Đảm bảo an toàn thông tin trong thư viện điện tử
Tóm tắt Đảm bảo an toàn thông tin trong thư viện điện tử: ...T. 2.3. Möåt söë nguy cú ATTT taác àöång lïn TVÀT Caác nguy cú tûâ cú súã haå têìng kyä thuêåt: An toaân cú súã haå têìng kyä thuêåt bao göìm nhiïìu yïëu töë nhû: an toaân vêåt lyá, an toaân phêìn cûáng, an toaân phêìn mïìm, an toaân haå têìng maång, an toaân hïå àiïìu haânh, an toaân ûáng du...thöëng baão vïå nhû khoáa, hïå thöëng chöëng tröåm, camera nhùçm ngùn chùån caác haânh vi ùn cùæp taâi saãn, truy cêåp traái pheáp vaâo caác maáy chuã hïå thöëng, phaá hoaåi dûä liïåu, hoùåc truy cêåp vaâo caác nguöìn taâi nguyïn mêåt cuãa thû viïån. Noái toám laåi, TVÀT cêìn thûåc hiïån caác b...á thïí aáp duång möåt trong caác phûúng phaáp lûu trûä sau: - Backup liïn tuåc (working backup): Laâ möåt daång backup toaân phêìn (full backup)-thûåc hiïån liïn tuåc nhùçm muåc àñch phuåc höìi hïå thöëng möåt caách tûác thò. - Cêët giûä taåi chöî (Onsite Storage):Thûåc hiïån bïn trong hïå th...
thöëng phaát hiïån xêm nhêåp traái pheáp (IDS, IPS); Sûã duång caác phêìn mïìm quaãn trõ thû viïån tñch húåp khöng àûúåc baão hiïím vïì ATTT Caác nguy cú trïn giao thûác TCP/IP: Hiïån nay caác TVÀT noái riïng vaâ caác hïå thöëng thöng tin khaác noái chung chuã yïëu sûã duång giao thûác TCP/IP. Àêy laâ möåt giao thûác dûåa trïn chuêín ISO, cho pheáp sûå tûúng giao (interoperability) giûäa caác hïå maáy (platform) àa daång àûúåc cung cêëp búãi caác nhaâ saãn xuêët khaác nhau. Mö hònh TCP/IP (Hònh 1) dûåa trïn nïìn taãng cêëu truác OSI 7 lúáp. Àêy laâ möåt giao thûác àún giaãn, dïî sûã duång vaâ phöí cêåp. Tuy nhiïn, do cêëu truác vaâ möåt söë àùåc tñnh truyïìn giao dûä liïåu, giao thûác naây coân mang trong mònh rêët nhiïìu àiïím yïëu. Hònh 1. Mö hònh TCP/IP Töíng quan 30 THÖNG TIN vaâ TÛ LIÏÅU - 5/2015 Möåt söë nguy cú TCP/IP coá thïí bõ têën cöng nhû: • TCP/IP Attacks: Loaåi têën cöng naây xaãy ra trïn lúáp IP hay “host-to-host”. Möåt söë Router/Firewall coá thïí ngùn chùån möåt söë giao thûác khoá kiïím soaát trïn Internet, tuy nhiïn vêîn coá möåt söë giao thûác khöng an toaân maâ hacker coá thïí lúåi duång nhû SMTP & ICMP, TCP, UDP vaâ IP. • Caác hònh thûác têën cöng TCP/IP gùåp phaãi nhû: - Port Scans (Queát caác cöíng). - TCP SYN or TCP ACK Flood Attack (têën cöng traân böå àïåm). - TCP Sequence Number Attack. - TCP/IP Hijacking (Giaã maåo TCP/IP). - Network Sniffers: Bùæt giûä vaâ hiïín thõ caác thöng baáo trïn maång. - Têën cöng tûâ chöëi dõch vuå (Denial Of Service attacks- DOS/DDOS): Loaåi têën cöng khai thaác caác àiïím yïëu trïn caác dõch vuå