BỘ GIÁO DỤC VÀ ĐÀO TẠO - TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAM
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

NGUYỄN ĐỨC

NGHIÊN CỨU VẤN ĐỀ BẢO ĐẢM AN TOÀN VÀ AN
NINH HỆ THỐNG THÔNG TIN CỦA CỤC AN TOÀN
BỨC XẠ HẠT NHÂN
CHUYÊN NGÀNH: TRUYỀN DỮ LIỆU VÀ MẠNG MÁY TÍNH
MÃ SỐ: 60.48.15

TÓM TẮT LUẬN VĂN THẠC SỸ KỸ THUẬT

HÀ NỘI - 2010 Luận văn được hoàn thành tại:

mới, đó là làm sao hòa nhập với thế giới mà vẫn bảo vệ được mình.
Thực tế có rất nhiều hình thức tấn công, phá hoại, lấy cắp thông tin,
tài nguyên trên mạng, từ nhiều loại đối tượng khác nhau, cho những
mục đích khác nhau Những hành động này đang xảy ra hàng ngày,
hàng giờ tại bất cứ đâu. Chúng ta có thể liên tục đọc được tin tức về
những vụ tấn công, xâm nhập an ninh trên mạng Internet do hacker
hoặc virus gây ra, mục tiêu bị tấn công từ những mạng máy tính
được bảo vệ tối tân như những hệ thống máy tính của Bộ quốc phòng
Mỹ, những hệ thống thương mại trực tuyến, những tổ chức công ty
lớn như eBay, Amazone, Microsoft tới những máy tính PC kết nối
mạng của người dùng đơn lẻ , để lại những tác hại và ảnh hưởng rất
to lớn.
- Thực tế cho thấy một hệ thống máy tính không đảm bảo
được tính bảo mật và an ninh thông thường sẽ đem lại tác dụng
ngược, các thông tin, dữ liệu nhạy cảm trên mạng dễ dàng bị xập
2
nhập trái phép, chiến lược kinh doanh không còn tính bí mật đối với
đối thủ cạnh tranh, cũng như những hành động phá hoại có thể làm
mạng bị gián đoạn hoạt động, hoặc hoạt động không hiệu quả, đầu tư
hạ tầng lãng phí
- Vấn đề đảm bảo an toàn, an ninh thông tin, đảm bảo an
toàn mạng máy tính là một vấn đề khá rộng, liên quan tới nhiều vấn
đề, từ những chính sách quản lý, lĩnh vực kỹ thuật công nghệ, tới
thói quen và ý thức người dùng
Việc đảm bảo an toàn và an ninh trên mạng là một
nhiệm vụ rất cấp thiết và quan trọng, đòi hỏi phải đầu tư
nghiên cứu một cách toàn diện, khoa học; đề xuất những
phương án bảo vệ triệt để, chặt chẽ, kinh tế và khả thi; đồng thời cần
triển khai đồng bộ ngay từ khi triển khai hạ tầng mạng. Để đảm bảo
được vai trò chức năng và nhiệm vụ mà đơn vị được giao phó.

- Hệ thống có một trong các đặc điểm sau là không an toàn:
Các thông tin dữ liệu trong hệ thống bị người không được quyền truy
nhập tìm cách lấy và sử dụng (thông tin bị rò rỉ). Các thông tin trong
hệ thống bị thay thế hoặc sửa đổi làm sai lệch nội dung (thông tin bị
xáo trộn)
- Thông tin chỉ có giá trị cao khi đảm bảo tính chính xác và
kịp thời, hệ thống chỉ có thể cung cấp các thông tin có giá trị thực sự
khi các chức năng của hệ thống đảm bảo hoạt động đúng đắn.
- Mục tiêu của an toàn bảo mật trong công nghệ thông tin là
đưa ra một số tiêu chuẩn an toàn. Ứng dụng các tiêu chuẩn an toàn
này vào đâu để loại trừ hoặc giảm bớt các nguy hiểm. Do kỹ thuật
truyền nhận và xử lý thông tin ngày càng phát triển đáp ứng các yêu
cầu ngày càng cao nên hệ thống chỉ có thể đạt tới độ an toàn nào đó.
4
Quản lý an toàn và sự rủi ro được gắn chặt với quản lý chất lượng.
Khi đánh giá độ an toàn thông tin cần phải dựa trên phân tích các rủi
ro, tăng sự an toàn bằng cách giảm tối thiểu rủi ro. Các đánh giá cần
hài hoà với đặc tính, cấu trúc hệ thống và quá trình kiểm tra chất
lượng.
- Các yêu cầu an toàn bảo mật thông tin
Hiện nay các biện pháp tấn công càng ngày càng tinh vi, sự
đe doạ tới độ an toàn thông tin có thể đến từ nhiều nơi theo nhiều
cách chúng ta nên đưa ra các chính sách và phương pháp đề phòng
cần thiết. Mục đích cuối cùng của an toàn bảo mật là bảo vệ các
thông tin và tài nguyên theo các yêu cầu sau:
• Đảm bảo tính tin cậy (Confidentiality): Thông tin không
thể bị truy nhập trái phép bởi những người không có thẩm quyền.
• Đảm bảo tính nguyên vẹn (Integrity): Thông tin không thể
bị sửa đổi, bị làm giả bởi những người không có thẩm quyền.
• Đảm bảo tính sẵn sàng (Availability): Thông tin luôn sẵn

