Bộ Thông tin Truyền thông Trung tâm VNCERT VỀ TÌNH HÌNH TRIỂN KHAI ĐẢM BẢO AN TỒN, AN NINH MẠNG TẠI VIỆT NAM Trình bày: TS Vũ Quốc Khánh Security World - Hà Nội, 03/2012 Nội dung I MÔI TRƯỜNG CNTT - Hạ tầng mạng CNTT-TT - Chính phủ điện tử - Thương mại điện tử - Phát triển thách thức II MÔI TRƯỜNG PHÁP LÝ - Một số nhận định - Kế hoạch phát triển III TÌNH HÌNH AN TỒN THƠNG TIN SỐ - Quản lý ATTT - Xử lý cố ATTT - Đánh giá nguy ATTT - Giải pháp I MÔI TRƯỜNG CNTT HẠ TẦNG MẠNG CNTT-TT (2/2012) Mạng truyền dẫn cáp quang Hầu hết xã Mạng điện thoại cố định, động Hầu hết xã Mạng Internet Hầu hết xã Vệ tinh viễn thông Vinasat Cả nước Số thuê bao (x triệu) Tăng/giảm so với kỳ năm trước Thuê bao điện thoại cố định 15,3 -1,4 % Thuê bao điện thoại di động 119 +4,3 % Số người sử dụng Internet 32,6 +18,4 % Thuê bao Internet băng rộng 4,3 +18,2 % Nguồn: Tổng cục Thống kê PHÁT TRIỂN CHÍNH PHỦ ĐIỆN TỬ (12/2010) Bộ, Cơ quan ngang Bộ Tỉnh, TP trực thuộc TƯ Có mạng nội đơn vị chuyên trách CNTT 100% 100% Có trang/cổng TTĐT 21/22 62/63 Tỷ lệ máy tính tổng số cán bộ, công chức 88,50% 63,19% Tỷ lệ máy vi tính kết nối Internet 88,37% 85,53% Dịch vụ cơng trực tuyến mức 4.841 88.387 28 751 Ứng dụng CNTT quản lý điều hành (Tính đến đơn vị cấp trực thuộc) 95% 75% Xây dựng triển khai sử dụng hệ thống thư điện tử công việc 90% 93% Dịch vụ công trực tuyến từ mức 2-4 Tỷ lệ địa phương có ứng dụng CNTT phận cửa (tại 30% số quận, huyện) 87% (20%) PHÁT TRIỂN THƯƠNG MẠI ĐIỆN TỬ (12/2010) Tỷ lệ Sử dụng máy tính 100% Kết nối Internet 98% Kết nối Internet băng rộng 89% Sử dụng thư điện tử SX-KD + Doanh nghiệp lớn + Doanh nghiệp vừa nhỏ 96% 80% Đặt hàng qua email 53% Nhận đặt hàng qua email 52% Đặt hàng qua website 21% Nhận đặt hàng qua website 15% Có website riêng 38% Tham gia sàn giao dịch điện tử 14% Hộ gia đình sử dụng dịch vụ TMĐT TP lớn (Hà Nội ) + Dùng internet cho TMĐT + Có tốn trực tuyến 49% 18% 4% PHÁT TRIỂN VÀ THÁCH THỨC Dự báo (Đề án đưa VN thành nước mạnh CNTT-TT) + 2015: 50% dân số, 20%-30% hộ GĐ sử dụng Internet băng rộng, 85% phủ sóng di động băng rộng, dịch vụ công mức 2,3 + 2020: 70% dân số, 50%-60% hộ GD sử dụng Internet băng rộng, 95% phủ sóng di động băng rộng, dịch vụ cơng mức Thách thức: + Tài chính-Ngân hàng, TMĐT, CPĐT, Dịch vụ mạng + ĐT đám mây+3G+mạng xã hội = tảng CNTT + Sử dụng khơng an tồn, thiếu hiểu biết, thiếu quản lý + Kỹ thuật hacker > < Kỹ thuật ATTT + Tội phạm mạng, khủng bố mạng  ATTT ngày quan trọng II MÔI TRƯỜNG PHÁP LÝ VỀ ATTT Giai đoạn 2005-2011 + Luật liên quan: + Nghị định: + Thông tư: + Văn điều hành, Quyết định: + Tiêu chuẩn Việt Nam: Một số nhận định chung + Các quy định phong phú Tập