Skip navigation links

Vấn đề bảo mật trong các hệ thống thông tin lưu trữ Nhà nước
Send this page to somebodyPrint this pageFeedback

Trong môi trường mạng, phải có sự bảo đảm những dữ liệu có tính bí mật phải được cất giữ riêng sao cho chỉ có người có thẩm quyền mới được phép truy cập.

Mạng máy tính cần phải được bảo vệ an toàn, tránh khỏi những hiểm hoạ do  vô tình hoặc cố ý gây ra. Nhiệm vụ của người quản trị mạng chính là bảo đảm cho mạng luôn là một công cụ làm việc an toàn, đáng tin cậy, không hề bị đe doạ bởi bất kỳ hiểm hoạ nào.

Sau đây là đề xuất một số giải pháp bảo mật trong các hệ thống thông tin lưu trữ nhà nước:

1. Bảo mật mức hành chính

Mức bảo mật này dựa trên các quy định của pháp luật về khai thác sử dựng tài liệu lưu trữ như:

- Thẩm quyền quy định danh mục tài liệu đặc biệt quý, hiếm tại lưu trữ lịch sử;

- Thẩm quyền cho phép khai thác, sử dụng tài liệu thuộc Phông lưu trữ Nhà nước Việt Nam;

- Thủ tục khai thác, sử dụng tài liệu lưu trữ;

- Thẩm quyền cho phép mang tài liệu thuộc Phông lưu trữ Nhà nước Việt Nam ra nước ngoài;

- Thẩm quyền cho phép công bố, sao chụp tài liệu thuộc Phông lưu trữ quốc gia Việt Nam;

- Thẩm quyền cho phép khai thác, sử dụng, công bố tài liệu thuộc danh mục bí mật nhà nước và tài liệu thuộc Phông lưu trữ Đảng Cộng sản Việt Nam...

Trên cơ sở đó xây dựng các quy định về khai thác sử dụng thông tin tài liệu lưu trữ trong môi trường mạng đáp ứng các yêu cầu chống truy cập trái phép của người dùng và từng cá nhân phải có trách nhiệm bảo vệ tài nguyên máy tính của mình cũng như bảo đảm bí mật tên người sử dụng, mật khẩu truy cập hệ thống thông tin. Dữ liệu cần phải được sao lưu và cất giữ theo quy chế bảo mật, tăng cường phòng chống virus tin học và thất thoát dữ liệu.

2. Bảo mật mức hệ điều hành

Trên cơ sở sử dụng hệ điều hành, xây dựng quy chế quy định các quyền:

- Quyền truy nhập máy chủ/bảo trì hệ thống;

- Quyền chạy các chương trình ứng dụng: mỗi người sử dụng hệ thống được cung cấp một account ở mức hệ điều hành, account này sẽ được gán quyền cho phép chạy chương trình trên hệ thống. Có một account quản trị hệ thống (Administrator) sẽ có toàn quyền đối với hệ thống (mức hệ điều hành), account này có thể phân quyền chạy các chức năng cho các account sử dụng khác.

- Hệ thống ứng dụng xây dựng trên môi trường Windows Server. Khi làm việc trong môi trường Windows Server, mỗi người sử dụng được cung cấp một khoản mục người sử dụng (user account) để truy cập vùng cũng như truy cập các tài nguyên của mạng. Khoản mục người sử dụng của Windows Server bao gồm: tên, mật khẩu để nhập vùng, những nhóm mà người sử dụng là thành viên, quyền của người sử dụng đối với hệ thống. Nó cũng chứa các thông tin khác như: Tên đầy đủ, mô tả khoản mục, thông tin về môi trường làm việc máy trạm để từ đó có thể nhập vùng, thời gian được phép làm việc...

3. Bảo mật mức Web Server

Internet Information Services (IIS) 5.0 là trình chủ Web của hệ điều hành Microsoft Windows 2000. Do IIS là một dịch vụ chạy trên hệ điều hành Windows 2000, đóng vai trò cầu nối cho các kết nối trước khi truy cập tài nguyên, IIS hỗ trợ cơ chế xác thực cho đặc tả Web và hạn chế IP.