Định nghĩa và mô tả kiểm soát
Hướng dẫn thi hành:
Cung cấp những thông tin nhằm hỗ trợ việc thi hành kiểm
soát và đạt được mục tiêu đề ra. Một số hướng dẫn có thể không phù
hợp trong mọi trường hợp và vì vậy, những cách thi hành khác có thể
phù hợp hơn.

1.1.1.1. Chính sách an ninh chung:
Chính sách an ninh chung đề cập đến sự hỗ trợ của cấp quản
lý, cam kết và định hướng trong việc đạt được các mục tiêu về an
toàn thông tin, bao gồm hai phần chính:
6
Văn bản chính sách an toàn thông tin – được định nghĩa là
một văn bản mang tính khái niệm, không cụ thể về phương thức thi
hành, bao gồm các tiêu chí an toàn thông tin của một tổ chức.
Xem xét cập nhật chính sách an toàn thông tin – Chính sách
an toàn thông tin cần được quy trách nhiệm và giao quyền quản lý
cho một chủ thể. Chủ thể này sẽ chịu trách nhiệm phát triển, xem xét
cập nhật và đánh giá chính sách an toàn thông tin.
1.1.1.2. Tổ chức an toàn thông tin:
Tổ chức an toàn thông tin đề cập đến nhu cầu thiết lập một
cơ cấu quản lý nhằm đề xướng và kiểm soát việc thi hành an toàn
thông tin trong một tổ chức, bao gồm:
Diễn đàn quản lý an toàn thông tin – cung cấp một hội đồng
đa cấp nhằm thảo luận các vấn đề về an toàn thông tin xuyên suốt tổ
chức.
Giám đốc an toàn thông tin (ISSO) – đóng vai trò là trung
tâm liên lạc cho các vấn đề, định hướng và quyết định liên quan đến
an toàn thông tin.
Trách nhiệm an toàn thông tin – trách nhiệm liên quan đến

Xử lý – thiết lập những tiêu chuẩn xử lý, bao gồm các quy
trình liên quan đến việc tạo ra, di chuyển, chuyển giao, hủy bỏ các tài
sản thông tin, dựa trên phân loại tài sản.

1.1.1.5. An ninh nhân sự:
Mục đích của an ninh nhân sự nhắm đến khả năng của một
tổ chức trong việc giảm thiểu rủi ro liên quan đến vấn đề con người,
bao gồm:
8
Kiểm tra nhân sự - những chính sách nhân sự cần đảm bảo
trình độ và tính thích hợp của tất cả nhân sự có quyền truy cập vào
tài sản thông tin của tổ chức.
Trách nhiệm bảo mật – nhân viên cần hiểu rõ trách nhiệm
bảo mật thông tin của mỗi cá nhân,
Điều khoản và điều kiện lao động – nhân viên cần hiểu rõ
trách nhiệm bảo mật thông tin như là một điều kiện tiên quyết trong
điều khoản lao động.
Đào tạo: Một chương trình đào tạo an toàn thông tin cần
được tiến hành cho tất cả nhân viên, bao gồm những người đang làm
và những người mới vào.
Giải quyết vi phạm – một quy trình chính thức được thiết lập
để giải quyết những vi phạm các điều khoản trong chính sách an toàn
thông tin.

