LÝ LUẬN CƠ BẢN VỀ AN NINH PHI TRUYỀN THỐNG, AN TOÀN THÔNG TIN, AN NINH MẠNG
An ninh phi truyền thống
Trước đây an ninh chỉ có quan hệ mật thiết với chiến tranh và hòa bình Ngày nay an ninh có mối quan hệ tương hỗ với ổn định và phát triển Tuy chiến tranh lạnh đã kết thúc, nhưng vẫn còn nhiều uy hiếp an ninh đối với các nước, khu vực và thế giới, từ chiến tranh vùng vịnh đến chiến tranh IRAC, nội chiến Syria, các cuộc khủng hoảng kinh tế, sự lan tràn của bệnh AIDS, các cuộc tấn công mạng, sự tràn lan của các chất gây nghiện, sự di dân ở các nước Châu Âu… trở thành các điểm nóng, ảnh hưởng sâu sắc đến an ninh quốc tế, an ninh quốc gia, an ninh chính trị, an ninh quân sự, an ninh kinh tế, an ninh ngoại giao Đây chính là cách tiếp cận truyền thống đối với vấn đề an ninh quốc gia, lấy quốc gia làm trung tâm, chủ yếu quan tâm tới an ninh quốc gia, sự tồn tại và phát triển của một chế độ xã hội… An ninh là sự tự do tương đối không có chiến tranh kết hợp với mong đợi tương đối là không bị đánh bại bởi bất kỳ cuộc chiến tranh nào có thể xảy ra
An ninh quốc gia = an ninh truyền thống = an ninh chính trị + an ninh quân sự = tồn tại chế độ cai trị + chủ quyền quốc gia + lợi ích quốc gia
Mở rộng: An ninh quốc gia = an ninh cứng = an ninh chính trị + an ninh quân sự + an ninh kinh tế + an ninh văn hóa tư tưởng
An ninh truyền thống là an ninh quốc gia (an ninh cứng), chủ yếu sử dụng quyền lực chính trị và vũ trang để đảm bảo an ninh (7)
1.1.2 An ninh phi truyền thống
Tƣ duy mới về an ninh quốc gia, nhiều học giả quốc tế và khu vực nhận định rằng, đa số các quốc gia và chính phủ đang tiếp cận với tƣ duy mới về an ninh quốc gia, gồm cả an ninh truyền thống (chủ yếu là an ninh chính trị và an ninh quân sự) và an ninh phi truyền thống (an ninh kinh tế, văn hóa, xã hội, con người, doanh nghiệp, môi trường, lương thực, năng lƣợng) Khái niệm mới xuất hiện và đang phát triển thêm nội hàm trong bối cảnh hội nhập toàn cầu mạnh mẽ, khủng bố, dịch bệnh, thảm họa thiên nhiên, khủng hoảng kinh tế - tài chính, tác động khu vực và toàn cầu
AN NINH QUỐC GIA = PHÁT TRIỂN BỀN VỮNG QUỐC GIA + ĐỘC LẬP + CHỦ QUYỀN
AN NINH CON NGƯỜI = AN TOÀN + TỰ DO
7 Thượng tướng, TS Nguyễn Văn Hưởng, PTS TS Hoàng Đình Phi; Tổng quan về quản trị an ninh phi
AN NINH DOANH NGHIỆP = KNCTBV – (NỖI SỢ + MỐI NGUY + NGUY HIỂM + TỔN THẤT) (8)
An ninh trong tiếng Anh gọi là security và có hàm ý là mức độ an toàn (safety) cao nhất cho chủ thể Trong nhiều từ điển tiếng Trung thì an ninh và an toàn đƣợc dùng chung một từ an toàn (安全) [ān quán là phiên âm và giải thích bằng tiếng Anh là: safe; safety; secure; security] An ninh có ý nghĩa là sự tồn tại, an toàn, bình an, không có nỗi lo, rủi ro, mối nguy, sự cố hay tổn thất về người và của Ngược lại với an ninh là mất an ninh (insecurity) là rủi ro, là nguy hiểm, là tổn thất… Lịch sử đã chứng minh rằng con người không thể có cuộc sống ổn định và phát triển bền vững (PTBV) nếu nhƣ không có an ninh và một quốc gia cũng không thể phát triển bền vững nếu không đảm bảo được an ninh cho con người và doanh nghiệp trong tất cả các lĩnh vực đời sống, sản xuất và kinh doanh (9)
An ninh truyền thống (traditional security) là một khái niệm quen thuộc và mang tính truyền thống, xuất phát từ các nghiên cứu quốc tế về an ninh, chiến tranh, hòa bình… Theo đa số các học giả quốc tế thì an ninh truyền thống chính là an ninh quốc gia (national security) Ayoob (10) cho rằng ―an ninh hay mất an ninh đƣợc định nghĩa trong mối quan hệ với các tình huống bị tổn thương, cả bên trong lẫn bên ngoài, mà nó đe dọa hay có khả năng phá hủy hay làm suy yếu cấu trúc nhà nước, cả về mặt lãnh thổ, thể chế và chế độ cai trị‖ Luật An ninh quốc gia của Việt Nam năm 2004 (11) đã xác định ―An ninh quốc gia là sự ổn định, phát triển bền vững của chế độ XHCN và Nhà nước CHXHCNVN, sự bất khả xâm phạm độc lập, chủ quyền, thống nhất, toàn vẹn lãnh thổ của Tổ quốc‖ Nhƣ vậy có thể nói an ninh truyền thống là khái niệm có nội hàm là an ninh quốc gia theo cách tiếp cận lấy quốc gia hay nhà nước làm trung tâm (state-centered approach)
Quan điểm về an ninh quốc gia đã có những thay đổi kể từ khi kết thúc chiến tranh lạnh (1947-1991), bức tường Berlin sụp đổ (1998) và Liên Xô cũ tan rã (1991) Tình hình chính trị thế giới trở nên phức tạp và hỗn loạn hơn Xung đột giữa các quốc gia, xung đột về sắc tộc, xung đột về tôn giáo ngày càng trở nên gay gắt hơn Thế giới trở nên phẳng hơn và đang bước sang giai đoạn hội nhập nhanh với sự phát triển như vũ bão của các công nghệ mới, công nghệ thông tin và truyền thông, mạng Internnet, các dòng chảy thông tin, quan điểm, ý tưởng, đầu tư, thương mại, du lịch, du học, văn hóa… Thế giới đang đứng
8 Thượng tướng, TS Nguyễn Văn Hưởng, PTS TS Hoàng Đình Phi; Tổng quan về quản trị an ninh phi truyền thống, 2015
9 Nguyễn Bách Khoa, Hoàng Đình Phi, Tổng quan về phát triển bền vững, Khoa QTKD (HSB Hanoi School of Business) thuộc ĐHQGHN, 2014
10 Ayoob M., Critical Security Studies: Concept & Cases, University of Minnesota Press, 1997
