Untitled 31 Diễn đàn khoa học công nghệ Soá 1+2 naêm 2019 Vì sao phải có chính sách bảo đảm ATTT mạng? Trong ngành CNTT, ba yếu tố chính nhận thức, nhân lực, quy trình có ảnh hưởng trực tiếp đến công[.]
Diễn đàn khoa học - công nghệ cần thiết phải xây dựng sách Bảo đảM an tồn thơng tin Mạng Chu Văn Quang kh&CN Hệ thống giám sát an toàn thông tin (ATTT) cho phép thu thập, chuẩn hóa, lưu trữ và phân tích tương quan toàn các kiện ATTT sinh hệ thống công nghệ thông tin (CNTT) tổ chức Hệ thống này phát hiện kịp thời các công mạng, các điểm yếu, lỗ hổng bảo mật các thiết bị, ứng dụng và dịch vụ hệ thống; phát hiện kịp thời bùng nổ virus hệ thống mạng, các máy tính bị nhiễm mã độc, các máy tính bị tình nghi là thành viên mạng máy tính ma (botnet) Tuy nhiên, việc giám sát về mặt kỹ thuật là chưa đủ Nó đòi hỏi phải có chế, sách nhằm điều chỉnh hành vi ứng xử thành tố liên quan công tác đảm bảo ATTT Vì phải có sách bảo đảm ATTT mạng? Trong ngành CNTT, ba yếu tố chính: nhận thức, nhân lực, quy trình có ảnh hưởng trực tiếp đến công tác bảo đảm ATTT Các yếu tố gắn chặt với yếu tố người Con người không chủ nhân thông tin mà cịn có khả phân tích, khái qt rút kết luận từ liệu, người nguồn cung cấp thông tin Nhưng người cịn có điểm yếu dễ cảnh giác, vụ lợi, số bị mua chuộc, đối tượng tiếp cận để khai thác thơng tin Ngồi yếu tố người, phương tiện kỹ thuật yếu tố tạo nên nhiều nguy đe dọa ATTT Chính xác hơn, chúng nguồn gốc làm lộ nguồn thông tin mật nguồn gốc tạo yếu tố an toàn hệ thống Trong số phương tiện kỹ thuật, mạng máy tính (cục hay diện rộng) có vai trị đặc biệt Từ hạ tầng (vật lý, hệ điều hành, BIOS…) đến thượng tầng mạng máy tính có nhiều lỗ hổng, tạo kênh tiếp cận trái phép cho kẻ khai thác thông tin bất hợp pháp Nếu mạng máy tính khơng áp dụng biện pháp bảo vệ với laptop, kẻ khai thác bất hợp pháp dễ dàng đột nhập vào sở liệu máy tính để lấy sửa đổi, bóp méo tệp thơng tin mà chúng quan tâm Đối với mạng máy tính diện rộng bộ/ngành, khu vực hay quốc gia, người ta thống kê có loại nguy an tồn sau: xâm nhập từ xa tới máy tính tới sở liệu; thu, chặn thông tin, liệu truyền khoảng cách lớn; phát tán virus điện tử; hủy hoại làm sai lệch nội dung thông tin Theo thống kê Hãng bảo mật Kaspersky, Việt Nam số quốc gia đứng đầu giới tỷ lệ lây nhiễm mã độc qua thiết bị lưu trữ (USB, thẻ nhớ, ổ cứng di động), với tỷ lệ 70,83% máy tính bị lây nhiễm, gần 40% người dùng phải đối mặt với mã độc bắt nguồn từ khơng gian mạng Có thể thấy, cơng tác bảo đảm ATTT gắn liền với công tác tuyên truyền, nâng cao nhận thức; đào tạo, phát triển nguồn nhân lực ATTT; biện pháp quản lý, quy trình nghiệp vụ Để có điều thiết phải thơng qua việc xây dựng, ban hành, hồn thiện hệ thống văn bản, chế sách mang tính pháp quy, đạo điều hành lĩnh vực ATTT; chế, sách ATTT đưa phương pháp, hệ thống nguyên tắc đòi hỏi hệ thống thông tin, nhân lực quản lý, vận hành phải tuân thủ, đảm bảo công tác ATTT thực thi Trên phương diện quản lý nhà nước, kết giám sát an tồn 31 Số 1+2 năm 2019 Diễn đàn Khoa học - Công nghệ nước, chế độ, ảnh hưởng xấu đến tiến trình phát triển kinh tế - xã hội, an ninh, quốc phòng Chủ động phòng ngừa, hạn chế sơ hở, thiếu sót, khơng để lực thù địch