Đảm bảo an toàn thông tin trong thư viện điện tử

Tóm tắt Đảm bảo an toàn thông tin trong thư viện điện tử: ...T. 2.3. Möåt söë nguy cú ATTT taác àöång lïn TVÀT Caác nguy cú tûâ cú súã haå têìng kyä thuêåt: An toaân cú súã haå têìng kyä thuêåt bao göìm nhiïìu yïëu töë nhû: an toaân vêåt lyá, an toaân phêìn cûáng, an toaân phêìn mïìm, an toaân haå têìng maång, an toaân hïå àiïìu haânh, an toaân ûáng du...thöëng baão vïå nhû khoáa, hïå thöëng chöëng tröåm, camera nhùçm ngùn chùån caác haânh vi ùn cùæp taâi saãn, truy cêåp traái pheáp vaâo caác maáy chuã hïå thöëng, phaá hoaåi dûä liïåu, hoùåc truy cêåp vaâo caác nguöìn taâi nguyïn mêåt cuãa thû viïån. Noái toám laåi, TVÀT cêìn thûåc hiïån caác b...á thïí aáp duång möåt trong caác phûúng phaáp lûu trûä sau: - Backup liïn tuåc (working backup): Laâ möåt daång backup toaân phêìn (full backup)-thûåc hiïån liïn tuåc nhùçm muåc àñch phuåc höìi hïå thöëng möåt caách tûác thò. - Cêët giûä taåi chöî (Onsite Storage):Thûåc hiïån bïn trong hïå th...

pdf8 trang | Chia sẻ: havih72 | Lượt xem: 316 | Lượt tải: 0download
Nội dung tài liệu Đảm bảo an toàn thông tin trong thư viện điện tử, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
thöëng phaát hiïån xêm nhêåp traái
pheáp (IDS, IPS); Sûã duång caác phêìn mïìm
quaãn trõ thû viïån tñch húåp khöng àûúåc baão hiïím
vïì ATTT
Caác nguy cú trïn giao thûác TCP/IP: Hiïån
nay caác TVÀT noái riïng vaâ caác hïå thöëng thöng
tin khaác noái chung chuã yïëu sûã duång giao thûác
TCP/IP. Àêy laâ möåt giao thûác dûåa trïn chuêín
ISO, cho pheáp sûå tûúng giao (interoperability)
giûäa caác hïå maáy (platform) àa daång àûúåc cung
cêëp búãi caác nhaâ saãn xuêët khaác nhau. Mö hònh
TCP/IP (Hònh 1) dûåa trïn nïìn taãng cêëu truác
OSI 7 lúáp. Àêy laâ möåt giao thûác àún giaãn, dïî
sûã duång vaâ phöí cêåp. Tuy nhiïn, do cêëu truác vaâ
möåt söë àùåc tñnh truyïìn giao dûä liïåu, giao thûác
naây coân mang trong mònh rêët nhiïìu àiïím yïëu.
Hònh 1. Mö hònh TCP/IP
Töíng quan
30 THÖNG TIN vaâ TÛ LIÏÅU - 5/2015
Möåt söë nguy cú TCP/IP coá thïí bõ têën cöng nhû: 
• TCP/IP Attacks: Loaåi têën cöng naây xaãy ra
trïn lúáp IP hay “host-to-host”. Möåt söë
Router/Firewall coá thïí ngùn chùån möåt söë giao
thûác khoá kiïím soaát trïn Internet, tuy nhiïn vêîn
coá möåt söë giao thûác khöng an toaân maâ hacker
coá thïí lúåi duång nhû SMTP & ICMP, TCP,
UDP vaâ IP. 
• Caác hònh thûác têën cöng TCP/IP gùåp phaãi
nhû:
- Port Scans (Queát caác cöíng). 
- TCP SYN or TCP ACK Flood Attack (têën
cöng traân böå àïåm).
- TCP Sequence Number Attack. 
- TCP/IP Hijacking (Giaã maåo TCP/IP).
- Network Sniffers: Bùæt giûä vaâ hiïín thõ caác
thöng baáo trïn maång. 
