Đề tài : NGHIÊN CỨU XÂY DỰNG CHIẾN LƯỢC AN TOÀN THÔNG TIN VÀ ĐỀ XUẤT CÁC BIỆN PHÁP TRIỂN KHAI TẠI MẠNG NINH BÌNH Bố cục gồm 6 chương, cụ thể như sau: Chương 1: Nhu cầu thực tế và định hướng nghiên cứu. Chương 2: Phân tích, đánh giá về tình trạng ATTT hiện nay Chương 3: Xây dựng chiến lược ATTT và mô hình quản lý ATTT cấp tỉnh Chương 4: Các biện pháp đảm bảo ATTT. Chương 5: Các biện pháp triển khai áp dụng tại tỉnh Ninh Bình. Chương 6: Kết luận và hướng phát triển tiếp.
i LỜI CẢM ƠN Trong trình thực đề tài Học viện Cơng nghệ Bưu Viễn thơng nhận nhiều bảo, hướng dẫn, hỗ trợ giúp đỡ tận tình cho việc hồn thiện đề tài Trước hết xin chân thành cảm ơn thầy giáo hướng dẫn TSKH Hoàng Đăng Hải, người thầy tận tình, bảo, hướng dẫn tơi suốt q trình thực luận văn Tơi xin bày tỏ lịng biết ơn đến thầy cô giáo giảng dạy lớp Cao học Điện tử - Viễn thơng Khố thầy cô Học viện Công nghệ Bưu Viễn thơng bạn bè góp ý cho tơi để hồn thành đề tài nghiên cứu Trong q trình thực hiện, đề tài khơng tránh khỏi thiếu sót, tơi mong nhận ý kiến đóng góp để đề tài hồn thiện Xin chân thành cảm ơn! Học viên Phạm Đình Hưng ii MỤC LỤC Lời cảm ơn i Mục lục ii Danh mục chữ viết tắt ký hiệu vi Danh mục hình vẽ, bảng biểu vii Tài liệu tham khảo Phụ lục Mục lục CHƯƠNG 1: NHU CẦU THỰC TẾ VÀ ĐỊNH HƯỚNG NGHIÊN CỨU 1.1 Nhu cầu thực tế xây dựng chiến lược an toàn thông tin 1.2 Mục tiêu luận văn 1.3 Định hướng nghiên cứu đóng góp luận văn CHƯƠNG 2: PHÂN TÍCH ĐÁNH GIÁ VỀ TÌNH HÌNH AN TỒN THÔNG TIN HIỆN NAY 2.1 Tổng quan an tồn thơng tin .7 2.2 Một số khái niệm an tồn thơng tin 2.3 Tầm quan trọng việc đảm bảo an tồn thơng tin 11 2.4 Nguồn gốc chất vấn đề an tồn thơng tin 12 2.5 Các nguy hiểm họa lỗ hổng an ninh 15 2.5.1 Nguy cơ, hiểm họa 15 2.5.2 Phân loại lỗ hổng an ninh 15 2.5.3 Tình xuất lỗ hổng an ninh 16 2.6 Những vấn đề nóng an tồn thơng tin Việt Nam 16 2.6.1 Tình hình phát triển Internet 16 2.6.2 Những vấn đề nóng an tồn thơng tin Việt Nam 17 2.6.2.1 Sự gia tăng hình thức cơng, lừa đảo mạng 17 2.6.2.2 Sự gia tăng mức độ thiệt hại ảnh hưởng 18 2.6.2.3 Sự gia tăng lỗ hổng an ninh 19 2.6.2.4 Sự gia tăng virus mã độc hại nội .20 2.6.2.5 Những vấn đề đáng lo ngại cần quan tâm 21 2.6.2.6 Sự thiếu hụt sở pháp lý 22 iii 2.7 Đánh giá chung tình hình ATTT giới nước 23 2.7.1 Xu gia tăng Spyware 23 2.7.2 Tính đa dạng phức tạp vấn đề an ninh thông tin 23 2.7.3 Tốc độ quy mô phát triển công mạng 24 2.7.4 Trình độ kỹ thuật, cơng nghệ loại hình cơng mạng 24 2.7.5 Màu sắc trị cơng, xâm nhập mạng 24 2.7.6 Nhận thức xã hội nhu cầu đảm bảo an tồn thơng tin: 25 2.7.7 Xu hướng chung giới vấn đề an tồn thơng tin .25 CHƯƠNG 3: XÂY DỰNG CHIẾN LƯỢC ATTT VÀ MƠ HÌNH QUẢN LÝ ATTT CẤP TỈNH 27 3.1 Sự cần thiết phải có chiến lược an tồn thơng tin 27 3.2 Cơ sở cho xây dựng chiến lược an tồn thơng tin 27 3.3 Các nguyên tắc chủ yếu xây dựng chiến lược ATTT .28 3.3.1 Các yêu cầu xây dựng chiến lược ATTT 28 3.3.2 Các lĩnh vực liên quan quản lý ATTT 28 3.3.3 Các nguyên tắc chung xây dựng chiến lược ATTT .29 3.4 Nội dung chiến lược an tồn thơng tin 29 3.4.1 Mục tiêu chiến lược 29 3.4.2 Đánh giá cơng tác đảm bảo an tồn an ninh thông tin 29 3.4.3 Dự báo xu hướng an tồn thơng tin giai đoạn 2008 – 2012 31 3.4.3.1 Xu hướng xuất tội phạm máy tính chuyên nghiệp 31 3.4.3.2 Xu hướng công từ chối dịch vụ, spam, spyware 32 3.4.3.3 Xu hướng công gia tăng vào website .32 3.4.3.4 Nhu cầu phối hợp lực lượng kỹ thuật luật pháp .33 3.4.3.5 Xu hướng công vào công ty viễn thông 33 3.4.3.6 Dự báo thị trường bảo mật nhu cầu chuyên gia bảo mật Việt Nam 33 3.4.4 Các nội dung chiến lược an tồn thơng