TCP vaâ UDP nhùçm vö hiïåu caác dõch vuå cuãa thû viïån. Baãn chêët thûåc sûå cuãa DOS/DDOS laâ keã têën cöng seä chiïëm duång möåt lûúång lúán taâi nguyïn maång nhû bùng thöng, böå nhúá... vaâ laâm mêët khaã nùng xûã lyá caác yïu cêìu dõch vuå tûâ ngûúâi sûã duång khaác. Caác nguy cú tûâ caác saãn phêím phêìn mïìm: Do tñnh “cöng cöång” (public) cuãa hïå thöëng, caác phêìn mïìm àûúåc caác TVÀT sûã duång àa phêìn laâ nhûäng saãn phêím thûúng maåi, khöng àûúåc baão hiïím vïì ATTT. Hïå thöëng thöng tin TVÀT dïî bõ töín thûúng búãi möåt loaåt caác phêìn mïìm àöåc haåi (Malware) vaâ caác phêìn mïìm giaán àiïåp (Spyware) nhû: trojan, virus, worms, adware, keylogger, rootkit [17]. Caác phêìn mïìm thû viïån khi àûúåc thiïët kïë thûúâng ñt chuá troång àïën caác löîi baão mêåt vaâ thûúâng khöng coá caác baãn vaá löîi (servise park) nïn trong quaá trònh sûã duång dïî bõ hacker khai thaác caác löîi baão mêåt nhû: “SQL injection”, Cross-site Scripting (XSS), caác löîi lêåp trònh Möåt trong nhûäng taác haåi cuãa löîi phêìn mïìm laâ phaá hoaåi tñnh toaân veån cuãa dûä liïåu nhû: àaánh cùæp möåt caách bêët húåp phaáp quyïìn sûã duång dûä liïåu, xoáa, sûãa, thïm dûä liïåu hoùåc phaát laåi möåt söë thöng tin quan troång nhùçm thûåc hiïån möåt söë muåc àñch cuãa keã têën cöng. Möåt trong nhûäng cöng cuå quan troång nhêët àïí àaãm baão tñnh toaân veån dûä liïåu laâ sûã duång caác cöng cuå mêåt maä nhû caác haâm bùm möåt chiïìu (OWHF). Hiïån nay, caác giaãi thuêåt àûúåc sûã duång phöí biïën laâ MD5, SHA1, SHA2. Caác nguy cú do ngûúâi duâng: Xuêët phaát tûâ àùåc àiïím “Cöng cöång”, ngûúâi duâng trong hïå thöëng thû viïån rêët àa daång, nhêån thûác vïì ATTT khöng àöìng nhêët, àiïìu naây gêy ra rêët nhiïìu ruãi ro cho hïå thöëng. Viïåc kiïím soaát truy cêåp, quaãn lyá chêët lûúång mêåt khêíu, kiïím soaát vaâ baão vïå thöng tin caá nhên, ngùn chùån caác haânh vi lêëy cùæp, sûãa àöíi nöåi dung thöng tin àang laâ nhûäng thaách thûác cho caác nhaâ quaãn trõ hïå thöëng thû viïån. Theo nhiïìu taâi liïåu nghiïn cûáu, coá 80% nguy cú caác cuöåc têën cöng xuêët phaát tûâ nöåi böå. Àiïìu naây cho thêëy con ngûúâi laâ khêu yïëu nhêët trong toaân böå quy trònh an toaân vaâ baão mêåt thöng tin. Kyä thuêåt khai thaác àiïím yïëu do ngûúâi duâng phöí biïën laâ “social engenering”[13]. Kyä thuêåt “social engenering” laâ phûúng phaáp têën cöng phi kyä thuêåt, dûåa trïn sûå thiïëu hiïíu biïët cuãa ngûúâi duâng àïí lûâa gaåt hoå cung cêëp caác thöng tin nhaåy caãm nhû username, password hay caác thöng tin quan troång khaác. Chñnh vò yïëu töë têën cöng phi kyä thuêåt dûåa trïn