Thiết lập chính sách an toàn mạng 76 

Một phần của tài liệu Nghiên cứu ứng dụng công nghệ thông tin để xây dựng và phát triển cơ sở dữ liệu Hệ thống ngành kinh tế Việt Nam (Trang 76)

III. An toàn, an ninh dữ liệu 76 

1 Thiết lập chính sách an toàn mạng 76 

Cùng với việc đầu tư thiết bị, việc xây dựng được chính sách bảo mật, an toàn an ninh mạng đảm bảo đáp ứng các yêu cầu cho phép thiết lập một môi trường mạng an toàn cho việc khai thác CSDL VSIC là hết sức cần thiết.

Từ chính sách an toàn mạng tổng thể sẽ đưa ra các chính sách an toàn mạng cụ thể cho từng thiết bị sẽ được thiết lập trong Hệ thống. Thiết lập chính sách an toàn mạng cụ thể sẽ quyết định đến hiệu quả sử dụng đối với từng thiết bị được thiết kế, lắp đặt cụ thể. Khi xây dựng chính sách an toàn an ninh mạng cụ

thể nếu không được thiết lập một cách phù hợp dẫn tới thiết bị bảo vệ sẽ mang lại rất ít giá trị sử dụng.

¾ Thiết lập các chính sách bảo vệ an toàn mạng từ phía lớp trong ra lớp ngoài mạng phải được qui định theo nguyên tắc, chính sách cụ thể sẽ cho phép hoặc từ chối một cách rõ ràng, và các dịch vụ đó phải được sử dụng như thế nào, có các ngoại lệđối với các quy tắc đó như:

- Mọi thứ không được cho phép một cách chỉ định bị từ chối (phương pháp chặn tất cả traffic giữa hai mạng ngoại trừ đối với những dịch vụ

và ứng dụng được cho phép). Do đó, mỗi ứng dụng và dịch vụ mong muốn cho phép được triển khai từng dịch vụ một.

- Không dịch vụ hoặc ứng dụng mà có thể là lỗ hổng tiềm tàng trên Firewal được cho phép (phương pháp an toàn nhất, từ chối các dịch vụ

và ứng dụng trừ khi được cho phép một cách rõ ràng bởi người quản trị). Đây là quan điểm cứng nhắc, có thể là nghiêm ngặt và ít tiện lợi. - Mọi thứ không được từ chối một cách chỉ định được cho phép (phương

pháp này cho phép tất cả các traffic giữa hai mạng ngoại trừ đối với những dịch vụ và ứng dụng mà bị từ chối). Vì vậy, mỗi dịch vụ hoặc

Vụ Phương pháp chế độ TK và CNTT

ứng dụng mà có hại nên bị từ chối nên được từ chối từng cái một. Mặc dù đây là một phương pháp thuận tiện và mềm dẻo đối với người sử

dụng, nó có thể gây ra một vài vấn đề an toàn nghiêm trọng.

¾ Đối với sự truy nhập từ ngoài vào (Remote Access ) hệ thống mạng nên cung cấp sự xác nhận người sử dụng và một cách lý tưởng chỉ cung cấp sự

giới hạn các user nhất định đối với hệ thống đã được xác nhận chắc chắn là

đã được đăng ký trong corporate intranet (authorization - sự cấp phép). Remote Access Server cũng phải đinh nghĩa nếu một user được coi là di

động (có thể kết nối từ nhiều vị trí ở xa) hoặc cố định (chỉ có thể kết nối từ

một vị trí ở xa), và hạn chế tuyệt đối sử dụng call-back chỉ dành đối với các user cá biệt khi mà họ đã được xác nhận một cách đúng đắn.

Đối với các dịch vụ công cộng (trên Website), kiểm soát truy nhập không quan tâm đến danh tính nên cho phép người dùng thông tin truy cập đến các server trong khu vực DMZ (Demilitarized Zone).

