LÝ LUẬN CƠ BẢN VỀ AN NINH PHI TRUYỀN THỐNG, AN TOÀN THÔNG TIN, AN NINH MẠNG
An ninh phi truyền thống
Ngày nay, an ninh không chỉ liên quan đến chiến tranh và hòa bình mà còn có mối quan hệ tương hỗ với ổn định và phát triển Mặc dù chiến tranh lạnh đã kết thúc, vẫn tồn tại nhiều mối đe dọa an ninh toàn cầu như các cuộc xung đột khu vực, khủng hoảng kinh tế, bệnh tật và tội phạm mạng Những vấn đề này ảnh hưởng sâu sắc đến an ninh quốc tế, quốc gia, chính trị, quân sự, kinh tế và ngoại giao Cách tiếp cận truyền thống về an ninh quốc gia tập trung vào sự tồn tại và phát triển của chế độ xã hội, nhấn mạnh sự tự do tương đối không có chiến tranh và khả năng tránh né các cuộc xung đột tiềm tàng.
An ninh quốc gia bao gồm an ninh truyền thống, được cấu thành từ an ninh chính trị và an ninh quân sự Điều này đảm bảo sự tồn tại của chế độ cai trị, bảo vệ chủ quyền quốc gia và duy trì lợi ích quốc gia.
Mở rộng: An ninh quốc gia = an ninh cứng = an ninh chính trị + an ninh quân sự + an ninh kinh tế + an ninh văn hóa tư tưởng
An ninh truyền thống là an ninh quốc gia (an ninh cứng), chủ yếu sử dụng quyền lực chính trị và vũ trang để đảm bảo an ninh (7)
1.1.2 An ninh phi truyền thống
Tư duy mới về an ninh quốc gia đang được nhiều quốc gia và chính phủ áp dụng, bao gồm cả an ninh truyền thống như chính trị và quân sự, lẫn an ninh phi truyền thống như kinh tế, văn hóa, xã hội, con người, doanh nghiệp, môi trường, lương thực và năng lượng Khái niệm này đang phát triển trong bối cảnh toàn cầu hóa mạnh mẽ, cùng với các thách thức như khủng bố, dịch bệnh, thiên tai và khủng hoảng kinh tế - tài chính, ảnh hưởng đến cả khu vực và toàn cầu.
AN NINH QUỐC GIA = PHÁT TRIỂN BỀN VỮNG QUỐC GIA + ĐỘC LẬP + CHỦ QUYỀN
AN NINH CON NGƯỜI = AN TOÀN + TỰ DO
7 Thượng tướng, TS Nguyễn Văn Hưởng, PTS TS Hoàng Đình Phi; Tổng quan về quản trị an ninh phi
AN NINH DOANH NGHIỆP = KNCTBV – (NỖI SỢ + MỐI NGUY + NGUY HIỂM + TỔN THẤT) (8)
An ninh, trong tiếng Anh gọi là security, ám chỉ mức độ an toàn cao nhất cho chủ thể Trong tiếng Trung, an ninh và an toàn thường được sử dụng chung với từ an toàn (安全), có nghĩa là an toàn, bảo mật An ninh thể hiện sự tồn tại, bình an, không có nỗi lo hay rủi ro, trong khi mất an ninh (insecurity) đồng nghĩa với nguy hiểm và tổn thất Lịch sử cho thấy rằng con người không thể có cuộc sống ổn định và phát triển bền vững nếu không có an ninh, và một quốc gia cũng không thể phát triển bền vững nếu không đảm bảo an ninh cho người dân và doanh nghiệp trong mọi lĩnh vực.
An ninh truyền thống là khái niệm quen thuộc, gắn liền với an ninh quốc gia, xuất phát từ các nghiên cứu về an ninh, chiến tranh và hòa bình Theo Ayoob, an ninh được định nghĩa qua các tình huống bị tổn thương, đe dọa cấu trúc nhà nước cả bên trong lẫn bên ngoài Luật An ninh quốc gia của Việt Nam năm 2004 xác định rằng an ninh quốc gia liên quan đến sự ổn định và phát triển bền vững của chế độ XHCN, cũng như sự bất khả xâm phạm của lãnh thổ Do đó, an ninh truyền thống có thể hiểu là an ninh quốc gia theo cách tiếp cận lấy nhà nước làm trung tâm.
Quan điểm về an ninh quốc gia đã thay đổi đáng kể từ khi kết thúc Chiến tranh Lạnh, với những sự kiện quan trọng như sự sụp đổ của Bức tường Berlin và sự tan rã của Liên Xô Tình hình chính trị toàn cầu hiện nay trở nên phức tạp hơn, với sự gia tăng xung đột giữa các quốc gia, sắc tộc và tôn giáo Đồng thời, thế giới đang trải qua quá trình hội nhập nhanh chóng nhờ vào sự phát triển mạnh mẽ của công nghệ mới, đặc biệt là công nghệ thông tin và truyền thông, cũng như các dòng chảy thông tin, ý tưởng và thương mại.
8 Thượng tướng, TS Nguyễn Văn Hưởng, PTS TS Hoàng Đình Phi; Tổng quan về quản trị an ninh phi truyền thống, 2015
9 Nguyễn Bách Khoa, Hoàng Đình Phi, Tổng quan về phát triển bền vững, Khoa QTKD (HSB Hanoi School of Business) thuộc ĐHQGHN, 2014
10 Ayoob M., Critical Security Studies: Concept & Cases, University of Minnesota Press, 1997
Luật an ninh quốc gia năm 2004 đã chỉ ra rằng biến đổi khí hậu, thiên tai, dịch bệnh cùng với các vấn đề chính trị, kinh tế và xã hội đang đặt ra những thách thức lớn đối với an ninh truyền thống và phi truyền thống Những mối nguy này, nếu không được nhận diện và có giải pháp ứng phó kịp thời, có thể gây ra những tác động tiêu cực nghiêm trọng mà không cần đến vũ khí Trong hai thập kỷ qua, các chính trị gia đã nhận thức rõ rằng các vấn đề như an ninh con người, an ninh lương thực, an ninh năng lượng, dịch bệnh, ô nhiễm môi trường, khủng bố và tội phạm mạng cần được ưu tiên trong chính sách an ninh quốc gia Trong bối cảnh khủng hoảng kinh tế và thiên tai, thế giới vẫn phải đối phó với các mối đe dọa như IS và làn sóng di cư từ Châu Phi sang Châu Âu Do đó, việc quản trị tốt an ninh truyền thống và phi truyền thống là vô cùng quan trọng để đảm bảo an ninh toàn cầu và an ninh của từng quốc gia.