11 Luật an ninh quốc gia, ban hành năm 2004, NXB Chính trị quốc gia, 2005 trước các nguy cơ của biến đổi khí hậu, thiên tai, dịch bệnh, trong khi vẫn đang phải đối phó với các vấn đề chính trị, kinh tế, xã hội… Tất cả các yếu tố trên đều là những thách thức lớn đối với an ninh truyền thống và an ninh phi truyền thống, đe dọa sự tồn tại và phát triển của cả các quốc gia lẫn loài người Nếu không được nhận diện, phân tích nguyên nhân và có giải pháp dài hạn hay chiến lƣợc ứng phó thì các mối nguy hiểm và tác động tiêu cực phát sinh từ các vấn đề an ninh phi truyền thống (non-traditional security) có thể phá hủy cả thế giới mà không cần phải dùng đến súng đạn Ví dụ, chỉ xem xét riêng trong lĩnh vực chính trị thì trong hai thập kỷ gần đây đa số các chính trị gia phải nhìn nhận rằng ứng phó với tình trạng mất an ninh con người, mất an ninh lương thực, mất an ninh năng lượng, dịch bệnh, ô nhiễm môi trường, khủng bố, tội phạm mạng, tai biến do biến đổi khí hậu… là các ƣu tiên trong chính sách an ninh quốc gia và chiến lƣợc an ninh quốc gia Trong khi đang phải gồng mình để đối phó với khủng hoảng kinh tế, dịch bệnh, thảm họa thiên nhiên… thì cả thế giới vẫn đang phải lo đối phó với IS và cả Châu Âu đang phải đối phó với làn sóng di cƣ từ Châu Phi đến Châu Âu… Vì vậy quản trị tốt an ninh truyền thống và an ninh phi truyền thống (những vấn đề an ninh mới) có một vị trí đặc biệt quan trọng để đảm bảo an ninh toàn cầu và an ninh của từng quốc gia
Bảng 1.1: So sánh an ninh truyền thống và an ninh phi truyền thống
AN NINH TRUYỀN THỐNG (ANTT)
THỐNG (AN PTT) ĐIỂM CHUNG ĐIỂM MỚI
Gắn với an ninh quốc gia
Cách tiếp cận lấy nhà nước làm trung tâm
Gắn với an ninh nhà nước, an ninh con người và an ninh doanh nghiệp Cách tiếp cận lấy con người làm trung tâm
Hai bộ phận hợp thành an ninh quốc gia Mối quan hệ biện chứng
Khái niệm mới phát triển từ khi hội nhập toàn cầu
Mục tiêu chính Ổn định và PTBV của nhà nước, chế độ, độc lập, chủ quyền, thống nhất, lãnh thổ Ổn định và PTBV của nhà nước, con người (cộng đồng) và doanh nghiệp
Chính phủ của dân, do dân, vì dân
An ninh là lợi ích chung
Phát triển theo xu thế hội nhập toàn cầu
Con người (cộng đồng) Doanh nghiệp
Mối quan hệ biện chứng Đổi mới nhận thức
Quân đội Công an Dân quân tự vệ
Sức mạnh, nguồn lực cộng đồng
Mối quan hệ biện chứng
Sự tồn tại của Đảng cầm quyền và thể chế nhà nước do Đảng cầm quyền quyết định
Quốc tế khu vực NN
Con người (cá nhân – cộng đồng)
Mối quan hệ biện chứng
Tác động đa chiều, đa cấp độ, đa lĩnh vực, xuyên biên giới…
Các nghiên cứu về an ninh và an ninh phi truyền thống đang đƣợc phát triển mạnh trên nền tảng các tư tưởng tiến bộ như: chủ nghĩa duy vật lịch sử (historical materialism), chủ nghĩa hiện thực (realism), chủ nghĩa tự do (liberalism), chủ nghĩa kiến tạo (constructivism)… Bên cạnh cách tiếp cận truyền thống lấy nhà nước làm trung tâm thì nhiều nhà khoa học đã và đang sử dụng cách tiếp cận mới là lấy con người làm trung tâm (people-centered approach) để phát triển các nghiên cứu về an ninh phi truyền thống, trong đó nhấn mạnh các vấn đề an ninh phi truyền thống đe dọa trực tiếp tới sự tồn tại và phát triển của cả con người (các cá nhân, nhóm dân cư, cộng đồng, tổ chức, doanh nghiệp…) và nhà nước (đảng cầm quyền, thể chế…) trong bối cảnh toàn cầu hóa, biến đổi toàn cầu và biến đổi khí hậu nhƣ: an ninh doanh nghiệp gắn với an ninh kinh tế; an ninh doanh nghiệp gắn với an ninh con người; an ninh con người và sức khỏe; an ninh lương thực; an ninh môi trường; an ninh năng lượng; an ninh văn hóa và giáo dục; ANM và an ninh thông tin… (12)
An ninh mạng
Ngày nay với sự phát triển của công nghệ thông tin thế giới đang từng bước thay đổi bước vào cuộc cách mạng cuộc cách mạng công nghiệp lần thứ 04, đó là điện toán đám mây với các trung tâm dữ liệu khổng lồ mang mọi thứ vào trong tầm tay chỉ với một thiết bị kết nối internet (IoT)
Máy tính có phần cứng chứa dữ liệu do hệ điều hành quản lý, đa số các máy tính nhất là các máy tính trong công ty, doanh nghiệp đƣợc nối mạng Lan và Internet Nếu nhƣ máy tính, hệ thống mạng không đƣợc trang bị hệ thống bảo vệ vậy chẳng khác nào chúng
12 Quản trị an ninh phi truyền thống để phát triển bền vững, PGS.TS Hoàng Đình Phi, 2015 ta đi khỏi căn phòng của mình mà quên khóa cửa, máy tính sẽ là mục tiêu của virus, worms, unauthorized user… chúng có thể tấn công vào máy tính hoặc cả hệ thống của chúng ta bất cứ lúc nào
ANM là một trong những lĩnh vực mà hiện nay giới công nghệ thông tin đặc biệt quan tâm Nhu cầu trao đổi thông tin trở nên cần thiết Mục đích của việc kết nối mạng là làm cho mọi người có thể sử dụng chung tài nguyên mạng từ những vị trí địa lý khác nhau
Chính vì vậy mà các tài nguyên dễ dàng bị phân tán, hiển nhiên một điều là chúng ta dễ bị xâm phạm, gây mất mát dữ liệu cũng nhƣ các thông tin có giá trị Kết nối càng rộng thì càng dễ bị tấn công, đó là một quy luật tất yếu Từ đó, vấn đề bảo vệ thông tin cũng đồng thời xuất hiện và nhƣ thế ANM ra đời
Ví dụ: User A gửi một tập tin cho User B trong phạm vi là nước Việt Nam thì nó khác xa so với việc User A gửi tập tin cho User C ở Mỹ Ở trường hợp đầu thì dữ liệu có thể mất mát với phạm vi nhỏ là trong nước nhưng trường hợp sau thì việc mất mát dữ liệu với phạm vi rất rộng là cả thế giới Một lỗ hổng trên mạng đều là mối nguy hiểm tiềm tàng Từ một lỗ hổng bảo mật nhỏ của hệ thống, nhƣng nếu biết khai thác và lợi dụng kỹ thuật hack điêu luyện thì cũng có thể trở thành mối tai họa Khi nhắc đến hacker có lẽ hầu hết chúng ta đều liên tưởng đến các trang web bị tấn công và thay đổi giao diện, việc sử dụng trái phép thẻ tín dụng hay hình ảnh của một nhóm người mang mặt nạ là các thành viên thuộc nhóm hacker Anonymous, xa hơn nữa là những thông tin mật bị đánh cắp và đăng tải trên trang web Wikileak mà chương trình truyền hình đã đưa tin Như vậy, một cách không chính thức mọi người đều cho rằng hacker là những kẻ xấu chuyên phá hoại và ăn trộm định danh, thông tin bí mật trên mạng internet, và điều này chƣa đúng Có những Hacker là những chuyên gia bảo mật hệ thống, họ kiểm thử các lỗ hổng và đưa ra những phương pháp phòng vệ cho hệ thống, cũng nhƣ chống lại các cuộc tấn công phá hoại, đặc biệt là trong lĩnh vực CEH (Cetified Ethical Hacker) Nói cách khác họ chính là những chuyên gia đảm bảo cho hệ thống được an toàn cho người dùng