- Têën cöng tûâ chöëi dõch vuå (Denial Of Service
attacks- DOS/DDOS): Loaåi têën cöng khai thaác
caác àiïím yïëu trïn caác dõch vuå TCP vaâ UDP
nhùçm vö hiïåu caác dõch vuå cuãa thû viïån. Baãn
chêët thûåc sûå cuãa DOS/DDOS laâ keã têën cöng
seä chiïëm duång möåt lûúång lúán taâi nguyïn
maång nhû bùng thöng, böå nhúá... vaâ laâm mêët
khaã nùng xûã lyá caác yïu cêìu dõch vuå tûâ ngûúâi
sûã duång khaác.
Caác nguy cú tûâ caác saãn phêím phêìn mïìm:
Do tñnh “cöng cöång” (public) cuãa hïå thöëng, caác
phêìn mïìm àûúåc caác TVÀT sûã duång àa phêìn laâ
nhûäng saãn phêím thûúng maåi, khöng àûúåc baão
hiïím vïì ATTT. Hïå thöëng thöng tin TVÀT dïî
bõ töín thûúng búãi möåt loaåt caác phêìn mïìm àöåc
haåi (Malware) vaâ caác phêìn mïìm giaán àiïåp
(Spyware) nhû: trojan, virus, worms, adware,
keylogger, rootkit [17]. Caác phêìn mïìm thû
viïån khi àûúåc thiïët kïë thûúâng ñt chuá troång àïën
caác löîi baão mêåt vaâ thûúâng khöng coá caác baãn vaá
löîi (servise park) nïn trong quaá trònh sûã duång
dïî bõ hacker khai thaác caác löîi baão mêåt nhû:
“SQL injection”, Cross-site Scripting (XSS),
caác löîi lêåp trònh Möåt trong nhûäng taác haåi cuãa
löîi phêìn mïìm laâ phaá hoaåi tñnh toaân veån cuãa dûä
liïåu nhû: àaánh cùæp möåt caách bêët húåp phaáp
quyïìn sûã duång dûä liïåu, xoáa, sûãa, thïm dûä liïåu
hoùåc phaát laåi möåt söë thöng tin quan troång nhùçm
thûåc hiïån möåt söë muåc àñch cuãa keã têën cöng.
Möåt trong nhûäng cöng cuå quan troång nhêët àïí
àaãm baão tñnh toaân veån dûä liïåu laâ sûã duång caác
cöng cuå mêåt maä nhû caác haâm bùm möåt chiïìu
(OWHF). Hiïån nay, caác giaãi thuêåt àûúåc sûã
duång phöí biïën laâ MD5, SHA1, SHA2.
Caác nguy cú do ngûúâi duâng: Xuêët phaát tûâ
àùåc àiïím “Cöng cöång”, ngûúâi duâng trong hïå
thöëng thû viïån rêët àa daång, nhêån thûác vïì ATTT
khöng àöìng nhêët, àiïìu naây gêy ra rêët nhiïìu ruãi
ro cho hïå thöëng. Viïåc kiïím soaát truy cêåp, quaãn
lyá chêët lûúång mêåt khêíu, kiïím soaát vaâ baão vïå
thöng tin caá nhên, ngùn chùån caác haânh vi lêëy
cùæp, sûãa àöíi nöåi dung thöng tin àang laâ nhûäng
thaách thûác cho caác nhaâ quaãn trõ hïå thöëng thû
viïån. Theo nhiïìu taâi liïåu nghiïn cûáu, coá 80%
nguy cú caác cuöåc têën cöng xuêët phaát tûâ nöåi böå.
Àiïìu naây cho thêëy con ngûúâi laâ khêu yïëu nhêët
trong toaân böå quy trònh an toaân vaâ baão mêåt
thöng tin.
Kyä thuêåt khai thaác àiïím yïëu do ngûúâi duâng
phöí biïën laâ “social engenering”[13]. Kyä thuêåt
“social engenering” laâ phûúng phaáp têën cöng
phi kyä thuêåt, dûåa trïn sûå thiïëu hiïíu biïët cuãa
ngûúâi duâng àïí lûâa gaåt hoå cung cêëp caác thöng
tin nhaåy caãm nhû username, password hay caác
thöng tin quan troång khaác. Chñnh vò yïëu töë têën
cöng phi kyä thuêåt dûåa trïn sûå thiïëu hiïíu biïët,
khöng àïì phoâng cuãa ngûúâi sûã duång maâ daång
têën cöng naây àûúåc xem laâ daång têën cöng nguy
hiïím nhêët. 
