Đang tải... (xem toàn văn)
Luận văn trình bày các nghiên cứu về bộ tiêu chuẩn ISO 27001 và lý thuyết an ninh mạng nhằm đưa ra một phương pháp đánh giá an ninh mạng, đưa ra bộ câu hỏi hỗ trợ đánh giá an ninh mạng theo tiêu chuẩn ISO 27001. Luận văn cũng trình bày một phương pháp lượng hóa an ninh mạng và đề xuất tiêu chuẩn an ninh phù hợp với điều kiện thực tế ở Việt Nam và tương thích với bộ tiêu chuẩn ISO 27001.
MỤC LỤC Trang phụ bìa ………………………………………………………………… Bản cam đoan ………………………………………………………………… Mục lục ……………………………………………………………………… Tóm tắt luận văn ……………………………………………………………… Danh mục các ký hiệu, viết tắt, các bảng, các hình vẽ ……………………… DANH MỤC CÁC BẢNG 7 DANH MỤC CÁC HÌNH VẼ 7 Chương 1 3 MỘT SỐ VẤN ĐỀ CHUNG VỀ AN NINH AN TOÀN MẠNG VÀ QUẢN LÝ THÔNG TIN 3 2.1. Giới thiệu 15 a. Tài sản 18 b. Tính sẵn sàng 18 c. Tính bí mật 18 d. An toàn thông tin 18 e. Sự kiện an toàn thông tin 18 f. Sự cố an toàn thông tin 19 g. Hệ thống quản lý an toàn thông tin 19 h. Tính toàn vẹn 19 i. Rủi ro tồn đọng 19 j. Sự chấp nhận rủi ro 19 k. Phân tích rủi ro 19 l. Đánh giá rủi ro 19 m. Quản lý rủi ro 19 n. Xử lý rủi ro 19 o. Thông báo áp dụng 19 p. Tổ chức 20 Bao gồm khuôn khổ để xây dựng mục tiêu, thiết lập định hướng và nguyên tắc cho việc đảm bảo an toàn thông tin 21 Chú ý đến các hoạt động nghiệp vụ, pháp lý, quy định và các điều khoản bắt buộc về bảo mật 21 Đưa vào các yêu cầu kinh doanh, các yêu cầu và chế tài về pháp lý cũng như các nghĩa vụ về an toàn an ninh có trong hợp đồng 22 Thực hiện sự thiết lập và duy trì hệ thống quản lý ATTT như một phần trong chiến lược quản lý rủi ro của tổ chức 22 Thiết lập các chỉ tiêu đánh giá rủi ro có thể xảy ra (xem 2.3.1.3) 22 Được ban quản lý phê duyệt 22 Xác định hệ phương pháp đánh giá rủi ro thích hợp với hệ thống quản lý ATTT, và các quy định, pháp lý, an toàn bảo mật thông tin đã xác định 22 Phát triển chỉ tiêu cho các rủi ro có thể chấp nhận và vạch rõ các mức rủi ro có thể chấp nhận được (xem 2.4.1.6) 22 Xác định các tài sản trong phạm vi hệ thống quản lý ATTT và đối tượng quản lý các tài sản này 22 Xác định các mối đe doạ có thể xảy ra đối với tài sản 22 Xác định các yếu điểm có thể bị khai thác bởi các mối đe doạ trên 22 Xác định những tác động xấu tới các tính chất quan trọng của tài sản cần bảo đảm: bí mật, toàn vẹn và sẵn sàng 23 Đánh giá các ảnh hưởng hoạt động của tổ chức do sự cố về an toàn thông tin, chú ý đến các hậu quả của việc mất tính bí mật, toàn vẹn hay sẵn sàng của các tài sản 23 Đánh giá các khả năng thực tế có thể xảy ra sự cố an toàn thông tin bắt nguồn từ các mối đe dọa và nguy cơ đã dự đoán. Đồng thời đánh giá các tác động tới tài sản và các biện pháp bảo vệ đang thực hiện 23 Ước lượng các mức độ của rủi ro 23 Xác định rủi ro được chấp nhận hay phải có biện pháp xử lý dựa trên các chỉ tiêu chấp nhận rủi ro đã được thiết lập trong mục 2.3.1.3.2 23 Áp dụng các biện pháp quản lý thích hợp 23 Chấp nhận rủi ro với điều kiện chúng hoàn toàn thỏa mãn các chính sách và tiêu chuẩn chấp nhận rủi ro của tổ chức (xem 2.3.1.3.2) 23 Tránh các rủi ro 23 Chuyển giao các rủi ro các bộ phận khác như bảo hiểm, nhà