Báo cáo khoa học và công nghệ cấp cơ sở: Một số giải pháp đảm bảo an toàn cho phần mềm hệ thống thông tin của doanh nghiệp

Chia sẻ: _ _ | Ngày: | Loại File: PDF | Số trang:64

Thêm vào BST

Báo xấu

50
lượt xem 6
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Mục đích của đề tài nhằm khái quát hoá lý thuyết về an toàn cho phần mềm hệ thống thông tin của doanh nghiệp. Tìm hiểu thực trạng đảm bảo an toàn cho phần mềm hệ thống thông tin của doanh nghiệp. Lựa chọn được một số giải pháp phù hợp trong điều kiện hiện nay nhằm giúp các doanh nghiệp đảm bảo an toàn cho hệ thống phần mềm của họ.

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Báo cáo khoa học và công nghệ cấp cơ sở: Một số giải pháp đảm bảo an toàn cho phần mềm hệ thống thông tin của doanh nghiệp

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC THƯƠNG MẠI BÁO CÁO ĐỀ TÀI KHOA HỌC VÀ CÔNG NGHỆ CẤP CƠ SỞ MỘT SỐ GIẢI PHÁP ĐẢM BẢO AN TOÀN CHO PHẦN MỀM HỆ THỐNG THÔNG TIN CỦA DOANH NGHIỆP Mã số: CS16 - 02 Chủ nhiệm đề tài: ThS. Nguyễn Quang Trung Đơn vị công tác: Bộ môn công nghệ thông tin Hà Nội, 3/2017
MỤC LỤC DANH MỤC CÁC THUẬT NGỮ VIẾT TẮT ........................................................ iv DANH MỤC BẢNG BIỂU, HÌNH VẼ .................................................................... iv Chương 1. TỔNG QUAN NGHIÊN CỨU ĐỀ TÀI .................................................. 1 1.1. Tính cấp thiết của đề tài ...................................................................................... 1 1.2. Tổng quan tình hình nghiên cứu trong và ngoài nước .......................................... 2 1.2.1. Tình hình nghiên cứu ở nước ngoài........................................................................ 2 1.2.2. Tình hình nghiên cứu trong nước ........................................................................... 5 1.3. Mục tiêu của đề tài .............................................................................................. 7 1.4. Đối tượng và phạm vi nghiên cứu ....................................................................... 7 1.5. Phương pháp nghiên cứu ..................................................................................... 8 1.6. Kết cấu của báo cáo đề tài ................................................................................... 9 Chương 2. CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG ĐẢM BẢO AN TOÀN CHO PHẦN MỀM HỆ THỐNG THÔNG TIN CỦA DOANH NGHIỆP VIỆT NAM.. 10 2.1. Cơ sở lý luận ..................................................................................................... 10 2.1.1. Tổng quan về hệ thống thông tin .......................................................................... 10 2.1.2. Các đặc trưng của một hệ thống thông tin an toàn ................................................ 15 2.1.3. Các nguy cơ và rủi ro đối với hệ thống thông tin .................................................. 19 2.2. Thực trạng đảm bảo an toàn cho phần mềm hệ thống thông tin của doanh nghiệp Việt Nam .................................................................................................................... 23 2.2.1. Thực trạng chung................................................................................................. 23 2.2.2. Thực trạng đảm bảo an toàn cho phần mềm hệ thống thông tin ............................ 28 2.3. Đánh giá thực trạng đảm bảo an toàn cho phần mềm hệ thống thông tin............ 31 Chương 3. MỘT SỐ GIẢI PHÁP ĐẢM BẢO AN TOÀN CHO PHẦN MỀM HỆ THỐNG THÔNG TIN CỦA DOANH NGHIỆP .................................................... 33 3.1. Áp dụng quy trình phát triển phần mềm an toàn ................................................ 33 3.2. Tổ chức lập trình an toàn ................................................................................... 34 3.3. Bảo mật cơ sở dữ liệu ........................................................................................ 36 3.4. Đào tạo người sử dụng ...................................................................................... 37 3.5. Rà soát phát hiện các lỗ hổng ............................................................................ 37 3.6. Một số đề xuất, kiến nghị .................................................................................. 38 KẾT LUẬN .............................................................................................................. 39 TÀI LIỆU THAM KHẢO ....................................................................................... 41 PHỤ LỤC 1: MẪU PHIẾU ĐIỀU TRA ................................................................. 42 PHỤ LỤC 2: DANH SÁCH DOANH NGHIỆP ĐIỀU TRA ................................. 47 ii