Ngoaâi viïåc phoâng chöëng böën nhoám nguy cú
nïu trïn, àïí àaãm baão an toaân haå têìng TVÀT
caác nhaâ quaãn lyá cuäng cêìn quan têm túái viïåc
nêng cao nhêån thûác vaâ hiïíu biïët vïì ATTT, àùåc
biïåt cêìn xêy dûång möåt böå quy tùæc, chñnh saách
THÖNG TIN vaâ TÛ LIÏÅU - 5/2015 31
Töíng quan
vïì ATTT giuáp cho viïåc quaãn lyá, vêån haânh hïå
thöëng àûúåc an toaân vaâ hiïåu quaã.
3. Caác giaãi phaáp an toaân thöng tin àöëi vúái
thû viïån àiïån tûã
3.1. An toaân vêåt lyá
An toaân vêåt lyá laâ àaãm baão sûå an toaân cuãa caác
thiïët bõ nhû maáy tñnh, maáy in, maân hònh, router,
switch, caáp Caác thiïët bõ naây cêìn àûúåc àùåt taåi
caác võ trñ an toaân, vñ duå, trong caác phoâng coá hïå
thöëng baão vïå nhû khoáa, hïå thöëng chöëng tröåm,
camera nhùçm ngùn chùån caác haânh vi ùn cùæp
taâi saãn, truy cêåp traái pheáp vaâo caác maáy chuã hïå
thöëng, phaá hoaåi dûä liïåu, hoùåc truy cêåp vaâo caác
nguöìn taâi nguyïn mêåt cuãa thû viïån. Noái toám
laåi, TVÀT cêìn thûåc hiïån caác biïån phaáp an ninh
mûác vêåt lyá nhû caác thiïët bõ phaãi àûúåc triïín khai
vúái yïu cêìu giaãm thiïíu thêm nhêåp cuãa nhûäng
àöëi tûúång bïn ngoaâi khöng coá traách nhiïåm; caác
hïå thöëng xûã lyá vaâ baão vïå thöng tin coá chûáa caác
dûä liïåu quan troång cêìn phaãi àûúåc àùåt sao cho
giaãm thiïíu khaã nùng thêm nhêåp cöë tònh hay hûäu
yá cuãa nhûäng ngûúâi khöng àûúåc pheáp; nhûäng
thiïët bõ coá yïu cêìu baão vïå àùåc biïåt nhû server
chûáa dûä liïåu quan troång cuãa thû viïån cêìn phaãi
àûúåc caách ly; coá caác biïån phaáp baão vïå sao cho
giaãm thiïíu töëi àa caác möëi àe doåa nhû lûãa, chaáy
nöí, khoái, nûúác, buåi, nhûäng taác àöång cú hoåc, caác
hoáa chêët, caác bûác xaå àiïån tûâ trûúâng maånh vaâ tia
phoáng xaå; caác thiïët bõ cêìn phaãi àûúåc theo doäi
thûúâng xuyïn vaâ àûúåc kiïím tra àõnh kyâ, nïëu
phaát hiïån caác dêëu hiïåu coá thïí gêy ra caác hoãng
hoác cho hïå thöëng cêìn sûã duång caác phûúng tiïån
baão vïå àùåc biïåt; àaãm baão an toaân hïå thöëng caáp;
thûåc hiïån an toaân núi laâm viïåc; caác thöng tin
quyá giaá nïëu khöng àûúåc sûã duång cêìn àûúåc lûu
trûä trong möi trûúâng àûúåc baão vïå; caác maáy tñnh
caá nhên, maáy in phaãi àûúåc theo doäi trong thúâi
gian xûã lyá thöng tin vaâ cêìn àûúåc baão vïå khoãi
caác haânh vi àaánh cùæp baân phñm, mêåt khêíu vaâ
caác haânh vi khaác trong thúâi gian khöng coá mùåt
ngûúâi sûã duång;
3.2. An toaân haå têìng maång
Trong caác TVÀT, nguöìn taâi nguyïn thöng
tin àûúåc truy cêåp thöng qua Internet vaâ maång
maáy tñnh àoáng möåt vai troâ quan troång trong
viïåc kïët nöëi caác nguöìn taâi nguyïn thöng 
tin [14]. Hún thïë, àaãm baão tñnh sùén saâng, hiïåu
quaã vaâ hiïåu quaã chi phñ cuãa viïåc truy cêåp maång
trong kyã nguyïn söë seä laâ nùng lûåc cöët loäi cuãa
caác thû viïån. Do àoá, an ninh maång coá möåt vai
troâ vö cuâng quan troång àöëi vúái caác TVÀT
nhùçm duy trò tñnh toaân veån cuãa dûä liïåu.
