Embed Size (px)
DESCRIPTION
Bài trình bày về Giải pháp an toàn, an ninh trong hệ thống thông tin cấp tỉnh của anh Tạ Quang Thái tại tại hội thảo An toàn, an ninh thông tin do VFOSSA phối hợp Sở TT&TT tỉnh Quảng Ninh tổ chức Sáng 27/09/2013. Xem thêm tại đây: http://vfossa.vn
Citation preview
Tạ Quang Thái
(04) 62814275; Fax: (04) 62750064
A13 Hoàng Cầu, phường Ô Chợ Dừa, quận Đống Đa, Hà Nội
Người trình bày:
Email:
Tel:
Địa chỉ:
TRAO ĐỔI VỀ
AN NINH, AN TOÀN VÀ BẢO MẬT
THÔNG TIN TRONG HTTT CẤP TỈNH
www.ecoit.asia – www.metadata.vn – my.metadata.vn
Nội dung
I. Khái niệm, nhận thức
II. Thực trạng
III. Phương án tiếp cận
IV. Một số đề xuất
IV. Vài nét về EcoIT
www.ecoit.asia – www.metadata.vn – my.metadata.vn
I. Khái niệm & nhận thứca. Đối tượng cơ bản trong HTTT
1. Hệ thống
1. Trang thiết bị tham gia vào hệ thống
2. Phần mềm
3. Mạng truyền dẫn
4. Con người
2. Thông tin
1. Thông điệp
2. Tệp, tài liệu điện tử
3. Mẫu tin (biểu ghi)
3. Quy trình
1. Workflow
2. Quy định
www.ecoit.asia – www.metadata.vn – my.metadata.vn
I. Khái niệm & nhận thứcb. Các vấn đề liên quan đến an ninh
1. Tấn công hệ thống
2. Đột nhập
3. Đánh cắp dữ liệu, tài nguyên
4. Giả mạo, làm sai lệch thông tin
www.ecoit.asia – www.metadata.vn – my.metadata.vn
I. Khái niệm & nhận thứcb. Các vấn đề liên quan đến an toàn
1. Hệ thống bị phá hủy, hỏng hóc, hoạt động không ổn định
2. Mất mát dữ liệu hoặc mất tính toàn vẹn thông tin
3. Sự bất cẩn của con người làm mất, hỏng thông tin, dữ liệu hoặc hệ thống
www.ecoit.asia – www.metadata.vn – my.metadata.vn
I. Khái niệm & nhận thứcb. Các vấn đề liên quan đến bảo mật
1. Thông tin nhậy cảm cần che giấu bị lộ hoặc rò rỉ
2. Thông tin mất tính toàn vẹn (sai lệch) trên đường đi
3. Hệ thống bị giả mạo, đánh cắp một cách dễ dàng (cách thức)
www.ecoit.asia – www.metadata.vn – my.metadata.vn
II. Thực trạnga. Về mặt hệ thống
1. Trang thiết bị đầu tư không đồng bộ, kéo dài, thiếu trọng tâm. Hiện tại vẫn
còn tình trạng đi thuê địa điểm cho DC.
2. Phần mềm được đầu tư nhiều thời kỳ, nhiều công nghệ khác nhau và gân
như không có tính liên thông. Nhiều chỗ còn trùng lắp.
3. Có DataCenter, nhưng thực sự chỉ là chỗ để máy chủ.
4. Mạng & truyền dẫn lai ghép giữa mạng nội bộ, mạng công cộng, mạng dùng
riêng với nhiều hình thức khác nhau
5. Lực lượng CNTT không đủ mạnh để trải khắp các địa điểm triển khai, đối
tượng vận hành còn kiêm nhiệm, trình độ, ý thức & nhận thức về an ninh, an
toàn kém. Tỉnh chưa có lực lượng An ninh thông tin chuyên trách
(Information Security Officer)
www.ecoit.asia – www.metadata.vn – my.metadata.vn
II. Thực trạngb. Về mặt thông tin
1. Mỗi cơ quan, mỗi tổ chức một định dạng, một cách thức và gần như không
thể trao đổi được nếu liên thông.
2. Mỗi một cá nhân, công chức, viên chức lưu dữ liệu, tài liệu bằng một cách
thức riêng.
3. Mỗi một hệ thống phần mềm lưu dữ liệu theo cách thức riêng, hoàn toàn
không có điểm chung.
4. Chưa hình thành dữ liệu dùng chung giữa các thực thể và con người
www.ecoit.asia – www.metadata.vn – my.metadata.vn
II. Thực trạngc. Về mặt quy trình
1. Quy trình làm việc nội bộ trong các tổ chức có tính bắt buộc thấp, nhiều khi
vẫn bị bỏ qua.