PHỤ LỤC 3: THUYẾT MINH ĐỀ TÀI ................................................................. 49 iii
DANH MỤC CÁC THUẬT NGỮ VIẾT TẮT Từ viết tắt Tiếng Anh Tiếng Việt ATTT Information Security An toàn thông tin BCVT Posts and Telecommunications Bưu chính viễn thông CNTT Information Technology Công nghệ thông tin Customer Relationship Quản trị mối quan hệ khách CRM Management hàng CSDL Database Cơ sở dữ liệu Hoạch định nguồn lực doanh ERP Enterprise Resource Planning nghiệp HTTT Information System Hệ thống thông tin SCM Supply Chain Management Quản trị chuỗi cung ứng SQL Structured Query Language Ngôn ngữ truy vấn có cấu trúc Vietnam Computer Emergency Trung tâm ứng cứu khẩn cấp VNCERT Response Teams máy tính Việt Nam Vietnam Information Security Hiệp hội An toàn thông tin VNISA Association Việt Nam DANH MỤC BẢNG BIỂU, HÌNH VẼ Hình 2.1. Mô hình hệ thống thông tin................................................................................... 11 Hình 2.2: Chỉ số ATTT qua các năm 2013 đến 2016...............................................................20 Hình 2.3: Những vấn đề khó khăn trong việc đảm bảo ATTT cho hệ thống thông tin............22 Hình 3.1: Các quy trình trong vòng đời phát triển an toàn .................................................... 34 iv
Chương 1. TỔNG QUAN NGHIÊN CỨU ĐỀ TÀI 1.1. Tính cấp thiết của đề tài Trong lịch sử chúng ta đã trải qua nhiều cuộc cách mạng công nghiệp. Đầu tiên là động cơ chạy bằng hơi nước và thủy lực, rồi đến động cơ điện, dây chuyền sản xuất và điện toán hóa,…Tiếp theo sẽ là gì? Một số người gọi đây là cuộc cách mạng công nghiệp lần thứ tư, hay công nghiệp thế hệ 4.0. Đây là xu hướng kết hợp giữa các hệ thống ảo và thực thể, vạn vật kết nối Internet (IoT) và các hệ thống kết nối Internet (IoS). Trong cuộc cách mạng thứ tư, chúng ta sẽ đến với sự kết hợp giữa thế giới thực, thế giới ảo và thế giới sinh vật. Những công nghệ mới này chính là các hệ thống thông tin thông minh tác động đến mọi nền kinh tế, mọi ngành công nghiệp, đồng thời cũng thách thức ý niệm của chúng ta về cách thức bảo vệ các hệ thống này. Những hệ thống này thuộc mọi lĩnh vực có tiềm năng kết nối hàng tỷ người trên thế giới, gia tăng đáng kể hiệu quả hoạt động cho các tổ chức, doanh nghiệp, tái tạo các nguồn tài nguyên thiên nhiên hay thậm chí là khôi phục lại những tổn thất mà các cuộc cách mạng công nghiệp trước gây ra. Trong lĩnh vực kinh tế, các hệ thống thông tin kinh tế có vai trò rất quan trọng đối với doanh nghiệp. Các phần mềm tự động hóa với độ chính xác cao, chất lượng tốt giúp các doanh nghiệp giảm bớt chi phí hoạt động, cải thiện lợi tức đầu tư và hiệu quả kinh doanh. Cùng với sự phát triển mạnh mẽ của công nghệ thông tin như hiện nay, việc thu thập, xử lý thông tin khá dễ dàng và nhanh chóng với các hệ thống thông tin tự động hóa. Song song với sự phát triển này, cùng với cách quản lý nhân lực, tài sản nói chung và tài sản thông tin nói riêng của mỗi doanh nghiệp, là sự phát triển của các loại hình đánh cắp thông tin, xâm nhập hệ thống thông tin trái phép, bao gồm cả bên trong doanh nghiệp và bên ngoài doanh nghiệp. Có thể nói hiện nay cả thế giới phải đối mặt với các vấn đề đánh cắp, rò rỉ thông tin hoặc vi phạm bản quyền riêng tư. Chúng không còn là vấn đề của riêng ai, mà là vấn đề của tất cả chúng ta. Vấn đề này thực sự nguy hiểm, ảnh hưởng 1