Vậy ANM có nghĩa là bảo vệ hệ thống mạng, máy tính khỏi sự phá hoại phần cứng hay chỉnh sửa dữ liệu (phần mềm) mà không được sự cho phép từ những người cố ý hay vô tình An ninh mạng cung cấp giải pháp, chính sách, bảo vệ máy tính, hệ thống mạng để làm cho những người dùng trái phép, cũng như các phần mềm chứa mã độc xâm nhập bất hợp pháp vào máy tính, hệ thống mạng của HSB (13) An ninh mạng của HSB giúp cho hệ thống của đơn vị đƣợc thông suốt trong quá trình vận hành cung cấp dịch vụ và ứng dụng cho cán bộ giảng viên trong Khoa
Theo tác giả, ANM là tổng hợp quá trình mà quản trị viên hệ thống mạng thực hiện các biện pháp phòng chống những lỗ hổng về bảo mật phần mềm, phần cứng hoặc virus có trong các phần mềm, ứng dụng, website, server, dữ liệu… nhằm bảo vệ dữ liệu trong hệ thống mạng, bảo vệ người dùng và cơ sở hạ tầng mạng Hoặc cũng có thể hiểu khái niệm ANM là sự phòng chống những truy cập trái phép, sử dụng sai mục đích, chống lại những sửa đổi, hủy hoại hoặc tiết lộ không đúng thông tin, ANM cần đƣợc đảm bảo mọi thông tin, dữ liệu trong tình trạng an toàn nhất
ANM tiếp cận theo góc nhìn phi truyền thống:
AN NINH MẠNG = (AN TOÀN + ỔN ĐỊNH + PHÁT TRIỂN BỀN VỮNG) – (CHI PHÍ QUẢN TRỊ RỦI RO + CHI PHÍ MẤT DO KHỦNG HOẢNG + CHI PHÍ KHẮC
An toàn: Mọi thông tin được lưu trữ, truyền tải mà không bị mất hoặc bị thay đổi trái phép, đảm bảo tính bảo mật trên mạng Ổn định: Thông tin được lưu chuyển an toàn không ngắt quãng đến đúng người dùng không bị ngƣng trệ
Phát triển bền vững: Chiến lƣợc, chính sách, luật pháp, quy hoạch đảm bảo an toàn thông tin lưu truyển trên hệ thống mạng
Chi phí quản trị rủi ro: Chi phí cho việc đầu tƣ hạ tầng mạng, các thiết bị bảo mật, các hệ thống phần mềm bảo mật, chi phí cho chi nghiên cứu các giải pháp đảm bảo ANM
Chi phí mất do khủng khoảng: Chi phí cho việc mất an ninh mạng gây ra mất thông tin hoặc thông tin bị sai lệch, ngƣng trệ, hoặc thất thoát, sập các thiết bị phần cứng
Chi phí khắc phục khủng hoảng: Chi phí khắc phục các thiệt hại do hacker chiếm quyền điều khiển hệ thống, gây nhiễu loạn thông tinh, làm mất uy tín tổ chức, hoặc thiệt hại về tài chính của cá nhân trong tổ chức
1.2.2 Các yếu tố được bảo vệ trong hệ thống mạng
Yếu tố đầu tiên phải nói đến là dữ liệu, những thông tin lưu trữ trên hệ thống máy tính cần đƣợc bảo vệ do các yêu cầu về tính bảo mật, tính toàn vẹn hay tính kịp thời
Thông thường yêu cầu về bảo mật được coi là yêu cầu quan trọng đối với thông tin lưu trữ
14 PGS.TS Hoàng Đình Phi, tập bài giảng: Quản trị rủi ro và an ninh doanh nghiệp, HSB, 2015 trên mạng Tuy nhiên, ngay cả khi những thông tin không đƣợc giữ bí mật, thì yêu cầu về tính toàn vẹn cũng rất quan trọng Không một cá nhân, một tổ chức nào lãng phí tài nguyên vật chất và thời gian để lưu trữ những thông tin mà không biết về tính đúng đắn của những thông tin đó
Yếu tố thứ hai là về tài nguyên hệ thống, sau khi các Attacker đã làm chủ đƣợc hệ thống chúng sẽ sử dụng các máy này để chạy các chương trình như dò tím mật khẩu để tấn công vào hệ thống mạng
An toàn thông tin
1.3.1 Các thuật ngữ trong an toàn thông tin Để có thể nhận thức đƣợc các mối nguy hiểm chúng ta cần hiểu một số thuật ngữ sau trong lĩnh vực an toàn thông tin, các thuật ngữ này sẽ giúp nhà quản trị tìm hiểu các lỗ hổng, đọc và nghiên cứu các tài liệu mới nhất về an toàn thông tin, và cách phòng ngừa các rủi ro cho hệ thống mình quản trị
- Threat: là các mối đe dọa đối với sự an toàn của thông tin bao gồm hacker, virus, sự cố máy tính nhƣ hƣ hỏng phần cứng, lỗi phần mềm cho đến những nguyên nhân do thiên tai, hỏa hoạn cũng là các threat
- Vulnerability: là những điểm yếu về bảo mật của hệ thống nhƣ thiếu các bản vá lỗi bảo mật, sử dụng chính sách mật khẩu yếu… đều là các điểm nhạy cảm có khả năng bị các threat khai thác gây mất an toàn thông tin
- Exploit: là quá trình khai thác các điểm yếu bảo mật để đánh cắp thông tin, tiến trình này có thể đƣợc thực hiện bởi những tác nhân bên trong hay bên ngoài hệ thống
- Remote exploit: là quá trình khai thác các lỗ hổng bảo mật từ xa ở trên máy tính khác hay từ internet
- Local exploit: là quá trình khai thác những điểm yếu bảo mật ngay trên hệ thống để tiến hành leo thang nâng quyền hạn của một tài khoản, hay bẻ khóa mật khẩu của ứng dụng
- Target of evaluation: là những mục tiêu có khả năng chứa các lỗ hổng bảo mật có thể bị tấn công Các mục tiêu này có thể là một máy chủ, máy trạm, những ứng dụng hay các trang web
- Attack: là thuật ngữ chỉ tiến trình tấn công vào mục tiêu
1.3.2 Những kỹ thuật tấn công
Có nhiều công cụ và phương pháp để tìm kiếm các lỗ hổng bảo mật, tiến hành khai thác, tấn công hệ thống Những kỹ thuật này bao gồm trojan, backdoor, sniffer, rootkit, khai thác lỗi tràn bộ đệm Buffer Overflow hay SQL Injection… Thông thường hacker sẽ tập trung tìm kiếm các lỗ hổng bảo mật của những thành phần:
Hệ điều hành: Nhiều hệ thống đƣợc cài đặt và cấu hình mặc định, nghĩa là không có sự thay đổi hay tùy biến để nâng cao tính an toàn Ngoài ra, những máy tính không đƣợc cập nhật các bản vá hay cài đặt các chương trình sữa lỗi bảo mật cũng là mồi ngon của các kẻ tấn công Ứng dụng: Mỗi máy tính có nhiều ứng dụng được cài đặt, nếu những chương trình này có lỗ hổng bảo mật cũng có thể bị hacker tấn công chiếm quyền điều khiển từ xa