sûå thiïëu hiïíu biïët, khöng àïì phoâng cuãa ngûúâi sûã duång maâ daång têën cöng naây àûúåc xem laâ daång têën cöng nguy hiïím nhêët. Ngoaâi viïåc phoâng chöëng böën nhoám nguy cú nïu trïn, àïí àaãm baão an toaân haå têìng TVÀT caác nhaâ quaãn lyá cuäng cêìn quan têm túái viïåc nêng cao nhêån thûác vaâ hiïíu biïët vïì ATTT, àùåc biïåt cêìn xêy dûång möåt böå quy tùæc, chñnh saách THÖNG TIN vaâ TÛ LIÏÅU - 5/2015 31 Töíng quan vïì ATTT giuáp cho viïåc quaãn lyá, vêån haânh hïå thöëng àûúåc an toaân vaâ hiïåu quaã. 3. Caác giaãi phaáp an toaân thöng tin àöëi vúái thû viïån àiïån tûã 3.1. An toaân vêåt lyá An toaân vêåt lyá laâ àaãm baão sûå an toaân cuãa caác thiïët bõ nhû maáy tñnh, maáy in, maân hònh, router, switch, caáp Caác thiïët bõ naây cêìn àûúåc àùåt taåi caác võ trñ an toaân, vñ duå, trong caác phoâng coá hïå thöëng baão vïå nhû khoáa, hïå thöëng chöëng tröåm, camera nhùçm ngùn chùån caác haânh vi ùn cùæp taâi saãn, truy cêåp traái pheáp vaâo caác maáy chuã hïå thöëng, phaá hoaåi dûä liïåu, hoùåc truy cêåp vaâo caác nguöìn taâi nguyïn mêåt cuãa thû viïån. Noái toám laåi, TVÀT cêìn thûåc hiïån caác biïån phaáp an ninh mûác vêåt lyá nhû caác thiïët bõ phaãi àûúåc triïín khai vúái yïu cêìu giaãm thiïíu thêm nhêåp cuãa nhûäng àöëi tûúång bïn ngoaâi khöng coá traách nhiïåm; caác hïå thöëng xûã lyá vaâ baão vïå thöng tin coá chûáa caác dûä liïåu quan troång cêìn phaãi àûúåc àùåt sao cho giaãm thiïíu khaã nùng thêm nhêåp cöë tònh hay hûäu yá cuãa nhûäng ngûúâi khöng àûúåc pheáp; nhûäng thiïët bõ coá yïu cêìu baão vïå àùåc biïåt nhû server chûáa dûä liïåu quan troång cuãa thû viïån cêìn phaãi àûúåc caách ly; coá caác biïån phaáp baão vïå sao cho giaãm thiïíu töëi àa caác möëi àe doåa nhû lûãa, chaáy nöí, khoái, nûúác, buåi, nhûäng taác àöång cú hoåc, caác hoáa chêët, caác bûác xaå àiïån tûâ trûúâng maånh vaâ tia phoáng xaå; caác thiïët bõ cêìn phaãi àûúåc theo doäi thûúâng xuyïn vaâ àûúåc kiïím tra àõnh kyâ, nïëu phaát hiïån caác dêëu hiïåu coá thïí gêy ra caác hoãng hoác cho hïå thöëng cêìn sûã duång caác phûúng tiïån baão vïå àùåc biïåt; àaãm baão an toaân hïå thöëng caáp; thûåc hiïån an toaân núi laâm viïåc; caác thöng tin quyá giaá nïëu khöng àûúåc sûã duång cêìn àûúåc lûu trûä trong möi trûúâng àûúåc baão vïå; caác maáy tñnh caá nhên, maáy in phaãi àûúåc theo doäi trong thúâi gian xûã lyá thöng tin vaâ cêìn àûúåc baão vïå khoãi caác haânh vi àaánh cùæp baân phñm, mêåt khêíu vaâ caác haânh vi khaác trong thúâi gian khöng coá mùåt ngûúâi sûã duång; 3.2. An toaân haå têìng maång Trong caác TVÀT, nguöìn taâi nguyïn thöng tin àûúåc