tin 33 3.4.4.1 Tăng cường vai trò quản lý nhà nước đảm bảo an tồn thơng tin .33 3.4.4.2 Ngăn chặn công vào sở hạ tầng thông tin 34 3.4.4.3 Giảm thiểu lỗ hổng điểm yếu hệ thống 35 3.4.4.4 Quản lý nguy công vào đối tượng khác 36 3.5 Một số công việc cần triển khai 37 3.5.1 Cải thiện môi trương pháp lý quản lý nhà nước .37 3.5.2 Triển khai kế hoạch nâng cao nhận thức cộng đồng an toàn mạng 38 3.5.3 Triển khai kế hoạch nâng cao lực an toàn mạng quốc gia 38 3.5.4 Đẩy mạnh thực số dự án, cung cấp dịch vụ cho xã hội, cộng đồng 38 iv 3.5.5 Đẩy mạnh nghiên cứu KHCN đồng thời tăng cường hợp tác quốc tế 39 3.6 Xây dựng mơ hình quản lý ATTT cấp tỉnh 39 3.6.1 Mơ hình phối hợp quản lý 39 3.6.2 Các trọng tâm mơ hình quản lý ATTT cấp tỉnh 40 3.6.2.1 Xây dựng hệ thống giám sát, cảnh báo, xử lý cố mạng cấp tỉnh 40 3.6.2.2 Xây dựng hệ thống phịng thủ chống cơng, giảm thiểu thiệt hại 43 3.2.2.3 Xây dựng chương trình đào tạo, nâng cao nhận thức 44 3.6.2.4 Xây dựng triển khai biện pháp bảo vệ sở hạ tầng thông tin 45 3.6.2.5 Xây dựng quy trình phối hợp xử lý cố 45 CHƯƠNG 4: ĐỀ XUẤT CÁC BIỆN PHÁP ĐẢM BẢO ATTT 47 4.1 Tổng quan biện pháp đảm bảo ATTT .47 4.1.1 Biện pháp quản lý 47 4.1.2 Biện pháp kỹ thuật 47 4.2 Các biện pháp tổ chức quản lý 48 4.2.1 Nhiệm vụ quản lý an tồn thơng tin .48 4.2.2 Các biện pháp tổ chức quản lý nhằm đảm bảo ATTT 48 4.2.2.1 Đảm bảo tính xác thực 48 4.2.2.2 Đảm bảo tính sẵn sàng thông tin 49 4.2.2.3 Đảm bảo tính bảo mật 49 4.2.2.4 Đảm bảo tính tồn vẹn 49 4.2.3 Các biện pháp quản lý khác 50 4.3 Biện pháp kỹ thuật .50 4.3.1 Hệ thống biện pháp kỹ thuật 50 4.3.1.1 Bảo vệ tài nguyên mạng chống xâm nhập trái phép công từ bên .50 4.3.1.2 Bảo vệ tài nguyên mạng chống xâm nhập trái phép, công từ bên mạng 51 4.3.1.3 Bảo vệ thông tin chống giả mạo người dùng để xâm nhập trái phép vào hệ thống 51 4.3.1.4 Kiểm tra phát lỗ hổng mạng để vá trước bị công 51 4.3.1.5 Chống virus thâm nhập lây lan qua mạng 52 4.3.1.6 Kiểm sốt nội dung thơng tin .52 4.3.2 Xây dựng mức vành đai bảo vệ an toàn mạng 52 CHƯƠNG 5: CÁC BIỆN PHÁP TRIỂN KHAI ÁP DỤNG TẠI TỈNH NINH BÌNH 54 5.1 Hiện trạng sở hạ tầng thơng tin tỉnh Ninh Bình 54 v 5.1.1 Những yếu tố điều kiện tự nhiên, kinh tế xã hội ảnh hưởng đến phát triển ứng dụng công nghệ thông tin 54 5.1.2 Hiện trạng Cơ sở hạ tầng công nghệ thông tin tỉnh 55 5.1.3 Thực trạng nguồn nhân lực công nghệ thông tin 55 5.1.4 Công nghiệp phần cứng, phần mềm địa bàn tỉnh 57 5.2 Tình hình ứng dụng công nghệ thông tin tỉnh vấn đề đặt 57 5.2.1 Ứng dụng công nghệ thông tin quan hành nhà nước .57 5.2.2 Ứng dụng công nghệ thông tin quan Đảng .57 5.2.3 Ứng dụng công nghệ thông tin giáo dục, đào tạo 58 5.2.4 Ứng dụng công nghệ thông tin y tế 58 5.2.5 Ứng dụng công nghệ thông tin lĩnh vực khác 58 5.3 Đánh giá trạng ứng dụng công nghệ thơng tin Ninh Bình 59 5.3.1 Đánh giá chung ứng dụng công nghệ thông tin tỉnh 59 5.3.1.1 Điểm mạnh 59 5.3.1.2 Điểm yếu .60 5.3.2 Các vấn đề đặt 61 5.4 Đề xuất giải pháp biện pháp triển khai chiến lược an tồn thơng tin tỉnh Ninh Bình 62 5.4.1 Quan điểm triển khai thực thi chiến lược ATTT cấp tỉnh 62 5.4.2 Các giải pháp biện pháp triển khai chiến lược an tồn thơng tin tỉnh Ninh Bình 63 5.4.3 Đề xuất giải pháp xây dựng hệ thống giám sát an toàn mạng cảnh báo tỉnh Ninh Bình 66 CHƯƠNG 6: KẾT LUẬN VÀ HƯỚNG NGHIÊN CỨU TIẾP 68 6.1 Kết luận 68 6.2 Kiến nghị hướng phát triển đề tài 70 Tài liệu tham khảo .71 Phụ lục 1: Danh sách doanh nghiệp cung cấp dịch vụ IXP ISP 72 Phụ lục 2: Các văn pháp lý ban hành liên quan đến vấn đề ATTT 74 DANH MỤC CÁC CHỮ VIẾT TẮT VÀ KÝ HIỆU vi ATTT An tồn