của vấn đề an toàn cho hệ thống thông tin (HTTT) của các doanh nghiệp là rất lớn. Một khi hệ thống thông tin trở nên quan trọng thì vấn đề đảm bảo an toàn và bảo mật cho hệ thống thông tin có tính chất sống còn đến sự phát triển của doanh nghiệp. Đảm bảo an toàn thông tin (ATTT) giúp cho hoạt động của doanh nghiệp luôn thông suốt và an toàn, đảm bảo các hoạt động nghiệp vụ của tổ chức không bị gián đoạn bởi các sự cố liên quan đến ATTT. Nâng cao uy tín của tổ chức, tăng sức cạnh tranh, tạo lòng tin với khách hàng, đối tác, thúc đẩy quá trình toàn cầu hóa và tăng cơ hội hợp tác quốc tế. An toàn và bảo mật HTTT tập trung vào hai phần chính là an toàn hệ thống và bảo mật dữ liệu. Nếu như bảo mật dữ liệu trong hệ thống tập trung chủ yếu vào việc mã hóa dữ liệu, thì vấn đề an toàn cho hệ thống thông tin quan tâm đến bảo vệ hệ thống phần cứng, các hệ điều hành, hệ thống mạng, hệ thống phần mềm. Trong đó vấn đề bảo vệ hệ thống phần mềm là quan trọng nhất và chưa được các doanh nghiệp chú trọng. Vì vậy tác giả chọn đề tài “Một số giải pháp đảm bảo an toàn cho phần mềm hệ thống thông tin của doanh nghiệp” để nghiên cứu. 1.2. Tổng quan tình hình nghiên cứu trong và ngoài nước 1.2.1. Tình hình nghiên cứu ở nước ngoài Trên thế giới, các hệ thống phần mềm đã được phát triển và ứng dụng trong các doanh nghiệp như phần mềm ERP (hoạch định nguồn lực doanh nghiệp), CRM (quản trị mối quan hệ khách hàng), SCM (quản trị chuỗi cung ứng), … Các hệ phần mềm này được xây dựng theo quy trình chuẩn nên đạt tiêu chuẩn về an toàn cao. Để triển khai các hệ thống phần mềm này doanh nghiệp chỉ cần quan tâm đến vấn đề kinh phí, việc triển khai đã có các nhà cung cấp dịch vụ cài đặt, đào tạo người sử dụng. Tuy nhiên không phải doanh nghiệp nào cũng có điều kiện triển khai các phần mềm CRM, SCM, ERP,… Xây dựng phần mềm riêng vẫn được các doanh nghiệp trên thế giới lựa chọn. Khi xây dựng phần mềm dùng riêng thì vấn đề đảm bảo an toàn cho cả hệ thống thông tin nói chung và vấn đề đảm bảo an toàn cho phần mềm HTTT là rất quan trọng. Vấn 2
đề này đã được nhiều công ty, nhiều nhà khoa học công bố trên các sách, tạp chí nổi tiếng thế giới như: Cuốn sách Architecting Secure Software Systems[11] được các tác giả Asoke K. Talukder and Manish Chaitanya xuất bản năm 2011, cuốn sách nổi tiếng về xây dựng một kiến trúc hệ thống cho đảm bảo an toàn phần mềm. Trong tài liệu này tác giả tập trung vào cả khía cạnh lý thuyết và thực tiễn của việc thiết kế các hệ thống phần mềm an toàn cho các công nghệ, nền tảng và ngôn ngữ lập trình khác nhau. Trong phần lý thuyết, các tác giả giải thích nhu cầu về an toàn, các thuộc tính an toàn và các kiểu tấn công khác nhau. Một phương pháp luận về vòng đời phát triển phần mềm an toàn với các hoạt động cần thiết để xây dựng các hệ thống phần mềm bảo mật cũng được đưa ra trong phần lý thuyết. Trong phần thứ hai, cuốn sách tập trung vào các khía cạnh thực tế của bảo mật phần mềm. Cung cấp các ví dụ kiến trúc cụ thể và các đoạn mã nguồn để giải thích làm thế nào để xây dựng các hệ thống phần mềm an toàn. Tuy nhiên cuốn sách này chưa đề cập đến áp dụng quy trình phát triển phần mềm theo chuẩn an toàn. Các tác giả Christopher J. Carvalho, Elizabeth M. Borycki và Andre Kushniruk (2012) có bài viết “Ensuring the Safety of Health Information Systems”[11], tạp chí quốc tế về ứng dụng Tin học trong Y tế. Bài viết đề cập đến vấn đề đảm bảo an toàn cho một hệ thống thông tin, cụ thể là HTTT y tế. Vấn đề an toàn tập trung vào việc bảo vệ các thiết bị phần cứng, hệ thống mạng truyền thông và dữ liệu trong hệ thống. Trong bài viết cũng giới thiệu những giải pháp lựa chọn nhà cung cấp cứng, phần mềm nhằm giảm thiểu nguy cơ mất an toàn cho hệ thống thông tin y tế. Trong cuốn sách “Handbook of the Secure Agile Software Development Life Cycle”[12] xuất bản năm 2014, các tác giả Jouko ahola, Christian frühwirth, Marko Helenius của trường Đại học Oulu đã đưa ra quy trình phát triển phần mềm theo phương pháp “agile” (phương pháp phát triển nhanh) hướng đến an toàn. Trong tài liệu này mô tả chi tiết từng bước trong quy trình, từ phân tích 3