Àaãm baão an toaân haå têìng maång trong caác
TVÀT nhùçm chöëng laåi böën nhoám nguy cú àoá
laâ: truy cêåp traái pheáp (Non - authorized access);
mêët maát hay roâ ró thöng tin (information 
leakage/Loss Prevention); phaá hoaåi tñnh toaân
veån dûä liïåu (damage to data integrity) vaâ têën
cöng tûâ chöëi dõch vuå (denial of service attacks). 
Caác giaãi phaáp an toaân haå têìng maång coá thïí
chia thaânh caác nhoám sau:
• Nhoám caác giaãi phaáp ngùn chùån, chöëng
truy cêåp maång traái pheáp: Nhoám giaãi phaáp naây
sûã duång caác cöng cuå phoâng chöëng truy cêåp traái
pheáp nhû tûúâng lûãa (FW). Tuy nhiïn, FW
khöng phaát hiïån ra caác haânh vi bêët thûúâng xaãy
ra trïn maång. Do àoá, ngoaâi viïåc trang bõ tûúâng
lûãa caác TVÀT cêìn coá möåt loaåi thiïët bõ coá khaã
nùng theo doäi vaâ phaát hiïån moåi dêëu vïët caác
haânh vi cuãa doâng thöng tin ài qua FW. Thiïët bõ
nhû vêåy àûúåc goåi laâ thiïët bõ phaát hiïån vaâ ngùn
chùån têën cöng (IDS/IPS). IDS/IPS laâm viïåc
nhû möåt ngûúâi gaác cöíng phaát hiïån caác haânh vi
“bêët thûúâng” (maâ FW khöng phaát hiïån àûúåc)
cuãa möåt cuöåc têën cöng. Vñ duå, FW khöng phaát
hiïån ra haânh vi têën cöng DDOS hoùåc TCP/IP
hijacking.
ÚÃ nhoám giaãi phaáp naây coân coá caác thiïët bõ
kiïím tra, àaánh giaá àõnh kyâ, caác phûúng tiïån tòm
kiïëm phaát hiïån löî höíng baão mêåt vaâ vaá löîi cho
toaân böå hïå thöëng bao göìm: hïå àiïìu haânh, caác
Töíng quan
32 THÖNG TIN vaâ TÛ LIÏÅU - 5/2015
phêìn mïìm ûáng duång, caác dõch vuå caác TVÀT
coá thïí sûã duång caác phêìn mïìm nhû: cöng cuå
nmap àïí queát maång; sûã duång caác phêìn mïìm
Paros Proxy, WebScarab, Acunetix Web 
Vulnerability Scanner,àïí queát löî höíng baão
mêåt cuãa caác ûáng duång.
• Nhoám giaãi phaáp kiïím soaát truy cêåp: Kiïím
soaát truy cêåp laâ xaác àõnh quyïìn truy cêåp àïën
tûâng phêìn cuãa hïå thöëng cho tûâng loaåi ngûúâi
duâng; xaác nhêån vaâ xaác thûåc ngûúâi duâng vaâ khi
cêìn thiïët phaãi xaác thûåc thiïët bõ (àõa chó maång,
maä söë cuãa terminal,) cêìn truy cêåp; ghi laåi têët
caã cuöåc truy cêåp thaânh cöng vaâ khöng thaânh
cöng; nïëu duâng mêåt khêíu àïí xaác thûåc hïå thöëng,
cêìn sûã duång caác mêåt khêíu coá chêët lûúång cao vaâ
khi cêìn thiïët cêìn phaãi haån chïë söë lûúång ngûúâi
truy cêåp àöìng thúâi vaâo maång. Cêìn àaãm baão taâi
nguyïn thöng tin cuãa caác TVÀT chó coá thïí truy
cêåp búãi nhûäng caá nhên àûúåc xaác thûåc. Quaá
trònh truy cêåp taâi nguyïn hïå thöëng thöng tin
TVÀT cuãa ngûúâi duâng cêìn thöng qua caác bûúác:
- Identification: Quaá trònh nhêån daång ngûúâi
duâng, ngûúâi duâng cung cêëp caác thöng tin cho
hïå thöëng nhêån daång.