truy cêåp thöng qua Internet vaâ maång maáy tñnh àoáng möåt vai troâ quan troång trong viïåc kïët nöëi caác nguöìn taâi nguyïn thöng tin [14]. Hún thïë, àaãm baão tñnh sùén saâng, hiïåu quaã vaâ hiïåu quaã chi phñ cuãa viïåc truy cêåp maång trong kyã nguyïn söë seä laâ nùng lûåc cöët loäi cuãa caác thû viïån. Do àoá, an ninh maång coá möåt vai troâ vö cuâng quan troång àöëi vúái caác TVÀT nhùçm duy trò tñnh toaân veån cuãa dûä liïåu. Àaãm baão an toaân haå têìng maång trong caác TVÀT nhùçm chöëng laåi böën nhoám nguy cú àoá laâ: truy cêåp traái pheáp (Non - authorized access); mêët maát hay roâ ró thöng tin (information leakage/Loss Prevention); phaá hoaåi tñnh toaân veån dûä liïåu (damage to data integrity) vaâ têën cöng tûâ chöëi dõch vuå (denial of service attacks). Caác giaãi phaáp an toaân haå têìng maång coá thïí chia thaânh caác nhoám sau: • Nhoám caác giaãi phaáp ngùn chùån, chöëng truy cêåp maång traái pheáp: Nhoám giaãi phaáp naây sûã duång caác cöng cuå phoâng chöëng truy cêåp traái pheáp nhû tûúâng lûãa (FW). Tuy nhiïn, FW khöng phaát hiïån ra caác haânh vi bêët thûúâng xaãy ra trïn maång. Do àoá, ngoaâi viïåc trang bõ tûúâng lûãa caác TVÀT cêìn coá möåt loaåi thiïët bõ coá khaã nùng theo doäi vaâ phaát hiïån moåi dêëu vïët caác haânh vi cuãa doâng thöng tin ài qua FW. Thiïët bõ nhû vêåy àûúåc goåi laâ thiïët bõ phaát hiïån vaâ ngùn chùån têën cöng (IDS/IPS). IDS/IPS laâm viïåc nhû möåt ngûúâi gaác cöíng phaát hiïån caác haânh vi “bêët thûúâng” (maâ FW khöng phaát hiïån àûúåc) cuãa möåt cuöåc têën cöng. Vñ duå, FW khöng phaát hiïån ra haânh vi têën cöng DDOS hoùåc TCP/IP hijacking. ÚÃ nhoám giaãi phaáp naây coân coá caác thiïët bõ kiïím tra, àaánh giaá àõnh kyâ, caác phûúng tiïån tòm kiïëm phaát hiïån löî höíng baão mêåt vaâ vaá löîi cho toaân böå hïå thöëng bao göìm: hïå àiïìu haânh, caác Töíng quan 32 THÖNG TIN vaâ TÛ LIÏÅU - 5/2015 phêìn mïìm ûáng duång, caác dõch vuå caác TVÀT coá thïí sûã duång caác phêìn mïìm nhû: cöng cuå nmap àïí queát maång; sûã duång caác phêìn mïìm Paros Proxy, WebScarab, Acunetix Web Vulnerability Scanner,àïí queát löî höíng baão mêåt cuãa caác ûáng duång. • Nhoám giaãi phaáp kiïím soaát truy cêåp: Kiïím soaát truy cêåp laâ xaác àõnh quyïìn truy cêåp àïën tûâng phêìn cuãa hïå thöëng cho tûâng loaåi ngûúâi duâng; xaác nhêån vaâ xaác thûåc ngûúâi duâng vaâ khi cêìn thiïët phaãi xaác thûåc thiïët bõ (àõa chó maång, maä söë cuãa terminal,) cêìn truy cêåp; ghi laåi têët caã cuöåc truy cêåp thaânh cöng vaâ khöng thaânh cöng; nïëu duâng mêåt khêíu àïí xaác thûåc hïå thöëng, cêìn sûã duång caác mêåt