Bảng 1.1: So sánh an ninh truyền thống và an ninh phi truyền thống
AN NINH TRUYỀN THỐNG (ANTT)
THỐNG (AN PTT) ĐIỂM CHUNG ĐIỂM MỚI
Gắn với an ninh quốc gia
Cách tiếp cận lấy nhà nước làm trung tâm
Gắn với an ninh nhà nước, an ninh con người và an ninh doanh nghiệp Cách tiếp cận lấy con người làm trung tâm
Hai bộ phận hợp thành an ninh quốc gia Mối quan hệ biện chứng
Khái niệm mới phát triển từ khi hội nhập toàn cầu
Mục tiêu chính của nhà nước là đảm bảo sự ổn định và phát triển bền vững (PTBV), đồng thời duy trì độc lập, chủ quyền và thống nhất lãnh thổ Điều này không chỉ hướng tới sự ổn định của nhà nước mà còn bảo vệ lợi ích của con người (cộng đồng) và doanh nghiệp.
Chính phủ của dân, do dân, vì dân
An ninh là lợi ích chung
Phát triển theo xu thế hội nhập toàn cầu
Con người (cộng đồng) Doanh nghiệp
Mối quan hệ biện chứng Đổi mới nhận thức
Quân đội Công an Dân quân tự vệ
Sức mạnh, nguồn lực cộng đồng
Mối quan hệ biện chứng
Sự tồn tại của Đảng cầm quyền và thể chế nhà nước do Đảng cầm quyền quyết định
Quốc tế khu vực NN
Con người (cá nhân – cộng đồng)
Mối quan hệ biện chứng
Tác động đa chiều, đa cấp độ, đa lĩnh vực, xuyên biên giới…
Nghiên cứu về an ninh và an ninh phi truyền thống đang phát triển mạnh mẽ dựa trên các tư tưởng tiến bộ như chủ nghĩa duy vật lịch sử, chủ nghĩa hiện thực, chủ nghĩa tự do và chủ nghĩa kiến tạo Nhiều nhà khoa học hiện nay áp dụng cách tiếp cận lấy con người làm trung tâm để phát triển nghiên cứu an ninh phi truyền thống, nhấn mạnh các vấn đề an ninh đe dọa trực tiếp đến sự tồn tại và phát triển của con người và nhà nước trong bối cảnh toàn cầu hóa, biến đổi toàn cầu và biến đổi khí hậu Các lĩnh vực quan trọng bao gồm an ninh doanh nghiệp liên quan đến an ninh kinh tế, an ninh con người và sức khỏe, an ninh lương thực, an ninh môi trường, an ninh năng lượng, an ninh văn hóa và giáo dục, cũng như an ninh thông tin.
An ninh mạng
Ngày nay, sự phát triển của công nghệ thông tin đang dẫn dắt thế giới vào cuộc cách mạng công nghiệp 4.0, với điện toán đám mây và các trung tâm dữ liệu khổng lồ Công nghệ này mang lại khả năng truy cập mọi thứ chỉ với một thiết bị kết nối internet (IoT).
Máy tính có phần cứng lưu trữ dữ liệu và được quản lý bởi hệ điều hành Hầu hết các máy tính, đặc biệt là trong doanh nghiệp, đều được kết nối với mạng LAN và Internet Nếu không được trang bị hệ thống bảo vệ, máy tính và mạng sẽ dễ dàng trở thành mục tiêu tấn công.
Quản trị an ninh phi truyền thống là yếu tố quan trọng để phát triển bền vững trong bối cảnh công nghệ hiện đại Việc không khóa cửa phòng làm cho máy tính trở thành mục tiêu dễ dàng cho virus, worms và người dùng trái phép Những mối đe dọa này có thể tấn công vào máy tính hoặc toàn bộ hệ thống của chúng ta bất cứ lúc nào, vì vậy cần có biện pháp bảo vệ hiệu quả để đảm bảo an toàn thông tin.
ANM là lĩnh vực đang thu hút sự quan tâm lớn trong ngành công nghệ thông tin, với nhu cầu trao đổi thông tin ngày càng tăng Mục tiêu của kết nối mạng là cho phép mọi người sử dụng chung tài nguyên từ các vị trí địa lý khác nhau Tuy nhiên, việc này cũng dẫn đến sự phân tán tài nguyên và gia tăng rủi ro bị xâm phạm, gây mất mát dữ liệu và thông tin quý giá Khi kết nối mở rộng, nguy cơ tấn công cũng tăng lên, điều này làm nổi bật tầm quan trọng của việc bảo vệ thông tin, từ đó ANM ra đời như một giải pháp cần thiết.
Khi User A gửi tập tin cho User B trong nước Việt Nam, rủi ro mất mát dữ liệu nhỏ hơn so với việc gửi cho User C ở Mỹ, nơi mà hậu quả có thể lan rộng toàn cầu Một lỗ hổng bảo mật dù nhỏ cũng có thể trở thành mối đe dọa nghiêm trọng nếu bị khai thác bởi những hacker có kỹ thuật cao Thông thường, hình ảnh về hacker gắn liền với các cuộc tấn công mạng, như việc thay đổi giao diện trang web, lạm dụng thẻ tín dụng, hay đánh cắp thông tin nhạy cảm Tuy nhiên, không phải tất cả hacker đều xấu; nhiều người trong số họ là chuyên gia bảo mật, thực hiện kiểm thử lỗ hổng và phát triển các biện pháp phòng vệ cho hệ thống, đặc biệt trong lĩnh vực CEH (Certified Ethical Hacker) Họ đóng vai trò quan trọng trong việc bảo vệ an toàn thông tin cho người dùng.
ANM có nghĩa là bảo vệ hệ thống mạng và máy tính khỏi sự phá hoại phần cứng hoặc chỉnh sửa dữ liệu mà không có sự cho phép An ninh mạng cung cấp giải pháp và chính sách bảo vệ máy tính, hệ thống mạng khỏi những người dùng trái phép và phần mềm độc hại An ninh mạng của HSB đảm bảo hệ thống hoạt động thông suốt, cung cấp dịch vụ và ứng dụng cho cán bộ giảng viên trong Khoa.
ANM là quá trình mà quản trị viên hệ thống mạng thực hiện các biện pháp bảo vệ dữ liệu khỏi lỗ hổng bảo mật phần mềm, phần cứng và virus trong các ứng dụng, website, server và dữ liệu Mục tiêu của ANM là ngăn chặn truy cập trái phép, sử dụng sai mục đích và bảo vệ thông tin khỏi sửa đổi, hủy hoại hoặc tiết lộ không đúng cách, đảm bảo mọi thông tin và dữ liệu luôn trong tình trạng an toàn nhất.
