Tóm tắt Luận văn Áp dụng enterprise architecture xây dựng khung kiến trúc bảo đảm an toàn thông tin cho các tổ chức doanh nghiệp tại Việt Nam

Nội dung tài liệu: Tóm tắt Luận văn Áp dụng enterprise architecture xây dựng khung kiến trúc bảo đảm an toàn thông tin cho các tổ chức doanh nghiệp tại Việt Nam

1. ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN THANH TUYỀN ÁP DỤNG ENTERPRISE ARCHITECTURE XÂY DỰNG KHUNG KIẾN TRÚC BẢO ĐẢM AN TOÀN THÔNG TIN CHO CÁC TỔ CHỨC DOANH NGHIỆP TẠI VIỆT NAM Ngành: Công nghệ thông tin Chuyên ngành: Quản lý Hệ thống thông tin Mã số: Chuyên ngành đào tạo thí điểm TÓM TẮT LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN Hà Nội - Năm 2016
2. PHẦN MỞ ĐẦU 1. Cơ sở khoa học và thực tiễn của đề tài 1.1. Về phương pháp luận xây dựng kiến trúc cơ quan xí nghiệp Ngày nay, ứng dụng công nghệ thông tin (CNTT) vào mọi mặt của đời sống xã hội và hoạt động sản xuất kinh doanh là một xu thế tất yếu, CNTT đã và đang làm biến đổi sâu sắc đời sống, kinh tế, văn hoá xã hội của mỗi quốc gia, vùng lãnh thổ trên toàn thế giới. Việc ứng dụng CNTT tại các tổ chức doanh nghiệp đang được đẩy mạnh hơn bao giờ hết. Tuy nhiên, trong quá trình phát triển, bất kỳ một tổ chức, hệ thống nào khi phát triển tự phát đến một quy mô nhất định cũng gặp một số vấn đề nảy sinh như: - Hệ thống thông tin càng ngày càng phức tạp, tốn kém, khó điều hành. Chi phí và mức độ phức tạp của hệ thống tăng theo cấp lũy thừa; - Mức độ hệ thống thông tin đáp ứng nhu cầu của tổ chức càng ngày càng kém đi. Mỗi khi có nhu cầu mới hoặc thay đổi, rất khó điều chỉnh một hệ thống thông tin cồng kềnh, đắt tiền đáp ứng được các nhu cầu mới đó. Không chỉ ở Việt Nam mà cả ở các nước phát triển việc xây dựng các hệ thống thông tin phần lớn chưa có một kiến trúc toàn diện dẫn đến các hệ thống được đầu tư xây dựng chắp vá, thiếu đồng bộ, không toàn diện, khả năng tích hợp kém đặc biệt là nhiều hệ thống sau khi xây dựng xong không đưa vào sử dụng được hoặc sử dụng kém hiệu quả do không đáp ứng được nhu cầu thực tế. Trong bối cảnh đó nhu cầu đặt ra là phải có các phương pháp luận xây dựng kiến trúc (hay còn gọi là “khung kiến trúc”) để giúp cho các cơ quan, doanh nghiệp có thể vận dụng, xây dựng kiến trúc CNTT cho mình. Trên thế giới, đã có nhiều khung kiến trúc được xây dựng và áp dụng đem lại hiệu quả cao như: khung kiến trúc Zachman, khung kiến trúc nhóm mở - TOGAF, khung kiến trúc tổng thể liên bang Mỹ - FEAF Thời gian qua, nhóm chuyên gia của Viện Công nghệ thông tin - Đại học Quốc gia Hà Nội đã nghiên cứu, xây dựng và hoàn thiện khung kiến trúc ITI-GAF (Information Technology Institute - Government Architecture Framework) với mục đích tạo một khung kiến trúc dễ hiểu và dễ áp dụng cho các cơ quan, tổ chức Việt Nam trong việc xây dựng kiến trúc CNTT phù hợp với đặc trưng về nghiệp vụ, cơ sở hạ tầng, khung pháp lý, trình độ phát triển CNTT của mình.