Quyền Web: Các quyền Web là một cách để kiểm soát quyền truy cập tới một phần nào đó của một không gian Web.

Các hạn chế về địa chỉ IP và Domain Name: Một cơ chế xác thực quan trọng khác của IIS là giới hạn truy cập theo địa chỉ IP hay DNS name. Sử dụng các giới hạn về địa chỉ IP và DNS name, có thể gán hay hạn chế quyền truy cập của các máy được chỉ ra. Khi điều khiển truy cập theo địa chỉ IP, nhiều người dùng Web sẽ phải truy cập thông qua một máy chủ Proxy hay qua một Firewall. Các kết nối tới  Web server khi đó sẽ bắt nguồn từ Proxy hay Firewall.

4. Bảo mật mức CSDL

Thông thường một hệ cơ sở dữ liệu phải cung cấp các tính năng bảo mật, kiểm soát việc truy cập và sử dụng cơ sở dữ liệu như:

- Ngăn chặn các truy cập dữ liệu trái phép;

- Kiểm soát phần đĩa sử dụng;

- Kiểm soát nguồn tài nguyên hệ thống sử dụng (như thời gian CPU);

- Theo dõi quá trình truy cập của người sử dụng.

Mỗi người sử dụng trong cơ sở dữ liệu có một giản đồ tương ứng với cùng tên. Mỗi một giản đồ là một tập hợp logic các đối tượng cơ sở dữ liệu như các bảng, các views, các sequences, các synonyms, các indexes, các clusters, các procedures, các functions, các packages, và các database links. Mặc định, mỗi người sử dụng trong cơ sở dữ liệu tạo ra và có quyền truy cập tới tất cả các đối tượng có trong giản đồ của người sử dụng đó.

Bảo mật của cơ sở dữ liệu được chia làm hai loại: Bảo mật hệ thống (System security) và Bảo mật dữ liệu (Data security).

Bảo mật hệ thống bao gồm các cơ chế kiểm soát các quyền truy cập và sử dụng của cơ sở dữ liệu ở mức hệ thống. Bảo mật hệ thống bao gồm:

- Kiểm tra kết hợp đồng thời người sử dụng/mật khẩu;

- Dung lượng đĩa có sẵn cho một giản đồ các đối tượng của người sử dụng;

- Giới hạn tài nguyên cho người sử dụng.

Cơ chế bảo mật hệ thống có nhiệm vụ kiểm tra:

- Người sử dụng có được phép kết nối vào cơ sở dữ liệu hay không;

- Bộ giám sát cơ sỏ dữ liệu có hoạt động hay không;

- Các thao tác hệ thống của người sử dụng có thực hiện hay không.

Bảo mật dữ liệu bao gồm các cơ chế truy cập và sử dụng cơ sở dữ liệu tới từng đối tượng trong cơ sở dữ liệu như: Mỗi người sử dụng được phép truy cập vào một đối tượng riêng và các kiểu hành động mà người sử dụng được phép thao tác trên đối tượng đó.

5. Bảo mật mức ứng dụng

Các hệ thống có các modules bảo mật được thiết kế riêng cho mức ứng dụng, cung cấp công cụ xác thực người sử dụng. Một lần nữa người sử dụng lại được gán quyền chạy các chức năng hệ thống, quyền truy/xuất vùng dữ liệu khác nhau, xây dựng các profiles riêng biệt cho những users truy cập từ xa để bảo đảm tính bảo mật và ngăn chặn việc xâm nhập dữ liệu của các users khác nhau.

Các đối tượng trong hệ thống bảo mật mức ứng dụng:

- Người sử dụng: Ngoài việc sử dụng các account của hệ quản trị cơ sở dữ liệu, hệ thống còn tổ chức lưu trữ các thông tin về người sử dụng của hệ thống;

- Nhóm: Nhóm những người sử dụng có cùng quyền, chức năng...

- Chức năng: Các chức năng của hệ thống được gán cho nhóm hoặc người sử dụng.

Việc phân quyền các chức năng cho người sử dụng hay phân quyền chức năng cho các nhóm và việc thừa kế các quyền của nhóm mà người sử dụng thuộc nhóm đó được lưu trữ trong CSDL.