thiết kế đến lập trình, kiểm thử, bảo trì phần mềm theo hướng an toàn. Tuy nhiên các bước trong quy trình cho phương pháp agile nên chưa phản ánh hết thực trạng đảm bảo an toàn cho phần mềm trong thực tế, vì phương pháp này hiện nay chưa phổ biến. Các doanh nghiệp nước ngoài thường có các hợp đồng kinh tế chặt chẽ khi họ làm việc với các nhà phát triển phần mềm, nhà cung cấp phần cứng và họ thường yêu cầu tin học hoá đồng bộ ở mức cao nhất nên hệ thống thông tin của họ tương đối an toàn. Các tác giả Kenneth R. van Wyk, Mark G. Graff đã viết cuốn sách “Enterprise Software Security”[13] năm 2014, bàn về vấn đề an toàn cho phần mềm của các doanh nghiệp. Thông thường ban đầu các doanh nghiệp chủ yếu tập trung xây dựng phần mềm với quy mô nhỏ, chi phí thấp nên các nguy cơ mất an toàn cho hệ thông tin có thể xảy ra bất cứ khi nào. Vậy cần phải tìm ra các giải pháp đảm bảo an toàn phù hợp với quy mô phần mềm nhỏ cho các doanh nghiệp. Tài liệu này đã chỉ rõ một số phương pháp nhằm đảm bảo an toàn cho phần mềm, tuy nhiên các tác giả chủ yếu tập trung vào các giải pháp công nghệ mà không phải doanh nghiệp nào cũng đáp ứng được. Không chỉ các doanh nghiệp Việt Nam mà các doanh nghiệp trên thế giới rất băn khoăn làm thế nào để phát triển được phần mềm mà hạn chế tối đa được sự xâm nhập trái phép từ bên ngoài vào hệ thống. “Safety For Software development models in Enterprise”[14] được tác giả Pierre Bertrand đề cập đến một số mô hình phát triển phần mềm nhằm đảm bảo an toàn cho hệ thống. Trong mô hình này các doanh nghiệp phải chấp nhận một khoản chi phí không hề nhỏ để phát triển phần mềm tuân thủ theo quy trình chuẩn trong thiết kế phần mềm. Vì nhiều lý do khác nhau như trình độ chuyên môn của nhân viên, chi phí áp dụng đắt đỏ mà các doanh nghiệp Việt Nam không thể áp dụng được. Vì vậy các doanh nghiệp Việt Nam vẫn phải phát triển phần mềm theo cách tối ưu chi phí (cắt giảm một số khâu trong quy trình để giảm chi phí xây dựng phần mềm). Việc lựa chọn mô hình phát triển phần mềm để đảm bảo an toàn thường gặp nhiều khó khăn cả về nhân lực cũng như mức độ tự động hoá của phần mềm. Các đề tài, bài báo trên các tạp chí nổi tiếng chủ yếu đề cập đến khía cạnh sử 4
dụng các hệ thống đảm bảo an toàn để bảo vệ hệ thống thông tin mà chưa đề cập đến những phương pháp bảo vệ ngay từ khi phân tích thiết kế phần mềm, viết mã nguồn chương trình, tức là đề cập đến khía cạnh áp dụng chặt chẽ các quy tắc để kiểm soát lỗi để không tạo ra các lỗ hổng cho haker tấn công. 1.2.2. Tình hình nghiên cứu trong nước Công nghệ phần mềm đã được phát triển rất nhanh ở Việt Nam trong những năm gần đây. Hầu hết các doanh nghiệp đều đã ứng dụng phần mềm vào hoạt động sản xuất kinh doanh với các cấp độ khác nhau. Chính vì vậy mà yêu cầu cần thiết phải đảm bảo an toàn cho các phần mềm đã được nhiều doanh nghiệp quan tâm. Trong các công ty sản xuất phần mềm, mỗi cán bộ công nhân viên trong công ty đặc biệt là các nhân viên tham gia vào quá trình phát triển phần mềm càng phải nỗ lực trong việc hoàn thiện các kỹ năng, nắm vững các phương pháp, công nghệ mới để tạo ra các phần mềm phù hợp với doanh nghiệp mà vẫn đảm bảo tính năng an toàn. Các mô hình phát triển phần mềm hiện đại theo quy trình chuẩn hoá đã và đang được sử dụng rất nhiều nước trên thế giới, đặc biệt là các nước phát triển. Nhưng ở Việt Nam, điều này vẫn khá mới mẻ và chỉ bắt đầu được triển khai ở một vài doanh nghiệp lớn. Nhiều công trình khoa học về các mô hình phát triển phần mềm hướng đến an toàn như: Đề tài cấp Đại học Quốc Gia Hà Nội của TS. Ma Thị Châu “Ứng dụng công nghệ mới trong phát triển phần mềm”[3]. Đề tài đề cập đến công cụ phân tích thiết kế phần mềm bằng UML (ngôn ngữ mô hình hoá thống nhất), những điểm mạnh của công cụ này trong phát triển phần mềm cho doanh nghiệp. Đề tài tập trung chủ yếu vào việc nghiên cứu về mặt công nghệ, khả năng sinh mã nguồn tự động (tự động hoá một số khâu khi viết chương trình). Các công nghệ mới mà đề tài đề cập đến có khả năng ứng dụng cho nhiều loại hình doanh nghiệp ở Việt Nam. Nhưng đề tài chưa quan tâm đến vấn đề đảm bảo an toàn cho phần mềm khi áp dụng các công nghệ đó. 5