- Authentication: Xaác thûåc laâ quaá trònh
chûáng minh “Töi chñnh laâ töi”. Àïí xaác thûåc
ngûúâi duâng, ta cêìn coá nhûäng yïëu töë sau:
+ Something you KNOW: Dûåa vaâo möåt vaâi
yïëu töë baån biïët (vñ duå: username/password)
+ Something you HAVE - Dûåa vaâo möåt yïëu
töë baån coá (vd: baån phaãi coá möåt theã tûâ)
+ Something you ARE - Dûåa vaâo möåt yïëu töë
thuöåc vïì baån (vñ duå : vên tay, gioång noái, voäng
maåc hay DNA)
- Authorization: Thêím quyïìn truy cêåp taâi
nguyïn àûúåc hïå thöëng cêëp cho ngûúâi duâng sau
khi xaác thûåc Authentication. Authorization thïí
hiïån caác quyïìn maâ ngûúâi duâng coá thïí thûåc thi
trïn hïå thöëng. Authorization laâm viïåc trûåc tiïëp
vúái àiïìu khiïín truy cêåp Access Control.
• Nhoám caác giaãi phaáp nhùçm phuåc höìi dûä
liïåu sau sûå cöë: nhû chöëng thêët thoaát dûä liïåu, sao
lûu (backup). nhùçm muåc àñch àaãm baão tñnh liïn
tuåc (sùén saâng) laâm viïåc cuãa hïå thöëng thöng tin
TVÀT. Noá giuáp caác TVÀT nhanh choáng vaâ
chuã àöång àûa hïå thöëng vaâo sûã duång sau khi bõ
sûå cöë. Coá thïí aáp duång möåt trong caác phûúng
phaáp lûu trûä sau:
- Backup liïn tuåc (working backup): Laâ möåt
daång backup toaân phêìn (full backup)-thûåc hiïån
liïn tuåc nhùçm muåc àñch phuåc höìi hïå thöëng möåt
caách tûác thò.
- Cêët giûä taåi chöî (Onsite Storage):Thûåc hiïån
bïn trong hïå thöëng.
- Cêët giûä bïn ngoaâi (Offsite Storage). Àûúåc
thûåc hiïån bïn ngoaâi hïå thöëng, thûúâng taåi caác
vùn phoâng úã xa (remote office) hoùåc taåi möåt
trung têm àûúåc baão vïå an toaân.
• Xêy dûång chñnh saách an ninh maång: Töíng
húåp caác quy tùæc, quy trònh vêån haânh ATTT vaâ
caác giaãi phaáp àïí thûåc thi ATTT trong cú quan
thöng tin - thû viïån. Laâ bûúác hoaân thiïån möåt
möi trûúâng laâm viïåc vaâ hoaåt àöång theo chuêín
baão mêåt. Hiïån nay nûúác ta coá rêët nhiïìu àún võ
àang xêy dûång chñnh saách ATTT theo chuêín
ISO 17799/27001, sûã duång mö hònh ISMS. 
