Phó Tổng Giám đốc Đặng Thị Thủy, Chủ tịch Hội đồng nghiệm thu. Ảnh: Kho bạc Nhà nước |
Theo thông tin từ Kho bạc Nhà nước, Hội đồng Khoa học và Công nghệ Kho bạc Nhà nước mới đây đã tiến hành nghiệm thu đề tài khoa học “Nghiên cứu áp dụng giải pháp mã hoá dữ liệu và che dấu thông tin nhằm tăng cường an toàn thông tin cho các hệ thống ứng dụng tại Kho bạc Nhà nước”, do Cục Công nghệ thông tin chủ trì nghiên cứu.
Về phương diện lý luận, đề tài đã hệ thống được tổng quan chung về dữ liệu thông tin, an toàn thông tin, mã hóa và che giấu thông tin.
Những vấn đề liên quan đến an toàn thông tin như phân loại ATTT; mối liên hệ giữa rủi ro, tài sản, nguy cơ, lỗ hổng; một số nhóm biện pháp cơ bản để bảo vệ thông tin; Tiêu chí xác định cấp độ ATTT cho hệ thống thông tin và yêu cầu kỹ thuật ATTT cho các hệ thống thông tin.
Đồng thời xác định được các phương pháp áp dụng cũng như những yếu tố ảnh hưởng đến mã hoá dữ liệu và che dấu thông tin.
Đây là cơ sở lý thuyết cần thiết cho việc phân tích, đánh giá thực trạng ứng dụng và nhu cầu áp dụng mã hoá dữ liệu, che gấu thông tin tại Kho bạc Nhà nước. Thông qua nghiên cứu kinh nghiệm một số vụ rò rỉ dữ liệu tại Việt Nam và trên thế giới; bài học kinh nghiệm từ công tác bảo đảm ATTT tại Ngân hàng SHB, nhóm tác giả làm nổi bật lên được sự cần thiết phải tăng cường ATTT cho các hệ thống ứng dụng tại Kho bạc Nhà
Đề tài đã phân tích được cụ thể hiện trạng và đánh giá rõ một số điểm yếu của hệ thống CNTT tại Kho bạc Nhà nước để đề xuất hướng giải quyết như các ứng dụng dạng Client/Server chưa mã hóa đường truyền; mã hóa mật khẩu lưu dạng hàm băm SHA1 không còn an toàn; giải thuật đang sử dụng TLS 1.1 cần phải nâng cấp lên TLS 1.2; CSDL Oracle đang sử dụng vẫn còn các “lỗ hổng” bảo mật chưa được khắc phục sự cố..., đồng thời đề tài đã chỉ ra nguyên nhân chủ và khách quan gây hạn chế để có những đề xuất giải quyết vấn đề.
Đối với những đề xuất, giải pháp, kiến nghị: Nhóm tác giả đã đề xuất khả năng thực hiện các giải pháp mã hóa dữ liệu và che dấu thông tin cho cơ sở dữ liệu Oracle với 2 tính năng trong các giải pháp về ATTT của hãng Oracle: đó là Oracle Transparents Data Encryption kết hợp với thiết bị bảo mật Hardware Security Module và Oracle Redaction.
Bên cạnh đó, nhóm tác giả đã đề xuất thêm 3 nhóm giải pháp để tăng cường bảo mật và an toàn thông tin bao gồm các giải pháp về chính sách, về công nghệ và nhân sự. Đồng thời, đưa ra các kiến nghị cho Bộ TT&TT, Bộ Tài chính để giải quyết cơ bản một số vướng mắc cho các giải pháp ATTT.