1.1.1.6. An ninh vật lý và môi trường:
Kiểm soát bảo mật vật lý và môi trường đề cập đến rủi ro
trong môi trường vật lý, bao gồm:
Địa điểm
Bảo mật chu vi vật lý:
Kiểm soát ra vào.

- Xác định sơ đồ định tuyến an toàn
- Kiểm soát an ninh cho các thiết bị mạng
- Duy trì tính tách rời của các phân vùng mạng
- Kiểm soát kết nối mạng
- Duy trì an ninh cho các dịch vụ mạng
Kiểm soát truy cập máy cá nhân:
10
- Tự động nhận dạng máy đầu cuối
- Cơ chế xác thực an toàn
- Xác thực người sử dụng
- Quản lý mật khẩu
- Bảo mật những công cụ hệ thống
- Đảm bảo an toàn cho phiên truy cập, cơ chế tự động thoát
khi không có hoạt động truy cập.
- Kiểm soát truy cập ứng dụng.
- Theo dõi truy cập
- Điện toán di động.

1.1.1.9. Phát triển và duy trì hệ thống:
Kiểm soát về duy trì và phát triển hệ thống đề cập đến những
kiểm soát cần được xây dựng nhằm đảm bảo:
Yêu cầu bảo mật hệ thống.
Yêu cầu bảo mật ứng dụng.
Yêu cầu mật mã.
Tính toàn vẹn hệ thống
An ninh trong quá trình phát triển.

1.1.1.10. Quản lý tính liên tục kinh doanh:
Quản lý tính liên tục kinh doanh kiểm soát khả năng của một
tổ chức nhằm đảm bảo tính liên tục trong hoạt động kinh doanh, bao

Trụ sở chính của Cục An toàn bức xạ và hạt nhân đặt tại
Thành phố Hà Nội.
Cục An toàn bức xạ và hạt nhân có các nhiệm vụ và quyền
hạn chủ yếu sau đây:
12
1. Xây dựng, tham gia xây dựng dự thảo, trình ban hành theo
thẩm quyền các văn bản quy phạm pháp luật, tiêu chuẩn, quy chuẩn
kỹ thuật, hướng dẫn về an toàn bức xạ, an toàn hạt nhân (sau đây gọi
tắt là an toàn), an ninh nguồn phóng xạ, vật liệu hạt nhân, cơ sở hạt
nhân (sau đây gọi tắt là an ninh) và kiểm soát hạt nhân; chủ trì hoặc
tham gia tổ chức thực hiện, kiểm tra việc thực hiện các văn bản đã
được ban hành; tham gia xây dựng chế độ, chính sách cho nhân viên
bức xạ;
2. Xây dựng, trình Bộ Khoa học và Công nghệ định hướng
phát triển, chương trình, kế hoạch 5 năm và hàng năm về nhiệm vụ
bảo đảm an toàn, an ninh và kiểm soát hạt nhân; chỉ đạo, hướng dẫn,
tổ chức và kiểm tra việc thực hiện chương trình, kế hoạch đã được
phê duyệt;
3. Tổ chức việc khai báo chất phóng xạ, thiết bị bức xạ, vật
liệu hạt nhân, thiết bị hạt nhân và việc cấp, gia hạn, sửa đổi, thu hồi
giấy phép tiến hành công việc bức xạ, chứng chỉ về an toàn cho nhân
viên bức xạ;
4. Thẩm định và tổ chức thẩm định an toàn đối với công việc
bức xạ; thẩm định và tổ chức thẩm định an ninh đối với nguồn phóng
xạ, vật liệu hạt nhân và cơ sở hạt nhân;
5. Kiểm tra, thanh tra, xử lý vi phạm và giải quyết khiếu nại,
tố cáo về an toàn và an ninh theo thẩm quyền;
6. Tổ chức thực hiện các hoạt động kiểm soát hạt nhân theo
quy định của pháp luật;
7. Thực hiện quản lý nhà nước về chất thải phóng xạ, quan