cung cấp v.v 23 Các mục tiêu quản lý và biện pháp quản lý đã được lựa chọn trong mục 2.3.1.7) và các cơ sở tiến hành lựa chọn 24 Các mục tiêu quản lý và biện pháp quản lý đang được thực hiện 24 Sự loại trừ các mục tiêu quản lý và biện pháp quản lý trong phụ lục A cũng như giải trình cho việc này 24 Lập kế hoạch xử lý rủi ro trong đó xác định các hoạt động quản lý thích hợp, tài nguyên, trách nhiệm và mức độ ưu tiên để quản lý các rủi ro an toàn thông tin (xem 2.4) 25 Triển khai kế hoạch xử lý rủi ro nhằm đạt được mục tiêu quản lý đã xác định trong đó bao gồm cả sự xem xét kinh phí đầu tư cũng như phân bổ vai trò, trách nhiệm 25 Triển khai các biện pháp quản lý được lựa chọn trong 2.3.1.7 để thỏa mãn các mục tiêu quản lý 25 Định nghĩa cách tính toán mức độ hiệu quả của các biện pháp quản lý hoặc nhóm các biện pháp quản lý đã lựa chọn và chỉ ra các kết quả này sẽ được sử dụng như thế nào trong việc đánh giá tính hiệu quả quản lý nhằm tạo ra những kết quả có thể so sánh được và tái tạo được (xem 2.3.3.3) 25 Triển khai các chương trình đào tạo nâng cao nhận thức (xem 2.4.2.2) 25 Quản lý hoạt động hệ thống quản lý ATTT 25 Quản lý các tài nguyên dành cho hệ thống quản lý ATTT (xem 2.4.2) 25 Triển khai các thủ tục và các biện pháp quản lý khác có khả năng phát hiện các sự kiện an toàn thông tin cũng như phản ứng với các sự cố an toàn thông tin (xem 2.3.3.1) 25 2.3.3. Giám sát và xem xét hệ thống quản lý ATTT 25 i. Nhanh chóng phát hiện ra các lỗi trong kết quả xử lý 25 ii. Nhanh chóng xác định các tấn công, lỗ hổng và sự cố an toàn thông tin 25 iii. Cho phép ban quản lý xác định kết quả các các công nghệ cũng như con người đã đem lại có đạt mục tiêu đề ra hay không 26 iv. Hỗ trợ phát hiện các sự kiện an toàn thông tin do đó ngăn chặn sớm các sự cố an toàn thông tin bằng các chỉ thị cần thiết 26 v. Xác định đúng hiệu quả của các hoạt động xử lý lỗ hổng an toàn thông tin 26 i. Tổ chức 26 ii. Công nghệ 26 iii. Mục tiêu và các quá trình nghiệp vụ 26 iv. Các mối nguy hiểm, đe doạ an toàn thông tin đã xác định 26 v. Tính hiệu quả của các biện pháp quản lý đã thực hiện 26 vi. Các sự kiện bên ngoài chẳng hạn như thay đổi trong môi trường pháp lý, quy định, điều khoản phải tuân thủ, hoàn cảnh xã hội 27 i. Các yêu cầu trong hoạt động nghiệp vụ 34 ii. Các yêu cầu an toàn bảo mật 34 iii. Các quy trình nghiệp vụ có ảnh hưởng tới các yêu cầu trong hoạt động nghiệp vụ của tổ chức 34 iv. Các yêu cầu về pháp lý và quy định 34 v. Các ràng buộc theo các hợp đồng đã ký kết 34 vi. Mức độ rủi ro và/hoặc chỉ tiêu chấp nhận rủi ro 34 2.7.3. Hành động phòng ngừa 35 TÓM TẮT LUẬN VĂN Họ và tên học viên: Âu Duy Anh Chuyên ngành: Hệ thống thông tin. Khóa: 22 Cán bộ hướng dẫn: TS. Phạm Việt Trung Tên đề tài: Xây dựng giải pháp đánh giá an ninh an toàn mạng. Tóm tắt: Luận văn trình bày các nghiên cứu về bộ tiêu chuẩn ISO 27001 và lý thuyết an ninh mạng nhằm đưa ra một phương pháp đánh giá an ninh mạng, đưa ra bộ câu hỏi hỗ trợ đánh giá an ninh mạng theo tiêu chuẩn ISO 27001. Luận văn cũng trình bày một phương pháp lượng hóa an ninh mạng và đề xuất tiêu chuẩn an ninh phù hợp với điều