trung giải vấn đề xúc Ưu tiên đưa quy định định hướng Chú trọng chế tài xử lý + Vấn đề hệ thống: Chưa có tính hệ thống cao, Nhiều văn gị bó, khái niệm chưa qn Các văn QPPL tảng chưa đón đầu phát triển + Vấn đề thực thi tuân thủ: Bước đầu quan tâm chưa nhiều Thiếu hệ thống hướng dẫn, tài liệu đào tạo Thiếu tiêu chuẩn, quy chuẩn PHÁT TRIỂN MÔI TRƯỜNG PHÁP LÝ Đang kế hoạch xây dựng + Luật: + Nghị định: thông tư + Tiêu chuẩn Việt Nam tương thích quốc tế: 31 Nhóm tiêu chuẩn quản lý an tồn thơng tin: Nhóm tiêu chuẩn đánh giá ATTT: Nhóm tiêu chuẩn kỹ thuật AT mạng ứng cứu cố: Nhóm tiêu chuẩn đào tạo ATTT: Nhóm tiêu chuẩn mật mã chứng thực số: II TÌNH HÌNH AN TOÀN TT số - Triển khai Quy hoạch phát triển ATTT số từ 2010 - Triển khai Chỉ thị 897/CT-TTg ngày 10/6/2011 Thủ tướng CP tăng cường triển khai hoạt động đảm bảo an tồn thơng tin số - Theo báo cáo CQNN đến tháng 11/2011, phần lớn bộ, ngành địa phương xây dựng phê duyệt kế hoạch đảm bảo an tồn thơng tin số - Trên 30% đơn vị chuyên trách CNTT bộ, ngành địa phương ban hành quy chế đảm bảo an tồn thơng tin số 10 ĐÁNH GIÁ NGUY CƠ ATTT - Tấn cơng hệ thống tài chính, ngân hàng - Đột nhập mạng phủ, hệ thống thơng tin QG - Nguy công mạng - Nguy tội phạm mạng hệ - Nguy sử dụng cơng nghệ - Nguy an tồn thông tin viễn thông - Nguy chiến tranh mạng chuẩn bị - Nguy phụ thuộc, khơng kiểm sốt ATTT 19 Tấn cơng thám 20 Lộ Bí mật Lừa đảo, giả mạo Bị tiền Xâm nhập, phá hoại, DDoS ĐÁNH GIÁ NGUY CƠ ATTT Mất uy tín ĐÁNH GIÁ NGUY CƠ ATTT 21 Khai thác lỗ hổng Sử dung mã độc Tấn công xã hội Bản đồ phát mã độc Q1-2011 22 Theo thống kê Microsoft Bản đồ phát mã độc Q2-2011 23 Theo thống kê Microsoft Máy chủ phát tán mã độc Q2 - 2011 24 Theo thống kê Microsoft Thống kê hiểm họa từ Q3-2010 đến Q2-2011 Sophos: During the first half of 2011, we saw a new malicious URL every seconds 25 Theo thống kê Microsoft Thống kê social engineering 26 Theo thống kê Microsoft Tình hình lây lan mã độc - Botnet sử dụng rộng rãi tìm cách để phát tán - Các mã độc có khả theo dõi, đánh cắp thông tin sử dụng để công vào nhiều quan, tổ chức, doanh nghiệp - Các virus lây file nguy lớn, lây lan hàng triệu máy Việt Nam, đặc biệt dòng virus lây file phức tạp Sality - Xuất mã độc hệ điều hành di động Android, có xu hướng tăng mạnh 27 Cách phát tán, lây lan mã độc - Lây lan qua thiết bị USB - Phát tán qua chương trình chat Yahoo chí Facebook - Lây lan thông qua lợi dụng điểm yếu trình duyệt Web - Phát tán qua Email cách gửi file đính kèm độc hại, hay đường link độc hại - Lây lan qua tệp tin thực thi, ví dụ nhúng mã độc vào phần mềm crack - Giả mạo phần mềm để lây lan, ví dụ giả mạo trình diệt virus - Khai