Shrink-wrap Code: Đây là các thành phần mở rộng của ứng dụng mà nhiều người dùng không hề hay biết, nhƣng hacker sẽ biết rất rõ các thành phần này ví dụ nhƣ chức năng macro trong ứng dụng MS Word cho phép các hacker chạy những chương trình độc hại trong ứng dụng xử lý văn bản này Hay các lỗi Active X cho phép hacker chạy lệnh từ xa thông qua trình duyệt của nạn nhân
Lỗi cấu hình: Việc cấu hình sai là một trong những nguyên nhân chính khiến hệ thống bị tấn công, ví dụ các lỗi liên quan đến việc gán quyền không chặt chẽ có thể cho phép hacker hay người dùng bất kì sao chép và chạy những chương trình trái phép
Bên cạnh các kỹ thuật trên, những cuộc tấn công đƣợc chia làm hai trạng thái hoạt động là passive (bị động) và active (chủ động) Những cuộc tấn công bị động thường khó dò tìm hơn vì không tương tác trực tiếp vào hệ thống hay đường truyền mà chỉ âm thầm thu thập các thông tin, dữ liệu Nghe lén hay sniffing là dạng tấn công thuộc loại này, những hacker nghe lén dữ liệu được gọi là sniffer và thường tập trung vào tính riêng tư của thông tin
Trong khi đó dạng tấn công chủ động có sự tương tác trực tiếp vào hệ thống xác thực hay đường truyền làm thay đổi tính toàn vẹn, ảnh hưởng đến khả năng đáp ứng của dữ liệu
Những dạng tấn công thuộc loại này nhƣ DdoS, Scan Port … Bên cạnh sự phân loại tấn công dựa trên trạng thái hoạt động thì chúng ta còn xác định chúng theo vị trí địa lý là ở phía bên trong hay bên ngoài hệ thống tương ứng với các thuật ngữ là inside hay outside Những kẻ tấn công inside là các insider thường là nhân viên hay những người có mối liên quan trực tiếp đối với tổ chức, vì vậy tác động của dạng tấn công này rất lớn và nguy hiểm Theo một số thống kê thì có tới 80 % tác nhân gây mất mát thông tin là những thành viên bên trong của hệ thống Tuy nhiên, những thành viên bên ngoài lại có những mối nguy hiểm khác vì họ thường đông đảo hơn, có trình độ kỹ thuật cao và mục tiêu tấn công của họ thường nhắm vào những hệ thống ít được bảo vệ hay có sự giao tiếp với môi trường công cộng (còn được gọi là môi trường không tin cậy) như các máy chủ cơ sở dữ liệu, trang web
Hình 1.1: Phân loại các dạng tấn công dựa trên trạng thái hoạt động và vị trí địa lý
1.3.3 Các giai đoạn tấn công
Hiện nay vẫn chƣa có định nghĩa chính xác về thuật ngữ ―tấn công‖ (xâm nhập, công kích) Mỗi chuyên gia trong lĩnh vực ATTT luận giải thuật ngữ này theo ý hiểu của mình
Ví dụ, ―xâm nhập – là tác động bất kỳ đƣa hệ thống từ trạng thái an toàn vào tình trạng nguy hiểm‖
Thuật ngữ này có thể giải thích nhƣ sau: ―xâm nhập – đó là sự phá huỷ chính sách ATTT‖ hoặc ―là tác động bất kỳ dẫn đến việc phá huỷ tính toàn vẹn, tính bí mật, tính sẵn sàng của hệ thống và thông tin xử lý trong hệ thống‖
THỰC TRẠNG AN TOÀN THÔNG TIN VÀ AN NINH MẠNG HSB
Giới thiệu chung Khoa quản trị và Kinh doanh (HSB)
Khoa Quản trị và Kinh doanh (HSB) thuộc Đại học Quốc gia Hà Nội (VNU) đƣợc thành lập ngày 13/07/1995 theo quyết định của cố giáo sƣ, viện sĩ Nguyễn Văn Đạo, một người thầy yêu quý và cũng là vị giám đốc đầu tiên của VNU HSB là mô hình trường đào tạo về kinh doanh và quản trị đầu tiên tại Việt Nam đƣợc ĐHQG trao cho quyền tự chủ cao trong quản trị và quyền tự chủ hoàn toàn về tài chính Kể từ khi thành lập vào năm 1995, HSB là đơn vị chưa bao giờ dùng ngân sách nhà nước nhưng đã tự phát triển học thuật, phát triển cơ sở hạ tầng trường lớp sạch đẹp, đạt chuẩn quốc tế, từ việc huy động tài trợ của các tổ chức, doanh nghiệp và từ nguồn học phí học viên tự nguyện đóng góp Nhờ những cố gắng nỗ lực và thành tích đạt đƣợc, hơn 22 năm qua, HSB luôn nhận đƣợc sự quan tâm và ủng hộ của các đồng chí lãnh đạo Đảng và Nhà nước, các bộ, ban ngành và ĐHQGHN
HSB đã vinh dự đƣợc tiếp đón nhiều đồng chí lãnh đạo đến thăm nhƣ: đồng chí Lê Khả Phiêu; đồng chí Nguyễn Phú Trọng; đồng chí Vũ Khoan
Trong những năm qua, đƣợc sự quan tâm của Ban Chủ nhiệm Khoa, cơ sở hạ tầng mạng của HSB ngày đƣợc cải thiện, hệ thống máy tính cá nhân đƣợc nâng cấp cấu hình cao, hệ thống mạng đƣợc đầu tƣ theo đúng quy chuẩn, hệ thống máy chủ đƣợc trang bị đầy đủ cho việc quản trị một hệ thống mạng bảo mật và an toàn, đội ngũ nhân viên IT thường xuyên đƣợc tập huấn về an toàn thông tin trong ĐHQGHN
Trong hệ thống mạng mỗi máy chủ đƣợc tham gia vào một chức năng riêng, trợ giúp quản trị viên tăng cường khả năng ứng phó, tăng cường khả năng bảo mật trước các tình huống mất an toàn thông tin, đảm bảo các gói tin đƣợc lọc thông qua máy chủ ISA, Firewall trước khi về người dùng, kiểm soát các URL khi truy cập từ trong mạng nội bộ, lọc web và cảnh báo khi có sự cố
Sơ đồ hệ thống mạng nội bộ HSB
HSB được trang bị một phòng server với đầy đủ các trang thiết bị an ninh mạng, lưu trữ dữ liệu tập trung, một số server đƣợc ảo hóa để cài đặt các ứng dụng cần thiết phục vụ công tác học tập và nghiên cứu của học viên và giảng viên HSB
Hình 2.1: Sơ đồ hệ thống mạng của HSB
Trong những năm gần đây, Ban Chủ nhiệm ƣu tiên nâng cấp trang thiết bị phục vụ học tập đặc biệt là hệ thống máy tính và mạng Mỗi máy chủ có các đặc tính và công dụng riêng giúp cho thông tin trong nội bộ HSB được an toàn hơn trước, giúp cho quản trị viên kiểm soát đƣợc các luồng dữ liệu vào ra trong hệ thống, block các IP cần thiết, các website không an toàn …
MỘT SỐ GIẢI PHÁP NHẰM ĐẢM BẢO AN TOÀN THÔNG TIN VÀ AN
Một số giải pháp
3.1.1 Nâng cao năng lực quản trị ATTT, an ninh mạng tại HSB
Theo các báo cáo gần đây, lực lƣợng nhân sự ANM chuyên trách ở HSB hiện còn rất mỏng, chƣa đƣợc đào tạo chuyên sâu, dẫn đến công tác bảo đảm an toàn, an ninh thông tin mạng tại đơn vị, tổ chức còn tồn tại nhiều bất cập, nhất là trong bối cảnh tội phạm mạng gia tăng và ngày càng tinh vi hơn