thơng tin Bộ TT&TT Bộ Thơng tin truyền thông CNTT Công nghệ thông tin CNTT-TT Công nghệ thông tin - truyền thông CSHT Cơ sở hạ tầng CSHT-TT Cơ sở hạ tầng thông tin GDP Tổng sản lượng quốc nội IDS/IPS Hệ thống phát hiện, chống xâm nhập ICSA Hiệp hội An ninh máy tính quốc tế PKI Cơ sở hạ tầng khố cơng khai Sở TT&TT Sở thông tin truyền thông VNCERT Trung tâm ứng cứu khẩn cấp máy tính Việt Nam VNNIC Trung tâm Internet Việt Nam DANH MỤC CÁC HÌNH VẼ, BẢNG BIỂU Trang Hình 2.1: Cơ sở hạ tầng thơng tin trọng yếu Hình 2.2 Các thành phần mơi trường khơng gian mạng Hình 2.3.Tình hình phát triển mạng Internet 16 Hình 2.4.Thị phần Internet Việt Nam tính đến 7-2008 17 Hình 2.5 Tỷ lệ phần trăm máy tính ngành Việt Nam bị nhiễm vi rút 19 Hình 3.1 Số lượng vụ cơng lấy cắp mật tăng nhanh 32 Hình 3.2 Số lượng vụ lừa đảo tăng nhanh 32 vii Hình 3.3 Mơ hình trao đổi thơng tin, phối hợp xử lý, thơng báo cố 40 Hình 3.4 Sơ đồ hệ thống giám sát, cảnh báo, xử lý cố cấp tỉnh 41 Hình 3.5 Hệ thống giám sát, cảnh báo sớm phản ứng nhanh cấp tỉnh 43 Hình 4.1 Các mức độ bảo vệ mạng 52 Hình 5.1 Sơ đồ kết nối mạng viễn thông cấp tỉnh Ninh Bình 65 Hình 5.2 Hệ thống cảnh báo sớm phản ứng nhanh toàn mạng cấp tỉnh 67 Bảng 1: Nguồn nhân lực công nghệ thông tin Ninh Bình tính đến 12/2006 56 Bảng 5.2: Xếp hạng mức độ sẵn sàng ứng dụng công nghệ thông tin 58 viii MỞ ĐẦU Trong thời đại bùng nổ thơng tin ngày nay, việc đảm bảo an tồn thơng tin, liệu vấn đề cấp thiết đặt cho tổ chức - doanh nghiệp Đối với chịu trách nhiệm quản lý hệ thống mạng viễn thơng, mạng máy tính, cho tổ chức – doanh nghiệp môi trường kinh doanh mơi trường e-commerce bảo mật - an tồn thơng tin vấn đề hàng đầu tình Tầm quan trọng an tồn thơng tin từ lâu ghi nhận quân lĩnh vực hoạt động xã hội nơi xuất nguy đe dọa đến an ninh quốc gia Việc làm chủ an ninh thông tin số bí mật giải mã mật mã - công nhận tác nhân quan trọng đem lại chiến thắng nhiều xung đột quân từ nhiều kỷ qua, chiến thứ II kỷ trước Với khái niệm an tồn thơng tin phương tiện che dấu thông tin bảo vệ khơng bị bóp méo hay bị mát trình truyền tin, bị đánh cắp liệu Việc giải mã mật mã phương tiện làm vơ hiệu hố khả an ninh đối phương Với phát triển đa dạng nhanh chóng dịch vụ ứng dụng mạng nay, thông tin trở thành tài sản giá trị, an tồn thơng tin ngày coi trọng trở thành vấn đề trọng tâm chiến lược phát triển mạng lưới Mạng máy tính ngày trở thành môi trường phổ biến để truyền thơng tin nhạy cảm, ví dụ chuyển tiền điện tử, trao đổi liệu thương mại, thơng tin nhạy cảm liên quan đến phủ, quốc gia thông tin liên quan khác đến tài sản công ty tập đoàn kinh tế,… Sự gia tăng liên kết mạng làm cho hệ thống thông tin trở thành truy cập cộng đồng người dùng Kỹ thuật công mạng máy tính ngày trở lên dễ dàng nhờ có sẵn cơng nghệ phát triển tinh xảo giá thành cơng nghệ thường giảm xuống nhanh chóng làm cho người hiếu kỳ sử dụng để trở thành kẻ cơng mạng Cho đến nay, an tồn thơng tin khơng cịn đơn vấn đề kỹ thuật mà liên quan đến nhiều yếu tố khác như: định hướng phát triển, quy hoạch, chế sách, công nghệ, sở hạ tầng thông tin quốc gia, nhân sự, tổ chức quản lý, nhận thức xã hội, sở pháp lý, chế tài… Vấn đề đảm bảo an tồn thơng tin cần xem xét cách tồn diện, tổng thể Chính lý nêu trên, xây dựng chiến lược an toàn thông tin việc làm cấp bách thiết thực Nhiều quốc gia xây dựng chiến lược an tồn thơng tin cho riêng Trong đó, Việt Nam chưa có chiến lược an tồn thơng tin quốc gia, an tồn thơng tin cịn lĩnh vực quan tâm thời gian gần Nhận thức an tồn thơng tin nước ta thấp Chiến lược quy hoạch, phát triển mạng lưới có đảm bảo an tồn