3.3. An toaân dûä liïåu 
Thuêåt ngûä “an toaân dûä liïåu” coá nghôa laâ caác
hïå CSDL cêìn phaãi àûúåc baão vïå chöëng truy
nhêåp nhùçm sûãa àöíi hay phaá hoaåi möåt caách chuã
àõnh hay khöng chuã àõnh. Nhû vêåy, caác hïå
thöëng cú súã dûä liïåu phaãi àûúåc quaãn trõ, baão vïå
têåp trung, nhùçm baão àaãm àûúåc tñnh toaân veån vaâ
an toaân dûä liïåu khi thûåc hiïån cêåp nhêåt, sûãa àöíi
hay böí sung thöng tin trong caác CSDL. Viïåc
baão vïå tuyïåt àöëi caác hïå CSDL khoãi truy nhêåp laâ
khöng thïí, nhûng caác TVÀT phaãi coá caác biïån
phaáp àuã maånh àïí ngùn chùån hêìu hïët truy cêåp
traái pheáp vaâo CSDL.
THÖNG TIN vaâ TÛ LIÏÅU - 5/2015 33
Töíng quan
Àïí àaãm baão an toaân dûä liïåu caán böå cöng
nghïå thöng tin cuãa caác TVÀT cêìn phên chia
möåt caách roä raâng quyïìn haån cuãa tûâng àöëi
tûúång khi sûã duång hïå CSDL, vúái caác quyïìn:
àoåc (read), cheân (insert), sûãa àöíi (modify),
xoáa (delete) dûä liïåu, cêìn xaác àõnh roä ai seä coá
têët caã caác quyïìn trïn, ai chó coá möåt söë quyïìn
haån nhêët àõnh. Bïn caånh àoá cêìn sûã duång mêåt
maä àïí àaãm baão an toaân dûä liïåu. Mêåt maä laâ
phûúng phaáp baão vïå thöng tin bùçng viïåc maä
hoáa chuáng (encrypting) thaânh möåt daång maâ
chó coá thïí àoåc búãi ngûúâi coá thêím quyïìn vúái hïå
thöëng àoá hay möåt ngûúâi duâng cuå thïí. Viïåc sûã
duång vaâ taåo hïå thöëng àoá goåi laâ mêåt maä 
(cryptography). Coá thïí sûã duång caác phûúng
thûác maä hoáa cú baãn sau:
- Haâm bùm - HASH ((MD5, SHA1, SHA2);
- Maä hoáa àöëi xûáng - Symmetric (möåt söë
thuêåt toaán maä hoáa àöëi xûáng phöí biïën hiïån nay
nhû DES, 3DES vaâ AES);
- Maä hoáa bêët àöëi xûáng - Asymmetric (RSA,
ECC, Diffie-Helman ).
3.4. An toaân ngûúâi sûã duång
Ngûúâi sûã duång TVÀT bao göìm nhiïìu àöëi
tûúång khaác nhau coá tûúng taác vúái thû viïån [19].
An toaân ngûúâi sûã duång coá möëi liïn hïå mêåt thiïët
vúái caác vêën àïì vïì an toaân cú súã haå têìng kyä
thuêåt, an toaân dûä liïåu àûúåc trònh baây úã phêìn
trïn. Tuy nhiïn, an toaân ngûúâi sûã duång thûúâng
àïì cêåp túái vêën àïì kiïím soaát truy cêåp nhùçm àaãm
baão tñnh baão mêåt vaâ xaác thûåc.
An toaân ngûúâi sûã duång bao haâm hai vêën àïì
chñnh, laâ: àaãm baão ATTT cuãa ngûúâi sûã duång vaâ
xaác thûåc ngûúâi duâng khi tiïëp cêån hïå thöëng.
An toaân thöng tin ngûúâi sûã duång: Vúái sûå giuáp
sûác cuãa maáy tñnh àiïån tûã vaâ maång maáy tñnh, caác
thöng tin cuãa ngûúâi sûã duång (thöng tin caá nhên,
lõch sûã tòm kiïëm, giao dõch, mûúån - traã,) àïìu
àûúåc ghi laåi vaâ àûúåc lûu trûä trong hïå thöëng. Cêu
hoãi àùåt ra laâ thöng tin cuãa ngûúâi sûã duång àûúåc
caác thû viïån lûu trûä nhû thïë naâo? Coá àaãm baão
rùçng nhûäng thöng tin naây khöng roâ ró ra ngoaâi,
gêy aãnh hûúãng túái ngûúâi sûã duång. An toaân úã àêy
àïì cêåp túái quyïìn riïng tû vaâ baão mêåt.