ANM tiếp cận theo góc nhìn phi truyền thống:
AN NINH MẠNG = (AN TOÀN + ỔN ĐỊNH + PHÁT TRIỂN BỀN VỮNG) – (CHI PHÍ QUẢN TRỊ RỦI RO + CHI PHÍ MẤT DO KHỦNG HOẢNG + CHI PHÍ KHẮC
Đảm bảo an toàn thông tin là yếu tố quan trọng, với việc lưu trữ và truyền tải dữ liệu mà không bị mất mát hay thay đổi trái phép, nhằm bảo vệ tính bảo mật trên mạng Bên cạnh đó, sự ổn định trong việc chuyển giao thông tin cũng cần được duy trì, đảm bảo rằng dữ liệu được truyền đi một cách liên tục và không bị gián đoạn đến tay người dùng.
Phát triển bền vững: Chiến lƣợc, chính sách, luật pháp, quy hoạch đảm bảo an toàn thông tin lưu truyển trên hệ thống mạng
Chi phí quản trị rủi ro bao gồm đầu tư vào hạ tầng mạng, thiết bị bảo mật, hệ thống phần mềm bảo mật và chi phí nghiên cứu các giải pháp đảm bảo an ninh mạng.
Chi phí mất mát do khủng hoảng an ninh mạng bao gồm các khoản chi phí liên quan đến việc mất thông tin, thông tin sai lệch, gián đoạn hoạt động và thiệt hại về thiết bị phần cứng.
Chi phí khắc phục khủng hoảng là khoản chi phí cần thiết để xử lý các thiệt hại do hacker xâm nhập và chiếm quyền điều khiển hệ thống, gây ra sự nhiễu loạn thông tin, làm giảm uy tín của tổ chức và gây thiệt hại tài chính cho cá nhân trong tổ chức.
1.2.2 Các yếu tố được bảo vệ trong hệ thống mạng
Dữ liệu là yếu tố quan trọng đầu tiên cần được bảo vệ trên hệ thống máy tính, nhằm đảm bảo tính bảo mật, tính toàn vẹn và tính kịp thời của thông tin Trong đó, yêu cầu về bảo mật thường được xem là ưu tiên hàng đầu đối với việc lưu trữ thông tin.
Trong bài giảng "Quản trị rủi ro và an ninh doanh nghiệp" của PGS.TS Hoàng Đình Phi (HSB, 2015), nhấn mạnh rằng mặc dù thông tin có thể không được giữ bí mật, nhưng tính toàn vẹn của thông tin vẫn rất quan trọng Không ai, dù là cá nhân hay tổ chức, muốn lãng phí tài nguyên và thời gian để lưu trữ thông tin nếu không chắc chắn về độ chính xác của chúng.
Yếu tố thứ hai liên quan đến tài nguyên hệ thống; khi các kẻ tấn công chiếm quyền kiểm soát hệ thống, chúng sẽ tận dụng các máy này để chạy các chương trình như dò tìm mật khẩu nhằm tấn công vào mạng.
Danh tiếng của tổ chức bị ảnh hưởng nghiêm trọng khi dữ liệu bị đánh cắp, dẫn đến sự nghi ngờ lẫn nhau Việc chỉnh sửa thông tin có thể làm giảm uy tín của đơn vị, đặc biệt là tại HSB, nơi mà hệ thống lưu trữ thông tin bài giảng, giảng viên, học viên và các đánh giá rất quan trọng Nếu thông tin trong phần mềm đào tạo sau đại học bị thay đổi, hậu quả sẽ nghiêm trọng đối với học viên và uy tín của HSB sẽ bị tổn hại đáng kể.
An toàn thông tin
1.3.1 Các thuật ngữ trong an toàn thông tin Để có thể nhận thức đƣợc các mối nguy hiểm chúng ta cần hiểu một số thuật ngữ sau trong lĩnh vực an toàn thông tin, các thuật ngữ này sẽ giúp nhà quản trị tìm hiểu các lỗ hổng, đọc và nghiên cứu các tài liệu mới nhất về an toàn thông tin, và cách phòng ngừa các rủi ro cho hệ thống mình quản trị
Mối đe dọa (threat) đối với an toàn thông tin bao gồm nhiều yếu tố như hacker, virus, sự cố máy tính do hư hỏng phần cứng, lỗi phần mềm, cũng như các nguyên nhân từ thiên tai và hỏa hoạn Những yếu tố này có thể gây ra rủi ro nghiêm trọng cho dữ liệu và hệ thống thông tin.
Vulnerability là những điểm yếu trong bảo mật hệ thống, bao gồm việc thiếu các bản vá lỗi bảo mật và sử dụng chính sách mật khẩu yếu Những điểm nhạy cảm này có khả năng bị các mối đe dọa khai thác, dẫn đến nguy cơ mất an toàn thông tin.
Exploit là quá trình khai thác các lỗ hổng bảo mật nhằm đánh cắp thông tin, và quá trình này có thể được thực hiện bởi các tác nhân bên ngoài hoặc bên trong hệ thống.
- Remote exploit: là quá trình khai thác các lỗ hổng bảo mật từ xa ở trên máy tính khác hay từ internet
Local exploit là quá trình khai thác các lỗ hổng bảo mật trực tiếp trên hệ thống nhằm nâng cao quyền hạn của tài khoản hoặc bẻ khóa mật khẩu ứng dụng.
Các mục tiêu đánh giá là những đối tượng có khả năng chứa lỗ hổng bảo mật, có thể bị tấn công Những mục tiêu này bao gồm máy chủ, máy trạm, ứng dụng và trang web.
- Attack: là thuật ngữ chỉ tiến trình tấn công vào mục tiêu
1.3.2 Những kỹ thuật tấn công
Có nhiều công cụ và phương pháp để phát hiện và khai thác lỗ hổng bảo mật trong hệ thống, bao gồm các kỹ thuật như trojan, backdoor, sniffer, rootkit, và khai thác lỗi tràn bộ đệm (Buffer Overflow) hay SQL Injection Hacker thường tập trung vào việc tìm kiếm các lỗ hổng bảo mật ở những thành phần quan trọng của hệ thống.
Hệ điều hành thường được cài đặt với cấu hình mặc định, thiếu các tùy biến cần thiết để nâng cao tính an toàn, khiến cho máy tính dễ bị tấn công Những thiết bị không được cập nhật bản vá hoặc cài đặt chương trình sửa lỗi bảo mật sẽ trở thành mục tiêu hấp dẫn cho các hacker Bên cạnh đó, các ứng dụng cài đặt trên máy tính cũng có thể chứa lỗ hổng bảo mật, tạo điều kiện cho kẻ tấn công chiếm quyền điều khiển từ xa.
Shrink-wrap Code là các thành phần mở rộng trong ứng dụng mà người dùng thường không nhận biết, nhưng lại là mục tiêu của hacker Chẳng hạn, chức năng macro trong MS Word cho phép kẻ xấu thực thi mã độc trong ứng dụng xử lý văn bản Ngoài ra, các lỗ hổng Active X cũng cho phép hacker thực hiện lệnh từ xa thông qua trình duyệt của người dùng.