2 Kiến trúc mạng

Đáp ứng tiêu chuẩn kiến trúc mạng đa lớp. nguyên lý thiết kế này hỗ trợ tối

đa cho Tổng cục Thống kê trong việc hoạch định chính sách an toàn bảo mật mạng lõi và kiểm soát cần thiết để phát triển và duy trì sự tuân thủ chặt chẽ tiêu chuẩn ISO27001. Sử dụng các yêu cầu an toàn bảo mật để xác định các đường biên mạng cũng tạo ra nền tảng đối với chiến lược bố trí dịch vụ thống nhất theo yêu cầu của Tổng cục Thống kê.

Hình : Mạng tại trụ sở chính của Tổng cục thống kê

Các mô tả mỗi phần của các lớp an toàn bảo mật và các vấn đề thực hiện mỗi lớp được tóm tắt trong phần dưới đây.

- Lớp vùng tự do DMZ-1

Lớp này được xác định là một mạng con IP duy nhất để cung cấp host cho các dịch vụ truy cập qua Internet công cộng như dịch vụ web công cộng, truyền tệp tin FTP, giao thức quản lý thư đơn giản SMTP, và hệ thống tên miền DNS. Việc sử dụng một lớp chuyên biệt tách khỏi các lớp khác bằng tường lửa internet #2 và #1 hạn chế mức độ tiết lộ các dữ liệu/ứng dụng nhạy cảm với các mối đe dọa từ Internet gắn liền với các dịch vụ công cộng này.

Vụ Phương pháp chế độ TK và CNTT - Lớp vùng tự do DMZ-2

Lớp này được coi là một mạng con IP riêng để cung cấp các dịch vụ truy cập

được Internet có yêu cầu an toàn bảo mật cao hơn ở lớp DMZ-1. Lớp DMZ-2 cũng có thể được sử dụng như một mạng extranet để tiêu chuẩn hóa phương pháp xuất bản thông tin tới các cơ quan , người dùng bên ngoài GSO. Có thể

thiết lập chính sách để yêu cầu các cơ quan này kết nối VPN vào cổng GSO VPN trước khi truy cập các tài nguyên ở lớp DMZ-2.

- Lớp Server Farm

Lớp này được xác định là mạng IP con riêng cung cấp các dịch vụ tại trụ sở

chính. Nó chỉ có thể truy cập bởi người dùng trong nội bộ Tổng cục Thống kê ở

lớp người dùng tại các Trung tâm tin học thống kê và các Cục thống kê. - Lớp truy cập (Desktop/Người dùng)

Lớp này gồm nhiều mạng IP con, mỗi mạng con dành riêng cho từng vụ nghiệp vụ của GSO riêng tại trụ sở chính. Thiết kế này định rõ công nghệ mạng LAN

ảo (VLAN) như là chiến lược thực hiện để tạo tính linh họat trong việc hỗ trợ

tăng trưởng và thay đổi trong tương lai mà vẫn duy trì được tính nhất quán ở

lớp này. - Lớp lõi

Lớp này được xác định là cơ sở hạ tầng lớp mạng lõi được thiết kế để liên kết và định tuyến truy cập giữa lớp người dùng, lớp VPN , lớp server farm, và các lớp DMZ. Để hỗ trợ chức năng này, thiết bị từ lớp này được kết nối vật lý với tất cả các thiết bị chính từ các lớp, ngoại trừ lớp DMZ-1 vì lý do an toàn bảo mật. Đây là điểm liên kết chính, lớp này cũng cung cấp một điểm kiểm tra trung tâm cho Hệ thống mạng của Tổng cục Thống kê trong việc tiến hành phân tích các vấn đề an toàn bảo mật hay chất lượng mạng.

1. Kết qu đạt được ca đề tài

+ Về cơ sở dữ liệu VSIC:

- Việc nghiên cứu xây dựng CSDL VSIC có tính mở này cho phép quản lý các phiên bản VSIC và các liên kết liên quan của ngành kinh tế một cách tập trung, thống nhất, và toàn vẹn.