Do đó, vấn đề quan tâm đến ANM cần được duy trì thường xuyên, quan tâm đào tạo con người, hợp tác với các tổ chức độc lập để đánh giá rủi ro, tư vấn bài bản về đảm bảo an toàn ANM:
- Đào tạo nhân viên về tầm quan trọng của bảo mật và các biện pháp, quy định bảo mật của đơn vị, trở thành một phần của quy trình dịch vụ;
- Cung cấp các kiến thức nền tảng về an toàn thông tin và đảm bảo an toàn thông tin cho toàn đơn vị;
- Cung cấp các kiến thức để học viên có thể vận hành, quản trị, giám sát hệ thống một cách an toàn;
- Cung cấp kỹ năng cho người dùng tại HSB có thể thiết lập, áp dụng các giải pháp về an toàn thông tin cơ bản đƣợc khuyến nghị vào thực tế
Về quản lý và tổ chức
- Xây dựng quy chế chính sách, tiêu chuẩn an toàn bảo mật thông tin cho đơn vị
- Xây dựng cơ chế quản lý tài nguyên số, các nguy cơ tương ứng đối với tài nguyên số
- Xây dựng cơ chế quản lý và kiểm soát ATTT với quy trình quản trị hệ thống và ứng dụng các phần mềm quản lý chính sách
- Kiểm soát truy cập: Kiểm soát chứng thực người dùng trước khi cho phép truy cập, mọi thiết bị không đạt chuẩn về an ninh đều bị chặn, cô lập thông báo cho quản trị;
- Firewall: Triển khai ở vùng mạng lỗi, giám sát luồng dữ liệu, chặn kết nối bất hợp pháp;
- Lọc nội dung: Lọc cấm các truy xuất vào dữ liệu không phù hợp cho công việc;
- Xây dựng hệ thống phát hiện ngăn chặn xâm nhập, antivirus, antispyware, antispam…;
- Mã hóa dữ liệu, xây dựng hạ tầng KPI;
- Quét tìm, phát hiện lỗ hổng bảo mật hệ thống;
- Thiết lập hệ thống cung cấp các bản vá lỗi bảo mật;
- Xây dựng cơ chế dự phòng và phục hồi backup dữ liệu đảm bảo tính liên tục của hệ thống
3.1.2 Sử dụng ISO 27001 trong công tác quản lý an toàn thông tin 3.1.2.1 Nhu cầu về tự đánh giá an toàn thông tin
Theo Nghị định 64-2007/NĐ-CP, an toàn thông tin bao gồm các hoạt động quản lý, nghiệp vụ và kỹ thuật đối với hệ thống thông tin nhằm bảo vệ, khôi phục các hệ thống, các dịch vụ và nội dung thông tin đối với nguy cơ tự nhiên hoặc do con người gây ra Việc bảo vệ thông tin, tài sản và con người trong hệ thống thông tin nhằm bảo đảm cho các hệ thống thực hiện đúng chức năng, phục vụ đúng đối tƣợng một cách sẵn sàng, chính xác và tin cậy An toàn thông tin bao hàm các nội dung bảo vệ và bảo mật thông tin, an toàn dữ liệu, an toàn máy tính và an ninh mạng
Một nhu cầu thực tế đặt ra là làm thế nào để biết các sản phẩm và hệ thống có tin cậy hay không, có áp dụng các biện pháp và kỹ thuật an toàn phù hợp hay không, mức độ an toàn nhƣ thế nào? Đánh giá an toàn thông tin chính là để đáp ứng nhu cầu đó, nhằm cung cấp bằng chứng về việc đảm bảo an toàn cho các sản phẩm và hệ thống
Mặt khác, nhiều người sử dụng CNTT không có đủ kiến thức, chuyên môn và tài nguyên cần thiết để phán xét về sự an toàn của các sản phẩm và hệ thống CNTT có phù hợp hay không, và cũng không thể chỉ dựa vào cam kết của các nhà phát triển Bởi vậy, người dùng có thể nâng cao tin cậy trong các biện pháp an toàn của hệ thống CNTT bằng cách phân tích về an toàn cho chúng, nghĩa là đánh giá an toàn Đánh giá an toàn thông tin là một nhu cầu thực tế, giúp người dùng xác định xem sản phẩm hoặc hệ thống CNTT có đủ an toàn và tin cậy chƣa khi đƣa vào sử dụng, các rủi ro an toàn tiềm ẩn khi sử dụng có chấp nhận đƣợc hay không, hoặc các sản phẩm và hệ thống có áp dụng các biện pháp và kỹ thuật an toàn phù hợp hay không, mức độ an toàn nhƣ thế nào Ngoài ra, việc đánh giá an toàn thông tin còn giúp các doanh nghiệp trong việc phát triển các sản phẩm và hệ thống CNTT đảm bảo các yêu cầu về an toàn thông tin Đánh giá an toàn thông tin cho một sản phẩm, dịch vụ hay hệ thống công nghệ thông tin cần phải nắm rõ đƣợc các yêu cầu đảm bảo an toàn thông tin, các tiêu chí và các phương pháp đánh giá an toàn thông tin cho sản phẩm, dịch vụ hay hệ thống đó
Việc sử dụng các tiêu chí đánh giá sẽ làm tăng tính tin cậy trong các yếu tố khác nhau của mô hình đánh giá sự phù hợp bảo đảm an toàn (SACA) Nhiều tiêu chí đánh giá đòi hỏi có các kinh nghiệm chuyên gia và kiến thức cơ bản, nhằm đạt đƣợc sự nhất quán và khách quan trong các kết quả đánh giá Để tăng cường sự nhất quán và khách quan cho các kết quả đánh giá, cần có một quy trình công nhận hay phê chuẩn Quy trình này xem xét kỹ càng một cách độc lập các kết quả đánh giá để đƣa ra chứng nhận hay phê chuẩn về mức độ an toàn cho các sản phẩm, dịch vụ hay hệ thống CNTT khi vào sử dụng
3.1.2.2 Sự cần thiết xây dựng tiêu chuẩn về đánh giá ATTT
Thời gian qua Bộ Thông tin và Truyền thông đã tổ chức xây dựng và đề nghị ban hành nhiều dự thảo tiêu chuẩn quốc gia về an toàn thông tin Các tiêu chuẩn này sẽ là cơ sở giúp các tổ chức, doanh nghiệp thực hiện quản lý các vấn đề về an toàn thông tin một cách tổng thể và hiệu quả Bên cạnh các tiêu chuẩn về quản lý cũng cần quan tâm đến các tiêu chuẩn liên quan đến đánh giá an toàn thông tin Đánh giá an toàn thông tin cũng là một mắt xích không thể thiếu trong quá trình đảm bảo an toàn thông tin cho các sản phẩm, dịch vụ hay hệ thống công nghệ thông tin Đến thời điểm hiện tại, tiêu chuẩn quốc gia liên quan về đánh giá an toàn thông tin mới ban hành đƣợc một bộ tiêu chuẩn TCVN 8709:2011 (tuân theo ISO/IEC 15408:2009) Nhƣ vậy tiêu chuẩn quốc gia về mảng này còn đang thiếu hụt rất lớn
Hơn nữa đánh giá an toàn thông tin cũng là một nhu cầu thiết thực, giúp tổ chức doanh nghiệp xác định đƣợc mức độ an toàn của sản phẩm, dịch vụ hay hệ thống công nghệ thông tin
