Áp Dụng Enterprise Architecture Để Xây Dựng Khung Kiến Trúc Bảo Đảm An Toàn Thông Tin Cho Các Tổ ...

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN THANH TUYỀN ÁP DỤNG ENTERPRISE ARCHITECTURE XÂY DỰNG KHUNG KIẾN TRÚC BẢO ĐẢM AN TOÀN THÔNG TIN CHO CÁC TỔ CHỨC, DOANH NGHIỆP TẠI VIỆT NAM LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN Hà Nội - Năm 2016 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN THANH TUYỀN ÁP DỤNG ENTERPRISE ARCHITECTURE XÂY DỰNG KHUNG KIẾN TRÚC BẢO ĐẢM AN TOÀN THÔNG TIN CHO CÁC TỔ CHỨC, DOANH NGHIỆP TẠI VIỆT NAM Ngành: Công nghệ thông tin Chuyên ngành: Quản lý Hệ thống thông tin Mã số: Chuyên ngành đào tạo thí điểm LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN NGƯỜI HƯỚNG DẪN KHOA HỌC: TS. Lê Quang Minh Hà Nội - Năm 2016 LỜI CAM ĐOAN Tôi xin cam đoan, luận văn “Áp dụng Enterprise Architecture xây dựng khung kiến trúc bảo đảm toàn thông tin cho các tổ chức, doanh nghiệp tại Việt Nam” là do tôi thực hiện dưới sự hướng dẫn của TS. Lê Quang Minh. Trong toàn bộ nội dung của luận văn, những điều đã trình bày là của cá nhân tôi hoặc là được tôi tổng hợp từ nhiều nguồn tài liệu. Tất cả các nguồn tài liệu tham khảo có xuất xứ rõ ràng và được trích dẫn hợp pháp. Hà Nội, ngày 28 tháng 10 năm 2016 Tác giả luận văn Nguyễn Thanh Tuyền 4 LỜI CẢM ƠN Trước tiên, tôi xin chân thành cảm ơn TS. Lê Quang Minh (Viện Công nghệ thông tin, Đại Học Quốc gia Hà Nội), người đã động viên, hướng dẫn giúp đỡ, chỉ bảo, đồng thời cung cấp các tài liệu trong quá trình tôi thực hiện đề tài. Tôi xin cảm ơn ban chủ nhiệm Khoa cùng toàn thể các thầy, cô giáo trong Khoa Công nghệ thông tin – Trường Đại học Công nghệ đã tạo điều kiện giúp đỡ tôi trong thời gian học tập cũng như trong quá trình hoàn thành luận văn. Cuối cùng, tôi xin được cảm ơn gia đình, bạn bè đã luôn ở bên cạnh, động viên, khuyến khích tôi trong quá trình học tập, nghiên cứu. Mặc dù đã rất cố gắng trong quá trình thực hiện nhưng luận văn không thể tránh khỏi những thiếu sót. Tôi mong nhận được sự góp ý của các thầy, cô và các bạn học viên. Xin trân trọng cảm ơn! Tác giả luận văn Nguyễn Thanh Tuyền 5 MỤC LỤC LỜI CAM ĐOAN . 4 BẢNG CÁC CHỮ CÁI VIẾT TẮT . 7 DANH MỤC CÁC HÌNH VẼ . 8 DANH MỤC CÁC BẢNG . 9 PHẦN MỞ ĐẦU . Cơ sở khoa học và thực tiễn của đề tài . Về phương pháp luận xây dựng kiến trúc tổ chức, doanh nghiệp. Xây dựng khung kiến trúc bảo đảm an toàn thông tin cho các tổ chức doanh nghiệp tại Việt Nam . Đối tượng và phạm vi nghiên cứu . Đối tượng nghiên cứu . Phạm vi nghiên cứu . Phương pháp nghiên cứu . 12 CHƯƠNG I: TỔNG QUAN VỀ KIẾN TRÚC TỔNG THỂ, . Tổng quan về kiến trúc tổng thể .2 Thành phần của kiến trúc tổng thể: .3 Tầm quan trọng của kiến trúc tổng thể.4 Quy trình xây dựng kiến trúc tổng thể . Tổng quan về khung kiến trúc tổng thể .1 Khung kiến trúc tổng thể là gì? .2 Lịch sử và phát triển của khung kiến trúc EA . Các phương pháp xây dựng khung kiến trúc tổng thể . Khung kiến trúc ZACHMAN . Khung kiến trúc TOGAF . Khung kiến trúc ITI-GAF .38 6 CHƯƠNG II: CƠ SỞ LÝ LUẬN VỀ AN TOÀN