3. 3 1.2. Xây dựng khung kiến trúc bảo đảm an an toàn thông tin cho các nước đang phát triển Trong thời đại Internet như hiện nay, hầu như mọi dữ liệu thông tin đều được trao đổi qua không gian mạng. Sự xuất hiện của những xu hướng công nghệ mới như dữ liệu lớn, điện toán đám mây, sự tích hợp và hội tụ của truyền thông xã hội, di động, Internet vạn vật đang tạo ra những cơ hội to lớn cho người sử dụng nhưng mặt khác cũng nảy sinh những nguy cơ mất an ninh, an toàn thông tin và tội phạm mạng. Theo báo cáo của Global Risk 2015 của diễn đàn kinh tế thế giới công bố tháng 2/2015, thừa nhận mình chưa được chuẩn bị kỹ càng, đầy đủ để tự bảo vệ trước các cuộc tấn công mạng. Thiệt hại do tội phạm mạng gây ra cho nền kinh tế toàn cầu lên tới hơn 400 tỉ đô la Mỹ trong một năm. Ngoài ra, xu hướng mới của các cuộc tấn công mạng ngày nay nhằm tới các cơ sở hạ tầng trọng yếu và có thể gây ra hàng loạt hậu quả nghiêm trọng không thua kém các cuộc tấn công bằng vũ khí như bom đạn hay tên lửa. Nguy cơ và rủi ro mất an toàn thông tin đang trở lên hiện hữu, ảnh hưởng sâu rộng tác động đến các vấn đề trong mọi hoạt động kinh tế, xã hội, quốc phòng, an ninh và là một vấn đề đối với mỗi quốc gia trên toàn thế giới Công tác bảo đảm an toàn thông tin tại các tổ chức, doanh nghiệp Việt Nam thời gian qua đã nhận được sự quan tâm, đầu tư nhất định của tổ chức, doanh nghiệp, tuy nhiên, thời gian qua vẫn chưa có một giải pháp, khung kiến trúc tổng thể bảo đảm an toàn thông tin cho các tổ chức, doanh nghiệp, công tác bảo đảm an toàn thông tin đang được phát triển một cách tự phát, độc lập giữa các tổ chức, doanh nghiệp. Thực trạng này đặt ra nhu cầu cần xây dựng một khung kiến trúc chung cho các tổ chức, doanh nghiệp trong việc kiểm tra, đánh giá cũng như xây dựng các chính sách, giải pháp bảo đảm an ninh, an toàn thông tin cho mình để tăng cường công tác bảo đảm an ninh, an toàn thông tin của các tổ chức, doanh nghiệp.
4. 4 CHƯƠNG I: TỔNG QUAN VỀ KIẾN TRÚC TỔNG THỂ, KHUNG KIẾN TRÚC TỔNG THỂ 1.1. Tổng quan về kiến trúc tổng thể 1.1.1. Kiến trúc tổng thể Khái niệm về kiến trúc tổng thể được hiểu theo một số khái niệm như sau: + Kiến trúc tổng thể bao gồm tầm nhìn, nguyên tắc và các tiêu chuẩn hướng dẫn việc mua, triển khai công nghệ trong doanh nghiệp (Theo Forrester, Gene Leganza,2001) + Kiến trúc tổng thể là quá trình dịch chuyển tầm nhìn và chiến lược kinh doanh làm thay đổi doanh nghiệp một cách hiệu quả bằng cách tạo ra, truyền tải, và cải thiện các nguyên tắc và các mô hình mô tả trạng thái cơ bản của doanh nghiệp trong tương lai và cho phép nó hoạt động (Theo Gartner Group). + Kiến trúc tổng thể là sự quản lý một cách tối đa sự đóng góp của các nguồn lực, đầu tư công nghệ thông tin và các hoạt động phát triển hệ thống để đạt được một mục đích chung. Kiến trúc mô tả rõ ràng mối quan hệ giữa mục tiêu chiến lược và các mục tiêu cụ thể thông qua việc đầu tư cải thiện đo lường hiệu suất cho toàn bộ doanh nghiệp hay một phần doanh nghiệp (Theo US Federal EA). + Thiết kế nghiệp vụ và sự gắn kết hệ thống CNTT là một phần của Kiến trúc tổng thể. Các nhà kiến trúc tìm kiếm sự gắn kết giữa quy trình và cấu trúc doanh nghiệp để CNTT hỗ trợ hiệu quả. (Wegmann et al. 2005). + Mục đích chính của Kiến trúc tổng thể là thông báo, hướng dẫn và hạn chế các quyết định của doanh nghiệp đặc biệt là các đầu tư cho công nghệ thông tin (US Chief Information Officer Council) . + Kiến trúc tổng thể là sự hiểu biết về tất cả các thành phần khác nhau mà tạo nên doanh nghiệp và cách các thành phần này tương tác với nhau. (Innstitute For Enterprise Architecture Developments).