khêíu coá chêët lûúång cao vaâ khi cêìn thiïët cêìn phaãi haån chïë söë lûúång ngûúâi truy cêåp àöìng thúâi vaâo maång. Cêìn àaãm baão taâi nguyïn thöng tin cuãa caác TVÀT chó coá thïí truy cêåp búãi nhûäng caá nhên àûúåc xaác thûåc. Quaá trònh truy cêåp taâi nguyïn hïå thöëng thöng tin TVÀT cuãa ngûúâi duâng cêìn thöng qua caác bûúác: - Identification: Quaá trònh nhêån daång ngûúâi duâng, ngûúâi duâng cung cêëp caác thöng tin cho hïå thöëng nhêån daång. - Authentication: Xaác thûåc laâ quaá trònh chûáng minh “Töi chñnh laâ töi”. Àïí xaác thûåc ngûúâi duâng, ta cêìn coá nhûäng yïëu töë sau: + Something you KNOW: Dûåa vaâo möåt vaâi yïëu töë baån biïët (vñ duå: username/password) + Something you HAVE - Dûåa vaâo möåt yïëu töë baån coá (vd: baån phaãi coá möåt theã tûâ) + Something you ARE - Dûåa vaâo möåt yïëu töë thuöåc vïì baån (vñ duå : vên tay, gioång noái, voäng maåc hay DNA) - Authorization: Thêím quyïìn truy cêåp taâi nguyïn àûúåc hïå thöëng cêëp cho ngûúâi duâng sau khi xaác thûåc Authentication. Authorization thïí hiïån caác quyïìn maâ ngûúâi duâng coá thïí thûåc thi trïn hïå thöëng. Authorization laâm viïåc trûåc tiïëp vúái àiïìu khiïín truy cêåp Access Control. • Nhoám caác giaãi phaáp nhùçm phuåc höìi dûä liïåu sau sûå cöë: nhû chöëng thêët thoaát dûä liïåu, sao lûu (backup). nhùçm muåc àñch àaãm baão tñnh liïn tuåc (sùén saâng) laâm viïåc cuãa hïå thöëng thöng tin TVÀT. Noá giuáp caác TVÀT nhanh choáng vaâ chuã àöång àûa hïå thöëng vaâo sûã duång sau khi bõ sûå cöë. Coá thïí aáp duång möåt trong caác phûúng phaáp lûu trûä sau: - Backup liïn tuåc (working backup): Laâ möåt daång backup toaân phêìn (full backup)-thûåc hiïån liïn tuåc nhùçm muåc àñch phuåc höìi hïå thöëng möåt caách tûác thò. - Cêët giûä taåi chöî (Onsite Storage):Thûåc hiïån bïn trong hïå thöëng. - Cêët giûä bïn ngoaâi (Offsite Storage). Àûúåc thûåc hiïån bïn ngoaâi hïå thöëng, thûúâng taåi caác vùn phoâng úã xa (remote office) hoùåc taåi möåt trung têm àûúåc baão vïå an toaân. • Xêy dûång chñnh saách an ninh maång: Töíng húåp caác quy tùæc, quy trònh vêån haânh ATTT vaâ caác giaãi phaáp àïí thûåc thi ATTT trong cú quan thöng tin - thû viïån. Laâ bûúác hoaân thiïån möåt möi trûúâng laâm viïåc vaâ hoaåt àöång theo chuêín baão mêåt. Hiïån nay nûúác ta coá rêët nhiïìu àún võ àang xêy dûång chñnh saách ATTT theo chuêín ISO 17799/27001, sûã duång mö hònh ISMS. 3.3. An toaân dûä liïåu Thuêåt ngûä “an toaân dûä liïåu” coá nghôa laâ caác hïå CSDL cêìn phaãi àûúåc baão vïå chöëng truy nhêåp nhùçm sûãa àöíi hay phaá hoaåi möåt caách chuã àõnh hay khöng chuã àõnh. Nhû