- CSDL VSIC đạt được sẽ có khả năng ứng dụng cao; Thứ nhất, là phục vụ

nhu cầu khai thác thông tin về ngành kinh tế của phạm vi người dùng rộng khắp; Thứ hai, trên lộ trình xây dựng một kho dữ liệu (data warehouse) của TCTK, CSDL VSIC là một bộ phận không thể thiếu trong kho dữ liệu này; Thứ ba, hiện tại khi chưa có kho dữ liệu bao gồm CSDL này, các CSDL khác có sử dụng VSIC có thể lấy một phần hoặc toàn bộ CSDL VSIC để tích hợp vào như một bộ phận của nó mà không cần xây dựng lại từ đầu.

+ Về nghiên cứu giải pháp ứng dụng:

- Với các sản phẩm của các hãng phát triển phần mềm hệ thống nổi tiếng trên thế giới và công nghệ ứng dụng thông tin như hiện nay tại Việt nam, thì khả năng để phát triển ứng dụng cho việc tra cứu bản phân ngành kinh tế có điều kiện triển khai.

- Từ những đề xuất giải pháp của nhóm nghiên cứu đề tài với yêu cầu đặt ra của người dùng về phân ngành kinh tế đã được nhóm công nghệ thông tin thử nghiệm ban đầu trên trang Web. Với các tính năng tra cứu linh hoạt, dễ dùng của ứng dụng web tra cứu sẽ phục vụ được nhu cầu tìm kiếm, tổng hợp, lưu trữ của người dùng về ngành kinh tế và các liên kết liên quan một cách nhanh chóng, thuận tiện.

- Đưa ứng dụng web vào quản lý, cập nhật dữ liệu cho phép cải tiến phương thức làm việc của các chuyên viên thống kê Vụ Phương pháp chế

Vụ Phương pháp chế độ TK và CNTT

độ thống kê và CNTT quản lý hệ thống VSIC, CPC, HS. Các chuyên viên này sẽ cùng làm việc trên một nguồn dữ liệu thống nhất theo quyền truy cập của mình, sẽ tiết kiệm được thời gian, công sức so sánh và ghép kết quả với nhau và tránh được sự nhầm lẫn trong khi thao tác với dữ liệu như khi làm trên file phẳng. Hơn nữa, việc làm việc trực tiếp trên CSDL sẽ rút gọn được thời gian phổ biến đến người dùng, các thông tin được cập nhật vào CSDL sẽ đến với người dùng ngay lập tức thông qua các

ứng dụng web tra cứu.

+ Về chuẩn hóa thông tin thống kê:

- Là bộ công cụ trong hệ thống bảng danh mục thông tin thống kê làm cơ

sở gốc, từng bước chuẩn hóa metadata cho Hệ thống thông tin thống kê.

- Xây dựng được bảng tham chiếu, tra cứu dễ dàng trực quan để phục vụ

cho chuyển đổi dữ liệu thống kê theo mốc thời gian.

- Xây dựng được qui trình cập nhật thông tin bảng danh mục có tính kế

thừa dữ liệu lịch sử và so sánh quốc tế.

Bên cạnh những kết quả đạt được, quá trình thực hiện nghiên cứu đề tài gặp một số khó khăn sau:

- Quá trình phân tích mối quan hệ giữa các bảng khá phức tạp.

- Do các bảng dữ liệu có quan hệ với nhau khá phức tạp nên trong quá trình cập nhật dữ liệu ban đầu cần nhiều thời gian, Việc tạo dữ liệu ban

đầu mất nhiều thời gian do dữ liệu ngành kinh tế được lưu trữ dưới các

định dạng khác nhau.