THÔNG TIN, HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN . An toàn thông tin . Các yếu tố ảnh hưởng đến an toàn thông tin . Thực trạng an toàn thông tin tại Việt Nam . Thực trạng an toàn thông tin tại các tổ chức doanh nghiệp. Hoạt động tấn công mạng vào các tổ chức, doanh nghiệp . Quản lý an toàn thông tin theo tiêu chuẩn TCVN ISO/IEC 27002:2011 . Tổng quan tiêu chuẩn TCVN ISO/IEC 27002:2011. Cấu trúc của tiêu chuẩn TCVN ISO/IEC 27002:2011 .55 CHƯƠNG III: XÂY DỰNG KHUNG KIẾN TRÚC BẢO ĐẢM AN TOÀN THÔNG TIN CHO CÁC TỔ CHỨC DOANH NGHIỆP . Đề xuất khung kiến trúc bảo đảm an toàn thông tin . Mô hình đơn giản. Mô hình trung gian . Mô hình nâng cao . Khung kiến trúc bảo đảm an toàn thông tin . Phân cụm tiêu chuẩn TCVN ISO/IEC 27002:2011 . Xây dựng bộ câu hỏi đánh giá . Đánh giá kết quả đạt được và hướng phát triển trong tương lai . Kết quả đạt được. Hướng phát triển trong tương lai . 73 TÀI LIỆU THAM KHẢO . 74 7 BẢNG CÁC CHỮ CÁI VIẾT TẮT Viết tắt Tên đầy đủ ATTT An toàn thông tin CNTT Công nghệ thông tin TCVN Tiêu chuẩn Việt Nam Phương pháp phát triển kiến trúc (Architecture AMD Development Method) CSAF Khung kiến trúc an ninh không gian mạng (Cyber Security Architecture Framework) Giám đố c Công Nghê ̣ Thông Tin (Chief CIO Information Officer) Enterprise Tổ chức, doanh nghiệp EA Kiến trúc tổng thể (Enterprise Architecture) Khung kiến trúc liên bang (Federal Enterprise FEAF Architecture Framework) GAF Khung kiến trúc tổ chức, doanh nghiệp (Government Architecture Framework) ISO Tổ chức quốc tế về tiêu chuẩn hóa (International Organization for Standardization) IEC Tổ chức quốc tế về tiêu chuẩn hóa (International Organization for Standardization) ITI Viện Công nghệ thông tin (Information Technology Institute) NIST Viện tiêu chuẩn và Công nghệ Quốc Gia (National Institute of Standards and Technology) 8 DANH MỤC CÁC HÌNH VẼ Hình 1.1: Các thành phần của kiến trúc tổng thể .2: Mục đích và lợi ích của kiến trúc tổng thể .3: Quy trình xây dựng kiến trúc tổng thể .4: Tỷ lệ áp dụng các khung kiến trúc .5: Lịch sử khung kiến trúc tổng thể .6: Lược đồ khung Zachman .7: Phương pháp phát triển kiến trúc (ADM) – TOGAF.8: Các thành phần chính của TOGAF .9: Các vòng lặp trong ADM.10: Khung nội dung kiến trúc chuẩn .11: Cách mô tả các thành phần của khung nội dung kiến trúc chuẩn .12: Mô hình tham chiếu công nghệ .13: Mô hình tham chiếu cơ sở hạ tầng thông tin tích hợp .14: Mô hình ITI-GAF .1: Mô hình tam giác an toàn thông tin CIA .2: Các thuộc tính của an toàn thông tin .1: Mô hình an toàn thông tin cho các tổ chức, doanh nghiệp .2: Mô hình an toàn thông tin cho các tổ chức, doanh nghiệp nhỏ .3: Mô hình an toàn thông tin cho các tổ chức, .4: Mô hình an toàn thông tin cho các tổ chức, doanh nghiệp lớn . 61 9 DANH MỤC CÁC BẢNG Bảng 1.1: Cấu trúc tiêu chuẩn.1: Phân cụm TCVN theo ITI-GAF .2: Bộ câu hỏi với trọng số ITI là 112. 