Lỗi cấu hình hệ thống là nguyên nhân chủ yếu dẫn đến các cuộc tấn công mạng, đặc biệt là khi quyền truy cập không được thiết lập chặt chẽ Điều này có thể tạo điều kiện cho hacker hoặc người dùng không có quyền sao chép và thực thi các chương trình trái phép.
Các cuộc tấn công mạng được chia thành hai trạng thái hoạt động chính: bị động (passive) và chủ động (active) Tấn công bị động thường khó phát hiện hơn vì không tương tác trực tiếp với hệ thống mà chỉ thu thập thông tin một cách âm thầm Một ví dụ điển hình của tấn công bị động là nghe lén hay sniffing, trong đó các hacker được gọi là sniffer sẽ tập trung vào việc xâm phạm tính riêng tư của dữ liệu.
Các cuộc tấn công chủ động tác động trực tiếp vào hệ thống xác thực hoặc đường truyền, dẫn đến sự thay đổi tính toàn vẹn và ảnh hưởng đến khả năng đáp ứng của dữ liệu Một số hình thức tấn công phổ biến trong loại này bao gồm DDoS và quét cổng (Scan Port).
Tấn công mạng có thể được phân loại theo vị trí địa lý thành hai loại: bên trong (inside) và bên ngoài (outside) Những kẻ tấn công bên trong thường là nhân viên hoặc những người có liên quan trực tiếp đến tổ chức, và tác động của họ rất lớn, với 80% nguyên nhân mất mát thông tin xuất phát từ các thành viên nội bộ Ngược lại, kẻ tấn công bên ngoài thường đông đảo hơn, có kỹ năng cao, và thường nhắm vào những hệ thống ít được bảo vệ hoặc có kết nối với môi trường công cộng, như máy chủ cơ sở dữ liệu và trang web.
Hình 1.1: Phân loại các dạng tấn công dựa trên trạng thái hoạt động và vị trí địa lý
1.3.3 Các giai đoạn tấn công
Hiện tại, thuật ngữ "tấn công" (xâm nhập, công kích) vẫn chưa có định nghĩa chính xác Mỗi chuyên gia trong lĩnh vực an toàn thông tin (ATTT) đều có cách hiểu riêng về khái niệm này.
Ví dụ, ―xâm nhập – là tác động bất kỳ đƣa hệ thống từ trạng thái an toàn vào tình trạng nguy hiểm‖
Xâm nhập được định nghĩa là hành động phá hủy chính sách an toàn thông tin, hoặc là bất kỳ tác động nào làm suy giảm tính toàn vẹn, tính bí mật và tính sẵn sàng của hệ thống cùng với thông tin được xử lý trong hệ thống.
THỰC TRẠNG AN TOÀN THÔNG TIN VÀ AN NINH MẠNG HSB
Giới thiệu chung Khoa quản trị và Kinh doanh (HSB)
Khoa Quản trị và Kinh doanh (HSB) thuộc Đại học Quốc gia Hà Nội (VNU) được thành lập vào ngày 13/07/1995 theo quyết định của cố giáo sư Nguyễn Văn Đạo, giám đốc đầu tiên của VNU Là mô hình trường đào tạo kinh doanh và quản trị đầu tiên tại Việt Nam, HSB được trao quyền tự chủ cao trong quản trị và tài chính Từ khi thành lập, HSB chưa bao giờ sử dụng ngân sách nhà nước mà tự phát triển học thuật và cơ sở hạ tầng đạt chuẩn quốc tế thông qua tài trợ và học phí từ học viên Với những nỗ lực và thành tích đạt được, HSB đã nhận được sự quan tâm và ủng hộ từ lãnh đạo Đảng, Nhà nước và các bộ, ban ngành trong suốt 22 năm qua, đồng thời vinh dự tiếp đón nhiều đồng chí lãnh đạo quan trọng như Lê Khả Phiêu, Nguyễn Phú Trọng và Vũ Khoan.
Trong những năm qua, dưới sự quan tâm của Ban Chủ nhiệm Khoa, cơ sở hạ tầng mạng của HSB đã được cải thiện đáng kể Hệ thống máy tính cá nhân được nâng cấp với cấu hình cao, trong khi hệ thống mạng được đầu tư theo đúng quy chuẩn Hệ thống máy chủ cũng được trang bị đầy đủ để quản trị một mạng lưới an toàn và bảo mật Đội ngũ nhân viên IT thường xuyên tham gia các khóa tập huấn về an toàn thông tin tại ĐHQGHN.
Trong hệ thống mạng, mỗi máy chủ đảm nhận một chức năng riêng biệt, giúp quản trị viên nâng cao khả năng ứng phó và bảo mật trước các tình huống mất an toàn thông tin Các gói tin được lọc qua máy chủ ISA và Firewall trước khi đến tay người dùng, đồng thời kiểm soát các URL khi truy cập từ mạng nội bộ, thực hiện lọc web và cảnh báo khi xảy ra sự cố.
Sơ đồ hệ thống mạng nội bộ HSB
HSB sở hữu một phòng server hiện đại, được trang bị đầy đủ thiết bị an ninh mạng và hệ thống lưu trữ dữ liệu tập trung Một số server tại đây được ảo hóa nhằm cài đặt các ứng dụng thiết yếu, phục vụ cho việc học tập và nghiên cứu của học viên cũng như giảng viên tại HSB.
Hình 2.1: Sơ đồ hệ thống mạng của HSB
Trong những năm gần đây, Ban Chủ nhiệm đã ưu tiên nâng cấp trang thiết bị học tập, đặc biệt là hệ thống máy tính và mạng Mỗi máy chủ được trang bị các đặc tính và công dụng riêng, giúp bảo mật thông tin nội bộ HSB hiệu quả hơn Điều này cho phép quản trị viên kiểm soát luồng dữ liệu vào ra, chặn các IP không an toàn và các website tiềm ẩn rủi ro.
MỘT SỐ GIẢI PHÁP NHẰM ĐẢM BẢO AN TOÀN THÔNG TIN VÀ AN
Một số giải pháp
3.1.1 Nâng cao năng lực quản trị ATTT, an ninh mạng tại HSB
Theo báo cáo gần đây, lực lượng nhân sự ANM tại HSB còn thiếu hụt và chưa được đào tạo chuyên sâu, dẫn đến nhiều vấn đề trong công tác bảo đảm an toàn và an ninh thông tin mạng Điều này trở nên nghiêm trọng hơn khi tội phạm mạng ngày càng gia tăng và trở nên tinh vi hơn.