Đề tài cấp Đại học Quốc Gia Hà Nội của TS. Ngô Lê Minh “Đảm bảo an toàn cho các hệ thống thông tin quản lý trên nền điện toán đám mây”[5]. Đề tài đề cập đến công nghệ điện toán đám mây, những điểm mạnh của công nghệ này trong phát triển hệ thống thông tin quản lý cho doanh nghiệp. Đề tài tập trung chủ yếu vào các giải pháp về mặt công nghệ nhằm đảm bảo an toàn cho các HTTT nói chung và các HTTT trên nền điện toán đám mây nói riêng như công nghệ mạng riêng ảo, sử dụng phương thức bảo mật đường truyền, xây dựng hệ thống tường lửa,… Các giải pháp này là các giải pháp cơ bản nên không hẳn đã an toàn với các harker có trình độ cao. Vì vậy muốn hệ thống trở nên an toàn hơn các doanh nghiệp buộc phải đầu tư các trang được thiết bị phần cứng đắt tiền. Điều này không phải doanh nghiệp nào cũng đáp ứng được. Trong đề tài này tác giả cũng chưa quan tâm cụ thể đến việc đảm bảo an toàn cho các phần mềm. Bài báo hội thảo quốc gia của TS. Hoàng Đức Thọ, Học viện Kỹ thuật mật mã “Một số giải pháp phát triển phần mềm hướng đến an toàn”[7]. Bài báo khái quát thực trạng phát triển phần mềm ở nước ta hiện nay còn nhiều hạn chế dẫn đến thất bại trong việc đảm bảo an toàn, những nguyên nhân chủ yếu dẫn đến các phần mềm còn nhiều lỗ hổng bảo mật để các tin tặc tấn công gây thiệt hại nặng nề cho doanh nghiệp. Trên cơ sở học tập kinh nghiệm thực tế từ các dự án thành công trong nước và thế giới, tác giả rút ra bài học kinh nghiệm và đề xuất một số giải pháp để phát triển phần mềm theo hướng an toàn bằng cách áp dụng các biện pháp phát hiện lỗ hổng bảo mật trong phần mềm. Hiện nay các tài liệu giảng dạy trong nước về lĩnh vực phần mềm, ít nhiều đều đề cập đến vấn đề an toàn ở cấp độ khác nhau. Trong các tài liệu “Bài giảng Công nghệ phần mềm, Bộ môn Công nghệ thông tin – Trường Đại học Thương mại (2015)”; PGS.TS Đàm Gia Mạnh (2011), “Giáo trình An toàn dữ liệu trong Thương mại điện tử, Nhà xuất bản Thống kê, Hà Nội; Trần Đình Quế (2013), Giáo trình phân tích và thiết kế hệ thống thông tin, Nhà xuất bản Thông tin và Truyền thông, các tác giả đã đề cập đến các nguy cơ mất an toàn thông tin và biện pháp đảm bảo an toàn thông tin, dữ liệu trong các hệ thống thông tin. 6
Hầu hết các đề tài, bài báo, sách mà tác giả thu thập được chủ yếu đề cập đến giải pháp trang bị công nghệ nhằm đảm bảo an toàn cho các hệ thống thông tin, các công nghệ này đã và đang được ứng dụng rộng rãi, sự khác biệt giữa các doanh nghiệp là sử dụng công nghệ gì, chi phí đầu tư đến mức độ nào. Các giải pháp này hiện nay chưa phải là giải pháp tối ưu, nhưng vẫn đáp ứng được yêu cầu bảo đảm an toàn ở một cấp độ nào đó nếu các doanh nghiệp thực hiện một cách đồng bộ từ trang bị công nghệ đến huấn luyện, đào tạo bài bản cho đội ngũ nhân viên. Vấn đề này không hề đơn giản đối với các doanh nghiệp Việt Nam khi mà họ chủ yếu đào tạo được bộ phận quản trị hệ thống, còn đội ngũ người dùng hệ thống khác chưa đạt tiêu chuẩn an toàn thông tin. Chính vì vậy cần có nhiều giải pháp khác phòng ngừa những khả năng xấu nhất có thể xảy ra với đội ngũ này, đó chính là khâu đảm bảo an toàn cho hệ thống từ ngay chính phần mềm mà họ đang sử dụng. Như vậy theo hiểu biết của chủ nhiệm đề tài, chưa có một công trình nào nghiên cứu đầy đủ về các giải pháp đảm bảo an toàn cho phần mềm hệ thống thông tin của doanh nghiệp từ khâu phân tích, thiết kế phần mềm an toàn, và đặc biệt sử dụng các kỹ thuật viết mã nguồn cho phần mềm hướng đến an toàn cho hệ thống thông tin sau này hạn chế được các lỗ hổng mà từ đó các tin tặc có thể tấn công, phá hủy hệ thống thông tin của doanh nghiệp Việt Nam. 1.3. Mục đích của đề tài - Khái quát hoá lý thuyết về an toàn cho phần mềm hệ thống thông tin của doanh nghiệp. - Tìm hiểu thực trạng đảm bảo an toàn cho phần mềm hệ thống thông tin của doanh nghiệp. - Lựa chọn được một số giải pháp phù hợp trong điều kiện hiện nay nhằm giúp các doanh nghiệp đảm bảo an toàn cho hệ thống phần mềm của họ. 1.4. Đối tượng và phạm vi nghiên cứu 7