thơng tin cịn mang nặng tính kinh nghiệm, thiếu sở khoa học Mặt khác, chiến lược an tồn thơng tin khơng cần thiết cấp quốc gia, mà cần xây dựng quan/tổ chức, doanh nghiệp Theo định nghĩa Wikipedia, chiến lược kế hoạch dài hạn nhằm đạt mục tiêu tổng thể chung tổ chức nhóm người Chính sách kế hoạch hành động cụ thể hướng dẫn thực thi nhằm đạt mục tiêu cụ thể hóa cho chiến lược Xuất phát từ trạng phát triển thông tin truyền thông nước, từ nhu cầu thực tế cấp thiết nay, việc nghiên cứu tìm hiểu vấn đề liên quan đến an tồn thơng tin xây dựng chiến lược an tồn thơng tin biện pháp đảm bảo an tồn thơng tin vấn đề cấp thiết đặt Trong khuôn khổ luận văn khơng đề cập đến an tồn thơng tin cấp quốc gia Chủ đề luận văn nghiên cứu xây dựng chiến lược an tồn thơng tin đề xuất biện pháp triển khai mạng cấp tỉnh Ninh Bình Về mặt phương pháp luận, chiến lược sách thực thi biện pháp đề xuất áp dụng cho xây dựng chiến lược sách an tồn thơng tin quốc gia, áp dụng rộng rãi cho tỉnh thành khác, cho quan/tổ chức doanh nghiệp Trên sở vậy, luận văn nghiên cứu xây dựng chiến lược an toàn thông tin, biện pháp triển khai áp dụng tỉnh Ninh Bình, có bố cục gồm chương, cụ thể sau: 64 - Xây dựng hệ thống cảnh báo, xử lý cố cho mạng lưới tỉnh - Xây dựng hệ thống chống công, giảm thiểu thiệt hại có áp dụng hệ thống bảo vệ cho hệ thống thông tin trọng yếu địa bàn tỉnh Ví dụ: cho hệ thống thơng tin ngân hàng, chứng khoán, giao dịch điện tử, dịch vụ hành cơng… - Xây dựng chương trình đào tạo, nâng cao nhận thức cho cộng đồng mạng, cho trường học cho quan, tổ chức, doanh nghiệp địa bàn tỉnh - Xây dựng quy trình bảo vệ sở hạ tầng thông tin tỉnh - Xây dựng quy trình phối hợp xử lý cố có phối hợp quan, doanh nghiệp địa bàn tỉnh phối hợp với quan trung ương Cần có biện pháp tổ chức quản lý biện pháp kỹ thuật cụ thể sau: - Xây dựng thực thi sách an tồn thơng tin, mơ tả u cầu, mơ hình an tồn thơng tin, u cầu đặt trình xây dựng dự án đầu tư, thiết kế hệ thống, chứng nhận hệ thống tuân thủ theo tiêu chuẩn sách an toàn - Áp dụng biện pháp bảo vệ phòng máy, cáp kết nối, quyền truy cập, quyền sử dụng khai thác thông tin… - Triển khai hệ thống vành đai bảo vệ: Bức tường lửa, hệ thống phịng thủ, khu vực mật mã… Hình 5.2 trang sau mơ tả cấu hình mạng lưới Viễn thơng Ninh Bình bảo vệ Firewall 65 66 5.4.3 Đề xuất giải pháp xây dựng hệ thống giám sát an toàn mạng cảnh báo tỉnh Ninh Bình Để cảnh báo kịp thời nguy virus máy tính nguy tiềm ẩn khác, cần phải kiểm soát lưu lượng thông tin mạng Internet Sự tăng giảm đột biến lưu lượng cho phép đánh giá lượng thông tin có hại lưu truyền mạng internet, từ phân loại loại nguy cơng Mặt khác, hệ thống mạng kiểm soát lưu lượng giúp cho phân tích liệu lưu lượng để thống kê giám sát mạng, phát truy quét mạng bất thường theo dõi hành vi bất thường, phát cơng để có cảnh báo sớm, phát xung yếu dự báo nguy tiềm ẩn mạng Phần trình bày đề xuất xây dựng hệ thống giám sát an toàn mạng cảnh báo cố cho tỉnh Ninh Bình Các chức hệ thống giám sát an tồn mạng cảnh báo bao gồm: - Thu thập, lưu trữ xử lý tin báo cố - Kiểm soát lưu lượng, theo dõi tăng giảm đột biến lưu lượng - Phân tích, thống kê, đánh giá số liệu lưu lượng - Giám sát, phát hành vi truy quét mạng bất thường, theo dõi hành vi bất thường - Căn vào số liệu thu thập phát công để đưa cảnh báo sớm Trên chức cần có hệ thống giám sát cảnh báo Căn vào thông tin thu thập được, theo dõi lưu lượng phát nguy công mạng Trên sở đó, lập dự báo nguy tiềm ẩn công mạng Các thông tin nguy công tiềm ẩn lưu trữ sở liệu phục vụ cho việc phân tích, thống kê, phát đưa cảnh báo sở so sánh