- Tuy hệ thống ngành kinh tế ít thay đổi nhưng phần giải thích thì thường xuyên được cập nhật thay đổi, nên việc thiết kế cấu trúc dữ liệu

hệ thống ngành kinh tế khác nhau (hệ thống ngành 2007 và 1993) cũng không ít khó khăn do 2 cấu trúc khác nhau.

2. Khuyến ngh

Với phạm vi của đề tài, nhóm công nghệ thông tin của Vụ Phương pháp chế đô TK và CNTT và Trung tâm tin học thống kê khu vực II ban đầu chỉ đề

cập đến nghiên cứu thử nghiệm giải pháp xây dựng ứng dung web tra cứu phân ngành kinh tế. Thử nghiệm này để chứng minh lựa chọn giải pháp và nguyên lý xây dựng cơ sở dữ liệu cho phân ngành kinh tê là hoàn toàn có thể triển khai

được trong điều kiện cơ sở vật chất và con người của ngành thống kê. Với điều kiện cho phép có thể áp dụng kết quả của đề tài này làm mẫu cho việc lựa chọn giải pháp công nghệ cho ứng dụng web tra cứu cơ sở dữ liệu metadata thông tin thống kê.

Giải pháp đề xuất mà đề tài đưa ra nhăm thử nghiệm một ứng dụng web tra cứu có khả năng phổ biến VSIC thống nhất, nhanh chóng, có khả năng truy cập cao để phục vụ số lượng truy cập lớn, liên tục. Đây chính là một công cụ

hữu hiệu giúp Tổng cục Thống kê thực hiện vai trò phổ biến VSIC của mình.

Để đề tài đi vào thực tế, sau đây là những khuyến nghị về các điều kiện cần thiết để tổ chức triển khai tiếp kết quả nghiên cứu của đề tài:

1. Từ khung thiết kế thử nghiệm giải pháp này Vụ Phương pháp chế độ

thống kê và CNTT các đơn vị trong ngành có thể sử dụng mô hình thiết kế

CSDL web tra cứu làm đầu bài đặt hàng để có một bộ công cụ thuận tiện dễ

dàng cho công việc của mình.

2. Về điều kiện cơ sở vật chất: để thực hiện theo giải pháp của đề tài đưa ra cần có một máy chủ chứa cơ sở dữ liệu phân ngành và vận hành ứng dụng web được cài đặt trên một hệ thống mạng chạy ổn định an toàn, có chính sách phân quyền: cung cấp thông tin tra cứu, cập nhật dữ liệu cho người dùng bên ngoài và chuyên viên nghiệp vụ thống kê. Phần mềm phát triển cơ

Vụ Phương pháp chế độ TK và CNTT

sở dữ liệu ứng dụng Web tra cứu phân ngành kinh tế phải đồng bộ với hệ

thống của GSOnet, và được cập nhật thường xuyên.

3. Về nhân lực: các công việc cập nhật CSDL và phát triển các ứng dụng web cần có kinh nghiệm chuyên môn nghiệp vụ thống kê và sự hỗ trợ

chuyên gia CNTT phối hợp thực hiện. Việc quản lý vận hành khai thác phải có chính sách cụ thể, qui định nghiêm ngặt vầ qui trình nghiệp vụ cũng như

giải pháp an toàn an ninh dữ liệu. Phải có đơn vị quản lý chuyên nghiệp để

hỗ trợ quản lý CSDL này, cùng với sự hỗ trợ vận hành về kỹ thuật của nhân viên CNTT.

4. Về tổ chức thực hiện: các ứng dụng tra cứu cần được tích hợp vào thành phần của trang thông tin điện tử của Tổng cục Thống kê để phổ biến chính thức đến người dùng thông tin.

3. Hướng phát trin

Hướng phát triển của đề tài bao gồm hai việc chính sau:

Bên cạnh việc phát triển thêm các phiên bản mới của VSIC, một công cụ

chuyển đổi mã ngành kinh tế cũng sẽ được tích hợp vào hệ thống quản lý này. Các liên kết có sẵn giữa các phiên bản VSIC trong CSDL này chính là cơ sởđể

thực hiện chuyển đổi. Đây là một công việc cấp thiết không chỉ trong ngành Thống kê và còn đối với các bộ/ngành khác, vì vậy, công cụ chuyển đổi cần

được thực hiện càng sớm càng tốt.