loại đối tượng lợi dụng xâm nhập hệ thống thông tin, thu thập, chiếm đoạt bí mật nhà nước, thơng tin nội gây phương hại đến an ninh quốc gia, lợi ích quan, tổ chức công dân Thực trạng xây dựng, ban hành sách bảo đảm ATTT mạng Nghị số 36-NQ/TW ngày 1/7/2014 Bộ Chính trị đẩy mạnh ứng dụng, phát triển CNTT đáp ứng yêu cầu phát triển bền vững hội nhập quốc tế rõ: “Gắn kết chặt chẽ việc ứng dụng, phát triển CNTT phải đơi với bảo đảm an tồn, an ninh bảo mật hệ thống thông tin sở liệu quốc gia”, đặc biệt cần “phát huy vai trò lực lượng chuyên trách bảo vệ an tồn, an ninh thơng tin bí mật Nhà nước Thực chế phối hợp chặt chẽ lực lượng công an, quân đội, ngoại giao, yếu, thơng tin truyền thơng” để có biện pháp tổ chức kỹ thuật, sẵn sàng đối phó với chiến tranh thơng tin, chiến tranh mạng, bảo đảm chủ quyền quốc gia, trật tự an toàn xã hội Trong năm gần đây, Đảng Nhà nước có nhiều chủ trương, sách biện pháp đẩy mạnh phát triển ứng dụng CNTT, viễn thông, gắn liền với công tác bảo đảm an tồn, an ninh thơng tin, sẵn sàng đối phó với chiến tranh không gian mạng Chỉ thị 28-CT/TW ngày 16/9/2013 Ban Bí thư tăng cường công tác đảm bảo ATTT mạng quán triệt, triển khai, giúp tăng cường lãnh đạo, đạo, quản lý; kịp thời phát hiện, ngăn chặn, xử lý thông tin có nội dung xấu, độc hại gây tổn hại đến uy tín Đảng, Nhà mạng giúp tạo báo cáo tổng hợp, thống kê tình hình công mạng Đây coi sở để xác định xu hướng, xây dựng sách an toàn mạng, ATTT Việc giám sát an toàn mạng quốc gia cấp bách, nhằm tạo môi trường để quan, tổ chức, doanh nghiệp phối hợp, chia sẻ thông tin giám sát, cảnh báo nguy ATTT Như vậy, chế, sách ATTT mạng đóng vai trị quan trọng cơng tác đảm bảo ATTT mà Đảng, Nhà nước trọng thực 32 Soá 1+2 naêm 2019 Luật ATTT mạng ban hành năm 2015 thể chế hóa chủ trương, đường lối, sách Đảng Nhà nước ATTT, đáp ứng yêu cầu phát triển bền vững kinh tế - xã hội, bảo vệ thông tin hệ thống thông tin, góp phần bảo đảm quốc phịng, an ninh, chủ quyền lợi ích quốc gia khơng gian mạng Các Nghị quyết, Chỉ thị Đảng, văn quy phạm pháp luật Nhà nước thống quan điểm đạo bảo đảm an toàn, an ninh thông tin bảo vệ chủ quyền quốc gia không gian mạng, cụ thể là: - Chủ quyền không gian mạng phận quan trọng chủ quyền quốc gia Bảo vệ chủ quyền quốc gia không gian mạng nhiệm vụ cấp bách, lâu dài hệ thống trị, đặt lãnh đạo trực tiếp, toàn diện Đảng, quản lý Nhà nước; yếu tố then chốt hình thành khơng gian mạng quốc gia an tồn ổn định, tạo bước đột phá xây dựng, bảo vệ Tổ quốc - Huy động sức mạnh nguồn lực hệ thống trị tồn xã hội bảo vệ chủ quyền quốc gia không gian mạng, tạo trận quốc phịng tồn dân gắn với trận an ninh nhân dân Diễn đàn khoa học - công nghệ việc bảo vệ chủ quyền quốc gia không gian mạng Đầu tư cho bảo vệ chủ quyền quốc gia không gian mạng đầu tư cho bảo vệ Tổ quốc, cần ưu tiên - Chủ động phòng vệ, sẵn sàng đáp trả hợp pháp mối đe dọa, bảo vệ vững chủ quyền, an ninh quốc gia không gian mạng Xây dựng lực lượng bảo vệ chủ quyền quốc gia không gian mạng quy, tinh nhuệ, đại - Ứng dụng CNTT tất lĩnh vực phải gắn với đảm bảo an tồn, an ninh thơng tin, bảo vệ chủ quyền quốc gia không gian mạng Nhận thức tầm quan trọng ATTT nên Đảng, Nhà nước đạo bộ/ngành, địa