- Đối tượng nghiên cứu của đề tài là vấn đề đảm bảo an toàn cho phần mềm hệ thống thông tin của doanh nghiệp. Khách thể nghiên cứu của đề tài: Quy trình xây dựng phần mềm hướng đến an toàn, Một số doanh nghiệp có ứng dụng HTTT - Phạm vi nghiên cứu: o Không gian: Trong quy trình xây dựng phần mềm an toàn, đề tài chủ yếu nghiên cứu sâu về vấn đề lập trình an toàn. o Thời gian: Tìm hiểu các tài liệu từ năm 2010 trở lại đây, số liệu thu thập về tình hình đảm bảo an toàn cho HTTT, phần mềm ở các doanh nghiệp năm 2016. 1.5. Phương pháp nghiên cứu - Phương pháp nghiên cứu: Sử dụng phương pháp luận duy vật biện chứng là phương pháp chủ yếu để nghiên cứu đề tài. Một số phương pháp nghiên cứu cụ thể sẽ được sử dụng là: điều tra thực tế bằng phương pháp khảo sát, nghiên cứu thông tin thứ cấp, tham khảo kết quả nghiên cứu của các công trình có liên quan, sử dụng tài nguyên có trên mạng, … Phương pháp thu thập thông tin, dữ liệu: Tiến hành phỏng vấn, và gửi phiếu điều tra nhằm thu thập, phân tích thông tin liên quan đến thực trạng đảm bảo an toàn cho HTTT của một số doanh nghiệp Việt Nam. Tác giả đã thực hiện một cuộc khảo sát ở 30 doanh nghiệp có ứng dụng HTTT ở địa bàn Hà Nội. Từ đó rút ra được kết luận về thực trạng ứng dụng các công nghệ trong phát triển HTTT kinh tế của các doanh nghiệp Việt Nam cũng như vấn đề an toàn cho các HTTT này nói chung và vấn đề an toàn cho các phần mềm trong HTTT đó nói riêng. Phương pháp thu thập dữ liệu thứ cấp: được sử dụng để nghiên cứu cơ sở lý luận về an toàn cho HTTT: Bao gồm các khái niệm cơ bản, quy trình đảm bảo an toàn cho phần mềm HTTT, ... - Phương pháp xử lý dữ liệu: sử dụng các phương pháp phân tích định tính, định lượng để tổng hợp dữ liệu. 8
1.6. Kết cấu của báo cáo đề tài Kết cấu đề tài gồm 3 chương (Ngoài các mục như: mục lục, danh mục bảng biểu hình vẽ, từ viết tắt...) Chương 1. Tổng quan nghiên cứu đề tài Chương 2. Cơ sở lý luận và thực trạng đảm bảo an toàn cho phần mềm hệ thống thông tin của doanh nghiệp Việt Nam Chương 3. Một số giải pháp đảm bảo an toàn cho phần mềm hệ thống thông tin của doanh nghiệp 9
Chương 2. CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG ĐẢM BẢO AN TOÀN CHO PHẦN MỀM HỆ THỐNG THÔNG TIN CỦA DOANH NGHIỆP VIỆT NAM 2.1. Cơ sở lý luận 2.1.1. Hệ thống thông tin a) Khái niệm Hệ thống thông tin (HTTT) là một hệ thống sử dụng công nghệ thông tin để thu thập, truyền, lưu trữ, xử lý và biểu diễn thông tin trong một hay nhiều quá trình kinh doanh. Hệ thống thông tin có khả năng: + Xử lý, lưu trữ và cập nhật dữ liệu hàng ngày, ra các báo cáo theo định kỳ (ví dụ: Các hệ thống tính lương). + Hỗ trợ các hoạt động quản lý: Một hệ thống thông tin gồm cơ sở dữ liệu hợp nhất và các dòng thông tin giúp con người trong sản xuất, quản lý. + Trợ giúp ra quyết định: Hỗ trợ cho việc ra quyết định (cho phép nhà phân tích ra quyết định chọn các phương án mà không phải thu thập và phân tích dữ liệu). + Đóng vai trò là chuyên gia về lĩnh vực: Hỗ trợ nhà quản lý giải quyết các vấn đề và làm quyết định một cách thông minh. Hệ thống thông tin kinh tế là hệ thống thông tin được xây dựng và sử dụng để thu thập, tạo, tái tạo, phân phối và chia sẻ dữ liệu, thông tin kinh tế và tri thức nhằm trợ giúp các hoạt động ra quyết định trong tổ chức, doanh nghiệp phục vụ các mục tiêu của doanh nghiệp. Hệ thống thông tin kinh tế là hệ thống được tin học hoá đầy đủ và toàn diện nhất các hoạt động nghiệp vụ của một doanh nghiệp, nó chứa đựng đầy đủ các thành tựu của công nghệ thông tin ứng dụng vào các hoạt động sản xuất kinh doanh của doanh nghiệp. 10
b) Các thành phần của hệ thống thông tin: HTTT có 5 thành phần chính còn được gọi là các nguồn lực hay tài nguyên của hệ thống, đó là:  Nguồn lực phần cứng  Nguồn lực phần mềm  Nguồn lực mạng  Nguồn lực dữ liệu  Nguồn lực con người Hình 2.1. Mô hình hệ thống thông tin + Nguồn lực phần cứng: Nguồn lực phần cứng của một HTTT kinh tế là toàn bộ các thiết bị kỹ thuật phục vụ cho việc thu thập, xử lý, lưu trữ và truyền đạt thông tin, bao gồm máy tính điện tử và các thiết bị khác. + Nguồn lực phần mềm: Nguồn lực về phần mềm là tổng thể các chương trình hệ thống, chương trình ứng dụng của HTTT kinh tế. Phần mềm được trình bày chi tiết trong mục 2.1.2 + Nguồn lực mạng truyền thông: Mạng máy tính là tập hợp các máy tính được kết nối với nhau bằng các đường truyền vật lý theo một kiến trúc nào đó nhằm chia sẻ các tiềm năng của mạng. Mạng máy tính cho phép: Chia sẻ các tài nguyên của mạng như CSDL, máy in… để tiết kiệm chi phí; Làm tăng độ tin cậy của hệ thống; Cung cấp các dịch vụ thông tin phong phú. 11