Quyïìn riïng tû (privacy) laâ thuêåt ngûä liïn
quan chùåt cheä àïën ATTT ngûúâi sûã duång. Riïng
tû tûác laâ quyïìn àûúåc giûä kñn, giûä riïng vaâ
khöng cöng böë caác thöng tin caá nhên, laâ quyïìn
àûúåc giûä bñ mêåt caá nhên, àûúåc baão vïå bñ mêåt caá
nhên, khöng bõ xêm phaåm bñ mêåt caá nhên, baão
vïå caá nhên trûúác viïåc bõ maåo danh vaâ giaã maåo
thöng tin [21, 22].
Baão mêåt (Confidentiality) nghôa laâ caác
thöng tin giao dõch, tòm kiïëm, download, lônh
vûåc ngûúâi duâng quan têm khi sûã duång thû
viïån phaãi àûúåc giûä bñ mêåt. 
Caác thöng tin cuãa ngûúâi sûã duång coá thïí bõ
àaánh cùæp phuåc vuå cho nhiïìu muåc àñch khaác
nhau, nhû: lúåi duång taâi khoaãn ngûúâi duâng àïí
truy cêåp bêët húåp phaáp hïå thöëng, têën cöng
HTTT thû viïån, cung cêëp thöng tin ngûúâi sûã
duång cho bïn thûá ba,... Do àoá, caác TVÀT cêìn
coá nhûäng biïån phaáp cuå thïí àïí àaãm baão ATTT
ngûúâi sûã duång, vaâ cêìn àûúåc thïí hiïån trong
chñnh saách ATTT cuå thïí.
Xaác thûåc ngûúâi duâng: Khi noái vïì hïå 
thöëng caác biïån phaáp töíng húåp nhùçm baão àaãm
an toaân cho viïåc trao àöíi thöng tin trïn maång
maáy tñnh, ngûúâi ta thûúâng nhùæc àïën AAA
(Authentication - xaác thûåc; Authorization - phên
quyïìn vaâ Accounting - tñnh toaán), trong àoá
xaác thûåc laâ cöng àoaån àêìu tiïn vaâ quan troång
nhêët. Tûúng tûå nhû vêåy, trong caác TVÀT, àïí
àaãm baão an toaân, ngûúâi sûã duång cêìn phaãi traãi
qua bûúác xaác thûåc trûúác khi sûã duång caác saãn
phêìm - dõch vuå thû viïån. Hiïån nay, àa phêìn
caác TVÀT àïìu yïu cêìu xaác thûåc thöng qua
username vaâ password maâ ngûúâi sûã duång
àûúåc cêëp.
Töíng quan
34 THÖNG TIN vaâ TÛ LIÏÅU - 5/2015
Kïët luêån
TVÀT laâ möåt hïå thöëng thöng tin hoaân
chónh, chõu sûå taác àöång cuãa caác yïëu töë gêy mêët
ATTT. Caác nguy cú naây coá thïí àïën tûâ cú súã haå
têìng kyä thuêåt, tûâ caác giao thûác maång, àïën tûâ caác
saãn phêìm phêìn mïìm vaâ àïën tûâ chñnh ngûúâi sûã
duång. Àïí àaãm baão ATTT trong TVÀT cêìn tiïën
haânh àöìng thúâi nhiïìu giaãi phaáp khaác nhau, tûâ
caác giaãi phaáp vïì quaãn lyá àïën caác hûúáng dêîn
thûåc thi ATTT vaâ cuöëi cuâng laâ lûåa choån caác
giaãi phaáp cöng nghïå àïí thûåc hiïån.
1. Quyïët àõnh 2615/QÀ-BTC, ngaây 19 thaáng 10 nùm
2012: Vïì viïåc àaãm baão an toaân thöng tin trïn möi trûúâng
maáy tñnh vaâ maång maáy tñnh.
2. Quöëc höåi (2006), Luêåt Cöng nghïå thöng tin söë
67/2006/QH11, ngaây 29 thaáng 6 nùm 2006.
3. Quöëc höåi (2005), Luêåt Giao dõch àiïån tûã söë
51/2005/QH11, ngaây 29 thaáng 11 nùm 2005.