và Công nghệ giao.
14
Hệ thống thông tin của Cục được cán bộ thông tin của Cục
kết hợp với các chuyên gia nước ngoài xây dựng từ những năm 2008
– 2009 với mức độ bảo mật và an toàn có tính độc lập và chưa cao và
chỉ tập trung vào một số hệ thống cụ thể như RAISVN và
TRACKER. Và đây chính là một phần lỗ hổng của hệ thống nếu như
có sự tấn công từ những điểm yếu trong hệ thống như mạng LAN
hay tấn công vào Mail và Web của Cục. Từ những Server này Virus
hoặc Hacker rất có thể sẽ dùng làm bàn đạp tấn công toàn bộ hệ
thống.
1.3 Kết luận chương:
1.3.1 Tổng quan
Chương mở đầu của luận văn này đã giới thiệu tổng quan về
an toàn thông tin. các biện pháp kiểm tra hệ thống thông tin đã triển
khai các biện pháp an ninh, an toàn thông tin hay chưa. Như Chính
sách an ninh chung (Security Policy); Tổ chức an toàn thông tin
(Organizing Information Security); Quản lý sự cố an toàn thông tin
(Information Security Incident Management); Xác định, phân cấp và
quản lý tài nguyên (Asset Management); An ninh nhân sự (Human
Resources Security); An ninh vật lý và môi trường (Physical and
Environmental Security); Quản trị CNTT và mạng (Communication
and Operations Management); Quản lý truy cập (Access Control)…
Tìm hiểu nhiệm vụ, quyền hạn và hệ thống thông tin của Cục
An toàn Bức xạ, Hạt nhân để từ đó thấy được vấn đề cần thiết phải
có một hệ thống thông tin an toàn hơn hoạt động hiệu quả hơn. Trong
chương tiếp theo, ta sẽ đi vào nghiên cứu hệ thống thông tin của Cục
An toàn Bức xạ, Hạt nhân và các vấn đề gặp phải trong quá trình vận
hành.


tác, các đối tác, các hãng cung cấp,…cũng phải được lưu tâm bởi họ
cũng có quyền và có khả năng truy cập thông tin trong cơ sở dữ liệu
thông tin của chúng ta. Cần phải có những chính sách quản lý người
dùng thích hợp để đề phòng trường hợp có khả năng rò rỉ thông tin
này.

2.1.2 Đối thủ cạnh tranh:
Đối thủ cạnh tranh:
2.1.3. Gián điệp:
Gián điệp (Spy):
2.1.4. Hacker:
Hacker:
2.1.5. Người tò mò (Explorer):
Người tò mò (Explorer):
2.1.6. Script Kiddie:
Script Kiddie:.
2.1.7. Kẻ trộm:
Kẻ trộm:.
Ngoài các tác nhân trên, các yếu tố khác cũng ít nhiều có tác
động đến an toàn thông tin, tác động chính của các yếu tố này lên an
ninh mạng là về mặt vật lý.
+ Tự nhiên: Lũ lụt, động đất, lở đất, sấm sét…
+ Môi trường: mất điện, ô nhiễm, các tác nhân hóa học, rò rỉ
nhiên liệu…
+ Cháy nổ, hỏa họa, chiến tranh, khủng bố…
Tóm lại, đối tượng và yếu tố có khả năng ảnh hưởng đến an
toàn thông tin mạng rất đa dạng, phong phú. Có thể nói, “bất cứ ai có
17
ý định, có khả năng tiếp cận với thông tin của tổ chức đều có khả
năng tác động nguy hiểm đến an toàn thông tin tổ chức đó”.

sau:
Bước 1: Đầu tư xây dựng hạ tầng mạng tối thiểu, bao gồm
các dịch vụ hạ tầng mạng; dịch vụ về các phần mềm tối thiểu cần có
trong mạng. Các bước thực hiện
Trang bị mạng nội bộ (đã thực hiện)
Trang bị và xây dựng hệ thống dịch vụ hạ tầng CNTT (là các
dịch vụ nên tảng, tạo tiền đề triển khai các ứng dụng nâng cao khác)
bao gồm: Dịch vụ quản lý người dùng, phân giải tên miền, cấp địa
chỉ IP tự động, chứng thực người dùng Wifi, cấp chứng chỉ số nội
bộ.
Triển khai các dịch vụ sử dụng chung như Email, Kết nối
mạng riêng ảo, Truy nhập Internet, Cơ sở dữ liệu, Website;
Bước 2: Tuỳ vào nhu cầu quản lý và quy mô của Cục, bước
2 có thể triển khai các ứng dụng quản lý: quản lý tài sản, quản lý tài
chính kế toán, quản lý công văn, hệ trợ giúp quyết định, … Nâng cấp
và hoàn thiện cung cấp các bài toán đáp ứng các yêu cầu quản lý của
Cục ATBXHN; quy hoạch toàn bộ hệ thống đảm bảo sự ổn định và
thống nhất trong toàn bộ Cục ATBXHN về sử dụng các phần mềm
quản lý điều hành và các phần mềm dùng chung. Dịch vụ Hội nghị
truyền hình kết nối xuống các đơn vị trong Cục và với Bộ KHCN.
2.2.1. Các hệ thống thông tin đang quản lý vận hành:
2.2.1.1. Hệ thống hỗ trợ đăng ký cấp phép trực tuyến các nguồn
phóng xạ (RAISVN)
Tổng quan hiện trạng hệ thống RAISVN
19
Quản lý chuyên ngành an toàn bức xạ bằng phần mềm
Ứng dụng nguồn phóng xạ và các thiết bị bức xạ đã được triển khai ở
Việt Nam từ những năm 20 của Thế kỷ trước. Trong những năm vừa
qua, các hoạt động quản lý về an toàn và kiểm soát bức xạ được thực
hiện tại Cục Kiểm soát và An toàn bức xạ, hạt nhân (KSATBXHN).


2.2.1.2. H thng c s d liu quc gia v an ton bc x
H thng c s d liu quc gia v an ton bc x l h thng c s
d liu thng kờ cỏc ngun phúng x hin cú ti Vit Nam, quỏ trỡnh
vo ra v vũng i ca cỏc ngun phúng x t khi c nhp vo
Vit Nam cho n khi khụng cũn c s dng hoc xut khu. Vic
qun tr cỏc ngun phúng x cú mt ý ngha ht sc to ln l mt
trong nhng vn nhy cm liờn quan n chớnh tr vỡ vy h thng
Khai báo đăng
ký cấp phép
trực tuyến

Cơ sở dữ liệu
quốc gia
Hệ thống đăng
ký cấp phép trực
tuyến RAISVN
21
cơ sở dữ liệu quốc gia về an toàn bức xạ cần phải được đảm bảo
tuyệt đối về an toàn an ninh.
Hiện trạng hệ thống cơ sở dữ liệu quốc gia về an toàn bức xạ; được
phân tích thiết kế trên nền ngôn ngữ MySQL kết nối cùng hệ thống
RAISVN để truy xuất và tổng hợp dữ liệu. Hệ thống cơ sở dữ liệu
quốc gia về an toàn bức xạ cũng được cài đặt trên một máy chủ và
nằm đằng sau một hệ thống tường lửa (Firewall) tuy nhiên các chính
sách thiết lập hiện tại trên tường lửa còn rất lỏng lẻo và cũng rất dễ bị
tấn công, chẳng hạn như việc mở cổng 21 cho phép việc chuyển vận
giao thức FTP là một trong những lỗ hổng tấn công của hệ thống.

2.2.1.3. Hệ thống Thanh sát hạt nhân kết nối trực tiếp với cơ quan

quản trị mail Server riêng. Hiện tại các hệ thống này được cài đặt
trên các máy chủ ngang hàng với mạng LAN của Cục do vậy việc bị
tấn công là rất dễ dàng và có khả năng đánh sập bất kỳ lúc nào. Việc
thiết một hệ thống tường ASA bảo vệ cho hệ thống cần phải tính đến
khi thiết kế mạng cho hệ thống thông tin của Cục. 2.3. Kết luận chương
Nội dung chương 2 đã đưa ra được các yếu tố làm mất An
toàn thông tin. Hiện trạng cơ sở hạ tầng của hệ thống thông tin tại
Cục An toàn Bức xạ, Hạt nhân và những vấn đề mà các phân hệ
trong hệ thống gặp phải. Những yêu cầu cần đáp ứng để phù hợp với
quá trình phát triển ở hiện tại và tương lai gần. 23