3.1.2.3 Sử dụng công cụ đánh giá trong công tác đảm bảo ATTT Để việc tự đánh giá mức độ an toàn thông tin nhà quản trị cần sử dụng các bộ công cụ sau:
Hiện tại có rất nhiều các bộ tiêu chuẩn giúp nhà quản trị lập kế hoạch đánh giá xây dựng quy trình, công cụ nhận định và quản lý an toàn thông tin trong đơn vị mình nhƣ:
- TCVN (tiêu chuẩn Việt Nam)
- Khác Hàng năm các tổ chức tiêu chuẩn quốc tế vẫn liên tục cập nhật và xây dựng mới các tiêu chuẩn về an toàn thông tin Trong các tiêu chuẩn an toàn thông tin liên quan đến vấn đề quản lý an toàn thông tin có bộ tiêu chuẩn ISO/IEC 2700X Bên cạnh những tiêu chuẩn về quản lý an toàn thông tin thì chuẩn về đánh giá an toàn thông tin cũng đƣợc các tổ chức tiêu chuẩn thế giới quan tâm
Tiêu chuẩn về quản lý an toàn thông tin có bộ ISO/IEC 270X cung cấp các hướng dẫn và các vấn đề liên quan trong hệ thống quản lý an toàn thông tin:
- ISO/IEC 27000:2009 - Hệ thống quản lý an toàn thông tin - Tổng quan và từ vựng
- ISO/IEC 27001:2005 - Hệ thống quản lý an toàn thông tin - Các yêu cầu
- ISO/IEC 27002:2005 - Quy tắc thực hành quản lý an toàn thông tin
- ISO/IEC 27003:2010 - Hướng dẫn thực thi hệ thống quản lý an toàn thông tin
- ISO/IEC 27004:2009 - Quản lý an toàn thông tin - Đo lường
- ISO/IEC 27005:2011-Quản lý rủi ro an toàn thông tin
Tiêu chuẩn liên quan về đánh giá an toàn thông tin có:
Xây dựng hệ thống ATTT theo ISO 27001
Tiêu chuẩn quốc tế ISO/IEC 27001:2005 ―Công nghệ thông tin – Các phương pháp bảo mật – Hệ thống quản lý an toàn thông tin – Các yêu cầu‖ (―Information Technology – Security techniques – Information security management system – Requirements‖) đƣợc ban hành vào tháng 10/2005 và đƣợc xây dựng dựa trên nội dung tiêu chuẩn Anh BS 7799- 2:2002 do Viện Tiêu chuẩn Anh ban hành năm 2002 (19)
Tiêu chuẩn quốc tế này đƣợc chuẩn bị để đƣa ra một mô hình cho việc thiết lập, triển khai, điều hành, giám sát, xem xét, bảo trì và nâng cấp hệ thống quản lý an toàn thông tin - Information Security Management System (ATTT) Việc chấp nhận một hệ thống quản lý ATTT sẽ là một quyết định chiến lƣợc của tổ chức Thiết kế và triển khai hệ thống quản lý an toàn thông tin của một tổ chức phụ thuộc vào các nhu cầu và mục tiêu khác nhau, các yêu cầu về an toàn cần phải đạt, các quy trình đang đƣợc sử dụng và quy mô, cấu trúc của tổ chức Các điều này và các hệ thống hỗ trợ cần luôn đƣợc cập nhật và thay đổi Việc đầu tƣ và triển khai một hệ thống quản lý ATTT cần phải có tỷ trọng phù hợp với nhu cầu của tổ chức Tiêu chuẩn này có thể sử dụng để đánh giá sự tuân thủ của các bộ phận bên trong tổ chức cũng nhƣ các bộ phận liên quan bên ngoài tổ chức
Tiêu chuẩn này hướng tới việc áp dụng rộng rãi cho nhiều loại hình tổ chức khác nhau (ví dụ: tổ chức thương mại, cơ quan nhà nước, các tổ chức phi lợi nhuận v.v…) Nội dung tiêu chuẩn chỉ rõ yêu cầu cho từng quá trình: thiết lập, triển khai, điều hành, giám sát, xem xét, bảo trì và nâng cấp một hệ thống quản lý ATTT để đảm bảo an toàn thông tin trước những tất cả các rủi ro có thể xảy ra với tổ chức Tiêu chuẩn này cũng chỉ rõ các yêu cầu khi triển khai các biện pháp bảo vệ an toàn đã đƣợc chọn lọc phù hợp với nhu cầu của tổ chức hoặc một bộ phận của tổ chức
- CÁCH TIẾP CẬN THEO QUY TRÌNH
Tiêu chuẩn này khuyến khích việc chấp nhận cách tiếp cận theo quy trình khi thiết lập, triển khai, điều hành, giám sát, xem xét, bảo trì và nâng cấp hệ thống quản lý ATTT của tổ chức
Một tổ chức cần xác định và quản lý rất nhiều hoạt động để vận hành một cách hiệu quả Bất cứ hoạt động nào sử dụng các tài nguyên và quản lý việc tiếp nhận các đầu vào chuyển hóa thành đầu ra có thể coi như một quy trình Thông thường đầu ra của một quy trình này là đầu vào của một quy trình tiếp theo Việc áp dụng một hệ thống các quy trình trong tổ chức, cùng với sự nhận biết tương tác giữa các quy trình như vậy, và sự quản lý chúng, có thể coi nhƣ ―cách tiếp cận theo quy trình‖
Cách tiếp cận theo quy trình cho quản lý an toàn thông tin đƣợc trình bày trong tiêu chuẩn này nhằm khuyến khích người sử dụng nhấn mạnh các điểm quan trọng của: a) Việc hiểu các yêu cầu an toàn thông tin của tổ chức và sự cần thiết phải thiết lập chính sách và mục tiêu cho an toàn thông tin b) Việc triển khai và điều hành các biện pháp để quản lý rủi ro an toàn thông tin của tổ chức trước tất cả các rủi ro chung có thể xảy ra với tổ chức c) Việc giám sát và xem xét lợi ích và hiệu quả của hệ thống quản lý ATTT d) Thường xuyên nâng cấp dựa trên các khuôn khổ mục tiêu đã đặt ra e) Tiêu chuẩn này thông qua mô hình ―Lập kế hoạch – Thực hiện – Kiểm tra và Hành động‖ (PDCA) để áp dụng cho tất cả các quy trình trong hệ thống quản lý ATTT Hình 3.4 mô tả cách hệ thống quản lý ATTT lấy đầu vào là các yêu cầu và kỳ vọng về bảo mật thông tin của các bên thứ ba, sau khi tiến hành các quy trình xử lý cần thiết sẽ đáp ứng an toàn thông tin theo nhƣ các yêu cầu và kỳ vọng đã đặt ra
Hình 3.1: Mô hình tiêu chuẩn của ISO 27001
Bảng 3.5: Các bước thực hiện triển khai ISO 27001
P (Lập kế hoạch) - Thiết lập ATTT
Thiết lập các chính sách, mục tiêu, quy trình và thủ tục liên quan đến việc quản lý các rủi ro và nâng cao an toàn thông tin nhằm đem lại các kết quả phù hợp với các chính sách và mục tiêu chung của tổ chức
D (Thực hiện) - Triển khai và điều hành ATTT
Cài đặt và vận hành các chính sách, biện pháp quản lý,quy trình và thủ tục của hệ thống quản lý ATTT
C (Kiểm tra) - Giám sát và xem xét ATTT
Xác định hiệu quả việc thực hiện quy trình dựa trên chính sách, mục tiêu mà hệ thống quản lý ATTT đã đặt ra, kinh nghiệm thực tiễn và báo cáo kết quả cho việc xem xét của ban quản lý