kiện thực tế ở Việt Nam và tương thích với bộ tiêu chuẩn ISO 27001. DANH MỤC CÁC TỪ VIẾT TẮT ATTT An toàn thông tin CNTT Công nghệ thông tin HTQL Hệ thông quản lý HTTT Hệ thống thông tin IT Information Technology ISMS Information Security Management System ISO International Organization for Standardization PDCA Plan, Do, Check, Action TC Tổ chức DANH MỤC CÁC BẢNG Bảng 1.1. Danh sách 15 virus lây lan nhiều nhất năm 2011 Bảng 1.2. Thống kê về virus năm 2011 tại Việt Nam Bảng 1.3. Thiệt hại do virus gây ra theo các năm Bảng 3.1. Cơ sở dữ liệu danh mục nghiệp vụ DANH MỤC CÁC HÌNH VẼ Hình 1.1. Những mối đe dọa bảo mật thông tin lớn nhất năm 2011 Hình 1.2. Biểu đồ số lượng website bị hack theo các năm Hình 1.3. Biểu đồ số lượng website bị hack năm 2011 Hình 1.3. Biểu đồ số lượng website bị hack năm 2011 Hình 2.1. Áp dụng mô hình PDCA cho các quy trình hệ thống quản lý ATTT Hình 3.1. Giao diện đăng nhập Hình 3.2. Danh mục module nghiệp vụ Hình 3.3. Nội dung câu hỏi và các câu trả lời Hình 3.4. Lập bài kiểm tra đánh giá Hình 3.5. Thực hiện đánh giá Hình 3.6. Mô hình cây an toàn hệ thống thông tin Hình 3.7. Giá trị độ đo lớn nhất của hệ thống Hình 3.8. Giá trị độ đo thực tế của hệ thống MỞ ĐẦU Sự bùng nổ của công nghệ thông tin, đặc biệt là các ứng dụng phần mềm máy tính và mạng máy tính đã đưa lại cho xã hội các lợi ích vô cùng to lớn, làm biến đổi phong cách của nhiều lĩnh vực, làm thay đổi về chất công nghệ lưu trữ, truyền tải và xử lý thông tin. Đặc biệt, trong thời kỳ hội nhập và phát triển kinh tế như hiện nay công nghệ thông tin đã trở thành một công cụ đắc lực, nhiều cơ quan, doanh nghiệp ứng dụng công nghệ thông tin đã mang lại lợi nhuận lớn. Công nghệ thông tin trở thành yếu tố sống còn. Tuy vậy, lợi ích và sự tiện dụng ngày càng nhiều, rủi ro cũng càng lớn và điều này làm chậm lại quá trình ứng dụng của công nghệ thông tin mạng máy tính trong nhiều ngành, nhiều lĩnh vực. Một trong lý do hàng đầu gây ra sự chậm chễ này đó là vấn đề an toàn, an ninh hệ thống thông tin. Hầu hết các tổ chức và doanh nghiệp của Việt Nam khi xây dựng hệ thống mạng đều không tuân thủ theo quy tắc chuẩn nào về an toàn thông tin. Chính vì lý do đó làm cho các hệ thống thông tin rất dễ bị các tin tặc tấn công. Theo thống kê trong năm 2011 có 2.245 website của các cơ quan doanh nghiệp tại Việt Nam bị tấn công, trung bình mỗi tháng có 187 website bị tấn công. Đặc biệt trong tháng 5 và 6 năm 2011, tin tặc liên tục triển khai các cuộc tấn công dồn dập vào máy chủ của công ty phân phối FPT, 200 website tiếng việt, trong đó có khoảng 10% là website của các cơ quan chính phủ. Các hình thức tấn công bao gồm tấn công từ chối dịch vụ, tấn công khai thác lỗ hổng bảo mật để lấy dữ liệu hoặc thâm nhập vào hệ thống , thay đổi nội dung website,… Năm 2011, cũng có 38.961 dòng virus xuất hiện mới. Giải pháp toàn diện và hiệu quả nhất để giải quyết các vấn đề trên là áp dụng hệ thống quản lý an ninh thông tin ISMS (Information Security Management System) theo tiêu chuẩn ISO 27001. 