+ Nguồn lực dữ liệu: Tài nguyên về dữ liệu gồm các CSDL quản lý, các mô hình thông qua các quyết định quản lý. CSDL (Database) là tổng thể các dữ liệu đã được thu thập, lựa chọn và tổ chức một cách khoa học theo một mô hình có cấu trúc xác định, tạo điều kiện cho người sử dụng có thể truy cập một cách dễ dàng và nhanh chóng. Các CSDL trong quản lý: CSDL quản trị nhân lực, CSDL tài chính, CSDL kế toán, CSDL công nghệ, CSDL kinh doanh. Các hệ quản trị CSDL: FOXPRO, ACCESS, SQL, ORACLE, ... + Nguồn lực con người chính là tài nguyên về nhân lực, là chủ thể điều hành và sử dụng HTTT kinh tế. Bao gồm 2 nhóm là nhóm những người sử dụng HTTT trong công việc hàng ngày như các nhà quản lý, kế toán, nhân viên các phòng ban và nhóm những người xây dựng và bảo trì HTTT kinh tế như các phân tích viên hệ thống, lập trình viên, kỹ sư bảo hành máy… Tài nguyên về nhân lực là thành phần quan trọng của HTTT kinh tế do chính họ là người thiết kế, cài đặt, bảo trì và sử dụng hệ thống. c) An toàn hệ thống thông tin (Information Systems Security) Là bảo vệ hệ thống thông tin chống lại việc truy cập, sử dụng, chỉnh sửa, phá hủy, làm lộ và làm gián đoạn thông tin và hoạt động của hệ thống một cách trái phép. 2.1.2. Phần mềm và các dạng phần mềm trong doanh nghiệp a) Khái niệm phần mềm Phần mềm máy tính hay còn được gọi tắt là phần mềm (software) là một tập hợp các câu lệnh hoặc chỉ thị được viết bằng một hoặc nhiều ngôn ngữ lập trình theo một trận tự xác định nhằm tạo ra một nhiệm vụ hay chức năng hoặc một vấn đề cụ thể nào đó. 12
Phần mềm máy tính hoạt động bằng cách gửi trực tiếp các chỉ thị đến phần cứng hoặc bằng cách cung cấp dữ liệu để phục vụ các chương trình phần mềm khác thực hiện nhiệm vụ của mình. b) Phân loại phần mềm Phần mềm thường được chia thành hai loại là phần mềm hệ thống và phần mềm ứng dụng. – Phần mềm hệ thống là phần mềm máy tính thiết kế cho việc vận hành và điều khiển phần cứng máy tính và cung cấp một kiến trúc cho việc chạy phần mềm ứng dụng. Phần mềm hệ thống có thể được chia thành hai loại, hệ điều hành và phần mềm tiện ích. + Hệ điều hành (đại diện tiêu biểu là z/OS, Microsoft Windows, Mac OS X và Linux), cho phép các phần của một máy tính làm việc với nhau bằng cách truyền dẫn dữ liệu giữa Bộ nhớ chính và ổ đĩa hoặc xuất dữ liệu ra thiết bị xuất. Nó cũng cung cấp một kiến trúc cho việc chạy phần mềm hệ thống cấp cao và phần mềm ứng dụng. + Nhân là phần lõi của một hệ điều hành, cái mà định nghĩa một API cho các chương trình ứng dụng (bao gồm cả một vài phần mềm hệ thống) và trình điều khiển thiết bị. + Điều khiển thiết bị và thiết bị phần sụn cung cấp chức năng cơ bản để vận hành và điều khiển phần cứng kết nối hoặc xây dựng từ bên trong máy tính. + Giao diện người dùng “giúp cho người dùng tương tác với máy tính”. Từ thập niên 1980, giao diện đồ họa (GUI) có lẽ đã là công nghệ giao diện người dùng phổ biến nhất. Giao diện từng dòng lệnh vẫn được sử dụng phổ biến như là một tùy chọn. + Phần mềm tiện ích giúp cho việc phân tích, cấu hình, đánh giá và bảo vệ máy tính, ví dụ như bảo vệ khỏi Virus. 13
+ Trong một số tài liệu, thuật ngữ phần mềm hệ thống cũng bao gồm những công cụ phát triển phần mềm (như là trình biên dịch, trình liên kết, trình sửa lỗi). – Phần mềm ứng dụng là một loại chương trình có khả năng làm cho máy tính thực hiện trực tiếp một công việc nào đó người dùng muốn thực hiện. Điều này khác với phần mềm hệ thống tích hợp các chức năng của máy tính, nhưng có thể không trực tiếp thực hiện một tác vụ nào có ích cho người dùng. Có rất nhiều phần mềm máy tính được viết để giúp giải quyết các công việc hàng ngày cũng như những hoạt động nghiệp vụ như soạn thảo văn bản, quản lý học sinh, quản lý kết quả học, lập thời khoá biểu, quản lý chi tiêu cá nhân... Những phần mềm như thế gọi là các phần mềm ứng dụng. Phần mềm đặt hàng, có những phần mềm ứng dụng được viết theo đơn đặt hàng riêng có tính đặc thù của một cá nhân hay tổ chức. Người phát triển phần mềm sẽ phải hỗ trợ trực tiếp trong quá trình làm phần mềm và vận hành sau này. Phần mềm đóng gói, có những phần mềm được thiết kế dự trên những yêu cầu chung hàng ngày của nhiều người chứ không phải của một người hay một tổ chức cụ thể nào. Nhà sản xuất bán để người dùng tự cài đặt, không có bảo trì trực tiếp tới từng người. Một số phần mềm ứng dụng: Phần mềm thời gian thực Phần mềm nghiệp vụ Phần mềm tính toán KH&KT Phần mềm nhúng Phần mềm trên Web Phần mềm trí tuệ nhân tạo Tiện ích 14