5. 5 + Kiến trúc tổng thể bao gồm tầm nhìn, nguyên tắc, các chuẩn và các quy trình nhằm hướng dẫn việc mua, thiết kế và triển khai công nghệ trong doanh nghiệp (Forrester Research). Dù được định nghĩa như thế nào thì về cơ bản Kiến trúc tổng thể cũng bao gồm các thành phần chính sau: 1. Các bộ phận cấu thành nên hệ thống đó, 2. Quan hệ giữa các bộ phận với nhau và với môi trường ngoài và 3. Các nguyên tắc chỉ đạo việc thiết kế và phát triển các bộ phận đó (Theo ANSI/IEEE Std 1471-2000 ) Hay hiểu đơn giản: “kiến trúc của một tổ chức là bản thiết kế, quy hoạch tổng thể thống nhất từ đầu đến cuối cho toàn bộ quá trình xây dựng, phát triển của tổ chức, hệ thống đó sau này”, bao gồm toàn bộ các thành tố xây dựng nên cơ cấu tổ chức, hệ thống thông tin, các quy trình nghiệp vụ, các ứng dụng, hệ thống phần cứng và tất cả các thành phần khác cấu thành nên hệ thống đó. 1.1.2 Thành phần của kiến trúc tổng thể: Kiến trúc tổng thể được nhiều tổ chức nghiên cứu và đưa ra các khái niệm khác nhau nhưng xét về thành phần, hầu hết các kiến trúc tổng thể đều bao gồm những thành phần sau: Kiến trúc Nghiệp vụ (Bussiness Architecture): bao gồm chiến lược phát triển, hệ thống quản lý, cơ cấu tổ chức và các quy trình nghiệp vụ chủ yếu của một hệ thống. Kiến trúc Dữ liệu (Data Architecture): cấu trúc các tài sản dữ liệu vật lý (văn bản, sách ) và logic (dữ liệu số hóa) của hệ thống và công cụ để quản lý các tài sản đó. Kiến trúc Ứng dụng (Application Architecture): các phần mềm ứng dụng phải được sử dụng, tương tác giữa chúng với nhau và quan hệ của chúng với các quy trình nghiệp vụ chủ yếu của hệ thống. Kiến trúc Công nghệ (Technology Architecture): mô tả hạ tầng phần cứng và phần mềm cần thiết để triển khai ba lớp kiến trúc nói trên, bao
6. 6 gồm: hạ tầng CNTT, các phần mềm lớp giữa, mạng truyền thông và các chuẩn. 1.1.3 Tầm quan trọng của kiến trúc tổng thể Khi quy mô tổ chức còn nhỏ, vài trò của kiến trúc tổng thể là chưa rõ ràng, tất cả các nguồn lực cũng như các vấn đề phát sinh đều với số lượng không đáng kể, trực quan và không quá khó để kiểm soát. Tuy nhiên, khi một tổ chức phát triển lới hơn, quy mô hoạt động được mở rộng thì vai trò của kiến trúc tổng thể được thể hiện một cách rõ ràng. Lúc này, số lượng nguồn lực tăng cao, các vấn đề phát sinh trong nghiệp vụ nhiều và dễ dàng gây ra sự quá tải, mất kiểm soát; hệ thống thông tin ngày càng trở nên phức tạp, tốn kém, khó điều hành, khả năng đáp ứng kém. Kiến trúc tổng thể giúp cho tổ chức: - Đồng bộ hóa CNTT với nghiệp vụ, mang lại sức mạnh tổng hợp từ các nguồn khác nhau, các bộ phận khác nhau của một tổ chức. - Tránh được việc đầu tư trùng chéo, lặp lại - Xây dựng được bộ tiêu chuẩn cho toàn bộ hệ thống, nên dễ dàng phối hợp, chia sẻ giữa các dự án cũng như mở rộng hệ thống. - Xây dựng được quy trình đầu tư rõ ràng, giảm bớt thời gian thực hiện đầu tư 1.1.4 Quy trình xây dựng kiến trúc tổng thể Bao gồm 04 bước sau: Mô tả kiến trúc hiện tại (As-Is): Qua quá trình khảo sát và đánh giá hiện trạng, ta dựng lại kiến trúc hiện tại của hệ thống. Qua đó có thể xác định được vấn đề của hệ thống hiện tại. Mô tả kiến trúc tương lại (To-Be): Là kiến trúc cần đạt tới của tổ chức dựa trên Khung Kiến trúc, tầm nhìn của tổ chức và sự lựa chọn công nghệ. Phân tích khác biệt: Bằng việc so sánh kiến trúc hiện tại và kiến trúc tương lai, chúng ta tìm và phân tích các điểm khác biệt giữa chúng. Các điểm khác biệt là căn cứ để chúng ta lập kế hoạch chuyển đổi.