Để đảm bảo an toàn cho ANM, cần duy trì sự quan tâm thường xuyên, chú trọng đào tạo nhân lực và hợp tác với các tổ chức độc lập nhằm đánh giá rủi ro Việc tư vấn chuyên sâu về đảm bảo an toàn ANM cũng là điều cần thiết.
Đào tạo nhân viên về tầm quan trọng của bảo mật là rất cần thiết, giúp họ hiểu rõ các biện pháp và quy định bảo mật của đơn vị Việc này không chỉ nâng cao nhận thức mà còn trở thành một phần thiết yếu trong quy trình dịch vụ, đảm bảo an toàn thông tin và bảo vệ dữ liệu khách hàng.
- Cung cấp các kiến thức nền tảng về an toàn thông tin và đảm bảo an toàn thông tin cho toàn đơn vị;
- Cung cấp các kiến thức để học viên có thể vận hành, quản trị, giám sát hệ thống một cách an toàn;
HSB cung cấp cho người dùng những kỹ năng cần thiết để thiết lập và áp dụng các giải pháp an toàn thông tin cơ bản, giúp họ thực hiện hiệu quả trong thực tế.
Về quản lý và tổ chức
- Xây dựng quy chế chính sách, tiêu chuẩn an toàn bảo mật thông tin cho đơn vị
- Xây dựng cơ chế quản lý tài nguyên số, các nguy cơ tương ứng đối với tài nguyên số
- Xây dựng cơ chế quản lý và kiểm soát ATTT với quy trình quản trị hệ thống và ứng dụng các phần mềm quản lý chính sách
Kiểm soát truy cập là quá trình xác thực người dùng trước khi cấp quyền truy cập Tất cả các thiết bị không đáp ứng tiêu chuẩn an ninh sẽ bị chặn và cô lập, đồng thời quản trị viên sẽ nhận được thông báo kịp thời.
- Firewall: Triển khai ở vùng mạng lỗi, giám sát luồng dữ liệu, chặn kết nối bất hợp pháp;
- Lọc nội dung: Lọc cấm các truy xuất vào dữ liệu không phù hợp cho công việc;
- Xây dựng hệ thống phát hiện ngăn chặn xâm nhập, antivirus, antispyware, antispam…;
- Mã hóa dữ liệu, xây dựng hạ tầng KPI;
- Quét tìm, phát hiện lỗ hổng bảo mật hệ thống;
- Thiết lập hệ thống cung cấp các bản vá lỗi bảo mật;
- Xây dựng cơ chế dự phòng và phục hồi backup dữ liệu đảm bảo tính liên tục của hệ thống
3.1.2 Sử dụng ISO 27001 trong công tác quản lý an toàn thông tin
3.1.2.1 Nhu cầu về tự đánh giá an toàn thông tin
Theo Nghị định 64-2007/NĐ-CP, an toàn thông tin bao gồm quản lý, nghiệp vụ và kỹ thuật nhằm bảo vệ và khôi phục hệ thống thông tin trước các nguy cơ tự nhiên và nhân tạo Việc bảo vệ thông tin, tài sản và con người trong hệ thống thông tin là cần thiết để đảm bảo các hệ thống hoạt động đúng chức năng, phục vụ đúng đối tượng một cách sẵn sàng, chính xác và tin cậy An toàn thông tin không chỉ bao gồm bảo vệ và bảo mật thông tin mà còn liên quan đến an toàn dữ liệu, an toàn máy tính và an ninh mạng.
Để xác định độ tin cậy của các sản phẩm và hệ thống, cũng như việc áp dụng các biện pháp an toàn phù hợp, việc đánh giá an toàn thông tin trở nên cần thiết Điều này không chỉ giúp cung cấp bằng chứng về tính an toàn mà còn đáp ứng nhu cầu thực tế của người dùng trong việc đảm bảo an toàn cho các sản phẩm và hệ thống.
Nhiều người sử dụng CNTT thiếu kiến thức và chuyên môn cần thiết để đánh giá sự an toàn của các sản phẩm và hệ thống CNTT, do đó không thể chỉ dựa vào cam kết của nhà phát triển Để nâng cao độ tin cậy, người dùng cần thực hiện đánh giá an toàn thông tin, giúp xác định mức độ an toàn và tin cậy của sản phẩm trước khi sử dụng Đánh giá này không chỉ giúp người dùng nhận diện các rủi ro tiềm ẩn mà còn đảm bảo rằng các sản phẩm và hệ thống áp dụng các biện pháp an toàn phù hợp Hơn nữa, việc đánh giá an toàn thông tin còn hỗ trợ doanh nghiệp trong việc phát triển sản phẩm và hệ thống CNTT đáp ứng các yêu cầu về an toàn Để thực hiện đánh giá an toàn thông tin hiệu quả, cần nắm rõ các yêu cầu, tiêu chí và phương pháp liên quan.
Việc áp dụng các tiêu chí đánh giá giúp nâng cao tính tin cậy của mô hình đánh giá sự phù hợp bảo đảm an toàn (SACA) Để đạt được sự nhất quán và khách quan trong kết quả đánh giá, cần có sự tham gia của các chuyên gia có kinh nghiệm và kiến thức chuyên sâu Một quy trình công nhận độc lập sẽ được thực hiện để xem xét cẩn thận các kết quả đánh giá, từ đó cung cấp chứng nhận về mức độ an toàn cho các sản phẩm, dịch vụ và hệ thống CNTT trước khi đưa vào sử dụng.
3.1.2.2 Sự cần thiết xây dựng tiêu chuẩn về đánh giá ATTT
Bộ Thông tin và Truyền thông đã xây dựng và đề nghị ban hành nhiều dự thảo tiêu chuẩn quốc gia về an toàn thông tin, nhằm hỗ trợ các tổ chức và doanh nghiệp quản lý hiệu quả các vấn đề liên quan Ngoài các tiêu chuẩn quản lý, việc đánh giá an toàn thông tin cũng là yếu tố quan trọng trong việc đảm bảo an toàn cho sản phẩm, dịch vụ và hệ thống công nghệ thông tin Hiện tại, tiêu chuẩn quốc gia duy nhất liên quan đến đánh giá an toàn thông tin là TCVN 8709:2011, tuân theo ISO/IEC 15408:2009, cho thấy sự thiếu hụt lớn trong lĩnh vực này.
Đánh giá an toàn thông tin là một nhu cầu thiết thực, giúp các tổ chức và doanh nghiệp xác định mức độ an toàn của sản phẩm, dịch vụ và hệ thống công nghệ thông tin của họ.
3.1.2.3 Sử dụng công cụ đánh giá trong công tác đảm bảo ATTT Để việc tự đánh giá mức độ an toàn thông tin nhà quản trị cần sử dụng các bộ công cụ sau:
Hiện nay, có nhiều bộ tiêu chuẩn hỗ trợ nhà quản trị trong việc lập kế hoạch đánh giá và xây dựng quy trình, công cụ để nhận định và quản lý an toàn thông tin trong tổ chức của họ.