phương triển khai xây dựng nhiều chủ trương, sách ATTT Bộ Thông tin Truyền thông (TT&TT) với trách nhiệm quản lý nhà nước lĩnh vực ATTT phối hợp với bộ/ ngành xây dựng, hoàn thiện hệ thống nhiều văn quy phạm pháp luật ATTT Tuy nhiên có thực tế là, vận hành trì hệ thống, đại đa số quan chưa xây dựng áp dụng sách bảo mật thông tin; cán nhân viên chưa tuân thủ nghiêm túc quy định ATTT (trong sử dụng email, sử dụng hệ thống quản lý văn điều hành…), tạo lỗ hổng để tin tặc cơng hệ thống thông tin cách dễ dàng Theo Sách trắng CNTT năm 2013, tỷ lệ đơn vị có ban hành quy trình thao tác chuẩn phản ứng, xử lý cố máy tính chiếm 27% Hiệp hội ATTT Việt Nam (VNISA) công bố nhiều dẫn chứng cho thấy 56% số tổ chức, doanh nghiệp chưa có quy chế ATTT Theo Báo cáo số 58/BCBTTTT Bộ Thông tin Truyền thông ngày 29/7/2015 việc sơ kết năm triển khai thực Quyết định số 63/QĐTTg Thủ tướng Chính phủ phê duyệt Quy hoạch phát triển ATTT số quốc gia đến năm 2020, có 11 bộ, quan ngang bộ, quan thuộc Chính phủ 37 tỉnh/thành phố trực thuộc Trung ương ban hành Quy chế bảo đảm ATTT, điển Bộ: Giáo dục Đào tạo, Quốc phịng, Cơng an, Nội vụ, Tư pháp, Tài chính, Xây dựng, Nơng nghiệp Phát triển nông thôn…; số địa phương như: Hà Nội, An Giang, Bắc Ninh, Đà Nẵng, Đồng Nai, Cần Thơ, Hịa Bình, Hải Dương, Tun Quang, Vĩnh Phúc… Mỗi bộ/ngành, địa phương xây dựng ban hành sách bảo đảm ATTT phù hợp với cấu tổ chức điều kiện thực tế Việc triển khai thực thi sách theo khác Tuy nhiên, sách bảo đảm ATTT cần đáp ứng yêu cầu quản lý, giám sát tuân thủ thực biện pháp bảo đảm ATTT mức độ tình khẩn cấp Số liệu cho thấy, việc ban hành chế sách số bộ/ngành, địa phương cịn chậm trễ Ngun nhân kể đến sau đây: - ATTT lĩnh vực mới, văn hướng dẫn thực chưa đầy đủ, dẫn đến cơng tác xây dựng sách gặp nhiều khó khăn - Cán chuyên trách công tác ATTT chủ yếu kiêm nhiệm, không đào tạo bản, thiếu chuyên môn chuyên sâu kinh nghiệm triển khai thực tế - Công tác quản lý chưa chuẩn hóa làm cho việc xây dựng sách bảo mật thơng tin khó khăn Đề xuất xây dựng Quy chế bảo đảm ATTT mạng Bộ KH&CN Vài nét thực trạng đảm bảo ATTT Bộ KH&CN Tại Bộ KH&CN, hệ thống CNTT xây dựng hình thành từ thập niên 90 kỷ trước Trải qua nhiều giai đoạn nâng cấp, đầu tư phát triển, hệ thống CNTT Bộ KH&CN tương đối đại đồng Hệ thống cung cấp dịch vụ CNTT Bộ như: xác thực AD, thư điện tử, quản lý văn điều hành công việc Các đơn vị trực thuộc Bộ như: Tổng cục Tiêu chuẩn Đo lường Chất lượng, Cục Sở hữu trí tuệ, Cục Thơng tin KH&CN Quốc gia, Viện Năng lượng Nguyên tử Việt Nam, Khu Cơng nghệ cao Hịa Lạc có hạ tầng kỹ thuật riêng với quy mô dịch vụ CNTT khác Các hệ thống hoạt động độc lập chưa có liên kết liệu Các đơn vị có phận kỹ thuật quản trị, vận hành hệ thống riêng chưa có sách bảo đảm ATTT quy chế quản lý hoạt động thống Việc phối hợp thực nhiệm vụ dựa vụ cụ thể Trong năm gần đây, tình hình ATTT ngồi nước có diễn biến phức tạp Các hành vi công mạng trở lên tinh vi nguy hiểm Tại Bộ KH&CN ghi nhận số dị qt cơng mạng điển hình như: thư mạo danh tên miền most gov.vn nhằm phát tán mã độc 33 Số 1+2 năm 2019 Diễn đàn Khoa học - Công nghệ định số 05/2017/QĐ-TTg ngày 16/3/2017 Thủ tướng Chính phủ ban hành quy định hệ thống