6. Bảo mật bằng hệ thống tường lửa (Firewall)

Firewall thực hiện ngăn cách hệ thống server quan trọng với các truy cập từ bên ngoài, ngăn ngừa tình trạng phá hoại hay truy cập trái phép từ bên ngoài đến dữ liệu lưu trữ trên server. Yêu cầu của hệ thống firewall là phải ngăn ngừa được các truy cập trái phép nhưng vẫn không làm giảm tốc độ truy cập và trao đổi dữ liệu của người dùng hợp lệ. Nói cách khác, firewall phải bảo đảm cho việc trao đổi thông tin trên mạng diễn ra bình thường.

Để thực hiện quản lý dùng firewall, các firewall được sử dụng hỗ trợ nhiều giao diện kết nối để có thể phân vùng các khu vực quản lý thành nhiều vùng khác nhau. Các firewall càng có nhiều giao diện thì càng cung cấp cho người dùng nhiều tùy chọn trong việc phân vùng quản lý.

Yêu cầu đối với hệ thống firewall dùng cho hệ thống thông tin lưu trữ nhà nước gồm có:

External Firewall - cung cấp ít nhất ba giao diện (dùng cho kết nối Internet, kết nối với hệ thống mạng LAN và vùng DMZ).

Internal Firewall - có ít nhất hai giao diện dùng phân chia Internal LAN và External LAN.

Các firewall có khả năng mở rộng để hỗ trợ thêm nhiều giao diện khi cần.

7. Các giải pháp trước mắt cần thực hiện:

7.1. Xây dựng quy chế công bố giới thiệu tài liệu lưu trữ trên mạng riện rộng

Đáp ứng các yêu cầu: 

+ Nội dung tài liệu công bố phải thuộc danh mục tài liệu không hạn chế sử dụng, trước mắt là công bố, xuất bản một phần có thể là thông tin cấp 2 hoặc thông tin cấp 1 theo các chủ đề xác định, hoặc thông tin chỉ dẫn, giới thiệu để giới thiệu với độc giả.

+ Phải tuân thủ các quy định tại Nghị định số 97/2008/NĐ-CP ngày 28 tháng 8 năm 2008 của Chính phủ về quản lý, cung cấp, sử dụng dịch vụ Internet và thông tin điện tử trên Internet;

+ Trước mắt quy định việc công bố, xuất bản tài liệu lưu trữ trên trang tin điện tử của ngành. Việc công bố, xuất bản trên các trang web khác sẽ được qui định trong hệ thống các văn bản quy phạm pháp luật quy định trong công tác này và được áp dụng cho nhiều đối tượng hơn ở giai đoạn sau.

- Về lâu dài cần phải có hệ thống các văn bản quy phạm pháp luật quy định việc quản lý công bố, xuất bản tài liệu lưu trữ trên mạng.

- Thành lập Hội đồng khoa học ngành, liên ngành có thẩm quyền xét, cho phép công bố tài liệu lưu trữ thuộc thành phần Phông Lưu trữ Quốc gia.

- Thực hiện việc phân cấp cho các cơ quan lưu trữ trong việc công bố, xuất bản tài liệu lưu trữ.

- Lập danh mục tài liệu hạn chế sử dụng, tài liệu không hạn chế sử dụng được phép công bố.

7.2. Phòng chống virus

Đáp ứng các yêu cầu: 

+         Bảo vệ khỏi các chương trình nguy hiểm mới nhất 

+         Kiểm soát luồng email và web 

+         Tường lửa cá nhân với IDS/IPS 

+         Thực hiện bảo mật trên bất cứ kiểu mạng nào, bao gồm mạng không dây (wifi)

+         Công nghệ tự phòng thủ bảo vệ chính bộ cài khỏi các chương trình nguy hiểm 

+         Cách ly những thành phần bị nghi ngờ

+         Tự động cập nhật cơ sở dữ liệu 

+         Hệ thống quản trị tập trung, phân cấp

...