thác điểm yếu phần mềm, hệ điều hành để lây lan, đặc biệt phần mềm phổ biến Microsoft Word 28 IV GIẢI PHÁP – HÀNH ĐỘNG Khuyến cáo chống mã độc - Bật tường lửa máy tính - Để hệ điều hành chế độ cập nhật thường xuyên - Sử dụng trình diệt mã độc có khả cập nhật liên tục để chế độ bảo vệ tự động - Sử dụng phần mềm có nguồn gốc rõ ràng, tốt lấy nguồn từ trang chủ phần mềm - Khi nhận file đính kèm thư điện tử cần xem xét kĩ lưỡng trước mở kể file văn Không mở file đáng nghi ngờ 29 GIẢI PHÁP theo QUY HOẠCH đến 2020 Đảm bảo sở hạ tầng CNTT&TT Phát triển nguồn nhân lực nâng cao nhận thức Đảm bảo an toàn cho ứng dụng CNTT Hồn thiện mơi trường pháp lý định hướng QUY HOẠCH PT ATTT SỐ ĐẾN 2020 Nâng cao nhận thức, đẩy mạnh thơng tin, tun truyền ATTT Hồn thiện chế sách nhà nước ATTT Đẩy mạnh hợp tác nước giải pháp Phát triển nguồn lực ATTT: Huy động vốn, Đào tạo nhân lực Xây dựng thiết chế tăng cường hoạt động đảm bảo ATTT MỘT SỐ GỢI Ý ĐỐI VỚI TỔ CHỨC, DN Quản lý ATTT - Mơ hình PDCA theo tư tưởng TC ISO/IEC-27000 - Quản lý tồn diện, q trình liên tục, TUÂN THỦ Sử dụng mạng đường truyền - Mạng TSLCD >>> mạng Internet trực tiếp - Không nối đồng thời cổng mạng TSLCD Internet - Mạng mở  đặt chế độ bảo vệ chặt chẽ Sử dụng phần mềm, dịch vụ - Phần mềm xây dựng theo nguyên tắc lập trình an tồn - Ưu tiên PM có ghi biên trạng thái, người truy cập - Thiết lập cấu hình quản trị hệ thống - Dùng tên mật truy cập có độ an tồn cao 31 MỘT SỐ GỢI Ý Đầu tư công nghệ ATTT - Hệ thống lưu online, off-line - Chống virus, mã độc (giải pháp hệ thống) - Giám sát ghi biên truy cập, chống DoS - Phát công, truy cập trái phép Bảo mật liệu - Ứng dụng PKI CA - Mã hóa liệu lưu trữ trao đổi Ứng cứu cố - CERT / CSIRT Mạng lưới Kinh phí ATTT - Lồng ghép vào KH ƯD CNTT, chiếm từ 7-15% - Phải có KP đầu tư chi phí vận hành 32 Xin chân thành cảm ơn Liên hệ: Vũ Quốc Khánh Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam, Bộ Thông tin Truyền thông 18 Nguyễn Du, Hà Nội, Việt Nam Tel: (84) 36404 420 Fax: (84) 36404 425 Email: vqkhanh@mic.gov.vn 33 ... thực số: II TÌNH HÌNH AN TỒN TT số - Triển khai Quy hoạch phát triển ATTT số từ 2010 - Triển khai Chỉ thị 897/CT-TTg ngày 10/6/2011 Thủ tướng CP tăng cường triển khai hoạt động đảm bảo an tồn thơng... phương xây dựng phê duyệt kế hoạch đảm bảo an tồn thơng tin số - Trên 30% đơn vị chuyên trách CNTT bộ, ngành địa phương ban hành quy chế đảm bảo an tồn thơng tin số 10 VỀ QUẢN LÝ ATTT 69% đơn vị có... TRƯỜNG CNTT - Hạ tầng mạng CNTT-TT - Chính phủ điện tử - Thương mại điện tử - Phát triển thách thức II MÔI TRƯỜNG PHÁP LÝ - Một số nhận định - Kế hoạch phát triển III TÌNH HÌNH AN TỒN THƠNG TIN SỐ