A (Hành động) - Duy trì và nâng cấp ATTT
Tiến hành các biện pháp hoàn thiện và bảo vệ dựa trên cáckết quả của việc kiểm toán nội bộ hệ thống quản lý ATTT, xem xét của ban quản lý hoặc các thông tin liên quan khác nhằm liên tục hoàn thiện hệ thống quản lý ATTT
3.2.1 Một số khái niệm trong ISO 27001 a) Tài sản: Là bất cứ gì có giá trị đối với tổ chức b) Tính sẵn sàng: Tính chất đảm bảo mọi thực thể đƣợc phép có thể truy cập và sử dụng theo yêu cầu c) Tính bí mật: Tính chất đảm bảo thông tin không sẵn sàng và công khai đối với các cá nhân, thực thể và các tiến trình không đƣợc phép d) An toàn thông tin: Sự duy trì tính bí mật, tính toàn vẹn và tính sẵn sàng của thông tin, ngoài ra có thể bao hàm tính chất xác thực, kiểm soát, chống chối bỏ và tin cậy e) Sự kiện an toàn thông tin: Sự kiện xác định xảy ra trong một hệ thống, một dịch vụ hay một trạng thái mạng chỉ ra sự vi phạm chính sách an toàn thông tin, sự thất bại của hệ thống bảo vệ hoặc một tình huống bất ngờ liên quan đến an toàn f) Sự cố an toàn thông tin: Một hoặc một chuỗi các sự kiện an toàn thông tin không mong muốn có khả năng làm tổn hại các hoạt động của cơ quan tổ chức và đe dọa an toàn thông tin g) Hệ thống quản lý an toàn thông tin: Hệ thống quản lý an toàn thông tin là một phần của hệ thống quản lý tổng thể, căn cứ vào việc đánh giá rủi ro có thể xuất hiện trong hoạt động của tổ chức để thiết lập, triển khai, điều hành, giám sát, xem xét, bảo trì và nâng cấp ATTT h) Tính toàn vẹn: Tính chất đảm bảo sự chính xác và sự toàn vẹn của các tài sản i) Rủi ro tồn đọng: Các rủi ro còn lại sau quá trình xử lý rủi ro j) Sự chấp nhận rủi ro: Quyết định chấp nhận sự tồn tại một rủi ro k) Phân tích rủi ro: Sử dụng thông tin một cách có hệ thống nhằm xác định các nguồn gốc và đánh giá rủi ro l) Đánh giá rủi ro: Quá trình so sánh rủi ro đã đƣợc dự đoán với chỉ tiêu rủi ro đã có nhằm xác định mức độ nghiêm trọng của rủi ro m) Quản lý rủi ro: Các hoạt động phối hợp nhằm điều khiển và quản lý một tổ chức trước các rủi ro có thể xảy ra n) Xử lý rủi ro: Quá trình lựa chọn và triển khai các biện pháp hạn chế rủi ro o) Thông báo áp dụng: Thông báo đƣợc biên soạn nhằm mô tả mục tiêu quản lý và biện pháp quản lý thích hợp áp dụng cho hệ thống quản lý ATTT của tổ chức Các mục tiêu quản lý và biện pháp quản lý đƣợc xây dựng dựa trên các kết quả tổng kết của việc đánh giá rủi ro, các quá trình xử lý rủi ro, các yêu cầu hay chế tài về pháp lý, các ràng buộc và các yêu cầu trong hoạt động nghiệp vụ của tổ chức để đảm bảo an toàn thông tin p) Tổ chức: Tổ chức (TC) là hình thức tập hợp, liên kết các thành viên trong xã hội (cá nhân, tập thể) nhằm đáp ứng yêu cầu, nguyện vọng, lợi ích của các thành viên, cùng nhau hành động vì mục tiêu chung (20)
3.2.2 Thiết lập và quản lý hệ thống an toàn thông tin Để thiết lập hệ thống quản lý ATTT, tổ chức cần thực hiện nhƣ sau:
3.2.2.1 Phạm vi và giới hạn của hệ thống ATTT Định nghĩa phạm vi và giới hạn của hệ thống quản lý ATTT theo các mặt: đặc thù công việc, sự tổ chức, địa điểm, các tài sản và công nghệ, đồng thời bao gồm cả các thông tin chi tiết và lý do nếu loại bỏ yêu cầu khỏi phạm vi áp dụng
3.2.2.2 Chính sách triển khai hệ thống quản lý ATTT
Vạch rõ chính sách triển khai hệ thống quản lý ATTT theo các mặt: đặc thù công việc, sự tổ chức, địa điểm, các tài sản và công nghệ mà trong đó: a) Bao gồm khuôn khổ để xây dựng mục tiêu, thiết lập định hướng và nguyên tắc cho việc đảm bảo an toàn thông tin
20 ISO/IEC 1799:2000, Information technology – Code of Practice b) Chú ý đến các hoạt động nghiệp vụ, pháp lý, quy định và các điều khoản bắt buộc về bảo mật c) Đƣa vào các yêu cầu kinh doanh, các yêu cầu và chế tài về pháp lý cũng nhƣ các nghĩa vụ về an toàn an ninh có trong hợp đồng d) Thực hiện sự thiết lập và duy trì hệ thống quản lý ATTT nhƣ một phần trong chiến lƣợc quản lý rủi ro của tổ chức e) Thiết lập các chỉ tiêu đánh giá rủi ro có thể xảy ra f) Đƣợc ban quản lý phê duyệt Để đạt đƣợc mục tiêu của tiêu chuẩn này, chính sách triển khai hệ thống quản lý ATTT đƣợc xem xét nhƣ là một danh mục đầy đủ các chính sách an toàn thông tin Các chính sách này có thể đƣợc mô tả trong cùng một tài liệu
3.2.2.3 Phương pháp tiếp cận đánh giá rủi ro
Xác định phương pháp tiếp cận đánh giá rủi ro của tổ chức a) Xác định hệ phương pháp đánh giá rủi ro thích hợp với hệ thống quản lý ATTT, và các quy định, pháp lý, an toàn bảo mật thông tin đã xác định b) Phát triển chỉ tiêu cho các rủi ro có thể chấp nhận và vạch rõ các mức rủi ro có thể chấp nhận đƣợc c) Hệ phương pháp đánh giá rủi ro được lựa chọn sẽ đảm bảo các đánh giá rủi ro đưa ra các kết quả có thể so sánh và tái tạo đƣợc d) Có nhiều hệ phương pháp đánh giá rủi ro khác nhau Ví dụ về các hệ phương pháp đánh giá rủi ro đƣợc nêu ra trong tài liệu ISO/IEC TR 13335-3 ―Information technology- Guidelines for the management of IT Security – Techniques for the management of IT Security‖ (21)
3.2.2.4 xác định rủi ro a) Xác định các tài sản trong phạm vi hệ thống quản lý ATTT và đối tƣợng quản lý các tài sản này b) Xác định các mối đe doạ có thể xảy ra đối với tài sản c) Xác định các yếu điểm có thể bị khai thác bởi các mối đe doạ trên d) Xác định những tác động xấu tới các tính chất quan trọng của tài sản cần bảo đảm: bí mật, toàn vẹn và sẵn sàng
21 ISO/IEC TR 13335-1:2004, Information technology - Security Techniques Management of information
Kết luận