- TCVN (tiêu chuẩn Việt Nam)
Hàng năm, các tổ chức tiêu chuẩn quốc tế liên tục cập nhật và phát triển các tiêu chuẩn về an toàn thông tin, đặc biệt là bộ tiêu chuẩn ISO/IEC 2700X liên quan đến quản lý an toàn thông tin Ngoài ra, các chuẩn đánh giá an toàn thông tin cũng nhận được sự quan tâm từ các tổ chức tiêu chuẩn toàn cầu.
Tiêu chuẩn ISO/IEC 270X cung cấp hướng dẫn và quy định quan trọng cho hệ thống quản lý an toàn thông tin, giúp tổ chức xây dựng và duy trì một môi trường an toàn cho dữ liệu.
- ISO/IEC 27000:2009 - Hệ thống quản lý an toàn thông tin - Tổng quan và từ vựng
- ISO/IEC 27001:2005 - Hệ thống quản lý an toàn thông tin - Các yêu cầu
- ISO/IEC 27002:2005 - Quy tắc thực hành quản lý an toàn thông tin
- ISO/IEC 27003:2010 - Hướng dẫn thực thi hệ thống quản lý an toàn thông tin
- ISO/IEC 27004:2009 - Quản lý an toàn thông tin - Đo lường
- ISO/IEC 27005:2011-Quản lý rủi ro an toàn thông tin
Tiêu chuẩn liên quan về đánh giá an toàn thông tin có:
Xây dựng hệ thống ATTT theo ISO 27001
The international standard ISO/IEC 27001:2005, titled "Information Technology – Security techniques – Information security management system – Requirements," was issued in October 2005 It is based on the British standard BS 7799-2:2002, which was published by the British Standards Institution in 2002.
Tiêu chuẩn quốc tế về Hệ thống Quản lý An toàn Thông tin (ATTT) được thiết lập nhằm tạo ra một mô hình cho việc triển khai, giám sát và nâng cấp hệ thống này Việc áp dụng hệ thống quản lý ATTT là quyết định chiến lược của tổ chức, phụ thuộc vào nhu cầu, mục tiêu và quy trình hiện có Các yêu cầu về an toàn và cấu trúc của tổ chức cũng cần được xem xét để đảm bảo tính hiệu quả Hệ thống và các điều kiện hỗ trợ phải được cập nhật thường xuyên Đầu tư và triển khai hệ thống quản lý ATTT cần phải phù hợp với nhu cầu cụ thể của tổ chức, đồng thời tiêu chuẩn này cũng có thể được sử dụng để đánh giá sự tuân thủ của các bộ phận bên trong và bên ngoài tổ chức.
Tiêu chuẩn này áp dụng cho nhiều loại hình tổ chức, bao gồm tổ chức thương mại, cơ quan nhà nước và các tổ chức phi lợi nhuận Nó quy định yêu cầu cho các quá trình thiết lập, triển khai, điều hành, giám sát, xem xét, bảo trì và nâng cấp hệ thống quản lý an toàn thông tin (ATTT) nhằm đảm bảo an toàn trước mọi rủi ro Bên cạnh đó, tiêu chuẩn cũng chỉ ra các yêu cầu khi triển khai các biện pháp bảo vệ an toàn phù hợp với nhu cầu của tổ chức hoặc từng bộ phận của tổ chức.
- CÁCH TIẾP CẬN THEO QUY TRÌNH
Tiêu chuẩn này khuyến khích việc áp dụng cách tiếp cận theo quy trình trong việc thiết lập, triển khai, điều hành, giám sát, xem xét, bảo trì và nâng cấp hệ thống quản lý an toàn thông tin (ATTT) của tổ chức.
Một tổ chức cần xác định và quản lý nhiều hoạt động để hoạt động hiệu quả, trong đó bất kỳ hoạt động nào sử dụng tài nguyên và quản lý đầu vào chuyển hóa thành đầu ra đều được xem là quy trình Đầu ra của một quy trình thường trở thành đầu vào cho quy trình tiếp theo Việc áp dụng hệ thống quy trình trong tổ chức, nhận biết sự tương tác giữa các quy trình và quản lý chúng, được gọi là "cách tiếp cận theo quy trình".
Tiêu chuẩn này khuyến khích người sử dụng hiểu rõ yêu cầu an toàn thông tin của tổ chức và thiết lập chính sách, mục tiêu cho an toàn thông tin Việc triển khai các biện pháp quản lý rủi ro an toàn thông tin là cần thiết để đối phó với các rủi ro tiềm ẩn Hệ thống quản lý an toàn thông tin cần được giám sát và đánh giá hiệu quả thường xuyên, đồng thời thực hiện nâng cấp dựa trên các mục tiêu đã đề ra Mô hình "Lập kế hoạch – Thực hiện – Kiểm tra và Hành động" (PDCA) được áp dụng cho tất cả quy trình trong hệ thống quản lý an toàn thông tin, đảm bảo đáp ứng các yêu cầu và kỳ vọng về bảo mật thông tin từ các bên thứ ba.
Hình 3.1: Mô hình tiêu chuẩn của ISO 27001
Bảng 3.5: Các bước thực hiện triển khai ISO 27001
P (Lập kế hoạch) - Thiết lập ATTT
Thiết lập các chính sách, mục tiêu, quy trình và thủ tục quản lý rủi ro là rất quan trọng để nâng cao an toàn thông tin Điều này giúp đảm bảo các kết quả đạt được phù hợp với các chính sách và mục tiêu chung của tổ chức.
D (Thực hiện) - Triển khai và điều hành ATTT
Cài đặt và vận hành các chính sách, biện pháp quản lý,quy trình và thủ tục của hệ thống quản lý ATTT
C (Kiểm tra) - Giám sát và xem xét ATTT
Đánh giá hiệu quả thực hiện quy trình dựa trên chính sách và mục tiêu của hệ thống quản lý an toàn thông tin (ATTT) là cần thiết Việc này cần dựa trên kinh nghiệm thực tiễn và kết quả được báo cáo để ban quản lý xem xét.
A (Hành động) - Duy trì và nâng cấp ATTT
Thực hiện các biện pháp cải tiến và bảo vệ hệ thống quản lý an toàn thông tin (ATTT) dựa trên kết quả kiểm toán nội bộ, đánh giá của ban quản lý và các thông tin liên quan khác để đảm bảo hệ thống ATTT luôn được hoàn thiện liên tục.
