trị, vận hành hệ thống mạng, CSDL, hệ điều hành - Tập huấn các phần mềm đã triển khai: QLNS, QLTS, ...
3.2. Các đề xuất nhằm nâng cao an tồn và bảo mật thơng tin cho hệ thống thơng tin của Sở Tài chính Thái Bình
3.2.1. Giải pháp an tồn bảo mật cho phần cứng
3.2.1.1 Thay thế máy tính để bàn, máy in và bổ sung các thiết bị tin học văn phịng khác
Các máy tính để bàn, máy in và bổ sung các thiết bị tin học văn phòng khác cần thay thế, bổ sung như sau:
STT Nội dung Đvt Số lượng Ghi chú
1 Máy tính Bộ 390
Thay thế dần các máy tính cũ đã hết thời gian hao mịn, thời gian bảo hành
Máy trạm + UPS cho STC Bộ 80
Máy trạm + UPS cho PTC Bộ 24
Máy trạm + UPS cho Ban TC xã Bộ 286
2 Máy in A4 Chiếc 32 Thay thế dần các máy
tính cũ đã hết thời gian hao mòn, thời gian bảo hành
Máy in cho STC Chiếc 16
Máy in cho PTC Chiếc 16
3 Máy chiếu Chiếc 1 Phục vụ phòng họp,
đào tạo 4 Thiết bị mạng (Dây mạng, nút
mạng, kìm mạng, Test dây mạng…)
Phục vụ sửa chữa hệ thống mạng STC
Bảng 7 : Các máy tính để bàn, máy in và bổ sung các thiết bị tin học văn phòng khác cần thay thế
Yêu cầu kỹ thuật
o Để đảm bảo u cầu chun mơn của STC, PTC, Ban Tài chính cấp xã và hiệu quả đầu tư cho NSNN, đề xuất lựa chọn phương án kỹ thuật đối với Máy tính để bàn, thiết bị lưu điện (UPS) và máy in, thiết bị mạng theo tiêu chuẩn kỹ thuật quy định tại Quyết định 1340/QĐ-BTC ngày 14/06/2016 của BTC về việc ban hành quy định tiêu chuẩn về ứng dụng công nghệ thơng tin trong các cơ quan hành chính, đơn vị sự nghiệp thuộc BTC.
o Máy chiếu:
Màn hình: LCD
Độ sáng: 2600 lumens
Độ tương phản: 3300:1
Độ phân giải: 1024x768 pixels.
Tuổi thọ bóng đèn: 4000 giờ.
Cổng kết nối: VGA, HDMI, USB, LAN.
3.2.1.2. Thay thế Router kết nối mạng HTTT cho các PTC khai thác ứng dụng TABMIS (thiết bị cũ triển khai từ năm 2010 đến nay hay bị treo)
Thay thế Router cho 8 PTC.
Yêu cầu kỹ thuật
Để đảm bảo yêu cầu chuyên môn của PTC và hiệu quả đầu tư cho NSNN, đề xuất lựa chọn phương án kỹ thuật đối với Router theo tiêu chuẩn kỹ thuật quy định tại Quyết định 1340/QĐ-BTC ngày 14/06/2016 của BTC về việc ban hành quy định tiêu chuẩn về ứng dụng công nghệ thơng tin trong các cơ quan hành chính, đơn vị sự nghiệp thuộc BTC.
3.2.1.3.Ảo hóa máy chủ, hệ thống sao lưu, lưu trữ dữ liệu
Hiện trạng hệ thống CNTT của STC thể hiện qua mơ hình logic sau:
S T C Q L N S Q T N S Q L C V T r a n g T T D T F i l e S e r v e r A D P T C 0 1 Q L N S W A N B T C P T C 0 2 Q L N S P T C . . . N Q L N S Hình 1 : Hiện trạng hệ thống CNTT của STC
STC: Gồm hệ thống các máy chủ thuộc STC chứa nhiều dịch vụ như quản lý định danh (Active Directory), dịch vụ chia sẻ dữ liệu (File Server), dịch vụ TTDT, hệ thống QLNS, hệ thống QTNS và hệ thống QLCV...
PTC: Bao gồm 1 số máy chủ ứng dụng còn đặt tại các PTC.
Việc đặt một số máy chủ, thiết bị hay dịch vụ tại PTC sẽ khơng cịn được sử dụng nên hệ thống ảo hóa sẽ được xây dựng nhằm phục vụ hệ thống công nghệ thông tin (CNTT) tại STC.
1. Đề xuất phương án ảo hóa máy chủ cho hệ thống tại STC: *Mơ hình hạ tầng hệ thống ảo hố máy chủ
Dựa trên hiện trạng và yêu cầu xây dựng hệ thống ảo hóa, mơ hình kiến trúc hệ thống ảo hóa máy chủ được đề xuất bao gồm cụm máy chủ:
M á y c h ủ ả o h ó a c h o ứ n g d ụ n g c ủ a S T C M á y c h ủ A D M á y c h ủ F ile , p r in t s e r v e r M á y c h ủ c h o Q L C B Q L N S P T C 0 1 0 2 m á y c h ủ v ậ t lý c h o P T C
T h iế t b ị lư u t r ữ t ậ p t r u n g c h o ả o h ó a T h iế t b ị s a o lư u t ậ p t r u n g M á y c h ủ q u ả n t r ị s a o lư u d ữ liệ u 0 2 m á y c h ủ v ậ t lý c h o S T C M á y c h ủ Q L C V Q L N S P T C 0 2 Q L N S P T C 0 3 Q L N S P T C ... M á y c h ủ C S D L v ề t à i c h ín h c ủ a C a o B ằ n g M á y c h ủ Q L N S M á y c h ủ ả o h ó a c h o ứ n g d ụ n g c ủ a P T C