Qua các con số phản ánh thống kê của các bộ ngành, có thể đánh giá tình hình ATTT tại Việt Nam đã đƣợc cải thiện nhiều, thể hiện qua chỉ số ATTT của Việt Nam tăng lên và có xu hướng tăng bền vững Tuy nhiên, vấn đề ATTT vẫn còn nhiều diễn biến phức tạp Điều này cũng phù hợp với nhận định của các chuyên gia trong hội thảo Ngày an toàn thông tin Việt Nam năm 2016 về ―Kỷ nguyên mới của chiến tranh mạng‖ và Việt Nam vẫn là một điểm nóng về tấn công mạng Để môi trường ATTT tại Việt Nam được phát triển bền vững, lành mạnh hơn nữa, các cơ quan quản lý nhà nước, các tổ chức và cá nhân cần phải nâng cao nhận thức chung và thống nhất hợp tác trong xử lý các tình huống về ATTT Bên cạnh đó, cần xây dựng cơ chế phối hợp và chia sẻ thông tin giữa các cơ quan, tổ chức và có sự điều phối chung của nhà nước, trong đó, lấy con người làm nguồn lực chính, phát triển công nghệ ATTT phù hợp đặc thù Việt Nam, đẩy mạnh các hoạt động khuyến khích cộng đồng tham gia vào lĩnh vực hoạt động này
Trong quá trình nghiên cứu tại HSB tác giả nhận thấy cần nâng cao nhận thức của người dùng về ATTT và ANM tại các đơn vị giáo dục, triển khai toàn diện và sâu rộng các kiến thức kỹ năng nhằm đảm bảo an toàn thông tin trong HSB cũng nhƣ ĐHQGHN, việc trang bị kiến thức cơ bản cho cá nhân administrator system trong đơn vị là hết sức cần thiết
- Về nghiên cứu, tìm hiểu hệ thống quản lý ATTT theo chuẩn ISO 27001:
Hệ thống quản lý an toàn thông tin ATTT bao gồm con người, các quá trình và các hệ thống CNTT Lập một hệ thống quản lý ATTT theo chuẩn ISO 27001 là cách tiếp cận mang tính hệ thống để quản lý thông tin nhạy cảm của tổ chức nhằm duy trì và đảm bảo ba thuộc tính an toàn thông tin: Tính tin cậy, Tính toàn vẹn, Tính sẵn sàng
ISO 27001 giúp cho tổ chức tạo đƣợc một hệ thống quản lý an toàn thông tin chặt chẽ nhờ luôn đƣợc cải tiến nhằm đảm bảo an ninh và khai thác thông tin một cách hợp lý và hiệu quả nhất
Tuy nhiên việc tuân theo hoặc đạt đƣợc chứng chỉ chuẩn ISO 27001 không thể chứng minh tổ chức đƣợc đảm bảo an toàn 100% Không có điều gì là an ninh hoàn toàn ngoại trừ không làm gì cả Tuy nhiên, sự thừa nhận chuẩn quốc tế này đƣa ra những lợi ích chắc chắn mà người quản lý cần phải xem xét
Cấp độ tổ chức: Sự cam kết - chứng chỉ nhƣ là một cam kết hiệu quả của nỗ lực đƣa an ninh của tổ chức đạt tại các cấp độ và chứng minh sự cần cù thích đáng của chính những người quản trị
Cấp độ pháp luật: Tuân thủ - chứng minh cho nhà chức trách rằng tổ chức đã tuân theo tất cả các luật và các qui định áp dụng
Cấp độ điều hành: Quản lý rủi ro - Mang lại những hiểu biết tốt hơn về các hệ thống thông tin, điểm yếu của chúng và làm thế nào để bảo vệ chúng Tương tự, nó đảm bảo nhiều khả năng sẵn sàng phụ thuộc ở cả phần cứng và phần mềm
Cấp độ thương mại: Sự tín nhiệm và tin cậy - Các thành viên, cổ đông, và khách hàng vững tin khi thấy khả năng và sự chuyên nghiệp của tổ chức trong việc bảo vệ thông tin Chứng chỉ có thể giúp nhìn nhận riêng từ các đối thủ cạnh tranh trong thị trường
Cấp độ tài chính và cấp độ con người: Tiết kiệm chi phí khắc phục các lỗ hổng an ninh và có khả năng giảm chi phí bảo hiểm Cải tiến nhận thức của nhân viên về các vấn đề an ninh và trách nhiệm của họ trong tổ chức.
Hạn chế
Khi nói đến Hack, Hacker người làm công tác đảm bảo an toàn hệ thống cần có những kiến thức về kỹ thuật chuyên sâu nhƣ lập trình, kiểm thử, test hệ thống, bug lỗi…, nhiều kinh nghiệm, suy nghĩ và làm việc nhƣ một hacker Hạn chế của luận văn là chƣa thể cung cấp đầy đủ các kiến thức kỹ thuật chuyên sâu cho người dùng, cũng như chưa thể đưa ra được một phương án cụ thể để khắc phục một sự cố mất an toàn thông tin mà chỉ đánh giá mang tính lý thuyết, phòng thủ bị động Bên cạnh đó việc nghiên cứu sâu về các toots hack của Backtrack 5, Kali chƣa đƣợc toàn diện, chỉ thực hiện demo đƣợc các tools tấn công và kiểm tra hệ thống cơ bản
Việc tìm hiểu về các hệ thống đảm bảo ATTT, các tiêu chuẩn ATTT là cần có các bộ phận chuyên sâu và sự đầu tƣ thỏa đáng về tài chính trong tổ chức, việc này khó áp dụng với các đơn vị vừa và nhỏ nhƣ HSB ISO là kim chỉ nam cho tổ chức ISO 2700x giúp tổ chức có định hướng và quan tâm hơn đến ATTT, nhờ đó có những đánh giá có hệ thống, toàn điện về ATTT, bên cạnh đó việc duy trì thường xuyên chứng chỉ này giúp tổ chức chủ động trong công tác đảm bảo ATTT nhƣng tốn kém nguồn lực thời gian nhân lực, tài chính dẫn đến việc thực hiện không đầy đủ hoặc mai một theo thời gian.
Kiến nghị
Trong thời gian công tác tại Khoa Quản trị và Kinh doanh – Đại học Quốc gia Hà Nội, cũng nhƣ trong quá trình hoàn thiện luận văn này tác giả nhận thấy việc đảm bảo an toàn thông tin trong giáo dục chƣa đƣợc quan tâm cao, các đơn vị chỉ tập trung vào nghiên cứu đào tạo, sử dụng các sản phẩm công nghệ thông tin mà coi nhẹ việc đảm bảo an toàn thông tin trên đó, đặc biệt một số phần mềm đang phát triển trong ĐHQG còn không sử dụng bộ công cụ kiểm thử ATTT nào để đánh giá, lãnh đạo các đơn vị cho rằng không có hacker nào tấn công vào các hệ thống giáo dục, chƣa có một cuộc họp nào liên quan đến vấn đề ATTT trong ĐHQG, điều này là rất chủ quan và nguy hiểm, cũng nhƣ vấn đề ATTT không đƣợc quan tâm đúng mức, ngay trong quá trình hoàn thiện luận văn này, toàn bộ hệ thống Server của Trung tâm Ứng dụng công nghệ thông tin - ĐHQG đang bị mất dữ liệu của các đơn vị thành viên Một trong số những nguyên nhân là mất ATTT, thông qua luận văn này với mong muốn mang đến cái nhìn tổng quát về ATTT kính mong các cấp lãnh đạo HSB, ĐHQG quan tâm hơn nữa đến ATTT trong giáo dục Bên cạnh đó tác giả nhận thấy trong ĐHQG chƣa có đơn vị thành viên nào đƣa ISO 27001 vào đơn vị mình, qua luận văn này kính mong ban lãnh đạo triển khai đồng bộ trong ĐHQG.