1 Tiêu chuẩn ISO 27001 là tiêu chuẩn đảm bảo an toàn thông tin được áp dụng rộng rãi trên thế giới. Tiêu chuẩn này giúp các cơ quan tổ chức đưa ra mô hình cho hệ thống quản lý an toàn thông tin cùng với các quy tắc cần thiết phải áp dụng trong công tác đảm bảo an toàn thông tin. Việc áp dụng ISO 27001 cũng làm tăng nhận thức cho đội ngũ cấn bộ nhân viên về an toàn thông tin , giảm thiểu các nguy cơ rủi ro. Việc áp dụng tiêu chuẩn ISO 27001 cũng giúp cho các cơ quan doanh nghiệp tạo được niềm tin với các doanh nghiệp cơ quan khác tạo lợi thế trong cạnh tranh của cơ quan, tổ chức. Trên cơ sở phân tích đánh giá rủi ro của hệ thống thông tin và hướng dẫn của tiêu chuẩn, luận văn tập trung nghiên cứu tiêu chuẩn ISO 272001 dựa vào đó xây dựng giải pháp đánh giá anh ninh mạng của cơ quan tổ chức để giúp các cơ quan, tổ chức đặc biệt là các cơ quan chính phủ, quân sự, các tổ chức nhận biết được tình trạng an ninh của đơn vị mình từ đó xây dựng chính sách, biện pháp xử lý phù hợp. Luận văn cũng đưa ra một số đề xuất để xây dựng bộ chuẩn chung riêng cho các cơ quan, tổ chức theo tiêu chuẩn ISO 27001. Luận văn được trình bày theo ba chương: Chương 1: Trình bày tổng quan về các mạng, các khái niệm, kiến thức cơ bản về mạng, về an toàn thông tin, các nguy cơ mất an toàn hệ thống thông tin và nhu cầu về hệ thống quản lý an toàn thông tin. Chương 2: Trình bày về tiêu chuẩn quốc tế ISO 27001. Chương 3: Đề xuất một số nội dung an ninh an toàn mạng bao gồm bộ câu hỏi tham vấn, xây dựng phần mềm hỗ trợ đánh giá, quy trình đánh giá an toàn thông tin và đề xuất tiêu chuẩn an ninh an toàn thông tin. 2 [...]... xảy ra Đánh giá đúng về tình trạng an ninh mạng là yêu cầu cơ bản để từ đó đưa ra những giải pháp, các chính sách phù hợp Nhưng làm thế nào hay giả pháp nào để đánh giá đúng tình trạng an ninh mạng lại là một vấn đề ? Nhu cầu về một hệ thống thông tin đủ tin cậy để đáp ứng nhu cầu cho cơ quan, tổ chức tác nghiệp đã trở nên rất quan trọng Để đáp ứng được các nhu cầu đó áp dụng nhất thiết cần xây dựng. .. đơn giản như vậy là do hầu hết website của các đơn vị chính phủ, doanh nghiệp không được đánh giá mức độ độc lập về an ninh trước khi đưa vào vận hành Hạ tầng mạng và nền tảng ứng dụng các website này không được thiết kế tổng thể với các giải pháp đàm bảo an ninh Đánh giá đúng về tình trạng an ninh của một hệ thống thông tin có ý nghĩa quan trọng không chỉ những đối với mọi quản trị viên hệ thống mà còn... quan trọng của tài sản cần bảo đảm: bí mật, toàn vẹn và sẵn sàng 2.3.1.5 Phân tích và đánh giá các rủi ro Đánh giá các ảnh hưởng hoạt động của tổ chức do sự cố về an toàn thông tin, chú ý đến các hậu quả của việc mất tính bí mật, toàn vẹn hay sẵn sàng của các tài sản Đánh giá các khả năng thực tế có thể xảy ra sự cố an toàn thông tin bắt nguồn từ các mối đe dọa và nguy cơ đã dự đoán Đồng thời đánh giá. .. một tình huống bất ngờ liên quan đến an toàn 19 f Sự cố an toàn thông tin Một hoặc một chuỗi các sự kiện an toàn thông tin không mong muốn có khả năng làm tổn hại các hoạt động của cơ quan tổ chức và đe dọa an toàn thông tin g Hệ thống quản lý an toàn thông tin Hệ thống quản lý an toàn thông tin là một phần của hệ thống quản lý tổng thể, căn cứ vào việc đánh giá rủi