2. Chưa hình thành các quy trình lớn, liên thông giữa các tổ chức, cơ quan lớn
trong Tỉnh.
3. Không có quy trình liên quan đến an ninh, an toàn và bảo mật.
4. Thiếu cơ chế và các quy định cụ thể trong việc thực hiện các công đoạn.
www.ecoit.asia – www.metadata.vn – my.metadata.vn
II. Thực trạngd. Tưởng tượng
File vănphòng
T.Tin cộngtác
Hồ sơ
Thư điện tử
Quy trình
Nội dung Web
Multimedia
Nội dung quét
www.ecoit.asia – www.metadata.vn – my.metadata.vn
II. Thực trạngd. Tưởng tượng
www.ecoit.asia – www.metadata.vn – my.metadata.vn
III. Phương án tiếp cậna. Tiếp cận theo chiều ngang
1. Mua sắm, trang bị hệ thống
2. Mua sắm trang thiết bị, phần mềm an toàn
3. Mua sắm trang thiết bị và phần mềm an ninh
4. Xây dựng hệ thống truyền dẫn đảm bảo các yếu tố an ninh, an toàn, bảo mật
5. Mua sắp, bổ sung chức năng bảo mật, an toàn cho phần mềm
6. Xây dựng chính sách
7. Đầu tư, đào tạo con người
www.ecoit.asia – www.metadata.vn – my.metadata.vn
III. Phương án tiếp cậnb. Tiếp cận theo chiều dọc
1. Mua sắm, trang bị hệ thống
2. Mua sắm trang thiết bị, phần mềm an toàn
3. Nghiên cứu các dữ liệu dùng chung, xây dựng chính sách, bảo quản, phân
phối, sử dụng cũng như đội ngũ nhân sự đủ mạnh để bảo vệ.
4. Công bố tiêu chuẩn, cách thức, quy định và các thiết chế khi tương tác trên
kho dữ liệu dùng chung.
5. Mua sắm trang thiết bị và phần mềm an ninh
6. Xây dựng hệ thống truyền dẫn đảm bảo các yếu tố an ninh, an toàn, bảo mật
7. Mua sắp, bổ sung chức năng bảo mật, an toàn cho phần mềm đáp ứng tiêu
chuẩn ở 3 và 4 đề ra.
8. Xây dựng chính sách tổng thể.
9. Đầu tư, đào tạo con người
www.ecoit.asia – www.metadata.vn – my.metadata.vn
IV. Một số đề xuất
1. Áp dụng hệ thống mở, đặc biệt là nguồn mở nhằm kiểm soát mã nguồn.
2. Tiếp cận vấn đề từ những nguyên tắc cơ bản, tránh sa đà vào công nghệ,
thiết bị để vấp phải những góc nhìn phiến diện.
3. Đánh giá nghiêm túc hiện trạng và khả năng đáp ứng trong tương lai đặc biệt
là đội ngũ nhân sự cốt lõi, nhân sự an ninh và đội ngũ vận hành.
4. Đầu tư nghiêm túc từ quy trình làm việc hàng ngày, tiếp đến là các quy trình
về an ninh, an toàn và bảo mật.
5. Xem xét các giá trị cốt lõi cần bảo vệ, đặc biệt là dữ liệu chứ không chỉ tập
trung cho hệ thống hay phần mềm một cách đơn lẻ.
6. Tập trung cho đội ngũ song song với quá trình phát triển của hệ thống.
www.ecoit.asia – www.metadata.vn – my.metadata.vn
V. Vài nét về EcoIT
Tầm nhìn
Đến năm 2020, trở thành nhà cung cấp sản phẩm và dịch vụ Quản trị tài
nguyên số (ECM) hàng đầu Châu Á.
Tên đơn vị: Công ty cổ phần EcoIT
Thành lập: 29/4/2010
Thành viên: 35
Hội viên: VFOSSA
Sản phẩm:• EcoECM: Hệ quản trị tài nguyên số (trên cơ sở Alfresco)• Metadata.vn: Dịch vụ quản trị tài nguyên số dành cho Tổ chức (SaaS).• My.metadata.vn: Dịch vụ quản trị tài nguyên số dành cho cá nhân.• EcoMail: Hệ thống Email theo yêu cầu trên cơ sở PMNM Zimbra.• EcoPortal: Các Portlets cho cổng thông tin điện tử (Liferay, Websphere).
THANKS YOU!