phương án ứng cứu khẩn cấp bảo đảm ATTT mạng quốc gia văn khác Bộ Thông tin Truyền thông… chiếm quyền kiểm sốt máy tính (8/2015); hành vi cơng lợi dụng lỗ hổng bảo mật ứng dụng Microsoft Ofice, Adobe Flash Player (10/2015); hoạt động dò quét địa IP công tràn nhớ hệ thống (11/2016)… Gần việc công Deface lên trang điện tử Cục Ứng dụng Phát triển công nghệ (7/2017) Rất may cố Trung tâm CNTT phát kịp thời phối hợp ngăn chặn Với vai trò chuyên trách CNTT Bộ, Trung tâm CNTT đầu mối mạng lưới ứng cứu cố mạng máy tính quốc gia VNCert điều phối tình hình ứng dụng CNTT Quy chế chưa đủ để đáp ứng nhu cầu Bộ, tính đến thời điểm Bộ chưa ban hành văn cụ thể liên quan trực tiếp đến ATTT Đây hạn chế lớn bối cảnh tình hình ATTT nước quốc tế có diễn biến phức tạp Vì vậy, việc khẩn trương xây dựng ban hành Quy chế đảm bảo an tồn an ninh thơng tin mạng Bộ KH&CN cấp thiết nhằm đẩy mạnh ứng dụng, phát triển CNTT đáp ứng yêu cầu phát triển bền vững hội nhập quốc tế theo định hướng chung Đảng Nhà nước Đề xuất xây dựng Quy chế bảo đảm ATTT Bộ KH&CN Trước tình hình trên, năm 2017 Trung tâm CNTT giao chủ trì xây dựng Quy chế bảo đảm an tồn, an ninh thơng tin mạng Bộ KH&CN Quy chế gồm chương 24 điều, quy định cụ thể đối tượng, phạm vi, cách thức, yêu cầu cần thiết để đảm bảo an toàn, an ninh thông tin Bộ KH&CN Nội dung Quy chế đảm bảo thực theo yêu cầu Nghị định 85/2016/ NĐ-CP ngày 1/7/2016 Chính phủ bảo đảm an tồn hệ thống thơng tin theo cấp độ; Quyết Ngay từ năm 2009, Bộ KH&CN xây dựng ban hành Quy chế quản lý khai thác tài nguyên mạng máy tính (theo Quyết định số 1331/QĐBKHCN ngày 23/7/2009 Bộ trưởng Bộ KH&CN), quy định trách nhiệm đơn vị, cá nhân việc khai thác tài nguyên mạng máy tính Bộ dành riêng Chương quy định hệ thống thư điện tử Đối với 34 Số 1+2 năm 2019 Các quy định đảm bảo an toàn, an ninh thông tin Bộ KH&CN quy định chi tiết Chương II, gồm nội dung chính: i) Quản lý trang thiết bị CNTT; ii) Bảo dảm an toàn hệ thống CNTT (bảo đảm ATTT trung tâm liệu máy chủ, bảo đảm ATTT sử dụng máy tính, hệ thống mạng máy tính, quản lý tài khoản truy cập…); iii) Xác định cấp độ phương án bảo đảm an tồn hệ thống thơng tin; iv) Giám sát an tồn thơng tin mạng; v) Kiểm tra, đánh giá ATTT, vi) Ứng cứu cố ATTT mạng… Dự kiến, Quy chế triển khai thực từ năm 2019 Việc tuân thủ Quy chế giúp đảm bảo ATTT cho hệ thống thông tin Bộ theo yêu cầu Đảng Nhà nước lĩnh CNTT Bên cạnh đó, Quy chế ban hành góp phần hồn thiện hệ thống văn quản lý hành chính, văn đạo điều hành Bộ KH&CN lĩnh vực ATTT, phục vụ công tác quản lý nhà nước thời gian tới, tránh cố CNTT xảy năm vừa qua ? ... yêu cầu cần thiết để đảm bảo an toàn, an ninh thông tin Bộ KH&CN Nội dung Quy chế đảm bảo thực theo yêu cầu Nghị định 85/2016/ NĐ-CP ngày 1/7/2016 Chính phủ bảo đảm an tồn hệ thống thơng tin theo... 2019 Các quy định đảm bảo an tồn, an ninh thông tin Bộ KH&CN quy định chi tiết Chương II, gồm nội dung chính: i) Quản lý trang thiết bị CNTT; ii) Bảo dảm an toàn hệ thống CNTT (bảo đảm ATTT trung... làm cho việc xây dựng sách bảo mật thơng tin khó khăn Đề xuất xây dựng Quy chế bảo đảm ATTT mạng Bộ KH&CN Vài nét thực trạng đảm bảo ATTT Bộ KH&CN Tại Bộ KH&CN, hệ thống CNTT xây dựng hình thành