vêåy, caác hïå thöëng cú súã dûä liïåu phaãi àûúåc quaãn trõ, baão vïå têåp trung, nhùçm baão àaãm àûúåc tñnh toaân veån vaâ an toaân dûä liïåu khi thûåc hiïån cêåp nhêåt, sûãa àöíi hay böí sung thöng tin trong caác CSDL. Viïåc baão vïå tuyïåt àöëi caác hïå CSDL khoãi truy nhêåp laâ khöng thïí, nhûng caác TVÀT phaãi coá caác biïån phaáp àuã maånh àïí ngùn chùån hêìu hïët truy cêåp traái pheáp vaâo CSDL. THÖNG TIN vaâ TÛ LIÏÅU - 5/2015 33 Töíng quan Àïí àaãm baão an toaân dûä liïåu caán böå cöng nghïå thöng tin cuãa caác TVÀT cêìn phên chia möåt caách roä raâng quyïìn haån cuãa tûâng àöëi tûúång khi sûã duång hïå CSDL, vúái caác quyïìn: àoåc (read), cheân (insert), sûãa àöíi (modify), xoáa (delete) dûä liïåu, cêìn xaác àõnh roä ai seä coá têët caã caác quyïìn trïn, ai chó coá möåt söë quyïìn haån nhêët àõnh. Bïn caånh àoá cêìn sûã duång mêåt maä àïí àaãm baão an toaân dûä liïåu. Mêåt maä laâ phûúng phaáp baão vïå thöng tin bùçng viïåc maä hoáa chuáng (encrypting) thaânh möåt daång maâ chó coá thïí àoåc búãi ngûúâi coá thêím quyïìn vúái hïå thöëng àoá hay möåt ngûúâi duâng cuå thïí. Viïåc sûã duång vaâ taåo hïå thöëng àoá goåi laâ mêåt maä (cryptography). Coá thïí sûã duång caác phûúng thûác maä hoáa cú baãn sau: - Haâm bùm - HASH ((MD5, SHA1, SHA2); - Maä hoáa àöëi xûáng - Symmetric (möåt söë thuêåt toaán maä hoáa àöëi xûáng phöí biïën hiïån nay nhû DES, 3DES vaâ AES); - Maä hoáa bêët àöëi xûáng - Asymmetric (RSA, ECC, Diffie-Helman ). 3.4. An toaân ngûúâi sûã duång Ngûúâi sûã duång TVÀT bao göìm nhiïìu àöëi tûúång khaác nhau coá tûúng taác vúái thû viïån [19]. An toaân ngûúâi sûã duång coá möëi liïn hïå mêåt thiïët vúái caác vêën àïì vïì an toaân cú súã haå têìng kyä thuêåt, an toaân dûä liïåu àûúåc trònh baây úã phêìn trïn. Tuy nhiïn, an toaân ngûúâi sûã duång thûúâng àïì cêåp túái vêën àïì kiïím soaát truy cêåp nhùçm àaãm baão tñnh baão mêåt vaâ xaác thûåc. An toaân ngûúâi sûã duång bao haâm hai vêën àïì chñnh, laâ: àaãm baão ATTT cuãa ngûúâi sûã duång vaâ xaác thûåc ngûúâi duâng khi tiïëp cêån hïå thöëng. An toaân thöng tin ngûúâi sûã duång: Vúái sûå giuáp sûác cuãa maáy tñnh àiïån tûã vaâ maång maáy tñnh, caác thöng tin cuãa ngûúâi sûã duång (thöng tin caá nhên, lõch sûã tòm kiïëm, giao dõch, mûúån - traã,) àïìu àûúåc ghi laåi vaâ àûúåc lûu trûä trong hïå thöëng. Cêu hoãi àùåt ra laâ thöng tin cuãa ngûúâi sûã duång àûúåc caác thû viïån lûu trûä nhû thïë naâo? Coá àaãm baão rùçng nhûäng thöng tin naây khöng roâ ró ra ngoaâi, gêy aãnh hûúãng túái ngûúâi sûã duång. An toaân úã àêy àïì cêåp túái quyïìn riïng tû vaâ baão mêåt. Quyïìn