Các phiên bản danh mục CPC và HS cũng có thể được đưa vào CSDL này để quản lý đồng bộ với phiên bản VSIC tương ứng như đã đề cập trong phần nội dung nghiên cứu nội dung của CSDL.

Ngoài ra từ sản phẩm tra cứu trên Web có thể phát triển và chuyển đổi bằng ấn phẩm bằng đĩa CD ROM để tiện cho người dùng và quảng bá sản phẩm của ngành Thống kê.

CÁC SN PHM ĐẠT ĐƯỢC

Các sản phẩm đạt được năm 2007

Kết quả nghiên cứu năm 2007 của đề tài bao gồm 9 chuyền đề và 1 báo cáo, cụ thể như sau:

1. Chuyên đề 1: Nghiên cứu kinh nghiệm thế giới và phân tích khả năng

ứng dụng công nghệ thông tin trong việc quản lý và khai thác Hệ thống ngành kinh tế Việt Nam 2007 (VSIC 2007)

2. Chuyên đề 2: Nghiên cứu giải pháp xây dựng và quản lý Cơ sở dữ liệu “Hệ thống ngành kinh tế Việt Nam”

3. Chuyên đề 3: Phân tích, xác lập quan hệ tương thích 2 chiều của các ngành cấp 2, 3, 4, 5 trong các ngành cấp 1: A: Nông nghiệp; Lâm nghiệp, Thủy sản và B: Khai khoáng giữa Hệ thống ngành kinh tế Việt Nam 2007 (VSIC 2007) và Hệ thống ngành kinh tế quốc dân 1993 (VSIC 1993)

4. Chuyên đề 4: Phân tích, xác lập quan hệ tương thích 2 chiều của các ngành cấp 2, 3, 4, 5 trong ngành cấp 1: C: Công nghiệp chế biến, chế

tạo; giữa Hệ thống ngành kinh tế Việt Nam 2007 (VSIC 2007) và Hệ

thống ngành kinh tế quốc dân 1993 (VSIC 1993)

5. Chuyên đề 5: Phân tích, xác lập quan hệ tương thích 2 chiều của các ngành cấp 2, 3, 4, 5 trong ngành cấp 1: D: Sản xuất, phân phối điện, khí

đốt, nước nóng, hơi nước và điều hoà không khí; E: Cung cấp nước, hoạt

động quản lý và xử lý rác thải, nước thải; F: Xay dựng giữa Hệ thống ngành kinh tế Việt Nam 2007 (VSIC 2007) và Hệ thống ngành kinh tế

quốc dân 1993 (VSIC 1993)

6. Chuyên đề 6: Phân tích, xác lập quan hệ tương thích 2 chiều của các ngành cấp 2, 3, 4, 5 trong ngành cấp 1: G: Bán buôn và bán lẻ, sửa chữa ôtô, môtô, xe máy và xe có động cơ khác giữa Hệ thống ngành kinh tế

Vụ Phương pháp chế độ TK và CNTT

Việt Nam 2007 (VSIC 2007) và Hệ thống ngành kinh tế quốc dân 1993 (VSIC 1993)

7. Chuyên đề 7: Phân tích, xác lập quan hệ tương thích 2 chiều của các ngành cấp 2, 3, 4, 5 trong các ngành cấp 1: H: Vạn tải kho bãi; I: Dịch vụ

Một phần của tài liệu Nghiên cứu ứng dụng công nghệ thông tin để xây dựng và phát triển cơ sở dữ liệu Hệ thống ngành kinh tế Việt Nam (Trang 76)

Tải bản đầy đủ (PDF)

(135 trang)