71 10 PHẦN MỞ ĐẦU 1. Cơ sở khoa học và thực tiễn của đề tài 1. Về phương pháp luận xây dựng kiến trúc tổ chức, doanh nghiệp Ngày nay, ứng dụng công nghệ thông tin (CNTT) vào mọi mặt của đời sống xã hội và hoạt động sản xuất kinh doanh là một xu thế tất yếu, CNTT đã và đang làm biến đổi sâu sắc đời sống, kinh tế, văn hoá xã hội của mỗi quốc gia, vùng lãnh thổ trên toàn thế giới. Việc ứng dụng CNTT tại các tổ chức, doanh nghiệp đang được đẩy mạnh hơn bao giờ hết. Tuy nhiên, trong quá trình phát triển, bất kỳ một tổ chức, hệ thống nào khi phát triển tự phát đến một quy mô nhất định cũng gặp một số vấn đề nảy sinh như: - Hệ thống thông tin càng ngày càng phức tạp, tốn kém, khó điều hành. Chi phí và mức độ phức tạp của hệ thống tăng theo cấp lũy thừa; - Mức độ hệ thống thông tin đáp ứng nhu cầu của tổ chức càng ngày càng kém đi. Mỗi khi có nhu cầu mới hoặc thay đổi, rất khó điều chỉnh một hệ thống thông tin cồng kềnh, đắt tiền đáp ứng được các nhu cầu mới đó. Không chỉ ở Việt Nam mà cả ở các nước phát triển việc xây dựng các hệ thống thông tin phần lớn chưa có một kiến trúc toàn diện dẫn đến các hệ thống được đầu tư xây dựng chắp vá, thiếu đồng bộ, không toàn diện, khả năng tích hợp kém… đặc biệt là nhiều hệ thống sau khi xây dựng xong không đưa vào sử dụng được hoặc sử dụng kém hiệu quả do không đáp ứng được nhu cầu thực tế. Trong bối cảnh đó nhu cầu đặt ra là phải có các phương pháp luận xây dựng kiến trúc (hay còn gọi là “khung kiến trúc”) để giúp cho các cơ quan, doanh nghiệp có thể vận dụng, xây dựng kiến trúc CNTT cho mình. Trên thế giới, đã có nhiều khung kiến trúc được xây dựng và áp dụng đem lại hiệu quả cao như: khung kiến trúc Zachman, khung kiến trúc nhóm mở - TOGAF, khung kiến trúc tổng thể liên bang Mỹ - FEAF… Thời gian qua, nhóm chuyên gia của Viện Công nghệ thông tin - Đại học Quốc gia Hà Nội đã nghiên cứu, xây dựng và hoàn thiện khung kiến trúc ITI-GAF (Information Technology Institute - Government Architecture Framework) với mục đích tạo một khung kiến trúc dễ hiểu và dễ áp dụng cho các cơ quan, tổ chức 11 Việt Nam trong việc xây dựng kiến trúc CNTT phù hợp với đặc trưng về nghiệp vụ, cơ sở hạ tầng, khung pháp lý, trình độ phát triển CNTT của mình. Xây dựng khung kiến trúc bảo đảm an toàn thông tin cho các tổ chức, doanh nghiệp tại Việt Nam Trong thời đại Internet như hiện nay, hầu như mọi dữ liệu thông tin đều được trao đổi qua không gian mạng. Sự xuất hiện của những xu hướng công nghệ mới như dữ liệu lớn, điện toán đám mây, sự tích hợp và hội tụ của truyền thông xã hội, di động, Internet vạn vật đang tạo ra những cơ hội to lớn cho người sử dụng nhưng mặt khác cũng nảy sinh những nguy cơ mất an ninh, an toàn thông tin và tội phạm mạng. Theo báo cáo của Global Risk 2015 của diễn đàn kinh tế thế giới công bố tháng 2/2015, thừa nhận mình chưa được chuẩn bị kỹ càng, đầy đủ để tự bảo vệ trước các cuộc tấn công mạng. Thiệt hại do tội phạm mạng gây ra cho nền kinh tế toàn cầu lên tới hơn 400 tỉ đô la Mỹ trong một năm. Ngoài ra, xu hướng mới của các cuộc tấn công mạng ngày nay nhằm tới các cơ sở hạ tầng trọng yếu và có thể gây ra hàng loạt hậu quả nghiêm trọng không thua kém các cuộc tấn công bằng vũ khí như bom đạn hay tên lửa.