riïng tû (privacy) laâ thuêåt ngûä liïn quan chùåt cheä àïën ATTT ngûúâi sûã duång. Riïng tû tûác laâ quyïìn àûúåc giûä kñn, giûä riïng vaâ khöng cöng böë caác thöng tin caá nhên, laâ quyïìn àûúåc giûä bñ mêåt caá nhên, àûúåc baão vïå bñ mêåt caá nhên, khöng bõ xêm phaåm bñ mêåt caá nhên, baão vïå caá nhên trûúác viïåc bõ maåo danh vaâ giaã maåo thöng tin [21, 22]. Baão mêåt (Confidentiality) nghôa laâ caác thöng tin giao dõch, tòm kiïëm, download, lônh vûåc ngûúâi duâng quan têm khi sûã duång thû viïån phaãi àûúåc giûä bñ mêåt. Caác thöng tin cuãa ngûúâi sûã duång coá thïí bõ àaánh cùæp phuåc vuå cho nhiïìu muåc àñch khaác nhau, nhû: lúåi duång taâi khoaãn ngûúâi duâng àïí truy cêåp bêët húåp phaáp hïå thöëng, têën cöng HTTT thû viïån, cung cêëp thöng tin ngûúâi sûã duång cho bïn thûá ba,... Do àoá, caác TVÀT cêìn coá nhûäng biïån phaáp cuå thïí àïí àaãm baão ATTT ngûúâi sûã duång, vaâ cêìn àûúåc thïí hiïån trong chñnh saách ATTT cuå thïí. Xaác thûåc ngûúâi duâng: Khi noái vïì hïå thöëng caác biïån phaáp töíng húåp nhùçm baão àaãm an toaân cho viïåc trao àöíi thöng tin trïn maång maáy tñnh, ngûúâi ta thûúâng nhùæc àïën AAA (Authentication - xaác thûåc; Authorization - phên quyïìn vaâ Accounting - tñnh toaán), trong àoá xaác thûåc laâ cöng àoaån àêìu tiïn vaâ quan troång nhêët. Tûúng tûå nhû vêåy, trong caác TVÀT, àïí àaãm baão an toaân, ngûúâi sûã duång cêìn phaãi traãi qua bûúác xaác thûåc trûúác khi sûã duång caác saãn phêìm - dõch vuå thû viïån. Hiïån nay, àa phêìn caác TVÀT àïìu yïu cêìu xaác thûåc thöng qua username vaâ password maâ ngûúâi sûã duång àûúåc cêëp. Töíng quan 34 THÖNG TIN vaâ TÛ LIÏÅU - 5/2015 Kïët luêån TVÀT laâ möåt hïå thöëng thöng tin hoaân chónh, chõu sûå taác àöång cuãa caác yïëu töë gêy mêët ATTT. Caác nguy cú naây coá thïí àïën tûâ cú súã haå têìng kyä thuêåt, tûâ caác giao thûác maång, àïën tûâ caác saãn phêìm phêìn mïìm vaâ àïën tûâ chñnh ngûúâi sûã duång. Àïí àaãm baão ATTT trong TVÀT cêìn tiïën haânh àöìng thúâi nhiïìu giaãi phaáp khaác nhau, tûâ caác giaãi phaáp vïì quaãn lyá àïën caác hûúáng dêîn thûåc thi ATTT vaâ cuöëi cuâng laâ lûåa choån caác giaãi phaáp cöng nghïå àïí thûåc hiïån. 1. Quyïët àõnh 2615/QÀ-BTC, ngaây 19 thaáng 10 nùm 2012: Vïì viïåc àaãm baão an toaân thöng tin trïn möi trûúâng maáy tñnh vaâ maång maáy tñnh. 2. Quöëc höåi (2006), Luêåt Cöng nghïå thöng tin söë 67/2006/QH11, ngaây 29 thaáng 6 nùm 2006. 3. Quöëc höåi (2005), Luêåt Giao dõch àiïån tûã söë 51/2005/QH11, ngaây 29 thaáng 11 nùm 2005. 