7. 7 Kế hoạch chuyển đổi (Transition Plan): Từ kiến trúc hiện tại và kiến trúc tương lai, xây dựng các bước bao gồm các giải pháp, và trình tự, độ ưu tiên cần thực hiện để chuyển từ hiện tại sang kiến trúc tương lai. 1.2. Tổng quan về khung kiến trúc tổng thể 1.2.1 Khung kiến trúc tổng thể là gì? Cũng giống như khái niệm kiễn trúc tổng thể, khái niệm khung kiến trúc cũng được hiểu theo nhiều cách khác nhau: Zachman định nghĩa khung như “một sơ đồ phân loại”; TOGAF lại coi khung là “một phương pháp chi tiết và bộ công cụ hỗ trợ để phát riển một kiến trúc” Roger Sessions coi khung kiến trúc “là một cấu trúc khung xương – skeleton structure”, Schekkerman coi đó là bộ phận thiết yếu “có thể phối hợp nhiều khía cạnh tạo nên bản chất cơ bản của doanh nghiệp một cách toàn diện”, hay trong định nghĩa của ISO/IEC/IEEE 42010 là “xác lập các quy định chung để tạo lập, giải thích, phân tích và sử dụng các kiến trúc trong một lĩnh vực phần mềm riêng biệt hoặc trong cộng đồng những người có liên quan”. 1.2.2 Phân loại Khung kiến trúc có thể được phân loại thành ba nhóm chính: a. Khung kiến trúc phát triển bởi chính phủ và độc quyền: Một trong những nơi áp dụng kiến trúc tổng thể mạnh nhất là các hệ thống chính phủ điện tử. Nước Mỹ có Khung Kiến trúc Liên bang (FEAF) và Kiến trúc Hành chính Liên bang (FEA) áp dụng cho các cơ quan quản lý nhà nước. Chính phủ Đức có Chuẩn và Kiến trúc cho Chính phủ điện tử SAGA. Canada có ban hành tài liệu về kiến trúc hướng dịch vụ Chính phủ GC SOA. Chính phủ Úc và nhiều nước khác cũng có khung kiến trúc chính phủ điện tử của mình. Ngoài ra, Bộ Quốc Phòng các nước cũng bắt đầu xây dựng kiến trúc tổng thể như một xu thế cho hoạt động quân sự đa quốc gia. Bộ Quốc phòng Mỹ lại có kiến trúc riêng DoDAF, Bộ quốc phòng Anh xây dựng khung MODAF, NATO cũng phát triển khung NAF cho riêng mình. Các khung kiến trúc ZACHMAN hay TOGAF cũng được xếp vào nhóm này
8. 8 b. Khung kiến trúc phát triển bởi các tập đoàn Đây là những khuôn khổ chủ yếu được phát triển bởi các nhà cung cấp phần mềm. Họ cung cấp kinh nghiệm và các phương pháp thực hành tốt nhất thu được từ các dự án kiến trúc trong quá khứ, dưới hình thức của các khung kiến trúc. Trong danh sách 27 công ty được giải “Annual Enterprise & IT Architecture Excellence Award 2012” có thể thấy những tên tuổi lớn như Credit Suisse, Intel, v.v... Trong các công ty lớn hiện có một chức danh: Nhà kiến trúc doanh nghiệp (Enterprise Architect). Các công ty tin học, tư vấn lớn cũng có các sản phẩm là các khung kiến trúc, phương pháp luận, giải pháp phần mềm, dịch vụ tư vấn xây dựng kiến trúc: IBM, Microsoft, Gartner... c. Các khung kiến trúc khác Nhóm này bao gồm nhiều khuôn khổ tập trung vào các ngành công nghiệp đặc biệt, cung cấp thêm các tính năng và chức năng như khung kiến trúc NIH.. 1.3. Các phương pháp