7.3. Thiết lập hệ thống tường lửa đa chức năng

Đáp ứng các yêu cầu: 

+ Bảo vệ an ninh mạng (Network Security):

+ Bảo vệ an toàn mạng trước các hành động xâm nhập trái phép, truy cập không hợp lệ

+ Tích hợp khả năng tự động phòng chống xâm nhập.

+ Cổng nối cho phép người dùng truy nhập vào mạng qua kết nối VPN.

+         Lọc Web (Filtering Web Access)

+ Kiểm tra tính hợp lệ của các trang web khi người dùng truy nhập.

+ Rà soát các nội dung trang web, đảm bảo phòng chống virus, spyware.

+         Kiểm soát dữ liệu trao đổi qua P2P như IM, Skype, MSN...

+         Bảo vệ an toàn dữ liệu Email (Securing Email Traffic)

+         Phòng chống spam, phishing

+         Phòng chống virus, spyware, adware gửi kèm trong email.

+         Cung cấp khả năng mã hóa email theo chuẩn S/MIME, STL, OpenPGP

7.4. Phòng chống xâm nhập trái phép

Đáp ứng các yêu cầu: 

+         Toàn diện - tích hợp các tính năng như: thu thập thông tin các nguy cơ (threat) có thể xảy ra từ các điểm đầu cuối (endpoint) và trên toàn hệ thống mạng.

+         Tự động hóa cao -  đưa ra những phương án cho những quyết định thông minh, hiệu quả hơn và có thể tự động hóa hoàn toàn khi cần thiết.

+         Định hướng các chính sách - Sourcefire 3D System cung cấp một định hướng đa lớp và tích hợp để đảm bảo việc áp đặt các tiêu chuẩn chính sách một cách triệt để và khả năng lập tài liệu (report)rõ ràng.

+         Xây dựng trên công nghệ đã được chứng minh - Sourcefire được phát triển dựa trên Snort Engine đã được công nhận và thành chuẩn công nghệ IDS/IPS trên toàn thế giới.

Tài liệu lưu trữ quốc gia là di sản của dân tộc, có giá trị đặc biệt đối với sự nghiệp xây dựng và bảo vệ Tổ quốc Việt Nam xã hội chủ nghĩa. Tài liệu lưu trữ tại lưu trữ lịch sử được khai thác, sử dụng rộng rãi cho yêu cầu nghiên cứu của toàn xã hội, trừ tài liệu lưu trữ thuộc danh mục bí mật Nhà nước, tài liệu lưu trữ đặc biệt quý, hiếm. Trong môi trường mạng, an toàn hệ thống và bảo mật dữ liệu là một trong các điều kiện tiên quyết bảo đảm cho việc ứng dụng công nghệ thông tin vào công tác quản lý tài liệu lưu trữ quốc gia. Vì vậy, cần phải có các giải pháp bảo mật dữ liệu hợp lý bảo đảm tính an toàn cho dữ liệu cũng như hệ thống khi đưa vào khai thác sử dụng trong từng giai đoạn phù hợp, đáp ứng yêu cầu đặt ra./.

ThS. Lê Văn Năng

Giám đốc Trung tâm Tin học - Cục Văn thư và Lưu trữ Nhà nước

Created by doanthuha
 


Tin khác:

   Một số yêu cầu của tài liệu lưu trữ khi công bố, giới thiệu(09/09/2010)
   Thực trạng và giải pháp lập hồ sơ và nộp lưu hồ sơ đại hội Đảng bộ các cấp vào kho lưu trữ Đảng(06/09/2010)
   Công tác quản lý và tổ chức khai thác, sử dụng tài liệu lưu trữ tại Kho Lưu trữ Tỉnh uỷ Bình Thuận(30/07/2010)

                                 © Trung tâm Tin học - Cục Văn thư và Lưu trữ nhà nước. Liên lạc với ban biên tập

                                 Số giấy phép: 64/GP-BC, cấp ngày: 12/02/2007. Trưởng ban biên tập: TS. Vũ Thị Minh Hương

                                 Địa chỉ: 12, Đào Tấn, Ba Đình, Hà Nội; Điện thoại: (84-4) 37660370; Fax: (84-4) 37665165
                                 ® Ghi rõ nguồn "archives.gov.vn" khi phát hành lại thông tin từ website này.