4. Nghõ àõnh 63/2007/NÀ-CP, ngaây 10 thaáng 4 nùm 2007: Qui àõnh vïì xûã phaåt haânh chñnh trong lônh vûåc CNTT. 5. Nghõ àõnh 64/2007/NÀ-CP, ngaây 10 thaáng 4 nùm 2007: Vïì viïåc ûáng duång CNTT trong hoaåt àöång caác cú quan nhaâ nûúác. 6. Nghõ àõnh 90/2008/NÀ-CP, ngaây 13 thaáng 8 nùm 2008: Vïì viïåc chöëng thû raác. 7. Chó thõ 03/2007/CT-BBCVT, ngaây 23 thaáng 2 nùm 2007: Vïì viïåc tùng cûúâng àaãm baão an toaân thöng tin trïn maång Internet. 8. Chó thõ 897/CT-TTg, ngaây 10 thaáng 6 nùm 2011: Vïì viïåc tùng cûúâng triïín khai caác hoaåt àöång àaãm baão an toaân thöng tin söë. 9. Quöëc höåi (2010), Luêåt Baão vïå quyïìn lúåi ngûúâi tiïu duâng söë 59/2010/QH12, ngaây 17/11/2010. 10. Quyïët àõnh söë 63/QÀ-TTg, ngaây 13 thaáng 01 nùm 2010, Phï duyïåt Quy hoaåch phaát triïín an toaân thöng tin söë quöëc gia àïën nùm 2020. 11. Chuêín baão mêåt ISO 17799 – Toaân têåp// perts.net/bai-viet-ky-thuat/security/661-chun-bo-mt-iso- 17799-toan-tp.html 12. Banerjee, K. (2003). How much security does your library need? Computers in Libraries, 23(5), 12-15. Truy cêåp ngaây 28/04/2014, tûâ cú súã dûä liïåu ProQuest. 13. Mike Meyers’ Certification Passport : CompTIA Security plus _Trevor Kay 2003. 14. Singh, S. (2003). Digital library: Definition to imple- mentation. Ranganathan Research Centre: Delhi. (Truy cêåp ngaây 22/07/2014) 15. Nguyïîn Thõ Nhõ, Mai Àaåi Phûúng (2011), Xêy dûång vaâ sûã duång TVÀT höî trúå daåy hoåc vêåt lyá trung hoåc phöí thöng, Kyã yïëu höåi thaão quöëc gia vïì giaãng daåy vêåt lyá. 16. Nguyïîn Höìng Ngoåc (2011), Möåt söë vêën àïì vïì söë hoáa taâi liïåu taåi Viïåt Nam// index.php/chuyen-de/22-chuyen-de/243-mot-so-van-de-so- hoa-tai-lieu-vn?tmpl=component&print=1&page= (Truy cêåp ngaây 05/11/2014). 17. Prof. Dr. Christoph Meinel (2005), Internetworking with TCP/IP, NXBGD, Haâ Nöåi. 18. Xie Wei, Chun-Hong Zhang (2009). Digital library network security technology research. Computer Knowledge and Technology, 2009,5 (4): 814-815. 19. Olson, Ingrid M and Abrams, Marshall D (2012). Information Security Policy, IEEE Explore, P.430 – 433. 20. Karin Hone and J.H.P.Eloff. Information security pol- icy, What do international information security standards Say? 21. Nguyïîn Vùn Anh (2010), Nghiïn cûáu hïå thöëng quaãn lyá an toaân thöng tin theo tiïu chuêín ISO 27001: Luêån vùn thaåc syä ngaânh hïå thöëng thöng tin, trûúâng Àaåi hoåc Cöng nghïå, ÀHQGHN. 22. Vuä Thanh Vên (2012) “Quyïìn riïng tû vaâ vùn hoáa ûáng xûã cuãa nhaâ baáo”, Kyã yïëu höåi thaão: Sûå nghiïåp Thöng tin - Thû viïån Viïåt Nam àöíi múái vaâ höåi nhêåp quöëc tïë. Taâi liïåu tham khaão
File đính kèm:
- dam_bao_an_toan_thong_tin_trong_thu_vien_dien_tu.pdf