Phần mềm phát triển 2.1.3. Các đặc trưng của một phần mềm hệ thống thông tin an toàn Một hệ thống thông tin an toàn (Secure Information System) là một hệ thống mà thông tin được xử lý trên nó phải đảm bảo được 3 đặc trưng sau đây: - Tính bí mật của thông tin (Confidentiality) - Tính toàn vẹn của thông tin (Integrity) - Tính khả dụng của thông tin (Availability) Ba đặc trưng này được liên kết lại và xem như là mô hình tiêu chuẩn của các hệ thống thông tin bảo mật, hay nói cách khác, đây là 3 thành phần cốt yếu của một hệ thống thông tin Bảo mật. Mô hình này được sử dụng rộng rãi trong nhiều ngữ cảnh và nhiều tài liệu khác nhau, được gọi tắt là mô hình CIA. a) Tính bí mật Một số loại thông tin chỉ có giá trị đối với một đối tượng xác định khi chúng không phổ biến cho các đối tượng khác. Tính bí mật của thông tin là tính giới hạn về đối tượng được quyền truy xuất đến thông tin. Đối tượng truy xuất có thể là con người, là máy tính hoặc phần mềm, kể cả phần mềm phá hoại như virus, worm, spyware, … Tuỳ theo tính chất của thông tin mà mức độ bí mật của chúng có khác nhau. Ví dụ: các thông tin về chính trị và quân sự luôn được xem là các thông tin nhạy cảm nhất đối với các quốc gia và được xử lý ở mức bảo mật cao nhất. Các thông tin khác như thông tin về hoạt động và chiến lược kinh doanh của doanh nghiệp, thông tin cá nhân, đặc biệt của những người nổi tiếng, thông tin cấu hình hệ thống của các mạng cung cấp dịch vụ, v.v… đều có nhu cầu được giữ bí mật ở từng mức độ. Để đảm bảo tính bí mật của thông tin, ngoài các cơ chế và phương tiện vật lý như nhà xưởng, thiết bị lưu trữ, dịch vụ bảo vệ, … thì kỹ thuật mật mã hoá Cryptography) được xem là công cụ bảo mật thông tin hữu hiệu nhất trong môi trường máy tính. 15
Ngoài ra, kỹ thuật quản lý truy xuất (Access Control) cũng được thiết lập để bảo đảm chỉ có những đối tượng được cho phép mới có thể truy xuất thông tin. Sự bí mật của thông tin phải được xem xét dưới dạng 2 yếu tố tách rời: sự tồn tại của thông tin và nội dung của thông tin đó. Đôi khi, tiết lộ sự tồn tại của thông tin có ý nghĩa cao hơn tiết lộ nội dung của nó. Ví dụ: chiến lược kinh doanh bí mật mang tính sống còn của một công ty đã bị tiết lộ cho một công ty đối thủ khác. Việc nhận thức được rằng có điều đó tồn tại sẽ quan trọng hơn nhiều so với việc biết cụ thể về nội dung thông tin, chẳng hạn như ai đã tiết lộ, tiết lộ cho đối thủ nào và tiết lộ những thông tin gì,… Cũng vì lý do này, trong một số hệ thống xác thực người dùng (user authentication) ví dụ như đăng nhập vào hệ điều hành Netware hay đăng nhập vào hộp thư điện tử hoặc các dịch vụ khác trên mạng, khi người sử dụng cung cấp một tên người dùng (user-name) sai, thay vì thông báo rằng user-name này không tồn tại, thì một số hệ thống sẽ thông báo rằng mật khẩu (password) sai, một số hệ thống khác chỉ thông báo chung chung là “Invalid user name/password” (người dùng hoặc mật khẩu không hợp lệ). Dụng ý đằng sau câu thông báo không rõ ràng này là việc từ chối xác nhận việc tồn tại hay không tồn tại một user-name như thế trong hệ thống. Điều này làm tăng sự khó khăn cho những người muốn đăng nhập vào hệ thống một cách bất hợp pháp bằng cách thử ngẫu nhiên. b) Tính toàn vẹn Đặc trưng này đảm bảo sự tồn tại nguyên vẹn của thông tin, loại trừ mọi sự thay đổi thông tin có chủ đích hoặc hư hỏng, mất mát thông tin do sự cố thiết bị hoặc phần mềm. Tính toàn vẹn được xét trên 2 khía cạnh: - Tính nguyên vẹn của nội dung thông tin. - Tính xác thực của nguồn gốc của thông tin. 16