3.2.1 Một số khái niệm trong ISO 27001 a) Tài sản: Là bất cứ gì có giá trị đối với tổ chức b) Tính sẵn sàng: Tính chất đảm bảo mọi thực thể đƣợc phép có thể truy cập và sử dụng theo yêu cầu c) Tính bí mật: Tính chất đảm bảo thông tin không sẵn sàng và công khai đối với các cá nhân, thực thể và các tiến trình không đƣợc phép d) An toàn thông tin: Sự duy trì tính bí mật, tính toàn vẹn và tính sẵn sàng của thông tin, ngoài ra có thể bao hàm tính chất xác thực, kiểm soát, chống chối bỏ và tin cậy e) Sự kiện an toàn thông tin: Sự kiện xác định xảy ra trong một hệ thống, một dịch vụ hay một trạng thái mạng chỉ ra sự vi phạm chính sách an toàn thông tin, sự thất bại của hệ thống bảo vệ hoặc một tình huống bất ngờ liên quan đến an toàn f) Sự cố an toàn thông tin: Một hoặc một chuỗi các sự kiện an toàn thông tin không mong muốn có khả năng làm tổn hại các hoạt động của cơ quan tổ chức và đe dọa an toàn thông tin g) Hệ thống quản lý an toàn thông tin: Hệ thống quản lý an toàn thông tin là một phần của hệ thống quản lý tổng thể, căn cứ vào việc đánh giá rủi ro có thể xuất hiện trong hoạt động của tổ chức để thiết lập, triển khai, điều hành, giám sát, xem xét, bảo trì và nâng cấp ATTT h) Tính toàn vẹn: Tính chất đảm bảo sự chính xác và sự toàn vẹn của các tài sản i) Rủi ro tồn đọng: Các rủi ro còn lại sau quá trình xử lý rủi ro j) Sự chấp nhận rủi ro: Quyết định chấp nhận sự tồn tại một rủi ro k) Phân tích rủi ro: Sử dụng thông tin một cách có hệ thống nhằm xác định các nguồn gốc và đánh giá rủi ro l) Đánh giá rủi ro: Quá trình so sánh rủi ro đã đƣợc dự đoán với chỉ tiêu rủi ro đã có nhằm xác định mức độ nghiêm trọng của rủi ro m) Quản lý rủi ro: Các hoạt động phối hợp nhằm điều khiển và quản lý một tổ chức trước các rủi ro có thể xảy ra n) Xử lý rủi ro: Quá trình lựa chọn và triển khai các biện pháp hạn chế rủi ro o) Thông báo áp dụng: Thông báo đƣợc biên soạn nhằm mô tả mục tiêu quản lý và biện pháp quản lý thích hợp áp dụng cho hệ thống quản lý ATTT của tổ chức Các mục tiêu quản lý và biện pháp quản lý đƣợc xây dựng dựa trên các kết quả tổng kết của việc đánh giá rủi ro, các quá trình xử lý rủi ro, các yêu cầu hay chế tài về pháp lý, các ràng buộc và các yêu cầu trong hoạt động nghiệp vụ của tổ chức để đảm bảo an toàn thông tin p) Tổ chức: Tổ chức (TC) là hình thức tập hợp, liên kết các thành viên trong xã hội (cá nhân, tập thể) nhằm đáp ứng yêu cầu, nguyện vọng, lợi ích của các thành viên, cùng nhau hành động vì mục tiêu chung (20)
3.2.2 Thiết lập và quản lý hệ thống an toàn thông tin Để thiết lập hệ thống quản lý ATTT, tổ chức cần thực hiện nhƣ sau:
3.2.2.1 Phạm vi và giới hạn của hệ thống ATTT Định nghĩa phạm vi và giới hạn của hệ thống quản lý ATTT theo các mặt: đặc thù công việc, sự tổ chức, địa điểm, các tài sản và công nghệ, đồng thời bao gồm cả các thông tin chi tiết và lý do nếu loại bỏ yêu cầu khỏi phạm vi áp dụng
3.2.2.2 Chính sách triển khai hệ thống quản lý ATTT
Chính sách triển khai hệ thống quản lý an toàn thông tin (ATTT) cần được xác định rõ ràng theo các yếu tố như đặc thù công việc, tổ chức, địa điểm, tài sản và công nghệ Điều này bao gồm việc thiết lập một khuôn khổ vững chắc để xây dựng mục tiêu, định hướng và nguyên tắc nhằm đảm bảo an toàn thông tin hiệu quả.
Theo tiêu chuẩn ISO/IEC 1799:2000 về công nghệ thông tin, các tổ chức cần chú ý đến các hoạt động nghiệp vụ, pháp lý và quy định bắt buộc liên quan đến bảo mật Họ nên tích hợp các yêu cầu kinh doanh và nghĩa vụ an toàn bảo mật có trong hợp đồng vào hệ thống quản lý an toàn thông tin (ATTT) Việc thiết lập và duy trì hệ thống ATTT phải là một phần trong chiến lược quản lý rủi ro của tổ chức, đồng thời cần thiết lập các chỉ tiêu đánh giá rủi ro có thể xảy ra và được ban quản lý phê duyệt Để đạt được mục tiêu của tiêu chuẩn này, chính sách triển khai hệ thống quản lý ATTT cần được xem xét như một danh mục đầy đủ các chính sách an toàn thông tin, có thể được mô tả trong cùng một tài liệu.
3.2.2.3 Phương pháp tiếp cận đánh giá rủi ro
Để xác định phương pháp tiếp cận đánh giá rủi ro của tổ chức, trước hết cần xác định hệ phương pháp đánh giá rủi ro phù hợp với hệ thống quản lý an toàn thông tin (ATTT) cùng các quy định pháp lý liên quan Tiếp theo, tổ chức cần phát triển các chỉ tiêu cho các rủi ro có thể chấp nhận và xác định rõ các mức rủi ro này Hệ phương pháp đánh giá rủi ro được chọn phải đảm bảo rằng các kết quả đánh giá có thể so sánh và tái tạo được Hiện có nhiều hệ phương pháp đánh giá rủi ro khác nhau, trong đó có các phương pháp được đề cập trong tài liệu ISO/IEC TR 13335-3 về hướng dẫn quản lý an toàn thông tin.