đánh giá đột biến lưu lượng Mơ hình sau mơ tả hệ thống giám sát, cảnh bảo sớm phản ứng xử lý cố an tồn mạng cấp tỉnh 67 Hình 5.2 Hệ thống giám sát cảnh báo ATTT cấp tỉnh Theo mơ hình trên, cố nút mạng đưa trung tâm tiếp nhận cố, báo hệ thống an toàn mạng để báo động cho trung tâm quản lý an tồn thơng tin Sau trung tâm tiếp nhận cố nhận thông tin cố từ nút mạng truyền về, thông tin chuyển tới trung tâm xử lý ứng cứu cấp tỉnh để phân tích, hỗ trợ xử lý cố phần chuyển lưu trữ sở liệu cố tỉnh để lưu trữ, thống kê tình hình cố xảy Thơng qua thống kê theo dõi cố mạng, phát kẽ hở điểm xung yếu mạng cấp tỉnh để có cảnh báo, phản ứng kịp thời có cố xảy 68 CHƯƠNG 6: KẾT LUẬN VÀ HƯỚNG NGHIÊN CỨU TIẾP 6.1 Kết luận An tồn thơng tin vấn đề rộng vấn đề cấp thiết thời đại cơng nghệ thơng tin Ngày có nhiều người kết nối Internet công ty ngày mở rộng vấn đề bảo đảm an toàn cho mạng quan, tổ chức ngày trở lên quan trọng An tồn thơng tin bao hàm nghĩa bảo vệ mạng từ bên việc chống lại cơng ác ý từ bên ngồi An tồn thơng tin thực chất đảm bảo chắn người dùng thực việc cho phép, nhận thông tin cho phép gây hư hại với liệu, ứng dụng hay hệ điều hành hệ thống Xác định nguy mạng, có chế sách rõ ràng, chặt chẽ sử dụng tốt biện pháp đảm bảo an toàn mạng ngày hoàn thiện chúng giúp đảm bảo an toàn mạng Đây vấn đề quan trọng hoạt động sản xuất kinh doanh doanh nghiệp hoạt động quan, tổ chức Với phát triển đa dạng nhanh chóng dịch vụ ứng dụng mạng nay, thông tin trở thành tài sản giá trị, an tồn thơng tin ngày coi trọng trở thành vấn đề trọng tâm chiến lược phát triển mạng lưới Cùng với phát triển không ngừng Internet dịch vụ Internet, số lượng vụ công Internet tăng theo cấp số nhân Cho đến nay, an tồn thơng tin khơng cịn đơn vấn đề kỹ thuật mà liên quan đến nhiều yếu tố khác như: định hướng phát triển, quy hoạch, chế sách, cơng nghệ, sở hạ tầng thông tin quốc gia, nhân sự, tổ chức quản lý, nhận thức xã hội, sở pháp lý, chế tài… Vấn đề đảm bảo an toàn thơng tin cần xem xét cách tồn diện, tổng thể An tồn thơng tin mắt xích liên kết hai yếu tố: yếu tố cơng nghệ yếu tố người, người khâu quan trọng Việc nhận thức không tn thủ sách an tồn thơng tin ngun nhân gây tình trạng an tồn thơng tin 69 Chính lý nêu trên, xây dựng chiến lược an tồn thơng tin việc làm cấp bách thiết thực Thông qua chiến lược an tồn thơng tin, việc quản lý hệ thống thông tin nâng lên tầm cao Trong hoàn cảnh Việt Nam chưa có chiến lược an tồn thơng tin quốc gia, việc quản lý an tồn thơng tin mạng địa bàn tỉnh nhiều bất cập Nhận thức an tồn thơng tin cịn thấp Chiến lược quy hoạch, phát triển mạng lưới có đảm bảo an tồn thơng tin cịn mang nặng tính kinh nghiệm, thiếu sở khoa học Xuất phát từ trạng phát triển thông tin truyền thông nước, từ nhu cầu thực tế cấp thiết nay, việc nghiên cứu tìm hiểu vấn đề liên quan đến an tồn thơng tin xây dựng chiến lược an tồn thơng tin biện pháp đảm bảo an tồn thơng tin vấn đề cấp thiết đặt ra, địi hỏi có nghiên cứu xây dựng sở khoa học Chủ đề luận văn nghiên cứu xây dựng chiến lược an tồn thơng tin đề xuất biện pháp triển khai mạng cấp tỉnh Ninh Binh Luận văn tập trung nghiên cứu đạt kết cụ thể sau: - Nghiên cứu tổng quan an tồn thơng tin; phân tích, đánh giá tình trạng an tồn thơng tin nước quốc tế, nguy cơ, hiểm họa, mối đe dọa công vào hệ thống CNTT làm sở cho việc xây dựng chiến lược đề xuất biện pháp đảm bảo an tồn thơng tin - Nghiên cứu, phân tích u cầu cụ thể xây dựng chiến lược an toàn thơng tin đảm bảo phát triển mạng có định hướng bền vững; đảm bảo hạ tầng cho phát triển CNTT dịch vụ - Nghiên cứu xây dựng chiến lược an tồn