xây dựng khung kiến trúc tổng thể 1.3.1. Khung kiến trúc ZACHMAN Khung kiến trúc được đặt theo tên tác giả John Zachman, người đầu tiên phát triển các khái niệm kiến trúc tổng thể trong những năm 1980 tại IBM. Ông xác định sự cần thiết phải có một kế hoạch chi tiết để xác định và kiểm soát sự tích hợp của hệ thống và các thành phần của hệ thống đó. Năm 1987 ông giới thiệu “Khung kiến trúc các hệ thống thông tin" (Framework for Information Systems). Về bản chất, khung Zachman không phải là một khung kiến trúc như các khái niệm, định nghĩa chúng ta đã tìm hiểu, mà là một dạng lược đồ. Nó không cung cấp phương pháp luận để xây dựng kiến trúc, mà cung cấp một phương pháp luận để mô tả kiến trúc cần xây dựng. Lược đồ mô tả Zachman là một ma trận sáu hàng sáu cột. Trong đó, sáu cột dựa trên sáu nội dung cơ bản trong trao đổi và giao tiếp: Cái gì (What), Như thế nào (How), Ở đâu (Where), Ai (Who), Khi nào (When) và Tại sao (Why). Việc lồng ghép các câu hỏi này cho phép mô tả các hệ
9. 9 thống phức tạp như Kiến trúc Tổng thể. Các hàng thể hiện các khung nhìn theo quan điểm của sáu chủ thể trong tổ chức: Người lập kế hoạch (Planner) với mối quan tâm về Phạm vi (Scope), Chủ đầu tư (Owner) với mối quan tâm về Mô hình nghiệp vụ (Bussiness Model), Người thiết kế hệ thống (Designer) với mối quan tâm về Mô hình hệ thống (System Model), Người xây dựng hệ thống (Builder) với mối quan tâm về Mô hình công nghệ (Technology Model), Các nhà thầu phụ (Subcontractor) hoặc các nhà lập trình (Programmer) với mối quan tâm về Thuyết minh chi tiết (Detailed Presentation), và các Người sử dụng (Users) với mối quan tâm về Chức năng (Functioning Enterprise). Hình 1. 1: Lược đồ khung Zachman 1.3.2. Khung kiến trúc TOGAF Các thành phần chính của TOGAF - Phương pháp phát triển kiến trúc (Architecture Development Method – ADM). - Các kỹ thuật và các hướng dẫn sử dụng ADM (ADM Guidelines & Techniques). - Khung nội dung kiến trúc (Architecture Content Framework).
10. 10 - Kho tư liệu kiến trúc và giải pháp của tổ chức (Enterprise Continuum). - Các mô hình tham chiếu (Reference Models). - Khung năng lực kiến trúc (Architecture Capability Framework). Hình 1. 2: Các thành phần chính của TOGAF 1.3.3. Khung kiến trúc FEAF FEAF được phát triển bởi Hội đồng CIO nhằm tăng cường khả năng tương tác, sự phát triển của các quy trình chung và chia sẻ dữ liệu giữa các cơ quan thuộc chính phủ liên bang và các tổ chức chính phủ khác. FEAF được coi là một công cụ cho phép Chính phủ liên bang: Tổ chức thông tin trong toàn liên bang Tăng cường chia sẻ dữ liệu trong các cơ quan của Liên bang Giúp cho các tổ chức liên bang phát triển kiến trúc của mình Giúp các tổ chức liên bang phát triển nhanh chóng quy trình đầu tư IT của mình Phục vụ nhu cầu công chúng và khách hàng tốt hơn, nhanh hơn và giá thành hợp lý hơn.