3.2.2.4 xác định rủi ro a) Xác định các tài sản trong phạm vi hệ thống quản lý ATTT và đối tƣợng quản lý các tài sản này b) Xác định các mối đe doạ có thể xảy ra đối với tài sản c) Xác định các yếu điểm có thể bị khai thác bởi các mối đe doạ trên d) Xác định những tác động xấu tới các tính chất quan trọng của tài sản cần bảo đảm: bí mật, toàn vẹn và sẵn sàng
21 ISO/IEC TR 13335-1:2004, Information technology - Security Techniques Management of information
Kết luận
Tình hình an toàn thông tin (ATTT) tại Việt Nam đã có những cải thiện đáng kể, với chỉ số ATTT tăng lên và có xu hướng bền vững Tuy nhiên, vẫn còn nhiều thách thức phức tạp, khiến Việt Nam trở thành một điểm nóng về tấn công mạng Để phát triển môi trường ATTT bền vững và lành mạnh, các cơ quan quản lý nhà nước, tổ chức và cá nhân cần nâng cao nhận thức và hợp tác trong xử lý các tình huống ATTT Cần xây dựng cơ chế phối hợp và chia sẻ thông tin, với sự điều phối của nhà nước, tập trung vào con người như nguồn lực chính và phát triển công nghệ ATTT phù hợp với đặc thù Việt Nam, đồng thời khuyến khích cộng đồng tham gia tích cực vào lĩnh vực này.
Trong quá trình nghiên cứu tại HSB, tác giả nhận thấy rằng việc nâng cao nhận thức về an toàn thông tin (ATTT) và an ninh mạng (ANM) là rất quan trọng tại các đơn vị giáo dục Cần triển khai toàn diện và sâu rộng các kiến thức và kỹ năng để đảm bảo an toàn thông tin trong HSB cũng như ĐHQGHN Đặc biệt, việc trang bị kiến thức cơ bản cho các cá nhân làm quản trị hệ thống trong đơn vị là hết sức cần thiết.
- Về nghiên cứu, tìm hiểu hệ thống quản lý ATTT theo chuẩn ISO 27001:
Hệ thống quản lý an toàn thông tin (ATTT) bao gồm con người, quy trình và hệ thống công nghệ thông tin Việc xây dựng hệ thống quản lý ATTT theo tiêu chuẩn ISO 27001 là phương pháp tiếp cận toàn diện nhằm bảo vệ thông tin nhạy cảm trong tổ chức, đồng thời duy trì và đảm bảo ba thuộc tính cốt lõi của an toàn thông tin: Tính tin cậy, Tính toàn vẹn và Tính sẵn sàng.
ISO 27001 giúp tổ chức thiết lập một hệ thống quản lý an toàn thông tin hiệu quả, luôn được cải tiến để đảm bảo an ninh và tối ưu hóa việc khai thác thông tin.
Mặc dù việc đạt chứng chỉ ISO 27001 không đảm bảo an toàn 100% cho tổ chức, nhưng không có gì là hoàn toàn an ninh ngoại trừ việc không thực hiện bất kỳ hành động nào Tuy nhiên, việc công nhận tiêu chuẩn quốc tế này mang lại những lợi ích rõ ràng mà các nhà quản lý cần cân nhắc.
Cấp độ tổ chức thể hiện sự cam kết mạnh mẽ thông qua chứng chỉ, phản ánh nỗ lực của tổ chức trong việc nâng cao an ninh Điều này chứng minh sự chăm chỉ và trách nhiệm của những người quản trị trong việc bảo vệ và phát triển an ninh cho tổ chức.
Cấp độ pháp luật: Tuân thủ - chứng minh cho nhà chức trách rằng tổ chức đã tuân theo tất cả các luật và các qui định áp dụng
Cấp độ điều hành trong quản lý rủi ro giúp cải thiện hiểu biết về hệ thống thông tin và những điểm yếu của chúng, đồng thời cung cấp các biện pháp bảo vệ hiệu quả Điều này đảm bảo tính sẵn sàng cao cho cả phần cứng và phần mềm, từ đó nâng cao khả năng ứng phó với các rủi ro tiềm ẩn.
Cấp độ thương mại dựa trên sự tín nhiệm và tin cậy, giúp các thành viên, cổ đông và khách hàng cảm thấy yên tâm khi tổ chức thể hiện khả năng và sự chuyên nghiệp trong việc bảo vệ thông tin Chứng chỉ có thể tạo ra lợi thế cạnh tranh, giúp tổ chức nổi bật hơn trong thị trường.
Cấp độ tài chính và con người đóng vai trò quan trọng trong việc tiết kiệm chi phí khắc phục lỗ hổng an ninh, đồng thời có khả năng giảm chi phí bảo hiểm Việc cải thiện nhận thức của nhân viên về các vấn đề an ninh và trách nhiệm của họ trong tổ chức là cần thiết để nâng cao hiệu quả bảo mật.
Hạn chế
Khi đề cập đến hack và hacker, người làm công tác đảm bảo an toàn hệ thống cần có kiến thức chuyên sâu về lập trình, kiểm thử và xử lý lỗi Tuy nhiên, luận văn hiện tại chưa cung cấp đầy đủ kiến thức kỹ thuật cần thiết cho người dùng và chỉ đưa ra đánh giá lý thuyết về an toàn thông tin mà chưa có phương án khắc phục cụ thể Hơn nữa, nghiên cứu về các công cụ hack như Backtrack 5 và Kali vẫn chưa được thực hiện một cách toàn diện, chỉ dừng lại ở việc demo các công cụ tấn công và kiểm tra hệ thống cơ bản.
Việc hiểu biết về các hệ thống và tiêu chuẩn đảm bảo an toàn thông tin (ATTT) đòi hỏi tổ chức phải có các bộ phận chuyên sâu và đầu tư tài chính hợp lý, điều này đặc biệt khó khăn đối với các đơn vị vừa và nhỏ như HSB ISO 2700x là một kim chỉ nam hữu ích giúp tổ chức tăng cường nhận thức và chú trọng đến ATTT, từ đó có thể thực hiện các đánh giá toàn diện về an ninh thông tin Tuy nhiên, việc duy trì chứng chỉ này đòi hỏi nguồn lực đáng kể về thời gian, nhân lực và tài chính, dẫn đến nguy cơ thực hiện không đầy đủ hoặc bị mai một theo thời gian.
Kiến nghị
Trong quá trình công tác tại Khoa Quản trị và Kinh doanh – Đại học Quốc gia Hà Nội, tác giả nhận thấy rằng an toàn thông tin trong giáo dục chưa được quan tâm đúng mức, khi các đơn vị chỉ chú trọng vào nghiên cứu và đào tạo mà bỏ qua việc bảo vệ thông tin Nhiều phần mềm phát triển trong ĐHQG không sử dụng bộ công cụ kiểm thử an toàn thông tin, và lãnh đạo các đơn vị có quan điểm sai lầm rằng hệ thống giáo dục không bị tấn công Điều này dẫn đến sự chủ quan và nguy hiểm, đặc biệt khi hệ thống Server của Trung tâm Ứng dụng công nghệ thông tin đang gặp vấn đề mất dữ liệu Tác giả mong muốn thông qua luận văn này, các cấp lãnh đạo HSB, ĐHQG sẽ quan tâm hơn đến an toàn thông tin trong giáo dục và triển khai tiêu chuẩn ISO 27001 trong các đơn vị thành viên.