thơng tin mơ hình quản lý ATTT cấp tỉnh; xây dựng mơ hình quan hệ phối hợp; đề xuất nội dung triển khai chiến lược ATTT - Đề xuất biện pháp tổ chức, quản lý, kỹ thuật nhằm đảm bảo ATTT biện pháp triển khai chiến lược ATTT cụ thể tỉnh Ninh Bình - Đề xuất hệ thống giám sát an toàn mạng cảnh báo nguy cơ, hệ thống bảo vệ chống công khắc phục xử lý cố cấp tỉnh 70 Chiến lược an tồn thơng tin xây dựng tảng hệ thống sách, quy tắc, quy trình giải pháp kỹ thuật nhằm mục đích đảm bảo an tồn tài nguyên thông tin cho quan, tổ chức, doanh nghiệp 6.2 Kiến nghị hướng phát triển đề tài Như trình bày bài, Việt Nam chưa có chiến lược an tồn thơng tin quốc gia, an tồn thơng tin cịn lĩnh vực Nghiên cứu xây dựng chiến lược an tồn thơng tin lĩnh vực rộng, có liên quan đến nhiều tổ chức bao gồm quan quyền, doanh nghiệp cộng đồng xã hội Bài luận văn xây dựng chiến lược an tồn thơng tin, đề xuất biện pháp triển khai mạng cấp tỉnh Ninh Binh đề xuất hệ thống giám sát an toàn mạng, cảnh báo cấp tỉnh Để chiến lược, biện pháp triển khai hệ thống giám sát thực triển khai được, cần có thêm nhiều giải pháp đồng khác từ phía quyền Do vậy, luận văn xin đề xuất hướng phát triên tiếp sau: * Nghiên cứu hồn thiện hệ thống chế sách, tổ chức quản lý giám sát mạng, quy trình giám sát, xử lý cố cho mạng cấp tỉnh * Nghiên cứu xây dựng hệ thống giám sát mạng xử lý cảnh báo cấp tỉnh 71 Tài liệu tham khảo National Information Security Center - NISC Japan, Information Security Policy Council, “The First National Stratege on information Security – Toward the realization of a Trustworthy Society”, February 2006 www.nisc.go.jp/eng/pdf/national_strategy_001_eng.pdf OECD – Organisation for Economic Co-operation and Development, “The Promotion of a Culture of Security for Information Systems and Networks in OECD Countries”, DSTI /ICCP / REG (2003) / FINAL; www.olis.oecd.org/olis/2003doc.nsf/LinkTo/dsti-iccp-reg(2003)8-final Tổng cục Đo lường Chất lượng Việt Nam, “Tiêu chuẩn TCVN 7562”, 2006 YANET MANZANO, “Policies to Enhance the Forensic of Computer Security”, April 2000 The Department of Homeland Security (DHS), The US White House, Washington DC, “The National strategy to Secure Cyberspace”, February 2003 www.dhs.gov/xlibrary/assets/National_Cyberspace_Strategy.pdf National Information Security Center - NISC Japan, Information Security Policy Council, “Secure Japan 2006” www.nisc.go.jp/eng/pdf/sj2006_eng.pdf ITU-T, “Security in Telecommunications and Information Technology – An Overview of Issues and the Deployment of existing ITU-T Recommendation for secure Telecommunications”, October 2004, www.itu.int/ITU-T/studygroups/com17/tel-security.html Tóm tắt quy hoạch CNTT tỉnh Ninh Bình đến năm 2015 định hướng đến năm 2020 – Sở TT&TT Website Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam, www.vncert.gov.vn 10 Website Trung tâm An ninh mạng BKIS, www.bkav.com.vn 11 Website Bộ Thông tin Truyền thông, www.mic.gov.vn 72 Phụ lục 1: Danh sách doanh nghiệp cung cấp dịch vụ IXP ISP DOANH NGHIỆP CHÍNH THỨC CUNG CẤP DỊCH VỤ KẾT NỐI INTERNET (IXP)có doanh nghiệp Tổng cơng ty Bưu Viễn thơng Việt Nam (VNPT) Công ty Điện tử Viễn thông quân đội (VIETTEL) Công ty cổ phần phát triển đầu tư công nghệ FPT Công ty viễn thông điện lực (EVN Telecom) Công ty cổ phần dịch vụ Bưu chính, Viễn thơng Sài Gịn (Saigon Postel) DOANH NGHIỆP CHÍNH THỨC CUNG CẤP DỊCH VỤ TRUY NHẬP INTERNET (ISP) - có doanh nghiệp Tổng cơng ty Bưu Viễn thơng Việt Nam (VNPT) Cơng ty Điện tử Viễn thông quân đội - (VIETTEL) Công ty Cổ phần dịch vụ Internet (OCI) Công ty cổ phần phát triển đầu tư