4. Nghõ àõnh 63/2007/NÀ-CP, ngaây 10 thaáng 4 nùm
2007: Qui àõnh vïì xûã phaåt haânh chñnh trong lônh vûåc CNTT.
5. Nghõ àõnh 64/2007/NÀ-CP, ngaây 10 thaáng 4 nùm
2007: Vïì viïåc ûáng duång CNTT trong hoaåt àöång caác cú quan
nhaâ nûúác.
6. Nghõ àõnh 90/2008/NÀ-CP, ngaây 13 thaáng 8 nùm
2008: Vïì viïåc chöëng thû raác.
7. Chó thõ 03/2007/CT-BBCVT, ngaây 23 thaáng 2 nùm
2007: Vïì viïåc tùng cûúâng àaãm baão an toaân thöng tin trïn
maång Internet.
8. Chó thõ 897/CT-TTg, ngaây 10 thaáng 6 nùm 2011: Vïì
viïåc tùng cûúâng triïín khai caác hoaåt àöång àaãm baão an toaân
thöng tin söë.
9. Quöëc höåi (2010), Luêåt Baão vïå quyïìn lúåi ngûúâi tiïu
duâng söë 59/2010/QH12, ngaây 17/11/2010.
10. Quyïët àõnh söë 63/QÀ-TTg, ngaây 13 thaáng 01 nùm
2010, Phï duyïåt Quy hoaåch phaát triïín an toaân thöng tin söë
quöëc gia àïën nùm 2020.
11. Chuêín baão mêåt ISO 17799 – Toaân têåp// 
perts.net/bai-viet-ky-thuat/security/661-chun-bo-mt-iso-
17799-toan-tp.html
12. Banerjee, K. (2003). How much security does your
library need? Computers in Libraries, 23(5), 12-15. Truy cêåp
ngaây 28/04/2014, tûâ cú súã dûä liïåu ProQuest.
13. Mike Meyers’ Certification Passport : CompTIA
Security plus _Trevor Kay 2003.
14. Singh, S. (2003). Digital library: Definition to imple-
mentation. Ranganathan Research Centre: Delhi.
 (Truy cêåp
ngaây 22/07/2014)
15. Nguyïîn Thõ Nhõ, Mai Àaåi Phûúng (2011), Xêy dûång
vaâ sûã duång TVÀT höî trúå daåy hoåc vêåt lyá trung hoåc phöí thöng,
Kyã yïëu höåi thaão quöëc gia vïì giaãng daåy vêåt lyá.
16. Nguyïîn Höìng Ngoåc (2011), Möåt söë vêën àïì vïì söë hoáa
taâi liïåu taåi Viïåt Nam// 
index.php/chuyen-de/22-chuyen-de/243-mot-so-van-de-so-
hoa-tai-lieu-vn?tmpl=component&print=1&page= (Truy cêåp
ngaây 05/11/2014).
17. Prof. Dr. Christoph Meinel (2005), Internetworking
with TCP/IP, NXBGD, Haâ Nöåi.
18. Xie Wei, Chun-Hong Zhang (2009). Digital library
network security technology research. Computer Knowledge
and Technology, 2009,5 (4): 814-815.
19. Olson, Ingrid M and Abrams, Marshall D (2012).
Information Security Policy, IEEE Explore, P.430 – 433.
20. Karin Hone and J.H.P.Eloff. Information security pol-
icy, What do international information security standards
Say?
21. Nguyïîn Vùn Anh (2010), Nghiïn cûáu hïå thöëng quaãn
lyá an toaân thöng tin theo tiïu chuêín ISO 27001: Luêån vùn
thaåc syä ngaânh hïå thöëng thöng tin, trûúâng Àaåi hoåc Cöng nghïå,
ÀHQGHN.
22. Vuä Thanh Vên (2012) “Quyïìn riïng tû vaâ vùn hoáa
ûáng xûã cuãa nhaâ baáo”, Kyã yïëu höåi thaão: Sûå nghiïåp Thöng tin
- Thû viïån Viïåt Nam àöíi múái vaâ höåi nhêåp quöëc tïë.
Taâi liïåu tham khaão

File đính kèm:

  • pdfdam_bao_an_toan_thong_tin_trong_thu_vien_dien_tu.pdf