ro có thể xuất hiện trong hoạt động... phương pháp đánh giá rủi ro thích hợp với hệ thống quản lý ATTT, và các quy định, pháp lý, an toàn bảo mật thông tin đã xác định Phát triển chỉ tiêu cho các rủi ro có thể chấp nhận và vạch rõ các mức rủi ro có thể chấp nhận được (xem 2.4.1.6) Hệ phương pháp đánh giá rủi ro được lựa chọn sẽ đảm bảo các đánh giá rủi ro đưa ra các kết quả có thể so sánh và tái tạo được Có nhiều hệ phương pháp đánh giá rủi... quản lý an ninh thông tin theo chuẩn ISO 27001 Quy trình ISO sẽ bắt buộc các website phải được 14 đánh giá độc lập, nó cung cấp một khuôn khổ cho việc khởi đầu, thiết lập, quản lý và duy trì an ninh thông tin trong cơ quan, tổ chức để thiết lập một nền tảng an ninh vững chắc cho chính sách an toàn thông tin, bảo vệ các tài sản của cơ quan, tổ chức một cách thích 15 Chương 2 HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG... thống ISMS thống ISMS Giám sát và Giám sát và đánh giá hệ đánh giá hệ thống ISMS thống ISMS A Kết quả Kết quả quản lý an quản lý an toàn thông toàn thông tin tin C Hình 2.1: Áp dụng mô hình PDCA cho các quy trình hệ thống quản lý ATTT Thiết lập các chính sách, mục tiêu, quy trình và thủ P (Lập kế hoạch) - tục liên quan đến việc quản lý các rủi ro và nâng cao Thiết lập ISMS an toàn thông tin nhằm đem... của mạng không hiện hữu với những người dùng không tin cậy Điều này giúp giảm nhẹ mối đe dọa thâm nhập đối với mạng trong 1.1.3 Kiến trúc mạng Một vài công nghệ mới hỗ trợ thiết lập một hệ thống an toàn Đó là mạng Lan ảo (VLAN), công nghệ chuyển đổi địa chỉ (NAT) và công nghệ mạng riêng ảo sử dụng giao thức Tunneling Những công nghệ này cho phép cải thiện an ninh hệ thống mạng với chi phí thấp + VLAN... ứng với các sự cố an toàn thông tin (xem 2.3.3.1) 2.3.3 Giám sát và xem xét hệ thống quản lý ATTT Tổ chức thực hiện các biện pháp sau đây: 1/ Tiến hành giám sát, xem xét lại các thủ tục và biện pháp quản lý an toàn thông tin khác nhằm: i Nhanh chóng phát hiện ra các lỗi trong kết quả xử lý ii Nhanh chóng xác định các tấn công, lỗ hổng và sự cố an toàn thông tin 26 iii Cho phép ban quản lý xác định... phủ, xuất hiện nhiều cuộc tấn công với thủ đoạn 10 tinh vi, tổ chức thu thập dữ liệu quan trọng, chiếm quyền điều khiển, thay đổi nội dung các trang thông tin điện tử Vấn đề an ninh mang đang trở lên hiện hữu, ảnh hưởng sâu rộng, tác động đến các vấn đề chính trị, kinh tế và an ninh quốc gia Đảm bảo an ninh mạng đang là vấn đề sống còn của các quốc gia trên thế giới Bảng 1.2: Thống kê về virus năm . xuất một số nội dung an ninh an toàn mạng bao gồm bộ câu hỏi tham vấn, xây dựng phần mềm hỗ trợ đánh giá, quy trình đánh giá an toàn thông tin và đề xuất tiêu chuẩn an ninh an toàn thông tin. 2 Chương. thuyết an ninh mạng nhằm đưa ra một phương pháp đánh giá an ninh mạng, đưa ra bộ câu hỏi hỗ trợ đánh giá an ninh mạng theo tiêu chuẩn ISO 27001. Luận văn cũng trình bày một phương pháp lượng hóa an. dựa vào đó xây dựng giải pháp đánh giá anh ninh mạng của cơ quan tổ chức để giúp các cơ quan, tổ chức đặc biệt là các cơ quan chính phủ, quân sự, các tổ chức nhận biết được tình trạng an ninh của