công nghệ FPT Công ty cổ phần dịch vụ Bưu Viễn thơng Sài Gịn (SPT) Cơng ty cổ phần Viễn thơng Hà Nội (Hanoi Telecom) Công ty SXKD Điện, Điện tử quận 10 TP HCM (TIENET) Công ty thông tin viễn thông điện lực (EVN Telecom) Công ty Netnam (NETNAM) DOANH NGHIỆP CHÍNH THỨC CUNG CẤP DỊCH VỤ ỨNG DỤNG INTERNET (OSP) – có 10 doanh nghiệp Tổng cơng ty Bưu Viễn thơng Việt Nam (VNPT) Công ty Điện tử Viễn thông quân đội - (VIETTEL) Công ty Cổ phần dịch vụ Internet (OCI) Công ty cổ phần phát triển đầu tư công nghệ FPT 73 Công ty cổ phần dịch vụ Bưu Viễn thơng Sài Gịn (SPT) Cơng ty SXKD Điện, Điện tử quận 10 TP HCM (TIENET) Công ty thông tin viễn thông điện lực (EVN Telecom) Công ty Netnam (NETNAM) Công ty TNHH Phát triển CNTT Đạt Thịnh 74 Phụ lục 2: Các văn pháp lý ban hành liên quan đến vấn đề ATTT Bộ Luật Hình Sự Bộ Luật Hình Sự có điều nói tội phạm cơng nghệ cao (CNC) Điều 125: Tội xâm phạm bí mật an tồn thư tín, điện thoại, điện tín người khác Điều 224: Tội tạo lan truyền, phát tán chương trình virus tin học Điều 225: Tội vi phạm quy định vận hành khai thác sử dụng mạng máy tính điện tử Điều 226: Tội sử dụng trái phép thông tin mạng máy tính Những điều luật cịn q Có nhiều hành vi coi phạm tội nước, Việt Nam coi vi phạm hành Chúng ta chưa hội nhập quốc tế mặt Nếu tội phạm Việt Nam cơng nước ngồi hay tội phạm nước ngồi cơng Việt Nam ta chưa xử lý pháp luật không đồng Hiện nay, hành vi phá hoại, trộm cắp qua mạng chủ yếu bị xử lý hành Tồ án xem xét xử lý hình sau đối tượng bị xử phạt hành Pháp lệnh Bưu Viễn thông Pháp lệnh số 43/2002/PL-UBTVQH10 Chủ tịch nước công bố ngày 7/6/2002 có số nội dung an tồn an an ninh thơng tin sau: - Bảo vệ an tồn mạng bưu chính, viễn thơng an ninh thông tin trách nhiệm tổ chức cá nhân - Cơ quan, tổ chức, doanh nghiệp phải áp dụng biện pháp bảo đảm an toàn mạng bưu chính, mạng viễn thơng an ninh thơng tin - Bí mật thơng tin riêng chuyển qua mạng bưu chính, mạng viễn thơng tổ chức, cá nhân bảo đảm theo quy định pháp luật Việc giữ bí mật thơng tin kỹ thuật mật mã bưu chính, viễn thơng thực theo quy định pháp luật yếu - Việc kiểm sốt thơng tin mạng viễn thơng internet; việc kiểm tra, thu giữ thư, bưu phẩm, bưu kiện chuyển qua mạng bưu cơng cộng mạng chuyển phát phải quan nhà nước có thẩm quyền thực theo quy định pháp luật 75 - Nghiêm cấm hành vi phá hoại cơng trình bưu chính, viễn thơng cản trở hoạt động hợp pháp bưu chính, viễn thơng - Nghiêm cấm hành vi thu trộm, nghe trộm thông tin mạng viễn thông; trộm cắp, sử dụng trái phép mật khẩu, khóa mật mã thơng tin riêng tổ chức, cá nhân khác; - Nghiêm cấm hành vi cung cấp, sử dụng dịch vụ bưu chính, viễn thơng sử dụng tần số vơ tuyến điện thiết bị vô tuyến điện, thiết bị bưu chính, viễn thơng nhằm mục đích chống lại Nhà nước Cộng hòa Xã hội Chủ nghĩa Việt Nam, gây rối an ninh, trật tự, an toàn xã hội, vi phạm phong mỹ tục dân tộc, hoạt động buôn lậu có hành vi khác vi phạm pháp luật bưu chính, viễn thơng Nghị định số 55/2001/NĐ-CP Ngày 23/8/2001 Chính phủ ban hành Nghị Internet có số nội dung sau: Điều Nghị định cho thấy thông tin đưa vào lưu trữ, truyền nhận đến Internet phải tuân thủ quy định tương ứng luật báo chí, luật xuất bản, pháp lệnh bảo vệ bí mật quy định sở hữu trí tuệ Điều quy định bí mật thơng tin riêng Internet bảo đảm theo hiến pháp pháp luật Điều 11 nghiêm cấm hành vi gây rối, phá hoại hệ thống thiết bị cản trở việc cung cấp, sử dụng dịch vụ Internet, đánh cắp sử dụng trái phép mật khẩu, khóa mật mã thông tin riêng Internet Các điều khoản cho thấy thiếu hụt sở pháp lý cho xử lý hành vi vi phạm an toàn Internet Hiện nay, Bộ TT&TT tiếp tục nghiên cứu để sửa đổi, bổ sung cho Nghị định Internet Nghị định 160/2004/NĐ-CP Ngày 3/9/2004 Chính phủ ban hành Nghị định chi tiết thi hành số điều Pháp lệnh Bưu Viễn thơng viễn thơng có số nội dung an tồn an ninh thơng tin sau: Điều bảo đảm an tồn mạng viễn thơng an ninh thông tin Nghị định cho thấy tổ chức, cá nhân phải bảo đảm an toàn mạng viễn thông an ninh thông tin, thực yêu cầu bảo đảm an ninh thông tin quan Nhà nước có thẩm quyền; 76 Bộ BCVT phối hợp với số Bộ, Ngành liên quan hướng dẫn việc bảo đảm an tồn, an ninh thơng tin hoạt động viễn thông Điều bảo đảm bí mật thơng tin cho thấy tổ chức, cá nhân phải chịu trách nhiệm nội dung thông tin mà đưa vào, lưu trữ truyền mạng viễn thông; Nghiêm cấm việc trộm cắp thông tin, sử dụng trái phép mật khẩu, mật mã thông tin riêng tổ chức cá nhân Quyết định 339/2005/QĐ-TTg ngày 20/12/2005 Thủ tướng Chính phủ định thành lập Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) trực thuộc Bộ Bưu Viễn thơng Đây quan xuất Việt Nam với chức năng, nhiệm vụ chuyên trách đảm bảo an tồn thơng tin, điều phối xử lý ứng cứu cố mạng quốc gia Quyết định 13/2006/QĐ-BBCVT ngày 28/4/2006 Bộ trưởng Bộ Bưu Viễn thơng quy định cụ thể chức năng, nhiệm vụ, quyền hạn cấu tổ chức Trung tâm Ứng cứu khẩn cấp Máy tính Việt Nam TĨM TẮT LUẬN VĂN 77 An tồn thơng tin khơng cịn đơn vấn đề kỹ thuật mà liên quan đến nhiều yếu tố khác như: định hướng phát triển, quy hoạch, chế sách, cơng nghệ, sở hạ tầng thông tin quốc gia, nhân sự, tổ chức quản lý, nhận thức xã hội, sở pháp lý, chế tài… Vấn đề đảm bảo an tồn thơng tin cần xem xét cách toàn diện, tổng thể Xây dựng chiến lược an tồn thơng tin việc làm cấp bách thiết thực Nhiều quốc gia xây dựng chiến lược an toàn thơng tin cho riêng Trong đó, Việt Nam chưa có chiến lược an tồn thơng tin quốc gia, an tồn thơng tin cịn lĩnh vực quan tâm thời gian gần Nhận thức an tồn thơng tin nước ta cịn thấp Chiến lược quy hoạch, phát triển mạng lưới có đảm bảo an tồn thơng tin cịn mang nặng tính kinh nghiệm, thiếu sở khoa học Mặt khác, chiến lược an tồn thơng tin khơng cần thiết cấp quốc gia, mà cần xây dựng quan/tổ chức, doanh nghiệp Xuất phát từ trạng phát triển thông tin truyền thông nước, từ nhu cầu thực tế cấp thiết nay, việc nghiên cứu tìm hiểu vấn đề liên quan đến an tồn thơng tin xây dựng chiến lược an tồn thơng tin biện pháp đảm bảo an tồn thơng tin vấn đề cấp thiết đặt Trong khuôn khổ luận văn khơng đề cập đến an tồn thơng tin cấp quốc gia Chủ đề luận văn nghiên cứu xây dựng chiến lược an tồn thơng tin đề xuất biện pháp triển khai mạng cấp tỉnh Ninh Bình Về mặt phương pháp luận, chiến lược sách thực thi biện pháp đề xuất áp dụng cho xây dựng chiến lược sách an tồn thơng tin quốc gia, áp dụng rộng rãi cho tỉnh thành khác, cho quan/tổ chức doanh nghiệp Đề tài nghiên cứu công trình nghiên cứu chiến lược an tồn thơng tin Việt Nam Kết nghiên cứu áp dụng cho nghiên cứu xây dựng chiến lược an tồn thơng tin quốc gia Từ khố ( key word ): Chiến lược an tồn thơng tin 78 ... vi xây dựng chiến lược an tồn thơng tin, đề xuất biện pháp triển khai mạng cấp tỉnh Ninh Binh Mặc dù vậy, phương pháp luận, chiến lược sách thực thi biện pháp đề xuất áp dụng cho xây dựng chiến. .. tồn thơng tin đề xuất biện pháp triển khai mạng cấp tỉnh Ninh Bình Về mặt phương pháp luận, chiến lược sách thực thi biện pháp đề xuất áp dụng cho xây dựng chiến lược sách an tồn thơng tin quốc... Đề xuất giải pháp biện pháp triển khai chiến lược an tồn thơng tin tỉnh Ninh Bình 62 5.4.1 Quan điểm triển khai thực thi chiến lược ATTT cấp tỉnh 62 5.4.2 Các giải pháp biện pháp