Nghiên cứu các giải pháp đánh giá hệ thống an
toàn thông tin

Vũ Thu Uyên

Trường Đại học Công nghệ
Luận văn Thạc sĩ ngành: Công nghệ phần mềm; Mã số: 60.48.10
Người hướng dẫn: PGS.TS Nguyễn Hữu Ngự
Năm bảo vệ: 2011

Abstract: Tổng quan về an toàn thông tin; Tiêu chuẩn chung – CC; Phương pháp luận
cho đánh giá an toàn – CEM. Nghiên cứu được các tiêu chuẩn để đánh giá hệ thống an
toàn theo chuẩn quốc tế là ISO 27001, CC, CEM. Đề xuất giải pháp để đánh giá các
thành phần trong hệ thống, cụ thể là đánh giá các sản phẩm ATCNTT bằng cách sử
dụng CC và CEM, từ đó có thể áp dụng vào các hệ thống thực tế. Đưa ra cách áp dụng
CC và CEM đánh giá một sản phẩm cụ thể. Các giải pháp để đảm bảo an toàn cho hệ
thống khác nằm ngoài những đánh giá dựa vào tiêu chuẩn ở trên là sử dụng công cụ
sniffer để phát hiện điểm yếu của hệ thống.

Keywords: An toàn thông tin; Hệ thống thông tin; Tin học; An toàn dữ liệu

Content
MỞ ĐẦU
I. Lý do chọn đề tài
1. Nhu cầu ứng dụng công nghệ thông tin vào các lĩnh vực đời sống là rất rộng rãi.
2. Việc đảm bảo an toàn và an toàn thông tin là yêu cầu hàng đầu đối với các cơ quan,
doanh nghiệp, …
3. Cần phải áp dụng các giải pháp an toàn an toàn thông tin, nhất là nắm được các
điểm yếu của hệ thống an toàn thông tin
Vì những lý do trên tôi chọn đề tài “Nghiên cứu giải pháp đánh giá hệ thống an toàn
thông tin” mong góp phần vào việc đề xuất ra một số biện pháp và giải pháp đánh giá hệ

rủi ro về ATTT là xuất phát từ nội bộ trong tổ chức. Một trong những câu hỏi luôn được đặt ra
trước các nhà lãnh đạo và các nhà quản trị thông tin là: “Hệ thống thông tin của tổ chức an
toàn đến mức độ nào?” Câu hỏi này là mối quan tâm lớn nhất và cũng là vấn đề nhạy cảm
nhất trong các khâu quản lý hệ thống thông tin.
Trả lời câu hỏi này thật không đơn giản nhưng không phải là không có câu trả lời. Để giải
đáp vấn đề trên, chủ yếu dựa vào hai phương pháp đánh giá ATTT như sau:
+ Phương pháp đánh giá theo chất lượng ATTT của hệ thống bằng cách cho điểm.Ví dụ:
hệ thống đạt 60/100 điểm hoặc 60%
+ Phương pháp đánh giá theo số lượng thiết bị - công nghệ an toàn.
Trong thực tế, phương pháp đánh giá theo chất lượng là phương pháp duy nhất để đánh
giá mức độ an toàn của các tài nguyên trong hệ thống thông tin. ở Việt Nam, việc đánh giá
ATTT theo chất lượng là hoàn toàn mới. Người ta dễ ngộ nhận việc trang bị một công cụ
ATTT như (Firewall, Anti-virus…) là đảm bảo được ATTT cho hệ thống. Chất lượng ATTT
phải được đánh giá trên toàn bộ các yếu tố đảm bảo tính an toàn cho hệ thống từ tổ chức, con
người, an ninh vật lý, quản lý tài nguyên … đến việc sử dụng các công cụ kỹ thuật. Nói cách
khác, chất lượng ATTT được đánh giá trên cơ sở thực thi các chính sách về ATTT trong hệ
thống. Vì thế, Phương pháp đánh giá chất lượng hệ thống ATTT là dựa trên các Tiêu chuẩn
đánh giá về hệ thống ATTT đã được chuẩn hóa, công bố và công nhận trên toàn thế giới.
III. Mục đích, nhiệm vụ nghiên cứu
Trong khuôn khổ của đề tài, tác giả tập trung vào nghiên cứu các vấn đề sau:
- Nghiên cứu về an toàn an toàn thông tin, mật mã
- Nghiên cứu các nguy cơ mất an toàn thông tin trên mạng
- Nghiên cứu hệ thống tiêu chuẩn đánh giá hệ thống an toàn thông tin, cụ thể ở đây là 2
tiêu chuẩn Common Criteria – CC và CEM.
- Đề xuất biện pháp và giải pháp đánh giá hệ thống an toàn thông tin
- Triển khai thử nghiệm đánh giá một số thành phần trong hệ thống thực tế.
IV. Phương pháp nghiên cứu
1. Phương pháp nghiên cứu tài liệu

3